【正文】 線控制器AC、上網(wǎng)行為管理、緩存服務(wù)器、定位服務(wù)器，其中定位數(shù)據(jù)在本地服務(wù)器存儲 門店的審計數(shù)據(jù)、日志信息、用戶信息等，通過VPN隧道上傳到數(shù)據(jù)中心相應(yīng)服務(wù)器進行計算、分析、統(tǒng)計、輸出報表 防火墻依據(jù)下面業(yè)務(wù)網(wǎng)段的數(shù)量配相應(yīng)子接口，每個子接口的地址是下面對應(yīng)業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)，接入交換機每個業(yè)務(wù)網(wǎng)段劃一個VLAN，具體VLAN劃分的標準：VLAN號用途網(wǎng)關(guān)設(shè)備VLAN10設(shè)備管理防火墻VLAN100移動辦公防火墻VLAN200蘋果業(yè)務(wù)防火墻VLAN300智能家居防火墻VLAN400來賓上網(wǎng)防火墻VLAN500預(yù)留防火墻 出口防火墻承擔上網(wǎng)終端的DHCP服務(wù)器，其他設(shè)備地址除AP外的管理地址，實行固定分配； AP走本地轉(zhuǎn)發(fā)，不走集中轉(zhuǎn)發(fā)模式，以減少AC的壓力； 上網(wǎng)行為管理、緩存服務(wù)器，根據(jù)外部線路的帶寬，提供兩種性能設(shè)備（100M和60M兩種），上網(wǎng)行為管理提供限速、安全審計；緩存提供上網(wǎng)加速（XXX相關(guān)網(wǎng)站、視頻、網(wǎng)頁、推送廣告、電商網(wǎng)站、比價網(wǎng)站）。 網(wǎng)絡(luò)門店以下為網(wǎng)絡(luò)門店網(wǎng)絡(luò)拓撲結(jié)構(gòu)：圖5 網(wǎng)絡(luò)門店網(wǎng)絡(luò)拓撲網(wǎng)絡(luò)拓撲說明： 網(wǎng)絡(luò)門店部相對圖商門店，少了定位服務(wù)器，其他一樣 上網(wǎng)行為管理、緩存服務(wù)器，根據(jù)外部線路的帶寬，提供兩種性能設(shè)備 中小門店以下為一般門店網(wǎng)絡(luò)拓撲結(jié)構(gòu)：圖6 中小門店網(wǎng)絡(luò)拓撲網(wǎng)絡(luò)拓撲說明： 一般門店未配無線控制器AC、上網(wǎng)行為管理、緩存服務(wù)器、定位服務(wù)器，出口防火墻內(nèi)置上網(wǎng)行為管理/審計功能 一般門店的AC由數(shù)據(jù)中心的AC承擔 出口防火墻承擔上網(wǎng)終端的DHCP服務(wù)器IDC數(shù)據(jù)中心對應(yīng)的網(wǎng)絡(luò)設(shè)備清單：設(shè)備品牌/型號數(shù)量核心防火墻XXX/ NSSecPath F5020，標配4個萬兆多模光模塊、1只300W電源ACPSR30012A22臺核心交換機XXX/LS10512 交換機，每臺配： 2張LSUM1SUPB0主控引擎模塊 4張LSUM1FAB12D0交換網(wǎng)板D類 4只LSUM1AC2500交流電源模塊2500W 1張LSUM1TGS24EC0 24端口萬兆以太網(wǎng)光接口模塊(SFP+,LC)(EC)標配24個萬兆多模光模塊 1張LSUM2GT48SE0 48端口千兆以太網(wǎng)電接口模塊(RJ45)2臺網(wǎng)管軟件XXX/網(wǎng)管軟件/授權(quán)： 2套iMC智能管理平臺標準版PFX 2套iMC智能管理平臺標準版 4套iMC智能管理平臺標準版100 License 2套iMC智能管理平臺標準版500 License 2套iMC智能管理平臺標準版50 License 2套iMC智能管理平臺標準版25 License 2套iMCWSM無線業(yè)務(wù)管理組件 2套iMCWSM無線業(yè)務(wù)管理組件50 License 6套iMCWSM無線業(yè)務(wù)管理組件1000 License1套無線控制設(shè)備XXX/WX5540HEWPXZ15540H無線控制器主機(12GE+12SFP+4SFP