华为交换机及防火墙-H3C无线AP-鸿远腾达华为交换机总代理商

     計算機網絡系統是智能建筑弱電系統中必不可少的部分，杭州華三通信技術有限公司（以下簡稱H3C）是國內主要的IP網絡產品和解決方案供應商之一，有豐富的IP網絡產品和方案供弱電設計單位、弱電集成商在設計和施工時選擇。下面我們以智能樓宇為例介紹幾個H3C公司的IP網絡解決方案。

一、低層樓宇IP網絡方案

低層樓宇整體的數據信息點數較少，而且各樓層距離底層機房的距離較近，因此一般核心設備不需要采用很高檔次設備，另外對核心交換機光纖接口的數量要求較少。

設備選型：

1、 每樓層弱電間接入交換機建議選擇H3C S3100-EI系列的智能安全交換機。

◆ 可以根據信息點數量選擇8口、16口、24口、48口，如果數量更多，可以堆疊擴展端口數。

◆ 從弱電間接入交換機到核心交換機采用何種鏈路取決于兩者間距離，如果距離小于100米，可采用超五類線；如果距離超過100米，可采用多模光纖傳輸。

◆ 上行鏈路由于匯集了所有的接入流量，一般采用千兆帶寬，S3100-EI均提供足夠的GE電口和光模塊供選擇。

◆ 如果有無線AP、IP電話機等設備，為便于供電，可以選擇S3100-EI的POE款型，采用POE方式給這些設備供電。

2、 位于底層的機房部署核心交換機，由于低層樓宇需要的光纖匯聚端口較少，采用H3C S5500-28F-EI千兆光纖匯聚交換機即可滿足要求。如果對核心設備的可靠性要求很高，采用H3C S7502E機箱式交換機可滿足要求。

3、 配置一套網絡管理系統H3C iMC，實現對所有網絡設備的綜合管理，包括設備管理、性能管理、告警管理、配置管理、拓撲管理。

4、 大樓到internet連接可以采用H3C公司的路由器或防火墻，有豐富的產品類型可供選擇，不再贅述。

二、高層樓宇IP網絡方案

不同行業的高層樓宇建設模式差別非常大：選擇的設備差異大、帶寬差異大、組網方案差異大、網絡結構差異大，投資差異大，下面簡單地探討一些基本規律。

接入層設備選型考慮：

很多高層樓宇都是行業內或某個區域內具有代表性的建筑，建設規格較高，對信息化要求也較高，需要考慮到技術先進性。當前網絡的一個重要的發展趨勢是千兆接入的普及，因此很多高層樓宇的接入層采用了千兆接入交換機。

H3C擁有業內最齊全的千兆交換機產品線，S5120-EI/S5120-SI都是性價比很高的千兆二層交換機。上行鏈路可以采用萬兆光纖，這樣可以使每個接入用戶可以獲得足夠高的帶寬。也可以先使用多個千兆捆綁方式上行，以后需要時采用萬兆鏈路。

對于仍然希望采用百兆接入的客戶，H3C有S3100系列/S3600系列豐富款型的百兆接入交換機供選擇。采用百兆接入交換機，可以參考低層樓宇部分的選型考慮。

核心設備的考慮：

核心設備故障會影響到整個大樓的網絡使用，因此必須具備足夠高的可靠性和穩定性，此外還必須具備很強的擴展性、多業務支持能力、安全防護能力、大容量接入能力等。

H3C S10500/S9500E/S7500E等高端交換機，是國內外主流的核心交換機之一，擁有數十項可靠性技術保障，并且在國內網上有大量的應用，成熟穩定性已經經歷了充分考驗。

為了實現大樓不同部門網絡之間的安全隔離，以及防范來自外網對大樓內部網的各種網絡安全威脅，需要核心交換機支持集成各種安全業務板卡，以方便地實現安全防范技術的部署。H3C S10500/S9500E/S7500E交換機可支持FW/IPS/NTA等多種安全業務板卡，實現高集成度低成本的安全部署。

網絡管理系統建設的考慮：

H3C iMC智能管理中心是一個基礎網管平臺，通過增加不同的管理組件，可以實現用戶、業務、資源三者之間的融合管理。也就是幫你看清楚網絡上有什么資源？哪些業務在用這些資源？哪些用戶在用這些資源？哪些用戶在使用哪些業務？

三、有線無線一體化IP網絡方案

雖然在樓宇規劃建設時，已經鋪設了光纖或者是銅纜作為大樓的骨干網絡。但有線網絡在某些場合還是要受到布線的限制：如布線、改線工程量大；線路容易損壞；網絡中的節點不可移動等。特別是對于家庭用戶，網絡節點位置相對不固定，而且，網絡鋪設盡量要避免開槽等大工作量施工。

通過上面的比較，可以看出無線網絡相對有線網絡具有很多獨特的優點。根據目前在智能建筑中的網絡建設實踐來看，兩種網絡“同時部署，相互補充”已經成為一種趨勢。網絡的骨干、固定信息點更多采用有線網絡，而不易布線的信息點、移動信息點更多采用無線網絡。

