PAGE目錄第一章 綜述 -1-1.1網絡建設的基本原則 -1-1.2設計總體目標 -2-1.3國內外計算機網絡現狀及發展趨勢 -2-1.4無線局域網(WLAN) -5-第二章 系統主要相關技術 -6-2.1VlAN技術分析 -6-2.2WLAN無線網絡的組建 -9-2.3三層交換技術 -11-第三章 計算機網絡系統設計規劃 -14-3.1核心層建設規劃設計 -15-3.2匯聚層建設規劃設計 -17-3.3接入層建設規劃設計 -17-3.4數據中心建設規劃設計 -18-3.5網絡出口建設規劃設計 -19-第四章 無線網絡設計規劃 -20-4.6WLAN無線網絡規劃 -20-4.6.1系統設計方案說明 -23-4.6.2整體網絡性能評估 -23-4.6.3組網實施步驟 -24-4.6.4AP覆蓋單元 -25-4.6.5具體解決方案 -31-第五章 數字化網絡安全與管理平臺設計規劃 -40-5.1數字化園區網安全建設規劃 -40-5.1.1接入安全防護規劃設計 -40-5.1.2數據中心安全規劃設計 -44-5.2數字化園區網統一管理平臺建設規劃 -44-5.2.1網絡管理規劃 -45-5.2.2iMC的特點 -45-第六章 結論與討論 -53-6.1論文完成的工作 -53-6.2總結 -53-6.3展望 -53-致謝 …………..-54-參考文獻. -55-附錄：部分網絡設備配置文件 -57-1、 VLAN配置 -57-2、 防火墻配置文件 -59-2.1 ASPF配置 -59-2.2 NAT配置 -60-2.3 核心交換機H3CS10508配置 -60-計算機網絡方案設計摘要針對本論文中所做的工作主要包含了新大樓計算機網絡架構設計，闡述整個新大樓內網、外網、固網以及無線局域網（WLAN）的方案設計、組建、配置等內容，同時還對網絡安全方面的提出了有效的解決方案，最后分析并解決實現中的若干技術問題。關鍵詞：VLAN、WLAN、IP寬帶網絡、三層交換、網絡安全、服務器TheDesignOfComputerNetworkInWuhuFirstPeople'sHospitalAbstractThethesismainlytellsthecomputernetworkarchitecturedesignofthenewbuildingattheFirstPeople'sHospitalinWuhu.Italsoexpatiateonhowtodesignandconfiguretheintranet,extranetandwirelesslocalareanetwork(WLAN)inthenewbuilding.Thethesisputsforwardeffectivesolutionsaboutthenetworksecurity,andsometechniqueproblemsindailyworksareanalysedandresolvedintheendingofthethesis.

緒論20世紀末，隨著計算機科學的發展，計算機網絡技術在各個行業中的應用越來越廣泛，為廣大用戶提供了更加周到和人性化的服務。新大樓落成后，隨著網絡規模的增大，其應用種類和復雜度也在不斷增加。園區內包括很多不同的部門/用戶群組在同時使用網絡，網絡上也承載著各種不同的復雜應用。為保障重要業務數據的安全傳輸，需要對這些不同部門/群組用戶的訪問權限進行控制、不同業務間的網絡傳輸也需要安全隔離，這種隔離指的是訪問、傳輸、應用端到端的隔離。另外計算機網絡的普及給人們的工作、生活帶來了深遠的影響，同時，人們的需求也在應用過程中不斷提高，擺脫線纜的束縛，創造一個自由移動的空間，因此無線局域網（WLAN）應運而生。WLAN通過電磁波在空氣中發送和接收數據，而無須線纜介質，與有線網絡相比，WLAN具有安裝便捷、使用靈活、易于擴展和經濟節約等優點。17-綜述1.1網絡建設的基本原則為達到網絡系統建設的目標，在網絡設計構建中，我們始終堅持以下建網原則：實用性和先進性采用先進成熟的技術滿足各種應用系統的需求，兼顧其他相關的管理需求，保證滿足各種應用系統業務的同時，又體現出網絡系統的先進性。在網絡設計中把先進的技術與現有的成熟技術、標準和設備結合起來，充分考慮到網絡應用的需求和未來的發展趨勢，盡可能采用先進的網絡技術以適應更高的數據、語音、視頻（多媒體）的傳輸需要，使整個系統在相當一段時期內保持技術的先進性，以適應未來信息化的發展的需要。高可靠性網絡系統的穩定可靠是應用系統正常運行的關鍵保證，對于辦公網絡來說更是如此，為保證各項業務應用，網絡必須具有高可靠性，盡量避免系統的單點故障。要對網絡結構、網絡設備等各個方面進行高可靠性的設計和建設。在網絡設計中特別是關鍵節點的設計中，選用高可靠性網絡產品，在網絡設計上應采用硬件備份、冗余等可靠性技術，合理設計網絡冗余拓撲結構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地保證網絡系統的高效運行。標準性與開放性網上新增設備應該和原有設備一樣采用國際標準協議進行互連互通，確保本網絡系統的基礎設施的作用可以充分的發揮。在結構上真正實現開放，基于開放式標準，包括各種局域網、廣域網及網管系統等，堅持統一規范的原則，從而為未來的發展奠定基礎。網絡采用國際上通用標準的主流的網絡協議，不僅保證與其它網絡(如公共數據網、Internet)之間的平滑連接和互通，還能適應未來若干年的網絡發展趨勢，便于將來網絡自身的擴展。高安全性安全體系應該是一個多層次、多方面的結構，在總體結構上分為四個層次：網絡層安全、應用層安全、系統層安全和管理層安全。高性能網絡系統的性能是整個信息系統良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、圖象）的高質量傳輸，力爭實現透明網絡，網絡不能成為實施現代化應用業務的瓶頸。靈活性及可擴展性網絡系統是一個不斷發展的系統，網絡不僅需要保持對以前技術的兼容性，還必須具有良好的靈活性和可擴展性，具備支持多種應用系統的能力，提供技術升級、設備更新的靈活性，能夠根據不斷深入發展的需要，根據未來業務的增長和變化，平滑的擴充和升級現有的網絡覆蓋范圍、擴大網絡容量和提高網絡的各層次節點的功能，最大程度的減少對網絡架構和現有設備的調整。易操作性和可管理性由于網絡復雜性，隨著業務的不斷發展，網絡管理的任務必定會日益繁重。所以在網絡設計中，必須建立一套全面的網絡管理解決方案。網絡設備必須采用智能化，可管理的設備，同時采用先進的網絡管理軟件，實現先進的管理。最終能夠實現監控、監測整個網絡的運行情況，合理分配網絡資源、動態配置網絡負載、可以迅速確定網絡故障等。通過先進的管理策略、管理工具提高網絡的運行性能、可靠性，簡化網絡的維護工作，從而為辦公、管理提供最有力的保障。1.2設計總體目標建成后要成為具備建筑智能化、管理信息化、服務網絡化、設備自動化的數字化功能；集成、診療、辦公自動化、病歷、影像數字化管理、傳輸等等諸多功能于一體，構建系統和服務的優化組合平臺；建立一套集網絡化、信息化和智能化為一體，以病人為中心，服務于業務工作的數字化，實現“國內領先”的數字化總體目標。1.3國內外計算機網絡現狀及發展趨勢計算機網絡是計算機技術與通信技術相結合的產物，它實現了遠程通信、遠程信息處理和資源共享等。它自20世紀60年代產生以來，經過半個世紀特別是最近10多年的迅猛發展，目前越來越多地被應用到經濟、軍事、生產、教育、科學技術及日常生活等各個領域。