XXXX无线覆盖项目实施方案.docx

《XXXX无线覆盖项目实施方案.docx》由会员分享，可在线阅读，更多相关《XXXX无线覆盖项目实施方案.docx（74页珍藏版）》请在三一办公上搜索。

1、XXX门店无线覆盖项目XXX无线上网项目一期网络设计&工程实施方案XX文档基本信息：文档名称文档编号当前版本号生效日期拟制人审核人批准人 文档修订记录：修订记录序号版本号修订人修订日期修订内容2345目 录1项目概述51.1项目背景51.2项目需求【8月27日网康和艾逛确认他们要实现的】51.3名词定义62人员分工72.1双方职责72.2相关人员82.3实施团队92.4管理规范92.5成员培训103设备组网103.1系统架构【软件厂商提出完善建议】103.2网络拓扑113.2.1 数据中心133.2.2 图商门店143.2.3 网络门店153.2.4 中小门店163.2.5 服务器区173.3

2、设备清单173.3.1中心设备【张瑞据最终合同更新】173.3.2门店清单183.3.3设备配发193.4设备命名204技术方案204.1地址规划204.1.1 门店地址204.1.2 中心地址224.2端口规划224.3网络安全234.3.1接入策略234.3.2数据控制234.3.3登录限制234.3.4生产保护244.4路由规划244.4.1无线路由244.4.2备份路由264.5网络管理284.5.1分级管理284.5.2 登录授权284.6 SSID规划294.7接口规划304.8认证计费304.9其他要求305实施标准305.1标签标准305.2布线标准315.3安装标准315.3

3、.1 AP安装315.3.2 网络设备315.4初验标准【李沛】325.4.1 门店标准325.4.2 数据中心326数据中心建设326.1时间计划326.2现场情况336.3工具配置346.4服务器区356.5机柜规划【任卫民】356.5软件POC【与软件厂家待定】367门店实施377.1实施步骤377.3试点实施377.4电话沟通377.5外网线路377.6发货跟踪387.7门店勘测397.8布线外包407.9图纸编制407.10工具材料417.11注意事项【待完善，参考试点情况】417.12进度管理428验收方案【李沛】429文档管理439.1文档列表439.2文档管理4310配置模板【

4、试点与XXX网康确认】4410.1数据中心4410.1.1 防火墙配置4410.1.2交换机配置4410.1.2 其他设备4410.2门店设备4410.2.1 防火墙4410.2.2 交换机4410.2.3 AC4410.2.4 AP4410.2.5 定位软件4410.2.6 上网行为管理4410.2.7 高速缓存441项目概述1.1项目背景XXX在全国门店中分期部署WLAN，以实现：1、 顾客在门店可接入免费WIFI使用互联网，可以购物比价或其他互联网浏览、即时通讯、简单游戏等。要求做到新用户注册认证，老用户一段时间内无感知接入2、 门店内特有的柜台专区如：极信、苹果等有互联网需求的，可以提

5、供特定的wifi接入，可做到带宽的控制与分配3、 店内商家柜台流量增值收费业务（如高清视频演示、应用下载等）网络需求此WIFI部署的同时，配套定位、分析软件，为客户提供及时快速的上网服务，也为XXX掌握门店客户动向、收集信息，为经营决策提供参考。本文就WLAN覆盖项目的实施提出网络规划设计、项目实施管理方法，通过科学的项目管理、周全的计划，保障项目按时、按质、按量完成，实现系统上线。1.2项目需求本项目建设需求的关键点如下： 通过WLAN覆盖可提供来宾、智能家电、苹果专区、移动办公上网服务； 通过WLAN对应的互联网线路可以为原网点的备份； 提供可定制的WEB Portal登陆界面，页面展示引

6、导信息进一步宣传微信、微博、广告，可自定义更换和跳转指定网站；认证后跳转页面可定制，可根据用户要求，提供认证后展示页面，页面提供计时器等功能； 访问内容可控，可过滤不良网站，屏蔽有安全威胁的恶意网址等，避免敏感事件发生，可实现对用户的上网行为审计； 支持流量管理，可执行流控策略，实现高效精确地流量控制和上网应用控制，避免有人大量下载导致带宽被占用； 认证信息汇总，可以在认证系统上看到在线用户及相关信息（如首次认证时间、总上网时长、上网次数、上网网点名称等）； 精确营销，根据顾客上网收集到的手机号码信息及位置、上网行为等信息，进行大数据分析，并提供报表，为后续精确营销提供参考 位置信息方面，具体

