【正文】 線控制器AC、上網行為管理、緩存服務器、定位服務器，其中定位數據在本地服務器存儲 門店的審計數據、日志信息、用戶信息等，通過VPN隧道上傳到數據中心相應服務器進行計算、分析、統(tǒng)計、輸出報表 防火墻依據下面業(yè)務網段的數量配相應子接口，每個子接口的地址是下面對應業(yè)務網段的網關，接入交換機每個業(yè)務網段劃一個VLAN，具體VLAN劃分的標準：VLAN號用途網關設備VLAN10設備管理防火墻VLAN100移動辦公防火墻VLAN200蘋果業(yè)務防火墻VLAN300智能家居防火墻VLAN400來賓上網防火墻VLAN500預留防火墻 出口防火墻承擔上網終端的DHCP服務器，其他設備地址除AP外的管理地址，實行固定分配； AP走本地轉發(fā)，不走集中轉發(fā)模式，以減少AC的壓力； 上網行為管理、緩存服務器，根據外部線路的帶寬，提供兩種性能設備（100M和60M兩種），上網行為管理提供限速、安全審計；緩存提供上網加速（XXX相關網站、視頻、網頁、推送廣告、電商網站、比價網站）。 網絡門店以下為網絡門店網絡拓撲結構：圖5 網絡門店網絡拓撲網絡拓撲說明： 網絡門店部相對圖商門店，少了定位服務器，其他一樣 上網行為管理、緩存服務器，根據外部線路的帶寬，提供兩種性能設備 中小門店以下為一般門店網絡拓撲結構：圖6 中小門店網絡拓撲網絡拓撲說明： 一般門店未配無線控制器AC、上網行為管理、緩存服務器、定位服務器，出口防火墻內置上網行為管理/審計功能 一般門店的AC由數據中心的AC承擔 出口防火墻承擔上網終端的DHCP服務器IDC數據中心對應的網絡設備清單：設備品牌/型號數量核心防火墻XXX/ NSSecPath F5020，標配4個萬兆多模光模塊、1只300W電源ACPSR30012A22臺核心交換機XXX/LS10512 交換機，每臺配： 2張LSUM1SUPB0主控引擎模塊 4張LSUM1FAB12D0交換網板D類 4只LSUM1AC2500交流電源模塊2500W 1張LSUM1TGS24EC0 24端口萬兆以太網光接口模塊(SFP+,LC)(EC)標配24個萬兆多模光模塊 1張LSUM2GT48SE0 48端口千兆以太網電接口模塊(RJ45)2臺網管軟件XXX/網管軟件/授權： 2套iMC智能管理平臺標準版PFX 2套iMC智能管理平臺標準版 4套iMC智能管理平臺標準版100 License 2套iMC智能管理平臺標準版500 License 2套iMC智能管理平臺標準版50 License 2套iMC智能管理平臺標準版25 License 2套iMCWSM無線業(yè)務管理組件 2套iMCWSM無線業(yè)務管理組件50 License 6套iMCWSM無線業(yè)務管理組件1000 License1套無線控制設備XXX/WX5540HEWPXZ15540H無線控制器主機(12GE+12SFP+4SFP Plus)國內海外合一版，每臺配300W AC 電源模塊2張，LISWX1024BE，H3C Access ControllerEWPXM1WCM1024增強型無線控制器license授權函管理1024AP企業(yè)網專用V7專用國內海外合一版2張一期2臺二期7臺網管服務器網絡管理IMC服務器每臺配： 7根8GB PC3L12800R(DDR31600)內存模塊(v2) 2塊1TB 3臺PORTAL認證服務器待定圖商服務器待定計費服務器待定廣告營運管理平臺服務器待定BI數據分析服務器待定表1 數據中心設備配置一期項目門店及對應的設備型號信息如下：類型數量設備品牌/型號數量圖商門店29防火墻XXX/H3C SecPath F1020，16個10/100/1000BASET,8個100/1000BASEX SFP，標配2個千兆多模光模塊1圖商服務器待定/參考配置：R720 E52620V2*2 8G*4 500G SATA DVD H310495W1無線控制器ACXXX/WX2540E 6端口千兆(5GET+1SFP)或：EWPWX3510E 