XXXX无线覆盖项目实施实施方案.pdf
《XXXX无线覆盖项目实施实施方案.pdf》由会员分享,可在线阅读,更多相关《XXXX无线覆盖项目实施实施方案.pdf(76页珍藏版)》请在三一文库上搜索。
1、XXXX 无线覆盖项目实施方案 2 作者: 日期: XXX无线上网项目一期 网络设计 ; 3、 结合自上而下的管理分级分层,以便未来可做路由汇总; 4、 对门店、设备精确分配地址段或指定地址,便于管理; 具体的地址分配标准如下 : XXX wifi 网门店 IP地址根据用途包括用户地址和设备管理地址两个大类。 用户地址: 不需要访问 IDC或生产网 地址本地有效; 每个门店分配 8 个 C作为无线用户上网使用; 移动办公: 2 个 C 512个地址 ,本地私网地址 192.168.204.0/23,不与其他网络互通; 苹果专区: 1 个 C 256个地址,本地私网地址192.168.206.0
2、/24,不与其他网络互通; 智能家电: 1 个 C 256个地址,本地私网地址192.168.207.0/24,不与其他网络互通; 来宾上网:4 个 C 1024个地址,本地私网地址 192.168.200.0/22,不与其他网络互通; 设备管理地址: 可能需要和 IDC的网管软件、 portal 服务器或备用 ac等直接通信; 启 用XXX 未 使 用 新 网 段 , 与 已 使 用 的IP 地 址 有 足 够 的 间 隔 , 选 用 10.70.0.0/16-10.70.74.0/16; 根据门店 AP数量使用 64(=50个 AP)个设备管理地址; 每个 C类地址段可分配个4 个门店,根
3、据各分部目前的门店数, 分别分配 16、 32 个 C, 可容纳 64、128个门; 每个门店子网的最高1 位地址,作为设备管理网段的网关; 每个门店子网的最低1-5 位地址,分别做为流量控制,缓存、定位服务器、AC管理、 汇聚交换机; 普通门店( 50个 AP,目前最多 10 个交换机) DHCP保留前 20 个地址不分配,仅分配余下的104 个地址; 第 6-14 位地址,作为其他 POE交换机的管理地址; XXX门店无线覆盖项目 24 第 20 个地址作为与生产网路由器互连; 第 15-20 作为生产网备份时NAT的地址池; 具体地址分配见附件。 4.1.2 中心地址 WLAN 的数据中
4、心用 XXX现有地址中单独的B类地址 10.75.0.0/16网段,以便 未来与 XXX当前内部网络可实现实地址的互联互通。数据中心的地址规划详见 4.1.2 附件:数据中心 IP 地址规划分配表 。 4.2 端口规划 根据运维和网管需要在防火墙开通相关策略(包括远程管理、 syslog 、snmp等) , 允许特定的端口访问数据中心服务器区域。如下表: 源 IP 目标 IP 通信端口号 上网终端正常业务80、8080 AP 中心端 AC TCP 57777 UDP 57776/57778/57779 中心端 AC AP 防火墙IMC/Portal UDP 1812/ 认证 UDP 1813/
5、 计费 TCP 8443/AAS WEB TCP 9443/Portal WEB UDP 2000/Portal 设备注册 防火墙集中网管UDP 514/ 审计日志 TCP 4433、8888、60005、60006/ 源和目的 都要放行,网管内部通信端口 TCP 80/WEB管理 TCP 21、20/FTP 网康 IMS 和 NPS 网康升级服 务器 TCP 43/ 管理页面与升级服务器通讯 TCP 22/ 下载升级包 TCP 1812/ 用于启用网管后的IMC用户同步 广告推送服 务器 软件厂商确定 定位服务器软件厂商确定 认证计费软件厂商确定 XXX门店无线覆盖项目 25 大数据分析软件
6、厂商确定 4.3 网络安全 4.3.1 接入策略 不同子网 /业务的接入 /访问控制规则如下: 1、无线客户端安全访问WLAN 数据中心:门店防火墙同数据中心防火墙建立IPSecVPN 加密隧道,只允许源自防火墙、AP 、AC的管理协议和数据流。 2、无线客户端同门店AP 、防火墙逻辑隔离:管理网段、来宾上网等不同的业务网段 采用不同的 VLAN ,防火墙业务网段网关接口禁止管理访问。 3、数据中心部署策略:数据中心VPN设备同时是防火墙的方式部署。IPSec VPN 区域 的流量在 VPN网关解封装之后还需经过防火墙的过滤才能到达内网服务器。 4、管理数据流通道:网点到数据中心走IPsecV
