建设局大楼局域网络优化方案

建设局大楼局域网络优化方案

2013年12月

一、网络优化拓扑图

1、整个组网采用全千兆网络规划。

2、各楼层房间采用五类网线，统一布放到各楼层弱电井内的网络机柜中，连接到千兆网络交换机。如下图：

二、组网说明

通过以上方式组网，整个网络结构清晰、层级少、基于路由器的管理功能及汇聚交换机的vlan隔离等功能实现用户流量的监控和楼

层间隔离，保障网络的稳定性、可靠性。

1).核心层采用全千兆端口管理型交换机，接入到现有路由器上，

核心交换机可实现区域性用户的隔离，避免广播风暴、内网

病毒、ARP攻击等对整个网络的影响。

2).各楼层采用千兆到各房间信息点，千兆到核心层的方式进行

部署，通过管理型交换机，实现网络拓扑的扁平化，保障上

网的稳定和内网流量的可控性。

通过对贵单位原有网络及布线情况的了解，建议采用每个房间布放2根网络线的方式，进行全新组网。

三、组网设备说明

1、企业级汇聚交换机S5120-20P-SI

灵活的千兆接入和集群管理

H3C S5120-20P-SI全千兆以太网交换机提供灵活的16个

10/100/1000M自适应电口接入；并且支持非复用的SFP插槽4个，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。H3C S5120-20P-SI硬件支持最大

104Gbps交换容量，保证所有端口二层线速交换。

H3C S5120-20P-SI交换机采用专利技术允许交换机利用专用互联电缆实现多达32台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。

完备的端口策略

H3C S5120-20P-SI交换机提供802.1X认证方式对接入的用户进行认证，在用户接入网络时完成必要的身份认证，保证接入用户的合法性，此外还支持MAC+PORT绑定，IP+PORT绑定，IP+MAC+PORT绑定，端口隔离等端口安全特性，使得针对用户部署业务控制十分灵活。

简单易用的管理和维护

H3C S5120-20P-SI交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMP v1/v2/v3，可支持Open View等通用网管平台，以及iMC 智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。

此外H3C S5120-20P-SI交换机支持VCT（Virtual Cable Test）电缆检测功能，可以实现线缆故障显示功能，便于快速定位网络故障点。

2、企业级交换机S5024P-EI

全线速的二层交换

S5024P-EI交换机提供全线速的二层千兆交换：48Gbps的总线带宽为交换机所有的端口提供二层千兆线速交换能力，保证所有端口无阻塞的进行报文转发。

优异的安全性能

交换机支持802.1x认证，支持512个802.1Q VLAN，支持端口和MAC 地址绑定，支持广播风暴抑制，还可以对属于同一个802.1Q VLAN的端口之间设置隔离或互通。

强大的链路扩展及备份能力

提供LACP、STP/RSTP功能，可有效实现链路环路检测、扩展及备份。提供两个千兆光纤端口，允许交换机通过光纤上联网络。

丰富的管理方式

可以通过Web可视化的界面，对交换机的各种功能进行简单方便的操作，同时提供Console口和Telnet的命令行配置，还可以通过SNMP 网管工具对设备进行集中网管，另外提供管理用户的集中认证功能，便于设备及用户管理维护。

3、企业级双核宽带路由器ER5200

高处理性能

ER5200采用64位双核网络处理器，主频高达500MHz，处理能力相当于1GHz的专业网络处理器，同时配合DDRII高速RAM进行高速转发，可以达到双WAN口200M的线速转发。在实际应用中，典型的带机量为300台。

双WAN口负载均衡

负载均衡可以让企业网用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。华三通信结合国内网络用户的使用习惯和特点，有针对性地推出了智能负载均衡和手动负载均衡两种均衡模式，满足了双线路接入用户对带宽的灵活应用需求。智能负载均衡根据用户实际带宽比分配实际的网络流量；手动负载均衡根据导入的路由表进行转发；支持策略路由表的导入/导出功能，只需导入合适的路由表即可实现“电信走电信，联通走联通”的功能。

IPSec VPN

ER5200支持标准的IPSec VPN，用户可以通过简单的WEB配置实现点对点之间的安全的VPN连接，最高支持168位的3DES加密；同时H3C 结合国内用户的组网特点在ER5200上同时支持通过域名方式配置IPSec VPN连接和NAT-T的NAT穿越功能。

多局域网功能（VLAN）

ER5200支持多局域网功能，企业可以方便的划分局域网为多个网

段，降低广播域和ARP病毒的影响，针对每个局域网可以配置单独的DHCP Server和防火墙规则，ER5200最多可同时支持16个内部局域网。

ARP病毒双重防护

ER5200通过IP<->MAC地址绑定功能，固定了网关的ARP列表，可以有效防止ARP欺骗引起的内网通讯中断；此外ER5200毫秒级的免费ARP 的定时发送机制，可以有效地避免局域网PC中毒后引发的ARP攻击。

网络流量限速

BT，迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务，ER5200通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制单台PC的上/下行流量和建立的NAT表项的个数，限制了P2P软件对网络带宽的过度占用。

业务控制（QQ/MSN/金融软件）

QQ/MSN等即时通讯软件的大量普及，造成员工办公效率低下，无法集中精力。ER5200独有的应用控制功能，可以方便的限制内网用户对QQ/MSN等应用的使用，ER5200同时支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。此外，用户可以通过对特权用户组的设置保证关键用户的使用不受影响。