1、 XXX 无线上网项目一期网络设计;3、 结合自上而下的管理分级分层,以便未来可做路由汇总;4、 对门店、设备精确分配地址段或指定地址,便于管理;具体的地址分配标准如下:XXXwifi 网门店 IP 地址根据用途包括用户地址和设备管理地址两个大类。用户地址:不需要访问 IDC 或生产网地址本地有效;每个门店分配 8 个 C 作为无线用户上网使用;移动办公:2 个 C 512 个地址 ,本地私网地址 192.168.204.0/23,不与其他网络互通;苹果专区:1 个 C 256 个地址,本地私网地址 192.168.206.0/24,不与其他网络互通;智能家电:1 个 C 256 个地址,本地
2、私网地址 192.168.207.0/24,不与其他网络互通;来宾上网:4 个 C 1024 个地址,本地私网地址 192.168.200.0/22,不与其他网络互通;设备管理地址:可能需要和 IDC 的网管软件、portal 服务器或备用 ac 等直接通信;启用 XXX 未使用新网段,与已使用的 IP 地址有足够的间隔,选用 10.70.0.0/16-10.70.74.0/16; 根据门店 AP 数量使用 64(=50 个 AP)个设备管理地址;每个 C 类地址段可分配个 4 个门店,根据各分部目前的门店数,分别分配 16、32 个C,可容纳 64、128 个门;每个门店子网的最高 1 位地
3、址,作为设备管理网段的网关;每个门店子网的最低 1-5 位地址,分别做为流量控制,缓存、定位服务器、AC 管理、汇聚交换机;普通门店(50 个 AP,目前最多 10 个交换机)DHCP 保留前 20 个地址不分配,仅分配余下的 104 个地址; 第 6-14 位地址,作为其他 POE 交换机的管理地址;第 20 个地址作为与生产网路由器互连;第 15-20 作为生产网备份时 NAT 的地址池;具体地址分配见附件。4.1.2 中心地址WLAN 的数据中心用 XXX 现有地址中单独的 B 类地址 10.75.0.0/16 网段,以便未来与 XXX 当前内部网络可实现实地址的互联互通。数据中心的地址
4、规划详见4.1.2附件:数据中心 IP 地址规划分配表 。4.2 端口规划根据运维和网管需要在防火墙开通相关策略(包括远程管理、syslog、snmp 等) ,允许特定的端口访问数据中心服务器区域。如下表:源 IP 目标 IP 通信端口号上网终端 正常业务 80、8080AP 中心端 AC中心端 AC APTCP 57777UDP 57776/57778/57779防火墙 IMC/Portal UDP 1812/认证UDP 1813/计费TCP 8443/AAS WEBTCP 9443/Portal WEBUDP 2000/Portal 设备注册防火墙 集中网管 UDP 514/审计日志TCP
5、 4433、8888、60005、60006/源和目的都要放行,网管内部通信端口TCP 80/WEB 管理TCP 21、20/FTP网康 IMS和 NPS网康升级服务器TCP 43/管理页面与升级服务器通讯TCP 22/下载升级包TCP 1812/用于启用网管后的 IMC 用户同步XXX 门店无线覆盖项目23广告推送服务器软件厂商确定定位服务器 软件厂商确定认证计费 软件厂商确定大数据分析 软件厂商确定4.3 网络安全4.3.1 接入策略不同子网/业务的接入/访问控制规则如下:1、无线客户端安全访问 WLAN 数据中心:门店防火墙同数据中心防火墙建立IPSecVPN 加密隧道,只允许源自防火墙
