工程设计管理无线上网项目网络设计工程实施方案

工程设计管理无线上网项目网络设计工程实施方案文档名称文档编号当前版本号生效日期拟制人审核人批准人文档修订记录：修订记录序号版本号修订人修订日期修订内容2345目录55项目需求【82756778991010系统架构【软件厂商提ft完善建议】1011131415161717中心设备【张瑞据最终合同更新】1718192020202022222323232324242426282828SSID2930303030303131AP3131初验标准【李沛】3232323232333435机柜规划【任卫民】356.5POC【与软件厂家待定】367377.1实施步骤373737373839404041注意事项【待完善，参考试点情况】4142验收方案【李沛】42434343XXX4444444410.1.2其他设备44444444AC44AP444444441项目概述1.1项目背景XXX在全国门店中分期部署WLAN，以实现：1、顾客在门店可接入免费WIFI使用互联网，可以购物比价或其他互联网浏览、即时通讯、简单游戏等。要求做到新用户注册认证，老用户一段时间内无感知接入2、门店内特有的柜台专区如：极信、苹果等有互联网需求的，可以提供特定的wifi接入，可做到带宽的控制与分配3、店内商家柜台流量增值收费业务（如高清视频演示、应用下载等）网络需求此WIFI部署的同时，配套定位、分析软件，为客户提供及时快速的上网服务，也为XXX掌握门店客户动向、收集信息，为经营决策提供参考。本文就WLAN覆盖项目的实施提ft网络规划设计、项目实施管理方法，通过科学的项目管理、周全的计划，保障项目按时、按质、按量完成，实现系统上线。项目需求本项目建设需求的关键点如下：通过WLANWLANWEBPortal可根据用户要求，提供认证后展示页面，页面提供计时器等功能；访问内容可控，可过滤不良网站，屏蔽有安全威胁的恶意网址等，避免敏感事件发生，可实现对用户的上网行为审计；支持流量管理，可执行流控策略，实现高效精确地流量控制和上网应用控制，避免有人大量下载导致带宽被占用；（如首次认证时间、总上网时长、上网次数、上网网点名称等；精确营销，根据顾客上网收集到的手机号码信息及位置、上网行为等信息，进行大数据分析，并提供报表，为后续精确营销提供参考名词定义无线局域网（WirelessLocalAreaNetwork，WLAN）：利用射频技术取代双绞铜线等接入，通过无线方式所构成的局域网络；无线控制器无线网AP；WLANWLAN覆盖、有定位软件（后台中心的大型门店；中小门店：面积较小且不需要定位的门店分部：分公司，隶属于大区，对下属门店进行管理；标准：XXX提供的与网络规划、施工标注、维护要求等有关的指标文件；附件：本文档不方便直接描述的，需要以图、表、动画等方式对某个方案细节进行说明的文件，指导项目实施；模板：项目实施或管理过程中，需要项目成员去填写的材料的标准格式。人员分工双方职责甲方（XXX）、乙方（xx）的主要职责分工参考《2.1WIFI甲方职责说明：4、提供符合要求的安装环境，提供项目有关的信息；5、确保线路提前到位调试完成，协调运营商线路问题处理6、审核乙方提交的实施方案、计划，并通知到相关方配合7、接收发货设备，妥善保管，清点检验，签署到货回执单8、组织人员参与实施，签署综合布线与安装记录、验收报告等9、组织技术维护人员接受培训，掌握设备安装使用维护方法乙方职责说明：1、按合同要求按时提供项目所需的设备、配件、资料、工具等2、配合开箱验收，对于到货开箱验收不合格的产品提供更换补齐；3、在安装过程中如有设备损坏，及时进行维修、更换，确保不影响工期4、商务负责人：负责合同签署，确保发货计划达成：确保货准时发货，按照计划发货；到货有变动必须及时通知项目经理5、方案负责人：客户需求了解及把握，提供网络规划设计及业务需求解决方案6、项目经理：项目实施负责人，每个省指定的技术主管负责，对项目全过程管理，及时反馈进展给客户，并与客户方保持良好沟通，协调解决过程中的问题，确保项目目标按时实现7、项目成员：接受项目经理安排，具体负责项目实施工作8、后台项目支撑团队：发货情况跟踪与记录、提供项目计划与过程检查、项目过程中的材料收集审核、项目文档制作存档等相关人员本项目主要有以下相关人员（干系人）：名称工作内容/分工XXX总部1、提ft建设需求，参与方案探讨，审核批准乙方的实施方案；2、管理甲方各成员，如线路运营商、布线公司、装修公司、软件公司等3、接受并审核项目中涉及到的安装材料、费用预算，并报送审批4、审批项目总体计划，批准乙方具体计划审核，向各成员下达任务5、接受每天项目的进展反馈，协调处理项目过程重点各项阻碍或问题XXX门店人员1、IT经理代表XXX参与工程实施的勘测、实施、验收过程2、到货签收单、布线与设备安装记录、验收报告等签字3、接收设计或实施的变更需求，协调并反馈线路1、提供各点线路开通日期的计划运营商2、按时开通线路，达到通信标准3、提供到指定位置如机柜的接口4、实施过程中提供线路测试配合1、提供项目经理，及工程项目总技术负责人2、按合同要求提供足够的工程师，并制作实施方案3、提供对项目组的培训，提供文档、模板、记录，便于运维4、按总体计划制定分布实施具体计划，完成各设备的安装调试5、按项目建设方案的要求，调试整个网络，确保达到合同要求6、以天、周为单位，反馈项工作进展、计划完成进度、问题等7、与甲方接口人一起对网络进行验收，签署总的验收报告布线公司工程中线路无法实现需求，布线公司负责：1、按方案要求提供设备间或设备与配线架间的线路布置及连接2、在项目实施过程中，提供线路调试的配合软件集成公司1、项目实施前/实施方案确定前，提ft网络硬件实施需要的配合2、按方案要求，提供项目涉及业务系统软件的安装和功能性能调试3、在项目组进行系统调试、业务联调过程中提供配合并解决软件的问题表1相关相关人员及分工实施团队本项目的实施投入最大的是门店部分，门店实施人员的安排参考《2.3附件：门店实施团队人员分组分工》，基本安排：1、；2、方案、标准、附件、模板等资料在试点后定稿，由培训部王宇峰组织负责各门店具体的实施人员集中培训，以及针对XXXIT经理等关键参与人的视频培训；3、每个大区设1名项目负责人，负责本区域具体计划制定安排，以及实施方案42-3152-316、指定2-3人负责勘测后机房、AP点位、布线的CAD图纸制作。管理规范为确保甲方的网络系统安全、预防各实施方人员发生意外事故，乙方项目经理负责获得甲方场地管理规章制度，在项目例会中传达到所有项目成员。对于需要ft入施工场地的人员，通常要遵守以下基本行为规范：1、 主动了解并严格遵守甲方管理规章制度；2、 进入施工场地提前联系预约，征得甲方接口人同意；3、 进入场地主动报公司名称并ft示证件登记；4、 离开场地要与甲方接口人打招呼；5、 ft入所带物品应登记，妥善保管；6、 安装、插拨设备模块电缆需带防静电手腕；7、 严禁在场地内抽烟、喝水、吃东西、玩游戏、打闹；8、 未经甲方接口人批准，严禁动其它设备或线路；9、 未经甲方接口人批准，严禁对机房、设备等拍照录像；10、 拆装静电地板、天花板，需要甲方接口人许可并在场；11、 安装后，清理现场，整理各种物品，保持场地的整洁；12、 严禁携带与本次工程无关的人员进入施工场地；13、 完成实施后清扫现场，带走多余的材料。