7、可收集到客户的位置信息，以及逗留时长，为客户潜在需求分析提供基础信息1.3名词定义 无线局域网（Wireless Local Area Network，WLAN）：利用射频技术取代双绞铜线等接入，通过无线方式所构成的局域网络； 无线控制器（Wireless Access Point Controller，AC）：无线网络基础架构模式下的控制器，集中管理控制AP； 无线接入点（Access Point，AP）：主要提供无线射频相关功能； 图商门店：提供WLAN覆盖、安装有本地地图定位服务器及软件、开展地图定位信息收集的大型门店； 网络门店：提供WLAN覆盖、有定位软件（后台中心）的大型门店； 中

8、小门店：面积较小且不需要定位的门店 分部：分公司，隶属于大区，对下属门店进行管理； 标准：XXX提供的与网络规划、施工标注、维护要求等有关的指标文件； 附件：本文档不方便直接描述的，需要以图、表、动画等方式对某个方案细节进行说明的文件，指导项目实施； 模板：项目实施或管理过程中，需要项目成员去填写的材料的标准格式。2人员分工2.1双方职责甲方（XXX）、乙方（xx）的主要职责分工参考2.1附件：WIFI项目计划及架构通讯录。甲方职责说明：4、 提供符合要求的安装环境，提供项目有关的信息；5、 确保线路提前到位调试完成，协调运营商线路问题处理6、 审核乙方提交的实施方案、计划，并通知到相关方配合

9、7、 接收发货设备，妥善保管，清点检验，签署到货回执单8、 组织人员参与实施，签署综合布线与安装记录、验收报告等9、 组织技术维护人员接受培训，掌握设备安装使用维护方法乙方职责说明：1、 按合同要求按时提供项目所需的设备、配件、资料、工具等2、 配合开箱验收，对于到货开箱验收不合格的产品提供更换补齐；3、 在安装过程中如有设备损坏，及时进行维修、更换，确保不影响工期4、 商务负责人：负责合同签署，确保发货计划达成：（1） 确保货准时发货，按照计划发货；（2） 到货有变动必须及时通知项目经理5、 方案负责人：客户需求了解及把握，提供网络规划设计及业务需求解决方案6、 项目经理：项目实施负责人，每

10、个省指定的技术主管负责，对项目全过程管理，及时反馈进展给客户，并与客户方保持良好沟通，协调解决过程中的问题，确保项目目标按时实现7、 项目成员：接受项目经理安排，具体负责项目实施工作8、 后台项目支撑团队：发货情况跟踪与记录、提供项目计划与过程检查、项目过程中的材料收集审核、项目文档制作存档等2.2相关人员本项目主要有以下相关人员（干系人）：名称工作内容/分工XXX总部1、 提出建设需求，参与方案探讨，审核批准乙方的实施方案；2、 管理甲方各成员，如线路运营商、布线公司、装修公司、软件公司等3、 接受并审核项目中涉及到的安装材料、费用预算，并报送审批4、 审批项目总体计划，批准乙方具体计划审核

11、，向各成员下达任务5、 接受每天项目的进展反馈，协调处理项目过程重点各项阻碍或问题XXX门店人员1、 IT经理代表XXX参与工程实施的勘测、实施、验收过程2、 到货签收单、布线与设备安装记录、验收报告等签字3、 接收设计或实施的变更需求，协调并反馈线路运营商1、 提供各点线路开通日期的计划2、 按时开通线路，达到通信标准3、 提供到指定位置如机柜的接口4、 实施过程中提供线路测试配合注意：本项目是先申请、等通知开通，而运营商市场部可能会承诺线路开通日期，往往不准确，有时候与对方工程队核实提供开通时间，大型的工期紧张的项目，必须要求对方协调工程队到场，严格按计划次序准时开通线路。服务商北明1、