在現實的日常生活中，我們時刻都在與網絡打交道。計算機網絡的發展，縮短了人際交往的距離，給人們的日常生活帶來了極大的便利。在計算機發展的初期，人們曾經用“沒有軟件的計算機只不過是一堆廢鐵”來強調軟件的重要性；而今，隨著計算機技術的高速發展，計算機應用日益普及，計算機技術尤其是網絡技術正在對人類經濟生活、社會生活等各方面產生巨大的影響。電子商務、網上銀行、遠程教育等與人們的聯系越來越緊密。有理由相信，在不遠的將來，人們將過上真正意義上的數字化生活。掌握計算機網絡的基礎知識，已經成為人們通向成功所必備的基本素質。有人說：“沒有聯網的計算機只不過是一個無用的信息孤島”、“網絡就是計算機”，可見計算機網絡在信息社會中起著舉足輕重的作用，預示著“以網絡為中心的計算時代”已經到來。所謂計算機網絡就是利用通信線路和通信設備將不同地理位置的、具有獨立功能的多臺計算機或共享設備互聯起來，配以功能完善的網絡軟件，使之實現資源共享、信息傳遞和分布式處理的系統。對于用戶來說，計算機網絡是一個透明的數據傳輸機構，用戶可以不必考慮網絡的存在而訪問網絡中的任何資源。計算機網絡的出現，使世界變得越來越小，生活節奏越來越快。它的產生拓寬了計算機的應用范圍，為信息化社會的發展奠定了堅實的技術基礎。計算機網絡源于計算機與通信技術的結合，它經歷了從簡單到復雜、從單機到多機、從終端與計算機之間通信到計算機與計算機直接通信的發展時期。早在20世紀50年代初，以單個計算機為中心的遠程聯機系統構成，開創了把計算機技術和通信技術相結合的嘗試。這類簡單的“終端——通信線路——面向終端的計算機”系統，構成了計算機網絡的雛形。嚴格的說，它和現代的計算機網絡相比，存在根本的區別。當時的系統除了一臺中央計算機外，其余的終端設備沒有獨立處理數據的功能，當然還不能算是真正意義上的計算機網絡。為了區別以后發展的多個計算機互聯的計算機網絡，稱它為面向終端的計算機網絡，又稱為第一代計算機網絡。從20世紀60年代中期開始，出現了若干個計算機主機通過通信線路互聯的系統，開創了“計算機——計算機”通信的時代，并呈現出多個中心處理機的特點。20世紀60年代后期，ARPANET網是由美國國防部高級研究計劃局ARPA（目前稱為DARPA，DefenseAdvancedResearchProjectsAgency）提供經費，聯合計算機公司和大學共同研制而發展起來的，主要目標是借助通信系統，使網內各計算機系統間能夠相互共享資源，它最初投入使用的是一個有4個節點的實驗性網絡。ARPANET網的出現，代表著計算機網絡的興起。人們稱之為第二代計算機網絡。20世紀70年代至80年代中期是計算機網絡發展最快的階段，通信技術和計算機技術互相促進，結合更加緊密。局域網誕生并被推廣使用，網絡技術飛速發展。為了使不同體系結構的網絡也能相互交換信息，國際標準化組織（ISO）于1978年成立了專門機構并制定了世界范圍內的網絡互聯標準，稱為開放系統互聯參考模型OSI/RM（OpenSystemsInterconnection/ReferenceModel），簡稱OSI，人們稱之為第三代計算機網絡。進入20世紀90年代后，局域網技術發展成熟，局域網已成為計算機網絡結構的基本單元。網絡間互聯的要求越來越強烈，并出現了光纖及高速網絡技術。隨著多媒體、智能化網絡的出現，整個系統就像一個對用戶透明的大計算機系統，千兆位網絡傳輸速率可達1G/s，它是實現多媒體計算機網絡互聯的重要技術基礎。從1983年到1993年10年期間，Internet從一個小型的、實驗型的研究項目，發展成為世界上最大的計算機網，從而真正實現了資源共享、數據通信和分布處理的目標。我們把它稱為第四代計算機網絡未來的計算機網絡的發展趨勢將是通信技術與計算機技術的進一步聚合，并且將改變各自原有的基本特征。人們預見，未來的信息網絡將各種功能分成三個層次：1、比特路（Bitways）；2、服務（Services）；3、應用（Applications），這也許是未來計算機網絡的體系結構。“比特路”是負責把二進制位流從一個位置傳送到另一個位置的網絡，例如：使用SDH傳輸網絡構造的ATM網絡，或與IP協議接口的Internet。“服務”提供一組通用或支撐特性，作為計算和通信基礎設施的一部分用于構造其它所有的網絡應用，象音頻或視頻傳送、文件系統管理、打印、電子支付機制、加密和密鑰分發、可靠數據傳遞等都屬于服務。“應用”是提供給用戶的一組有價值的功能，象電子郵件、電話、數據庫訪問、文件傳送、WWW瀏覽和視頻會議系統等都是應用的例子。應用還可以進一步分成兩大類，一類是用戶/服務器型的，象VOD、WWW等要求立即響應的和象FTP等可以適當延遲的；另一類是用戶/用戶型的，象電話、視頻會議等要求立即響應的和象Email、音頻mail等可以適當延遲的。這兩種類型的應用都可以是點到點的或是一點到多點的。1.4無線局域網(WLAN)無線局域網(WLAN)采用成熟的以太網技術，將無線通信從移動通信簡化出來，繞過高速數據通信在高速移動和跨區穿越等3G技術屏障，優先解決用戶無線寬帶接入的需求。WLAN同時也得到了網絡設備，手持設備等供貨商的支持，從目前到未來一年預計會有大量的支持WLAN的產品和應用，這也就是說它將帶來無限商機。作為新一代寬帶接入經營者，立足于基于IP寬帶網絡應用，果斷和積極將WLAN作為其發展方向，一方面揚長避短，發揮在IP寬帶雄厚的技術實力，又避開了兼容移動通信網路的顧慮，發揮先手的優勢，從而可以利用這個良好的發展機遇，成為新一代的移動通信經營商。WLAN的優勢是投資少，可以實現精確部署，在“熱點”上可以很快實現這種網絡，目前無線網卡的設備已大量普及并且售價已經能讓消費大眾所能接受，所以許多寬帶運營商已開使以WLAN無線網的形式來經營寬帶網業務。

系統主要相關技術2.1VlAN技術分析VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知。VLAN（VirtualLocalAreaNetwork，虛擬局域網）的目的非常的多。通過認識VLAN的本質，將可以了解到其用處究竟在哪些地方。第一，要知道/30和/30都屬于不同的網段，都必須要通過路由器才能進行訪問，凡是不同網段間要互相訪問，都必須通過路由器。第二，VLAN本質就是指一個網段，之所以叫做虛擬的局域網，是因為它是在虛擬的路由器的接口下創建的網段。下面，給予說明。比如一個路由器只有一個用于終端連接的端口（當然這種情況基本不可能發生，只不過簡化舉例），這個端口被分配了/24的地址。然而由于公司有兩個部門，一個銷售部，一個企劃部，每個部門要求單獨成為一個子網，有單獨的服務器。那么當然可以劃分為--127/25、28--255/25。但是路由器的物理端口只應該可以分配一個IP地址，那怎樣來區分不同網段了？這就可以在這個物理端口下，創建兩個子接口邏輯接口實現。比如邏輯接口F0/0.1就分配IP地址/25，用于銷售部，而F0/0.2就分配IP地址29/25，用于企劃部。這樣就等于用一個物理端口確實現了兩個邏輯接口的功能，這樣就將原本只能劃分一個網段的情形，擴展到了可以劃分2個或者更多個網段的情形。這些網段因為是在邏輯接口下創建的，所以稱之為虛擬局域網VLAN。這是在路由器的層次上闡述了VLAN的目的。第三，將在交換機的層次上闡述VLAN的目的。在現實中，由于很多原因必須劃分出不同網段。比如就簡單的只有銷售部和企劃部兩個網段。