除上述基本规范外，应主动向甲方接口人了解更多要求，并按其要求执行。成员培训设备组网系统架构以下为本项目的系统架构图，下一层支撑上一层的业务，项目实施可遵循分层先后开展，后期运维/使用/管理可按层次由不同职能部门分工承担。图1系统架构图以下为整网逻辑结图：网络拓扑拓扑参考《3.2附件：XXXWLAN项目网络拓扑》，以下为整网基本拓扑结构（门店以三种类型代表）：图2整网拓扑图网络拓扑说明：1、 所有门店通过互联网线路与总部IDC建立两条VPN隧道（使用IPsecVPN并加密，以对传输到后台的用户数据起保护作用，与中心端接相同运2、 IDC提供的接入线路公网地址可能会发生变化，或者因数据中心搬迁等造成IP地址调整，为减少因中心端公网地址改变带来的大量网点的配置更改的工作量，采用域名解析，在网点防火墙上配置VPN的对端地址为域名，使用XXX二级域名由XXX域名服务器提供域名服务先按三个公网接口规划三个域名，分别对应电信、移动、联通线路；业务类型功能简介解决方案数据量PORTAL门店无线上网终端设备连接PORTAL较小认证计费针对接入无线网络的终端进行认证，并对部分用户计费业务类型功能简介解决方案数据量PORTAL门店无线上网终端设备连接PORTAL较小认证计费针对接入无线网络的终端进行认证，并对部分用户计费PORTAL较小IMC网管针对所有APSNMPXXXIMC硬件XXX提供上行大备进行状态查看，配置修改等BI大数据待定艾逛提供软件待定广告运营待定艾逛提供软件下行大4、 门店办公数据到IDC的WLAN核心交换机后到生产网核心交换机，再到生产服务器5、 来宾上网、移动POS机通过本地互联网线路ft局（移动POS机类似网银，应用层加密访问处于公网上的服务器，而非接入到IDC后台）数据中心以下为数据中心网络拓扑结构：图3数据中心网络拓扑网络拓扑说明：1、 每台核心防火墙四个万兆光口四条多模万兆光纤接到两台核心交换机，使用链路聚合方式；2、 核心交换机两台之间虚拟化，虚拟成一台交换机，服务器两个网络接口，起链路聚合协议接到核心交换机；3、 任一台核心防火墙宕机，其上的外网线路不可使用，或者任一条线路故障，也将不可用，此时，网点防备VPN（此类跨运营商的VPN有可能质量达不到良好的通信质量和速度；4、 将来增加移动线路，则增加一台防火墙，类似方式接入。注：鹏博士提供的外网线路为BGP选择路由即同时具备多运营商ft口路由自动选择，由此可解决门店采用不同运营商线路接入到中心VPN需要上线线路匹配的难题，但中心端ft口使用两个公网线路仍有必要，主要为备份需要。图商门店以下为图商门店网络拓扑结构：图4图商门店网络拓扑网络拓扑说明：1、 图商门店部署ft口防火墙无线控制器AC上网行为管理缓存服务器、定位服务器，其中定位数据在本地服务器存储2、 门店的审计数据、日志信息、用户信息等，通过VPN隧道上传到数据中心相应服务器进行计算、分析、统计、输ft报表3、 防火墙依据下面业务网段的数量配相应子接口，每个子接口的地址是下面对应业务网段的网关，接入交换机每个业务网段划一个VLAN，具体VLAN划分的标准：VLAN号用途网关设备VLAN10设备管理防火墙VLAN100移动办公防火墙VLAN200苹果业务防火墙VLAN300智能家居防火墙VLAN400来宾上网防火墙VLAN500预留防火墙4、 ft口防火墙承担上网终端的DHCP服务器，其他设备地址除AP外的管理地址，实行固定分配；5、 AP走本地转发，不走集中转发模式，以减少AC的压力；6、 上网行为管理、缓存服务器，根据外部线路的带宽，提供两种性能设备（100M和60M两种，上网行为管理提供限速、安全审计；缓存提供上网加速（XXX。网络门店以下为网络门店网络拓扑结构：图5网络门店网络拓扑网络拓扑说明：1、 网络门店部相对图商门店，少了定位服务器，其他一样2、 上网行为管理、缓存服务器，根据外部线路的带宽，提供两种性能设备中小门店以下为一般门店网络拓扑结构：图6中小门店网络拓扑网络拓扑说明：1、 一般门店未配无线控制器AC上网行为管理缓存服务器定位服务器，ft口防火墙内置上网行为管理/审计功能2、 一般门店的AC由数据中心的AC承担3、 ft口防火墙承担上网终端的DHCP服务器设备清单中心设备IDC数据中心对应的网络设备清单：设备品牌/型号数量核心防火墙XXX/NS-SecPathF502041300W电源AC-PSR300-12A22台核心交换机XXX/LS-10512交换机，每台配：1、 2张LSUM1SUPB0主控引擎模块2、 4张LSUM1FAB12D0交换网板D类3、 4只LSUM1AC2500交流电源模块2500W4、 1张LSUM1TGS24EC024端口万兆以太网光接口模块(SFP+,LC)(EC)标配24个万兆多模光模块5、 1张LSUM2GT48SE048端口千兆以太网电接口模块(RJ45)2台网管软件XXX/网管软件/授权：1、 2套iMC-智能管理平台标准版PFX2、 2套iMC-智能管理平台标准版3、 4套iMC-智能管理平台标准版-100License4、 2套iMC-智能管理平台标准版-500License5、 2套iMC-智能管理平台标准版-50License6、 2套iMC-智能管理平台标准版-25License7、 2套iMC-WSM无线业务管理组件8、 2套iMC-WSM无线业务管理组件-50License9、 6套iMC-WSM无线业务管理组件-1000License1套无线控制设备XXX/WX5540H-EWPXZ15540H- 无线控制器主机(12GE+12SFP+4SFPPlus)-国内海外合一版每台配300WAC电源 模 块 2 张 ， LIS-WX-1024-BE ，H3CAccessController-EWPXM1WCM1024-增强型无线控制器license1024AP-企业网专用-V7227台网管服务器网络管理IMC服务器每台配：1、 7根8GBPC3L-12800R(DDR3-1600)内存模块(v2)2、 2块1TB6G-SAS-7.2K-2.5英寸硬盘模块3台PORTAL认证服务器待定图商服务器待定计费服务器待定广告营运管理平台服务器待定BI析服务器待定表1数据中心设备配置门店清单一期项目门店及对应的设备型号信息如下：类型数量设备品牌/型号数量图商门店29防火墙XXX/H3CSecPathF1020，16个101000BASE-T,8个100/1000BASE-XSFP，标配2个千兆多模光模块1图商服务器待 定 / 参 考 