无线上网项目网络设计工程实施方案gtun.docx

XXX门店无线覆盖项目XXX无无线上网网项目一期期网络设计计&工程程实施方案案XX文档基本本信息：文档名称称文档编号号当前版本本号生效日期期拟制人审核人批准人文档修订订记录：修订记录录序号版本号修订人修订日期期修订内容容2345目 录录1项目概概述51.1项项目背景景51.2项项目需求求【8月27日网网康和艾艾逛确认认他们要要实现的的】51.3名名词定义义62人员分分工72.1双双方职责责72.2相相关人员员82.3实实施团队队92.4管管理规范范92.5成成员培训训103设备组组网1003.1系系统架构构【软件件厂商提提出完善善建议】103.2网网络拓扑扑113.2.1 数数据中心心133.2.2 图图商门店店143.2.3 网网络门店店153.2.4 中中小门店店163.2.5 服服务器区区173.3设设备清单单173.3.1中心心设备【张张瑞据最最终合同同更新】173.3.2门店店清单1183.3.3设备备配发1193.4设设备命名名204技术方方案2004.1地地址规划划204.1.1 门门店地址址204.1.2 中中心地址址224.2端端口规划划224.3网网络安全全234.3.1接入入策略2234.3.2数据控控制2334.3.3登录录限制2234.3.4生产产保护2244.4路路由规划划244.4.1无线线路由2244.4.2备份份路由2264.5网网络管理理284.5.1分级级管理2284.5.2 登登录授权权284.6 SSIID规划划294.7接接口规划划304.8认认证计费费304.9其其他要求求305实施标标准3005.1标标签标准准305.2布布线标准准315.3安安装标准准315.3.1 AAP安装装315.3.2 网网络设备备315.4初初验标准准【李沛沛】3225.4.1 门门店标准准325.4.2 数数据中心心326数据中中心建设设326.1时时间计划划326.2现现场情况况336.3工工具配置置346.4服服务器区区356.5机机柜规划划【任卫卫民】3356.5软软件POOC【与与软件厂厂家待定定】3667门店实实施3777.1实实施步骤骤377.3试试点实施施377.4电电话沟通通377.5外外网线路路377.6发发货跟踪踪387.7门门店勘测测397.8布布线外包包407.9图图纸编制制407.100工具材材料4117.111注意事事项【待待完善，参参考试点点情况】4417.122进度管管理4228验收方方案【李李沛】4429文档管管理4339.1文文档列表表439.2文文档管理理4310配置置模板【试试点与XXXX网网康确认认】44410.11数据中中心44410.11.1 防火墙墙配置44410.11.2交交换机配配置44410.11.2 其他设设备44410.22门店设设备44410.22.1 防火墙墙4410.22.2 交换机机4410.22.3 AC44410.22.4 AP44410.22.5 定位软软件44410.22.6 上网行行为管理理4410.22.7 高速缓缓存4441项目概概述1.1项项目背景景XXX在在全国门门店中分分期部署署WLAAN，以以实现：1、 顾客在门门店可接接入免费费WIFFI使用用互联网网，可以以购物比比价或其其他互联联网浏览览、即时时通讯、简简单游戏戏等。要要求做到到新用户户注册认认证，老老用户一一段时间间内无感感知接入入2、 门店内特特有的柜柜台专区区如：极极信、苹苹果等有有互联网网需求的的，可以提提供特定定的wiifi接接入，可可做到带带宽的控控制与分分配3、 店内商家家柜台流流量增值值收费业业务（如如高清视视频演示示、应用用下载等等）网络络需求此WIFFI部署署的同时时，配套套定位、分分析软件件，为客客户提供供及时快快速的上上网服务务，也为为XXXX掌握门门店客户户动向、收收集信息息，为经经营决策策提供参参考。