Plus)國內(nèi)海外合一版，每臺配300W AC 電源模塊2張，LISWX1024BE，H3C Access ControllerEWPXM1WCM1024增強型無線控制器license授權(quán)函管理1024AP企業(yè)網(wǎng)專用V7專用國內(nèi)海外合一版2張一期2臺二期7臺網(wǎng)管服務(wù)器網(wǎng)絡(luò)管理IMC服務(wù)器每臺配： 7根8GB PC3L12800R(DDR31600)內(nèi)存模塊(v2) 2塊1TB 3臺PORTAL認證服務(wù)器待定圖商服務(wù)器待定計費服務(wù)器待定廣告營運管理平臺服務(wù)器待定BI數(shù)據(jù)分析服務(wù)器待定表1 數(shù)據(jù)中心設(shè)備配置一期項目門店及對應(yīng)的設(shè)備型號信息如下：類型數(shù)量設(shè)備品牌/型號數(shù)量圖商門店29防火墻XXX/H3C SecPath F1020，16個10/100/1000BASET,8個100/1000BASEX SFP，標配2個千兆多模光模塊1圖商服務(wù)器待定/參考配置：R720 E52620V2*2 8G*4 500G SATA DVD H310495W1無線控制器ACXXX/WX2540E 6端口千兆(5GET+1SFP)或：EWPWX3510E 4端口千兆Combo1上網(wǎng)行為管理網(wǎng)康/IMS2050（帶寬60M的用IMS2030）1緩存服務(wù)器網(wǎng)康/NP6510（帶寬60M的用NP6505）1POE交換機XXX/S513028SPWREI L2以太網(wǎng)交換機主機,支持24個10/100/1000BASET端口,4個1G/10G1~6無線APXXX/WA4320ACN內(nèi)置天線雙頻2條流6~93機柜600*800*2000的機柜1小機柜600*400*350的可壁掛、落地小機柜1~4網(wǎng)絡(luò)門店71防火墻XXX/H3C SecPath F1020，16個10/100/1000BASET,8個100/1000BASEX SFP，標配2個千兆多模光模塊1無線控制器ACXXX/WX2540E 6端口千兆(5GET+1SFP)或：EWPWX3510E 4端口千兆Combo1上網(wǎng)行為管理網(wǎng)康/IMS2050（帶寬60M的用IMS2030）1緩存服務(wù)器網(wǎng)康/NP6510（帶寬60M的用NP6505）1POE交換機XXX/S513028SPWREI L2以太網(wǎng)交換機主機,支持24個10/100/1000BASET端口,4個1G/10G1~6無線APXXX/WA4320ACN內(nèi)置天線雙頻2條流 6~93機柜600*800*2000的機柜1小機柜600*400*350的可壁掛、落地小機柜1~4表2 一期門店設(shè)備配置依據(jù)門店的信息，結(jié)合上述設(shè)備配置的標準，確認每個門店的設(shè)備清單《：門店產(chǎn)品配置表100家【計劃】》。此清單僅為計劃，實際設(shè)備數(shù)量以現(xiàn)場勘測后調(diào)整的為準。為方便進行網(wǎng)絡(luò)設(shè)備的維護識別、網(wǎng)絡(luò)管理、資產(chǎn)管理，建立統(tǒng)一的命名規(guī)則對設(shè)備進行命名：用英文編碼對網(wǎng)絡(luò)設(shè)備命名，包含防火墻、交換機、AC、AP等全部網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備名稱為：一級分部編碼下屬門店編碼樓層編碼設(shè)備編碼（多臺同型號加序號），分部和門店的編碼參考《：分部及一期門店命名表》具體到設(shè)備，編碼規(guī)則示例如下表:一級分部名稱門店名樓層號設(shè)備/序號分部名稱縮寫代碼加分部類型縮寫（XXX、大中、永樂）代碼去掉門店類型/級別、店或分店后，編碼縮寫根據(jù)信息表中的樓層命名以設(shè)備類型命名，如有多臺同類設(shè)備，依次增加序號，單臺設(shè)備不加序號例：的編碼為CDGM，北京大中分部的編碼為BJDZ例：旗艦店編碼為CDCRL如FFBB2例：門店交換機=POE門店防火墻=FW、門店=AP1例如，根據(jù)以上規(guī)則，則安裝在B2層的成都成仁路旗艦店的12號AP的最終編碼為：CDGMCDCRLB2AP12，安裝在B1層的2號交換機為：CDGMCDCRLB1POE2。