7、PN ,为网络管理数据流量提供数据通 道,保障管理数据流的安全;中心的广告等数据通过此VPN通道推送。 5、来宾上网无线客户端禁止互访:配置策略禁止无线客户端互访,提高网络安全性。 4.3.2 数据控制 1、防火墙防攻击:防火墙关闭掉不使用的端口,并提供入侵防护功能,支持入侵防 御、防攻击。 2、上网行为管理屏蔽非法访问【网康:给出安全管理策略,先按通常策略做】。 3、上网行为管理对 AP接的上网设备进行流量限速、 下载、视频等控制, 以下针对 50M 及以上的出口带宽的大型门店的限制标准: XXX门店无线覆盖项目 26 接入区域接入对象限制标准【网康 +PORTAL 设置】 来宾上网 来店客
8、户终端单次认证限时 2 小时,来宾上网总带宽不超过出口 带宽的 90%,P2P和在线视频不超过总带宽的5% 移动办公 款台人员的电 脑 不限速,不限时,不限内容;可上互联网。最大4M 总带宽,抢占。 智能家电 店内展示用智 能电视机、冰 箱等 不限时,不限内容; Portal 和纯 MAC 手动添加,智 能家电可能收费,如有申请,增加出口带宽提供给 此类收费用户专用,免监控不受任何策略限制 苹果专区 苹果专区展示 手机、 PAD 不限时,不限视频,不限下载;带宽4M-10M 移动 POS 移动刷卡机、 收银机 不限时,不限速,高优秀级,免监控不受任何策略 限制,保留 1M 管理数据 AC、AP
9、 等被 网管设备 保留 7M 带宽 4.3.3 登录限制 1、允许本地 Consol 口访问查看修改设备配置信息; 2、不允许门店来宾上网网段、非总部防火墙外网口的互联网地址登录访问网络设备, 只允许 AC同一网段的内网网段( telenet方式) 、总部防火墙外网地址(SSH方式, 配置用电脑到被管理设备之间加密) 、总部数据中心内网网段(SSH 方式)登录设备; 3、门店防火墙预留维护VPN ,分配给分部 IT 经理;总部防火墙预留VPN ,分配给总 部 IT 经理;可以在紧急情况下拨入网络进行故障处理或网络维护。 4.3.4 生产保护 为安全起见,在门店的防火墙做两条策略,只允许移动办公
10、和备份线路切换产生 的数据访问生产服务器区。 建议在 WLAN 和生产两个核心区域之间增加IPS 等安全设备。 XXX门店无线覆盖项目 27 4.4 路由规划 4.4.1 无线路由 无线网络区域的路由及数据流如下: 关键数据的路径如下: 移动终端上网:默认网关为防火墙F1020内网口地址,到防火墙后,送到互联网 认证和定位等数据与后台服务器的交互访问:默认网关指向防火墙F1020内网口, 到防火墙后,走 VPN隧道,到核心防火墙F5020,到核心交换机,送到服务器。 主要设备的路由如下: 序号设备类型默认网关 / 静态路由动态路由 1 上网终端默认网关指向防火墙内网口无 2 图商服务 器、AC
11、等 网关指向防火墙内网口,或后 台服务器网段作唯一静态路由 无 XXX门店无线覆盖项目 28 3 门店防火 墙 默认网关指向外网出口,到后 台服务器区网段的静态路由2 条,优先指向主 VPN隧道其次 备隧道 无 3 核心防火 墙 默认网关指向核心交换机的直 连接口,同时,在网点防火墙 与其建立 VPN后,因反向路由 注入增加到每个门店的防火墙 VPN内网段的静态路由 面向核心交换机的一侧起 OSPF 动态路由,将自身的反 向路由注入增加的静态路由 发布到 OSPF 中 4 核心交换 机 无(默认网关可以指向核心防 火墙的内部接口,但两台防火 墙不同地址无法确定谁更合 适,且无实际作用) 全部接
12、口 OSPF ,同时接收来 自核心防火墙的静态路由分 发,以及来自于生产区域的 BGP 分发 5 生产核心 交换机 增加到 172 网段的静态路由, 指向 WLAN 核心交换机的相连 口 未知。 4.4.2 备份路由 WLAN 网络为生产网做线路备份,在门店生产网络专线(当前门店大部分为一条专 线上行) ,路由走向如下图(参考4.4.2 附件: WLAN 网做生产网线路备份 ) ,红色 虚线为上行,绿色虚线为下行路由: XXX门店无线覆盖项目 29 网点线路备份的说明: 1、 门店生产网 PC默认路由指向接入路由器,接入路由器默认路由(有可能是动态) 指向汇聚路由器,接入路由器增加备份路由到W