本文就WWLANN覆盖项项目的实实施提出出网络规规划设计计、项目目实施管管理方法法，通过过科学的的项目管管理、周周全的计计划，保保障项目目按时、按按质、按按量完成成，实现现系统上上线。1.2项项目需求求本项目建建设需求求的关键点点如下：ü 通过WLLAN覆覆盖可提提供来宾宾、智能能家电、苹苹果专区区、移动动办公上上网服务务；ü 通过WLLAN对对应的互互联网线线路可以以为原网网点的备备份；ü 提供可定定制的WEBB Poortaal登陆陆界面，页页面展示示引导信信息进一一步宣传传微信、微微博、广广告，可可自定义义更换和跳转指指定网站站；认证后后跳转页页面可定定制，可可根据用用户要求求，提供供认证后后展示页页面，页页面提供供计时器器等功能能；ü 访问内容容可控，可可过滤不不良网站站，屏蔽蔽有安全全威胁的的恶意网网址等，避避免敏感感事件发发生，可可实现对对用户的的上网行行为审计计；ü 支持流量量管理，可可执行流流控策略略，实现现高效精精确地流流量控制制和上网网应用控控制，避避免有人人大量下下载导致致带宽被被占用；ü 认证信息息汇总，可以在在认证系系统上看看到在线线用户及及相关信信息（如如首次认认证时间间、总上上网时长长、上网网次数、上上网网点点名称等等）；ü 精确营销销，根据顾顾客上网网收集到到的手机机号码信信息及位置、上上网行为为等信息，进进行大数数据分析析，并提提供报表表，为后续精确确营销提供供参考ü 位置信息息方面，具具体可收收集到客客户的位位置信息息，以及及逗留时时长，为为客户潜潜在需求求分析提提供基础础信息1.3名名词定义义ü 无线局域域网（WWireelesss LLocaal AAreaa Neetwoork，WWLANN）：利利用射频频技术取取代双绞绞铜线等等接入，通通过无线线方式所所构成的的局域网网络；ü 无线控制制器（WWireelesss AAcceess Poiint Conntroolleer，AAC）：无线网网络基础础架构模模式下的的控制器器，集中中管理控控制APP；ü 无线接入入点（AAcceess Poiint，AAP）：主要提提供无线线射频相相关功能能；ü 图商门店店：提供供WLAAN覆盖盖、安装装有本地地地图定定位服务务器及软软件、开开展地图图定位信信息收集集的大型型门店；ü 网络门店店：提供供WLAAN覆盖盖、有定位软软件（后后台中心心）的大型门店店；ü 中小门店店：面积积较小且且不需要要定位的的门店ü 分部：分分公司，隶隶属于大大区，对对下属门门店进行行管理；ü 标准：XXXX提提供的与与网络规规划、施施工标注注、维护护要求等等有关的的指标文文件；ü 附件：本本文档不不方便直直接描述述的，需需要以图图、表、动动画等方方式对某某个方案案细节进进行说明明的文件件，指导导项目实实施；ü 模板：项项目实施施或管理理过程中中，需要要项目成成员去填填写的材材料的标标准格式式。2人员分分工2.1双双方职责责甲方（XXXX）、乙乙方（xxx）的的主要职职责分工工参考2.1附件：WIFFI项目目计划及及架构通通讯录。甲方职责责说明：4、 提供符合合要求的的安装环环境，提提供项目目有关的的信息；5、 确保线路路提前到到位调试试完成，协协调运营营商线路路问题处处理6、 审核乙方方提交的的实施方方案、计计划，并并通知到到相关方方配合7、 接收发货货设备，妥妥善保管管，清点点检验，签签署到货货回执单单8、 组织人员员参与实实施，签签署综合合布线与与安装记记录、验验收报告告等9、 组织技术术维护人人员接受受培训，掌掌握设备备安装使使用维护护方法乙方职责责说明：1、 按合同要要求按时时提供项项目所需需的设备备、配件件、资料料、工具具等2、 配合开箱箱验收，对对于到货货开箱验验收不合合格的产产品提供供更换补补齐；3、 在安装过过程中如如有设备备损坏，及及时进行行维修、更更换，确确保不影影响工期期4、 商务负责责人：负负责合同同签署，确确保发货货计划达达成：（1） 确保货准准时发货货，按照照计划发发货；（2） 到货有变变动必须须及时通通知项目目经理5、 方案负责责人：客客户需求求了解及及把握，提提供网络络规划设设计及业业务需求求解决方方案6、 