而當前一個突出問題是：多數情況下，無線網作為獨立的網絡與有線網絡分開管理。這就導致了無線網需要單獨的管理系統和安全策略，使得無線網的管理成本居高不下。

H3C公司在智能建筑倡導“有線無線一體化網絡解決方案”，主要特點是“設備一體化、管理一體化、安全一體化、業務一體化”，下面我們結合一些實際的工程介紹這幾個特點：

1、設備一體化

無線網絡的設備主要有無線控制器（AC）、無線接入點（AP）。所謂的“設備一體化”是指有線設備和無線設備的融合，主要體現在無線控制器和有線網絡設備的融合。

H3C公司有“一高一低”兩種融合方式：“一高”是指高端無線控制器和高端交換機的融合，高端無線控制器直接做成交換機板卡，插在高端交換機的槽位中使用，H3C公司的S7500E和S9500高端交換機都支持無線控制器插卡。

H3C的“7500E 系列交換機 + 無線控制器模塊 + SecBlade防火墻”的無縫融合

無線控制器和高端交換機融合有什么好處呢？

首先是降低了成本，不再需要為無線控制器提供機殼、電源、風扇等

其次無線控制器和交換機成為一臺設備，管理起來更方便

不要在交換機和無線控制器之間連線，直接利用背板連接，避免單點故障

擴展能力更強，高端交換機可以插更多的無線控制器插卡

占用空間更少，消耗的電能更少

“一低”是指較小容量的有線無線一體化交換機WX3024，集成了：弱三層功能、24個千兆電口/4個combo口/萬兆插槽、POE+供電、無線控制器、DHCP server、Radius server等豐富功能。真正實現了智能建筑中的有線網絡和無線網絡的一體化，簡化了建設復雜度，降低了能耗，實現綠色節能的目標。

2、管理一體化

網絡管理存在一個現狀：使用誰家的設備就是用誰家的網管進行管理，這有時會帶來麻煩。假如在一個智能建筑中使用了A廠商的無線網絡，B廠商的有線網絡，我們就得使用A廠商的網管、B廠商的網管，導致無法顯示一張共同的網絡拓撲。

H3C公司作為同時提供有線網絡和無線網絡的廠商，在對有線網絡和無線網絡的管理上占據優勢。H3C公司提供用于對所有IT設備進行統一管理的智能管理平臺——iMC智能管理中心，用一套iMC能對有線網絡和無線網絡統一管理。

能實現一體化管理的不僅包括設備管理、拓撲管理、告警管理、性能管理、配置管理這些基本功能，iMC還能提供更多的管理功能，比如：網絡流量分析、用戶帳號管理等。這些都共用一套iMC系統，無需為有線部分、無線部分各提供一套。

3、安全一體化

首先我們分析一下，對于智能建筑有線無線一體化的網絡，需要有哪些安全防護措施？

對智能建筑網絡的攻擊通常來自外部和內部。來自外部的攻擊采用網絡邊界安全解決方案進行防范，在網絡的出口采用防火墻、入侵抵御系統、防毒墻、防垃圾郵件等產品來進行防范。來自內部的安全問題采用內網安全控制解決方案，這包括不同網絡區域之間的安全隔離、重要安全區域的高等級安全保護、端點準入控制等等。這里面挑戰比較大的就是能否對有線網絡、無線網絡實施一致策略的端點準入控制。

首先對端點準入控制進行簡單介紹：俗話常說“家賊難防”，網絡安全也是如此道理，目前70%的網絡安全都是從內部引發的，因此業界越來越重視內網的安全控制。智能建筑內網的安全問題經常由某臺終端造成的，比如：該終端使用非法軟件形成對內部的網絡攻擊、或者沒有及時升級病毒庫導致上網中病毒、或者操作系統補丁未更新而在上網是被黑客入侵而成為傀儡機器。。。如何避免這樣的問題出現呢？H3C推出了“EAD（Endpoint Admission Defense）端點準入防御”解決方案。

內網的任何一臺PC機要進入內部網絡，都是有條件的：沒有安裝非法軟件、病毒庫是最新的、操作系統補丁庫是最新的、PC機是內部員工使用的。是如何實現的呢？每臺PC上都安裝有“H3C iNODE”一個小軟件，它和“EAD安全策略服務器”之間保持通信，它會在你試圖連接到局域網時對你的PC機進行檢查，如果發現你沒有達到要求，就拒絕接入網絡！

目前H3C的EAD對有線接入、無線接入、遠程VPN接入、廣域網接入、網關接入等不同方式都能統一部署。采用的認證協議上，有線與無線EAD是相同的，都是采用的802.1X或Portal協議。不同點：802.1X的EAP認證協議不同，有線中一般采用的是EAP-CHAP，無線中采用的是EAP-PEAP，EAP-TLS。

通過“安全一體化”，無論用戶是通過有線、無線、VPN不同方式進入網絡，安全策略都是一致的，這樣的網絡是沒有安全漏洞的，能為智能建筑提供真正安全的有線無線一體化網絡環境。