13、LAN 区域的防火墙 F1020,则门店 生产网络专线断掉,门店生产PC (10 网段,访问对象为生产服务器区10 网段) 可通过接入路由器 (XXXMSR2011)到 F1020,再通过 VPN 隧道上联到 WLAN 核心区 域,再到生产中心端并回传,由于生产区域的核心做过路由汇总,没有门店网段 的具体路由,则回程路由仍被送到生产区域的接入区域专线断掉后此路由消失, 如为静态路由则不通)而无法回程。为解决此问题,在接入路由器接到WLAN 区域 的接口做 NAT ,10 网段的生产 PC转换为 WLAN 区域的 172 地址后,通过 VPN进入 WLAN 核心再到生产核心,回程仍送到门店F10
14、20再到接入路由器 MSR2011 ,再去 NAT回到生产 PC ; XXX门店无线覆盖项目 30 2、 此配置下, 专线正常时, WLAN 区域的无线移动办公, 最好不走专线端上联, 原因: 如无线区域移动办公走专线上联并回传,专线路由器采取点到点的方式与防火墙 起的三层接口互联,如专线断掉,专线路由器内部OA 设备经此路由器 NAT (上 端原有汇总路由到内部OA,如走路由模式而非NAT 方式上行,则无法实现回传 的路由)到无线的防火墙、经过防火墙VPN 到上端核心防火墙内部,再到后台业 务中心,上端 OA 核心 N7000配到无线核心交换机10510 的路由,无线核心交换 机配到下端的每
15、个网店防火墙内的明细路由(每个网点1 条),则专线断掉后、 专线内部 OA 等设备可通过无线侧的VPN 备份。如专线正常,则无线OA,先到 专线路由器,通过专线路由器走另一个NAT 到 N7000再后台业务中心,回传路由 可借原有的核心区域的N7000往下。如不再做 NAT,则回传的路由和无线备份的 路由是同一条网段的路由,回传会首先被送到无线核心交换机一侧,而无法实现 回传。由于此方式在专线路由器端有两个NAT ,非常复杂,且容易导致路由混乱, 不建议采用。 4.5 设备部署 4.5.1 大中型门店机柜设备部署 每台设备间隔 2U,机柜从下至上定为1-42u; 如店铺没有以下规划设备(定位服
16、务器仅29 家大型门店部署),机柜空间预留; 机柜 U 数 (从下至上数)设备名称 第 27U 防火墙 第 24U 行为管理设备 第 20、21U 缓存服务器 第 16、17U 定位服务器 第 13U 无线控制器 第 10U POE1 第 7U POE2 第 4U POE3 XXX门店无线覆盖项目 31 42 U 1 U 无线控制器 2 U 定位服务器 1 U行为管理服务器 缓存服务器 2 U 1 U 防火墙 1 U 交换机 POE1 4.5.2 小型门店主机柜设备部署 每台设备间隔 2U,机柜从下至上定为1-22u; 如店铺没有以下规划设备,机柜空间预留; 22 U 无线控制器 1 U 1
17、U 防火墙 1 U 交换机 机柜 U 数 (从下至上数)设备名称 XXX门店无线覆盖项目 32 第 16U 防火墙 第 13U 无线控制器(未来预留) 第 10U POE1 第 7U POE2 4.5.3 数据中心设备部署 wifi 数据中心租用于鹏博士IDC,三期共规划使用 10 个机柜,其中服务器、 存储 机柜 6 个,网络机柜 4 个。 第一期网络机柜设备部署情况如下: 4.6 网络管理 4.6.1 分级管理 此网络中设备数量多,采取分级操作权限(网络设备)、分区管理(根据用户名下 发允许登陆的设备)模式,管理思路如下: XXX门店无线覆盖项目 33 网管设备权限网管权限权限维护方式 分
18、部 IT 经理 IT 人员 本分部内设备分配: 1、登录用户名密码可登陆网 络设备,查看基本状态 2、特权模式密码,可进入设 备特权模式,修改设备配置 3、分部内防火墙提供VPN 拨 入,用于 IT 人员远程维护设 备(需 AAA 认证) 4、本分部内的 AC 配置/策略 集中下发的权限 1、 本分部内的设备, 分配网管平台的只 读权限的账号 2、负责分部内门店 发生如变化,网管平 台权限相应修改 1、设备用户名密码采 取电子表格登记, 总部 集中保管 2、网管用户名密码采 取电子表格登记, 总部 集中保管 总部 IT 经理 提供所有设备: 1、登录用户名密码可登陆网 络设备,查看基本状态 2