项目经理理：项目目实施负负责人，每每个省指指定的技技术主管管负责，对对项目全全过程管管理，及及时反馈馈进展给给客户，并并与客户户方保持持良好沟沟通，协协调解决决过程中中的问题题，确保保项目目目标按时时实现7、 项目成员员：接受受项目经经理安排排，具体体负责项项目实施施工作8、 后台项目目支撑团团队：发发货情况况跟踪与与记录、提供项目计划与过程检查、项目过程中的材料收集审核、项目文档制作存档等2.2相相关人员员本项目主主要有以以下相关关人员（干干系人）：名称工作内容容/分工工XXX总总部1、 提出建设设需求，参与方案探讨，审核批准乙方的实施方案；2、 管理甲方方各成员员，如线线路运营营商、布布线公司司、装修修公司、软软件公司司等3、 接受并审审核项目目中涉及及到的安安装材料料、费用用预算，并并报送审审批4、 审批项目目总体计计划，批批准乙方方具体计计划审核核，向各各成员下下达任务务5、 接受每天天项目的的进展反反馈，协协调处理理项目过过程重点点各项阻阻碍或问问题XXX门门店人员员1、 IT经理理代表XXXX参与与工程实实施的勘勘测、实实施、验验收过程程2、 到货签收收单、布布线与设设备安装装记录、验验收报告告等签字字3、 接收设计计或实施施的变更更需求，协协调并反反馈线路运营营商1、 提供各点点线路开开通日期期的计划划2、 按时开通通线路，达达到通信信标准3、 提供到指指定位置置如机柜柜的接口口4、 实施过程程中提供供线路测测试配合合注意：本本项目是是先申请请、等通通知开通通，而运运营商市市场部可可能会承承诺线路路开通日日期，往往往不准准确，有有时候与与对方工工程队核核实提供供开通时时间，大大型的工工期紧张张的项目目，必须须要求对对方协调调工程队队到场，严严格按计计划次序序准时开开通线路路。服务商北北明1、 提供项目目经理，及及工程项项目总技技术负责责人2、 按合同要要求提供供足够的的工程师师，并制制作实施施方案3、 提供对项项目组的的培训，提提供文档档、模板、记记录，便便于运维维4、 按总体计计划制定定分布实实施具体体计划，完完成各设设备的安安装调试试5、 按项目建建设方案案的要求求，调试试整个网网络，确确保达到到合同要要求6、 以天、周周为单位位，反馈馈项工作作进展、计计划完成成进度、问问题等7、 与甲方接接口人一一起对网网络进行行验收，签署总的的验收报报告布线公司司 工程中中线路无无法实现现需求，布布线公司司负责：1、 按方案要要求提供供设备间间或设备备与配线线架间的的线路布布置及连连接2、 在项目实实施过程程中，提提供线路路调试的的配合软件集成成公司1、 项目实施施前/实实施方案案确定前前，提出出网络硬硬件实施施需要的的配合2、 按方案要要求，提提供项目目涉及业业务系统统软件的的安装和和功能性性能调试试3、 在项目组组进行系系统调试试、业务务联调过过程中提提供配合合并解决决软件的的问题表1相关关相关人人员及分分工2.3实实施团队队本项目的的实施投投入最大大的是门门店部分分，门店店实施人人员的安安排参考考2.33附件：门店实实施团队队人员分分组分工工，基本本安排：1、 ；2、 方案、标标准、附附件、模模板等资资料在试试点后定定稿，由由培训部部王宇峰峰组织负负责各门门店具体体的实施施人员集集中培训训，以及及针对XXXXIIT经理理等关键键参与人人的视频频培训；3、 每个大区区设1名名项目负责责人，负负责本区区域具体体计划制制定安排排，以及及实施方方案的执执行落地地，具体体包括：实施方方案培训训、勘测测指导、布布线谈判判、项目目进度与与质量管管理、客户协协调、问问题处理理、文档档检查等等；4、 每2-33个门店店设1名实施施人员，同时准备备几名经经验丰富富的人员员备用随随机调动动，实施施人员按按计划开开展实施施，及时时和大区区项目负负责人沟沟通，每每天邮件件反馈进进展和问问题；5、 每2-33个大区区设1名名后台商商务人员员，负责责日报收收集汇总总、文档档资料进进行收集集确认；6、 指定2-3人负负责勘测测后机房房、APP点位、布布线的CCAD图图纸制作作。