那么可以簡單的將銷售部全部接入一個交換機，然后接入路由器的一個端口，把企劃部全部接入一個交換機，然后接入一個路由器端口。這種情況是LAN.然而正如上面所說，如果路由器就一個用于終端的接口，那么這兩個交換機就必須接入這同一個路由器的接口，這個時候，如果還想保持原來的網段的劃分，那么就必須使用路由器的子接口，創建VLAN.同樣，比如兩個交換機，如果你想要每個交換機上的端口都分別屬于不同的網段，那么你有幾個網段，就提供幾個路由器的接口，這個時候，雖然在路由器的物理接口上可以定義這個接口可以連接哪個網段，但是在交換機的層次上，它并不能區分哪個端口屬于哪個網段，那么唯一實現能區分的方法，就是劃分VLAN，使用了VLAN就能區分出某個交換機端口的終端是屬于哪個網段的。綜上，當一個交換機上的所有端口中有至少一個端口屬于不同網段的時候，當路由器的一個物理端口要連接2個或者以上的網段的時候，就是VLAN發揮作用的時候，這就是VLAN的目的。VLAN劃分根據端口來劃分VLAN許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網AAA，同一交換機的6，7，8端口組成虛擬網BBB。這樣做允許各端口之間的通訊，并允許共享型網絡的升級。但是，這種劃分模式將虛擬網限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員，其配置過程簡單明了。因此，從目前來看，這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。根據MAC地址劃分VLAN這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。根據網絡層劃分VLAN這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。根據IP組播劃分VLANIP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高。基于規則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的用戶連成一體，在邏輯劃分上稱為“關系網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規則（或屬性），那么當一個站點加入網絡中時，將會被“感知”，并被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。采用這種方法，整個網絡可以非常方便地通過路由器擴展網絡規模。有的產品還支持一個端口上的主機分別屬于不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給一個由IP子網映射成的VLAN。按用戶劃分VLAN基于用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網絡，根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。*以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數據鏈路層上；網絡層和IP廣播方式建立在第三層上。2.2WLAN無線網絡的組建無線局域網可以簡單也可以復雜，最簡單的網絡可以只要兩個裝有無線適配卡（wirelessadaptercard）的PC，放在有效距離內，這就是所謂的對等（peer-to-peer）網絡，這類簡單網絡無需經過特殊組合或專人管理，任何兩個移動式PC之間不需要中央服務器（centralserver）就可以相互對通。無線網絡訪問點（AccessPoint，簡稱AP）可增大AD-Hoc網絡移動室PC之間的有效距離到原來的兩倍。因為訪問點是連接在有線網絡上，每一個移動式PC都可經服務器與其它移動式PC實現網絡的互連互通，每個訪問點可容納許多PC，視其數據的傳輸實際要求而定，一個訪問點容量可達15到63個PC。無線網絡交換機和PC之間有一定的有效距離，在室內約為150米，戶外約為500米。在大的場所例如倉庫中或在企業中，可能需要多個訪問點，網橋的位置需要事先考察決定，使有效范圍覆蓋全場并互相重迭，使每個用戶都不會和網絡失去聯絡。用戶可以在一群訪問點覆蓋的范圍內漫游（roam）。訪問點把用戶在不知不覺中從一個訪問點的覆蓋范圍轉移到另一個訪問點的覆蓋范圍，確保通訊不會中斷。為了解決覆蓋問題，在設計網絡時可用接力器（ExtensionPoint，簡稱EP）來增大網絡的轉接范圍，接力器看起來和功能上都像是訪問點，但接力器并不接在有線網絡上。接力器望文生義，其作用就是把信號從一個AP傳遞到另一個AP或EP來延伸無線網絡的覆蓋范圍。EP可串在一起，將訊號從一個AP傳遞到遙遠的地方。如何規劃WLAN?據Gartner報告，現在美國已經有1500萬的WLAN用戶，到2006年這一數目將達到3100萬，但部署一個能保證性能的WLAN并非易事。規劃WLAN的關鍵事規劃接入點，需要有足夠的蜂窩重迭覆蓋以供漫游，并需要足夠的寬帶以供應用。如果無線接入點不足，最后可能導致吞吐量出現問題，同時也會使覆蓋區域零星散落，對用戶的漫游和工作地點造成一定的限制。考慮移動性需要在做接入點規劃時需要考慮用戶的移動性需要。一種用戶在整個覆蓋區域內移動時需要一直與WLAN相連接，就像醫生外出時需要查看病人記錄。另一種用戶需要不時接入WLAN，比如人員在不同大樓會議間歇時需要不時查看電子郵件。第一種需求需要跨越WLAN的無縫漫游，此WLAN需要大接入點密度。而第二種需求屬于間斷性的無線連接，接入點密度可以相對小一些。計算吞吐量在布置WLAN之前需要考慮WLAN最常使用的是哪種通信，是電子郵件和Web通信，或是對速度要求很高的ERP（企業資源規劃），還是CAD（計算機輔助設計）應用程序。是需要速度為54Mbps的802.11g，還是只需要速度為11Mbps的802.11b就足夠。不管使用哪一種通信，當用戶與接入點的距離過遠時，網絡速度都會顯著下降，所以安裝足夠的接入點不僅僅是為了支持所有的用戶，也是達到用戶需要的連接速度所要求的。WLAN宣稱的速度并不一定準確對應于它的實際速度。與交換式以太網不同，WLAN是一種共享介質，它更像是老式以太網的集線器模型，將可用的吞吐量分割為若干份而不是每個接入設備提供專線速度。這一限制（通過電波傳輸數據時還會有50％的損耗）對無線網絡的吞吐量規劃而言是一個很大的問題，計算接入點數目時最好多預留一些空間。僅僅根據用戶數目及其最小寬帶需求來計算接入點數目是及其冒險的，盡管它可以在一段時間內滿足對容量的需求。防止干擾干擾對于某些機構可能會是個問題。盡管追蹤入侵微電波，無繩電話和藍牙設備并非難事，但更常遇到的是來自網絡內部其它接入點甚至是網絡外部的干擾。例如：802.11b和802.11g在2.4GHz頻帶內提供三個相同的非重迭通道，這使得規劃密集部署或在相鄰WLAN的干擾下工作變得困難，理想的情況使，2.4GHz環境中的通道1、6和11永遠不會與同一通道相鄰，這樣它們就不會相互干擾，但這是不現實的。實際上需要一定量的良性蜂窩覆蓋重迭以允許用戶漫游（20％到30％最佳），但如果站點處的建筑物超過一層，即便是使用高增益天線，建筑物的層與層之間也會有一些滲漏。802.11a的12個非重迭通道可以在很大程度上緩解通道分配帶來的問題。