1.办公网络建设背景

某某的新办公点需建立一套包含有线无线一体化业网络。网络承载某某局第一工程有限公司所有IT基础网络接入设施。对一个企业的重要性不言而喻。而且随着用户对于提高生产率、工作效率提升的重视，传统的有线组网架构在承担企业新应用上面临着巨大的挑战。

2.某某局第一工程有限公司办公网络建设分析

1.业务分析

有线网络及电话线路施工布线到工位。

无线全覆盖，无缝漫游，实现移动办公。

提供稳定安全互联网接入，搭建网络机房。

统一运维，所有设备统一管理，保证有线无线网络稳定、持续、安全。

2 .网络安全需求

有线网络高速稳定接入，建设安全的无线网络。

在出口带宽有线的情况下，流量精细化管控，优先保障办公流量。

有线无线统一权限管控。分级分权设置网络权限，保障内网安全。安视交换机边界安全，实现有线终端的接入安全，禁止未授权终端接入有线网络。

上网行为管理，如员工上班期间的行为管理，禁止使用降低工作效率的应用；访客可以正常访问，并且，员工不能接入访客无线网络。

对所有的上网行为进行审计，监控上网行为。

数据安全，数据空口加密保证无线传输数据安全；Wi-Fi安全防钓鱼，有效防范黑客钓鱼Wi-Fi上网风险，有效保障用户上网接入安全和业务数据安全。

在出口带宽有线的情况下，流量精细化管控，优先保障办公流量。用户认证，内部员工和访客使用不同的安全认证方式，内部员工使用账号密码接入无线网络，并且对账号和终端进行绑定，实现实名认证上网；访客使用二维码审核方式，短信验证等认证方式便捷接入，实现访客上网可溯源

3.网络设计原则

在网络建设项目中，我们应该遵循以下设计原则：

 合理性、整体性原则

系统建设功能必须充分满足网络需求分析，这是首先前提，同时充分考虑已有资源的合理利用，避免出现不必要的设备资源浪费。

 超前性与实用性结合

网络技术发展迅猛，如果设备缺乏先进性，设备可能很快落后甚至被淘汰，但也不能过分超前，以避免造成投资的浪费。为此，在网络建设中，需注意超前性与实用性结合，确保投资有效，使之能真正发挥出相应的作用。

 安全性与可靠性

在企业网络建设中，安全性是整个网络建设中的重中之重，不仅要考虑传统的出口边界安全。也要充要考虑当前的发展形势，大部分安全事故都是内网终端缺乏有效管控导致，网络系统设计需要通过各种技术确保系统应用的安全性。同时，要求系统本身具有高度的可靠性，这样才能保证网络客户的应用。

可管理性

网络管理是一个长期的投资，在网络建设中对网络可管理是一项重要的应用原则，通过选择易操作、设备可视化、界面友好的管理系统，减少日常维护费用。

可扩展性

企业网络不但需要能够满足当前需要，随着后续企业规模的扩大、技术的发展，未来网络需要承载更多的业务及提供更多的优质服务。所以，网络的可扩展性是网络建设中必须提前规划的重点。

       3. 办公网络解决方案整体设计

       3.1 办公网络分层设计

3.1.1核心层规划

核心层交换机的主要目的在于通过高速转发通信，提供快速、可靠的骨干传输结构，因此核心层交换机应该具有如下特性：可靠性，高效性，冗余性，容错性，可管理性，适应性，低延时性等。

核心层交换机部署在中心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。

3.1.2接入层规划

接入层为用户提供了在本地网段访问应用系统的能力，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽。在大中型网络里接入层还应当适当负责一些用户管理功能(如地址认证、用户认证、计费管理等)，以及用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。因此接入层交换机往往具有高端口密度和变动大等特性，通常建议使用较为灵活的设备。

