系統(tǒng)建設的目的在于應用。根據(jù)應用場景的各種規(guī)范及各種業(yè)務的需求，結合部門的應用經(jīng)驗和發(fā)展要求，在系統(tǒng)設計時，主要應遵循以下原則：

一、實用性原則

實用性原則主要體現(xiàn)在以下方面：以現(xiàn)行需求為基礎，適當考慮發(fā)展的需要為依據(jù)來確定系統(tǒng)規(guī)模。選擇成熟、先進、維護量小、使用方便的技術設備和措施。創(chuàng)造一個開放的網(wǎng)絡平臺，支持多種業(yè)務的同時傳輸，如支持語音、圖象等多媒體業(yè)務。

二、安全性原則

1) 協(xié)議的安全性

在網(wǎng)絡中運行著很多網(wǎng)絡協(xié)議，包括路由協(xié)議和各種為上層應用服務的廣域網(wǎng)，局域網(wǎng)絡協(xié)議等，路由器上也存在著很多服務，有些服務是網(wǎng)絡運行所必需的，必須打開它，而有些服務是對網(wǎng)絡運行無關緊要或無用的，可以關閉。正是這些網(wǎng)絡協(xié)議或服務，確保了網(wǎng)絡系統(tǒng)的正常運行，因此，我們首先應確保這些網(wǎng)絡協(xié)議或服務的安全性。

2) 應用服務協(xié)議的安全

對這些路由協(xié)議和各種上層應用服務的協(xié)議，我們應區(qū)別對待。首先，對于網(wǎng)絡運行所必需的協(xié)議，如路由協(xié)議等，我們不但應正常運行，而且必須加以保護，以防止非法路由器加入或偽造的路由信息，系統(tǒng)如何能夠鑒別出哪些路由信息是可靠的呢，就必須采用一些加密技術或鄰機校驗方法，以完成認證，對于網(wǎng)絡運行無關緊要或無用的協(xié)議，則應嚴格限制或關閉，而對網(wǎng)絡運行有危害或本身有安全缺陷的協(xié)議，則應關閉。

3) 路由協(xié)議的安全

在路由協(xié)議安全性方面，我們可以采用路由器鄰居相互校驗，校驗方式可以是明碼方式或MD5加密方式，對于OSPF、BGP既可采用MD5校驗方式，也可以采用明碼方式。

通過明碼或MD5加密方式校驗，可以確保只有有效的路由器才能加入到網(wǎng)絡，從而能夠避免非法的路由器或偽造的路由信息加入到網(wǎng)絡中，使路由出錯，導致網(wǎng)絡癱瘓。

4) SNMP的安全性

SNMP是另一種訪問網(wǎng)絡設備的方式。使用SNMP，你可以收集網(wǎng)絡設備的狀態(tài)，配置網(wǎng)絡設備。Get-request、get-next-request消息用來 收集狀態(tài)信息，set-request消息用來配置網(wǎng)絡設備。在每臺路由器都要 配置community string，每一個SNMP消息都有一個community string來進 行校驗，每個網(wǎng)絡設備的SNMP代理上可以進行配置不同的community string來進行讀模式和寫模式的訪問。SNMPv1的community string是采用 明文方式傳輸?shù)?，SNMPv2的community string采用MD5來進行加密，同 時SNMP可以和訪問列表結合起來，使指定的的IP地址或端口才可以訪問到網(wǎng)管信息。

5) 設備的安全性

對網(wǎng)絡設備的訪問與配置，主要有以下兩種方式：控制口console的控制和遠程登錄telnet 的控制。

A 控制口console的控制

B 遠程登錄telnet 的控制

C 用戶的分級管理

6)無線的安全性

WLAN利用了不可見的公用媒介進行空中信號傳播，安全問題是部署無線的巨大挑戰(zhàn)。無線面臨的安全挑戰(zhàn)， 主要是防止非法AP接入，防止非法用戶接入，防止ARP攻擊，防止AP過載，防止不合理應用等。

● 防范未授權AP

IEEE802.11網(wǎng)絡很容易受到大量網(wǎng)絡威脅的影響，如未經(jīng)授權的AP用戶、Ad-hoc網(wǎng)絡、拒絕服務型攻擊等。Rouge設備對于企業(yè)網(wǎng)絡安全來說是一個很嚴重的威脅。這需要無線入侵檢測(WIDS)功能來防范，通過WIDS用于對有惡意的用戶攻擊和入侵無線網(wǎng)絡進行早期檢測，它用于檢測WLAN網(wǎng)絡中的rogue設備，上報管理中心，并對它們采取反制措施，以阻止其工作，最大程度地保護無線網(wǎng)絡。

● 防范非法用戶

這主要通過認證技術及加密技術來保證。通過802.1x認證、MAC地址認證、Portal認

證等多種認證方式，保證無線用戶身份的安全性， 結合WEP(64/128)、WPA、WPA2等多種加密方式保證無線用戶的加密安全性。另外，通過用戶身份認證結合AAA服務器上對用戶組進行權限的配置和修改，實現(xiàn)精細的用戶權限控制，從而大大增強了無線網(wǎng)絡的可用度，網(wǎng)管人員可以輕松地對不同級別的人進行接入權限分配。