802.11a使用的5.8GHz頻帶幾乎不會造成任何非WLAN干擾，而且用戶也不太可能遇到相鄰802.11a接入點，原因是這一標準還未像802.11g那樣普及，因此以5.8G的802.11a來作傳輸是目前在作WLAN覆蓋時的傳輸首選。覆蓋區域知道WLAN的射頻信號是怎樣傳播的嗎？信號頻率越低，無線網絡傳輸速度越慢，有效范圍就越遠。由于大量射頻信號以較低頻率傳播，同時信噪比的靈敏度因為高速調制方式而增加，所以速度為11Mbps的2.4GHz802.11b/g信號的傳播距離遠遠超過速度為54Mbps/108Mbps的5.8GHz802.11a信號。WLAN的覆蓋范圍除了受不同射頻帶和吞吐量變化而造成的波傳播特征影響之外，還會因為自由空間路徑損耗和衰減而受到限制。自由空間路徑損耗更大程度上是開放或戶外環境方面的問題，實際上是無線電信號因為波前擴展引起的擴散導致接收天線接收不到這些信號。衰減則在WLAN的室內安裝中比較常見，它是振幅下降，或者射頻信號在穿過墻壁、門或其它障礙物時減弱造成的。這就是WLAN在密集建筑物周圍性能不好的原因。當面對這種物理上的干擾時，即使彈性比5.8GHz信號好得多的2.4GHz信號，仍然會遇到某些射頻問題。多路徑效應也是影響覆蓋范圍的重要因素之一。所謂多路徑效應，就是信號被反射并回送的現象。在大多數情況下，多路徑效應使接收到的信號被削弱或是完全抵消。于是有一些本來應該充分傳播信號的區域幾乎或根本沒有射頻信號覆蓋。防止多路徑效應的辦法是拆除或重新安置機柜和網絡設備機架之類的干擾對象，同時增加接入點密度或功率輸出。5)安全防范點未經授權用戶的接入由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到達的地方，在信號覆蓋范圍內，非法用戶無需任何物理連接就可以獲取無線網絡的數據，因此，必須從多方面防止非法終端接入以及數據的泄漏問題。2.3三層交換技術隨著Internet的發展，局域網和廣域網技術得到了廣泛的推廣和應用。數據交換技術從簡單的電路交換發展到二層交換，從二層交換又逐漸發展到今天較成熟的三層交換，以致發展到將來的高層交換。三層交換技術就是：二層交換技術+三層轉發技術。它解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。三層交換（也稱多層交換技術，或IP交換技術）是相對于傳統交換概念而提出的。眾所周知，傳統的交換技術是在OSI網絡標準模型中的第二層——數據鏈路層進行操作的，而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地說，三層交換技術就是：二層交換技術+三層轉發技術。三層交換技術的出現，解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。一個具有三層交換功能的設備，是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結合，并不是簡單地把路由器設備的硬件及軟件疊加在局域網交換機上。第三層交換工作在OSI七層網絡模型中的第三層即網絡層，是利用第三層協議中的IP包的報頭信息來對后續數據業務流進行標記，具有同一標記的業務流的后續報文被交換到第二層數據鏈路層，從而打通源IP地址和目的IP地址之間的一條通路。這條通路經過第二層鏈路層。有了這條通路，三層交換機就沒有必要每次將接收到的數據包進行拆包來判斷路由，而是直接將數據包進行轉發，將數據流進行交換。其原理是：假設兩個使用IP協議的站點A、B通過第三層交換機進行通信，發送站點A在開始發送時，把自己的IP地址與B站的IP地址比較，判斷B站是否與自己在同一子網內。若目的站B與發送站A在同一子網內，則進行二層的轉發。若兩個站點不在同一子網內，如發送站A要與目的站B通信，發送站A要向“缺省網關”發出ARP(地址解析)封包，而“缺省網關”的IP地址其實是三層交換機的三層交換模塊。當發送站A對“缺省網關”的IP地址廣播出一個ARP請求時，如果三層交換模塊在以前的通信過程中已經知道B站的MAC地址，則向發送站A回復B的MAC地址。否則三層交換模塊根據路由信息向B站廣播一個ARP請求，B站得到此ARP請求后向三層交換模塊回復其MAC地址，三層交換模塊保存此地址并回復給發送站A,同時將B站的MAC地址發送到二層交換引擎的MAC地址表中。從這以后，當A向B發送的數據包便全部交給二層交換處理，信息得以高速交換。由于僅僅在路由過程中才需要三層處理，絕大部分數據都通過二層交換轉發，因此三層交換機的速度很快，接近二層交換機的速度，同時比相同路由器的價格低很多。計算機網絡系統設計規劃新大樓落成后，隨著網絡規模的增大，其應用種類和復雜度也在不斷增加。園區內包括很多不同的部門/用戶群組在同時使用網絡，網絡上也承載著各種不同的復雜應用。為保障重要業務數據的安全傳輸，需要對這些不同部門/群組用戶的訪問權限進行控制、不同業務間的網絡傳輸也需要安全隔離，這種隔離指的是訪問、傳輸、應用端到端的隔離。新區建設新的網絡平臺，對整體網絡系統有以下要求，內部網與外部網之間在各種應用方面有一定交叉，但是需要實現安全隔離。需求如下：萬兆主干，用戶線速千兆交換到桌面，數字醫學影像千兆光纖到桌面，應用服務器，如HIS、PACS系統等都部署在網絡數據中心，數據中心需要有一定的備份容災能力和安全防御能力。整個大樓部署WLAN，以增強網絡的覆蓋范圍和應用的靈活性。網內所有用戶需要使用認證安全接入，并且具有對認證用戶進行規范化管理。整網實現智能網絡管理，將多種管理系統，如設備管理、用戶管理、業務管理、資源管理合為統一平臺。本次采用網絡虛擬化解決方案很好地解決了這個問題。其把各種用戶共用的一套物理網絡、客戶端、服務器資源虛擬出多種邏輯資源，供不同的群組/部門/用戶/業務使用，實現根據業務和應用劃分訪問權限和業務流向，進行安全隔離，同時也能根據需要提供靈活的互訪控制。具體如下圖所示：圖1網絡拓撲圖如圖所示：新區網絡建設采用三層架構，分為：核心層、匯聚層、接入層的三層交換技術，網絡主干采用萬兆鏈路互聯，千兆線速到桌面。在核心機房部署兩臺采用多級交換架構的高端路由交換機，接入交換機采用三層全千兆接入交換機，通過把VLAN終結在接入端口，限制廣播域范圍，減少廣播報文對網絡帶寬的消耗，從接入層開始即可進行快速三層交換，利用網絡中存在的等價多路徑實現業務流量的負載分擔。整網配置OSPF協議，具有網絡故障收斂速度快、易于管理和維護的特點。3.1核心層建設規劃設計核心交換機作為網絡平臺的核心，不僅要求能提供大容量、無阻塞的數據交換，還需具備持續擴展的能力，支持高密度的萬兆接口、分布式緩存機制、精細化QoS等。交換架構是網絡設備的核心，就像人的心臟一樣重要，決定了一臺設備的容量、性能、擴展性以及QoS等諸多關鍵屬性。考慮網絡的高擴展性及高性能，需采用CLOS交換架構的核心交換機作為網絡核心。根椐業務的實際需求，本次我們采用兩臺H3CS10508高性能模塊化核心路由交換機，配置雙電源、雙引擎，采用智能彈性堆疊技術進行均衡熱備作為網絡核心。每臺配置一塊16端口萬兆以太網光接口模塊和一塊48端口千兆以太網電接口模塊，其中兩個萬兆接口用于核心交換機間的互聯，其余萬兆接口用于連接匯聚交換機和數據中心交換機，根據實際距離配置萬兆多模（300M內）或者萬兆單模（10KM內）模塊，千兆電口用于連接管理系統和提供高速互聯接口。接入交換采用萬兆光纖鏈路與核心交換機進行雙歸屬連接，提高網絡主干速率及鏈路的可靠性。核心交換機之間通過萬兆鏈路連接起來，利用交換機支持的IRF2（第二代智能彈性架構）技術，將兩臺設備虛擬化為一臺邏輯設備。這樣核心層在可靠性、分布性和易管理性方面具有強大的優勢。通過第二代智能彈性架構IRF2可使網絡資源成倍增加，并可靈活調整，進一步簡化了核心層網絡配置，大大降低前期投入和后期維護成本。圖2網絡路由第二代智能彈性架構（IRF2）可實現分布式路由、跨設備鏈路聚合和分布式設備管理，并且核心設備和接入設備采用同一種技術，可以構建出一個具有彈性的數據中心基礎網絡平臺。部署IRF2，除了提高網絡的可用性，減少單點故障影響，還可以：·分布式處理二三層協議，提高網絡處理性能·每組虛擬為一臺設備，簡化組網，配置管理更高效·虛擬交換組設備軟件版本同步升級，易于維護·整個虛擬交換組的設備支持熱插拔，靈活管理·對虛擬交換組來說，實現倍數級的接入密度和背板交換能力，并提高組網的可靠性核心層部署IRF2后，無需再考慮MSTP、VRRP等協議，解決了傳統設備和鏈路只能工作在主/備模式和利用率低于50％的性能瓶頸。3.2匯聚層建設規劃設計匯聚層是核心層和接入層的連接模塊，為各個配線間網絡設備提供接入層設備的集中和核心層鏈路的接入。匯聚來自接入層的節點，保護核心不受高密度對等關系的影響。此外，匯聚層還創建故障邊界，在接入層發生故障時提供邏輯隔離點。負載平衡、服務質量(QoS)和易于設置等都是匯聚層的主要考慮因素。本次網絡設計的匯聚層需要能提供快速的數據交換和極高的永續性，從設備考慮，需選用交換性能和可靠性高的高端路由交換設備，支持雙主控、電源冗余、風扇冗余、分布式轉發等特性。本次網絡設四個匯聚，每個匯聚配置一臺H3CS10508E-S模塊化路由交換機，H3CS10508E-S具有6個業務插槽，可以滿足后期擴容需求，天然支持全線速分布式轉發，配置高性能路由交換引擎和雙電源冗余，每臺配置8個萬兆接口和48個千兆光接口（其中兩臺配置96個千兆光接口），萬兆接口用于連接兩臺核心交換機，千兆光口提供接入交換機高速互聯。H3CS7500E路由交換機是杭州H3C通信技術有限公司面向融合業務網絡推出的新一代高端多業務路由交換機，采用了全分布式體系架構，基于H3C自主知識產權的ComwareV5操作系統，融合了MPLS、IPv6、網絡安全、無線、無源光網絡等多種業務，提供不間斷轉發、優雅重啟、環網保護等多種高可靠技術，在提高用戶生產效率的同時，保證了網絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。3.3接入層建設規劃設計接入層是邊緣設備、終端站和IP電話接入網絡的第一層。健壯的接入層提供以下主要特性：鏈路匯聚（以太網通道或802.3ad）高可用特性，提供更高的帶寬利用率，同時降低復雜性，匯聚的鏈路之間在故障發生時，正常鏈路可承擔起所有網絡流量為滿足辦公網絡用戶的全千兆接入需求，所以端口必須支持線速轉發，硬件識別和處理各種應用業務流，所有端口都具有單獨的數據包過濾和區分不同應用流的能力，并根據不同的流進行不同的管理和控制使用QoS為關鍵任務網絡流量分發優先級，從而靠近網絡入口對流量進行分類和排隊，提供多樣的隊列調度滿足高級QoS、更為精細的流分類、限速粒度和組播服務，實現網絡控制和帶寬優化安全服務，通過配置802.1x,、端口安全性、DHCP偵聽、動態ARP檢查及IP源保護等工具來增加安全性，從而更有效地防止非法網絡訪問為網絡提供了更多的智能特性，如基于策略的VLAN、支持基于端口／流／MAC／VLAN鏡像、增強的ACL和端口安全功能等支持EAD（端點準入防御）功能，配合后臺系統可以將終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系建議選用H3CS5120全千兆三層交換機，提供24/48個千兆以太網端口，4個千兆SFP端口，采用千兆光纖鏈路與核心交換連接，樓層交換的端口數將根據樓層實際信息點數量進行分配。3.4數據中心建設規劃設計數據中心是在數據大集中背景下形成的集成IT應用環境，它是各種IT業務和應用服務的提供中心，是數據運算/交換/存儲的中心，實現對用戶的數據、應用程序、物理構架的全面或部分進行整合和集中管理。為保證數據中心的高安全性和快速數據交換，數據中心接入交換機建議采用H3C公司的S5800-60C數據中心級萬兆以太網交換產品，配置2個萬兆端口采用萬兆多模光纖分別與兩臺核心交換機互聯。H3CS5800-60C交換機單臺設備可以按需擴展至最多8個全線速轉發的萬兆端口,或提供靈活的千兆接入端口，可以提供16個千兆光接口或者電接口擴展模塊，單臺設備可以按需擴展至最多84個全線速轉發的千兆端口，滿足數據中心對于光電混合配置的要求。針對于數據中心大流量數據無阻塞傳輸的要求，H3CS5800-60C可以提供強大的緩存能力，并且支持先進的緩存調度機制可以保證設備緩存能力有效利用的最大化。支持電源冗余和模塊化風扇組件，電源模塊以及風扇模塊均可以熱插拔而不影響設備的正常運行。完全滿足數據中心網絡建設需求。3.5網絡出口建設規劃設計為保障網絡的安全性，需針對INTERNET、醫保出口分別部署網絡設備。建議在INTERNET出口處，部署一臺H3CMSR5040開放多核路由器和一臺UTM200統一威脅管理產品，保證網絡出口安全和快速NAT轉換。MSR50路由器在硬件設計方面充分地考慮到集成綜合業務的需要，采用了先進的N-Bus多總線設計方案，語音、數據、交換、安全四大業務分別經由不同的總線，由專門的協處理引擎并行完成處理，消除總線和CPU性能瓶頸，大大提高了該路由器集成的多業務部署和實施能力。可滿足企業網絡內部多種高質量并發業務無縫集成、完美融合。H3CSecPathU200采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產品具有極高的性價比。在提供傳統防火墻、VPN功能基礎上，同時提供病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、P2P/IM應用層流量控制和用戶行為審計等安全功能。支持L2TPVPN、GREVPN、IPSecVPN等遠程安全接入方式，同時設備集成硬件加密引擎實現高性能的VPN處理，可以為用戶提供大容量、高性能的安全VPN接入。

無線網絡設計規劃4.6WLAN無線網絡規劃與有線網絡相比，WLAN具有安裝便捷、移動性好、使用靈活、易于擴展等優點，可以為不易布線的地方和遠距離的數據處理節點提供強大的網絡支持。由于WLAN具有上述不可替代的優點，因而會迅速地應用于需要在移動中聯網和在網絡間漫游的場合。但與此同時也給WLAN的優化設計與管理帶來了很多新的問題。WLAN包括無線網卡和接入點（AP）.無線網卡安裝在移動終端上，用來訪問AP。無線網卡帶有發送器、接收器、天線和提供無線終端接口的硬件。AP是一個橋接的無線基站，放置于固定位置并可連接到有線局域網。AP帶有發送器、接收器、天線和橋接器，帶有與IEEE802.3有線局域網的接口，可以讓無線終端同有線局域網通信。網絡結構是進行優化設計的基礎。大型WLAN應用的網絡結構以基礎設施網絡為主。基礎設施網絡提供對其它網絡的訪問，帶有轉發功能和介質訪問控制等功能。在基于這種結構的網絡中，通信只發生在無線節點和AP之間，而不是兩個無線節點之間直接通信。AP起到了橋接其它無線或有線網絡的作用。這種網絡結構典型的使用場景為、辦公室、超市和倉庫。