技
术
方
案
第1章.无线AP网络系统
1.1.系统概述
为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统,以保护网络拥有者的投资,在本网络设计上严格按照以下无线网络设计原则进行设计:
●实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模。
●安全性原则:商场内无线为开放网络,无线网络可以随时随地接入,如果商场内员工和顾客使用内部无线网络时,必须有相应的加密和认证机制,才能保证网络的安全性。同时为了
满足公安部82号令的要求,商场需要一套可以进行顾客身份认证及上网行为审计和管理的系统。
●可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
●规范性原则:系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
●开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
●可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和地区的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
●可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进
行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
1.2.系统设计范围
无线网络覆盖项目是要保证商场内公共区域的员工和顾客能够使用移动终端(手机、平板电脑等)经过简单快捷的认证之后,随时随地的接入网络,该无线网络必须具有一定的安全性、可管理性和可扩展性。
本次无线建设包括以下几点需求:
首层大堂及电梯厅采用壁挂式AP覆盖,共计4个无线AP信息点。
2层及3层公共走道区域采用吸顶式无线AP信息点,共计10个无线AP信息点。
人密度在20-30人左右, 无线AP信息点布置按照平均20米左右一个;
无线网络:主要在1层~三层公共走道区域、电梯厅、大堂设置无线网络AP点。共计14个无线网络AP点。大堂4台为壁挂AP点,因楼层比较高,选择壁挂安装。其余为吸顶安装。
大堂前台设置3个网络信息点,供接待人员使用,在预留三根JDG20管。
1.3.系统架构
无线网络系统设计采用骨干万兆、桌面100/1000M自适应接入的二层结构网络体系。核心与接入交换机之间采用冗余链路的方式,核心交换机和存储交换机通过万兆单模光纤连接。核心交换机采用双核心交换机,同时保证提供足够数量的千兆端口用于连接骨干网(主交换机与楼层交换机之间的链路)和连接各类服务器。
1.4.系统功能
1.无线覆盖
本次无线建设重点为商业公共走道部分无线覆盖,包含商业店铺公共过道、首层大堂、首层电梯厅区域,从AP的部署方式全面采用场景化覆盖方式,针对不同的场景采用不同的解决方案,采用不同的部署方式,让每位顾客在有WIFI地点都可以享受无线网络,不受写字楼格局等影响。所有场景均已进行现场详细勘测,以确保方案的准确性。
2.无线供电
为方便统一管理,提高设备的安全性,本次无线供电设计建议采用POE供电的方式对无线AP进行远程供电。采用POE方式即通过网线对AP进行供电,POE供电方式具备以下几点优势:首先,安全性更高,通过网线进行供电可以避免本地电源的使用,有效减少强电部署,提高大楼的用电安全。
3.无线网络管理
作为接入层网络,公共区域的无线网络需要较多的AP,维护工作量较大,加之无线网络的灵活性和不可见性,如果对每个AP进行单独管理则会造成较高的维护开销,也给管理人员带来了一定的难度。而且无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。
4.短信认证
无线网络项目对安全有着严格的要求,必须能够对外来人员进行身份认证,一方面对网络安全有一定程度的保护,另一方面,保证网络的正常使用,提高网络的使用效率和用户的使用体验。根据本项目的特点,本次方案建议采用短信认证的方案,客户通过短信自助获
取登录密码,登录账号即用户手机号。这种认证方式可以在减少网管人员工作量的同时,对无线接入用户进行登录信息记录,便于以后审查。
针对写字楼客户流动性较大,顾客众多且不固定的特点,无线访客接入管理组件(EIA)单台服务器最大可以支持到1万人规模,顾客通过手机接入之后,后台服务器会快速为新顾客开户,发送登陆密码到顾客手机,访客身份验证成功后,根据访客策略通过ACL、VLAN控制访问范围,访客可以手动注销或者超时自动注销;服务器也会定期自动删除失效访客账号,保障后续客户的顺利接入。如果检测到接入用户手机长期处于“无流量”状态,EIA服务器可以将此用户作下线处理,用户再次接入的时候,无需再次输入手机号和密码,可以“快速无感知”接入继续上网。
1.5.主要设备技术要求
1.防火墙
序号 | 功能及技术指标 | 参数要求 |
1 | 硬件架构 | 采用非X86 64位多核高性能处理器和高速存储器 |
主控模块内存≥16G | ||
2U以下盒式设备 | ||
4 | ★基本要求 | 千兆光口≥4个,千兆电口≥8个 |
整机最大可扩展接口数量4SPF+8GE; | ||
扩展槽位≥2个,可扩展4GE Bypass功能接口; | ||
7 | ▲产品性能 | 最大并发连接数≥220万 |
IPSec VPN并发连接数≥1000 | ||
每秒新建连接数≥150K | ||
整机吞吐量≥10Gbps | ||
整机DPI深度防御吞吐量≥6G | ||
3DES加密≥6G | ||
AES256加密≥6G | ||
14 | ★可靠性要求无线网络受限制或无连接 | 支持VRRP的链路备份 |
支持双机集式高可靠性技术,融合后可同一管理配置,对外单一节点,单IP并实现主备/主主方式转发 | ||
支持IPSec VPN的IKE状态同步 | ||