接入层交换机通常是部署在楼层弱电间的机柜里，负责接入用户终端的直接高速接入，这里通常部署一些弱三层层设备即可，除了能够提供丰富的二层交换机的功能之外，又能提供简单的三层功能满足业务安全的需要（例如QOS/ACL等），降低网络设备部署成本。考虑到企业办公办公网络高速带宽的需求，接入层交换机需要提供灵活的GE上联接口，能够支持更多的终端接入网络，同时上联到汇聚交换机。

接入层是直接接入用户的终端，提供各种接入方式，这里通常部署一些弱三层层设备即可，除了能够提供丰富的二层交换机的功能之外，又能提供简单的三层功能满足业务安全的需要（例如QOS/ACL等），降低网络设备部署成本。接入层交换机一般需要提供高密度的GE接口，能够支持更多的终端接入有线网络。

3.1.3 互联网边界

网络边界防御分为两个部分：网络出口边界防御、网络内部边界防御。企业办公出口连接Internet，地域分支接入和应用发布，外部网路尤其Internet网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在出口部署高性能防火墙设备，可以很好的缓解风险的传播，阻挡来自Internet/外部网络攻击行为的发生。企业办公外网出口位置部署的独立防火墙设备，需要满足高性能、高可靠、高安全的要求，是网络的第一道安全屏障。

     4.1 统一运维设计

     4.1.1网络运维管理设计

    运维与企业IT息息相关，在企业信息化网络建设中，通过成熟可靠的第三方运维工具，可以大幅度提升运维效率，减轻IT运维工作量，帮助企业IT工作事半功倍。随着客户网络上部署的业务应用越来越多，这给日常运维网络的IT工作人员而言，不仅维护工作繁琐，而且工作量也大。运维工作量包括监控性能、查看资源、统一配置、故障告警。

    通过NAC控制器可以实现有线网、无线网，在统一平台上进行运维，在保障运维效率的同时，降低企业用户的前期投入成本。

     4.1.2 可视化管控

    针对企业办公网络场景，运维管理系统提供精准到设备界面可视化管控，无论设备是部署在公网、私网，只需网络可达都能够通过NAC控制器统一纳管。同时设备的所有配置（ACL、IP、Qos、DHCP、虚拟化等配置）操作均可在Web界面可视化完成。

4.1.3 网络质量分析

网络使用情况，是每个网络管理员日常都需要查看的。例如：设备在线情况、设备芯片资源使用情况、网络质量，让管理员可视化时刻看到网络运行情况。

         4.2 无线运维管理设计

         建设后的全院无线网络应具备良好的监控管理功能，实现统一的网络管理。力求降低复杂程度，提升网络管理的效率。

         4.2.1.高度集中管理设计

 AP安装前无需对设备进行任何配置，部署完成后由网络控制器统一下发配置，极大的减少实施和维护的工作量及成本。设备后期维护中，通过统一管理平台内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。

 通过对部署在覆盖目标的AP进行分组管理，比如按照建筑物划分管理组，方便IT管理员管理运维。同时，IT管理员可在控制器上可统一查看所有AP的运行情况（如AP接入用户、AP带宽使用情况、设备利用率、AP在线情况等），当AP设备出现异常或故障时，会出现告警事件，帮助IT管理员及时排除问题。同时支持交换机和物联网的统一管理，真正实现高度集中管理。

4.2.2.分权分级管理设计

为方便后期网络专人管理，支持配置多个管理员角色，可灵活的、精细的控制每个管理员的管理权限，方便网络的维护管理。区分超级管理员和分权管理员，不同的普通管理员可以是不同的管理权限，可保障网络故障的快速锁定和高效运维。

4.2.3. AP零配置上线

所有无线AP的配置统一在网络控制器上配置，部署简单，配置简易，实现用户零学习成本。配置支持自动以及手工备份和还原，双重保证无线AP的24小时不间断运行。

       4.2.4.可视化热点地图

由于无线设备大量部署在分散楼层，运维人员将面临着复杂的设备管理问题。因此，需要强大的可视化的热点地图，通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式，分层管理设备，以掌握设备的实时运行状态。

热点图还提供人流密度分析、用户位置的搜索快速定位、安全事件等机制，帮助网管更好地管理无线网络，服务于企业办公员工。