2.4管管理规范范为确保甲甲方的网网络系统统安全、预预防各实实施方人人员发生生意外事事故，乙乙方项目目经理负负责获得得甲方场场地管理理规章制制度，在在项目例例会中传传达到所所有项目目成员。对于需要要出入施施工场地地的人员员，通常常要遵守守以下基基本行为为规范：1、 主动了解解并严格格遵守甲甲方管理理规章制制度；2、 进入施工工场地提提前联系系预约，征征得甲方方接口人人同意；3、 进入场地地主动报报公司名名称并出出示证件件登记；4、 离开场地地要与甲甲方接口口人打招招呼；5、 出入所带带物品应应登记，妥妥善保管管；6、 安装、插插拨设备备模块电电缆需带带防静电电手腕；7、 严禁在场场地内抽抽烟、喝喝水、吃吃东西、玩玩游戏、打打闹；8、 未经甲方方接口人人批准，严严禁动其其它设备备或线路路；9、 未经甲方方接口人人批准，严严禁对机机房、设设备等拍拍照录像像；10、 拆装静电电地板、天天花板，需需要甲方方接口人人许可并并在场；11、 安装后，清清理现场场，整理理各种物物品，保保持场地地的整洁洁；12、 严禁携带带与本次次工程无无关的人人员进入入施工场场地；13、 完成实施施后清扫扫现场，带带走多余余的材料料。除上述基基本规范范外，应应主动向向甲方接接口人了了解更多多要求，并并按其要要求执行行。2.5成成员培训训 对项目目成员进进行培训训，讲解解施工标标准、安安装步骤骤、项目目管理方方法、文文档要求求。并对对成员进进行考试试，合格格后方允允许组织织施工。3设备组组网3.1系系统架构构以下为本本项目的的系统架架构图，下下一层支支撑上一一层的业业务，项项目实施施可遵循分分层先后后开展，后后期运维维/使用用/管理理可按层层次由不不同职能能部门分分工承担担。图1 系统架架构图以下为整整网逻辑辑结图：3.2网网络拓扑扑拓扑参考考33.2附附件：XXXXWWLANN项目网网络拓扑扑，以下下为整网网基本拓拓扑结构构（门店店以三种种类型代代表）：图2 整网拓拓扑图网络拓扑扑说明：1、 所有门店店通过互联联网线路路与总部部IDCC建立两条条VPNN隧道（使使用IPPsecc VPPN并加加密，以以对传输输到后台台的用户户数据起起保护作作用），与与中心端端接相同同运营商商线路的的核心防防火墙建建立主隧隧道，与与另一台台防火墙墙建备隧隧道，正正常情况况下，备备隧道不不转发数数据；2、 IDC提提供的接接入线路路公网地地址可能能会发生生变化，或或者因数数据中心心搬迁等等造成IIP地址址调整，为为减少因因中心端端公网地地址改变变带来的的大量网网点的配配置更改改的工作作量，采采用域名名解析，在在网点防防火墙上上配置VVPN的的对端地地址为域域名，使使用XXXX二级级域名，由由XXXX域名服务务器提供供域名服服务，先先按三个个公网接接口规划划三个域域名，分分别对应应电信、移移动、联联通线路路；3、 PORTTAL、认认证计费费、网络络管理、广广告推送送、客户户信息、定定位信息息等业务务数据通过过VPNN隧道与IDCC服务器器区进行行互联；具体情情况及数数据量由软件件方艾逛逛确认：业务类型型功能简介介解决方案案数据量PORTTAL门店无线线上网终终端设备备连接后后，服务务器推送送认证页页面，并并老客户户免认证证，即不不再次推推送艾逛提供供云端PPORTTAL服服务，连连通短信信网关服服务较小认证计费费针对接入入无线网网络的终终端进行行认证，并并对部分分用户计计费艾逛POORTAAL同时时可认证证，计费费待定较小IMC网网管针对所有有AP、网网络设备备提供基基于SNNMP的的网络管管理，可可对设备备进行状状态查看看，配置置修改等等XXXIIMC提提供软件件，硬件件XXXX提供上行大BI大数数据待定艾逛提供供软件待定广告运营营待定艾逛提供供软件下行大4、 门店办公公数据到到IDCC的WLLAN核核心交换换机后，到到生产网网核心交交换机，再再到生产产服务器器5、 