17 | 基本功能 | 支持安全区域管理,可基于接口、VLAN划分安全区域 |
▲支持基于CPU、内存等硬件划分资源的完全虚拟化技术,可分配吞吐量、新建、并发,虚拟防火墙可独立重启、配置独立导出,虚拟防火墙数量≥64个 | ||
▲基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持HTTP、FTP、SMTP、POP3协议 支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和报表 | ||
▲支持应用层防护:应用流控 | ||
▲支持链路负载均衡功能、服务器负载均衡功能 | ||
支持静态路由、RIP v1/2、OSPF、ISIS、BGP、策略路由等 | ||
支持防火墙\NAT日志 | ||
支持域间策略匹配日志 | ||
支持攻击防范\黑名单日志 | ||
支持NAT444用户端口块溯源日志 | ||
支持IPV6防火墙及防攻击日志 | ||
IPV6 NAT64端口块溯源及会话日志 | ||
日志格式支持SYSLOG及二进制 | ||
日志开启对设备新建性能影响小于10% | ||
支持一对一、地址池等NAT方式 | ||
支持NAT444、Fullcone NAT、NAT hairpin、两次NAT、双向NAT | ||
必须支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能 | ||
支持一个公网IP地址NAT无限连接 | ||
支持策略NAT ALG功能 | ||
支持NAT二进制日志 | ||
37 | ▲智能管理 | 支持同一管理软件,可实现全网拓扑管理 |
风险地图显示 | ||
攻击溯源功能 | ||
支持RBAC技术:基于功能、web菜单、命令界别的基于用户角的授权 | ||
41 | 部署模式 | 支持路由模式、透明模式和混杂模式 |
42 | ▲电源 | 实配内置固化双交流电源 |
43 | 配套管理 | 支持SNMPv1、SNMPv2C、SNMPv3, |
支持CONSOLE、TELNET、SSH V1.5管理方式 | ||
支持NTP时间同步 | ||
支持TR069协议,BIMS管理 | ||
支持NETCONF接口 | ||
10. | 资质证明 | ▲具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,能提供有效证书的复印件。 |
▲提供中国国家信息安全漏洞共享平台技术组成员证书 | ||
2.核心交换机
序号 | 功能及技术指标 | 参数要求 |
1 | ★整机架构性能 | 双主控;业务插槽数≥6;交换容量≥19Tbps,包转发能力≥2800Mbps; |
2 | 接口要求 | 以太网支持千兆电口,千兆光口,10GE端口 |
单槽位千兆端口密度≥24 | ||
单槽位万兆端口密度≥24 | ||
单槽位能够同时提供千兆光口、千兆电口、万兆光口,且实际可用端口总数≥48,提高槽位利用率和业务可靠性 | ||
支持POE+,满足新一代园区网以太网供电需求 | ||
7 | QOS | 每端口支持8个优先级队列,3个丢弃优先级,支持SP、WRR、SP+WRR三种队列调度算法 |
支持精细化的流量监管,粒度可达8K | ||
支持流量整形Shapping | ||
支持WRED拥塞避免 | ||
支持802.1p、TOS、DSCP、EXP优先级映射 | ||
12 | 可靠性 | 双引擎快速倒换,主备切换时候板内转发无丢包 |
支持NSF/GR for OSFP/BGP/IS-IS | ||
支持热补丁功能,可在线进行补丁升级 | ||
支持BFD,BFD for VRRP/BGP/IS-IS/OSPF/RSVP/LDP/RIP/静态路由。BFD收敛时间<50ms | ||
支持IP FRR,满足网络收敛<50ms | ||
17 | 虚拟化 | 多虚一技术(N:1),可以将4台物理设备逻辑上虚拟成一台 |
一虚多技术(1:N),可以将一台物理设备逻辑上虚拟成多台虚拟设备 | ||
支持多虚一技术和一虚多技术的配合使用 | ||
支持远程端口扩展,作为控制设备实现对端口扩展模块的集中控制 | ||
21 | 数据中心特性 | 支持FCoE功能;支持FCF模式转发,VSAN的创建及配置,支持FC地址的分配及WWN地址和FC地址的绑定等功能; |
支持OPENFLOW 1.3 支持普通模式和Openflow 模式切换 支持多控制器(EQUAL模式、主备模式) 支持多表流水线 支持Group table 支持Meter | ||
支持主流的MAC in IP技术,如EVI/EVN/OTV等,实现跨三层网络的二层互联 | ||
支持VxLAN 网关 | ||
25 | 有线无线一体化 | 支持融合AC功能,无需额外配置单独硬件,并且能在交换机上对所有上线的AP进行管理与配置CK |
26 | 安全特性 | 支持DHCP Snooping |
支持ARP防攻击 | ||
支持广播风暴抑制 | ||
支持端口隔离 | ||
支持IP+MAC+VLAN+PORT的绑定 | ||
支持报文过滤功能,黑洞路由、黑洞MAC | ||
支持IEEE 802.1ae介质访问控制安全技术 | ||
33 | 管理特性 | 支持Console/AUX/Telnet/SSH2.0 |
支持风扇管理 | ||
支持电源管理 | ||
支持在线诊断 | ||
支持SNMPv1/v2/v3 | ||
支持端口镜像、VLAN镜像、RSPAN、流镜像 | ||
支持内置智能图形化管理功能,能够实现通过图形化界面设置配置及命令一键下发和版本智能升级 | ||
40 | ▲资质证书 | 提供工信部入网许可证 |
产品生产厂商需通过ISO9001质量管理体系认证认证,提供证书复印件 | ||
产品生产厂商需通过国际软件研发成熟度CMMI L5级认证认证,提供证书复印件 | ||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论