通州财政设计方案

通州财政WLAN无线网络覆盖设计方案通州财政局WLAN网络覆盖设计方案联通通州分公司2014年9月通州财政WLAN无线网络覆盖设计方案目录第一章.概述...................................................................................11.概述............................................................................................1第二章.项目需求分析...................................................................31.总体要求.............................................................................32.网络覆盖的范围.................................................................33.技术要求.............................................................................3第三章.整体设计...........................................................................51.设计原则.............................................................................52.整体区域设计.....................................................................5第四章.方案优势.........................................................................11第五章.产品介绍.........................................................................135.1智能防火墙AF1210........................................................135.2上网行为管理AC...........................................................155.3WX5500系列多业务无线控制器....................................175.4S5500-EI系列以太网交换机..........................................185.5WA2610无线AP..............................................................19通州财政WLAN无线网络覆盖设计方案1第一章.概述1.概述北京通州财政局是贯彻落实国家和本市关于财政、财务、会计管理方面的法律、法规、规章和政策；编制并组织实施本区中长期财政计划；参与拟订本区重大经济决策和措施、办法，研究提出运用财税政策对经济运行实施调控和综合平衡本区财力的建议；执行市与区县、国家与企业的分配政策；拟订完善鼓励公益事业发展的财税相关措施、办法的政府机构，财政局办公大楼主要有办公楼主楼9层，备用楼层4层，包含办公区域、食堂、学习会议室、健身房、地下车库。无线网络是财政单位的一项基础设施，无线网络是有线网络的有效补充和扩展，采用高速以太技术和802.11a/b/g/n无线网络技术实现财政办公区域网络的全面覆盖，即实现办公区域内在任何地方都可以进行网上办公、网上学习、网上科研及网上服务的一种普通计算的办公网络文化，逐步实现办公网络信息化、现代化的目标。建设目标⑴覆盖办公楼所有空间，包括办公区域、食堂、学习会议室、健身房、地下车库等等，为办公和会议、健身生活提供切实可用的无线网络环境；⑵同已有有线网络骨干无缝结合，成为原有办公网的有力补充，通州财政WLAN无线网络覆盖设计方案2可以通畅、安全地访问财政内网，外部网络；⑶利用各种安全技术，保证无线网及办公网络的安全；通州财政WLAN无线网络覆盖设计方案3第二章.项目需求分析1.总体要求目前办公大楼存在固定网络，为了更高效的办公，实现现代化，信息化，需要建立一张无线网络，建立无线网络就需要升级带宽，还有原来网络的一些小问题需要紧急处理，就是在办公网中，员工私自链接小路由器、小交换机，不但影响网络的稳定，而且还不安全。由于建造无线网络，需要加大带宽，随之相应原来的带有路由功能的光纤猫就不能满足需求，因此我们需要建造无线网络，使用技术手段解决光纤猫性能和办公网出现的问题。对于员工上网办公等需要相对安全的网络环境，我们需要审计员工上网行为，上网的记录，发现问题立刻解决，这也是国家对相关部门硬性要求。2.网络覆盖的范围本次建设覆盖范围包括：地下停车场、办公楼、食堂、备办公楼的员工会议室，健身房等位置。3.技术要求1.运用技术手段保证无线网络的稳定、安全、有效的运行。2.运用技术手段将原来的光纤带宽在防火墙上做分流，一部分给有线网络，一部分给无线网络使用。3.使用硬件应用防火墙保证内网，网络出口数据的转发，相对安全内部网络环境。通州财政WLAN无线网络覆盖设计方案44.使用上网行为管理管理内部网络的迅雷下载、QQ等不应该出现的流量，包括私接的小路由，小交换的行为导致网络不稳定都可做到有效控制。5.对网络设备要求能够远程管理，方便运维人员的管理和排障，在网络出现问题时，有效解决网络故障，恢复网络使用。