4端口千兆Combo1上網行為管理網康/IMS2050（帶寬60M的用IMS2030）1緩存服務器網康/NP6510（帶寬60M的用NP6505）1POE交換機XXX/S513028SPWREI L2以太網交換機主機,支持24個10/100/1000BASET端口,4個1G/10G1~6無線APXXX/WA4320ACN內置天線雙頻2條流6~93機柜600*800*2000的機柜1小機柜600*400*350的可壁掛、落地小機柜1~4網絡門店71防火墻XXX/H3C SecPath F1020，16個10/100/1000BASET,8個100/1000BASEX SFP，標配2個千兆多模光模塊1無線控制器ACXXX/WX2540E 6端口千兆(5GET+1SFP)或：EWPWX3510E 4端口千兆Combo1上網行為管理網康/IMS2050（帶寬60M的用IMS2030）1緩存服務器網康/NP6510（帶寬60M的用NP6505）1POE交換機XXX/S513028SPWREI L2以太網交換機主機,支持24個10/100/1000BASET端口,4個1G/10G1~6無線APXXX/WA4320ACN內置天線雙頻2條流 6~93機柜600*800*2000的機柜1小機柜600*400*350的可壁掛、落地小機柜1~4表2 一期門店設備配置依據門店的信息，結合上述設備配置的標準，確認每個門店的設備清單《：門店產品配置表100家【計劃】》。此清單僅為計劃，實際設備數量以現(xiàn)場勘測后調整的為準。為方便進行網絡設備的維護識別、網絡管理、資產管理，建立統(tǒng)一的命名規(guī)則對設備進行命名：用英文編碼對網絡設備命名，包含防火墻、交換機、AC、AP等全部網絡設備網絡設備名稱為：一級分部編碼下屬門店編碼樓層編碼設備編碼（多臺同型號加序號），分部和門店的編碼參考《：分部及一期門店命名表》具體到設備，編碼規(guī)則示例如下表:一級分部名稱門店名樓層號設備/序號分部名稱縮寫代碼加分部類型縮寫（XXX、大中、永樂）代碼去掉門店類型/級別、店或分店后，編碼縮寫根據信息表中的樓層命名以設備類型命名，如有多臺同類設備，依次增加序號，單臺設備不加序號例：的編碼為CDGM，北京大中分部的編碼為BJDZ例：旗艦店編碼為CDCRL如FFBB2例：門店交換機=POE門店防火墻=FW、門店=AP1例如，根據以上規(guī)則，則安裝在B2層的成都成仁路旗艦店的12號AP的最終編碼為：CDGMCDCRLB2AP12，安裝在B1層的2號交換機為：CDGMCDCRLB1POE2。AP的命名，從最底一層的第一個開始（以地圖正面朝上，先左后右先上后下，即最底一層的最左上角的第一個AP，命名為1號）。4技術方案 門店地址WLAN網絡的IP地址的規(guī)劃原則： 防火墻作為門店總出口； 結合分區(qū)域管理的組織結構分段并且確保預留數量。； 結合自上而下的管理分級分層，以便未來可做路由匯總； 對門店、設備精確分配地址段或指定地址，便于管理；具體的地址分配標準如下:XXXwifi網門店IP地址根據用途包括用戶地址和設備管理地址兩個大類。用戶地址：不需要訪問IDC或生產網地址本地有效；每個門店分配8個C作為無線用戶上網使用；移動辦公：2個C 512個地址,，不與其他網絡互通；蘋果專區(qū)：1個C 256個地址，不與其他網絡互通；智能家電：1個C 256個地址，不與其他網絡互通；來賓上網：4個C 1024個地址，不與其他網絡互通；設備管理地址：可能需要和IDC的網管軟件、portal服務器或備用ac等直接通信；啟用XXX未使用新網段，與已使用的IP地址有足夠的間隔，；根據門店AP數量使用64(50個AP)或128（=50個AP）個設備管理地址；每個C類地址段可分配個4個門店，根據各分部目前的門店數，分別分配132個C，可容納6128個門；每個門店子網的最高1位地址，作為設備管理網段的網關；每個門店子網的最低15位地址，分別做為流量控制，緩存、定位服務器、AC管理、匯聚交換機；普通門店（50個AP，目前最多5個交換機）DHCP保留前12個地址不分配，僅分配余下的49個地址；第69位地址，作為其他POE交換機的管理地址；第12個地址作為與生產網路由器互連；第1012作為生產網備份時NAT的地址池；大型門店（50個AP，目前最多10個交換機）DHCP保留前20個地址不分配，僅分配余下的104個地址；第614位地址，作為其他POE交換機的管理地址；第20個地址作為與生產網路由器互連；第1520作為生產網備份時NAT的地址池；具體地址分配見附件。 