1. 软市首页
  2. 行业观察

商场无线网络方案设计

行业观察

ps:和朋友们三四天一起写的设计方案,思路设计方面仍存在不足

1.项目背景

1.1 西单大悦城无线网的概述

       信息化是当今世界发展的大趋势,是推动经济社会发展和变革的重要力量。商场是社会的经济细胞,实现国家信息化、社会信息化也要推进商场全面信息化,用信息技术手段去改造传统商场,使其焕发新的活力。商场的信息化包括商品的进、销、存信息化管理,商场人员的信息化管理,以及物流的信息化管理。商场信息化又必须以现代计算机技术、 网络技术和通信技术依托。

?       随着互联网日益普及,更为方便、快速、移动式的使用网络成为必然要求。 在现代化商场建设中,商场内部的计算机网络已经成为商场必备设施。一般计算机组网以铜缆、光缆为主要传输媒介,构成有线局域网。但有线网络存在布线局限性:布线及改线工程量大、线路易损、网络节点不可移动等。 尤其连接较远节点时,铺设专用通信线路施工难度大、费用高、耗时长。 在现代化商场中,为了求新求变,经常要改变布局,因此单纯的有线网络对正在迅速扩大、不断改变的联网需求形成了严重的瓶颈。无线局域网就是解决有线网络不足而出现的。 无线局域网具有安装便捷、使用灵活、经济节约、易于扩展等优点,应成为商场信息化建设中的重要组成部分。无线网络为建设面向未来网络化、信息化,具备多种综合业务发展需求的商场提供了必要的网络基础。

1.2 项目背景

       西单大悦城的无线网络以“高带宽、广覆盖、大容量”的特点可以为商场提供高速无线上网需求、为全面感知和高速传输提供“无线”可能。按照“整体规划、分期实施,试点先行、以点代面,科学布网、注重安全,企业应用、兼顾民用”原则,构建无线网络,建立物联网无线感知基础网络,并且利用无线网络架构的方便、快捷、灵活、覆盖广等特点,推动办公的自动化、数字化信息化的融合,实现日益增强的移动办公、生产自动化的需求,满足多业务、多平台资源共享。

2.需求分析

2.1 建筑物分布信息

2.1.1 建筑分布

       目前,西单大悦城共有十四层,分别为B1-B4,F1-F10,由于B3、B4为停车场,F8-F10与写字楼相关,故本次方案只涉及地上1-7层以及地下2层,其中F1层的二维与三维具体分布如下图所示:

商场无线网络方案设计

2.1.2 占地面积

       西单大悦城总占地面积16073 m 2 m^{2} m2,以20.5万的建筑体量、充满未来感雕塑性立面、国际高标准的软硬件设施、超前的经营理念得以引领西单商业圈整体升级,成为未来北京商业领跑者与年轻人全新的时尚策源地。

       其中,以1层为例进行占地面积说明,根据地图中的图例与注记以及标记工具PxCook可大致算出每一层的面积占比,如:地图上120px代表现实中的12m,那么970px就代表97m,1304px代表130m,即1层的长约为130m,宽约为97m,占地面积约为12610 m 2 m^{2} m2,标注图如下图所示:

商场无线网络方案设计

       由图可以看出该无线覆盖网络主要由路由器、防火墙、交换机、无线网络控制器(AC)、AP以及相关的服务器集群组成,并且形成3层网络结构(核心层、汇聚层、接入层)。其中采用两台万兆上联三层网管交换机组成双核心交换机形成核心层,以保证数据无瓶颈高速传输以及网络的稳定性,同时设置多台千兆上联以太网PoE交换机形成网络的汇聚层,每台千兆交换机上联两台核心交换机,下联多台吸顶式AP并且通过POE方式对AP进行供电,无线网络控制器AC接入到核心交换机上控制整个网络的所有AP,从而形成整个网络拓扑结构。

3.1.2 主干网络设计(核心区域)

       核心交换机是整个i网络的中心枢纽,一旦出现故障整个网络会瘫痪,业务会中断,为了提高整个网络的可靠性,采用两台万兆上联三层网管交换机组成双核心交换机形成网络的核心层,作为该无线局域网的主干部分。核心交换机下联所有汇聚交换机,采用千兆链路进行连接。核心层交换机一般都是三层交换机或者三层以上的交换机,采用机箱式的外观,具有很多冗余的部件,需要完成高速转发通信,提供优化、可靠的骨干传输结构等功能。