来宾上网网、移动动POSS机通过过本地互联联网线路路出局（移移动POOS机类类似网银银，应用用层加密密访问处处于公网网上的服服务器，而而非接入入到IDDC后台台）3.2.1 数数据中心心以下为数数据中心心网络拓拓扑结构构：图3 数据中中心网络络拓扑网络拓扑扑说明：1、 每台核心心防火墙墙四个万万兆光口口四条多多模万兆兆光纤接接到两台台核心交交换机，使用链路聚合方式；2、 核心交换换机两台台之间虚虚拟化，虚虚拟成一一台交换换机，服服务器两两个网络络接口，起起链路聚聚合协议议接到核核心交换换机；3、 任一台核核心防火火墙宕机机，其上上的外网网线路不不可使用用，或者者任一条条线路故故障，也也将不可可用，此此时，网点防防备VPNN（此类跨跨运营商商的VPPN有可可能质量量达不到到良好的的通信质质量和速速度）；4、 将来增加加移动线线路，则则增加一一台防火火墙，类类似方式式接入。注：鹏鹏博士提提供的外外网线路路为BGGP选择择路由，即即同时具具备多运运营商出出口路由由自动选选择，由由此，可可解决门门店采用用不同运运营商线线路接入入到中心心VPNN需要上上线线路路匹配的的难题，但但中心端端出口使使用两个个公网线线路仍有有必要，主主要为备备份需要要。3.2.2 图商商门店以下为图图商门店店网络拓拓扑结构构：图4 图商门门店网络络拓扑网络拓扑扑说明：1、 图商门店店部署出出口防火火墙、无无线控制制器ACC、上网网行为管管理、缓缓存服务务器、定定位服务务器，其其中定位位数据在在本地服服务器存存储2、 门店的审审计数据据、日志志信息、用用户信息息等，通通过VPPN隧道道上传到到数据中中心相应应服务器器进行计算算、分析析、统计计、输出出报表3、 防火墙依依据下面面业务网网段的数数量配相相应子接接口，每每个子接接口的地地址是下下面对应应业务网网段的网网关，接接入交换换机每个个业务网网段划一一个VLLAN，具具体VLLAN划划分的标标准：VLANN号用途网关设备备VLANN10设备管理理防火墙VLANN1000移动办公公防火墙VLANN2000苹果业务务防火墙VLANN3000智能家居居防火墙VLANN4000来宾上网网防火墙VLANN5000预留防火墙4、 出口防火火墙承担担上网终终端的DDHCPP服务器器，其他他设备地地址除AAP外的管理理地址，实实行固定定分配；5、 AP走本本地转发发，不走走集中转转发模式式，以减减少ACC的压力力；6、 上网行为为管理、缓缓存服务务器，根根据外部部线路的的带宽，提提供两种种性能设设备（1100MM和600M两种种），上网行行为管理理提供限限速、安安全审计计；缓存存提供上上网加速速（XXXX相关关网站、视频、网页、推送广告、电商网站、比价网站）。3.2.3 网网络门店店以下为网网络门店店网络拓拓扑结构构：图5 网网络门店店网络拓拓扑网络拓扑扑说明：1、 网络门店店部相对对图商门门店，少少了定位位服务器器，其他他一样2、 上网行为为管理、缓缓存服务务器，根根据外部部线路的的带宽，提提供两种种性能设设备3.2.4 中小小门店以下为一一般门店店网络拓拓扑结构构：图6 中小门店店网络拓拓扑网络拓扑扑说明：1、 一般门店店未配无线线控制器器AC、上上网行为为管理、缓缓存服务务器、定定位服务务器，出出口防火火墙内置置上网行行为管理理/审计计功能2、 一般门店店的ACC由数据据中心的的AC承承担3、 出口防火火墙承担担上网终终端的DDHCPP服务器器3.3设设备清单单3.3.1中心心设备IDC数数据中心心对应的的网络设备备清单：设备品牌/型型号数量核心防火火墙XXX/ NSS-SeecPaath F50020，标标配4个万兆兆多模光光模块、11只3000W电电源ACC-PSSR3000-112A222台核心交换换机XXX/LS-105512 交换机机，每台台配：1、 2张LSSUM11SUPPB0主主控引擎擎模块2、 4张LSSUM11FABB12DD0交换换网板DD类3、 4只LSSUM11AC225000交流电电源模块块25000W4、 