商场无线网络方案设计

ps:和朋友们三四天一起写的设计方案，思路设计方面仍存在不足

1.项目背景

1.1 西单大悦城无线网的概述

信息化是当今世界发展的大趋势，是推动经济社会发展和变革的重要力量。商场是社会的经济细胞，实现国家信息化、社会信息化也要推进商场全面信息化，用信息技术手段去改造传统商场，使其焕发新的活力。商场的信息化包括商品的进、销、存信息化管理，商场人员的信息化管理，以及物流的信息化管理。商场信息化又必须以现代计算机技术、网络技术和通信技术依托。

随着互联网日益普及，更为方便、快速、移动式的使用网络成为必然要求。在现代化商场建设中,商场内部的计算机网络已经成为商场必备设施。一般计算机组网以铜缆、光缆为主要传输媒介，构成有线局域网。但有线网络存在布线局限性：布线及改线工程量大、线路易损、网络节点不可移动等。尤其连接较远节点时，铺设专用通信线路施工难度大、费用高、耗时长。在现代化商场中，为了求新求变，经常要改变布局,因此单纯的有线网络对正在迅速扩大、不断改变的联网需求形成了严重的瓶颈。无线局域网就是解决有线网络不足而出现的。无线局域网具有安装便捷、使用灵活、经济节约、易于扩展等优点，应成为商场信息化建设中的重要组成部分。无线网络为建设面向未来网络化、信息化，具备多种综合业务发展需求的商场提供了必要的网络基础。

1.2 项目背景

西单大悦城的无线网络以“高带宽、广覆盖、大容量”的特点可以为商场提供高速无线上网需求、为全面感知和高速传输提供“无线”可能。按照“整体规划、分期实施，试点先行、以点代面，科学布网、注重安全，企业应用、兼顾民用”原则，构建无线网络，建立物联网无线感知基础网络，并且利用无线网络架构的方便、快捷、灵活、覆盖广等特点，推动办公的自动化、数字化信息化的融合，实现日益增强的移动办公、生产自动化的需求，满足多业务、多平台资源共享。

2.需求分析

2.1 建筑物分布信息

2.1.1 建筑分布

目前，西单大悦城共有十四层，分别为B1-B4，F1-F10，由于B3、B4为停车场，F8-F10与写字楼相关，故本次方案只涉及地上1-7层以及地下2层，其中F1层的二维与三维具体分布如下图所示：

2.1.2 占地面积

西单大悦城总占地面积16073m2m^{2}m2，以20.5万的建筑体量、充满未来感雕塑性立面、国际高标准的软硬件设施、超前的经营理念得以引领西单商业圈整体升级，成为未来北京商业领跑者与年轻人全新的时尚策源地。

其中，以1层为例进行占地面积说明，根据地图中的图例与注记以及标记工具PxCook可大致算出每一层的面积占比，如：地图上120px代表现实中的12m，那么970px就代表97m，1304px代表130m，即1层的长约为130m，宽约为97m，占地面积约为12610m2m^{2}m2，标注图如下图所示：

其余楼层标注占地面积如下表所示：

楼层	占地面积/m2/m^{2}/m2
1F	12610
2F	13242
3F	13108
4F	13066
5F	13205
6F	12979
7F	7416
B1	9753
B2	12618

2.2 信息点信息

2.2.1 信息点分布情况

由于商场内商户密度大，同时也要满足顾客的网络接入需求，因此信息点选择全覆盖的形式，对于有较高网络需求的商户，提供更多的接入点布置。

为满足移动场景下不同类型终端的接入，在重点覆盖区域终端接收信号电平应大于－65dBm，普通覆盖区域终端接收信号电平应大于－75dBm。考虑用户的接入体验，根据空间开阔程度和用户分布的不同，建议AP 覆盖半径如下：

空间开阔且用户较少时，建议AP覆盖半径＜20 米；

空间开阔且用户密集时，尽量降低单AP覆盖半径，以覆盖半径5~8米为宜，即单AP 覆盖面积80~200m2m^{2}m2；

存在少量障碍物遮挡且用户数分布适中时，建议AP覆盖半径以8~12米为宜，即AP覆盖面积200~400m2m^{2}m2；

存在大量障碍物遮挡时，重点考虑障碍物对信号的衰减，建议对小空间单独AP覆盖。

室内AP发射功率20dBm，AP天线增益3dBi，障碍物衰减0dB，终端（智能手机）发射功率 12dBm，终端天线增益0dBi 。终端在距离AP20米处的2.4G下行接收电平 Pr＝20dBm＋3dBi－79.8dB＋0dBi ＝-56.8dBm 。考虑到室内环境复杂，无线信号需要穿越墙体等障碍物，一般建议覆盖半径为10m～20m 左右。

为简化计算及考虑到信号衰减，将每台设备的覆盖范围模拟成15m*15m的矩形。

根据楼层的占地面积，初步计算每层的信息点位数量如下

楼层	信息点数量/个
1F	56
2F	59
3F	58
4F	58
5F	59
6F	57
7F	33
B1	44
B2	56

2.2.2 使用传输介质

双绞线电缆：

一般包含四对双绞线，具体为橙色1/橙色2、蓝色4/蓝色5、绿色6/绿色3、棕色3/棕色白色7。网络分别使用1-2和3-6对发送和接收数据。双绞线连接器是符合国际标准的RJ-45插头和插座。双绞线分为屏蔽双绞线STP和非屏蔽双绞线UTP。非屏蔽双绞线有电缆护套作为屏蔽层，适用于网络流量较小的场合。屏蔽双绞线有金属护套，抗电磁干扰(EMI)能力强，适用于网络流量大的高速网络协议应用。双绞线根据性能可分为五类、六类和七类。目前常用的非屏蔽双绞线有五类，其频率带宽为100MHz，能够可靠运行4MB、ICME和16MB网络系统。在运行100MB以太网时，可以使用屏蔽双绞线来提高网络在高速传输时的抗干扰特性。6类和7类双绞线可以分别工作在200MHz和600MHz的频率带宽，使用了专门设计的RJ45插头(插座)。值得注意的是，电缆传输的数据在频率带宽(MHz)和传输速率(Mbps)之间存在差异。——Mbps测量单位时间内线路传输的二进制位数，而MHz测量单位时间内线路中电信号的振荡次数。双绞线多用于基于cmsa/CD(载波侦听多路访问/冲突检测)技术的以太网，即10base-t (10 Mbps)和100base-t (100 Mbps)

光纤：

1.光纤以光脉冲的形式来传输信号，因此材质也以玻璃或有机玻璃为主。它由纤维芯、包层和保护套组成。

2.光纤的结构和同轴电缆很类似，中心为一根由玻璃或透明塑料制成的光导纤维，周围包裹着保护材料，根据需要还可以多根光纤并合在一根光缆里面

3.光纤最大的特点就是传导的是光信号，因此不受外界电磁信号的干扰，信号的衰减速度很慢，所以信号的传输距离比以上传送电信号的各种网线要远得多，并且特别适用于电磁环境恶劣的地方。

4.由于光纤的光学反射特性，一根光纤内部可以同时传送多路信号，所以光纤的传输速度可以非常的高，理论上光纤网络最高可达到50000Gbps 50Tbps的速度。

5.使用光纤作为网络传输介质，需要一定的专业知识和光端收发器等专用设备，因此成本投入更大，在一般的应用中较少采用。

综上所述，大部分地方采用双绞线传输，而对于数据通信要求高的地方使用光纤通信

2.3 用户需求清单

2.3.1 商场办公人员

商场OA办公系统：只要是已授权认证用户，可以访问局域网，通过局域网进行浏览、审批、收发邮件等移动办公应用；使人摆脱有线线缆的束缚，让网络为人服务，提高生产、办公效率