中心地址，以便未來與XXX當前內部網絡可實現(xiàn)實地址的互聯(lián)互通。數據中心的地址規(guī)劃詳見《：數據中心IP地址規(guī)劃分配表》。根據運維和網管需要在防火墻開通相關策略（包括遠程管理、syslog、snmp等），允許特定的端口訪問數據中心服務器區(qū)域。如下表：源IP目標IP通信端口號上網終端正常業(yè)務80、8080AP中心端ACTCP 57777UDP 57776/57778/57779中心端ACAP防火墻IMC/PortalUDP 1812//認證UDP 1813//計費TCP 8443//AAS WEBTCP 9443//Portal WEBUDP 2000//Portal 設備注冊防火墻集中網管UDP 514//審計日志TCP 443888600060006//源和目的都要放行，網管內部通信端口TCP 80//WEB管理TCP 220//FTP網康IMS和NPS網康升級服務器TCP 43//管理頁面與升級服務器通訊TCP 22//下載升級包TCP 1812//用于啟用網管后的IMC用戶同步廣告推送服務器軟件廠商確定定位服務器軟件廠商確定認證計費軟件廠商確定大數據分析軟件廠商確定不同子網/業(yè)務的接入/訪問控制規(guī)則如下：無線客戶端安全訪問WLAN數據中心：門店防火墻同數據中心防火墻建立IPSecVPN加密隧道，只允許源自防火墻、AP、AC的管理協(xié)議和數據流。無線客戶端同門店AP、防火墻邏輯隔離：管理網段、來賓上網等不同的業(yè)務網段采用不同的VLAN，防火墻業(yè)務網段網關接口禁止管理訪問。數據中心部署策略：數據中心VPN設備同時是防火墻的方式部署。IPSec VPN區(qū)域的流量在VPN網關解封裝之后還需經過防火墻的過濾才能到達內網服務器。管理數據流通道：網點到數據中心走IPsecVPN，為網絡管理數據流量提供數據通道，保障管理數據流的安全；中心的廣告等數據通過此VPN通道推送。來賓上網無線客戶端禁止互訪：配置策略禁止無線客戶端互訪，提高網絡安全性。防火墻防攻擊：防火墻關閉掉不使用的端口，并提供入侵防護功能，支持入侵防御、防攻擊。上網行為管理屏蔽非法訪問【網康：給出安全管理策略，先按通常策略做】。上網行為管理對AP接的上網設備進行流量限速、下載、視頻等控制，以下針對50M及以上的出口帶寬的大型門店的限制標準：接入區(qū)域接入對象限制標準【網康+PORTAL設置】來賓上網來店客戶終端單次認證限時2小時，來賓上網總帶寬不超過出口帶寬的90%，P2P和在線視頻不超過總帶寬的5%移動辦公款臺人員的電腦不限速，不限時，不限內容；可上互聯(lián)網。最大4M總帶寬，搶占。智能家電店內展示用智能電視機、冰箱等不限時，不限內容；Portal和純MAC手動添加，智能家電可能收費，如有申請，增加出口帶寬提供給此類收費用戶專用，免監(jiān)控不受任何策略限制蘋果專區(qū)蘋果專區(qū)展示手機、PAD不限時，不限視頻，不限下載；帶寬4M10M移動POS移動刷卡機、收銀機不限時，不限速，高優(yōu)秀級，免監(jiān)控不受任何策略限制，保留1M管理數據AC、AP等被網管設備保留7M帶寬允許本地Consol口訪問查看修改設備配置信息；不允許門店來賓上網網段、非總部防火墻外網口的互聯(lián)網地址登錄訪問網絡設備，只允許AC同一網段的內網網段（telenet方式）、總部防火墻外網地址（SSH方式，配置用電腦到被管理設備之間加密）、總部數據中心內網網段（SSH方式）登錄設備；門店防火墻預留維護VPN，分配給分部IT經理；總部防火墻預留VPN，分配給總部IT經理；可以在緊急情況下?lián)苋刖W絡進行故障處理或網絡維護。為安全起見，在門店的防火墻做兩條策略，只允許移動辦公和備份線路切換產生的數據訪問生產服務器區(qū)。建議在W