WLAN不同于傳統的有線網絡，噪聲和干擾、建筑物結構、無線設備的擺放及其參數的設置都對WLAN的信號質量和傳輸速度等性能有很大的影響。因此，WLAN的設計也與有線網絡不同。WLAN優化設計的目的是：使無線接入設備覆蓋所有期望覆蓋的區域，并且具有足夠承擔預期負載的能力。由于環境的復雜性，WLAN的設計必須通過實際的測量才能達到理想效果。其中，AP的定位和頻率分配是WLAN優化設計的兩個重要方面。根據與業主相關負責人員詳細溝通后對于貴現況及無線上網需求和無線網的運用，我們根據現場實際的場地狀況及日后相關需求發展做了以下的歸納分析:目前工作人員約有二萬五千余人，根據使用方規劃最終學生人數將達三萬五千人，由于企業所有員工皆配備有筆計型PC對于無線上網是有其必需與必要性的故規劃整個無線互聯網環境首要的思路就是如何讓每個員工都能在無線訊號覆概良好并能提供足夠帶寬的上網環境來做規劃。初期使用方以辦公大樓及閱覽室為無線覆蓋主要區域其范圍分布較廣且辦公樓都是采用U型或較為開闊的建筑，基本上屬于分布式的環境，所以若以一般傳統式的室內WLAN系統及傳統式短室內距離的WLAN覆蓋方式根本無法滿足學生所需要的無線上網環境。根據企業的日后發展方向及未來場地擴展，我們也確定必須對系統的擴充性及整合性做一詳細的考慮，如所選用的系統必須視可以隨時擴充及必須做到擴充后的無縫結合。整個辦公樓群基本上每棟都有電信光纜到樓，只有圖書館尚未有接入電信光纜，但使用方考慮到施工對環境的影響原則上不再采用鋪光纜的方式。方案實施規劃方向根據以上實際需求分析我們可以很清楚的得到一些方案實施方向:考慮到上網人數多且密集我們根據使用方的預期要求以五比一的高峰上網比例來規劃也就是整個無線必須滿足能讓5000個用戶同時上網。就覆蓋信號范圍需求方面一般的室內無線WLAN系統不適用于本方案的實施因為本方案屬于分布式無線上網系統的運用其覆蓋方式是屬于大面積覆蓋，適用室外型高性能電信運營級WLAN設備方能滿足需求而室內小面積并不具備所需之性能要求；故我們采用以室外大面積高性能電信運營級WLAN設備來規劃整個網絡架構。針對高密度的用戶環境我們必須采用高帶寬的54Mbps802.11g的產品來規劃。圖書館尚未有接入電信光纜，但使用方考慮到施工對環境的影響原則上不再采用鋪光纜的方式。及對于設備的維護及穩定度更加要求故我們采用目前業界公認最穩定也是最有效的802.11a5.8GHz無線網橋將帶寬傳到圖書館辦公樓。根據上述及與使用方相關負責人員詳細溝通后對于企業現況及無線系統的需求和運用，我們根據現場實際的場地狀況及日后相關需求發展規劃了一套基于54Mbps的室外無線WLAN局域網接入規劃，本著“專業、實效和用戶至上”的原則來設計。基本組網架構首先利用現有已布設完成的電信光纜將Internet信號從電信機房引到各出將辦公大樓，再接入AP的以太網供電器經過室外以太網再接入ODU-8200PG，然后再通過ODU-8200PG2.4G的802.11b/802.11g的覆蓋發射出AP覆蓋無線信號(如圖七所示)，在客戶端只要使用一張無線網卡，就可以連上AP，暢游網絡世界。圖3ODU-8200PG組網示意2.4GHz網橋802.11b54Mbps2.4GHz網橋802.11b54Mbps2.4GHz網橋802.11b54Mbps2.4GHz網橋802.11b54Mbps2.4GHz網橋802.11b54Mbps中國電信機房圖4ODU-8200PG組網示意4.6.1系統設計方案說明本方案以既有的中國電信已鋪設的光纜作做為網絡骨干之基礎再以WLAN無線AP將帶寬經RF無線方式傳輸到終端設備(如:PC,無線IAD,無線PDA等...)。整個需要無線覆蓋房間如圖八所示，其中紫色、藍色、綠色、紅色分別代表四個不同通道(CH1/CH4/CH8/CH11)的無線覆蓋蜂窩，無線AP以4個ODU-8200PG2.4GHz54Mbps作傳輸/覆蓋AP為中心點(如圖八AP1/AP2/AP3/AP4)分別以三個到四個AP組成WDS蜂窩之架設方式；第一蜂窩為圖八所示之紫色線條示意之AP1/AP2/AP3/AP4(共由四顆ODU-8200PG組成)，第二蜂窩為圖八所示之紅色現線調示意AP5/AP6/AP7/AP8(共由四顆ODU-8200PG組成)，第三蜂窩為圖八所示之綠色線條示意之AP9/AP10/AP111(共由三顆ODU-8200PG組成)，第四蜂窩為圖八所示之藍色線條示意之AP12/AP13/AP14/AP15(共由四顆ODU-8200PG組成)，整個無線覆蓋網工共使用15顆ODU-8200PG4.6.2整體網絡性能評估十五個AP其可提供總帶寬應為300Mbps，計算方式如下:因每一AP出口均為54Mbps(實際有效帶寬為20Mbps)故15個AP將提供20Mbps*15=300Mbps的實際帶寬，并可同時提供960個用戶(64*15=960)在線互聯并發(每一AP并發數為64個用戶)。4.6.3組網實施步驟實際覆蓋宿舍環境分析與AP架設位置之選擇實際覆蓋環境如圖八所示，共需覆蓋大樓如圖八黃色標示之建筑物，組網實施方式將分為下面幾個步驟進行:各覆蓋蜂窩之遠端點之安裝實施步驟分述如下:覆蓋蜂窩一之遠端點:AP-2,AP-3,AP-4因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠端點必須在中心點覆蓋面120°內才能順利接收到中心點所傳過來之訊號。覆蓋蜂窩二之遠端點:圖八所示之AP-6,AP-7,AP-8因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠端點必須在中心點覆蓋面120°內才能順利接收到中心點所傳過來之訊號。覆蓋蜂窩三之遠端點:圖八所示之AP-10,AP-11因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠端點必須在中心點覆蓋面120°內才能順利接收到中心點所傳過來之訊號，因AP-10,AP-11主要覆蓋為覆蓋樓三和覆蓋樓四之南面外側，因該面并無其它相鄰之建筑物可裝社AP故我提供們兩種AP之架設方式；一為直接將AP裝在覆蓋三和樓四的覆蓋面外側屋頂角上；一為在南面外側立抱竿將AP裝設在抱竿上如圖八AP-10,AP-11。覆蓋蜂窩四之遠端點:圖八所示之AP-13,AP-14,AP-15因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠端點必須在中心點覆蓋面120°內才能順利接收到中心點所傳過來之訊號。4.6.4AP覆蓋單元一)覆蓋設備ODU-8200PG系列是在-20~70°C溫度下提供超長距離接入的無線局域網覆蓋設備，ODU-8200PG系列提供了AP/網橋混合模式減少布線成本、及自帶天線，更有利于無線網之建設。此系統主要用在小區無線覆蓋/城域無線網覆蓋,并可用于點到點及點到多點射頻方案，以連接多個建筑物間之局網。本系統支持11/54Mbps傳輸率，使用DSSS/OFDM技術。圖5ODU-8200PG產品外觀特色及益處DSSS/OFDM技術特色及益處DSSS/OFDM技術網橋功能(2.4G)可達10公里傳輸距離及54Mbps傳輸數率AP功能(2.4G)最高速率54Mbps(802.11g)及11Mbps(802.11b)用戶隔離AP隱藏功能支持無線VLAN功能支持WDS以太網供電采用SNMP簡化管理廣泛操作溫度從-40到70°C防水室外單元支援802.1x認證MAC捆綁/MAC認證最高并發數64個用戶同時支持802.11b/802.11g協議使用1個中心網橋和多個遠程室外網橋可以創建一個點對多點鏈路，每個通道遠程室外網橋的數量最多可以達到4個，同一個位置可以配置3到4個不重迭通道。