AP的命名，從最底一層的第一個開始（以地圖正面朝上，先左后右先上后下，即最底一層的最左上角的第一個AP，命名為1號）。4技術(shù)方案 門店地址WLAN網(wǎng)絡(luò)的IP地址的規(guī)劃原則： 防火墻作為門店總出口； 結(jié)合分區(qū)域管理的組織結(jié)構(gòu)分段并且確保預(yù)留數(shù)量。； 結(jié)合自上而下的管理分級分層，以便未來可做路由匯總； 對門店、設(shè)備精確分配地址段或指定地址，便于管理；具體的地址分配標準如下:XXXwifi網(wǎng)門店IP地址根據(jù)用途包括用戶地址和設(shè)備管理地址兩個大類。用戶地址：不需要訪問IDC或生產(chǎn)網(wǎng)地址本地有效；每個門店分配8個C作為無線用戶上網(wǎng)使用；移動辦公：2個C 512個地址,，不與其他網(wǎng)絡(luò)互通；蘋果專區(qū)：1個C 256個地址，不與其他網(wǎng)絡(luò)互通；智能家電：1個C 256個地址，不與其他網(wǎng)絡(luò)互通；來賓上網(wǎng)：4個C 1024個地址，不與其他網(wǎng)絡(luò)互通；設(shè)備管理地址：可能需要和IDC的網(wǎng)管軟件、portal服務(wù)器或備用ac等直接通信；啟用XXX未使用新網(wǎng)段，與已使用的IP地址有足夠的間隔，；根據(jù)門店AP數(shù)量使用64(50個AP)或128（=50個AP）個設(shè)備管理地址；每個C類地址段可分配個4個門店，根據(jù)各分部目前的門店數(shù)，分別分配132個C，可容納6128個門；每個門店子網(wǎng)的最高1位地址，作為設(shè)備管理網(wǎng)段的網(wǎng)關(guān)；每個門店子網(wǎng)的最低15位地址，分別做為流量控制，緩存、定位服務(wù)器、AC管理、匯聚交換機；普通門店（50個AP，目前最多5個交換機）DHCP保留前12個地址不分配，僅分配余下的49個地址；第69位地址，作為其他POE交換機的管理地址；第12個地址作為與生產(chǎn)網(wǎng)路由器互連；第1012作為生產(chǎn)網(wǎng)備份時NAT的地址池；大型門店（50個AP，目前最多10個交換機）DHCP保留前20個地址不分配，僅分配余下的104個地址；第614位地址，作為其他POE交換機的管理地址；第20個地址作為與生產(chǎn)網(wǎng)路由器互連；第1520作為生產(chǎn)網(wǎng)備份時NAT的地址池；具體地址分配見附件。 中心地址，以便未來與XXX當前內(nèi)部網(wǎng)絡(luò)可實現(xiàn)實地址的互聯(lián)互通。數(shù)據(jù)中心的地址規(guī)劃詳見《：數(shù)據(jù)中心IP地址規(guī)劃分配表》。根據(jù)運維和網(wǎng)管需要在防火墻開通相關(guān)策略（包括遠程管理、syslog、snmp等），允許特定的端口訪問數(shù)據(jù)中心服務(wù)器區(qū)域。如下表：源IP目標IP通信端口號上網(wǎng)終端正常業(yè)務(wù)80、8080AP中心端ACTCP 57777UDP 57776/57778/57779中心端ACAP防火墻IMC/PortalUDP 1812//認證UDP 1813//計費TCP 8443//AAS WEBTCP 9443//Portal WEBUDP 2000//Portal 設(shè)備注冊防火墻集中網(wǎng)管UDP 514//審計日志TCP 443888600060006//源和目的都要放行，網(wǎng)管內(nèi)部通信端口TCP 80//WEB管理TCP 