2.3.2 商场收银人员

收银员的电脑账户需时刻与后台数据连接，以保证收支正常。不仅要顾及收银，还要保证充值商场储蓄卡正常。此时因保证抗干扰性强，误码率低。保密性较强，可使用户进行有效的数据提取，又不至于泄密。高可靠性，数据传输几乎没有丢包现象产生

2.3.3 顾客

顾客随身携带的智能手机、IPAD、笔记本电脑在购物闲暇时，上网看新闻、发微博、浏览网页、商务办公、看视频，同时也要注意保护顾客的个人隐私

2.3.4 商家

商家，需要信号好的Wi-Fi，且店家可以通过网线接入自己的PC、路由器以达到更好的上网效果

2.3.5 安保

商场管理者（安保）：监控网络，覆盖面广，达到商场无死角、无盲区，可随时监控到商场每个角落。实现全面化的覆盖，对顾客人身、财物安全提供了全面的监控；后台数据管理（商场人流量控制等等），商场门口的测温设备也需进行网络的连接，及时向后台进行反馈

2.4 其他需求界定

2.4.1 安全保密防范要求

本项目计算机网络系统除少数对外提供公开信息服务外，必须采用通信安全保密、互联设备的过滤措施、应用层访问权限控制等保密措施，并有良好的防止恶意攻击的防范措施。

2.4.2 网络管理需求

网络管理必须为系统管理员提供系统及网络设备运行状况、系统故障诊断方面的信息，以保证系统的正常运行和便于系统维护工作。

2.4.3 IP地址需求

为了实现与外部的信息交换，必要时可为行政中心的计算机提供有效的IP地址。

2.4.4 数据吞吐率的要求

从长远看，西单大悦城网络内部需要应支持部份图形、图像、数据传输和大量的普通资料的传输，局域网的主干的数据传输速率近期应当能提供1000Mbps。

3.逻辑网络设计

3.1 网络总体结构设计

3.1.1 网络拓扑结构图

在实际网络拓扑的设计过程中一般要求要满足以下几点原则：

1、所设计的网络拓扑结构应该易于拓展

2、所设计的网络拓扑结构应该易于管理和维护

3、所设计的网络拓扑结构应该满足网络安全性原则，防止非法访问者对网络进行攻击

4、所设计的网络拓扑结构应该满足可靠性原则，保证网络的信号质量、设备的稳定运行、避免单点故障、为用户提供可靠的网络接入业务

为了满足以上的网络拓扑设计原则，并且综合考虑西单大悦城的具体情况，该无线网络覆盖方案中选择采用星型网络拓扑结构对商场的无线网络进行设计，以下是该网络拓扑设计图。

由图可以看出该无线覆盖网络主要由路由器、防火墙、交换机、无线网络控制器（AC)、AP以及相关的服务器集群组成，并且形成3层网络结构（核心层、汇聚层、接入层）。其中采用两台万兆上联三层网管交换机组成双核心交换机形成核心层，以保证数据无瓶颈高速传输以及网络的稳定性，同时设置多台千兆上联以太网PoE交换机形成网络的汇聚层，每台千兆交换机上联两台核心交换机，下联多台吸顶式AP并且通过POE方式对AP进行供电，无线网络控制器AC接入到核心交换机上控制整个网络的所有AP，从而形成整个网络拓扑结构。

3.1.2 主干网络设计（核心区域）

核心交换机是整个i网络的中心枢纽，一旦出现故障整个网络会瘫痪，业务会中断，为了提高整个网络的可靠性，采用两台万兆上联三层网管交换机组成双核心交换机形成网络的核心层，作为该无线局域网的主干部分。核心交换机下联所有汇聚交换机，采用千兆链路进行连接。核心层交换机一般都是三层交换机或者三层以上的交换机，采用机箱式的外观，具有很多冗余的部件，需要完成高速转发通信，提供优化、可靠的骨干传输结构等功能。

3.1.3 分支网络设计

1、汇聚交换区域：商场楼层较多因此选择汇聚交换机进行无线汇聚建设，根据每层楼信息点的个数每层楼选择多个个汇聚交换机完成对该层的无线汇聚，从而将安全范围缩小，同时帮助核心交换机分担数据转发的容量。

2、接入区域：所有吸顶式无线AP部署形成网络的接入区域，用户通过与AP的连接从而进行对网络的访问。

3、认证及管理区域：针对整个无线网络，通过AC实现对全网AP的自动配置下发、射频管理、信道分配等统一的管理和安全接入控制，让维护人员可以轻松的实现对无线网络的管理。

3.2 局域网设计

3.2.1 VLAN划分与IP规划

VLAN的划分

在对商场无线网络进行VLAN划分时应该考虑到如下的几点问题：

普通用户一旦连接到商场无线网络后随着位置的移动仍然需要保持网络的连接并且无需用户中途再次进行身份验证
应该将商场的无线网络和有线网络通过VLAN划分进行隔离
对于餐厅、咖啡厅等允许逗留和堂食的店铺会考虑给用户提供更好的上网体验，因此会单独划分成一个VLAN
普通用户和管理者用户的登录应该通过VLAN进行分割

针对以上的系列问题，该无线网络方案中对于VLAN的划分采取了以下几点措施：

为了满足用户无缝漫游的要求，在所有的AP中都将其中的一个SSID命名为”guest"作为普通用户的VLAN，实现商场内部用户随着位置的移动切换连接的AP但不需要重复进行验证登录
为了实现普通用户与管理者的分离，对于商场地面以上楼层的所有AP，都将AP的其中一个SSID命名为“adminstrator"作为商场内部管理的VLAN
为了给餐厅等允许逗留和堂食的场所客户提供更好的网络体验，在覆盖相关店铺的AP上应将其上的某一SSID命名为场所名字，形成一个VLAN给用户提供更好的体验
若商场高层是作为写字楼使用，或者商场高层是作为商场管理部门，此时应该考虑根据不同的部门职责划分VLAN
IP规划

在该无线网络设计方案中是利用路由器的DHCP server功能在指定的IP地址范围内对设备的IP地址进行分配。对于西单大悦城这种大型商场，我们在此方案中初步将设备容量考虑为10000台，因此对于IP地址的规划应该满足设备容量的相关要求，对IP地址大致做了如下规划：

将路由器的IP地址设为192.168.0.1/255.255.255.0
根据网络拓扑图可知该无线网络方案中一共有720个AP，考虑使用24端口的汇聚交换机与AP进行连接，需要考虑进行一些端口预留，因此设计为一个汇聚交换机连接20个AP，因此共需要36个汇聚交换机，总共需要39个交换机，为交换机分配IP地址：192.168.0.2~192.168.0.34/255.255.255.0
对于480个AP将其IP地规划在192.168.0.35_{192.168.0.254、192.168.1.1}192.168.1.254、192.168.2.1~192.168.2.216/255.255.255.0进行分配
为了满足商场大量大量用户同时上网的要求，将用户IP范围规划为192.168.3.1~192.168.52.254/255.255.255.0，能够承载大于10000个无线终端

3.2.2 VLAN配置

VLAN的配置过程：

(1)为各VLAN组命名;

(2)把相应的VLAN对应到相应的交换机端口。

3.2.3 端口聚合

端口聚合，将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大宽带的端口，可以实现负载分担，并提供冗余链路。