3.1.3 分支网络设计

1、汇聚交换区域:商场楼层较多因此选择汇聚交换机进行无线汇聚建设,根据每层楼信息点的个数每层楼选择多个个汇聚交换机完成对该层的无线汇聚,从而将安全范围缩小,同时帮助核心交换机分担数据转发的容量。

2、接入区域:所有吸顶式无线AP部署形成网络的接入区域,用户通过与AP的连接从而进行对网络的访问。

3、认证及管理区域:针对整个无线网络,通过AC实现对全网AP的自动配置下发、射频管理、信道分配等统一的管理和安全接入控制,让维护人员可以轻松的实现对无线网络的管理。

3.2 局域网设计

3.2.1 VLAN划分与IP规划

  1. VLAN的划分

在对商场无线网络进行VLAN划分时应该考虑到如下的几点问题:

  1. 普通用户一旦连接到商场无线网络后随着位置的移动仍然需要保持网络的连接并且无需用户中途再次进行身份验证
  2. 应该将商场的无线网络和有线网络通过VLAN划分进行隔离
  3. 对于餐厅、咖啡厅等允许逗留和堂食的店铺会考虑给用户提供更好的上网体验,因此会单独划分成一个VLAN
  4. 普通用户和管理者用户的登录应该通过VLAN进行分割

针对以上的系列问题,该无线网络方案中对于VLAN的划分采取了以下几点措施:

  1. 为了满足用户无缝漫游的要求,在所有的AP中都将其中的一个SSID命名为”guest”作为普通用户的VLAN,实现商场内部用户随着位置的移动切换连接的AP但不需要重复进行验证登录

  2. 为了实现普通用户与管理者的分离,对于商场地面以上楼层的所有AP,都将AP的其中一个SSID命名为“adminstrator”作为商场内部管理的VLAN

  3. 为了给餐厅等允许逗留和堂食的场所客户提供更好的网络体验,在覆盖相关店铺的AP上应将其上的某一SSID命名为场所名字,形成一个VLAN给用户提供更好的体验

  4. 若商场高层是作为写字楼使用,或者商场高层是作为商场管理部门,此时应该考虑根据不同的部门职责划分VLAN

  5. IP规划

       在该无线网络设计方案中是利用路由器的DHCP server功能在指定的IP地址范围内对设备的IP地址进行分配。对于西单大悦城这种大型商场,我们在此方案中初步将设备容量考虑为10000台,因此对于IP地址的规划应该满足设备容量的相关要求,对IP地址大致做了如下规划:

  1. 将路由器的IP地址设为192.168.0.1/255.255.255.0
  2. 根据网络拓扑图可知该无线网络方案中一共有720个AP,考虑使用24端口的汇聚交换机与AP进行连接,需要考虑进行一些端口预留,因此设计为一个汇聚交换机连接20个AP,因此共需要36个汇聚交换机,总共需要39个交换机,为交换机分配IP地址:192.168.0.2~192.168.0.34/255.255.255.0
  3. 对于480个AP将其IP地规划在192.168.0.35192.168.0.254、192.168.1.1192.168.1.254、192.168.2.1~192.168.2.216/255.255.255.0进行分配
  4. 为了满足商场大量大量用户同时上网的要求,将用户IP范围规划为192.168.3.1~192.168.52.254/255.255.255.0,能够承载大于10000个无线终端

3.2.2 VLAN配置

VLAN的配置过程:

(1)为各VLAN组命名;

(2)把相应的VLAN对应到相应的交换机端口。

3.2.3 端口聚合

       端口聚合,将交换机上的多个端口在物理上连接起来,在逻辑上捆绑在一起,形成一个拥有较大宽带的端口,可以实现负载分担,并提供冗余链路。

       使用EtherChannel特性,在交换机到交换机之间提供冗余的高速的连接方式。将两个设备之间多条FastEthernet或GigabitEthernet物理链路捆在一起组成一条设备间逻辑链路,从而增强带宽,提供冗余。