ISP可以創建一個無線網絡為一些住宅用戶提供因特網的接入，用戶需要使用安裝有無線網卡的臺式機、筆記本計算機。提供11Mbps(802.11b)和54Mbps(802.11g)的數據速率，高于E1/T1數十倍的鏈路速率。支持IAPP漫游協議及WDSAP/網橋混合模式,可用于搭建一個蜂窩示WLAN網絡。10/100Base-T以太網接口，適用于10和100Mb/s以太網環境。高安全性的系統，使用了以下加密措施：64-bitWEP和128-bitRC4AccessControlSystemAddressPassPhrase用戶隔離VLANAPESSID隱藏ANY搜索限制802.1X標準的IP路由設置，可以將不同IP子網的LAN連接起來，使無線網絡和有線網絡容易的進行連接。支持VLAN功能，在VLAN環境下，可以對其進行管理。最高支持上網并發數為64個用戶(2)、ODU-8200系統技術指針：規格設備接口以太網接口:IEEE802.3100/10BaseT(RJ-45)無線網絡連接標準:IEEE802.11b/802.11g頻率范圍:2400-2484MHz(802.11b/802.11g)傳輸率:802.11b(11Mbps)/802.11g(54Mbps)散射型式:DSSS802.11b(2.4GHz)OFDM802.11g(2.4GHz)頻段:11channels(802.11b/802.11g)調變:BPSK/QPSK/CCK輸出功率:500mW(0.5W)/1000Mw(1W)協定安全:WEPEncryption640-bitand128-bit支援802.1x認證網絡:SNMP,TCP/IP,IPX/SPX,NetBEUI操作系統支持支援Windows98/2000/NT/XP網絡架構PTP連接(點到點)PTMP連接(點到多點)WDS(AP/網橋混何模式)LED指示燈Power,Act,SignalStrength電力需求輸入:AC100-264V,50-60Hz,21W尺寸ODU-8200(190長×190寬×90高)厘米;2.8公斤操作環境操作溫度:-20~60°C儲存溫度:-40~80°C濕度范圍:85%,無水珠凝結下AP的位置首先應根據實際的場景和需求初步進行選擇，然后在通過實地測量進行調整。定位需要遵循以下原則：AP的覆蓋區域之間無間隙，AP之間重迭區域最小。第一條原則保證所有的區域都能覆蓋到，而第二條原則是要盡可能減少所需的AP數量。AP覆蓋區域的確定需要根據接收到的信號強度來決定，做法是先設定一個信號強度閥值，例如為滿足某小區域的無線終端點播流媒體課件的需求，通過測量得知信噪比SNR＝10dB是能夠保證點播流媒體課件質量穩定的最低信號強度，所以可將10dB作為閥值，凡是信號強度不低于這個閥值的區域就確定為AP的覆蓋區域；然后進行實地測量，并記錄，產生AP的覆蓋區域圖；最后根據定位原則進行調整，直到滿意為止。由于各個區域的用戶密度不同，一般情況下用戶密度大的區域情況更復雜，所以應先在用戶密度高的區域進行AP的布置然后再布置用戶密度低的區域。在空曠的戶外可用對稱圓形和球形來劃定AP覆蓋區域；而在規則的狹長或矩形建筑物內可用線形或矩形將AP對稱分布。但是由于室內建筑結構的復雜性，例如金屬防盜門、鋁合金門窗等，應當在初步選擇AP位置后進行仔細的測量，以確保布置的AP能夠覆蓋所有區域。在AP的位置已經固定，覆蓋范圍也已經確定之后，要考慮的是頻率分局的問題。IEEE802.11b/g的工作頻率為2.4GHz。在多個頻道同時工作的情況下，為保證頻道之間的相互干擾最小，可以使用三個互相不重迭的頻道。頻率分配實質上也就類似于一個用三種顏色給地圖涂色的問題。另外，WLAN的優化設計不僅是要從覆蓋范圍的角度來考慮，還要考慮其負載能力，以保證服務質量。以布置天線為例，假設實際的需求是要保證30個學生同時點播多媒體課件，一個AP不能滿足要求，需要在同一教室里面布置兩個AP。由于用戶需求是動態變化的，AP的實際負載可能會加重或減輕，這些變換可以通過對WLAN監視得知。網絡管理員應根據實際變化對AP的數量和分布作出調整。總之，良好的WLAN設計不僅可以保證較好的服務質量，也可以減少AP的使用數量從而節約成本，其前提是事先經過充分的實地測量和評估。用戶認證管理核心技術（PPPoE、WEB、DHCP）解決方案

認證可稱AAA，包含三個方面：Authentication鑒別、Authorization授權、Accounting計費。Radius協議是用來解決AAA的，現在用得最廣，成為事實上的標準。用戶主機與網絡設備的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面會專門介紹這三種方式。網絡設備與AAAServer的通信協議：采用標準的Radius協議，為實現增強功能，可采用擴展的Radius協議，即俗稱Radius+；網絡設備與AAAServer通過Radius協議的認證的簡要過程如下：1)網絡設備向AAAServer發出AccessRequest包，其中包含用戶的賬號、密碼、端口號、埠類型等；2)AAAServer向網絡設備回送AccessResponse包，其中包含用戶的合法性和用戶的一些設置，如IP地址，屏蔽，DNSserver，上網帶寬，上網時段等；3)網絡設備不斷向AAAServer發送計費消息包，這些消息包可以反映出上網開始時間，上網結束時間，輸入輸出流量，SessionID、賬號等；三種認證方式在無線寬帶接入中，按用戶與網絡設備之間的通信方式，可將認證分為以下三種：

（1）PPPoE（包PPPoA、PPTP等）

（2）DHCP/DHCP+

（3）Web認證

1、PPPoE認證

通過PPPoE（Point-to-PointProtocoloverEthernet）協議，服務提供商可以在無線以太網上實現PPP協議的主要功能，包括采用各種靈活的方式管理用戶。(說明:PPPoE（Point-to-PointProtocoloverEthernet）協議允許通過一個連接客戶的簡單以太網橋啟動一個PPP對話。)PPPoE的建立需要兩個階段，分別是搜尋階段（Discoverystage）和點對點對話階段（PPPSessionstage）。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。在PPP協議定義了一個端對端的關系時，搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中，主機（客戶端）搜尋并發現一個網絡設備（服務器端）。在網絡拓撲中，主機能與之通信的可能有不只一個網絡設備。在搜尋階段，主機可以發現所有的網絡設備但只能選擇一個。當搜索階段順利完成，主機和網絡設備將擁有能夠建立PPPoE的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網絡設備都必須為點對點對話階段虛擬接口提供資源。PPPoE一般用于卡號用戶，卡號用戶的賬號和密碼是通過PPPoE拔號軟件輸入的，費用也從輸入的賬號上扣。PPPoE認證主要利用PPP的一些屬性，與它類似的認證方式還有PPPoA、PPTP、L2TP等。相比之下，PPPoE應用最普遍。