《单兵作业WAPI覆盖方案建议书.docx》由会员分享,可在线阅读,更多相关《单兵作业WAPI覆盖方案建议书.docx(13页珍藏版)》请在第一文库网上搜索。
1、单兵作业WAPI覆盖方案建议书目录一、有线网络建设部分41、总体设计原则42、安全概述错误!未定义书签。3、网络设计方案53.1 高新综保区单兵作业总体网络拓扑图53.2 网络整体结构说明54、互联网接入方案64.1 网管规划64.2 服务质量与带宽管理64.3 网络安全7二、无线网络建设部分71、综保区无线需求分析71.1、覆盖区域712、设备需求72、设计思路82.1、 室内AP82.2、 室外AP(含全向和定向)82.3、 认证系统92.4、 无线控制器92.5、 出口安全92.6、 核心交换机92.7、 汇聚交换机92.8、 PoE交换机93、网络拓扑结构图103.1、 总拓扑图103
2、.2、 高新综保区A区无线网络拓扑图113.3、 高新综保区B区无线网络拓扑图113.4、 高新综保区C区无线网络拓扑图12三、主要设备清单13一、有线网络建设部分现目前综保区单兵作业系统采用4G方式,但由于综保区内人流量密集,相对集中,造成4G网络数据上传效率非常低;因此非常有必要建立一个安全、高效、独立的单兵作业系统。1、总体设计原则根据海关查验作业的需求及将来扩展要求,设计网络时遵循如下设计原则:实用性:网络的设计,首先应注重实用和成效。因此应采用成熟主流技术和设备,同时应具有很好的适用性、可靠性和易维护性。先进性:应选择具备先进技术并且产品可靠,保护用户的投资。可扩性和灵活性:由于计算
3、机网络和有关技术发展很快,可以说日新月异,在新技术成熟或新要求提出时,应能扩展升级和灵活变更,而不是推倒重来,以保护今天的投资。2.1 高新综保区单兵作业总体网络拓扑图2.2网络整体结构说明1)、出口网关采用华为多核架构防火墙USG6330,支持千兆光口和电口,支持VPN、多线路接入等扩展功能。2)、核心交换机采用华为S5720-32X-EI-24S全光交换机,支持24个光口、4个千兆电口、4个万兆口,方便后期万兆网络扩展。3)、汇聚交换机均采用华为S5720-32P-EI-AC千兆交换机;支持24电口,8个光口。4)、POE接入交换机采用汉明HowaySW-1082,8个千兆POE接口,2个
4、千兆光电复用口,最大功率支持150W;5)、无线控制器采用汉明HOWayAC-128-0010;提供8个千兆以太网口、2个千兆以太网口、2个千兆光口;统一管理无线AP.6)、无线认证系统采用汉明Howay5050PRS-0500;提供2个IOOOMbps以太网口,最大支持5000人同时在线,默认IooO用户。7)、室内无线AP采用汉明Howay2000Q87-0050全向无线AP;提供1个IOOOMbps以太网口,支持POE,内置大功率增益天线。8)、室外全向无线AP采用Howay2000Q89-U0080;提供1个IOOOMbps以太网口,支持POE,内置大功率增益天线。9)、室外定向无线A
5、P采用Howay2000Q89-D0150;提供1个10/100/IOOOBase-T以太网口,支持P。E供电,内置大功率增益天线。支持IP67等级外壳,坚固、防水、防尘,适合在极端的室外环境中使用。3、互联网接入方案本次方案主要解决的是,所有单兵作业系统通过互联网访问海关相关的业务系统。通过华为网络边界产品提供丰富的功能,可以同时满足多种广域网线路的接入、安全防护、VPN接入等多种功能,为日后业务升级提供强大的扩展性及投资保护。3.1 网管规划所有交换机支持SNMP(V1、V2、V3)、RMON网络管理协议,可以通过各种通用网管软件对网络设备进行监控和管理,使管理员真正地实现对整个局域网的集
6、中化、远程化管理。通过长期的数据收集、数值分析。网管人员可以及时掌握设备的运行情况。通过科学决策及早排除隐患,确保网络设备长期可靠的运行。3.2 服务质量与带宽管理通过隐藏SSID,绑定单兵作业设备MAC地址的方式,进行最大化保障专网专用,避免其他设备抢占其资源,导致作业效率下降。对于安全,涉及到很多方面,如终端的管理(包括各种移动设备)、非法外联、非法接入等安全问题。本次网络设备选择本地认证WPA2密钥的方式进行验证设备是否满足接入要求。二、无线网络建设部分1、综保区无线需求分析高新综合保税区位于高新西区,分A、B、C三个区域;目前单兵作业系统采用4G方式上网,由于区域内人流量密集,相对集中