12、提供项目经理，及工程项目总技术负责人2、 按合同要求提供足够的工程师，并制作实施方案3、 提供对项目组的培训，提供文档、模板、记录，便于运维4、 按总体计划制定分布实施具体计划，完成各设备的安装调试5、 按项目建设方案的要求，调试整个网络，确保达到合同要求6、 以天、周为单位，反馈项工作进展、计划完成进度、问题等7、 与甲方接口人一起对网络进行验收，签署总的验收报告布线公司 工程中线路无法实现需求，布线公司负责：1、 按方案要求提供设备间或设备与配线架间的线路布置及连接2、 在项目实施过程中，提供线路调试的配合软件集成公司1、 项目实施前/实施方案确定前，提出网络硬件实施需要的配合2、 按方案

13、要求，提供项目涉及业务系统软件的安装和功能性能调试3、 在项目组进行系统调试、业务联调过程中提供配合并解决软件的问题表1相关相关人员及分工2.3实施团队本项目的实施投入最大的是门店部分，门店实施人员的安排参考2.3附件：门店实施团队人员分组分工，基本安排：1、 ；2、 方案、标准、附件、模板等资料在试点后定稿，由培训部王宇峰组织负责各门店具体的实施人员集中培训，以及针对XXXIT经理等关键参与人的视频培训；3、 每个大区设1名项目负责人，负责本区域具体计划制定安排，以及实施方案的执行落地，具体包括：实施方案培训、勘测指导、布线谈判、项目进度与质量管理、客户协调、问题处理、文档检查等；4、 每2

14、-3个门店设1名实施人员，同时准备几名经验丰富的人员备用随机调动，实施人员按计划开展实施，及时和大区项目负责人沟通，每天邮件反馈进展和问题；5、 每2-3个大区设1名后台商务人员，负责日报收集汇总、文档资料进行收集确认；6、 指定2-3人负责勘测后机房、AP点位、布线的CAD图纸制作。2.4管理规范为确保甲方的网络系统安全、预防各实施方人员发生意外事故，乙方项目经理负责获得甲方场地管理规章制度，在项目例会中传达到所有项目成员。对于需要出入施工场地的人员，通常要遵守以下基本行为规范：1、 主动了解并严格遵守甲方管理规章制度；2、 进入施工场地提前联系预约，征得甲方接口人同意；3、 进入场地主动报

15、公司名称并出示证件登记；4、 离开场地要与甲方接口人打招呼；5、 出入所带物品应登记，妥善保管；6、 安装、插拨设备模块电缆需带防静电手腕；7、 严禁在场地内抽烟、喝水、吃东西、玩游戏、打闹；8、 未经甲方接口人批准，严禁动其它设备或线路；9、 未经甲方接口人批准，严禁对机房、设备等拍照录像；10、 拆装静电地板、天花板，需要甲方接口人许可并在场；11、 安装后，清理现场，整理各种物品，保持场地的整洁；12、 严禁携带与本次工程无关的人员进入施工场地；13、 完成实施后清扫现场，带走多余的材料。除上述基本规范外，应主动向甲方接口人了解更多要求，并按其要求执行。2.5成员培训 对项目成员进行培训

16、，讲解施工标准、安装步骤、项目管理方法、文档要求。并对成员进行考试，合格后方允许组织施工。3设备组网3.1系统架构以下为本项目的系统架构图，下一层支撑上一层的业务，项目实施可遵循分层先后开展，后期运维/使用/管理可按层次由不同职能部门分工承担。图1 系统架构图以下为整网逻辑结图：3.2网络拓扑拓扑参考3.2附件：XXXWLAN项目网络拓扑，以下为整网基本拓扑结构（门店以三种类型代表）：图2 整网拓扑图网络拓扑说明：1、 所有门店通过互联网线路与总部IDC建立两条VPN隧道（使用IPsec VPN并加密，以对传输到后台的用户数据起保护作用），与中心端接相同运营商线路的核心防火墙建立主隧道，与另一