使用EtherChannel特性，在交换机到交换机之间提供冗余的高速的连接方式。将两个设备之间多条FastEthernet或GigabitEthernet物理链路捆在一起组成一条设备间逻辑链路，从而增强带宽，提供冗余。

3.2.4 生成树

工作在OSI网络模型中的第二层(数据链路层)的通信协议，基本应用是防止交换机冗余链路产生的环路。用于确保以太网中无环路的逻辑拓扑结构，从而避免了广播风暴,大量占用交换机的资源。

交换机之间通过交换桥协议数据单元BPDU(Bridge Protocol Data Unit)来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换机置为Blocking，来消除网络中的环路。

上图中，当我们从PC2发送数据给PC3时，如果交换机开启了STP协议，则会在所有通路中计算出一条无环最优路径，同时在每个环路中选择一个冗余路径的端口进行阻塞。这样数据就会经无环最优路径PC2->Switch9->Switch8->Switch10->Switch11->PC3顺利流通，而不会在Switch9和Switch11之间传输，避免发生广播风暴大量占用交换机的资源，降低系统的效率和稳定性。

STP协议优于简单的树形拓扑的一点就是，在保证不会发生广播风暴的前提下，它不要求物理链路完全无环。在树形拓扑结构中，源与目的之间路径都是唯一的，一旦中间任何地方出现故障都会导致二者完全断联。而在上图中，开启了交换机的STP协议后，即使原先选定的无环最优路径故障，也能找出另一条无环路径作为代替，降低了系统的瘫痪风险，大大增加了其可用性。

作为对比，我们关闭交换机的STP协议，由图可知所有交换机端口全部活跃。这时由于没有任何限制，每个交换机都会广播式地把数据向除源端口外的所有端口转发，导致广播风暴，中间的环路上充斥着大量的冗余重复数据，交换机性能急剧下降，直至中断业务。

3.2.5 负载均衡

采用四层负载均衡。它是基于IP+端口的负载均衡，通过虚拟IP+端口接收请求，然后再分配到真实的服务器。

具体过程：通过发布三层的IP地址（VIP），然后加四层的端口号，来决定哪些流量需要做负载均衡，对需要处理的流量进行NAT处理，转发至后台服务器，并记录下这个TCP或者UDP的流量是由哪台服务器处理的，后续这个连接的所有流量都同样转发到同一台服务器处理。

3.2.6 端口镜像

镜像可以在不影响设备对报文进行正常处理的情况下，将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文，判断网络中运行的业务是否正常。

交换机配置端口镜像方法：

配置端口镜像的前提是交换机或者路由器支持端口镜像功能。您可以根据需求场景选择配置本地镜像还是远程镜像。

本地镜像的配置步骤如下：

1.创建VLAN

2.将端口添加到VLAN中

3.配置IP地址

4.在目标端口下进行镜像命令配置，将源端口的数据报文镜像到目标端口。

远程镜像的配置步骤如下：

1.在全局模式下创建源端口

2.配置一台交换机uplink端口

3.在全局模式下创建目标端口

4.配置另一台交换机uplink端口

需要注意的是：

1.在本地镜像中，必须选择一个口作为源端口，一个口作为目标端口，配置才能生效；

2.如果需要创建镜像组，一个镜像组只能有一个目标端口，可有多个源端口；

3.如果某个端口已经是一个镜像组的源端口，则不能成为另一个镜像组的成员端口；

4.如果某个端口已经是一个镜像组的目标端口，则不能成为另一个镜像组的成员端口；

5.建议不要在目标端口上使用STP、RSTP或MSTP，否则会影响设备的正常使用。

3.2.7 流量控制

流量抓取协议采用镜像。把被监控端口的流量复制一份，发送到特定目的端口，用于网络监控和故障排除。

流量统计协议采用Flow（NetStream、NetFlow和sFlow）。Flow技术基于"流"提供报文统计功能，对网络设备的每个端口上出入方向的流量进行采样，对采样到的报文依据报文中的关键值，对网络中的流量进行分类统计。

3.2.8 局域网设备（交换机）选型

层级	类型	型号	特点
核心层	核心交换机	万兆上联堆叠式三层网管交换机（TL-SH8452）	48个10/100/1000Base-T RJ45端口，4个复用千兆SFP端口 4个万兆SFP+端口，其中背面2个万兆端口(M1、M2)仅用于堆叠支持双热插拔电源模块TL-PSM100-AC或TL-PSM150-AC 支持TP-LINK NMS云管理系统支持堆叠，多达8个堆叠单元支持BGP、OSPF、RIP动态路由、静态路由支持DHCP服务器、DHCP中继、DHCP Snooping 支持四元绑定、ARP/IP/DoS防护、802.1X认证支持VLAN、QoS、ACL、生成树、组播、IPv6
汇聚层	汇聚交换机	千兆上联以太网PoE交换机（TL-SL1226PE）	24个10/100Base-T RJ45端口（支持PoE+供电） 2个10/100/1000Base-T RJ45端口 2个复用千兆SFP端口整机PoE输出功率达384W，单口最大PoE输出功率达30W PoE供电端口支持优先级机制支持视频监控、VLAN隔离、标准交换三种工作模式

3.3 广域网接入及路由设计

3.3.1 AAA认证

AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。

AAA 支持以下认证方式：

不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

本地认证：将用户信息配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降低成本，缺点是存储信息量受设备硬件条件限制。

远端认证：将用户信息配置在认证服务器上。支持通过RADIUS（Remote Authentication Dial In User Service）协议或 HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进行远端认证。

3.3.2 PPP认证

使用比PAP更可靠的CHAP认证。使用CHAP认证方式时，被认证方的密码是被加密后才进行传输的，这样就极大的提高了安全性。

如果被认证方收到的challenge报文中一定包含用户名，被认证方必须出示接口所配置的用户名和密码，被认证方会根据用户名在本地AAA认证数据库里面找有没有对应的用户名、密码条目；AAA认证数据库里密码出示优先级高于被认证方接口的配置密码，会使用AAA认证数据库里用户名和密码进行认证。

3.3.3 路由配置（静态、动态RIP、OSPF）

商场的网络较大，如果采用静态路由工作量很大，操作起来准确性很难保证。动态RIP则过于简单，以跳数为依据计算度量值，经常得出非最优路由；安全性差，接受来自任何设备的路由更新。且无密码验证机制，默认接受任何地方任何设备的路由更新。不能防止恶意的rip欺骗。所以采用OSPF，以组播触发式更新、收敛速度快，且以开销作为度量值。

3.3.4 流量控制ACL

采用逐层过滤，一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。ACL最后有一个看不见的，允许所有的 ACL 条目（思科默认是拒绝）

数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。

3.3.5 网络地址转换NAT

相较于只转化IP，不映射端口的basic NAT，采用除了转化IP，还做端口映射，可以用于多个内部地址映射到少量（甚至一个）外部地址的PAT。

PAT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。PAT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。也就是采用port multiplexing 技术，或改变外出数据的源port的技术将多个内部ip地址映射到同一个外部地址。

