无线上网项目网络设计工程实施方案

《无线上网项目网络设计工程实施方案》由会员分享，可在线阅读，更多相关《无线上网项目网络设计工程实施方案（76页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第76页 共76页XXX无线上网项目一期网络设计&工程实施方案XX文档基本信息：文档名称文档编号当前版本号生效日期拟制人审核人批准人 文档修订记录：修订记录序号版本号修订人修订日期修订内容2345目 录1项目概述51.1项目背景51.2项目需求【8月27日网康和艾逛确认他们要实现的】51.3名词定义62人员分工72.1双方职责72.2相关人员82.3实施团队92.4管理规范92.5成员培训103设备组网103.1系统架构【软件厂商提出完善建议】103.2网络拓扑113.2.1 数据中心133.2.2 图商门店143.2.3 网络

2、门店153.2.4 中小门店163.2.5 服务器区173.3设备清单173.3.1中心设备【张瑞据最终合同更新】173.3.2门店清单183.3.3设备配发193.4设备命名204技术方案204.1地址规划204.1.1 门店地址204.1.2 中心地址224.2端口规划224.3网络安全234.3.1接入策略234.3.2数据控制234.3.3登录限制234.3.4生产保护244.4路由规划244.4.1无线路由244.4.2备份路由264.5网络管理284.5.1分级管理284.5.2 登录授权284.6 SSID规划294.7接口规划304.8认证计费304.9其他要求305实施标准3

3、05.1标签标准305.2布线标准315.3安装标准315.3.1 AP安装315.3.2 网络设备315.4初验标准【李沛】325.4.1 门店标准325.4.2 数据中心326数据中心建设326.1时间计划326.2现场情况336.3工具配置346.4服务器区356.5机柜规划【任卫民】356.5软件POC【与软件厂家待定】367门店实施377.1实施步骤377.3试点实施377.4电话沟通377.5外网线路377.6发货跟踪387.7门店勘测397.8布线外包407.9图纸编制407.10工具材料417.11注意事项【待完善，参考试点情况】417.12进度管理428验收方案【李沛】429

4、文档管理439.1文档列表439.2文档管理4310配置模板【试点与XXX网康确认】4410.1数据中心4410.1.1 防火墙配置4410.1.2交换机配置4410.1.2 其他设备4410.2门店设备4410.2.1 防火墙4410.2.2 交换机4410.2.3 AC4410.2.4 AP4410.2.5 定位软件4410.2.6 上网行为管理4410.2.7 高速缓存441项目概述1.1项目背景XXX在全国门店中分期部署WLAN，以实现：1、 顾客在门店可接入免费WIFI使用互联网，可以购物比价或其他互联网浏览、即时通讯、简单游戏等。要求做到新用户注册认证，老用户一段时间内无感知接入2

5、、 门店内特有的柜台专区如：极信、苹果等有互联网需求的，可以提供特定的wifi接入，可做到带宽的控制与分配3、 店内商家柜台流量增值收费业务（如高清视频演示、应用下载等）网络需求此WIFI部署的同时，配套定位、分析软件，为客户提供及时快速的上网服务，也为XXX掌握门店客户动向、收集信息，为经营决策提供参考。本文就WLAN覆盖项目的实施提出网络规划设计、项目实施管理方法，通过科学的项目管理、周全的计划，保障项目按时、按质、按量完成，实现系统上线。1.2项目需求本项目建设需求的关键点如下： 通过WLAN覆盖可提供来宾、智能家电、苹果专区、移动办公上网服务； 通过WLAN对应的互联网线路可以为原网点

6、的备份； 提供可定制的WEB Portal登陆界面，页面展示引导信息进一步宣传微信、微博、广告，可自定义更换和跳转指定网站；认证后跳转页面可定制，可根据用户要求，提供认证后展示页面，页面提供计时器等功能； 访问内容可控，可过滤不良网站，屏蔽有安全威胁的恶意网址等，避免敏感事件发生，可实现对用户的上网行为审计； 支持流量管理，可执行流控策略，实现高效精确地流量控制和上网应用控制，避免有人大量下载导致带宽被占用； 认证信息汇总，可以在认证系统上看到在线用户及相关信息（如首次认证时间、总上网时长、上网次数、上网网点名称等）； 精确营销，根据顾客上网收集到的手机号码信息及位置、上网行为等信息，进行大数

7、据分析，并提供报表，为后续精确营销提供参考 位置信息方面，具体可收集到客户的位置信息，以及逗留时长，为客户潜在需求分析提供基础信息1.3名词定义 无线局域网（Wireless Local Area Network，WLAN）：利用射频技术取代双绞铜线等接入，通过无线方式所构成的局域网络； 无线控制器（Wireless Access Point Controller，AC）：无线网络基础架构模式下的控制器，集中管理控制AP； 无线接入点（Access Point，AP）：主要提供无线射频相关功能； 图商门店：提供WLAN覆盖、安装有本地地图定位服务器及软件、开展地图定位信息收集的大型门店； 网络

8、门店：提供WLAN覆盖、有定位软件（后台中心）的大型门店； 中小门店：面积较小且不需要定位的门店 分部：分公司，隶属于大区，对下属门店进行管理； 标准：XXX提供的与网络规划、施工标注、维护要求等有关的指标文件； 附件：本文档不方便直接描述的，需要以图、表、动画等方式对某个方案细节进行说明的文件，指导项目实施； 模板：项目实施或管理过程中，需要项目成员去填写的材料的标准格式。2人员分工2.1双方职责甲方（XXX）、乙方（xx）的主要职责分工参考2.1附件：WIFI项目计划及架构通讯录。甲方职责说明：4、 提供符合要求的安装环境，提供项目有关的信息；5、 确保线路提前到位调试完成，协调运营商线路