17、台防火墙建备隧道，正常情况下，备隧道不转发数据；2、 IDC提供的接入线路公网地址可能会发生变化，或者因数据中心搬迁等造成IP地址调整，为减少因中心端公网地址改变带来的大量网点的配置更改的工作量，采用域名解析，在网点防火墙上配置VPN的对端地址为域名，使用XXX二级域名，由XXX域名服务器提供域名服务，先按三个公网接口规划三个域名，分别对应电信、移动、联通线路；3、 PORTAL、认证计费、网络管理、广告推送、客户信息、定位信息等业务数据通过VPN隧道与IDC服务器区进行互联；具体情况及数据量由软件方艾逛确认：业务类型功能简介解决方案数据量PORTAL门店无线上网终端设备连接后，服务器推送认证

18、页面，并老客户免认证，即不再次推送艾逛提供云端PORTAL服务，连通短信网关服务较小认证计费针对接入无线网络的终端进行认证，并对部分用户计费艾逛PORTAL同时可认证，计费待定较小IMC网管针对所有AP、网络设备提供基于SNMP的网络管理，可对设备进行状态查看，配置修改等XXXIMC提供软件，硬件XXX提供上行大BI大数据待定艾逛提供软件待定广告运营待定艾逛提供软件下行大4、 门店办公数据到IDC的WLAN核心交换机后，到生产网核心交换机，再到生产服务器5、 来宾上网、移动POS机通过本地互联网线路出局（移动POS机类似网银，应用层加密访问处于公网上的服务器，而非接入到IDC后台）3.2.1

19、数据中心以下为数据中心网络拓扑结构：图3 数据中心网络拓扑网络拓扑说明：1、 每台核心防火墙四个万兆光口四条多模万兆光纤接到两台核心交换机，使用链路聚合方式；2、 核心交换机两台之间虚拟化，虚拟成一台交换机，服务器两个网络接口，起链路聚合协议接到核心交换机；3、 任一台核心防火墙宕机，其上的外网线路不可使用，或者任一条线路故障，也将不可用，此时，网点防备VPN（此类跨运营商的VPN有可能质量达不到良好的通信质量和速度）；4、 将来增加移动线路，则增加一台防火墙，类似方式接入。注：鹏博士提供的外网线路为BGP选择路由，即同时具备多运营商出口路由自动选择，由此，可解决门店采用不同运营商线路接入到中

20、心VPN需要上线线路匹配的难题，但中心端出口使用两个公网线路仍有必要，主要为备份需要。3.2.2 图商门店以下为图商门店网络拓扑结构：图4 图商门店网络拓扑网络拓扑说明：1、 图商门店部署出口防火墙、无线控制器AC、上网行为管理、缓存服务器、定位服务器，其中定位数据在本地服务器存储2、 门店的审计数据、日志信息、用户信息等，通过VPN隧道上传到数据中心相应服务器进行计算、分析、统计、输出报表3、 防火墙依据下面业务网段的数量配相应子接口，每个子接口的地址是下面对应业务网段的网关，接入交换机每个业务网段划一个VLAN，具体VLAN划分的标准：VLAN号用途网关设备VLAN10设备管理防火墙VLA

21、N100移动办公防火墙VLAN200苹果业务防火墙VLAN300智能家居防火墙VLAN400来宾上网防火墙VLAN500预留防火墙4、 出口防火墙承担上网终端的DHCP服务器，其他设备地址除AP外的管理地址，实行固定分配；5、 AP走本地转发，不走集中转发模式，以减少AC的压力；6、 上网行为管理、缓存服务器，根据外部线路的带宽，提供两种性能设备（100M和60M两种），上网行为管理提供限速、安全审计；缓存提供上网加速（XXX相关网站、视频、网页、推送广告、电商网站、比价网站）。3.2.3 网络门店以下为网络门店网络拓扑结构：图5 网络门店网络拓扑网络拓扑说明：1、 网络门店部相对图商门店，少