通州财政WLAN无线网络覆盖设计方案5第三章.整体设计1.设计原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证原则。2.整体区域设计本次设计将原有网络从一个大二层网络重新规划为相对稳定的三层架构，各区域的设备和主要功能如下：2.1.核心互联区增加性能强大H3C5500交换机为核心交换机，主要负责与其他各个区域的互联和数据的三层转发，为整个网络提供高速的数据交换，同时保留原有网络架构不变。2.2.服务器区增加防火墙，防止外部对网络攻击，防火墙把整个网络划分为三个区域，一部份为外部网络不可信赖区域，一部分为内部网络可信赖区域，另一部份为DMZ区域，保证服务器的安全稳定运行。2.3.内部网络对于原来单位内部网络不安全，网络出口设备性能不佳，芯片处理速度慢，我们采用深信服的防火墙来做安全设备。如今网络通州财政WLAN无线网络覆盖设计方案6在改变网络已经深入日常生活1、大量的新应用建立在HTTP/HTTPS标准协议之上2、许多威胁依附在应用之中传播肆虐3、根据报告：75%的攻击来自应用层4、攻击的多样化、黑客平民化传统的防火墙基于包头信息不能分辨应用及内容也不能区分用户，更是不能分析记录用户的行为。因此我们采用深信服新一代防火墙设备，它可以做到基于用户和应用做安全控制，要求对用户进行识别和对应用进行识别。NGAF具备全面的用户认证系统和海量的应用识别特征库。对于单位的需求完全满足。2.4.对于单位员工行为的设计目前单位网络中，员工私自接无线路由，交换等行为一方面影响网络稳定的运行，另一方面单位不允许使用这些小路由，屡劝不该，加之员工互联网风险意识不强，这样做对于内部网络及其不安全，不怀好意的人可以通过这些小路由，交换链接到网络内部，攻击网络，窃取信息，然而就是这些小路由小交换安全做的不够好，无法有效的防御。网络的发展与普及正在改变人们的生产生活方式，互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型。互联网是一把”双刃剑”，缺乏管理的互联网已经带来诸多问题：1、带宽滥用，上网速度慢（P2P流量超过一半，访问网页，ERP等无法顺利进行，带宽无法有效的分配和利用）通州财政WLAN无线网络覆盖设计方案72、工作效率下降（上班时间网络聊天、炒股、网游、看新闻等行为泛滥）3、机密信息被泄露，信息安全遭威胁（上网授权缺失，用户肆意上网，为通过网络泄密提供了通道，泄密后无据可查，责任难追究)4、违法网络行为为企业带来法律风险（肆意浏览非法、反动网站，若无具体日志记录，无法举证追踪）5、安全威胁频发、上网环境恶化（互联网威胁越来越多；隐蔽和病毒感染技术越来越先进）因此，我们采用业内比较权威的先进的深信服厂家的上网行为管理设备杜绝这种情况产生。对于上网行为管理产品，它可以做到一下几个方面：1、应用授权其中包括：网站访问、言论发布、文件传输、邮收发、IM/P2P等应用、控制与提醒；2、带宽管理其中包括：多线路流控、用户/组流控、应用流量、文件流控；3、行为记录其中包括：网站访问、外发言论、SSL加密应用、邮件、文件收发、IM聊天等行为、免审计Key4、报表分析其中包括：独立数据中心、统计/对比/趋势、风险智能报表、数据挖掘与分析、内容快速检索、日志权限Key5、安全防护其中包括：终端安全检查、网络准入控制、安全桌面、过滤脚本、插件、危险流量封堵、查杀木马、病毒、无线热点通州财政WLAN无线网络覆盖设计方案8发现；所以上网行为管理设备完全满足我们的需求，而且对于政府部门这类设备是国家规定必须使用的设备。对于原有网络架构不变，增加无线网络覆盖，对用户的上网行为进行审计，可以做到针对每个用户可以做到控制，完全禁止员工私自接入小路由，小交换，记录员工上网记录，以及发送内容等。基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对办公网络进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率。由于本次项目所需室内AP数量较多，所以在本次无线网络解决方案采用高端无线控制器H3CEWP-WX3024E-POEP放在网络核心，实现对于无线网络中所有的室内AP的统一管理。H3CEWP-WX3024E-POEP高端无线控制器最大可管理128个AP，完全能够管理本次项目所需的室内AP；室内型AP采用WA2620-E双频AP，WA2620-E支持六个射频模块，可以同时工作在2.4GHz和5GHz，在设备数量不变的情况下，把网络的介入容量提高几倍，以满足WLAN用户快速增长的需求；PoE交换机采用LS5120-28PPoE千兆交换机，H3CS5120系列PoE交换机最大提供AC输入：523WDC输入：832W供电功率，可以满足24口同时接AP的供电需求；管理方面，H3C可以部署iMC智能管理中心，通过在iMC智能管理中心上增加WSM无线业务管理组件的方式实现对无线控制器、室内AP、室外AP设备的统一管理。通州财政WLAN无线网络覆盖设计方案9简易逻辑组网图如下图所示：2.5.无线覆盖汇总覆盖目标描述数量停车场四个角落各1个，中间2个6一层办公楼后厨3个，食堂大厅5个，办公楼走廊4个12二层办公楼备楼会议室5个，走廊4个，主楼走廊4个13三层办公楼健身房2个，走廊7个，302会议室4个11四层办公楼办公楼主楼走廊4个4五层办公楼办公楼主楼走廊5个5通州财政WLAN无线网络覆盖设计方案10六层办公楼办公楼主楼走廊5个5七层办公楼办公楼主楼走廊4个4八层办公楼办公楼主楼走廊4个4九层办公楼办公楼主楼走廊4个4具体点位图，请参照网络信息图纸。通州财政WLAN无线网络覆盖设计方案11第四章.方案优势4.1全面完整无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入