6、、AP、AC 的管理协议和数据流。2、无线客户端同门店 AP、防火墙逻辑隔离:管理网段、来宾上网等不同的业务网段采用不同的 VLAN,防火墙业务网段网关接口禁止管理访问。3、数据中心部署策略:数据中心 VPN 设备同时是防火墙的方式部署。IPSec VPN 区域的流量在 VPN 网关解封装之后还需经过防火墙的过滤才能到达内网服务器。4、管理数据流通道:网点到数据中心走 IPsecVPN,为网络管理数据流量提供数据通道,保障管理数据流的安全;中心的广告等数据通过此 VPN 通道推送。5、来宾上网无线客户端禁止互访:配置策略禁止无线客户端互访,提高网络安全性。XXX 门店无线覆盖项目244.3.2
7、 数据控制1、防火墙防攻击:防火墙关闭掉不使用的端口,并提供入侵防护功能,支持入侵防御、防攻击。2、上网行为管理屏蔽非法访问【网康:给出安全管理策略,先按通常策略做】 。3、上网行为管理对 AP 接的上网设备进行流量限速、下载、视频等控制,以下针对50M 及以上的出口带宽的大型门店的限制标准:接入区域 接入对象 限制标准【网康+PORTAL 设置】来宾上网 来店客户终端 单次认证限时 2 小时,来宾上网总带宽不超过出口带宽的 90%,P2P 和在线视频不超过总带宽的 5%移动办公 款台人员的电脑 不限速,不限时,不限内容;可上互联网。最大4M 总带宽,抢占。智能家电店内展示用智能电视机、冰箱等
8、不限时,不限内容;Portal 和纯 MAC 手动添加,智能家电可能收费,如有申请,增加出口带宽提供给此类收费用户专用,免监控不受任何策略限制苹果专区 苹果专区展示手机、PAD 不限时,不限视频,不限下载;带宽 4M-10M移动POS移动刷卡机、收银机不限时,不限速,高优秀级,免监控不受任何策略限制,保留 1M管理数据 AC、AP 等被网管设备 保留 7M 带宽4.3.3 登录限制1、允许本地 Consol 口访问查看修改设备配置信息;2、不允许门店来宾上网网段、非总部防火墙外网口的互联网地址登录访问网络设备,只允许 AC 同一网段的内网网段(telenet 方式) 、总部防火墙外网地址(SS
9、H 方式,配置用电脑到被管理设备之间加密) 、总部数据中心内网网段(SSH 方式)登录设备;XXX 门店无线覆盖项目253、门店防火墙预留维护 VPN,分配给分部 IT 经理;总部防火墙预留 VPN,分配给总部 IT 经理;可以在紧急情况下拨入网络进行故障处理或网络维护。4.3.4 生产保护为安全起见,在门店的防火墙做两条策略,只允许移动办公和备份线路切换产生的数据访问生产服务器区。建议在 WLAN 和生产两个核心区域之间增加 IPS 等安全设备。4.4 路由规划4.4.1 无线路由无线网络区域的路由及数据流如下:关键数据的路径如下:XXX 门店无线覆盖项目26 移动终端上网:默认网关为防火墙
10、 F1020 内网口地址,到防火墙后,送到互联网 认证和定位等数据与后台服务器的交互访问:默认网关指向防火墙 F1020 内网口,到防火墙后,走 VPN 隧道,到核心防火墙 F5020,到核心交换机,送到服务器。主要设备的路由如下:序号 设备类型 默认网关/静态路由 动态路由1 上网终端 默认网关指向防火墙内网口 无2 图商服务器、AC 等网关指向防火墙内网口,或后台服务器网段作唯一静态路由 无3门店防火墙默认网关指向外网出口,到后台服务器区网段的静态路由 2条,优先指向主 VPN 隧道其次备隧道无3核心防火墙默认网关指向核心交换机的直连接口,同时,在网点防火墙与其建立 VPN 后,因反向路由
11、注入增加到每个门店的防火墙 VPN 内网段的静态路由面向核心交换机的一侧起OSPF 动态路由,将自身的反向路由注入增加的静态路由发布到 OSPF 中4核心交换机无(默认网关可以指向核心防火墙的内部接口,但两台防火墙不同地址无法确定谁更合适,且无实际作用)全部接口 OSPF,同时接收来自核心防火墙的静态路由分发,以及来自于生产区域的BGP 分发5 生产核心交换机增加到 172 网段的静态路由,指向 WLAN 核心交换机的相连口未知。4.4.2 备份路由WLAN 网络为生产网做线路备份,在门店生产网络专线(当前门店大部分为一条专线上行) ,路由走向如下图(参考 4.4.2 附件:WLAN 网做生产