9、问题处理6、 审核乙方提交的实施方案、计划，并通知到相关方配合7、 接收发货设备，妥善保管，清点检验，签署到货回执单8、 组织人员参与实施，签署综合布线与安装记录、验收报告等9、 组织技术维护人员接受培训，掌握设备安装使用维护方法乙方职责说明：1、 按合同要求按时提供项目所需的设备、配件、资料、工具等2、 配合开箱验收，对于到货开箱验收不合格的产品提供更换补齐；3、 在安装过程中如有设备损坏，及时进行维修、更换，确保不影响工期4、 商务负责人：负责合同签署，确保发货计划达成：（1） 确保货准时发货，按照计划发货；（2） 到货有变动必须及时通知项目经理5、 方案负责人：客户需求了解及把握，提供网

10、络规划设计及业务需求解决方案6、 项目经理：项目实施负责人，每个省指定的技术主管负责，对项目全过程管理，及时反馈进展给客户，并与客户方保持良好沟通，协调解决过程中的问题，确保项目目标按时实现7、 项目成员：接受项目经理安排，具体负责项目实施工作8、 后台项目支撑团队：发货情况跟踪与记录、提供项目计划与过程检查、项目过程中的材料收集审核、项目文档制作存档等2.2相关人员本项目主要有以下相关人员（干系人）：名称工作内容/分工XXX总部1、 提出建设需求，参与方案探讨，审核批准乙方的实施方案；2、 管理甲方各成员，如线路运营商、布线公司、装修公司、软件公司等3、 接受并审核项目中涉及到的安装材料、费

11、用预算，并报送审批4、 审批项目总体计划，批准乙方具体计划审核，向各成员下达任务5、 接受每天项目的进展反馈，协调处理项目过程重点各项阻碍或问题XXX门店人员1、 IT经理代表XXX参与工程实施的勘测、实施、验收过程2、 到货签收单、布线与设备安装记录、验收报告等签字3、 接收设计或实施的变更需求，协调并反馈线路运营商1、 提供各点线路开通日期的计划2、 按时开通线路，达到通信标准3、 提供到指定位置如机柜的接口4、 实施过程中提供线路测试配合注意：本项目是先申请、等通知开通，而运营商市场部可能会承诺线路开通日期，往往不准确，有时候与对方工程队核实提供开通时间，大型的工期紧张的项目，必须要求对

12、方协调工程队到场，严格按计划次序准时开通线路。服务商北明1、 提供项目经理，及工程项目总技术负责人2、 按合同要求提供足够的工程师，并制作实施方案3、 提供对项目组的培训，提供文档、模板、记录，便于运维4、 按总体计划制定分布实施具体计划，完成各设备的安装调试5、 按项目建设方案的要求，调试整个网络，确保达到合同要求6、 以天、周为单位，反馈项工作进展、计划完成进度、问题等7、 与甲方接口人一起对网络进行验收，签署总的验收报告布线公司 工程中线路无法实现需求，布线公司负责：1、 按方案要求提供设备间或设备与配线架间的线路布置及连接2、 在项目实施过程中，提供线路调试的配合软件集成公司1、 项目

13、实施前/实施方案确定前，提出网络硬件实施需要的配合2、 按方案要求，提供项目涉及业务系统软件的安装和功能性能调试3、 在项目组进行系统调试、业务联调过程中提供配合并解决软件的问题表1相关相关人员及分工2.3实施团队本项目的实施投入最大的是门店部分，门店实施人员的安排参考2.3附件：门店实施团队人员分组分工，基本安排：1、 ；2、 方案、标准、附件、模板等资料在试点后定稿，由培训部王宇峰组织负责各门店具体的实施人员集中培训，以及针对XXXIT经理等关键参与人的视频培训；3、 每个大区设1名项目负责人，负责本区域具体计划制定安排，以及实施方案的执行落地，具体包括：实施方案培训、勘测指导、布线谈判、

14、项目进度与质量管理、客户协调、问题处理、文档检查等；4、 每2-3个门店设1名实施人员，同时准备几名经验丰富的人员备用随机调动，实施人员按计划开展实施，及时和大区项目负责人沟通，每天邮件反馈进展和问题；5、 每2-3个大区设1名后台商务人员，负责日报收集汇总、文档资料进行收集确认；6、 指定2-3人负责勘测后机房、AP点位、布线的CAD图纸制作。2.4管理规范为确保甲方的网络系统安全、预防各实施方人员发生意外事故，乙方项目经理负责获得甲方场地管理规章制度，在项目例会中传达到所有项目成员。对于需要出入施工场地的人员，通常要遵守以下基本行为规范：1、 主动了解并严格遵守甲方管理规章制度；2、 进入

15、施工场地提前联系预约，征得甲方接口人同意；3、 进入场地主动报公司名称并出示证件登记；4、 离开场地要与甲方接口人打招呼；5、 出入所带物品应登记，妥善保管；6、 安装、插拨设备模块电缆需带防静电手腕；7、 严禁在场地内抽烟、喝水、吃东西、玩游戏、打闹；8、 未经甲方接口人批准，严禁动其它设备或线路；9、 未经甲方接口人批准，严禁对机房、设备等拍照录像；10、 拆装静电地板、天花板，需要甲方接口人许可并在场；11、 安装后，清理现场，整理各种物品，保持场地的整洁；12、 严禁携带与本次工程无关的人员进入施工场地；13、 完成实施后清扫现场，带走多余的材料。除上述基本规范外，应主动向甲方接口人了

16、解更多要求，并按其要求执行。2.5成员培训 对项目成员进行培训，讲解施工标准、安装步骤、项目管理方法、文档要求。并对成员进行考试，合格后方允许组织施工。3设备组网3.1系统架构以下为本项目的系统架构图，下一层支撑上一层的业务，项目实施可遵循分层先后开展，后期运维/使用/管理可按层次由不同职能部门分工承担。图1 系统架构图以下为整网逻辑结图：3.2网络拓扑拓扑参考3.2附件：XXXWLAN项目网络拓扑，以下为整网基本拓扑结构（门店以三种类型代表）：图2 整网拓扑图网络拓扑说明：1、 所有门店通过互联网线路与总部IDC建立两条VPN隧道（使用IPsec VPN并加密，以对传输到后台的用户数据起保护

17、作用），与中心端接相同运营商线路的核心防火墙建立主隧道，与另一台防火墙建备隧道，正常情况下，备隧道不转发数据；2、 IDC提供的接入线路公网地址可能会发生变化，或者因数据中心搬迁等造成IP地址调整，为减少因中心端公网地址改变带来的大量网点的配置更改的工作量，采用域名解析，在网点防火墙上配置VPN的对端地址为域名，使用XXX二级域名，由XXX域名服务器提供域名服务，先按三个公网接口规划三个域名，分别对应电信、移动、联通线路；3、 PORTAL、认证计费、网络管理、广告推送、客户信息、定位信息等业务数据通过VPN隧道与IDC服务器区进行互联；具体情况及数据量由软件方艾逛确认：业务类型功能简介解决方

18、案数据量PORTAL门店无线上网终端设备连接后，服务器推送认证页面，并老客户免认证，即不再次推送艾逛提供云端PORTAL服务，连通短信网关服务较小认证计费针对接入无线网络的终端进行认证，并对部分用户计费艾逛PORTAL同时可认证，计费待定较小IMC网管针对所有AP、网络设备提供基于SNMP的网络管理，可对设备进行状态查看，配置修改等XXXIMC提供软件，硬件XXX提供上行大BI大数据待定艾逛提供软件待定广告运营待定艾逛提供软件下行大4、 门店办公数据到IDC的WLAN核心交换机后，到生产网核心交换机，再到生产服务器5、 来宾上网、移动POS机通过本地互联网线路出局（移动POS机类似网银，应用层

19、加密访问处于公网上的服务器，而非接入到IDC后台）3.2.1 数据中心以下为数据中心网络拓扑结构：图3 数据中心网络拓扑网络拓扑说明：1、 每台核心防火墙四个万兆光口四条多模万兆光纤接到两台核心交换机，使用链路聚合方式；2、 核心交换机两台之间虚拟化，虚拟成一台交换机，服务器两个网络接口，起链路聚合协议接到核心交换机；3、 任一台核心防火墙宕机，其上的外网线路不可使用，或者任一条线路故障，也将不可用，此时，网点防备VPN（此类跨运营商的VPN有可能质量达不到良好的通信质量和速度）；4、 将来增加移动线路，则增加一台防火墙，类似方式接入。注：鹏博士提供的外网线路为BGP选择路由，即同时具备多运营

20、商出口路由自动选择，由此，可解决门店采用不同运营商线路接入到中心VPN需要上线线路匹配的难题，但中心端出口使用两个公网线路仍有必要，主要为备份需要。3.2.2 图商门店以下为图商门店网络拓扑结构：图4 图商门店网络拓扑网络拓扑说明：1、 图商门店部署出口防火墙、无线控制器AC、上网行为管理、缓存服务器、定位服务器，其中定位数据在本地服务器存储2、 门店的审计数据、日志信息、用户信息等，通过VPN隧道上传到数据中心相应服务器进行计算、分析、统计、输出报表3、 防火墙依据下面业务网段的数量配相应子接口，每个子接口的地址是下面对应业务网段的网关，接入交换机每个业务网段划一个VLAN，具体VLAN划分

21、的标准：VLAN号用途网关设备VLAN10设备管理防火墙VLAN100移动办公防火墙VLAN200苹果业务防火墙VLAN300智能家居防火墙VLAN400来宾上网防火墙VLAN500预留防火墙4、 出口防火墙承担上网终端的DHCP服务器，其他设备地址除AP外的管理地址，实行固定分配；5、 AP走本地转发，不走集中转发模式，以减少AC的压力；6、 上网行为管理、缓存服务器，根据外部线路的带宽，提供两种性能设备（100M和60M两种），上网行为管理提供限速、安全审计；缓存提供上网加速（XXX相关网站、视频、网页、推送广告、电商网站、比价网站）。3.2.3 网络门店以下为网络门店网络拓扑结构：图5

22、网络门店网络拓扑网络拓扑说明：1、 网络门店部相对图商门店，少了定位服务器，其他一样2、 上网行为管理、缓存服务器，根据外部线路的带宽，提供两种性能设备3.2.4 中小门店以下为一般门店网络拓扑结构：图6 中小门店网络拓扑网络拓扑说明：1、 一般门店未配无线控制器AC、上网行为管理、缓存服务器、定位服务器，出口防火墙内置上网行为管理/审计功能2、 一般门店的AC由数据中心的AC承担3、 出口防火墙承担上网终端的DHCP服务器3.3设备清单3.3.1中心设备IDC数据中心对应的网络设备清单：设备品牌/型号数量核心防火墙XXX/ NS-SecPath F5020，标配4个万兆多模光模块、1只300