1张LSSUM11TGSS24EEC0 24端端口万兆兆以太网网光接口口模块(SFPP+,LLC)(EC)标配224个万万兆多模模光模块块5、 1张LSSUM22GT448SEE0 448端口口千兆以以太网电电接口模模块(RRJ455)2台网管软件件XXX/网管软软件/授授权：1、 2套iMMC-智智能管理理平台标标准版PPFX2、 2套iMMC-智智能管理理平台标标准版3、 4套iMMC-智智能管理理平台标标准版-1000 Liicennse4、 2套iMMC-智智能管理理平台标标准版-5000 Liicennse5、 2套iMMC-智智能管理理平台标标准版-50 Liicennse6、 2套iMMC-智智能管理理平台标标准版-25 Liicennse7、 2套iMMC-WWSM无无线业务务管理组组件8、 2套iMMC-WWSM无无线业务务管理组组件-550 LLiceensee9、 6套iMMC-WWSM无无线业务务管理组组件-110000 Liicennse1套无线控制制设备XXX/WX555400H-EEWPXXZ1555400H-无无线控制制器主机机(122GE+12SSFP+4SFFP PPluss)-国国内海外外合一版版，每台台配3000W AC 电源模模块2张张，LIIS-WWX-110244-BEE，H33C AAcceess Conntroolleer-EEWPXXM1WWCM110244-增强强型无线线控制器器liccensse授权权函-管管理10024AAP-企企业网专专用-VV7专用用-国内内海外合合一版22张一期2台台二期7台台网管服务务器网络管理理IMCC服务器器每台配配：1、 7根8GGB PPC3LL-1228000R(DDDR33-16600)内存模模块(vv2)2、 2块1TTB 66G-SSAS-7.22K-22.5英英寸硬盘盘模块3台PORTTAL认认证服务务器待定图商服务务器待定计费服务务器待定广告营运运管理平平台服务务器待定BI数据据分析服务务器待定表1 数据中中心设备备配置3.3.2门店店清单一期项目目门店及及对应的的设备型型号信息息如下：类型数量设备品牌/型型号数量图商门店店29防火墙XXX/H3CC SeecPaath F10020，116个110/1100/10000BAASE-T,88个1000/110000BASSE-XX SFFP，标标配2个个千兆多多模光模模块1图商服务务器待定/参参考配置置：R7720 E5-26220V22*2 8G*4 5500GG SAATA DVDD H33104495WW1无线控制制器ACCXXX/WX225400E 66端口千千兆(55GE-T+11SFPP)或：EWWP-WWX35510EE 4端端口千兆兆Commbo1上网行为为管理网康/IIMS220500（带宽宽60MM的用IIMS220300）1缓存服务务器网康/NNP65510（带带宽600M的用用NP665055）1POE交交换机XXX/S51130-28SS-PWWR-EEI LL2以太太网交换换机主机机,支持持24个个10/1000/10000BBASEE-T端端口,44个1GG/100G16无线APPXXX/WA443200-ACCN-内内置天线线双频22条流6933机柜600*8000*20000的的机柜1小机柜600*4000*3550的可可壁挂、落落地小机机柜14网络门店店71防火墙XXX/H3CC SeecPaath F10020，116个110/1100/10000BAASE-T,88个1000/110000BASSE-XX SFFP，标标配2个个千兆多多模光模模块1无线控制制器ACCXXX/WX225400E 66端口千千兆(55GE-T+11SFPP)或：EWWP-WWX35510EE 4端端口千兆兆Commbo1上网行为为管理网康/IIMS220500（带宽宽60MM的用IIMS220300）1缓存服务务器网康/NNP65510（带带宽600M的用用NP665055）1POE交交换机XXX/S51130-28SS-PWWR-EEI