3.3.6 冗余备份

采用VRRP协议。可以在主机的下一跳设备出现故障时，及时将业务切换到备份设备，从而保障网络通信的连续性和可靠性。

定义三种状态

(1)初始状态initial：VRRP启动时的状态，VRRP 还没有运行，一般是改变配置或端口刚启动时进入该状态。

(2)主状态master：路由器执行转发功能。

(3)备份状态backup：当路由器失效时，路由器准备接管包转发功能。

3.3.7 负载均衡MSTP+VRRP

接入至汇聚利用Mstp（多生成树协议）+VRRP（虚拟路由冗余协议）提高可靠性，实现冗余备份的同时，可实现负载均衡，MSTP协议中创建多个生成树实例，实现VLAN间负载均衡，不同VLAN的流量按照不同的路径转发。vrrp协议中创建多个备份组，各备份组指定不同的master与backup，实现虚拟路由的负载均衡。

3.3.8 保证服务质量QoS

传统IP网络仅提供“尽力而为”的传输服务，网络有可用资源就转发，资源不足时就丢弃；新一代IP网络承载了语音、视频等实时互动信息，要求网络能提供有保证的服务质量。QOS允许用户在丢包、延迟、抖动和带宽等方面获得可预期的服务水平。

流量监管：

为网络服务提供者提供了一种对用户流量进行监督的能力，以使其能严格地符合SLA。CAR（承诺访问速率）是一种基本的流量监管工具。CAR可以区分报文的类型，使用令牌桶技术对各类数据流量进行测量，测量后的报文可以采取放行、丢弃、重标记、转入下一级监管等多种操作。

流量整形：

用于保证输出到下游网络的流量符合某种限制标准，使流量更加平滑，会增加数据包的延迟。是一种主动调整流量输出速率的措施。一个典型应用是基于与下游网络节点的SLA/TCA协定来控制本地流量的输出。流量整形通过GTS实现，以令牌桶算法测量流量，对于超出承诺速率的报文会放入一个队列缓存。

接口限速：

限制了从一个接口发向下游的报文的总速率。LR在令牌桶中引入了队列缓存的机制，因而减小了丢包，平滑了流量，但同时也增大了延迟。LR位于链路层，在用户队列之后，发送队列之前，对从该接口发出的所有IP和非IP报文（紧急报文除外）均能生效，接口全局生效。LR只能应用于接口的出方向，运用在接口链路层。

3.3.9 广域网设备（路由器）选型

路由器一般分为核心路由器和边缘路由器。

核心路由器是网络中的核心设备，核心路由器一般都是选择高端的路由器。注意以下几个参数：性能，冗余和稳定性、广域网接口的种类、支持的开放标准协议和特性、安全性、可管理性、流量控制和计费。

接入路由器一般选择高端路由器，至少也应该是中端的路由器。主要作用是提供与分支机构网络的互联，视频语音系统互联等功能。

3.4 服务器设计

3.4.1 服务器相关技术

常用的网络服务有Active Directory服务、DHCP服务、DNS服务、WWW服务以及打印服务等。根据网络规模的大小，规划服务器时可以将多个服务器角色部署到同一台服务器上，以确保充分利用服务器资源。

3.4.2 服务器软、硬件选择

由于商场规模较大，选用IBM Power System S812L(8247-21L)服务器，可同时满足网络配置和商场的管理需求。操作系统选用linux。

E-mail服务软件选用Sendmail，数据库软件选用Oracle大型数据库系统，代理服务器软件可以选用SyGate、WinGate、MsProxy。

3.4.3操作系统的安装与配置

1 安装前的准备

在重新安装操作系统之前，首先要确定是否需要重新安装。如果需要，那么要确定操作系统的版本，数据库、web服务、邮件服务等应用程序的版本，要确定是否用当前的版本还是升级。之后，准备操作系统、补丁程序、应用程序，准备驱动程序，最好使用厂家提供的驱动。

2 操作系统的安装

如果硬盘以前是安装 UNIX，硬盘的分区不是FAI分区，而是VFS、E2FS、E3FS 等分区；或者硬盘做过RAID，硬盘的前16K 字节会保存RAID 的设置信息，这时候为了保证系统安装不会受到干扰，要求清除这些信息。可以用一个小工具来彻底清除系统分区信息，它就是Clear 程序，这个小程序能够彻底清除硬盘的分区信息。如果找不到 Clear 程序，也可用Fdisk/mbr 来清除主引导记录。

在系统安装驱动程序时，最好使用厂家提供的驱动，不要用系统自检的驱动，很多情況下，系统自检的驱动会有各种问题。例如，有时候用NT 自检的SCSI 卡的驱动会导致系统找不到硬盘；NT自检的网卡会导致系统蓝屏；Linux 自检的 RAID 卡驱动会在安装时死机；Scoopenserver 自检的网卡会在大数据传输量的情况下导致网卡断掉等。

3 配置

(1)搭建DHCP服务器，配置静态IP.

(2)创建作用域。为了向局域网中的计算机提供IP地址，必须创建作用域。为了向不同网络提供不同的IP地址，还需要创建不同的作用域，另外，还可以创建超级作用域，以便对多个作用域进行管理。

(3)创建多播作用域，设置设备所租用IP的时间。

(4)搭建DNS服务器。DNS服务器不仅可以为局域网内部的计算机提供域名解析服务，将以后对域名的访问请求转换为可识别的IP地址，还可以对外解各种网络服务器的IP地址，实现Internet对网络内部服务器的访问。DNS服务器通常和Active Directory服务配合使用，因此，如果网络中要使用Active Directory服务来实现用户验证、资源管理等功能。可以将DNS服务和Active Directory服务安装在同一服务器上。如果网络中不使用Active Directory服务，则可以只安装DNS服务器规划好的所需使用的DNS域名。

(5)搭建www服务器。WWW服务和FTP服务是网络中非常重要的服务，进行网站搭建、信息发布、产品宣传、信息交流等都离不开这些服务。

(6)搭建打印服务器。商场在进行结算时，可以使用打印服务器调用打印小票。不管是直接连接到打印服务器还是从其他位置接入网络的打印机，都可以通过打印服务器统一管理，并为所有用户或指定的用户完成打印任务，有效地控制打印成本。

3.4.4 其他

热备份：使用热备数据库，采用archivelog mode方式进行数据库备份，设定指定的周期和容量，实现热备。

容灾方式：采用云备份，节约成本。

集群与负载均衡：对于商场结算信息此类信息量和运算量大的工作采用服务器集群方式加快速度，对于顾客网络接入这类信息量较小且请求较多的工作采用负载均衡，防止响应速度过于缓慢。

3.5 网络安全设计

3.5.1 物理安全

包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。

考虑以下几点：

1. 防止系统中的信息在空间上的扩散：

正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

2. 物理访问：

虽然这似乎是一个简单的要求，但绝对需要对按钮、端口、电缆、网络连接甚至电源进行强大的物理访问，以确保设备在物理上是防篡改的。这可以包括物理钥匙锁、防篡改螺钉、硬化电缆线束，甚至是代替标准电源线的硬接线设备。

3. 环境：

这些设备运行的环境条件可能会因温度、湿度、沙尘甚至腐蚀性元素而对其运行造成压力。

4. 网络安全：

由于这些设备本质上是分布式计算机系统，因此它们可能会遭受与任何操作系统或应用程序相同的电子缺陷。软件和固件组件应经过软件安全检测、渗透测试、漏洞评估、变更控制和补丁管理，以确保网络攻击不会危及资产的任务。

5. 风险分析：

由于这些设备与物理世界相互作用，因此需要在每个操作层进行风险评估，以确定潜在影响和任何缓解策略，确保不会发生灾难性事件。

6. 隐私：

这些系统可能包含大量个人身份信息，从摄像头的视频记录到门禁读卡器的详细信息。根据地理位置和当地法律，这些数据需要适当的加密、存储，以确保隐私信息受到保护。

7. 可靠性：

这些系统的可靠性至关重要。在操作期间通过执行重新启动以清除错误是不可接受的。除正常运行时外，电源故障、灾难恢复和高可用性是这些系统的设计和实现的重要考虑因素。

8. 可支持性：

最重要但经常被忽视的考虑因素之一是系统中所有组件的可支持性。这包括物理组件备件的使用寿命以及软件升级和安全补丁的预期使用寿命。如果系统使用商业现成组件，供应商计划在产品生命周期结束之前支持组件或软件多长时间?