● 防范ARP攻擊

企業(yè)內部普遍存在ARP 攻擊手段，通過偽造IP地址和M無線交換機地址實現(xiàn)ARP欺騙，產生大量的ARP通信量使網(wǎng)絡阻塞或者實現(xiàn)中間人攻擊，嚴重的可以使網(wǎng)絡不可用，危害企業(yè)應用。為了防止攻擊者通過ARP報文實施“中間人”攻擊，要求無線控制器具有ARP入侵檢測功能，即通過對ARP報文進行合法性檢測，轉發(fā)合法的ARP報文，丟棄非法ARP報文。從而有效防御ARP欺騙。

● 防范網(wǎng)絡帶寬濫用

在WLAN網(wǎng)絡中，同一個無線AP下會同時接入多個無線終端，如果部分終端應用BT等下載應用，將占用所有的無線端口帶寬，導致其它終端不能正常工作。為了避免上述問題，需要網(wǎng)絡支持智能帶寬限速，可以限制終端使用為固定帶寬，也可以限制所有終端平均分享限定帶寬，從而有效解決帶寬占用的問題。

另外，為了避免無線網(wǎng)絡中部分AP過載，部分AP閑置而影響網(wǎng)絡使用，需要通過負載均衡來實現(xiàn)。智能負載分擔方法可以動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。

7)設備防盜

由于無線終端不是部署在機房，自身的防盜問題很重要。傳統(tǒng)胖AP設備，由于和家用無線路由器功能類似，被盜竊的風險遠大于瘦AP無線終端，因為其必須配合無線控制器才能使用。在瘦AP組網(wǎng)方案中，無線控制器能夠實時監(jiān)測瘦AP狀態(tài)，一旦出現(xiàn)故障可以隨時告警。而且，無線網(wǎng)絡密鑰是在無線控制器上集中管理，即使瘦AP被盜，整個網(wǎng)絡的密鑰也不會丟失。同時，AP無線終端也可能通過良好的產品結構設計降低被盜風險。

三、可靠性原則

為保證各項業(yè)務應用，網(wǎng)絡必須具有高可靠性，決不能出現(xiàn)單點故障。要對整個網(wǎng)絡的機房布局、結構設計、設備選型、日常維護等各個方面進行高可靠性的設計和建設。在關鍵設備采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段和事故監(jiān)控與安全保密等技術措施提高電腦機房的安全可靠性。

針對本網(wǎng)絡設計方案，其可用性設計包括網(wǎng)絡設備本身的冗余能力、網(wǎng)絡的冗余設計。應采用以下一些手段：

● 設備冗余:

對關鍵設備進行整機冗余，模塊冗余，支持模板熱拔插、冗余的控制模塊設計、冗余電源設計、風扇冗余設計。建議所有模塊和環(huán)境部件應具備1+1或1：N熱備份的功能，切換時間小于3秒，使系統(tǒng)具備99.999%以上的可用性。對非關鍵設備進行1:N的冷備份。

● 路由冗余：

采用合適的動態(tài)路由協(xié)議，實現(xiàn)路由的冗余，當鏈路中斷時，路由能夠迅速收斂。

● 無線功率自動控制：

當一臺AP接入用戶過多，或者出現(xiàn)故障的情況，立刻由中央無線控制器自動控制該AP周邊AP加大功率，從而有效地保證用戶仍能高可靠接入無線網(wǎng)絡。

● 無線終端采用POE供電：

傳統(tǒng)AP需要同時有電源線和網(wǎng)線連接才能工作，而采用了支持POE供電的AP無線終端就無需再部署電源線。從而大幅降低故障點，有效提高系統(tǒng)可靠性。

四、成熟和先進性原則

在網(wǎng)絡結構設計、網(wǎng)絡配置、網(wǎng)絡管理方式等方面采用國際上先進同時又是成熟、實11 用的技術。設備廠商和系統(tǒng)集成商應有相關領域的豐富經(jīng)驗。

五、規(guī)范性原則

網(wǎng)絡設計所采用的組網(wǎng)技術和設備應符合國際標準、國家標準和業(yè)界標準，為網(wǎng)絡的擴展升級、與其他網(wǎng)絡的互聯(lián)提供良好的基礎。

六、開放性和標準化原則

在設計時，要求提供開放性好、標準化程度高的技術方案;設備的各種接口滿足開放和標準化原則,如果是不同廠商的產品，必須之間具備可操作性與可管理性。

七、可擴充和擴展化原則

有充分的機制方便各網(wǎng)點的擴展、業(yè)務量和業(yè)務種類的擴展，保證建設完成后的網(wǎng)絡在向新的技術升級時，能保護現(xiàn)有的投資。

網(wǎng)絡可擴展的關鍵在于能否實現(xiàn)合理的層次化設計，采取層次化的設計可以根據(jù)網(wǎng)絡需求的變化，可在不影響現(xiàn)有網(wǎng)絡運行的狀況下，迅速擴展。

網(wǎng)絡的建設必須具有良好的靈活性與可擴展性，能夠根據(jù)今后業(yè)務不斷深入發(fā)展的需要，擴大設備容量和提高用戶數(shù)量和質量的功能。具備支持多種網(wǎng)絡傳輸、多種物理接口的能力，提供技術升級、設備更新的靈活性。

在網(wǎng)絡設備選型過程中，每個核心骨干層次設計中所采用的設備本身應具有極高的端口密度，層次化設計為整個網(wǎng)絡的擴展奠定了基礎。同時，我們應充分考慮路由協(xié)議的選用，使路由協(xié)議為整個網(wǎng)絡的發(fā)展帶來極強的路由擴展能力。

八、可管理性原則

整個網(wǎng)絡系統(tǒng)的設備和服務器的安全性、數(shù)據(jù)流量、性能等得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。