LL2以太太网交换换机主机机,支持持24个个10/1000/10000BBASEE-T端端口,44个1GG/100G16无线APPXXX/WA443200-ACCN-内内置天线线双频22条流 8022.111ac/n AAP-SSI6933机柜600*8000*20000的的机柜1小机柜600*4000*3550的可可壁挂、落落地小机机柜14表2 一期门门店设备备配置3.3.3设备备配发依据门店店的信息息，结合合上述设设备配置置的标准准，确认认每个门门店的设设备清单单33.3.3附件件：门店店产品配配置表1100家家【计划划】。此清单单仅为计计划，实实际设备备数量以现现场勘测测后调整整的为准准。3.4设设备命名名为方便进进行网络络设备的的维护识识别、网网络管理理、资产产管理，建建立统一一的命名名规则对对设备进进行命名名：1、用英英文编码码对网络络设备命命名，包包含防火火墙、交交换机、AAC、AAP等全全部网络络设备2、网络络设备名名称为：一级分部部编码-下属门店店编码-楼层编编码-设设备编码码（多台台同型号号加序号号），分分部和门门店的编编码参考考33.4附附件：分分部及一期期门店命命名表3、具体体到设备备，编码码规则示示例如下下表:一级分部部名称门店名楼层号设备/序序号分部名称称缩写代代码加分分部类型型缩写（XXX、大中、永乐）代码去掉门店店类型/级别、店店或分店店后，编编码缩写写根据信息息表中的的楼层命命名以设备类类型命名名，如有有多台同同类设备备，依次次增加序序号，单单台设备备不加序序号例：的编编码为CCDGMM，北京京大中分分部的编编码为BBJDZZ例：旗舰舰店编码码为CDDCRLL如F1、FF2、BB1、BB2例：门店店交换机机=POOE1、门门店防火火墙=FFW、门门店=AAP1例如，根根据以上上规则，则则安装在在B2层层的成都都成仁路路旗舰店店的122号APP的最终终编码为为：CDGMM-CDCRRL-B22-AP122，安装在在B1层层的2号号交换机机为：CCDGMM-CDCRRL-B1-POEE2。AP的命命名，从从最底一一层的第第一个开开始（以以地图正正面朝上上，先左左后右先先上后下下，即最最底一层层的最左左上角的的第一个个AP，命命名为11号）。4技术方方案4.1地地址规划划4.1.1 门门店地址址WLANN网络的的IP地地址的规规划原则则：1、 防火墙作作为门店店总出口口；2、 结合分区区域管理理的组织织结构分分段并且且确保预预留数量量;；3、 结合自上上而下的的管理分分级分层层，以便便未来可可做路由由汇总；4、 对门店、设设备精确确分配地地址段或或指定地地址，便便于管理理；具体的地地址分配配标准如如下:XXXwwifii网门店店IP地址址根据用用途包括括用户地地址和设设备管理理地址两两个大类类。用户地址址：不需要访访问IDDC或生生产网地址本地地有效；每个门店店分配88个C作为无无线用户户上网使使用； 移动办公公：2个C  5122个地址址,本地私私网地址址1922.1668.2204.0/223，不不与其他他网络互互通；苹果专区区：1个C  2566个地址址，本地地私网地地址1992.1168.2066.0/24，不不与其他他网络互互通；智能家电电：1个C  2566个地址址，本地地私网地地址1992.1168.2077.0/24，不不与其他他网络互互通；来宾上网网：4个C  10224个地地址，本本地私网网地址1192.1688.2000.00/222，不与与其他网网络互通通； 设备管理理地址：可能需要要和IDDC的网网管软件件、poortaal服务务器或备备用acc等直接接通信；启用XXXX未使使用新网网段，与与已使用用的IPP地址有有足够的的间隔，选选用100.700.0.0/116-110.770.774.00/166；                