一、项目概述
1.1 项目名称
某区殡仪馆无线网络覆盖升级服务项目
1.2 WiFi项目建设目标
(一)项目建设目标
本项目向承建商采购无线WiFi覆盖服务,将原有一期办公区域无线WiFi网络与本期新建设工作区域无线WiFi覆盖网络,合并到一个系统,统一管理主要提升原有网络质量,扩大覆盖范围,提高接入容量,实现全区域的无线数据漫游。本期主要的无线WiFi覆盖范围为殡仪馆冰库的工作区域、火化车间的工作区域、出殡大小礼堂、维护工作组(会议室、办公室、休息区)、仙安楼外围。本期建设补充28套无线WiFi系统,共建设28套无线WiFi接入系统、传输系统及后端管理系统。
二、项目单位概况
广州市XX区殡仪馆坐落在广州市XX区xx街工业路x号,服务宗旨将坚持“真诚、务实、优质、高效”的作风,充分发挥我们的精神。为构建普遍均等、惠及办公流程的公共服务体系,满足办公对网络、信息及快捷联系的需求,有力促进了XX区殡仪馆公共办公事业的健康和可持续发展。
三、本单位信息化现状
广州XX区殡仪馆一期已完成办公楼内的办公区域无线覆盖,设备使用16套前端无线WiFi设备,带宽为1条宽带线路合并,上行100Mbps、下行500Mbps。随着殡仪馆办公业务日益增长,网络已经无法满足现在业务需求及所有办公场所覆盖需求,需要新增28套前端无线WiFi设备增加覆盖范围及接入数量。
四、项目业务现状、项目必要性和需求分析
4.1业务现状分析
殡仪馆原的设备无法满足现在所有办公场所覆盖需求,已经影响到了办公的业务需求及上网体验,不利于殡仪馆的数字化发展及信息化办公进程,需进行设备及办公场所覆盖升级。
4.2需求分析
本项目针对殡仪馆内办公楼和工作区域进行无线网络覆盖进行升级改造,以满足殡仪馆内办公业务和人数日益增长的无线网络需求,无线系统设计满足高可用性、可靠性、可扩展性、安全性、标准开放性以及可管理性要求。
安全无线接入
针对殡仪馆信息管理接入安全的严格要求,不仅需要保护办公人员的信息安全,禁止泄露单位、国家机密信息,也要保障公民的信息安全,防止个人信息被窃取。这样就需要提供高级别的安全接入保障机制同时还得降低安全接入机制引起的不易用问题,因此需要提供安全、易用的无感知认证。
快速的无线访问速度
随着单位网络信息化的不断发展,越来越多的事情会转移到无线上,单位办公软件,网上办事平台的高效使用都需要更快速的无线网络支撑。
简化部署、集中管理
在单位各部门进行无线部署和管理时,无线接入点数量庞大,布置地点多,距离远。众多的无线WIFI热点配置、升级、维护需要统一化的集中管理,降低维护成本,提高整体的稳定性,减少故障率。
五、项目方案设计
5.1系统结构
网络结构说明:
根据系统组网设备在网络中的不同位置,并结合XX殡仪馆现网的情况,最大限度减小对已有有线网络的改动,无线控制器均旁挂于汇聚交换机。
殡仪馆内区域WiFi覆盖,前端无线网络系统通过网络传输汇聚,汇聚后通过光纤连接接入核心,通过核心管理系统对部署于不同地理位置无线网络系统进行统一管理、统一监控。根据不同的需求加载多种安全策略,确保网络运行的稳定、安全。
5.2无线网络设计
为了既能保证系统的稳定性、可管理性,有能保证系统的灵活性、兼容性和标准开发性,网络架构设计应该采用分层设计的思想。
本方案结合殡仪馆网络系统建设的特点,针对本次无线网络建设的实际情况,整个网络结构具体分为二个层次:网络核心层、网络汇聚层。采用这样的设计后,整个网络系统结构清晰,充分考虑了网络的先进性、成熟性及良好的性价比,同时具有很好的扩展性和可管理的特性。
所有设备管理地址、用户网关统一配置在核心交换机上,核心交换机同时完成出口动作。AC、AP间二层发现建立capwap隧道,进行管理控制。汇聚交换机上对应用户行为审计的端口多镜像配置,可避免审计系统部署在主干网络上引起的性能瓶颈问题,同时可节省硬件投资。用户通过核心交换机获取IP,通过认证服务器完成认证,根据配置的认证策略,实现不同的访问逻辑通道。
5.3项目建设原则
实用性:以现需求为基础,充分考虑发展的需要来确定系统规模
先进性:采用先进成熟的网络理念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;充分采用目前国际、国内流行、成熟的技术,保证网络能适应技术的快速发展。
可靠性:系统设计能有效避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
规范性:系统设计所采用的技术和设备应符合WLAN国家、国际标准,为系统扩展升级、与其他系统互联提供良好的基础
开放新及标准化:在设计时,要提供开放性好、标准化程度高的技术方案,设备的各种接口满足开放及标准化原则
可扩展性:系统不但满足当前需求,并在扩充模块后满足可预见的将来的需求,保证建设完成后,系统在向新的技术升级时,能保护现有投资。