12、网线路备份 ) ,红色虚线为上行,绿色虚线为下行路由:XXX 门店无线覆盖项目27网点线路备份的说明:1、 门店生产网 PC 默认路由指向接入路由器,接入路由器默认路由(有可能是动态)指向汇聚路由器,接入路由器增加备份路由到 WLAN 区域的防火墙 F1020,则门店生产网络专线断掉,门店生产 PC(10 网段,访问对象为生产服务器区 10 网段)可通过接入路由器(XXXMSR2011)到 F1020,再通过 VPN 隧道上联到 WLAN 核心区域,再到生产中心端并回传,由于生产区域的核心做过路由汇总,没有门店网段的具体路由,则回程路由仍被送到生产区域的接入区域专线断掉后此路由消失,如为静态路
13、由则不通)而无法回程。为解决此问题,在接入路由器接到 WLAN 区域的接口做 NAT,10 网段的生产 PC 转换为 WLAN 区域的 172 地址后,通过 VPN 进入 WLAN 核心再到生产核心,回程仍送到门店 F1020 再到接入路由器 MSR2011,再去 NAT 回到生产 PC;XXX 门店无线覆盖项目282、 此配置下,专线正常时,WLAN 区域的无线移动办公,最好不走专线端上联,原因:如无线区域移动办公走专线上联并回传,专线路由器采取点到点的方式与防火墙起的三层接口互联,如专线断掉,专线路由器内部 OA 设备经此路由器NAT(上端原有汇总路由到内部 OA,如走路由模式而非 NAT
14、 方式上行,则无法实现回传的路由)到无线的防火墙、经过防火墙 VPN 到上端核心防火墙内部,再到后台业务中心,上端 OA 核心 N7000 配到无线核心交换机 10510 的路由,无线核心交换机配到下端的每个网店防火墙内的明细路由(每个网点 1 条),则专线断掉后、专线内部 OA 等设备可通过无线侧的 VPN 备份。如专线正常,则无线 OA,先到专线路由器,通过专线路由器走另一个 NAT 到 N7000 再后台业务中心,回传路由可借原有的核心区域的 N7000 往下。如不再做 NAT,则回传的路由和无线备份的路由是同一条网段的路由,回传会首先被送到无线核心交换机一侧,而无法实现回传。由于此方式
15、在专线路由器端有两个 NAT,非常复杂,且容易导致路由混乱,不建议采用。4.5 设备部署4.5.1 大中型门店机柜设备部署每台设备间隔 2U,机柜从下至上定为 1-42u;如店铺没有以下规划设备(定位服务器仅 29 家大型门店部署),机柜空间预留;机柜 U 数(从下至上数) 设备名称第 27U 防火墙第 24U 行为管理设备第 20、21U 缓存服务器第 16、17U 定位服务器第 13U 无线控制器第 10U POE1第 7U POE2第 4U POE3XXX 门店无线覆盖项目29 4 2 U1 U无线控制器2 U定位服务器1 U行为管理服务器缓存服务器2 U1 U防火墙1 U交换机 P O E 14.5.2 小型门店主机柜设备部署每台设备间隔 2U,机柜从下至上定为 1-22u;如店铺没有以下规划设备,机柜空间预留;XXX 门店无线覆盖项目3022 U无 线 控 制 器1 U1 U 防 火 墙1 U 交 换 机机柜 U 数(从下至上数) 设备名称第 16U 防火墙第 13U 无线控制器(未来预留)第 10U POE1第 7U POE24.5.3 数据中心设备部署wifi 数据中心租用于鹏博士 IDC,三期共规划使用 10 个机柜,其中服务器、存储机柜 6 个,网络机柜 4 个。第一期网络机柜设备部署情况如下:
