单兵作业WAPI覆盖方案建议书.docx

单兵作业WAPI覆盖方案建议书目录一、有线网络建设部分41、总体设计原则42、安全概述错误!未定义书签。3、网络设计方案53.1 高新综保区单兵作业总体网络拓扑图53.2 网络整体结构说明54、互联网接入方案64.1 网管规划64.2 服务质量与带宽管理64.3 网络安全7二、无线网络建设部分71、综保区无线需求分析71.1、覆盖区域712、设备需求72、设计思路82.1、 室内AP82.2、 室外AP（含全向和定向）82.3、 认证系统92.4、 无线控制器92.5、 出口安全92.6、 核心交换机92.7、 汇聚交换机92.8、 PoE交换机93、网络拓扑结构图103.1、 总拓扑图103.2、 高新综保区A区无线网络拓扑图113.3、 高新综保区B区无线网络拓扑图113.4、 高新综保区C区无线网络拓扑图12三、主要设备清单13一、有线网络建设部分现目前综保区单兵作业系统采用4G方式，但由于综保区内人流量密集，相对集中，造成4G网络数据上传效率非常低；因此非常有必要建立一个安全、高效、独立的单兵作业系统。1、总体设计原则根据海关查验作业的需求及将来扩展要求，设计网络时遵循如下设计原则：实用性：网络的设计，首先应注重实用和成效。因此应采用成熟主流技术和设备，同时应具有很好的适用性、可靠性和易维护性。先进性：应选择具备先进技术并且产品可靠，保护用户的投资。可扩性和灵活性：由于计算机网络和有关技术发展很快，可以说日新月异，在新技术成熟或新要求提出时，应能扩展升级和灵活变更，而不是推倒重来，以保护今天的投资。2.1 高新综保区单兵作业总体网络拓扑图2.2网络整体结构说明1）、出口网关采用华为多核架构防火墙USG6330,支持千兆光口和电口，支持VPN、多线路接入等扩展功能。2）、核心交换机采用华为S5720-32X-EI-24S全光交换机，支持24个光口、4个千兆电口、4个万兆口，方便后期万兆网络扩展。3）、汇聚交换机均采用华为S5720-32P-EI-AC千兆交换机；支持24电口，8个光口。4）、POE接入交换机采用汉明HowaySW-1082,8个千兆POE接口，2个千兆光电复用口，最大功率支持150W；5）、无线控制器采用汉明HOWayAC-128-0010；提供8个千兆以太网口、2个千兆以太网口、2个千兆光口；统一管理无线AP.6）、无线认证系统采用汉明Howay5050PRS-0500；提供2个IOOOMbps以太网口，最大支持5000人同时在线，默认IooO用户。7）、室内无线AP采用汉明Howay2000Q87-0050全向无线AP；提供1个IOOOMbps以太网口，支持POE,内置大功率增益天线。8）、室外全向无线AP采用Howay2000Q89-U0080；提供1个IOOOMbps以太网口,支持POE,内置大功率增益天线。9）、室外定向无线AP采用Howay2000Q89-D0150;提供1个10/100/IOOOBase-T以太网口，支持P。E供电，内置大功率增益天线。支持IP67等级外壳，坚固、防水、防尘，适合在极端的室外环境中使用。3、互联网接入方案本次方案主要解决的是，所有单兵作业系统通过互联网访问海关相关的业务系统。通过华为网络边界产品提供丰富的功能，可以同时满足多种广域网线路的接入、安全防护、VPN接入等多种功能，为日后业务升级提供强大的扩展性及投资保护。3.1 网管规划所有交换机支持SNMP（V1、V2、V3）、RMON网络管理协议，可以通过各种通用网管软件对网络设备进行监控和管理，使管理员真正地实现对整个局域网的集中化、远程化管理。通过长期的数据收集、数值分析。网管人员可以及时掌握设备的运行情况。通过科学决策及早排除隐患，确保网络设备长期可靠的运行。3.2 服务质量与带宽管理通过隐藏SSID,绑定单兵作业设备MAC地址的方式，进行最大化保障专网专用，避免其他设备抢占其资源，导致作业效率下降。对于安全，涉及到很多方面，如终端的管理（包括各种移动设备）、非法外联、非法接入等安全问题。本次网络设备选择本地认证WPA2密钥的方式进行验证设备是否满足接入要求。二、无线网络建设部分1、综保区无线需求分析高新综合保税区位于高新西区，分A、B、C三个区域；目前单兵作业系统采用4G方式上网，由于区域内人流量密集，相对集中，运营商基站无法承载，造成数据上传效率非常低；非常有必要建立一个安全、高效、独立的单兵作业系统。