23、W电源AC-PSR300-12A22台核心交换机XXX/LS-10512 交换机，每台配：1、 2张LSUM1SUPB0主控引擎模块2、 4张LSUM1FAB12D0交换网板D类3、 4只LSUM1AC2500交流电源模块2500W4、 1张LSUM1TGS24EC0 24端口万兆以太网光接口模块(SFP+,LC)(EC)标配24个万兆多模光模块5、 1张LSUM2GT48SE0 48端口千兆以太网电接口模块(RJ45)2台网管软件XXX/网管软件/授权：1、 2套iMC-智能管理平台标准版PFX2、 2套iMC-智能管理平台标准版3、 4套iMC-智能管理平台标准版-100 License4

24、、 2套iMC-智能管理平台标准版-500 License5、 2套iMC-智能管理平台标准版-50 License6、 2套iMC-智能管理平台标准版-25 License7、 2套iMC-WSM无线业务管理组件8、 2套iMC-WSM无线业务管理组件-50 License9、 6套iMC-WSM无线业务管理组件-1000 License1套无线控制设备XXX/WX5540H-EWPXZ15540H-无线控制器主机(12GE+12SFP+4SFP Plus)-国内海外合一版，每台配300W AC 电源模块2张，LIS-WX-1024-BE，H3C Access Controller-EWPX

25、M1WCM1024-增强型无线控制器license授权函-管理1024AP-企业网专用-V7专用-国内海外合一版2张一期2台二期7台网管服务器网络管理IMC服务器每台配：1、 7根8GB PC3L-12800R(DDR3-1600)内存模块(v2)2、 2块1TB 6G-SAS-7.2K-2.5英寸硬盘模块3台PORTAL认证服务器待定图商服务器待定计费服务器待定广告营运管理平台服务器待定BI数据分析服务器待定表1 数据中心设备配置3.3.2门店清单一期项目门店及对应的设备型号信息如下：类型数量设备品牌/型号数量图商门店29防火墙XXX/H3C SecPath F1020，16个10/100/

26、1000BASE-T,8个100/1000BASE-X SFP，标配2个千兆多模光模块1图商服务器待定/参考配置：R720 E5-2620V2*2 8G*4 500G SATA DVD H310495W1无线控制器ACXXX/WX2540E 6端口千兆(5GE-T+1SFP)或：EWP-WX3510E 4端口千兆Combo1上网行为管理网康/IMS2050（带宽60M的用IMS2030）1缓存服务器网康/NP6510（带宽60M的用NP6505）1POE交换机XXX/S5130-28S-PWR-EI L2以太网交换机主机,支持24个10/100/1000BASE-T端口,4个1G/10G16无

27、线APXXX/WA4320-ACN-内置天线双频2条流693机柜600*800*2000的机柜1小机柜600*400*350的可壁挂、落地小机柜14网络门店71防火墙XXX/H3C SecPath F1020，16个10/100/1000BASE-T,8个100/1000BASE-X SFP，标配2个千兆多模光模块1无线控制器ACXXX/WX2540E 6端口千兆(5GE-T+1SFP)或：EWP-WX3510E 4端口千兆Combo1上网行为管理网康/IMS2050（带宽60M的用IMS2030）1缓存服务器网康/NP6510（带宽60M的用NP6505）1POE交换机XXX/S5130-2

28、8S-PWR-EI L2以太网交换机主机,支持24个10/100/1000BASE-T端口,4个1G/10G16无线APXXX/WA4320-ACN-内置天线双频2条流 802.11ac/n AP-SI693机柜600*800*2000的机柜1小机柜600*400*350的可壁挂、落地小机柜14表2 一期门店设备配置3.3.3设备配发依据门店的信息，结合上述设备配置的标准，确认每个门店的设备清单3.3.3附件：门店产品配置表100家【计划】。此清单仅为计划，实际设备数量以现场勘测后调整的为准。3.4设备命名为方便进行网络设备的维护识别、网络管理、资产管理，建立统一的命名规则对设备进行命名：1、

29、用英文编码对网络设备命名，包含防火墙、交换机、AC、AP等全部网络设备2、网络设备名称为：一级分部编码-下属门店编码-楼层编码-设备编码（多台同型号加序号），分部和门店的编码参考3.4附件：分部及一期门店命名表3、具体到设备，编码规则示例如下表:一级分部名称门店名楼层号设备/序号分部名称缩写代码加分部类型缩写（XXX、大中、永乐）代码去掉门店类型/级别、店或分店后，编码缩写根据信息表中的楼层命名以设备类型命名，如有多台同类设备，依次增加序号，单台设备不加序号例：的编码为CDGM，北京大中分部的编码为BJDZ例：旗舰店编码为CDCRL如F1、F2、B1、B2例：门店交换机=POE1、门店防火墙=