3.2.4 生成树

       工作在OSI网络模型中的第二层(数据链路层)的通信协议,基本应用是防止交换机冗余链路产生的环路。用于确保以太网中无环路的逻辑拓扑结构,从而避免了广播风暴,大量占用交换机的资源。

       交换机之间通过交换桥协议数据单元BPDU(Bridge Protocol Data Unit)来实现;为稳定的生成树拓扑结构选择一个根桥;为每个交换网段选择一台指定交换机;将冗余路径上的交换机置为Blocking,来消除网络中的环路。

商场无线网络方案设计

       STP协议优于简单的树形拓扑的一点就是,在保证不会发生广播风暴的前提下,它不要求物理链路完全无环。在树形拓扑结构中,源与目的之间路径都是唯一的,一旦中间任何地方出现故障都会导致二者完全断联。而在上图中,开启了交换机的STP协议后,即使原先选定的无环最优路径故障,也能找出另一条无环路径作为代替,降低了系统的瘫痪风险,大大增加了其可用性。

商场无线网络方案设计

3.4.2 服务器软、硬件选择

       由于商场规模较大,选用IBM Power System S812L(8247-21L)服务器,可同时满足网络配置和商场的管理需求。操作系统选用linux。

       E-mail服务软件选用Sendmail,数据库软件选用Oracle大型数据库系统,代理服务器软件可以选用SyGate、WinGate、MsProxy。

3.4.3操作系统的安装与配置

1 安装前的准备

       在重新安装操作系统之前,首先要确定是否需要重新安装。如果需要,那么要确定操作系统的版本,数据库、web服务、邮件服务等应用程序的版本,要确定是否用当前的版本还是升级。之后,准备操作系统、补丁程序、应用程序,准备驱动程序,最好使用厂家提供的驱动。

2 操作系统的安装

       如果硬盘以前是安装 UNIX,硬盘的分区不是FAI分区,而是VFS、E2FS、E3FS 等分区;或者硬盘做过RAID,硬盘的前16K 字节会保存RAID 的设置信息,这时候为了保证系统安装不会受到干扰,要求清除这些信息。可以用一个小工具来彻底清除系统分区信息,它就是Clear 程序,这个小程序能够彻底清除硬盘的分区信息。如果找不到 Clear 程序,也可用Fdisk/mbr 来清除主引导记录。

       在系统安装驱动程序时,最好使用厂家提供的驱动,不要用系统自检的驱动,很多情況下,系统自检的驱动会有各种问题。例如,有时候用NT 自检的SCSI 卡的驱动会导致系统找不到硬盘;NT自检的网卡会导致系统蓝屏;Linux 自检的 RAID 卡驱动会在安装时死机;Scoopenserver 自检的网卡会在大数据传输量的情况下导致网卡断掉等。

3 配置

(1)搭建DHCP服务器,配置静态IP.

(2)创建作用域。为了向局域网中的计算机提供IP地址,必须创建作用域。为了向不同网络提供不同的IP地址,还需要创建不同的作用域,另外,还可以创建超级作用域,以便对多个作用域进行管理。

(3)创建多播作用域,设置设备所租用IP的时间。

(4)搭建DNS服务器。DNS服务器不仅可以为局域网内部的计算机提供域名解析服务,将以后对域名的访问请求转换为可识别的IP地址,还可以对外解各种网络服务器的IP地址,实现Internet对网络内部服务器的访问。DNS服务器通常和Active Directory服务配合使用,因此,如果网络中要使用Active Directory服务来实现用户验证、资源管理等功能。可以将DNS服务和Active Directory服务安装在同一服务器上。如果网络中不使用Active Directory服务,则可以只安装DNS服务器规划好的所需使用的DNS域名。

(5)搭建www服务器。WWW服务和FTP服务是网络中非常重要的服务,进行网站搭建、信息发布、产品宣传、信息交流等都离不开这些服务。

(6)搭建打印服务器。商场在进行结算时,可以使用打印服务器调用打印小票。不管是直接连接到打印服务器还是从其他位置接入网络的打印机,都可以通过打印服务器统一管理,并为所有用户或指定的用户完成打印任务,有效地控制打印成本。