根据门店店AP数量量使用664(<<50个个AP)或1288（>=550个AP）个个设备管管理地址址；每个C类类地址段段可分配配个4个门店店，根据据各分部部目前的的门店数数，分别别分配116、32个C，可容容纳644、1288个门；   每个门店店子网的的最高11位地址址，作为为设备管管理网段段的网关关；每个门店店子网的的最低11-5位位地址，分分别做为为流量控控制，缓缓存、定定位服务务器、AAC管理理、汇聚聚交换机机； 普通门店店（<550个AP，目目前最多多5个交换换机）DHCPP保留前前12个地地址不分分配，仅仅分配余余下的449个地地址；  第6-99位地址址，作为为其他PPOE交交换机的的管理地地址；第12个个地址作作为与生生产网路路由器互互连；第10-12作作为生产产网备份份时NAAT的地地址池； 大型门店店（>550个AP，目目前最多多10个交交换机）DHCPP保留前前20个地地址不分分配，仅仅分配余余下的1104个个地址； 第6-114位地地址，作作为其他他POEE交换机机的管理理地址；第20个个地址作作为与生生产网路路由器互互连；第15-20作作为生产产网备份份时NAAT的地地址池；具体地址址分配见见附件。4.1.2 中中心地址址WLANN的数据据中心用用XXXX现有地地址中单单独的BB类地址址10.75.00.0/16网网段，以以便未来来与XXXX当前前内部网网络可实实现实地地址的互互联互通通。数据据中心的的地址规规划详见见4.1.22附件：数据中中心IPP地址规规划分配配表。4.2端端口规划划根据运维维和网管管需要在在防火墙墙开通相相关策略略（包括括远程管管理、ssysllog、ssnmpp等），允许特特定的端端口访问问数据中中心服务务器区域域。如下下表：源IP目标IPP通信端口口号上网终端端正常业务务80、880800AP中心端AACTCP 577777UDP 577776/577778/577779中心端AACAP防火墙IMC/PorrtallUDP 18112/认证UDP 18113/计费TCP 84443/AASS WEEBTCP 94443/Porrtall WEEBUDP 20000/Porrtall 设备备注册防火墙集中网管管UDP 5144/审审计日志志TCP 44333、888888、6000055、6000066/源源和目的的都要放放行，网网管内部部通信端端口TCP 80/WEEB管理理TCP 21、220/FTPP网康IMMS和NNPS网康升级级服务器器TCP 43/管理理页面与与升级服服务器通通讯TCP 22/下载载升级包包TCP 18112/用于启启用网管管后的IIMC用用户同步步广告推送送服务器器软件厂商商确定定位服务务器软件厂商商确定认证计费费软件厂商商确定大数据分分析软件厂商商确定4.3网网络安全全4.3.1接入入策略不同子网网/业务务的接入入/访问问控制规规则如下下：1、无线线客户端端安全访访问WLLAN数数据中心心：门店防火火墙同数数据中心心防火墙墙建立IIPSeecVPPN加密密隧道，只只允许源源自防火火墙、AAP、AAC的管管理协议议和数据流流。2、无线线客户端端同门店店AP、防防火墙逻逻辑隔离离：管理网网段、来来宾上网网等不同同的业务务网段采采用不同同的VLLAN，防防火墙业业务网段段网关接接口禁止止管理访访问。3、数据据中心部部署策略略：数据中中心VPPN设备备同时是是防火墙墙的方式式部署。IIPSeec VVPN区区域的流流量在VVPN网网关解封封装之后后还需经经过防火火墙的过过滤才能能到达内内网服务务器。4、管理理数据流流通道：网点到到数据中中心走IIPseecVPPN，为为网络管理理数据流流量提供供数据通通道，保保障管理理数据流流的安全全；中心心的广告告等数据据通过此此VPNN通道推推送。5、来宾宾上网无无线客户户端禁止止互访：配置策策略禁止止无线客客户端互互访，提提高网络络安全性性。4.3.2数据据控制1、防火火墙防攻攻击：防火墙墙关闭掉掉不使用用的端口口，并提提供入侵侵防护功功能，支支持入侵侵防御、防攻击。2、上网网行为管管