【文章內容簡介】 LAN和生產兩個核心區(qū)域之間增加IPS等安全設備。無線網絡區(qū)域的路由及數據流如下：關鍵數據的路徑如下：① 移動終端上網：默認網關為防火墻F1020內網口地址，到防火墻后，送到互聯(lián)網② 認證和定位等數據與后臺服務器的交互訪問：默認網關指向防火墻F1020內網口，到防火墻后，走VPN隧道，到核心防火墻F5020，到核心交換機，送到服務器。主要設備的路由如下：序號設備類型默認網關/靜態(tài)路由動態(tài)路由1上網終端默認網關指向防火墻內網口無2圖商服務器、AC等網關指向防火墻內網口，或后臺服務器網段作唯一靜態(tài)路由無3門店防火墻默認網關指向外網出口，到后臺服務器區(qū)網段的靜態(tài)路由2條，優(yōu)先指向主VPN隧道其次備隧道無3核心防火墻默認網關指向核心交換機的直連接口，同時，在網點防火墻與其建立VPN后，因反向路由注入增加到每個門店的防火墻VPN內網段的靜態(tài)路由面向核心交換機的一側起OSPF動態(tài)路由，將自身的反向路由注入增加的靜態(tài)路由發(fā)布到OSPF中4核心交換機無（默認網關可以指向核心防火墻的內部接口，但兩臺防火墻不同地址無法確定誰更合適，且無實際作用）全部接口OSPF，同時接收來自核心防火墻的靜態(tài)路由分發(fā)，以及來自于生產區(qū)域的BGP分發(fā)5生產核心交換機增加到172網段的靜態(tài)路由，指向WLAN核心交換機的相連口未知。WLAN網絡為生產網做線路備份，在門店生產網絡專線（當前門店大部分為一條專線上行），路由走向如下圖（參考《：WLAN網做生產網線路備份》），紅色虛線為上行，綠色虛線為下行路由：網點線路備份的說明： 門店生產網PC默認路由指向接入路由器，接入路由器默認路由（有可能是動態(tài)）指向匯聚路由器，接入路由器增加備份路由到WLAN區(qū)域的防火墻F1020，則門店生產網絡專線斷掉，門店生產PC（10網段，訪問對象為生產服務器區(qū)10網段）可通過接入路由器（XXXMSR2011）到F1020，再通過VPN隧道上聯(lián)到WLAN核心區(qū)域，再到生產中心端并回傳，由于生產區(qū)域的核心做過路由匯總，沒有門店網段的具體路由，則回程路由仍被送到生產區(qū)域的接入區(qū)域專線斷掉后此路由消失，如為靜態(tài)路由則不通）而無法回程。為解決此問題，在接入路由器接到WLAN區(qū)域的接口做NAT，10網段的生產PC轉換為WLAN區(qū)域的172地址后，通過VPN進入WLAN核心再到生產核心，回程仍送到門店F1020再到接入路由器MSR2011，再去NAT回到生產PC； 此配置下，專線正常時，WLAN區(qū)域的無線移動辦公，最好不走專線端上聯(lián)，原因：如無線區(qū)域移動辦公走專線上聯(lián)并回傳，專線路由器采取點到點的方式與防火墻起的三層接口互聯(lián)，如專線斷掉，專線路由器內部OA設備經此路由器NAT（上端原有匯總路由到內部OA，如走路由模式而非NAT方式上行，則無法實現回傳的路由）到無線的防火墻、經過防火墻VPN到上端核心防火墻內部，再到后臺業(yè)務中心，上端OA核心N7000配到無線核心交換機10510的路由，無線核心交換機配到下端的每個網店防火墻內的明細路由（每個網點1條），則專線斷掉后、專線內部OA等設備可通過無線側的VPN備份。如專線正常，則無線OA，先到專線路由器，通過專線路由器走另一個NAT到N7000再后臺業(yè)務中心，回傳路由可借原有的核心區(qū)域的N7000往下。如不再做NAT，則回傳的路由和無線備份的路由是同一條網段的路由，回傳會首先被送到無線核心交換機一側，而無法實現回傳。由于此方式在專線路由器端有兩個NAT，非常復雜，且容易導致路由混亂，不建議采用。 大中型門店機柜設備部署每臺設備間隔2U，機柜從下至上定為142u；如店鋪沒有以下規(guī)劃設備（定位服務器僅29家大型門店部署），機柜空間預留；機柜U數（從下至上數）設備名稱第27U防火墻第24U行為管理設備第21U緩存服務器第117U定位服務器第13U無線控制器第10UPOE1第7UPOE2第4UPOE3　…　… 小型門店主機柜設備部署每臺設備間隔2U，機柜從下至上定為122u；如店鋪沒有以下規(guī)劃設備，機柜空間預留；機柜U數（從下至上數）設備名稱第16U防火墻第13U無線控制器（未來預留）第10UPOE1第7UPOE2 數據中心設備部署wifi數據中心租用于鵬博士IDC，三期共規(guī)劃使用10個機柜，其中服務器、存儲機柜6個，網絡機柜4個。