3.4.4 其他

       热备份:使用热备数据库,采用archivelog mode方式进行数据库备份,设定指定的周期和容量,实现热备。

       容灾方式:采用云备份,节约成本。

       集群与负载均衡:对于商场结算信息此类信息量和运算量大的工作采用服务器集群方式加快速度,对于顾客网络接入这类信息量较小且请求较多的工作采用负载均衡,防止响应速度过于缓慢。

3.5 网络安全设计

3.5.1 物理安全

       包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。

考虑以下几点:

1. 防止系统中的信息在空间上的扩散:

       正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2. 物理访问:

       虽然这似乎是一个简单的要求,但绝对需要对按钮、端口、电缆、网络连接甚至电源进行强大的物理访问,以确保设备在物理上是防篡改的。这可以包括物理钥匙锁、防篡改螺钉、硬化电缆线束,甚至是代替标准电源线的硬接线设备。

3. 环境:

       这些设备运行的环境条件可能会因温度、湿度、沙尘甚至腐蚀性元素而对其运行造成压力。

4. 网络安全:

       由于这些设备本质上是分布式计算机系统,因此它们可能会遭受与任何操作系统或应用程序相同的电子缺陷。软件和固件组件应经过软件安全检测、渗透测试、漏洞评估、变更控制和补丁管理,以确保网络攻击不会危及资产的任务。

5. 风险分析:

       由于这些设备与物理世界相互作用,因此需要在每个操作层进行风险评估,以确定潜在影响和任何缓解策略,确保不会发生灾难性事件。

6. 隐私:

       这些系统可能包含大量个人身份信息,从摄像头的视频记录到门禁读卡器的详细信息。根据地理位置和当地法律,这些数据需要适当的加密、存储,以确保隐私信息受到保护。

7. 可靠性:

       这些系统的可靠性至关重要。在操作期间通过执行重新启动以清除错误是不可接受的。除正常运行时外,电源故障、灾难恢复和高可用性是这些系统的设计和实现的重要考虑因素。

8. 可支持性:

       最重要但经常被忽视的考虑因素之一是系统中所有组件的可支持性。这包括物理组件备件的使用寿命以及软件升级和安全补丁的预期使用寿命。如果系统使用商业现成组件,供应商计划在产品生命周期结束之前支持组件或软件多长时间/p>

3.5.2 操作系统安全配置

       操作系统是软硬件资源的掌管者、操作系统的安全是整个计算机系统安全的基石,应当防止OS本身被破坏,禁止对未授权资源的访问。该层次的安全问题来自网络内使用的操作系统的安全。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。

       保密安全操作系统设计原则:安全OS的设计原则、最小权限、最少通用、安全机制的经济性、开放式设计、安全策略完整性、权限分离。

3.5.3 网络层安全

       该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。

1.身份认证采用单点登录和双因素认证结合。单点登录:在多个业务系统中,用户只需要登录一次就可以访问所有相互信任的业务系统。通过备份、冗余、负载均衡、功能模块化以及提高处理性能,来防范单点故障。进行资金交易等敏感操作进行双因子认证,操作系统、数据库、网络设备登陆,采用堡垒机进行登陆统一认证和操作审计。

2.确保自身安全的同时,商场无线局域网覆盖方案还应考虑引导顾客接入商家自建的WiFi,防范顾客错误连接了虚假钓鱼WiFi,导致用户信息、资料、账户泄漏。

3.访问控制策略采用白名单形式,默认情况下除允许通信外受控接口拒绝所有通信,如远程登陆端口、数据库端口、中间件端口进行访问控制,尽量避免端口暴露非信任区域,可以通过VPN进行跨区域安全通信。

4.权限控制,基于角色的权限访问控制:及时删除或停用多余的、过期的账户,避免共享账户的存在。如长期未登陆用户使用系统,如超过三个月未登陆系统,应对帐号进行长期锁定。