可管理性:整个系统的设备易于管理,易于维护,操作简单,便于进行系统配置,在设备、安全性、统计、性能等方面得到很好的监视和控制,并可以进行远程管理、故障诊断处理。
5.4系统建设需求
(一)前端设备
应根据殡仪馆办公业务的环境特点,选择合适的前端无线网络系统,并做好严格的标准的链接措施,本次项目采用稳定度来满足本次项目需求。
(二)传输设备要求
对于办公业务的无线接入点并发的需求,本次项目新接入多台千兆POE网管交换机,同时替换原一期的POE交换机,满足数据传输吞吐量分担的需求。
(三)后端设备要求
本次办公区域无线覆盖,将接入现有高性能的后端设备(无线控制器),增加系统授权及管理授权,通过综合安全网关作为出口,来满足办公和工作区域无线覆盖的漫游控制及出口安全需求。
六、项目的安全设计
6.1无线接入安全设计
基于无线局域网服务质量及运营效果,无线局域网接入认证方式已不仅仅局限于简单的用户名密码认证即可接入,多样化的认证方式,不仅可以给顾客带来更畅快的体验,还能实现增值性的运营、管理。
本次项目以实现主流的portal(短信)认证、微信认证及802.1x认证为目标。Portal、微信连wifi供用户多样化选择,802.1x认证供内部员工访问内部资源使用,两种认证方式的业务通道通过不同VLAN进行透传,实现安全隔离。
移动终端接入:未认证用户将无法访问互联网。只有认证通过后才可以使用互联网资源;访问流程如下:
入网流程如下:
第一步:连接针对办公的SSID
第二步:点击连接,并输入相应的密码
6.2无线网络安全设计
通信隧道加密
无线控制系统会实时监控无线网络安全情况,无线网络系统与核心控制系统之间全部通过加密隧道通讯,有线端数据传输安全得到有效保障;同时,为了避免重要信息被窥探、窃取,支持WPA/WPA2协议,对无线数据加密,保障无线传输的数据安全。
VLAN隔离
同一vlan内、不同vlan间通讯的终端采用隔离技术,有效防止终端之间传输大量文件损耗有限的带宽资源,也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为,最大限度地确保网络安全,提高网络效率。
同一SSID内的隔离
提供了办公人员接入同一SSID内的隔离,防止互访可能导致的数据转移、信息泄密、文件中毒等危险行为,保护资源安全,防止机密信息泄露。
智能射频管理及负载均衡技术
无线控制器内提供自动功率和信道调整功能。通过专有的射频检测和RF管理算法,优化射频覆盖效果。当AP信号受到外界强信号干扰时,通过控制AP自动切换到合适的工作信道以规避干扰信号,保障WLAN通信的畅通。
支持黑洞补偿功能,在某个AP出现故障时,能够自动加大周围AP的功率以保障覆盖效果。
支持对非法AP的探测以及反制,对于钓鱼AP以及仿冒AP,可以迅速识别,并通过监控以及反制功能,攻击钓鱼AP使用户无法连接,避免损失。
支持按接入用户数量和流量的负载均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。创新性的支持智能负载均衡技术,保证只对处于覆盖重叠区的无线用户才启动负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
高带宽和抗干扰性
系统部署采用的无线接入点(AP)遵循802.11a/b/g/n/ac标准,能提供高达1.2Gbps的无线接入速度,可以同时工作在802.11b/g/n模式和802.11a/n/ac模式,通过双频接入使用方式,能有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务。AP特有的ASM射频技术增强了系统的抗干扰能力,提高了实际应用的传输带宽。专有的Crystal外围补偿校准技术提高了频谱资源的利用率。
七、项目建设与运行管理
7.1项目验收要求
项目由乙方按照合同要求建设完工后进入10天的试运行,试运行结束后进行验收。
7.2项目运行维护机构
本工程项目竣工后,项目承建单位必须提供2年的运行维护服务。由项目承建商建立专门的运维服务管理机构,设立专门的技术服务队伍,配备包括光纤管道、设备、网络等各类维护工程师。服务维护工程师应经过专门的培训,具备相应的沟通能力、业务能力和技术能力。
WiFi覆盖服务在保修期内,服务承建方应定期对系统进行现场维护服务,系统出故障时,承建方应及时派出技术人员到现场进行维修服务。
1)本项目要求承建商负责二年维护期内系统各软硬件设备因设计或是质量问题出现故障或是损坏的维护服务;提供7×24小时热线电话服务,在收到故障申报后2小时内响应,技术工程师在工作日9:00~18:00期间4小时到达现场,其余期间8小时到达现场。到达现场后24小时内排除设备故障(遇到自然灾害等不可抗拒事故除外)。
2)在维护期内承建商按每季度一巡查维护方式进行维护。