220//FTP網(wǎng)康IMS和NPS網(wǎng)康升級服務(wù)器TCP 43//管理頁面與升級服務(wù)器通訊TCP 22//下載升級包TCP 1812//用于啟用網(wǎng)管后的IMC用戶同步廣告推送服務(wù)器軟件廠商確定定位服務(wù)器軟件廠商確定認證計費軟件廠商確定大數(shù)據(jù)分析軟件廠商確定不同子網(wǎng)/業(yè)務(wù)的接入/訪問控制規(guī)則如下：無線客戶端安全訪問WLAN數(shù)據(jù)中心：門店防火墻同數(shù)據(jù)中心防火墻建立IPSecVPN加密隧道，只允許源自防火墻、AP、AC的管理協(xié)議和數(shù)據(jù)流。無線客戶端同門店AP、防火墻邏輯隔離：管理網(wǎng)段、來賓上網(wǎng)等不同的業(yè)務(wù)網(wǎng)段采用不同的VLAN，防火墻業(yè)務(wù)網(wǎng)段網(wǎng)關(guān)接口禁止管理訪問。數(shù)據(jù)中心部署策略：數(shù)據(jù)中心VPN設(shè)備同時是防火墻的方式部署。IPSec VPN區(qū)域的流量在VPN網(wǎng)關(guān)解封裝之后還需經(jīng)過防火墻的過濾才能到達內(nèi)網(wǎng)服務(wù)器。管理數(shù)據(jù)流通道：網(wǎng)點到數(shù)據(jù)中心走IPsecVPN，為網(wǎng)絡(luò)管理數(shù)據(jù)流量提供數(shù)據(jù)通道，保障管理數(shù)據(jù)流的安全；中心的廣告等數(shù)據(jù)通過此VPN通道推送。來賓上網(wǎng)無線客戶端禁止互訪：配置策略禁止無線客戶端互訪，提高網(wǎng)絡(luò)安全性。防火墻防攻擊：防火墻關(guān)閉掉不使用的端口，并提供入侵防護功能，支持入侵防御、防攻擊。上網(wǎng)行為管理屏蔽非法訪問【網(wǎng)康：給出安全管理策略，先按通常策略做】。上網(wǎng)行為管理對AP接的上網(wǎng)設(shè)備進行流量限速、下載、視頻等控制，以下針對50M及以上的出口帶寬的大型門店的限制標準：接入?yún)^(qū)域接入對象限制標準【網(wǎng)康+PORTAL設(shè)置】來賓上網(wǎng)來店客戶終端單次認證限時2小時，來賓上網(wǎng)總帶寬不超過出口帶寬的90%，P2P和在線視頻不超過總帶寬的5%移動辦公款臺人員的電腦不限速，不限時，不限內(nèi)容；可上互聯(lián)網(wǎng)。最大4M總帶寬，搶占。智能家電店內(nèi)展示用智能電視機、冰箱等不限時，不限內(nèi)容；Portal和純MAC手動添加，智能家電可能收費，如有申請，增加出口帶寬提供給此類收費用戶專用，免監(jiān)控不受任何策略限制蘋果專區(qū)蘋果專區(qū)展示手機、PAD不限時，不限視頻，不限下載；帶寬4M10M移動POS移動刷卡機、收銀機不限時，不限速，高優(yōu)秀級，免監(jiān)控不受任何策略限制，保留1M管理數(shù)據(jù)AC、AP等被網(wǎng)管設(shè)備保留7M帶寬允許本地Consol口訪問查看修改設(shè)備配置信息；不允許門店來賓上網(wǎng)網(wǎng)段、非總部防火墻外網(wǎng)口的互聯(lián)網(wǎng)地址登錄訪問網(wǎng)絡(luò)設(shè)備，只允許AC同一網(wǎng)段的內(nèi)網(wǎng)網(wǎng)段（telenet方式）、總部防火墻外網(wǎng)地址（SSH方式，配置用電腦到被管理設(shè)備之間加密）、總部數(shù)據(jù)中心內(nèi)網(wǎng)網(wǎng)段（SSH方式）登錄設(shè)備；門店防火墻預(yù)留維護VPN，分配給分部IT經(jīng)理；總部防火墻預(yù)留VPN，分配給總部IT經(jīng)理；可以在緊急情況下?lián)苋刖W(wǎng)絡(luò)進行故障處理或網(wǎng)絡(luò)維護。為安全起見，在門店的防火墻做兩條策略，只允許移動辦公和備份線路切換產(chǎn)生的數(shù)據(jù)訪問生產(chǎn)服務(wù)器區(qū)。建議在W