3.5.2 操作系统安全配置

操作系统是软硬件资源的掌管者、操作系统的安全是整个计算机系统安全的基石，应当防止OS本身被破坏，禁止对未授权资源的访问。该层次的安全问题来自网络内使用的操作系统的安全。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。

保密安全操作系统设计原则：安全OS的设计原则、最小权限、最少通用、安全机制的经济性、开放式设计、安全策略完整性、权限分离。

3.5.3 网络层安全

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。

1.身份认证采用单点登录和双因素认证结合。单点登录：在多个业务系统中，用户只需要登录一次就可以访问所有相互信任的业务系统。通过备份、冗余、负载均衡、功能模块化以及提高处理性能，来防范单点故障。进行资金交易等敏感操作进行双因子认证，操作系统、数据库、网络设备登陆，采用堡垒机进行登陆统一认证和操作审计。

2.确保自身安全的同时，商场无线局域网覆盖方案还应考虑引导顾客接入商家自建的WiFi，防范顾客错误连接了虚假钓鱼WiFi，导致用户信息、资料、账户泄漏。

3.访问控制策略采用白名单形式，默认情况下除允许通信外受控接口拒绝所有通信，如远程登陆端口、数据库端口、中间件端口进行访问控制，尽量避免端口暴露非信任区域，可以通过VPN进行跨区域安全通信。

4.权限控制，基于角色的权限访问控制：及时删除或停用多余的、过期的账户，避免共享账户的存在。如长期未登陆用户使用系统，如超过三个月未登陆系统，应对帐号进行长期锁定。

3.5.4 应用层安全

一．做好备份工作

必须定期巡检和维护备份系统及时发现并排除故障隐患，保证备份系统的正常运转。
对于核心系统和关键系统，每半年进行备份介质可用性检查，确保库存介质可用。
必须保证核心系统每季度进行的恢复测试顺利完成，检查备份可用性。关键系统至少每半年进行恢复测试。
需要实施系统恢复时要按照备份恢复管理流程申报、审批，按照备份恢复方案进行系统恢复。

二．部署日志审计系统

记录关键业务操作日志：应记录关键业务操作的日志，例如登录成功与失败、关键业务办理、敏感数据查询、敏感数据导入与导出等。
记录应用系统运行日志：应记录应用系统的启停、异常、资源使用情况等

三．保护好数据库

使用数据库代理保护数据库免受攻击，比如数据库防火墙可以直接阻断基于数据库协议的攻击行为。
对数据库进行封装，提供统一的运维平台给DBA或开发人员使用，使管理员无法直接接触数据库服务器，通过用户账号管理、权限控制、操作审计来实现。
数据库审计，通过基于网络流量或者代理插件等技术来实现数据库审计，以此发现针对数据库的入侵或违规操作。
数据库所在服务器及数据库软件本身的安全性加固工作。

3.5.5 防火墙

采用代理服务型防火墙。主要在应用层实现。当代理服务器收到一个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间，发挥了中间转接的作用。所以，代理服务器有时也称作应用层网关。

代理服务器型防火墙利用代理服务器主机将外部网络和内部网络分开。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部的网卡一样，从而可以达到隐藏内部网络结构的作用。内部网络的主机，无需设置防火墙为网关，只需直接将需要服务的IP地址指向代理服务器主机，就可以获取Internet资源。

使用代理服务器型防火墙的好处是，它可以提供用户级的身份认证、日志记录和帐号管理，彻底分隔外部与内部网络。

3.5.6 ACL

主要通过ACL来实现网络访问控制。仅限运维技术负责人有权限访问生产服务器及业务数据接触到客户数据，应用系统的发版均需要经过运维人员配合才能进行发版；在适当接口部署ACL，实现商场财务部门和其它部分权限分离等功能。

3.6 网络管理设计

3.6.1 网络管理技术

网络管理是对计算机网络的配置、运行状态和计费等进行的管理。它提供了监控、协调和测试各种网络资源以及网络运行善的手段，还可提供安全管理和计费等功能。在该无线网络覆盖方案中涉及到的网络管理主要是指网络稳定性的测试以及故障排查等方面的问题。

网络管理包括以下三个方面：
1. 了解网络：识别网络对象的硬件情况、差别局域网的拓扑结构、确定网络的互联、确定用户负载和定位。
2. 网络运行：配置网络，选择网络协议是配置网络的重要组成部分；配置网络服务器；网络安全控制。
3. 网络维护：主要包括故障检测与排除，发现故障、追踪故障、排除故障、记录故障的解决方法；网络检查；网络升级，服务器操作系统升级，服务器的硬件升级。
网络管理的几大功能：
1. 配置管理：配置管理的自动获取，在网络设备中自动配置信息中，根据获取手段大致可以分成三类，第一类网络管理协议标准的MIB中定义的配置信息；第二类不在网络管理协议标准中有定义，但对设备运行比较重要的配置信息；第三类就是用于管理的一些辅助信息；自动备份及相关技术；配置一致性检查；用户操作记录功能。
2. 故障管理：过滤、归并网络事件，有效地发现、定位网络故障，给出排错建议与排错工具，形成整套的故障发现、告警与处理机制。
3. 性能管理：采集、分析网络对象的性能数据、监测网络对象的性能，对网络线路质量进行分析。
4. 安全管理：结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，以保障网络管理系统本身的安全。

3.6.2 网络管理的相关准则

所购入的所有设备到货后，需要在网络安全部备案入网，并且在完成安装后通知网络安全部以便核查。
相关机房安装监控设备，并且要有相关的录像记录。
相关机房进行门禁管制，禁止非管理人员进出。
相关维护人员定期对网络进行测试，对设备进行盘点

3.6.3 网络性能管理

网络性能管理是指评价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制，性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。

性能管理的功能包括以下几个方面：

性能监控：由用户定义被管对象及其属性。被管对象类型包括线路和路由器；被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量，对于每个被管对象，定时采集性能数据，自动生成性能报告
阀值控制：可对每一个被管对象的每一条属性设置网值，对于特定被管对象的特定属性，可以针对不同的时间段和性能指标进行岗值设置。可通过设置岗值检查开关控制阀值检查和告警，提供相应的阀值管理和溢出告警机制。
性能分析：对历史数据进行分析、统计和整理，计算性能指标，对性能状况做出判断，为网络规划提供参考。例如根据网络测试的结果对设备的分布进行调整或者是增加一定的AP设备以获得更好的性能。
可视化的性能报告：对数据进行扫描和处理，生成性能趋势曲线，以直观的图形反映性能分析的结果。
实时性能监控：提供了一系列实时数据采集、分析和可视化工具，用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测，可任意设置数据采集间隔。

3.6.4 网络故障管理

网络故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成部分失效时，网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障，因为网络故障的产生原因往往相当复杂，特别是当故障是由多个网络组成共同引起的。在此情况下，一般先将网络修复，然后再分析网络故障的原因，分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障监测、报警、排错、分析等方面。