1.1、 覆盖区域根据与用户沟通和现场实地考察确认；高新综合保税区无线覆盖区域为：1）、A区查验平台、仓库办公区域、内卡、外卡进口、外卡出口及办公楼（2个办公室）。2）、B区主卡、大厅、查验平台、仓库和商检平台3）、C区南卡、查验平台（含办公室）、商检广场、大厅1.2、 设备需求根据与用户沟通和现场实地考察确认；高新综合保税区无线设备需求为：A区1）、查验平台需安装4个室外全向无线AP2）、仓库需要安装1个室内全向无线AP3）、内卡需要安装1个室外全向无线AP4）、外卡进口需要安装1个室外全向无线AP5）、外卡出口需要安装1个室外全向无线AP6）、大厅楼上2个办公室各需要安装1个室内全向无线APB区1）、主卡需要安装2个室外全向无线AP2）、大厅需要安装2个室内全向无线AP3）、查验平台需要安装2个室外全向无线AP4）、仓库需要安装4个室内全向无线AP5）、商检平台需要安装2个室外全向无线APC区1）、南卡需要安装2个室外全向无线AP2）、查验平台需要安装3个室外全向无线AP3）、查验平台办公室需要安装1个室内全向无线AP4）、商检广场需要安装3个室外定向无线AP和1个室外全向无线AP5）、大厅IF需要安装1个室内全向无线AP在无线服务需求区域，为了给单兵作业人员提供高效的工作环境，所有单兵作业区域均需实现无线覆盖。为保证单兵作业网络的安全和高效，避免无关人员进入网络，除需要做相关认证外，还建议将建成后的无线网络进行隐藏，防止其他无关人员随意占用网络资源。2、设计思路根据实际情况，我们提出以下设计思路：2.1、 室内AP大厅、仓库室、办公室：使用室内全向AP,充分保证室内的信号质量，同时通过AP的功率调节功能能够有效的降低AP的发射功率，不会对室外的无线网络形成干扰。2.2、 室外AP（含全向和定向）查验平台、商检平台（广场）、卡口：使用室外AP,支持IP67等级外壳，坚固、防水、防尘，适合在极端的室外环境中使用。2.3、认证系统认证方面：采用汉明Howay5050PRS无线认证系统，持POrtaI认证功能，内置账号认证、短信认证、一键认证、微信连WiFi等多种认证功能。2.4、 无线控制器采用统一的无线AP控制器，提供统一的无线管理，支持无线AP漫游和负载均衡，保隙网络使用的高效和可靠。2.5、 出口安全出口边界采用下一代防火墙，保障网络1-7层的安全，防止外部攻击；同时支持流控，保证内部终端的安全和带宽稳定。2.6、 核心交换机核心交换机采用万兆级全光交换机，通过光缆连接A、B、C三个区；上行通过网线连接防火墙；对内部采用相关技术管控措施，防止内部ARP攻击；同时也可采用相关策略，通过内部终端IP、MAC的绑定，提高网络的安全性。2.7、 汇聚交换机采用千兆级网络交换机，通过光纤上行至核心，千兆下行至POE交换机,同时配合核心交换机策略管控，防止内部ARP攻击；通过内部终端IP、MAC的绑定，提高网络的安全性。2.8、 PoE交换机采用千兆级交换机，通过光纤上行至汇聚，网线连接到AP设备，通过PoE接口，提供AP的电力供应，无需单独布置电源线，节约资源。3.1、总拓扑图无豺IAP无线AP高新综保区单兵作业总体网络拓扑示意图C区PoE交换机H<waySW-1082B区PoE交换机HowaySW-1082vuyg14.0WVivvvjuv.wPirj*力福Hway2000Q87-Hray2000QW>-HOWay2000Q89Hovay2000Q89Howay2000Q89HwHy2000Q870050U0080-U0080-UOO80-UOO800050高新综保区单兵作业A区网络拓扑示意图3.3、高新综保区B区无线网络拓扑图三、主要设备清单设备名称型号厂家备注A区出口防火墙USG6330华为I核心交换机S5720-32X-EI-24S-AC华为1无线认证系统5()50PRS-()5(X)汉明1无线统一管理AC-128-0010汉明1POE交换机SW-1082汉明5室内无线AP2000Q87-0050汉明7室外无线AP2000Q89-U0080汉明3B区汇聚交换机S5720-32P-EI-AC华为1POE交换机SW-1082汉明4室内无线AP2000Q87-0050汉明10室外无线AP2000Q89-U0080汉明2C区汇聚交换机S5720-32P-EI-AC华为1POE交换机SW-1082汉明4室内无线AP2000Q87-0050汉明6室外无线AP2000Q89-U0080汉明2室外定向无线AP2000Q89-D0150汉明3