配R720E5-2620V2*28G*4500GSATADVDH310495W置：1无线控ACXXX/WX2540E6端口千兆(5GE-T+1SFP)或：EWP-WX3510E4端口千兆Combo1上网行为管理网康/IMS2050（带宽60M的用IMS2030）1缓存服务器网康/NP6510（带宽60M的用NP6505）1POE换机交XXX/S5130-28S-PWR-EIL2以太网交换机主机,支持24个101000BASE-T端口,4个1G/10G1~6无线APXXX/WA4320-ACN-内置天线双频2条流6~93机柜600*800*2000的机柜1小机柜600*400*350的可壁挂、落地小机柜1~4网络门店71防火墙XXX/H3CSecPathF1020，16个101000BASE-T,8个100/1000BASE-XSFP，标配2个千兆多模光模块1无线控ACXXX/WX2540E6端口千兆(5GE-T+1SFP)或：EWP-WX3510E4端口千兆Combo1上网行网康/IMS2050（带宽60M的用IMS2030）1为管理缓存服务器网康/NP6510（带宽60M的用NP6505）1POE交换机XXX/S5130-28S-PWR-EIL2以太网交换机主机,支持24个101000BASE-T端口,4个1G/10G1~6无线APXXX/WA4320-ACN-内置天线双频2条流802.11ac/nAP-SI6~93机柜600*800*2000的机柜1小机柜600*400*350的可壁挂、落地小机柜1~4表2一期门店设备配置设备配发依据门店的信息，结合上述设备配置的标准，确认每个门店的设备清单《3.3.3附件：门店产品配置表100设备命名为方便进行网络设备的维护识别、网络管理、资产管理，建立统一的命名规则对设备进行命名：1、用英文编码对网络设备命名，包含防火墙、交换机、AC、AP等全部网络设备2（多台同型号加序号，分部和门店的编码参考《3.4附件：分部及一期门店命名表》3、具体到设备，编码规则示例如下表:一级分部名称门店名楼层号设备/序号分部名称缩写代去掉门店类根据信以设备类型命名，码加分部类型缩型/级别、店息表中如有多台同类设备写（XXX、大中、或分店后，的楼层依次增加序号，单永乐）代码编码缩写命名台设备不加序号例：的编码为例：旗舰店如F1、例：门店交换机CDGM，北京大中编 码 为F2B1、=POE1分部的编码为CDCRLB2=FW、门店=AP1BJDZB212APCDGM-CDCRL-B2-AP12B12的命名，从最底一层的第一个开始（以地图正面朝上，AP1。技术方案地址规划门店地址WLAN网络的IP地址的规划原则：1、 防火墙作为门店总ft口；2、 结合分区域管理的组织结构分段并且确保预留数量;；3、 结合自上而下的管理分级分层，以便未来可做路由汇总；4、 对门店、设备精确分配地址段或指定地址，便于管理；具体的地址分配标准如下:XXXwifi网门店IP地址根据用途包括用户地址和设备管理地址两个大类。用户地址：IDC每个门店分配8个C作为无线用户上网使用；C512/23，不与其他网络互通；苹果专区：1C256/24，不与其他网络互通；智能家电：1C256/24，不与其他网络互通；C1024/22，不与其他网络互通；设备管理地址：可能需要和IDC的网管软件、portal服务器或备用ac等直接通信；启用XXX未使用新网段，与已使用的IP地址有足够的间隔，选用/16-/16；根据门店AP数量使用64(<50个AP)或128（>=50个AP）个设备管理地址；每个C类地址段可分配个4个门店，根据各分部目前的门店数，分别分配16、32个C，可容纳64、128个门；每个门店子网的最高1位地址，作为设备管理网段的网关；每个门店子网的最低1-5位地址，分别做为流量控制，缓存、定位服务器、AC管理、汇聚交换机；普通门店（<50个AP，目前最多5个交换机）DHCP12496-9POE第12个地址作为与生产网路由器互连；第10-12作为生产网备份时NAT的地址池；大型门店（>50个AP，目前最多10个交换机）DHCP201046-14POE第20个地址作为与生产网路由器互连；15-20NAT中心地址WLANXXXB/16XXX《4.1.2附件：数据中心IP地址规划分配表》。端口规划源IP目标IP通信端口号上网终端正常业务80、8080AP中心端ACTCP57777源IP目标IP通信端口号上网终端正常业务80、8080AP中心端ACTCP57777中心端ACAPUDP779防火墙IMC/PortalUDP1812//认证UDP1813//计费TCP8443//AASWEBTCP9443//PortalWEBUDP2000//Portal设备注册防火墙集中网管UDP514//审计日志TCP4433、8888、60005、60006//源和目的都要放行，网管内部通信端口TCP80//WEB管理TCP21、20//FTP网康IMS和NPSTCP43//管理页面与升级服务器通讯TCP22//下载升级包TCP1812//IMC务器软件厂商确定定位服务器软件厂商确定认证计费软件厂商确定大数据分析软件厂商确定网络安全接入策略不同子网/业务的接入/访问控制规则如下：1、无线客户端安全访问WLAN数据中心：门店防火墙同数据中心防火墙建立IPSecVPN加密隧道，只允许源自防火墙、AP、AC的管理协议和数据流。2、无线客户端同门店AP、防火墙逻辑隔离：管理网段、来宾上网等不同的业务网段采用不同的VLAN，防火墙业务网段网关接口禁止管理访问。3VPNIPSecVPN区域的流量在VPN网关解封装之后还需经过防火墙的过滤才能到达内网服务器。4、管理数据流通道：网点到数据中心走IPsecVPN，为网络管理数据流量提供数据通道，保障管理数据流的安全；中心的广告等数据通过此VPN通道推送。5、来宾上网无线客户端禁止互访：配置策略禁止无线客户端互访，提高网络安全性。数据控制1、防火墙防攻击：防火墙关闭掉不使用的端口，并提供入侵防护功能，支持入侵防御、防攻击。2、上网行为管理屏蔽非法访问【网康：给ft安全管理策略，先按通常策略做】。接入区域接入对象限制标准【网康+PORTAL设置】接入区域接入对象限制标准【网康+PORTAL设置】来宾上网来店客户终端2ft口带宽的90%，P2P和在线视频不超过总带宽的5%移动办公款台人员的电脑4M总带宽，抢占。智能家电店内展示用智能电视机、冰箱等不限时，不限内容；PortalMAC能家电可能收费，如有申请，增加ft口带宽提供给此类收费用户专用，免监控不受任何策略限制苹果专区苹果专区展示手机、PAD不限时，不限视频，不限下载；带宽4M-10M移动POS移动刷卡机、收银机不限时，不限速，高优秀级，免监控不受任何策略限制，保留1M管理数据ACAP管设备保留7M带宽登录限制1、允许本地Consol口访问查看修改设备配置信息；2、不允许门店来宾上网网段、非总部防火墙外网口的互联网地址登录访问网络AC（telenet（SSH方式，配置用电脑到被管理设备之间加密、总部数据中心内网网段（SSH方式）登录设备；3VPN，ITVPN，分配IT生产保护为安全起见，在门店的防火墙做两条策略，只允许移动办公和备份线路切换产生的数据访问生产服务器区。