22、了定位服务器，其他一样2、 上网行为管理、缓存服务器，根据外部线路的带宽，提供两种性能设备3.2.4 中小门店以下为一般门店网络拓扑结构：图6 中小门店网络拓扑网络拓扑说明：1、 一般门店未配无线控制器AC、上网行为管理、缓存服务器、定位服务器，出口防火墙内置上网行为管理/审计功能2、 一般门店的AC由数据中心的AC承担3、 出口防火墙承担上网终端的DHCP服务器3.3设备清单3.3.1中心设备IDC数据中心对应的网络设备清单：设备品牌/型号数量核心防火墙XXX/ NS-SecPath F5020，标配4个万兆多模光模块、1只300W电源AC-PSR300-12A22台核心交换机XXX/LS-

23、10512 交换机，每台配：1、 2张LSUM1SUPB0主控引擎模块2、 4张LSUM1FAB12D0交换网板D类3、 4只LSUM1AC2500交流电源模块2500W4、 1张LSUM1TGS24EC0 24端口万兆以太网光接口模块(SFP+,LC)(EC)标配24个万兆多模光模块5、 1张LSUM2GT48SE0 48端口千兆以太网电接口模块(RJ45)2台网管软件XXX/网管软件/授权：1、 2套iMC-智能管理平台标准版PFX2、 2套iMC-智能管理平台标准版3、 4套iMC-智能管理平台标准版-100 License4、 2套iMC-智能管理平台标准版-500 License5、

24、 2套iMC-智能管理平台标准版-50 License6、 2套iMC-智能管理平台标准版-25 License7、 2套iMC-WSM无线业务管理组件8、 2套iMC-WSM无线业务管理组件-50 License9、 6套iMC-WSM无线业务管理组件-1000 License1套无线控制设备XXX/WX5540H-EWPXZ15540H-无线控制器主机(12GE+12SFP+4SFP Plus)-国内海外合一版，每台配300W AC 电源模块2张，LIS-WX-1024-BE，H3C Access Controller-EWPXM1WCM1024-增强型无线控制器license授权函-管理

25、1024AP-企业网专用-V7专用-国内海外合一版2张一期2台二期7台网管服务器网络管理IMC服务器每台配：1、 7根8GB PC3L-12800R(DDR3-1600)内存模块(v2)2、 2块1TB 6G-SAS-7.2K-2.5英寸硬盘模块3台PORTAL认证服务器待定图商服务器待定计费服务器待定广告营运管理平台服务器待定BI数据分析服务器待定表1 数据中心设备配置3.3.2门店清单一期项目门店及对应的设备型号信息如下：类型数量设备品牌/型号数量图商门店29防火墙XXX/H3C SecPath F1020，16个10/100/1000BASE-T,8个100/1000BASE-X SFP

26、，标配2个千兆多模光模块1图商服务器待定/参考配置：R720 E5-2620V2*2 8G*4 500G SATA DVD H310495W1无线控制器ACXXX/WX2540E 6端口千兆(5GE-T+1SFP)或：EWP-WX3510E 4端口千兆Combo1上网行为管理网康/IMS2050（带宽60M的用IMS2030）1缓存服务器网康/NP6510（带宽60M的用NP6505）1POE交换机XXX/S5130-28S-PWR-EI L2以太网交换机主机,支持24个10/100/1000BASE-T端口,4个1G/10G16无线APXXX/WA4320-ACN-内置天线双频2条流693机

27、柜600*800*2000的机柜1小机柜600*400*350的可壁挂、落地小机柜14网络门店71防火墙XXX/H3C SecPath F1020，16个10/100/1000BASE-T,8个100/1000BASE-X SFP，标配2个千兆多模光模块1无线控制器ACXXX/WX2540E 6端口千兆(5GE-T+1SFP)或：EWP-WX3510E 4端口千兆Combo1上网行为管理网康/IMS2050（带宽60M的用IMS2030）1缓存服务器网康/NP6510（带宽60M的用NP6505）1POE交换机XXX/S5130-28S-PWR-EI L2以太网交换机主机,支持24个10/10