3.6.5 网络性能测试方法

体验法：可利用不同的无线终端（如手机），在不同的位置（包括移动过程中），分别测试浏览网页（是否可以快速加载）、看视频（是否流畅）、刷微信等体验上网效果。
宽带测速：在电脑上，可通过当地宽带运营商提供的测速工具/网站，测试网速；评估网速是否满足需求。在手机上，可安装 Speedtest APP 测试宽带速度，评估网速是否满足需求。（注：使用无线测宽带测试，相比单机测速值可能相差较大，原因包括带宽被共享、无线设备、环境等多方面，主要是评估网速能否满足日常上网需求，而不能比较测速值与宽带值的差距。）
专业工具吞吐量测试：可使用专业吞吐量测试工具“Ix Chariot”软件进行吞吐量测试。按一般经验，当无线覆盖各点从有线到无线的吞吐量大于 20Mbps 时，无线体验效果比较好。

4.物理设计方案

综合布线系统应是开放式星型拓扑结构，应能支持电话、数据、图文、图像等多媒体业务需要。

综合布线系统可划分成六个部分，其中三个子系统：配线（水平）子系统（TO—FD）；干线（垂直）子系统（FD—BD）；建筑群子系统（BD—CD）；外加三个部分：工作区（TO—TE）、设备间、管理区（有的资料上说布线系统还包括进线间，进线间：提供空间给光缆成端盘留。）。

在干线子系统中常用以下四种线缆：

（1）5e以上4对双绞线电缆（UTP或STP）；——一般用于传输数据和图像。

（2）3类100欧姆大对数对绞电缆（UTP或STP）;——一般用于电话语音传输。

（3）62.5/125微米多模光纤；

（4）8.3/125微米单模光纤。

综合布线六大子系统如下，因为商场当成了一栋大楼，所以建筑群子系统暂且不用考虑。主机房放置在二楼。

4.1 工作区子系统

工作区子系统是一个从信息插座延伸至终端设备的区域。工作区布线要求相对简单,这样就容易移动、添加和变更设备。该子系统包括水平配线系统的信息插座、连接信息插座和终端设备的跳线以及适配器。

工作区的每个信息插座都应该支持电话机、数据终端、计算机及监视器等终端设备，同时，为了便于管理和识别，有些厂家的信息插座做成多种颜色：黑、白、红、蓝、绿、黄，这些颜色的设置应符合TIA/EIA 606标准。

信息插座采用超五类信息插座模块，配标准的配标准的86mm×86mm单、双口标准面板，出口均为RJ45接口。信息插座的安装方式采用墙面暗装在弱电箱里，与电源插座平行间距保持300毫米。用户端数据设备（如计算机）用超五类RJ45跳线与插座连接，语音设备（如电话）可用RJ11跳线与插座连接。

工作区子系统是包含每一个店铺都有一个弱电箱，靠近柜台位置（假设商场里柜台都靠近中心点的方向），离地30cm。弱电箱里包括有线电视线，电话线，网线，USB线等等。弱电箱有一个US-8-60W的千兆4口POE交换机，可以连接每个店铺以及接近走廊位置的吸顶AP设备，再连接一个光猫。网线使用七类秋叶原双屏蔽网线和相应的双屏蔽水晶头。

4.2 水平子系统

水平子系统指从楼层配线间至工作区用户信息插座（ＦＤ－ＴＯ）。由用户信息插座、水平电缆、配线设备等组成。综合布线中水平子系统是计算机网络信息传输的重要组成部分。采用星型拓扑结构，一般由４对UTP线缆构成，如果有磁场干扰或是信息保密时，可用屏蔽双绞线，高带宽应用时，可用光缆。每个信息点均需连接到管理子系统。

综合布线的水平线缆可采用五类、超五类双绞线、也可采用屏蔽双绞线。甚至可以采用光纤到桌面。

水平布线应采用星形拓扑结构，每个工作区的信息插座都要和管理区相连。

水平干线子系统与垂直干线子系统的区别在于：垂直干线子系统通常位于建筑物内垂直的弱电间，而水平干线子系统通常处在同一楼层上，线缆一端接在配线问的配线架上，另一端接在信息插座上；垂直干线子系统通常采用大对数双绞电缆或光缆，而水平干线子系统多为4对非屏蔽双绞电缆，能支持大多数终端设备，在有磁场干扰或信息保密时用屏蔽双绞线，在高宽带应用时采用光缆。

以西单大悦城二楼为例，大约12000m2m^{2}m2，这次所购买的AP设备为TL-XAP3007GC-PoE/DC易展版，覆盖面积为150m2m^{2}m2 左右，而每个店铺平均大小为24*6=144m2m^{2}m2 左右，加上5G信号穿墙效果不是很好，所以每个店铺安装一个AP，再考虑到方便调试和维护，每个店铺装有自己的嵌入式弱电箱。一层楼大概有25-30个店铺，所以店铺内安装30个AP设备，走廊上安装50个AP设备。采用电缆管道布线法，这样布线的优点是防火性好。所有网线需要连接到每一层的总弱电箱，也就是管理子系统里。

主机房需要靠近电梯，这样方便铺垂直干线子系统，水平线缆采用超五类双绞线，每层楼大约需要600米的超五类双绞线。通过配线间引出，延金属桥架内敷设，出桥架后至工作区，穿KGB管沿墙、沿地板内暗敷进入信息插座端口。垂直桥架沿墙敷设，水平桥架于吊顶内安装，高度与装修施工方协商处理。

4.3 管理子系统

管理子系统设备设置在每层配线设备的房间内，管理子系统由交接间的配线设备、输入/输出设备等组成，管理子系统也可应用于设备间子系统，管理子系统应采用单点管理双交接口，交接场的取决于工作区，综合布线系统规模和选用的硬件，在管理规模大、复杂、有二级交接间时，才放置双点管理双交接在管理点，根据应用环境用标记标入来标出各个端接场，对于交换间的配线设备宜采用色标区别种类用途的配线区。并且在交接场之间应留出空间，以便容纳未来扩充的交接硬件。在该小区中按几层为单元在弱电井内放置配线架和语音采用IBDN的BIX安装架进行汇总，将每户用不同的标记进行分开，数据为模块式配线架，通过交换机、连成一个局域网到设备间，水平线缆与垂直线缆用标准的跳线进行连接进行管理，全部集中在一个箱子里，只放置一个交接间，不使用二级交接。

4.4 垂直干线子系统

垂直干线子系统是由主设备间（如计算机房、程控交换机房）提供建筑中最重要的铜线或光纤线主干线路,是整个大楼的信息交通枢纽。一般它提供位于不同楼层的设备间和布线框间的多条联接路径，也可连接单层楼的大片地区。

垂直干线子系统布线的建筑方式：预埋管路、电缆竖井和上升房（又称交接间或干线间）。

垂直干线子系统使用光纤电缆作为主干线路。

4.5 设备间子系统

设备间子系统是一个集中化设备区，连接系统公共设备，如PBX、核心交换机、服务器、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。

设备间子系统是大楼中数据、语音垂直主干线缆终接的场所；也是建筑群来的线缆进入建筑物终接的场所；更是各种数据语音主机设备及保护设施的安装场所。建议设备间子系统设在建筑物中部或在建筑物的一、二层，位置不应远离电梯，而且为以后的扩展留有余地，不建议在顶层或地下室。建议建筑群来的线缆进入建筑物时应有相应的过流、过压保护设施。

设备间子系统空间要按ANSI/TIA/EIA-569要求设计。设备间子系统空间用于安装电信设备、连接硬件、接头套管等，为接地和连接设施、保护装置提供控制环境；是系统进行管理、控制、维护的场所，设备间子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。