建议在WLAN和生产两个核心区域之间增加IPS等安全设备。路由规划无线路由无线网络区域的路由及数据流如下：关键数据的路径如下：① 移动终端上网：默认网关为防火墙F1020内网口地址，到防火墙后，送到互联网② 认证和定位等数据与后台服务器的交互访问：默认网关指向防F1020VPNF5020，到核心交换机，送到服务器。主要设备的路由如下：序号设备类型默认网关/静态路由动态路由1上网终端默认网关指向防火墙内网口无2图商服务器、AC网关指向防火墙内网口，或后台服务器网段作唯一静态路由无3门店防火墙默认网关指向外网ft口，到后2VPN备隧道无3核心防火墙默认网关指向核心交换机的直连接口，同时，在网点防火墙VPN注入增加到每个门店的防火墙面向核心交换机的一侧起OSPF动态路由，将自身的反向路由注入增加的静态路由发布到OSPF中VPN内网段的静态路由4核心交换机无（默认网关可以指向核心防火墙的内部接口，但两台防火墙不同地址无法确定谁更合适且无实际作用）全部接口OSPF，同时接收来自核心防火墙的静态路由分，发，以及来自于生产区域的BGP分发5生产核心交换机172WLAN核心交换机的相连口未知。备份路由WLAN网络为生产网做线路备份，在门店生产网络专线（当前门店大部分为一条专线上行，路由走向如下图（参考《4.4.2附件：WLAN网做生产网线路备，红色虚线为上行，绿色虚线为下行路由：网点线路备份的说明：1、门店生产网PC（有可能是动态WLAN区域的防火墙F1020，则PC（1010可通过接入路由器F1020，VPNWLANWLANNAT，10PCWLAN172VPNWLANF1020MSR2011，NATPC；2、此配置下，专线正常时，WLAN区域的无线移动办公，最好不走专线端上联，OA设备经此路由器NAT（NATVPNOAN700010510（每个网点1条OAVPNOA，先到专NATN7000N7000NAT，则回传的路由和无线备份的路传。由于此方式在专线路由器端有两个NAT，非常复杂，且容易导致路由混乱，不建议采用。设备部署大中型门店机柜设备部署每台设备间隔2U，机柜从下至上定为1-42u；如店铺没有以下规划设备（定位服务器仅29家大型门店部署），机柜空间预留；U（从下至上数）设备名称第27U防火墙第24U行为管理设备第20、21U缓存服务器第16、17U定位服务器第13U无线控制器第10UPOE1第7UPOE2第4UPOE3……小型门店主机柜设备部署每台设备间隔2U，机柜从下至上定为1-22u；如店铺没有以下规划设备，机柜空间预留；U（从下至上数）设备名称第16U防火墙第13U无线控制器（未来预留）第10UPOE1第7UPOE2数据中心设备部署wifiIDC，1064第一期网络机柜设备部署情况如下：网络管理分级管理网管设备权限网管权限权限维护方式分部本分部内设备分配：1网管设备权限网管权限权限维护方式分部本分部内设备分配：11、设备用户名密码采IT经1、登录用户名密码可登陆网分配网管平台的只取电子表格登记，总部理络设备，查看基本状态读权限的账号集中保管IT人2、特权模式密码，可进入设2、负责分部内门店2、网管用户名密码采员备特权模式，修改设备配置取电子表格登记，总部3VPN台权限相应修改集中保管IT备（需AAA认证）4AC/策略集中下发的权限总部提供所有设备：1、分配网管平台所1、设备用户名密码采IT经1、登录用户名密码可登陆网有全国设备的读写取电子表格登记，专人理络设备，查看基本状态权限的账号集中保管2、特权模式密码，可修改设2、可修改、注销、2、网管用户名密码采备配置IT取电子表格登记，专人3VPN理的权限集中保管用于远程网络管理补充说明：因网络设备较多，采用手工分配并管理用户名密码工作量大，且不易XXXEIAAAA服务器的配置，同时保留本地认证配AAA登录授权XXXEIAAAAlicense（用于网络设备登陆AAAIMC平台的license。VPNVPNIPIPPOEACEIATACACS（比如查看、修改配置等。TACACS服务器在总部，可以对用户分组，设置不同的权限。另，需要考虑权限级别和被管理对象的范围，将分组对应的设备匹配。同时，针对COSOL口的登录做本地认证。SSID规划SSID的规划依据：1、门店无线上网的用户，每一类设置一个SSID；2、每个SSID，依据业务与其管理要求、认证方式对应；接入类型接入对象SSID名称SSID可见性无线接入密码上网认证方式来宾上网来店客户终端GOME可见无密码PORTAL、短信认证移动办公店内员工或到店办公人员的终端GOME-BYOD不可见，上网人手动添加密码认证Portal+域认证智能家电店内展示用智能电视机冰箱等、GOME-TV可见密码Mac地址，账IT苹果专区苹果专卖店的展示手机PAD、GOME-APPLE可见密码PORTAL、账号密码*苹果专区补充说明：1、有苹果的SSID，分配用户名和密码给旗舰店的苹果样机上网，不做限速，保证上网带宽，可以在每个AP上都增加苹果的SSID2、为匹配苹果旗舰店的要求，通过网康上网行为管理，给予苹果SSID不超过10M不低于4M的的优先带宽。采用“带宽抢占”方式保障苹果专区的上网效果。接口规划给ft门店的各设备之间的硬件接口、连接方式的统一标准《附件4.7：门店网络认证计费爱逛提供其他要求由定位软件等运营在网络上的相关方对网络提ft技术要求，暂无。实施标准标签标准本项目的标签标准如下：位置类型内容贴法网线两头黄色旗型线缆标签该网线所接设备的名称，参考“3.4设备命名”3-5CM防火墙交换机服务器黄色或白色长条形标签该设备的命名粘贴在设备左上部分AP黄色或白色长条形标签AP+序号，如AP12“5.3.1AP旗型标签的显示内容，可以通过打印模板设置后，用打印机打印，参考《5.1布线标准XXX对于门店综合布线的标准为《4.1标准：XXX电器弱电综合布线工程标准V1.0（含无线网XXX6安装标准明确门店内的POE交换机、防火墙、AC、AP等硬件设备的安装、接地、接电（门店负责提供机柜的插座，机柜自带PDU、接线、外观、标签、信息记录等要求。AP安装AP安装参考《5.2.1附件：AP安装标准》，根据不同的环境，给ft不同的安装参考方法，但先要和XXXIT经理协商确认安装标准。如有超ft这几种的环境，依据实际情况，和IT经理协商沟通，前提安全、美观、不影响信号覆盖、定位。网络设备门店网络设备的安装，从以下几个方面统一定义标准：1、门店内的主机柜的安装要求，机柜内设备安装位置、安装标准；2、4.2端口规划3POE6U100）AP4、防火墙、交换机等设备在机柜内安装步骤、注意事项，参考相应产品安装手册。以上标准具体实施参考《5.2.2附件：门店机柜及网络设备安装标准》。