28、0/1000BASE-T端口,4个1G/10G16无线APXXX/WA4320-ACN-内置天线双频2条流 802.11ac/n AP-SI693机柜600*800*2000的机柜1小机柜600*400*350的可壁挂、落地小机柜14表2 一期门店设备配置3.3.3设备配发依据门店的信息，结合上述设备配置的标准，确认每个门店的设备清单3.3.3附件：门店产品配置表100家【计划】。此清单仅为计划，实际设备数量以现场勘测后调整的为准。3.4设备命名为方便进行网络设备的维护识别、网络管理、资产管理，建立统一的命名规则对设备进行命名：1、用英文编码对网络设备命名，包含防火墙、交换机、AC、AP等全部

29、网络设备2、网络设备名称为：一级分部编码-下属门店编码-楼层编码-设备编码（多台同型号加序号），分部和门店的编码参考3.4附件：分部及一期门店命名表3、具体到设备，编码规则示例如下表:一级分部名称门店名楼层号设备/序号分部名称缩写代码加分部类型缩写（XXX、大中、永乐）代码去掉门店类型/级别、店或分店后，编码缩写根据信息表中的楼层命名以设备类型命名，如有多台同类设备，依次增加序号，单台设备不加序号例：的编码为CDGM，北京大中分部的编码为BJDZ例：旗舰店编码为CDCRL如F1、F2、B1、B2例：门店交换机=POE1、门店防火墙=FW、门店=AP1例如，根据以上规则，则安装在B2层的成都成仁

30、路旗舰店的12号AP的最终编码为：CDGM-CDCRL-B2-AP12，安装在B1层的2号交换机为：CDGM-CDCRL-B1-POE2。AP的命名，从最底一层的第一个开始（以地图正面朝上，先左后右先上后下，即最底一层的最左上角的第一个AP，命名为1号）。4技术方案4.1地址规划4.1.1 门店地址WLAN网络的IP地址的规划原则：1、 防火墙作为门店总出口；2、 结合分区域管理的组织结构分段并且确保预留数量;；3、 结合自上而下的管理分级分层，以便未来可做路由汇总；4、 对门店、设备精确分配地址段或指定地址，便于管理；具体的地址分配标准如下:XXXwifi网门店IP地址根据用途包括用户地址和

31、设备管理地址两个大类。用户地址：不需要访问IDC或生产网地址本地有效；每个门店分配8个C作为无线用户上网使用；移动办公：2个C 512个地址,本地私网地址192.168.204.0/23，不与其他网络互通；苹果专区：1个C 256个地址，本地私网地址192.168.206.0/24，不与其他网络互通；智能家电：1个C 256个地址，本地私网地址192.168.207.0/24，不与其他网络互通；来宾上网：4个C 1024个地址，本地私网地址192.168.200.0/22，不与其他网络互通；设备管理地址：可能需要和IDC的网管软件、portal服务器或备用ac等直接通信；启用XXX未使用新网段

32、，与已使用的IP地址有足够的间隔，选用10.70.0.0/16-10.70.74.0/16；根据门店AP数量使用64(=50个AP）个设备管理地址；每个C类地址段可分配个4个门店，根据各分部目前的门店数，分别分配16、32个C，可容纳64、128个门；每个门店子网的最高1位地址，作为设备管理网段的网关；每个门店子网的最低1-5位地址，分别做为流量控制，缓存、定位服务器、AC管理、汇聚交换机；普通门店（50个AP，目前最多10个交换机）DHCP保留前20个地址不分配，仅分配余下的104个地址；第6-14位地址，作为其他POE交换机的管理地址；第20个地址作为与生产网路由器互连；第15-20作为生

33、产网备份时NAT的地址池；具体地址分配见附件。4.1.2 中心地址WLAN的数据中心用XXX现有地址中单独的B类地址10.75.0.0/16网段，以便未来与XXX当前内部网络可实现实地址的互联互通。数据中心的地址规划详见4.1.2附件：数据中心IP地址规划分配表。4.2端口规划根据运维和网管需要在防火墙开通相关策略（包括远程管理、syslog、snmp等），允许特定的端口访问数据中心服务器区域。如下表：源IP目标IP通信端口号上网终端正常业务80、8080AP中心端ACTCP 57777UDP 57776/57778/57779中心端ACAP防火墙IMC/PortalUDP 1812/认证UD