我们设计的设备间管理子系统在二楼。设备间是水平子系统与主干系统的连接和管理区，主要用于放置机柜、电缆配线架及网络设备等。数据及语音配线架均放置于一个机柜内。其中采用24口 RJ45非屏蔽模块化跳线盘用于端接水平电缆，采用110型跳线连接模块端接大对数主干电缆，采用光纤配线盘端接光纤主干电缆。中心机房（主配线间）放置42U机柜1个。在一层放置一个6U墙柜分配线间）。

强电箱：商业装修中使用的配电箱。配电箱里面的电压一般为380/220V，用于电能配送，下面可带照明灯、风机、水泵等各种电气设备。

室内强电箱（也就是配电箱）的尺寸（长度x宽度x厚度）选择480x250x120（单位为mm）。强电箱的安装位置较高，一般在墙面离地面高1.5米处。总开关建议选用C63A或者是C50A的2P空气开关;照明开关建议选用C16A的1P+N的空气开关;普通插座回路的开关建议选用C16A的1P带漏电的漏电保护器;柜式空调插座回路的开关建议选用C20A的1P带漏电的漏电保护器;电热水器插座回路的开关建议选用C20A的1P带漏电的漏电保护器。每个店铺内一个，在走廊中根据需求按一定距离安装强电箱。

4.6 机房设计

4.6.1 机房建设内容：

机房装修系统
机房布线系统(网络布线、电话布线、DDN、卫星线路等布线)
机房屏蔽、防静电系统(屏蔽网、防静电地板等)
机房防雷接地系统
机房保安系统(防盗报警、监控、门禁)
机房环境监控系统
机房专业(精密)空调通风系统
机房服务器及网络设备机柜/机架
机房照明及应急照明系统
机房UPS配电系统
机房设备远程控制管理系统(KVM)

4.6.2 机房布局

1、不仅要考虑到增加主机房有效面积的利用率，便于机房设备、服务器机柜的合理摆放；又要兼顾人员和设备的进出通道，避免人员频繁穿越机房区域；还要体现出企业机房的美观、科技形象。

2、机房平面和空间布局应具有适当的灵活性，以便设备增容或扩建。

3、尽可能合并和减少辅助机房区房间，提高主机房和一类辅助间的利用面积。

4、便于设备摆放和人员操作，同时满足空调制冷、电源配电的需要。

5、进出通道合理布局，便于机房管理人员、维护、参观访问人员合理分流。

6、在做机房布局设计时需要与用户多沟通，深入了解用户对布局及功能区的需求，最终确定布局后才能进行下一步的工作。

4.6.3 机房装修

机房装饰用材选用气密性好、不起尘、易清洁、变形小，具有防火、防潮性能；宜选用亚光材料，避免在机房内产生各种干扰光线（反射光、折射光、弦光等）。

机房装修工程直接决定了整个数据机房的外观形象，可采取明快、现代的设计风格。另外，由于数据机房在功能方面的特殊性，使得数据机房的装修设计除了必须遵循美观、实用等一般性原则外，还必须满足数据机房对环境（包括温湿度、照度、洁净度、电磁屏蔽等）的特殊要求。

地面：地面装饰是指在机房内部铺设优质高密抗静电活动地板（系统电阻值范围：1.0×10的5次方～1.0×10的8次方），符合GB6650-86《计算机机房活动地板技术条件》的要求。
墙面：墙面装饰是指在机房墙面上使用轻钢龙骨架＋纸面石膏板做基层，采用铝塑板饰面。或采用彩钢板进行装饰。
隔断：隔断是指采用防火玻璃或轻质隔墙对机房进行功能分区。一般在主机房监控室等采用防火玻璃；在需要隐秘的功能区采用轻质隔墙或砖墙。
天面：天面是指采用铝合金微孔扣板做机房的天花吊顶，达到防尘、吸音并且美观的效果。
窗门：根据需要在机房出入口及各功能区设置合适的门和窗。原则上在主机房采用全封闭，不设置窗，只设置门，其它功能区适当设置通风窗户。
保温：为防止凝露、节约能源，采取保温措施来控制平面、立面隔热及热量的散失，在楼顶/地面铺设防水防火的隔热材料来提高机房的隔热保温防止凝露。一般做法是在安装精密空调的功能区内的地板和天花上铺设保温棉，达到保温隔热的功能

4.6.4 供电系统

不间断电源（UPS）；空调（包括精密空调、机房专业空调、普通空调）；照明；维修电源插座。

而不间断电源系统（UPS）又需要向以下设备提供电源：

小型机（甚至更高级别的计算机）；服务器；存储设备；网络设备（交换机、路由器、防火墙等）；应急照明；消防系统；环境监控系统；机房门禁、安防监控等系统。

4.7 设备选型

序号	产品型号	产品描述	数量	单价
1	万兆企业路由器 TL-ER6160T	四核CPU，512MB DDRIV高速内存，性能强劲 2个万兆SFP+光纤扩展口，4个10/100/1000M RJ45电口，可自定义端口类型 IPSec/PPTP/L2TP VPN，远程通信更安全 Web认证、短信认证、PPPoE服务器内置防火墙上网行为管理（应用限制/网站过滤/网页安全）负载均衡与线路备份内外网ARP防护及常见攻击防护智能IP带宽管理及连接数限制	1台	6199
2	万兆上联堆叠式三层网管交换机（TL-SH8452）	48个10/100/1000Base-T RJ45端口，4个复用千兆SFP端口 4个万兆SFP+端口，其中背面2个万兆端口(M1、M2)仅用于堆叠支持双热插拔电源模块TL-PSM100-AC或TL-PSM150-AC 支持TP-LINK NMS云管理系统支持堆叠，多达8个堆叠单元支持BGP、OSPF、RIP动态路由、静态路由支持DHCP服务器、DHCP中继、DHCP Snooping 支持四元绑定、ARP/IP/DoS防护、802.1X认证支持VLAN、QoS、ACL、生成树、组播、IPv6	2台	23999
3	千兆上联以太网PoE交换机（TL-SL1226PE）	24个10/100Base-T RJ45端口（支持PoE+供电） 2个10/100/1000Base-T RJ45端口 2个复用千兆SFP端口整机PoE输出功率达384W，单口最大PoE输出功率达30W PoE供电端口支持优先级机制支持视频监控、VLAN隔离、标准交换三种工作模式	36台	1600
4	无线控制器 TL-AC1000	自动发现并统一管理AP，最多可管理1000个AP AC旁挂组网，无需更改现有网络架构，部署方便统一配置无线网络，支持SSID与Tag VLAN映射支持MAC认证、Portal认证、一键连Wi-Fi等多种用户接入认证方式禁止弱信号客户端接入和踢除弱信号客户端 AP LED灯开启和关闭支持TP-LINK商用网络云平台/商云APP远程查看/管理	1台	4199
5	450M无线吸顶式AP TL-AP452C-PoE	11N无线技术、450Mbps无线速率小型化设计，部署方便吸顶/壁挂，安装灵活简便，802.3af/at标准PoE供电胖瘦一体，不同环境选择不同工作模式无线发射功率线性可调，根据需求调整信号覆盖范围支持8个SSID，轻松划分无线网络内置独立硬件保护电路，可自动恢复工作异常AP 支持TP-LINK 商云APP远程查看/管理	720台	1863