初验标准【李沛】门店标准布线完成、设备安装后，设备各功能通过调试，要达到的标准具体如下：设备型号调试项目调试通过标准APSSID达标SSID按规则连接PORTAL及认证弹ft页面及认证符合既定规则移动办公可用信号覆盖信号强度符合标准，最低不小于-65dbm备份可用限速达标防下载、限速等符合设置标准苹果专区达标苹果专区上网速度符合4-10M定位误差内【艾逛明确】POE交换机防火墙数据中心数据中心建设时间计划IDC数据中心的安装、调试计划如下：时间计划事项具体做法818内部规划数据中心规划和方案、拓扑1、与XXX技术确认2、提供方案文档819和客户讨论数据中心的网路结构1、邀请XXX、网康厂商参与2、和客户负责人确认，获取数据中心所需要的资料819数据中心现场勘测1、确认设备安装机柜要求2、勘测现场为设备安装做准备820-28日IDC机房不满足项目改造及下工单1、机柜配电确认2、设备摆放确认828和客户确认数据中心网络结构提供数据中心规划文档，请厂商、客户审核确认828设备全部到货依据数据中心设备清单发货823-28日实施准备准备数据中心实施需要的流程2名实施人员确定、技术方案掌握828进场实施1、清点设备，客户签收2、设备上架安装接线3、软件配置调试3、与门店联调，确保通过待定软件POC配合现场情况经过对IDC现场勘测，机柜情况及桥架情况如下图（现场不允许拍照，以下情况类似，供参考）：具体情况如下：1、地址：北京市朝阳区酒仙桥北路9号恒通国际创新园C10鹏博士IDC2、收货人：XXX提供一定的支持3、位置：MD10-B模块间，格局可参考《附件6.2：MD10BXXX机柜位置图》，近B2X07号门，可以24小时施工4、机柜：C18-C0910JFP114C，规格尺寸：47U600*1000*2350，125LPDU82200W？不带上柜螺丝5、每个机柜提供2个PDU插座，每个插座10A的7个，16A的1个；6、运营商外部线路：IDC承诺可以拉到机柜，运营商有线路需要2小时时间7、布线及安装：机柜间可以走上机柜上桥架，实施方自行布线安装8、设备材料进场：参考人员进场方式，提交工单走手续9、多ft的托盘，可堆放在模块间角落，另，提前2-3天提ft，可以处理走10、安放笔记本或显示器、键盘的调试台每个模块间1个，梯子是一栋楼几个共用，可以向IDC工作人员借用11、设备到楼下，二次运输实施方负责，可以借推车走货梯上楼，无叉车12、故障板卡需要运ftIDC，不用登记，可以带ft，但主机带ft需要与商务沟通下工单走流程13、所有设备变更、人员进入，都需要提前提ft，联系IDC商务下工单14、个人物品需要存放在一楼储物柜，如需要带笔记本、水杯、工具等物品进入（可以从楼外货梯直接上来，水杯存放在北二层登记处，走ft模块间可以到此处喝水，机房内严禁喝水、拍照1532A26A2500*2+330W，国标插头，16A，发邮件给x380V）16、机房恒温22度，夏天注意防寒，建议带一件外套或长袖衣服工具配置安装调试过程中，每组实施队伍，需要携带以下工具和材料，如下：工具/材料规格数量笔记本螺丝刀两把一字，两把十字1套上柜螺丝标准19英寸机柜1包六类网线若干六类水晶头1包网线钳1只测线仪网线测试仪1只标签纸事先打印好1包服务器区依据定位软件厂商的规划，IDC机房服务器区需要放置如下服务器（由XXX提供含数据库软件、操作系统、KVM）：期间内容服务器数服务器要求1期portal及广告管理132G8核1T432G6核4T数据分析316G8核1T832G8核2T定位图商632G6核1T网管（SQL）364G8核2T2期扩容广告及portal632G8核1T网管564G8核2T数据分析116G8核1T432G8核2T3期扩容portal及广告管理132G8核1T132G6核4T数据分析116G8核1T232G8核2T其中，数据分析区域的服务器具体为：数据分析区服务器部署负载均衡服务器1（16G8核1T）应用服务器2（16G8核1T）数据存储服务器3（32G8核2T）hadoop数据计算服务器5（32G8核2T）机柜规划【任卫民】机柜内安装的设备及服务器的数量、高度如下表，具体布局参考《6.4附件：IDC数据中心机柜布局》：【1修改：C09安装AC台，C10安装AC2台，C11安装1台核心交换机1台防火墙，C12同C11，其他不变】编号机柜类型安装设备类型-型号数量高度功率C09网络柜1数据中心交换机-LS10512118U数据中心防火墙F502014U24口网络配线架【待定】21UC10网络柜2数据中心交换机-LS10512118U数据中心防火墙-F502014U24口网络配线架21UC11网络柜3网络管理IMC服务器32UAC-WX5540H24U24口网络配线架11UC12网络柜4AC-WX5540H74U24口网络配线架11UC13服务器柜1宽带计费服务器-R72012U24口网络配线架11UC14服务器柜2广告营运管理平台服务器-R72052U24口网络配线架11UC15服务器柜3图商服务器-R72062U24口网络配线架11UC16服务器柜4其他类服务器（BI分析）-R720112U24口网络配线架11UC17服务器柜5预留C18服务器柜6预留注意：1、结合未来的空间预留考虑，体积大重量大的安装在底部2、每个机柜底部预留1U、上部预留6U作为配线架的安装空间3、C09、C10规划为网络柜，以便与A01和B01的网络更接近软件POC【与软件厂家待定】软件POC方式POC项目定位软件认证计费门店实施实施步骤门店的实施的先后步骤参考《7.1试点实施确定代表性的门店（初定北京6个门店，按本文档既定的实施标准进行实施，记录所有遇到的问题，填写到《7.1电话沟通项目组安排专人，对第一批要实施的100家门店，逐一电话联系店长等接口IT经理的配合、布线工作配合等，参考《7.2附件：一期门店电话确认记录外网线路XXX首先申请WLAN月1日全部开通外网线路。外部线路要求：1、门店的线路首选为固定公网IP的线路2、如为PPPoE拨号分配非固定公网IP地址的宽带线路，则需记录用户名和密码门店申请线路到位运营线路类型公网IP地址/开通3门店申请线路到位运营线路类型公网IP地址/开通名称日期负责人商用户名密码日期IDC8-10李超电信500M互联网固IP8-20电信100M互联网固定IP专线X.X.X.X发货跟踪门店设备分为四套，参考《7.6附件：100家门店无线设备配置》：1、XXX网络及无线设备2、网康上网行为管理设备3、机柜、6U小机柜4、线材发货方式及到货跟踪方式如下：设备包供方发货方式跟踪方式网络无线设备XXX1、北明确认门店发货地址、收货人2、XXX货到门店实施负责人或后台人员跟踪到货并每天反馈上网行为管理及缓存服务器网康网康依据发货地址，直接发货到各门店网康安排人员跟踪到货情况，按统一标准反馈给北明项目经理机柜北明XXX信息通过内部配送到店实施负责人或后台人员跟踪到货并每天反馈网线待定北明统一采购，供应商发货到各门店实施负责人或后台人员跟踪到货并每天反馈对于发货的跟踪，负责人每天更新进展，填写到《7.4具体做法（如门店无人配合，可提醒客户保留好货物在仓库或机房内，实施人员到场后按以下做法“参考7.8实施步骤）：1、货发ft后，取得运单信息，预估到货时间；设备签收2、预计货到发货地点后，跟踪人通知收货人确认是否到货，提醒先检查包装外3、外包装损坏明显可能导致内部设备损坏，不应开箱，联系项目负责人安排处理；4、如包装良好，则开箱清点设备，核对型号数量，检查配件是否齐全，上电检5、设备清点无误后，甲方收货人签署《7.4模板：签收回传单》，一式三份盖“分部财务章6、如发生设备开箱即损，现场实施人员反馈给区域负责人，区域负责人反馈给RMA说明：1、每个到货的XXX设备需填写序列号；2、没有的设备必须用“零”标注；3EWP-WX2540EEWP-WX3510E（3510150WLSPM2150A）必然是二选一的，请根据门店实际情况删除后打印；4、设备到货后一起验收；5、门店店长、资产管理员、IT主管、我方代表四个验收人均必须到场验收签字。