34、P 1813/计费TCP 8443/AAS WEBTCP 9443/Portal WEBUDP 2000/Portal 设备注册防火墙集中网管UDP 514/审计日志TCP 4433、8888、60005、60006/源和目的都要放行，网管内部通信端口TCP 80/WEB管理TCP 21、20/FTP网康IMS和NPS网康升级服务器TCP 43/管理页面与升级服务器通讯TCP 22/下载升级包TCP 1812/用于启用网管后的IMC用户同步广告推送服务器软件厂商确定定位服务器软件厂商确定认证计费软件厂商确定大数据分析软件厂商确定4.3网络安全4.3.1接入策略不同子网/业务的接入/访问控制规则

35、如下：1、无线客户端安全访问WLAN数据中心：门店防火墙同数据中心防火墙建立IPSecVPN加密隧道，只允许源自防火墙、AP、AC的管理协议和数据流。2、无线客户端同门店AP、防火墙逻辑隔离：管理网段、来宾上网等不同的业务网段采用不同的VLAN，防火墙业务网段网关接口禁止管理访问。3、数据中心部署策略：数据中心VPN设备同时是防火墙的方式部署。IPSec VPN区域的流量在VPN网关解封装之后还需经过防火墙的过滤才能到达内网服务器。4、管理数据流通道：网点到数据中心走IPsecVPN，为网络管理数据流量提供数据通道，保障管理数据流的安全；中心的广告等数据通过此VPN通道推送。5、来宾上网无线客

36、户端禁止互访：配置策略禁止无线客户端互访，提高网络安全性。4.3.2数据控制1、防火墙防攻击：防火墙关闭掉不使用的端口，并提供入侵防护功能，支持入侵防御、防攻击。2、上网行为管理屏蔽非法访问【网康：给出安全管理策略，先按通常策略做】。3、上网行为管理对AP接的上网设备进行流量限速、下载、视频等控制，以下针对50M及以上的出口带宽的大型门店的限制标准：接入区域接入对象限制标准【网康+PORTAL设置】来宾上网来店客户终端单次认证限时2小时，来宾上网总带宽不超过出口带宽的90%，P2P和在线视频不超过总带宽的5%移动办公款台人员的电脑不限速，不限时，不限内容；可上互联网。最大4M总带宽，抢占。智能

37、家电店内展示用智能电视机、冰箱等不限时，不限内容；Portal和纯MAC手动添加，智能家电可能收费，如有申请，增加出口带宽提供给此类收费用户专用，免监控不受任何策略限制苹果专区苹果专区展示手机、PAD不限时，不限视频，不限下载；带宽4M-10M移动POS移动刷卡机、收银机不限时，不限速，高优秀级，免监控不受任何策略限制，保留1M管理数据AC、AP等被网管设备保留7M带宽4.3.3登录限制1、允许本地Consol口访问查看修改设备配置信息；2、不允许门店来宾上网网段、非总部防火墙外网口的互联网地址登录访问网络设备，只允许AC同一网段的内网网段（telenet方式）、总部防火墙外网地址（SSH方式

38、，配置用电脑到被管理设备之间加密）、总部数据中心内网网段（SSH方式）登录设备；3、门店防火墙预留维护VPN，分配给分部IT经理；总部防火墙预留VPN，分配给总部IT经理；可以在紧急情况下拨入网络进行故障处理或网络维护。4.3.4生产保护为安全起见，在门店的防火墙做两条策略，只允许移动办公和备份线路切换产生的数据访问生产服务器区。建议在WLAN和生产两个核心区域之间增加IPS等安全设备。4.4路由规划4.4.1无线路由无线网络区域的路由及数据流如下：关键数据的路径如下： 移动终端上网：默认网关为防火墙F1020内网口地址，到防火墙后，送到互联网 认证和定位等数据与后台服务器的交互访问：默认网关

39、指向防火墙F1020内网口，到防火墙后，走VPN隧道，到核心防火墙F5020，到核心交换机，送到服务器。主要设备的路由如下：序号设备类型默认网关/静态路由动态路由1上网终端默认网关指向防火墙内网口无2图商服务器、AC等网关指向防火墙内网口，或后台服务器网段作唯一静态路由无3门店防火墙默认网关指向外网出口，到后台服务器区网段的静态路由2条，优先指向主VPN隧道其次备隧道无3核心防火墙默认网关指向核心交换机的直连接口，同时，在网点防火墙与其建立VPN后，因反向路由注入增加到每个门店的防火墙VPN内网段的静态路由面向核心交换机的一侧起OSPF动态路由，将自身的反向路由注入增加的静态路由发布到OSPF