30、FW、门店=AP1例如，根据以上规则，则安装在B2层的成都成仁路旗舰店的12号AP的最终编码为：CDGM-CDCRL-B2-AP12，安装在B1层的2号交换机为：CDGM-CDCRL-B1-POE2。AP的命名，从最底一层的第一个开始（以地图正面朝上，先左后右先上后下，即最底一层的最左上角的第一个AP，命名为1号）。4技术方案4.1地址规划4.1.1 门店地址WLAN网络的IP地址的规划原则：1、 防火墙作为门店总出口；2、 结合分区域管理的组织结构分段并且确保预留数量;；3、 结合自上而下的管理分级分层，以便未来可做路由汇总；4、 对门店、设备精确分配地址段或指定地址，便于管理；具体的地址分

31、配标准如下:XXXwifi网门店IP地址根据用途包括用户地址和设备管理地址两个大类。用户地址：不需要访问IDC或生产网地址本地有效；每个门店分配8个C作为无线用户上网使用；移动办公：2个C 512个地址,本地私网地址192.168.204.0/23，不与其他网络互通；苹果专区：1个C 256个地址，本地私网地址192.168.206.0/24，不与其他网络互通；智能家电：1个C 256个地址，本地私网地址192.168.207.0/24，不与其他网络互通；来宾上网：4个C 1024个地址，本地私网地址192.168.200.0/22，不与其他网络互通；设备管理地址：可能需要和IDC的网管软件、

32、portal服务器或备用ac等直接通信；启用XXX未使用新网段，与已使用的IP地址有足够的间隔，选用10.70.0.0/16-10.70.74.0/16；根据门店AP数量使用64(=50个AP）个设备管理地址；每个C类地址段可分配个4个门店，根据各分部目前的门店数，分别分配16、32个C，可容纳64、128个门；每个门店子网的最高1位地址，作为设备管理网段的网关；每个门店子网的最低1-5位地址，分别做为流量控制，缓存、定位服务器、AC管理、汇聚交换机；普通门店（50个AP，目前最多10个交换机）DHCP保留前20个地址不分配，仅分配余下的104个地址；第6-14位地址，作为其他POE交换机的管

33、理地址；第20个地址作为与生产网路由器互连；第15-20作为生产网备份时NAT的地址池；具体地址分配见附件。4.1.2 中心地址WLAN的数据中心用XXX现有地址中单独的B类地址10.75.0.0/16网段，以便未来与XXX当前内部网络可实现实地址的互联互通。数据中心的地址规划详见4.1.2附件：数据中心IP地址规划分配表。4.2端口规划根据运维和网管需要在防火墙开通相关策略（包括远程管理、syslog、snmp等），允许特定的端口访问数据中心服务器区域。如下表：源IP目标IP通信端口号上网终端正常业务80、8080AP中心端ACTCP 57777UDP 57776/57778/57779中心

34、端ACAP防火墙IMC/PortalUDP 1812/认证UDP 1813/计费TCP 8443/AAS WEBTCP 9443/Portal WEBUDP 2000/Portal 设备注册防火墙集中网管UDP 514/审计日志TCP 4433、8888、60005、60006/源和目的都要放行，网管内部通信端口TCP 80/WEB管理TCP 21、20/FTP网康IMS和NPS网康升级服务器TCP 43/管理页面与升级服务器通讯TCP 22/下载升级包TCP 1812/用于启用网管后的IMC用户同步广告推送服务器软件厂商确定定位服务器软件厂商确定认证计费软件厂商确定大数据分析软件厂商确定4.

35、3网络安全4.3.1接入策略不同子网/业务的接入/访问控制规则如下：1、无线客户端安全访问WLAN数据中心：门店防火墙同数据中心防火墙建立IPSecVPN加密隧道，只允许源自防火墙、AP、AC的管理协议和数据流。2、无线客户端同门店AP、防火墙逻辑隔离：管理网段、来宾上网等不同的业务网段采用不同的VLAN，防火墙业务网段网关接口禁止管理访问。3、数据中心部署策略：数据中心VPN设备同时是防火墙的方式部署。IPSec VPN区域的流量在VPN网关解封装之后还需经过防火墙的过滤才能到达内网服务器。4、管理数据流通道：网点到数据中心走IPsecVPN，为网络管理数据流量提供数据通道，保障管理数据流的

36、安全；中心的广告等数据通过此VPN通道推送。5、来宾上网无线客户端禁止互访：配置策略禁止无线客户端互访，提高网络安全性。4.3.2数据控制1、防火墙防攻击：防火墙关闭掉不使用的端口，并提供入侵防护功能，支持入侵防御、防攻击。2、上网行为管理屏蔽非法访问【网康：给出安全管理策略，先按通常策略做】。3、上网行为管理对AP接的上网设备进行流量限速、下载、视频等控制，以下针对50M及以上的出口带宽的大型门店的限制标准：接入区域接入对象限制标准【网康+PORTAL设置】来宾上网来店客户终端单次认证限时2小时，来宾上网总带宽不超过出口带宽的90%，P2P和在线视频不超过总带宽的5%移动办公款台人员的电脑不

37、限速，不限时，不限内容；可上互联网。最大4M总带宽，抢占。智能家电店内展示用智能电视机、冰箱等不限时，不限内容；Portal和纯MAC手动添加，智能家电可能收费，如有申请，增加出口带宽提供给此类收费用户专用，免监控不受任何策略限制苹果专区苹果专区展示手机、PAD不限时，不限视频，不限下载；带宽4M-10M移动POS移动刷卡机、收银机不限时，不限速，高优秀级，免监控不受任何策略限制，保留1M管理数据AC、AP等被网管设备保留7M带宽4.3.3登录限制1、允许本地Consol口访问查看修改设备配置信息；2、不允许门店来宾上网网段、非总部防火墙外网口的互联网地址登录访问网络设备，只允许AC同一网段的