19、、特权模式密码,可修改设 备配置 3、 核心防火墙提供 VPN 拨入, 用于远程网络管理 1、分配网管平台所 有全国设备的读写 权限的账号 2、可修改、注销、 新增其他分部 IT 经 理的权限 1、设备用户名密码采 取电子表格登记, 专人 集中保管 2、网管用户名密码采 取电子表格登记, 专人 集中保管 补充说明:因网络设备较多,采用手工分配并管理用户名密码工作量大,且不易于管 理,可以使用 XXXEIA 做终端准入控制, 将登陆网络设备的权限在后台服务器做统一 认证管理。门店网络设备预留AAA 服务器的配置,同时保留本地认证配置, 以免 AAA 认证不通时无法正常登陆。 4.6.2 登录授权
20、 以 XXX 为主的网络设备的网管, IMC 平台 EIA 模块提供无线上网终端的认证, 也可以用于后续网络设备AAA 认证。只要有足够的 license (用于网络设备登陆AAA 认证时,针对的是管理员数量,不是被管理设备,被管理设备的数量许可是IMC 平 台的 license) 。 门店防火墙允许 VPN 拨入,用于网络管理员远程管理设备,对拨入的VPN 用户 分配固定 IP,只允许此 IP 访问门店的防火墙、 POE 交换机、 AC 等网络设备。 另,可以采用 EIA 自带的 TACACS 认证,实现对网络设备的分权限控制(比如 查看、修改配置等)。TACACS 服务器在总部,可以对用户
21、分组,设置不同的权限。 另,需要考虑权限级别和被管理对象的范围,将分组对应的设备匹配。 XXX门店无线覆盖项目 34 同时,针对 COSOL 口的登录做本地认证。 4.7 SSID 规划 SSID的规划依据: 1、门店无线上网的用户,每一类设置一个SSID ; 2、每个 SSID,依据业务与其管理要求、认证方式对应; 接入类型接入对象SSID 名称 SSID 可见 性 无线接入密码上网认证方式 来宾上网 来店客户终 端 GOME 可见无密码 PORTAL、短 信认证 移动办公 店内员工或 到店办公人 员的终端 GOME-BYO D 不可见,上 网人手动 添加 密码认证 Portal +域认 证
22、 智能家电 店内展示用 智能电视机、 冰箱等 GOME-TV 可见密码 Mac 地址,账 号权限由各分 部 IT 管理 苹果专区 苹果专卖店 的展示手机、 PAD GOME-APP LE 可见密码 PORTAL、账 号密码 *苹果专区补充说明: 1、有苹果的 SSID,分配用户名和密码给旗舰店的苹果样机上网,不做限速,保证上 网带宽,可以在每个AP 上都增加苹果的 SSID 2、为匹配苹果旗舰店的要求,通过网康上网行为管理,给予苹果SSID 不超过 10M 不低于 4M 的的优先带宽。采用“带宽抢占”方式保障苹果专区的上网效果。 XXX门店无线覆盖项目 35 4.8 接口规划 给出门店的各设备
23、之间的硬件接口、连接方式的统一标准附件4.7:门店网络 设备接口。 【网康缓存和上网行为管理, 均使用带外管理, 占用汇聚交换机两个接口】 4.9 认证计费 爱逛提供 4.10 其他要求 由定位软件等运营在网络上的相关方对网络提出技术要求,暂无。 5 实施标准 5.1 标签标准 本项目的标签标准如下: 位置类型内容贴法 网线两头黄色旗型线 缆标签 该网线所接设备的 名称,参 考“ 3.4 设备命名” 靠近水晶头3-5CM的地 方,顺一个方向粘贴 防火墙 交换机 服务器 黄色或白色 长条形标签 该设备的命名粘贴在设备左上部分 AP 黄色或白色 长条形标签 AP+ 序号,如 AP12 参考“ 5.
24、3.1AP 安装标 准” 旗型标签的显示内容,可以通过打印模板设置后,用打印机打印,参考5.1 附 件:旗型标签工具与模板 。 XXX门店无线覆盖项目 36 5.2 布线标准 XXX对于门店综合布线的标准为 4.1 标准:XXX电器弱电综合布线工程标准V1.0 (含无线网) ,通过 XXX安排合作布线公司实施6 家试点门店,建立布线标准及施工 方法,可参考 5.1 附件:门店布线标准 。 5.3 安装标准 明确门店内的 POE交换机、防火墙、AC、AP 等硬件设备的安装、 接地、接电(门 店负责提供机柜的插座,机柜自带PDU) 、接线、外观、标签、信息记录等要求。 5.3.1 AP 安装 AP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XXXX 无线 覆盖 项目 实施 实施方案
链接地址:https://www.31doc.com/p-5334697.html