门店勘测AP1、参考《7.2附件：一期门店电话确认记录》中的信息，电话IT主管，报“无ITITIT2（如有常合作的或者事先谈好的纸打印件、设备清单信息及到货时间进展，联系IT人员，到门店现场；3、每个门店的设备配置参考《7.6100且未签收，提醒店长、IT人员：妥善保管，勘测后再发货，设备到齐后签收；5、对照图纸，对门店总体巡视，记录主机房位置及空间、副机房位置及空间（可能用于远端区域的接入POE100米，如无机房，请IT人员协调机柜安装位置，并预留ft空间；6、测量主机房的门尺寸及周围过道空间，能否运输600*800*2000的机柜，如不能进入，则和店长沟通，请店长安排装修公司处理；7、记录店面结构、吊顶类型、机房情况、机柜空间、配电、外部线路、内部管AP8、在确认到AP点位、机房位置后，图纸点位确定，则拍照发给项目助理张瑞，由后者统一提交给设计人员ft图；9、以上勘测记录和照片等资料，发郑庆斌、张瑞，经确认后提交给总负责人。布线外包ITXXXXXX如XXX布线公司价格过高，则联系其他布线公司，说明环境情况，预估价格是否合理？并确认到场时间。图纸编制图纸的使用及编制方法及要求如下：1CAD（一定要最新版的2、在勘测时，现场三方（北明实施人员、布线公司、门店IT经理，依据门店POE（部分门店由于距离过长，不能集中安装，可能需要交换机在机房外安装，在答应的图纸中标注各具体位置；3、对AP的位置编号（编号规则为统一标准，具体参考“3.4设备命名，标注ft工具材料AP我们的安装需要准备以下工具材料：名称说明笔记本RS232（或使用USB转串口）和RJ45以太口电源插座在机房调试时，用于交流设备、笔记本等暂时供电配置线缆RJ45-DB9、DB9—DB9各1条，用于接入设备配置口网线交叉直连各1根，用于连接设备以太口调试螺丝刀大小十字和一字螺丝刀各一把，用于拆装设备上机柜万用表用于测量供电插座电压、零地电压、设备接口电压等防静电手镯设备安装、模块拔插过程中，用于排除人体静电鞋套ft入机房，先戴上，防尘、保证机房清洁抹布安装调试完后，清洁设备，擦去设备污渍卷尺用于测量机柜尺寸间距线缆长度等测线仪卷尺用于测量机柜尺寸间距线缆长度等测线仪测量网线、电话线通断及线序拍照手机勘测或施工中给设备、线路等拍照，以及照明折叠梯子用于吊顶内走线等工作时使用，可向甲方的管理人员借用一般门店都有尼龙扎带绑扎电缆、固定电缆标签纸给电缆或设备做标志，如设备主机名、AP编码等，可用刀型标签，提前打好注意事项在项目实施的过程中，需要注意做好以下工作:1APAPMAC（与实际安装位置一致IP7.8AP2、每个门店安装完成调试通过后，请IT经理、店长等签字《7.9模板：门店安装验收确认单》，一式三份盖分部财务章。配置完成后ssh确保ssh服务可用。所有设备可以通过防火墙ssh登陆，防火墙可以通过内外网登陆acdisplaywlanapall；连通性检测：ping网关、防火墙外网口、运营商IP，百度上网检测：打开XXX在线，京东，苏宁，淘宝，微信，支付宝。4个ssid全部测试；进度管理规划ft每个门店的到货、布线、安装时间，门店具体负责人每天反馈进展，7.10模板：实施计划进度表》验收方案【李沛】安装后，各功能设备通过调试，达到以下验收标准：序号类型验收方法1硬件验收1、设备资料齐全，合格证明齐全，设备及配件无短缺22功能达标1、依据所需要实现的功能，在试点时，项目组提供设备进行模拟测试23连接性通过12络切换到设备上，对所需达成的连接性进行实际使用，确认是否满足需求4性能达标12、上述测试完成，表明理论上性能不存在问，设备安装完成后，所承载的网络切换到设备上，可选择具有代表性的试验点，按正常使用时，测试在网络时延、转发速率等方面是否达到预期规定，确认是否满足需求1、设备安装完成，网络功能开通，按通常情况使用网络，定期记录网络运稳定行过程中，所有设备的CPU性测5确认设备稳定性试通2、设备运营一定时间后，通过设备状态监测记录、用户群体的实际使用感过知，确认设备网络稳定性情况文档管理文档列表本项目各阶段所需要的文档及要求如下表：项目阶段文档名称负责人签署方式（）到货《到货签收单》实施人员店长签字盖财务章一式三份，扫描件发大区负责人及项目负责人、项目助理，原件提交项目助理工勘《工程环境勘测记录表》实施人员完成的当天提交电子版给大区负责人及项目负责人、项目助理安装《门店AP安装信息表》实施人员完成的当天提交电子版给大区负责人及项目负责人、项目助理安装《门店安装验收确认单》实施人员IT字盖财务一式三份，扫描件发大区负责人及项目负责人、项目助理，原件提交章项目助理全过程实施计划进度表区域负责人实施人员每天反馈，区域负责人跟新表格，项目助理汇总提交文档管理文档齐全后，由项目负责人针对客户情况，进行移交：文档名称主要内容文档格式移交情况WiFi建设项目初验报告WIFI报告总表纸质设备到货验收报告设备型号数量纸质WiFi项目设备安装报告设备型号序列号安装位置纸质工程施工检查表工程施工标准纸质WiFi覆盖测试报告WIFI结果纸质门店Portal测试报告Portal录结果测试纸质机柜设备摆放图机柜设备摆放位置纸质AP点位图AP安装位置CAD电子版，纸质配置模板数据中心防火墙配置交换机配置其他设备门店设备防火墙基础配置：#sysnameSYGM-BH-F3-FW/分部名称-门店名称-楼层-FW#security-zoneintra-zonedefaultpermit#dhcpenabledhcpserverforbidden-ip0/保留IP见地址分配表#vlan1#vlan10#dhcpserverip-poolAPgateway-list26networkmask28/设备管理地址池见地址分配表，不分配DNS#interfaceVlan-interface10ipaddress2628#interfaceGigabitEthernet10portlink-moderouteipaddress19natoutbound3100#interfaceGigabitEthernet11portlink-moderoute#interfaceGigabitEthernet12portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400#interfaceGigabitEthernet13portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400#security-zonenameLocal#security-zonenameTrustimportinterfaceVlan-interface10importinterfaceGigabitEthernet12vlan10importinterfaceGigabitEthernet13vlan10#security-zonenameDMZ#security-zonenameUntrustimportinterfaceGigabitEthernet10importinterfaceGigabitEthernet11#zone-pairsecuritysourceAnydestinationAnypacket-filter3000#iproute-static0/ft口路由iproute-static2/回程路由#aclnumber3000rule0permitip#aclnumber3100rule0denyipsource27destination55/设备管理网段访问数据中心不做natrule10permitip#端口分配防火墙端口分配表端口号用途备注GE00-1(备用)互联网连接互联网GE02-3（备用）上网行为管理连接上网行为管理GE015-16（备用）生产网路由器连接生产路由器要点：端口固定；内网接口使用bridge模式，启用vlan；接口加入vlan；区域间规格改成允许；区域内规则改成允许；AP地址的DHCP；公共部分：#local-useradminpasswordsimplegome0917service-typesshterminalauthorization-attributeuser-rolenetwork-admin#linevty04authentication-modeschemeprotocolinboundssh#sshserverenablesshuseradminservice-typeallauthentication-typepassword#sshserverenable#public-keylocalcreatersay#snmp-agentmunityreadgomerdsnmp-agentmunitywritegomewrsnmp-agentsys-infoversionv2cv3VPN部分：#aclnumber3001descriptionVPNrule0permitipsource27destination55/修改成本地设备管理地址段和NATACL3000对应#ipsectransform-set1espencryption-algorithmdes-cbcespauthentication-algorithmsha1#ikekeychaingomepre-shared-keyaddress55keysimple123456#ikeproposal1#ikeidentityfqdn#ikeprofilevpnkeychaingomeexchange-modeaggressivelocal-identityfqdnsygm-sybhmatchremoteidentityaddress55proposal1#ipsecpolicyvpn1isakmptransform-set1securityacl3001remote-addressike-profilevpn#interfaceGigabitEthernet10ipsecapplypolicyvpnPortal#aclnumber3101rule0permittcpsource55destinationdestination-porteq8080nataddress-group0address2525/26位子网门店使用倒数第2位地址作为地址池，网关地址-125位子网门店使用倒数第2-5位地址作为地址池，interfaceGigabitEthernet10portlink-moderoutetcpmss1400natoutbound3101address-group0交换机公共部分：#local-useradminpasswordsimplegome0917service-typesshterminalauthorization-attributeuser-rolenetwork-admin#linevty04authentication-modeschemeprotocolinboundssh#sshserverenablesshuseradminservice-typeallauthentication-typepassword#sshserverenable#public-keylocalcreatersay#snmp-agentmunityreadgomerdsnmp-agentmunitywritegomewrsnmp-agentsys-infoversionv2cv3汇聚交换机sysnameSYGM-BH-F3-POE1/命名规则分部名称-门店名称-楼层-设备类型及编号#vlan10#vlan100#vlan200#vlan300#vlan400#interfaceVlan-interface10ipaddress28#interfaceGigabitEthernet11portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet12portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet13portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet14portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet15portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet16portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet17portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet18portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet19portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet110portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet111portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet112portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet113portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet114portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet115portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet116portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet117descriptionTO-1楼POE1/TO-对端设备中文（不需要分部及门店信息）portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet118descriptionTO-2楼POE1portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet119descriptionTO-3楼ACportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet120descriptionTO-F3-图商服务器portaccessvlan10undopoeenable#interfaceGigabitEthernet121descriptionTO-F3-缓存带外管理portaccessvlan10undopoeenable#interfaceGigabitEthernet122descriptionTO-F3-流控带外管理portaccessvlan10undopoeenable#interfaceGigabitEthernet123descriptionTO-防火墙（备）portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet124descriptionTO-防火墙（主）portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#iproute-static026/网关指向防火墙地址汇聚交换机接口定义POE01端口分配表(ap从头连，设备从尾连)端口号用途备注GE11AP连接APGE12AP连接APGE13AP连接AP…………连接APGE115AP或交换机连接其他交换机或APGE116AP或交换机连接其他交换机或APGE117POE02连接第一台接入交换机GE118POE03连接第二台交换机GE119AC连接ACG120定位服务器连接定位服务器GE121网康缓存网康缓存带外管理GE122网康流控网康流控带外管理GE123上联接口连接缓存服务器（备）GE124上联接口连接缓存服务器（主）要点：17-24非AP端口关闭poe功能；APtrunkpvid10；连接交换机，ACtrunkaccessvlan10；接入交换机：sysnameSYGM-BH-F3-POE1/命名规则分部名称-门店名称-楼层-设备类型及编号#vlan10#vlan100#vlan200#vlan300#vlan400#interfaceVlan-interface10ipaddress28#interfaceGigabitEthernet11portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet12portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet13portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet14portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet15portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet16portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet17portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet18portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet19portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet110portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet111portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet112portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet113portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet114portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet115portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet116portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400porttrunkpvidvlan10poeenable#interfaceGigabitEthernet117portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet118portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet119portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet120portaccessvlan10undopoeenable#interfaceGigabitEthernet121portaccessvlan10undopoeenable#interfaceGigabitEthernet122portaccessvlan10undopoeenable#interfaceGigabitEthernet123descriptionTO-2POE1（备）portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan400undopoeenable#interfaceGigabitEthernet124