38、内网网段（telenet方式）、总部防火墙外网地址（SSH方式，配置用电脑到被管理设备之间加密）、总部数据中心内网网段（SSH方式）登录设备；3、门店防火墙预留维护VPN，分配给分部IT经理；总部防火墙预留VPN，分配给总部IT经理；可以在紧急情况下拨入网络进行故障处理或网络维护。4.3.4生产保护为安全起见，在门店的防火墙做两条策略，只允许移动办公和备份线路切换产生的数据访问生产服务器区。建议在WLAN和生产两个核心区域之间增加IPS等安全设备。4.4路由规划4.4.1无线路由无线网络区域的路由及数据流如下：关键数据的路径如下： 移动终端上网：默认网关为防火墙F1020内网口地址，到防火墙后

39、，送到互联网 认证和定位等数据与后台服务器的交互访问：默认网关指向防火墙F1020内网口，到防火墙后，走VPN隧道，到核心防火墙F5020，到核心交换机，送到服务器。主要设备的路由如下：序号设备类型默认网关/静态路由动态路由1上网终端默认网关指向防火墙内网口无2图商服务器、AC等网关指向防火墙内网口，或后台服务器网段作唯一静态路由无3门店防火墙默认网关指向外网出口，到后台服务器区网段的静态路由2条，优先指向主VPN隧道其次备隧道无3核心防火墙默认网关指向核心交换机的直连接口，同时，在网点防火墙与其建立VPN后，因反向路由注入增加到每个门店的防火墙VPN内网段的静态路由面向核心交换机的一侧起OS

40、PF动态路由，将自身的反向路由注入增加的静态路由发布到OSPF中4核心交换机无（默认网关可以指向核心防火墙的内部接口，但两台防火墙不同地址无法确定谁更合适，且无实际作用）全部接口OSPF，同时接收来自核心防火墙的静态路由分发，以及来自于生产区域的BGP分发5生产核心交换机增加到172网段的静态路由，指向WLAN核心交换机的相连口未知。4.4.2备份路由WLAN网络为生产网做线路备份，在门店生产网络专线（当前门店大部分为一条专线上行），路由走向如下图（参考4.4.2附件：WLAN网做生产网线路备份），红色虚线为上行，绿色虚线为下行路由：网点线路备份的说明：1、 门店生产网PC默认路由指向接入路由

41、器，接入路由器默认路由（有可能是动态）指向汇聚路由器，接入路由器增加备份路由到WLAN区域的防火墙F1020，则门店生产网络专线断掉，门店生产PC（10网段，访问对象为生产服务器区10网段）可通过接入路由器（XXXMSR2011）到F1020，再通过VPN隧道上联到WLAN核心区域，再到生产中心端并回传，由于生产区域的核心做过路由汇总，没有门店网段的具体路由，则回程路由仍被送到生产区域的接入区域专线断掉后此路由消失，如为静态路由则不通）而无法回程。为解决此问题，在接入路由器接到WLAN区域的接口做NAT，10网段的生产PC转换为WLAN区域的172地址后，通过VPN进入WLAN核心再到生产核心

42、，回程仍送到门店F1020再到接入路由器MSR2011，再去NAT回到生产PC；2、 此配置下，专线正常时，WLAN区域的无线移动办公，最好不走专线端上联，原因：如无线区域移动办公走专线上联并回传，专线路由器采取点到点的方式与防火墙起的三层接口互联，如专线断掉，专线路由器内部OA设备经此路由器NAT（上端原有汇总路由到内部OA，如走路由模式而非NAT方式上行，则无法实现回传的路由）到无线的防火墙、经过防火墙VPN到上端核心防火墙内部，再到后台业务中心，上端OA核心N7000配到无线核心交换机10510的路由，无线核心交换机配到下端的每个网店防火墙内的明细路由（每个网点1条），则专线断掉后、专线

43、内部OA等设备可通过无线侧的VPN备份。如专线正常，则无线OA，先到专线路由器，通过专线路由器走另一个NAT到N7000再后台业务中心，回传路由可借原有的核心区域的N7000往下。如不再做NAT，则回传的路由和无线备份的路由是同一条网段的路由，回传会首先被送到无线核心交换机一侧，而无法实现回传。由于此方式在专线路由器端有两个NAT，非常复杂，且容易导致路由混乱，不建议采用。4.5设备部署4.5.1 大中型门店机柜设备部署每台设备间隔2U，机柜从下至上定为1-42u；如店铺没有以下规划设备（定位服务器仅29家大型门店部署），机柜空间预留；机柜U数（从下至上数）设备名称第27U防火墙第24U行为管

44、理设备第20、21U缓存服务器第16、17U定位服务器第13U无线控制器第10UPOE1第7UPOE2第4UPOE34.5.2 小型门店主机柜设备部署每台设备间隔2U，机柜从下至上定为1-22u；如店铺没有以下规划设备，机柜空间预留；机柜U数（从下至上数）设备名称第16U防火墙第13U无线控制器（未来预留）第10UPOE1第7UPOE24.5.3 数据中心设备部署wifi数据中心租用于鹏博士IDC，三期共规划使用10个机柜，其中服务器、存储机柜6个，网络机柜4个。第一期网络机柜设备部署情况如下：4.6网络管理4.6.1分级管理此网络中设备数量多，采取分级操作权限（网络设备）、分区管理（根据用户