第一期網絡機柜設備部署情況如下：此網絡中設備數量多，采取分級操作權限（網絡設備）、分區(qū)管理（根據用戶名下發(fā)允許登陸的設備）模式，管理思路如下：網管設備權限網管權限權限維護方式分部IT經理IT人員本分部內設備分配：登錄用戶名密碼可登陸網絡設備，查看基本狀態(tài)特權模式密碼，可進入設備特權模式，修改設備配置分部內防火墻提供VPN撥入，用于IT人員遠程維護設備（需AAA認證）本分部內的AC配置/策略集中下發(fā)的權限本分部內的設備，分配網管平臺的只讀權限的賬號負責分部內門店發(fā)生如變化，網管平臺權限相應修改設備用戶名密碼采取電子表格登記，總部集中保管網管用戶名密碼采取電子表格登記，總部集中保管總部IT經理提供所有設備：登錄用戶名密碼可登陸網絡設備，查看基本狀態(tài)特權模式密碼，可修改設備配置核心防火墻提供VPN撥入，用于遠程網絡管理分配網管平臺所有全國設備的讀寫權限的賬號可修改、注銷、新增其他分部IT經理的權限設備用戶名密碼采取電子表格登記，專人集中保管網管用戶名密碼采取電子表格登記，專人集中保管補充說明：因網絡設備較多，采用手工分配并管理用戶名密碼工作量大，且不易于管理，可以使用XXXEIA做終端準入控制，將登陸網絡設備的權限在后臺服務器做統(tǒng)一認證管理。門店網絡設備預留AAA服務器的配置，同時保留本地認證配置，以免AAA認證不通時無法正常登陸。 登錄授權以XXX為主的網絡設備的網管，IMC平臺EIA模塊提供無線上網終端的認證，也可以用于后續(xù)網絡設備AAA認證。只要有足夠的license（用于網絡設備登陸AAA認證時，針對的是管理員數量，不是被管理設備，被管理設備的數量許可是IMC平臺的license）。門店防火墻允許VPN撥入，用于網絡管理員遠程管理設備，對撥入的VPN用戶分配固定IP，只允許此IP訪問門店的防火墻、POE交換機、AC等網絡設備。另，可以采用EIA自帶的TACACS認證，實現對網絡設備的分權限控制（比如查看、修改配置等）。TACACS服務器在總部，可以對用戶分組，設置不同的權限。另，需要考慮權限級別和被管理對象的范圍，將分組對應的設備匹配。同時，針對COSOL口的登錄做本地認證。 SSID規(guī)劃SSID的規(guī)劃依據：門店無線上網的用戶，每一類設置一個SSID；每個SSID，依據業(yè)務與其管理要求、認證方式對應；接入類型接入對象SSID名稱SSID可見性無線接入密碼上網認證方式來賓上網來店客戶終端GOME可見無密碼PORTAL、短信認證移動辦公店內員工或到店辦公人員的終端GOMEBYOD不可見，上網人手動添加密碼認證Portal +域認證智能家電店內展示用智能電視機、冰箱等GOMETV可見密碼Mac地址，賬號權限由各分部IT管理 蘋果專區(qū)蘋果專賣店的展示手機、PADGOMEAPPLE可見密碼PORTAL、賬號密碼*蘋果專區(qū)補充說明：有蘋果的SSID，分配用戶名和密碼給旗艦店的蘋果樣機上網，不做限速，保證上網帶寬，可以在每個AP上都增加蘋果的SSID為匹配蘋果旗艦店的要求，通過網康上網行為管理，給予蘋果SSID不超過10M不低于4M的的優(yōu)先帶寬。采用“帶寬搶占”方式保障蘋果專區(qū)的上網效果。給出門店的各設備之間的硬件接口、連接方式的統(tǒng)一標準《：門店網絡設備接口》?！揪W康緩存和上網行為管理，均使用帶外管理，占用匯聚交換機兩個接口】愛逛提供由定位軟件等運營在網絡上的相關方對網絡提出技術要求，暫無。5實施標準本項目的標簽標準如下：位置類型內容貼法網線兩頭黃色旗型線纜標簽該網線所接設備的名稱，參考“”靠近水晶頭35CM的地方，順一個方向粘貼防火墻交換機服務器黃色或白色長條形標簽該設備的命名粘貼在設備左上部分AP黃色或白色長條形標簽AP+序號，如AP12參考“”旗型標簽的顯示內容，可以通過打印模板設置后，用打印機打印，參考《：旗型標簽工具與模板》。XXX對于門店綜合布線的標準為《：（含無線網）》，通過XXX安排合作布線公司實施6家試點門店，建立布線標準及施工方法，可參考《：門店布線標準》。