2、DHCP認證DHCP的認證過程如下：用戶主機上電，發出DHCPRequst廣播包；該包到達網絡設備，網絡設備得到用戶的VlanID，根據VlanID查表得到用戶的認證賬號。將認證賬號送到RadiusServer認證。Radiusserver返回認證回應。用戶上internet，有流量流經網絡設備。網絡設備檢測到用戶的上網流量，向Radiusserver發計費開始的消息包。關機時，用戶主機會發出DHCPRelease包；該包達到網絡設備，網絡設備將向Radiusserver發一個終止計費的消息包，該包同時也包含了用戶的流量。計費結束。DHCP認證適合固定用戶。3、Web認證認證步驟如下：用戶機器上電啟動，系統程序根據配置，通過DHCP由ISN做DHCP-Relay，向DHCPServer要IP地址（私網或公網）；ISN為該用戶構造對應表項信息（基于端口號、IP），添加用戶ACL服務策略（讓用戶只能訪問portalserver和一些內部服務器，個別外部服務器如DNS）；Portalserver向用戶提供認證頁面。在該頁面中，用戶輸入賬號和口令，并單擊"login"按鈕。也可不輸入由賬號和口令，直接單擊"Login"按鈕；該按鈕啟動portalserver上的Java程序，該程序將用戶信息（IP地址，賬號和口令）送給網絡中心設備ISN；ISN8850利用IP地址將收到用戶的信息，對用戶的合法性進行檢查。便于以后的合法性檢查。如果用輸入了賬號，則認為是卡號用戶，使用用戶輸入的賬號和口令到Radiusserver對用戶進行認證。如果用戶未輸入賬號，則認為用戶是固定用戶，網絡設備利用VlanID（或PVCID）查用戶表得到用戶的賬號和口令。將賬號送到Radiusserver進行認證；RadiusServer返回認證結果給網絡設備；認證通過后，修改該用戶的ACL，用戶可以訪問外部因特網或特定的網絡服務。用戶離開網絡前，連接到portalserver上，單擊"斷開網絡"按鈕。系統停止計費，刪除用記的ACL和轉發信息，限制用戶不能訪問外部網絡。在以上過程中，要注意檢測用戶非正常離開網絡的情況，如用戶主機死機，網絡斷掉，直接關機等。4.6.5具體解決方案根據以上客觀的分析我們做出以下必須在規劃無線WLAN網時應解決的問題:有效的覆蓋區域考慮移動性需要達到用戶需要的連接速度要求防止干擾安全性議題網絡優化用戶計費考慮移動性需要/有效的覆蓋區域規劃WLAN的關鍵事規劃接入點，需要有足夠的蜂窩重迭覆蓋以供漫游，并需要足夠的寬帶以供應用。如果無線接入點不足，最后可能導致吞吐量出現問題，同時也會使覆蓋區域零星散落，對用戶的漫游和工作地點造成一定的限制.有線、無線間的無縫連接，讓帶有WLAN的PC/PDA輕松移動上網、視頻信號在PC與PC間順暢傳輸，這種可能性已經成為現實的應用。在未來10年內，IBMPervasiveComputing部門的戰略總監LatinaConnelly表示，無線網絡將集成到多種網絡、設備和服務中去，到時，如果你要設置一個Wi-Fi網，就不再需要購買額外的Wi-Fi兼容硬件了。未來的網絡將是普通適用和無線的，電視與掌上計算機(PDA)的區別可能只是屏幕大小不同了。解決方案:建造WLAN無縫接入蜂窩網根據以上分析采用無線城科技的室外型無線AP/網橋/天線一體型ODU-8200PG來解決這樣的問題及需求,其主要利用該機型具備了WDS(WDS蜂窩網架構如圖一所示),及AP漫游技術并運用其全球最先進的54Mbps802.11gDFDM功率放大器使該產品能提供業界覆蓋最廣穿透力最強的室外WLAN覆蓋AP，并提供AP隱藏及用戶隔離技術及無線VLAN畫分等先進安全性功能；可提供解決移動計算機的漫游及不固定地點上網，將開辟一個全新的寬帶網運用的領域，這得益于Wi-Fi與新型WDS蜂窩資料網的融合。Wi-Fi網間自如切換，這可用戶節省了大量成本。且速度更快的寬帶網接入將Wi-Fi的無線技術與運營商相結合，將催生出一個很大的市場，不少運營商意識到了這一點，即將有更多的服務推出。目前一種多模手機(PDA/GSM/GPRS/WLAN或PDA/CDMA/GPRS/WLAN)如我700型(PDA/GSM/WLAN)智能手機及WP-5200WiFi手機，它可以在Wi-FiWLAN蜂窩網、或傳統數據上進行通話。2.4GHz網橋802.11b54Mbps2.4GHz網橋802.11b54Mbps2.4GHz網橋802.11b54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps圖6WLAN無縫接入蜂窩網示意圖此外，集成Wi-Fi功能的電話，在一些特殊領域的應用也有了新進展。比如，在的急救中心，帶有Wi-Fi功能的手機/座機(圖二)、PDA(圖三)等與的信息系統進行緊密的集成，這樣護士的活動空間更大了，但不至于當輸液管里的生理鹽水不多時找不到她。未來，將應用更多的移動終端，以最大化地提高工作效率。Wi-Fi將成為越來越多設備的標準功能，比如電冰箱、游戲機、打印機等。由于移動網絡可以找到用戶的位置，這樣，在一個偌大的辦公室或其它環境，移動人員就可以在最近的打印機打印數據了。圖7WP-5200WiFi手機/IAD圖8700型PDA/GSM/WLAN達到用戶需要的連接速度要求無線城科技所生產的ODU-8200PG同時支持802.11b/802.11g兩種傳輸覆蓋方式,提供2.4G頻段的802.11b/g橋接功能最高可提供54M的傳輸速率及5公里的傳輸距離(網橋功能可支持點對點,及點對多點方式進行橋接;并支持WDS網橋/AP混合模式以供組建成WLAN蜂窩組網)最高連結速率達54M。防止干擾無線城科技所生產的ODU-8200PG同時支持802.11b/802.11g兩種傳輸覆蓋方式，2.4G頻段的802.11b/g其可提供3個不重迭頻段，并提供WDS功能可讓最多五個AP同時在一個地方用同一頻段來進行蜂窩狀覆蓋使得頻段資源更有效利用,并在一些需要長距離跨區傳輸配上ODU-9500室外5.8G頻段的802.11a網橋來進尋行傳輸(ODU-9500可提供12個不重迭頻段,以供解決日益嚴重的干擾問題)。安全性保證作為一家研究無線網絡產品及應用技術的專業性公司，針對現有的無線網絡安全性能進行了全面周到的分析和研究，在提供給您全面、先進的無線產品和配套方案的同時，還為您制定了一系列的無線安全技術解決方案，從傳統的WEP加密到新一代的IEEE802.11i，從MAC地址限制到IEEE802.1x安全認證技術，WiFi-City全面先進的安全技術能夠針對不同的應用環境提出相應的方案，無論是大型企業或者是運營商，都能最大程度上滿足用戶不同級別的安全需求。在結合了各種安全措施和認證手段后的無線網絡，具有強大的安全性能，能夠有效地防止攻擊，保護網絡數據的傳輸安全，各種先進的加密措施保障有效數據不被非法盜取。WiFi-City先進的AP隱藏技術及無線用戶隔離VLAN無線網絡安全技術使用戶不必再為無線的安全問題而擔憂，WiFi-City的全套安全方案使您可以毫無顧慮地在無線網絡世界暢游。無線網絡安全防范措施-無線網絡安全技術應用方案WiFi-City針對無線網絡的各個環節制定出了一系列安全方案，有效防止非法終端接入、虛假的AP、中途數據截取等安全問題，同時靈活地結合了WEP、VPN、IEEE802.1x等多種網絡安全技術手段，進一步加強了無線網絡的安全性能。完備的技術解決方案，為您構建安全的無線網絡提供最大的便利。安全防范點1：未經授權用戶的接入對應措施：使用各種先