45、名下发允许登陆的设备）模式，管理思路如下：网管设备权限网管权限权限维护方式分部IT经理IT人员本分部内设备分配：1、登录用户名密码可登陆网络设备，查看基本状态2、特权模式密码，可进入设备特权模式，修改设备配置3、分部内防火墙提供VPN拨入，用于IT人员远程维护设备（需AAA认证）4、本分部内的AC配置/策略集中下发的权限1、本分部内的设备，分配网管平台的只读权限的账号2、负责分部内门店发生如变化，网管平台权限相应修改1、设备用户名密码采取电子表格登记，总部集中保管2、网管用户名密码采取电子表格登记，总部集中保管总部IT经理提供所有设备：1、登录用户名密码可登陆网络设备，查看基本状态2、特权模式

46、密码，可修改设备配置3、核心防火墙提供VPN拨入，用于远程网络管理1、分配网管平台所有全国设备的读写权限的账号2、可修改、注销、新增其他分部IT经理的权限1、设备用户名密码采取电子表格登记，专人集中保管2、网管用户名密码采取电子表格登记，专人集中保管补充说明：因网络设备较多，采用手工分配并管理用户名密码工作量大，且不易于管理，可以使用XXXEIA做终端准入控制，将登陆网络设备的权限在后台服务器做统一认证管理。门店网络设备预留AAA服务器的配置，同时保留本地认证配置，以免AAA认证不通时无法正常登陆。4.6.2 登录授权以XXX为主的网络设备的网管，IMC平台EIA模块提供无线上网终端的认证，也

47、可以用于后续网络设备AAA认证。只要有足够的license（用于网络设备登陆AAA认证时，针对的是管理员数量，不是被管理设备，被管理设备的数量许可是IMC平台的license）。门店防火墙允许VPN拨入，用于网络管理员远程管理设备，对拨入的VPN用户分配固定IP，只允许此IP访问门店的防火墙、POE交换机、AC等网络设备。另，可以采用EIA自带的TACACS认证，实现对网络设备的分权限控制（比如查看、修改配置等）。TACACS服务器在总部，可以对用户分组，设置不同的权限。另，需要考虑权限级别和被管理对象的范围，将分组对应的设备匹配。同时，针对COSOL口的登录做本地认证。4.7 SSID规划S

48、SID的规划依据：1、门店无线上网的用户，每一类设置一个SSID；2、每个SSID，依据业务与其管理要求、认证方式对应；接入类型接入对象SSID名称SSID可见性无线接入密码上网认证方式来宾上网来店客户终端GOME可见无密码PORTAL、短信认证移动办公店内员工或到店办公人员的终端GOME-BYOD不可见，上网人手动添加密码认证Portal +域认证智能家电店内展示用智能电视机、冰箱等GOME-TV可见密码Mac地址，账号权限由各分部IT管理 苹果专区苹果专卖店的展示手机、PADGOME-APPLE可见密码PORTAL、账号密码*苹果专区补充说明：1、有苹果的SSID，分配用户名和密码给旗舰店

49、的苹果样机上网，不做限速，保证上网带宽，可以在每个AP上都增加苹果的SSID2、为匹配苹果旗舰店的要求，通过网康上网行为管理，给予苹果SSID不超过10M不低于4M的的优先带宽。采用“带宽抢占”方式保障苹果专区的上网效果。4.8接口规划给出门店的各设备之间的硬件接口、连接方式的统一标准附件4.7：门店网络设备接口。【网康缓存和上网行为管理，均使用带外管理，占用汇聚交换机两个接口】4.9认证计费爱逛提供4.10其他要求由定位软件等运营在网络上的相关方对网络提出技术要求，暂无。5实施标准5.1标签标准本项目的标签标准如下：位置类型内容贴法网线两头黄色旗型线缆标签该网线所接设备的名称，参考“3.4设

50、备命名”靠近水晶头3-5CM的地方，顺一个方向粘贴防火墙交换机服务器黄色或白色长条形标签该设备的命名粘贴在设备左上部分AP黄色或白色长条形标签AP+序号，如AP12参考“5.3.1AP安装标准”旗型标签的显示内容，可以通过打印模板设置后，用打印机打印，参考5.1附件：旗型标签工具与模板。5.2布线标准XXX对于门店综合布线的标准为4.1标准：XXX电器弱电综合布线工程标准V1.0（含无线网），通过XXX安排合作布线公司实施6家试点门店，建立布线标准及施工方法，可参考5.1附件：门店布线标准。5.3安装标准明确门店内的POE交换机、防火墙、AC、AP等硬件设备的安装、接地、接电（门店负责提供机柜

51、的插座，机柜自带PDU）、接线、外观、标签、信息记录等要求。5.3.1 AP安装AP安装参考5.2.1附件：AP安装标准，根据不同的环境，给出不同的安装参考方法，但先要和XXXIT经理协商确认安装标准。如有超出这几种的环境，依据实际情况，和IT经理协商沟通，前提安全、美观、不影响信号覆盖、定位。5.3.2 网络设备门店网络设备的安装，从以下几个方面统一定义标准：1、 门店内的主机柜的安装要求，机柜内设备安装位置、安装标准；2、 网络设备端口使用参考“4.2端口规划”，具体接线方式、接电方式，标签要求；3、 远端POE交换机的安装要求：在备份机房或客户指定的位置安装6U的机柜或者壁挂机柜，用于远