3.5.4 应用层安全

一.做好备份工作

  1. 必须定期巡检和维护备份系统及时发现并排除故障隐患,保证备份系统的正常运转。

  2. 对于核心系统和关键系统,每半年进行备份介质可用性检查,确保库存介质可用。

  3. 必须保证核心系统每季度进行的恢复测试顺利完成,检查备份可用性。关键系统至少每半年进行恢复测试。

  4. 需要实施系统恢复时要按照备份恢复管理流程申报、审批,按照备份恢复方案进行系统恢复。

二.部署日志审计系统

  1. 记录关键业务操作日志:应记录关键业务操作的日志,例如登录成功与失败、关键业务办理、敏感数据查询、敏感数据导入与导出等。

  2. 记录应用系统运行日志:应记录应用系统的启停、异常、资源使用情况等

三.保护好数据库

  1. 使用数据库代理保护数据库免受攻击,比如数据库防火墙可以直接阻断基于数据库协议的攻击行为。

  2. 对数据库进行封装,提供统一的运维平台给DBA或开发人员使用,使管理员无法直接接触数据库服务器,通过用户账号管理、权限控制、操作审计来实现。

  3. 数据库审计,通过基于网络流量或者代理插件等技术来实现数据库审计,以此发现针对数据库的入侵或违规操作。

  4. 数据库所在服务器及数据库软件本身的安全性加固工作。

3.5.5 防火墙

       采用代理服务型防火墙。主要在应用层实现。当代理服务器收到一个客户的连接请求时,先核实该请求,然后将处理后的请求转发给真实服务器,在接受真实服务器应答并做进一步处理后,再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间,发挥了中间转接的作用。所以,代理服务器有时也称作应用层网关。

       代理服务器型防火墙利用代理服务器主机将外部网络和内部网络分开。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部的网卡一样,从而可以达到隐藏内部网络结构的作用。内部网络的主机,无需设置防火墙为网关,只需直接将需要服务的IP地址指向代理服务器主机,就可以获取Internet资源。

       使用代理服务器型防火墙的好处是,它可以提供用户级的身份认证、日志记录和帐号管理,彻底分隔外部与内部网络。

3.5.6 ACL

       主要通过ACL来实现网络访问控制。仅限运维技术负责人有权限访问生产服务器及业务数据接触到客户数据,应用系统的发版均需要经过运维人员配合才能进行发版;在适当接口部署ACL,实现商场财务部门和其它部分权限分离等功能。

3.6 网络管理设计

3.6.1 网络管理技术

       网络管理是对计算机网络的配置、运行状态和计费等进行的管理。它提供了监控、协调和测试各种网络资源以及网络运行善的手段,还可提供安全管理和计费等功能。在该无线网络覆盖方案中涉及到的网络管理主要是指网络稳定性的测试以及故障排查等方面的问题。

  1. 网络管理包括以下三个方面:
    1. 了解网络:识别网络对象的硬件情况、差别局域网的拓扑结构、确定网络的互联、确定用户负载和定位。
    2. 网络运行:配置网络,选择网络协议是配置网络的重要组成部分;配置网络服务器;网络安全控制。
    3. 网络维护:主要包括故障检测与排除,发现故障、追踪故障、排除故障、记录故障的解决方法;网络检查;网络升级,服务器操作系统升级,服务器的硬件升级。
  2. 网络管理的几大功能:
    1. 配置管理:配置管理的自动获取,在网络设备中自动配置信息中,根据获取手段大致可以分成三类,第一类网络管理协议标准的MIB中定义的配置信息;第二类不在网络管理协议标准中有定义,但对设备运行比较重要的配置信息;第三类就是用于管理的一些辅助信息;自动备份及相关技术;配置一致性检查;用户操作记录功能。
    2. 故障管理:过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。
    3. 性能管理:采集、分析网络对象的性能数据、监测网络对象的性能,对网络线路质量进行分析。
    4. 安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。

3.6.2 网络管理的相关准则

  1. 所购入的所有设备到货后,需要在网络安全部备案入网,并且在完成安装后通知网络安全部以便核查。
  2. 相关机房安装监控设备,并且要有相关的录像记录。
  3. 相关机房进行门禁管制,禁止非管理人员进出。
  4. 相关维护人员定期对网络进行测试,对设备进行盘点

3.6.3 网络性能管理

       网络性能管理是指评价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制,性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,

来源:Marsbupt

声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年3月9日
下一篇 2022年3月9日

相关推荐

首页
软件超市
企服市场
会员中心