7、,运营商基站无法承载,造成数据上传效率非常低;非常有必要建立一个安全、高效、独立的单兵作业系统。1.1、 覆盖区域根据与用户沟通和现场实地考察确认;高新综合保税区无线覆盖区域为:1)、A区查验平台、仓库办公区域、内卡、外卡进口、外卡出口及办公楼(2个办公室)。2)、B区主卡、大厅、查验平台、仓库和商检平台3)、C区南卡、查验平台(含办公室)、商检广场、大厅1.2、 设备需求根据与用户沟通和现场实地考察确认;高新综合保税区无线设备需求为:A区1)、查验平台需安装4个室外全向无线AP2)、仓库需要安装1个室内全向无线AP3)、内卡需要安装1个室外全向无线AP4)、外卡进口需要安装1个室外全向无线A
8、P5)、外卡出口需要安装1个室外全向无线AP6)、大厅楼上2个办公室各需要安装1个室内全向无线APB区1)、主卡需要安装2个室外全向无线AP2)、大厅需要安装2个室内全向无线AP3)、查验平台需要安装2个室外全向无线AP4)、仓库需要安装4个室内全向无线AP5)、商检平台需要安装2个室外全向无线APC区1)、南卡需要安装2个室外全向无线AP2)、查验平台需要安装3个室外全向无线AP3)、查验平台办公室需要安装1个室内全向无线AP4)、商检广场需要安装3个室外定向无线AP和1个室外全向无线AP5)、大厅IF需要安装1个室内全向无线AP在无线服务需求区域,为了给单兵作业人员提供高效的工作环境,所有
9、单兵作业区域均需实现无线覆盖。为保证单兵作业网络的安全和高效,避免无关人员进入网络,除需要做相关认证外,还建议将建成后的无线网络进行隐藏,防止其他无关人员随意占用网络资源。2、设计思路根据实际情况,我们提出以下设计思路:2.1、 室内AP大厅、仓库室、办公室:使用室内全向AP,充分保证室内的信号质量,同时通过AP的功率调节功能能够有效的降低AP的发射功率,不会对室外的无线网络形成干扰。2.2、 室外AP(含全向和定向)查验平台、商检平台(广场)、卡口:使用室外AP,支持IP67等级外壳,坚固、防水、防尘,适合在极端的室外环境中使用。2.3、认证系统认证方面:采用汉明Howay5050PRS无线
10、认证系统,持POrtaI认证功能,内置账号认证、短信认证、一键认证、微信连WiFi等多种认证功能。2.4、 无线控制器采用统一的无线AP控制器,提供统一的无线管理,支持无线AP漫游和负载均衡,保隙网络使用的高效和可靠。2.5、 出口安全出口边界采用下一代防火墙,保障网络1-7层的安全,防止外部攻击;同时支持流控,保证内部终端的安全和带宽稳定。2.6、 核心交换机核心交换机采用万兆级全光交换机,通过光缆连接A、B、C三个区;上行通过网线连接防火墙;对内部采用相关技术管控措施,防止内部ARP攻击;同时也可采用相关策略,通过内部终端IP、MAC的绑定,提高网络的安全性。2.7、 汇聚交换机采用千兆级
11、网络交换机,通过光纤上行至核心,千兆下行至POE交换机,同时配合核心交换机策略管控,防止内部ARP攻击;通过内部终端IP、MAC的绑定,提高网络的安全性。2.8、 PoE交换机采用千兆级交换机,通过光纤上行至汇聚,网线连接到AP设备,通过PoE接口,提供AP的电力供应,无需单独布置电源线,节约资源。3.1、总拓扑图无豺IAP无线AP高新综保区单兵作业总体网络拓扑示意图C区PoE交换机H-HOWay2000Q89Hovay2000Q89Howay2000Q89HwHy2000Q870050U0080-U0080-UOO80-UOO800050高新综保区单兵作业A区网络拓扑示意图3.3、高新综保区
12、B区无线网络拓扑图三、主要设备清单设备名称型号厂家备注A区出口防火墙USG6330华为I核心交换机S5720-32X-EI-24S-AC华为1无线认证系统5()50PRS-()5(X)汉明1无线统一管理AC-128-0010汉明1POE交换机SW-1082汉明5室内无线AP2000Q87-0050汉明7室外无线AP2000Q89-U0080汉明3B区汇聚交换机S5720-32P-EI-AC华为1POE交换机SW-1082汉明4室内无线AP2000Q87-0050汉明10室外无线AP2000Q89-U0080汉明2C区汇聚交换机S5720-32P-EI-AC华为1POE交换机SW-1082汉明4室内无线AP2000Q87-0050汉明6室外无线AP2000Q89-U0080汉明2室外定向无线AP2000Q89-D0150汉明3