52、端（超过100米）的AP的接入交换机安装；4、 防火墙、交换机等设备在机柜内安装步骤、注意事项，参考相应产品安装手册。以上标准具体实施参考5.2.2附件：门店机柜及网络设备安装标准。5.4初验标准【李沛】5.4.1 门店标准布线完成、设备安装后，设备各功能通过调试，要达到的标准具体如下：设备型号调试项目调试通过标准APSSID可见信号达标任意一个覆盖区域，各SSID可按规则连接PORTAL及认证弹出页面及认证符合既定规则移动办公可用信号覆盖信号强度符合标准，最低不小于-65dbm备份可用限速达标防下载、限速等符合设置标准苹果专区达标苹果专区上网速度符合4-10M定位误差内【艾逛明确】POE交换

53、机防火墙5.4.2 数据中心6数据中心建设6.1时间计划IDC数据中心的安装、调试计划如下：时间计划事项具体做法8月18日内部规划数据中心规划和方案、拓扑1、与XXX技术确认2、提供方案文档8月19日和客户讨论数据中心的网路结构1、邀请XXX、网康厂商参与2、和客户负责人确认，获取数据中心所需要的资料8月19日数据中心现场勘测1、确认设备安装机柜要求2、勘测现场为设备安装做准备8月20-28日IDC机房不满足项目改造及下工单1、机柜配电确认2、设备摆放确认8月28日和客户确认数据中心网络结构提供数据中心规划文档，请厂商、客户审核确认8月28日设备全部到货依据数据中心设备清单发货8月23-28日

54、实施准备准备数据中心实施需要的流程办理、工具材料准备、2名实施人员确定、技术方案掌握8月28日进场实施1、清点设备，客户签收2、设备上架安装接线3、软件配置调试3、与门店联调，确保通过待定软件POC配合6.2现场情况经过对IDC现场勘测，机柜情况及桥架情况如下图（现场不允许拍照，以下情况类似，供参考）：具体情况如下：1、地址：北京市朝阳区酒仙桥北路9号恒通国际创新园C10鹏博士IDC2、收货人：XXX提供一定的支持3、位置：MD10-B模块间，格局可参考附件6.2：MD10BXXX机柜位置图，近B2X07号门，可以24小时施工4、机柜：C18-C09共10个连续柜，品牌型号：普天JFP114C

55、，规格尺寸：47U的600*1000*2350，12个托盘，5个L型托架，竖向PDU 8个国标孔位？2200W？不带上柜螺丝5、每个机柜提供2个PDU插座，每个插座10A的7个，16A的1个；6、运营商外部线路：IDC承诺可以拉到机柜，运营商有线路需要2小时时间7、布线及安装：机柜间可以走上机柜上桥架，实施方自行布线安装8、设备材料进场：参考人员进场方式，提交工单走手续9、多出的托盘，可堆放在模块间角落，另，提前2-3天提出，可以处理走10、安放笔记本或显示器、键盘的调试台每个模块间1个，梯子是一栋楼几个共用，可以向IDC工作人员借用11、设备到楼下，二次运输实施方负责，可以借推车走货梯上楼，

56、无叉车12、故障板卡需要运出IDC，不用登记，可以带出，但主机带出需要与商务沟通下工单走流程13、所有设备变更、人员进入，都需要提前提出，联系IDC商务下工单14、个人物品需要存放在一楼储物柜，如需要带笔记本、水杯、工具等物品进入（可以从楼外货梯直接上来），水杯存放在北二层登记处，走出模块间可以到此处喝水，机房内严禁喝水、拍照15、鹏博士王工：每个机柜能提供的最大的功率，王工反馈上面配的是32A的开关，安全电流是在两路加起来不能超过26A，当前一台网络柜2500*2+330W，国标插头，16A，发邮件给x博士。如果有更大的需求，需要改造，时间看改造量。现在没有380V三相）16、机房恒温22度

57、，夏天注意防寒，建议带一件外套或长袖衣服6.3工具配置安装调试过程中，每组实施队伍，需要携带以下工具和材料，如下：工具/材料规格数量笔记本螺丝刀两把一字，两把十字1套上柜螺丝标准19英寸机柜1包六类网线若干六类水晶头1包网线钳1只测线仪网线测试仪1只标签纸事先打印好1包6.4服务器区依据定位软件厂商的规划，IDC机房服务器区需要放置如下服务器（由XXX提供含数据库软件、操作系统、KVM）：期间内容服务器数服务器要求1期portal及广告管理132G 8核 1T432G 6核 4T数据分析316G 8核 1T832G 8核 2T定位图商632G 6核 1T网管（含SQL数据库）364G 8核2T

58、2期扩容广告及portal632G 8核 1T网管564G 8核 2T数据分析116G 8核 1T432G 8核 2T3期扩容portal及广告管理132G 8核 1T132G 6核 4T数据分析116G 8核 1T232G 8核 2T其中，数据分析区域的服务器具体为：数据分析区服务器部署负载均衡服务器1（16G 8核 1T）应用服务器2（16G 8核 1T）数据存储服务器3（32G 8核 2T）hadoop数据计算服务器5（32G 8核 2T）6.5机柜规划【任卫民】机柜内安装的设备及服务器的数量、高度如下表，具体布局参考6.4附件：IDC数据中心机柜布局：【20150911修改：C09安装AC台，C10安装AC2台，C11安装1台核心交换机1台防火墙，C12同C11，其他不变】编号机柜类型安装设备类型-型号数量高度功率C09网络柜1数据中心交换机-LS10512118U数据中心防火墙F502014U