所选择的PoE交换机有24个端口，选择其中4个端口作为保留端口方便网络的拓展，因此一个PoE交换机实际使用20个端口，我们按照每层楼80个AP，共9层楼，一共个720个AP的标准来购买相应数量的PoE交换机，因此一共需要购入36台PoE交换机

5.售后维护方案

根据维护工作的性质分类，可以将设备维护工作分为日常维护设备的保养以及清洁和更新设备，日常维护指的就是对每种设备进行周期性的检查，根据设备的运行状况适当调节周围的环境，时刻了解设备的运行状况，熟悉设备的参数噪声以及温度，并及时发现存在的隐患，在实际的检查过程中可以利用一些辅助的设备进行检查。

在对设备检查之后要做好标记，能够方便的明显的分辨已经检查过的设备和未被检查过的设备，只有加强对设备的日常维护，才能够及时发现问题，及时解决存在的问题，避免重大事故的发生，有效地设备的运行；设备的维护和保养工作，是需要工作人员定期对设备的运行状况进行检查，做好设备温度检测以及性能的监督工作，按照每台机器的实际运行情况采取为合适的保养和维护工作；设备的清洁，设备的运行是会受到周围环境的影响的，影响设备散热的主要问题就是积灰，积灰过多会造成设备的重大损耗，降低设备的性能，影响到用户的实际使用感。因此要对设备进行定期的清洁，这样不仅能够为用户提供稳定的网络，还能够延长设备的使用时间。

设备的更新，一般来说随着无线网络的发展，用户数量的增加，是需要相关人员对设备的建设模式和管理模式进行更新，更新过程中要以用户体验为中心，对设备进行更新和完善，去除用户在体验过程中不满意的部分。除此之外，无线网络还存在被入侵的情况，给无线网络的安全性和稳定性带来了很大的影响，因此管理人员在更新的过程中要注重安全模式的建立，进而提高无线网络的防御抵抗能力。

1.在经过测试和培训过后，进行系统初验，初验合格后，提供三个月的试运行期，试运行期间若出现重大问题，则试运行期从故障修复之日起重新计算，一直到系统连续三个月无严重故障时为止。试运行期间若软、硬件系统出现问题或故障时，指定有经验的技术人员，在48小时内赶到现场，免费进行更换和维修。

2.对所提供的硬件设备提供1~3年的保修期。在保修期内，公司专业工程师开通常设电话，能提供7*24小时的响应服务。在保修期内出现的任何由设备缺陷造成的故障都应在24小时内到现场，并及时免费维修更换。保修期自系统通过终验之日起开始计算。同时，公司将提供硬件现场维修服务（包括备件）、紧急软件现场支援服务、特派维修工程师、模块维修服务、预防性维护服务零备件和消耗品销售服务。

3.保修期后，以不高于本合同的实际价格提供备件更换服务来更换故障部件，即以不高于本合同实际成交价的50%提供备件维修服务来修复故障部件，并每年对买方所购置的设备免费检测一次。

4.提供系统的升级及扩容服务系统的升级和扩容包括更换主机板、计算机内存扩充、软件版本升级。

5.提供员工的技术培训，使其能进行熟练操作。

故障类型	支持方式	响应要求	修复时间
网络、主机、接入等任何一个系统瘫痪或任何一个节点瘫痪	立刻专人应答及处理	立即出发，并保持本地技术支持	2小时系统恢复运行，1天系统全部恢复正常
任何两台以上设备出现问题:影响一个节点50%以上用户上网	立刻专人应答及处理	立即出发，并保持本地技术支持	2小时系统恢复运行，4天系统全部恢复正常
系统出现个别服务不正常,影响部门用户使用	保持电话联系，本地及远程技术支持	6小时内作出修复方案	1个工作日修复

6.报价清单

序号	产品型号	数量	单价
1	万兆企业路由器 TL-ER6160T	1台	6199
2	万兆上联堆叠式三层网管交换机（TL-SH8452）	2台	23999
3	千兆上联以太网PoE交换机（TL-SL1226PE）	36台	1600
4	无线控制器 TL-AC1000	1台	4199
5	450M无线吸顶式AP TL-AP452C-PoE	720台	1863
6	KVVP 161.5控制电缆 KVVRP GSKJ-HRPVSP 41.5，屏蔽双绞线		3.66元/m
7	4芯288芯室内室外单模多模光缆GYTS层绞式通信光纤		22.00元/m

商场无线网络方案设计相关推荐

无线网络嗅探中的Radiotap
引言在WLAN无线网络抓包的时候不管是用wireshark.tcpdump还是scapy都会出现Radiotap.LLC.SNAP协议层. 如图所示: LLC逻辑逻辑链路控制子层(包括SNAP)和M ...
医院无线网络系统设计
无线局域网有效地克服了有线网络的弊端,利用平板无线电脑和移动手推车随时随地进行生命体征数据采集.医护数据的查询与录入.医生查房.床边护理.呼叫通信.病人标识码识别等等,充分发挥医疗信息系统的效能,突 ...
论无线网络中的网络与信息安全技术
试题一论无线网络中的网络与信息安全技术无线网络应用越来越广泛,也带来了极大的便利.但是,无线网络各类应用也带来了各种安全问题,迫使管理员采用相应的网络与信息安全技术. 请围绕"论无线网络 ...
计算机如何连接wifi台式,台式电脑怎么连接WIFI上网？台式电脑连接无线网络的方法...
无线网络的覆盖非常广泛,小到大街小巷,大到各大商场,乃至居民小区.正常情况下,无线网络只能通过手机和笔记本电脑进行连接,若是需要使用台式电脑连接无线则需要另外加装无线网卡或者模块,阅读下文了解台式电脑 ...
如何让你的无线网络速度飞快
随着网络的飞速发展,人们逐渐习惯了使用无线网络,几乎每个酒店.商场.乃至公司都有无线网的覆盖.而无线网络的网速是无线网络使用者最关心的问题,如何保证无线网络的网速?其实解决的办法就是无线网络验收测试. ...
“优化大师”出手，无线网络焕发新活力
信息化极速发展的时代下,企业移动办公.学校智慧教育.医院智慧医疗.商场移动支付等场景正在深刻影响着人们的生活,人与物.物与物的海量连接需求持续推动着无线技术的变革,也对网络承载力的要求达到了前所未有的 ...
医院局域网设计方案计算机,某医院无线网络设计方案
原标题:某医院无线网络设计方案一.项目背景 xx医院分院区是一所三级甲等医院,占地面积2万平方米,建筑面积近1.4万平方米,医院拥有高级专业技术人才100余名,开设床位508张.年门急诊量5.3万 ...
无线网络的胖瘦AP都过时了你知道现在的华为云AP是怎么部署的吗？
无线网络的胖瘦AP都过时了你知道现在的华为云AP是怎么部署的吗? 2018-12-25 18:35 胖AP?瘦AP?云AP?看到这个题目,大家估计会有疑惑,难道IT工程师都是外貌协会的?为什么AP会有 ...
大型商场无线覆盖AP选择方案
大型商场无线覆盖AP选择方案!Access Point无线接入点设备,担任无线终端用户的接入和网络传输.计划中选用的首要无线接入点产品是支撑802.11/b/g/n 的AP,一切的AP经过以太网网线连 ...
毕业论文开题报告 - 基于Linux的无线网络渗透测试研究
目录开题报告填写要求 1.毕业论文综述(题目背景.研究意义及国内外相关研究情况) 1.1 题目背景 1.2研究意义 1.3现阶段相关研究情况 2.本课题研究的主要内容和拟采用的研究方案.研究方法或措 ...