明確門店內的POE交換機、防火墻、AC、AP等硬件設備的安裝、接地、接電（門店負責提供機柜的插座，機柜自帶PDU）、接線、外觀、標簽、信息記錄等要求。 AP安裝AP安裝參考《：AP安裝標準》，根據不同的環(huán)境，給出不同的安裝參考方法，但先要和XXXIT經理協(xié)商確認安裝標準。如有超出這幾種的環(huán)境，依據實際情況，和IT經理協(xié)商溝通，前提安全、美觀、不影響信號覆蓋、定位。 網絡設備門店網絡設備的安裝，從以下幾個方面統(tǒng)一定義標準： 門店內的主機柜的安裝要求，機柜內設備安裝位置、安裝標準； 網絡設備端口使用參考“”，具體接線方式、接電方式，標簽要求； 遠端POE交換機的安裝要求：在備份機房或客戶指定的位置安裝6U的機柜或者壁掛機柜，用于遠端（超過100米）的AP的接入交換機安裝； 防火墻、交換機等設備在機柜內安裝步驟、注意事項，參考相應產品安裝手冊。以上標準具體實施參考《：門店機柜及網絡設備安裝標準》?！纠钆妗?門店標準布線完成、設備安裝后，設備各功能通過調試，要達到的標準具體如下：設備型號調試項目調試通過標準APSSID可見信號達標任意一個覆蓋區(qū)域，各SSID可按規(guī)則連接PORTAL及認證彈出頁面及認證符合既定規(guī)則移動辦公可用信號覆蓋信號強度符合標準，最低不小于65dbm備份可用限速達標防下載、限速等符合設置標準蘋果專區(qū)達標蘋果專區(qū)上網速度符合410M定位誤差內【艾逛明確】POE交換機防火墻 數據中心6數據中心建設IDC數據中心的安裝、調試計劃如下：時間計劃事項具體做法8月18日內部規(guī)劃數據中心規(guī)劃和方案、拓撲與XXX技術確認提供方案文檔8月19日和客戶討論數據中心的網路結構邀請XXX、網康廠商參與和客戶負責人確認，獲取數據中心所需要的資料8月19日數據中心現場勘測確認設備安裝機柜要求勘測現場為設備安裝做準備8月2028日IDC機房不滿足項目改造及下工單機柜配電確認設備擺放確認8月28日和客戶確認數據中心網絡結構提供數據中心規(guī)劃文檔，請廠商、客戶審核確認8月28日設備全部到貨依據數據中心設備清單發(fā)貨8月2328日實施準備準備數據中心實施需要的流程辦理、工具材料準備、2名實施人員確定、技術方案掌握8月28日進場實施清點設備，客戶簽收設備上架安裝接線軟件配置調試與門店聯(lián)調，確保通過待定軟件POC配合經過對IDC現場勘測，機柜情況及橋架情況如下圖（現場不允許拍照，以下情況類似，供參考）：具體情況如下：地址：北京市朝陽區(qū)酒仙橋北路9號恒通國際創(chuàng)新園C10鵬博士IDC收貨人：XXX提供一定的支持位置：MD10B模塊間，格局可參考《：MD10BXXX機柜位置圖》，近B2X07號門，可以24小時施工機柜：C18C09共10個連續(xù)柜，品牌型號：普天JFP114C，規(guī)格尺寸：47U的600*1000*2350，12個托盤，5個L型托架，豎向PDU 8個國標孔位？2200W？不帶上柜螺絲每個機柜提供2個PDU插座，每個插座10A的7個，16A的1個；運營商外部線路：IDC承諾可以拉到機柜，運營商有線路需要2小時時間布線及安裝：機柜間可以走上機柜上橋架，實施方自行布線安裝設備材料進場：參考人員進場方式，提交工單走手續(xù)多出的托盤，可堆放在模塊間角落，另，提前23天提出，可以處理走安放筆記本或顯示器、鍵盤的調試臺每個模塊間1個，梯子是一棟樓幾個共用，可以向IDC工作人員借用1設備到樓下，二次運輸實施方負責，可以借推車走貨梯上樓，無叉車1故障板卡需要運出IDC，不用登記，可以帶出，但主機帶出需要與商務溝通下工單走流程1所有設備變更、人員進入，都需要提前提出，聯(lián)系IDC商務下工單1個人物品需要存放在一樓儲物柜，如需要帶筆記本、水杯、工具等物品進入（可以從樓外貨梯直接上來），水杯存放在北二層登記處，走出模塊間可以到此處喝水，機房內嚴禁喝水、拍照1鵬博士王工：每個機柜能提供的最大的功率，王工反饋上面配的是32A的開關，安全電流是在兩路加起來不能超過26A，當前一臺網絡柜2500*2+330W，國標插頭，16A，發(fā)郵件給x博士。如果有更大的需求，需要改造，時間看改造量?，F在沒有380V三相）1機房恒溫22度，夏天注意防寒，建議帶一件外套或長袖衣服安裝調試過程中，每組實施隊伍，需要攜帶以下工具和材料，如下：工具/材料規(guī)格數量筆記本螺絲刀兩把一字，兩把十字1套上柜螺絲