40、中4核心交换机无（默认网关可以指向核心防火墙的内部接口，但两台防火墙不同地址无法确定谁更合适，且无实际作用）全部接口OSPF，同时接收来自核心防火墙的静态路由分发，以及来自于生产区域的BGP分发5生产核心交换机增加到172网段的静态路由，指向WLAN核心交换机的相连口未知。4.4.2备份路由WLAN网络为生产网做线路备份，在门店生产网络专线（当前门店大部分为一条专线上行），路由走向如下图（参考4.4.2附件：WLAN网做生产网线路备份），红色虚线为上行，绿色虚线为下行路由：网点线路备份的说明：1、 门店生产网PC默认路由指向接入路由器，接入路由器默认路由（有可能是动态）指向汇聚路由器，接入路由

41、器增加备份路由到WLAN区域的防火墙F1020，则门店生产网络专线断掉，门店生产PC（10网段，访问对象为生产服务器区10网段）可通过接入路由器（XXXMSR2011）到F1020，再通过VPN隧道上联到WLAN核心区域，再到生产中心端并回传，由于生产区域的核心做过路由汇总，没有门店网段的具体路由，则回程路由仍被送到生产区域的接入区域专线断掉后此路由消失，如为静态路由则不通）而无法回程。为解决此问题，在接入路由器接到WLAN区域的接口做NAT，10网段的生产PC转换为WLAN区域的172地址后，通过VPN进入WLAN核心再到生产核心，回程仍送到门店F1020再到接入路由器MSR2011，再去N

42、AT回到生产PC；2、 此配置下，专线正常时，WLAN区域的无线移动办公，最好不走专线端上联，原因：如无线区域移动办公走专线上联并回传，专线路由器采取点到点的方式与防火墙起的三层接口互联，如专线断掉，专线路由器内部OA设备经此路由器NAT（上端原有汇总路由到内部OA，如走路由模式而非NAT方式上行，则无法实现回传的路由）到无线的防火墙、经过防火墙VPN到上端核心防火墙内部，再到后台业务中心，上端OA核心N7000配到无线核心交换机10510的路由，无线核心交换机配到下端的每个网店防火墙内的明细路由（每个网点1条），则专线断掉后、专线内部OA等设备可通过无线侧的VPN备份。如专线正常，则无线OA

43、，先到专线路由器，通过专线路由器走另一个NAT到N7000再后台业务中心，回传路由可借原有的核心区域的N7000往下。如不再做NAT，则回传的路由和无线备份的路由是同一条网段的路由，回传会首先被送到无线核心交换机一侧，而无法实现回传。由于此方式在专线路由器端有两个NAT，非常复杂，且容易导致路由混乱，不建议采用。4.5设备部署4.5.1 大中型门店机柜设备部署每台设备间隔2U，机柜从下至上定为1-42u；如店铺没有以下规划设备（定位服务器仅29家大型门店部署），机柜空间预留；机柜U数（从下至上数）设备名称第27U防火墙第24U行为管理设备第20、21U缓存服务器第16、17U定位服务器第13U无线控制器第10UPOE1第7UPOE2第4UPOE34.5.2 小型门店主机柜设备部署每台设备间隔2U，机柜从下至上定为1-22u；如店铺没有以下规划设备，机柜空间预留；机柜U数（从下至上数）设备名称第16U防火墙第13U无线控制器（未来预留）第10UPOE1第7UPOE24.5.3 数据中心设备部署wifi数据中心租用于鹏博士IDC，三期共规划使用10个机柜，其中服务器、存储机柜6个，网络机柜4个。第一期网络机柜设备部署情况如下：4.6网络管理4.6.1分级管理此网络中设备数量多，采取分级操作权限（网络设备）、分区管理（根据用户名下发允许登陆的设