1.1 系統(tǒng)概述

1．信息系統(tǒng)采用10GPON全光網(wǎng)網(wǎng)絡架構(gòu)，智能專網(wǎng)、WiFi網(wǎng)、物業(yè)辦公網(wǎng)共用核心交換機，邏輯隔離，一網(wǎng)承載，簡化結(jié)構(gòu)，網(wǎng)絡均通過10GPON光網(wǎng)絡傳輸。

2．信息網(wǎng)絡系統(tǒng)主要由防火墻、路由器、核心交換機、OLT、ODN、ONU、網(wǎng)絡管理系統(tǒng)等組成。系統(tǒng)采用核心交換機 OLT ODN ONU的光網(wǎng)絡結(jié)構(gòu)，核心交換機和OLT均為一用一備的冗余架構(gòu)，雙核心雙鏈路，系統(tǒng)設(shè)置兩臺防火墻，作為安全網(wǎng)關(guān)設(shè)備，實現(xiàn)內(nèi)外網(wǎng)地址的轉(zhuǎn)換、邊界防護，防病毒，IPS等功能。核心網(wǎng)絡設(shè)備設(shè)于地下一層網(wǎng)絡機房。

3．10GPON網(wǎng)絡采用一級分光的形式組網(wǎng)，OLT的每個GPON口上行10G、下行10G，采用2:8分光進行光傳輸，樓層弱電井根據(jù)不同應用設(shè)置ONU、帶POE的ONU。

1.2 系統(tǒng)技術(shù)要求

1.2.1全光網(wǎng)系統(tǒng)架構(gòu)

1.2.2智能專網(wǎng)

智能專網(wǎng)：為信息發(fā)布、監(jiān)控、門禁、建筑設(shè)備監(jiān)控、智能抄表等智能化系統(tǒng)提供網(wǎng)絡接入；各設(shè)備數(shù)據(jù)點及其它信息系統(tǒng)的工作站通過分布在各個樓層的接入ONU以百/千兆連接到網(wǎng)絡系統(tǒng)。

1.2.3無線專網(wǎng)

無線專網(wǎng)：為項目公共區(qū)域提供無線通信接入服務，AP通過綜合布線系統(tǒng)與各個樓層配線間內(nèi)的ONU連接；無線網(wǎng)絡設(shè)雙SSID，滿足顧客和辦公管理提供獨立隔離網(wǎng)絡；并采用雙頻802.11ac標準的AP，采用UPS集中供電；通過FIT模式實現(xiàn)AP集中管理。無線wifi覆蓋系統(tǒng)需滿足智慧商業(yè)業(yè)務需求，如：數(shù)據(jù)挖掘、商業(yè)導購、信息推送等商業(yè)擴展功能。所有接入用戶必須通過portal認證服務器認證，支持上網(wǎng)行為審計功能 支持短信/微信認證。覆蓋范圍為商業(yè)精裝區(qū)域及車庫全覆蓋；園區(qū)公共區(qū)域全覆蓋；地下停車場收費點、服務點重點覆蓋；洗手間電梯廳覆蓋；設(shè)備房區(qū)域覆蓋。

1、終端身份認證

為了實現(xiàn)上述安全要求，無線控制器需要從以下幾個方面對接入的無線終端和用戶進行控制。

? 流量加密

對于零售業(yè)務網(wǎng)絡，采用WPA2-AES方式對業(yè)務流量進行加密。WAP2-AES采用逐包密鑰算法，具有業(yè)界最高的加密強度，能夠有效防范針對無線網(wǎng)絡的數(shù)據(jù)包偵聽、截獲和篡改，可以實現(xiàn)端到端的加密安全特性。

? 策略控制

針對不同用途的零售業(yè)務終端，控制器采用基于角色的策略控制技術(shù)，通過身份認證過程實現(xiàn)終端角色和策略的動態(tài)分配，并且對終端的網(wǎng)絡訪問行為進行實時監(jiān)控，一旦發(fā)現(xiàn)零售業(yè)務終端存在異常的網(wǎng)絡訪問行為，則立即從無線網(wǎng)絡上將該終端進行隔離，以確保零售業(yè)務網(wǎng)絡的安全。

2、無線信號定義

無線控制器上將配置一個隱藏的無線信號，用于零售業(yè)務網(wǎng)絡服務：

3、顧客上網(wǎng)服務

在商場區(qū)域部署顧客上網(wǎng)服務，主要是通過為商場顧客提供高質(zhì)量的無線寬帶接入服務，改善商場對顧客的服務水平，通過免費提供無線上網(wǎng)，可以吸引更多的客戶光臨零售商場，同時吸引客戶在商場內(nèi)停留更多的時間，從而增加零售商場的人氣，并為商場內(nèi)各家店鋪帶來更多的銷售機會。

此外，在提供寬帶接入服務的同時，商場還可以通過Web自助注冊頁面和用戶登錄頁面向顧客有所選擇地推送服務調(diào)查問卷和產(chǎn)品分類廣告等內(nèi)容，從而使商場能夠及時獲得顧客的年齡、性別、興趣愛好等相關(guān)信息，有利于實現(xiàn)個性化營銷服務。

4、網(wǎng)絡集中管理

? 上網(wǎng)時段控制

可以自主設(shè)定WiFi的開放時間，防止非營業(yè)時段被蹭網(wǎng)。

? 上網(wǎng)行為審計

過濾敏感內(nèi)容，符合網(wǎng)監(jiān)部門要求。

? 過濾不良網(wǎng)站

系統(tǒng)內(nèi)置URL過濾，可手動設(shè)置需要屏蔽的網(wǎng)站。

? 流量管理

認證網(wǎng)關(guān)可執(zhí)行各類流控策略，實現(xiàn)高效精確的流量控制和上網(wǎng)應用控制，避免有人大量下載導致帶寬被占用。這些策略可通過數(shù)據(jù)集中管理平臺集中可以下發(fā)。

? 黑白名單管理

支持基于手機號碼和MAC地址的終端用戶黑名單功能，可實現(xiàn)限制特定用戶通過WIFI上網(wǎng)。在平臺上配置黑名單后下發(fā)至認證網(wǎng)關(guān)。

? 無線攻擊防范

防止私設(shè)非法AP，影響用戶使用。

? 信息統(tǒng)計

手機號碼定位用戶：以手機號標識用戶，對用戶的定位更加精確；

虛擬身份：將用戶的虛擬賬號（如郵件賬號、QQ號碼、論壇賬號等等）和真實身份的對應。

敏感信息：封堵違法訪問和過濾有害信息，對敏感信息記錄、上傳以備查詢。

? 設(shè)備管理

通過數(shù)據(jù)集中管理平臺，可對認證網(wǎng)關(guān)的運行狀態(tài)和關(guān)鍵參數(shù)實時進行監(jiān)控。

5、上網(wǎng)行為管理

? 支持應用控制。

? 支持寬帶平均分配。

? 支持VLAN劃分及策略管理。

? 支持上網(wǎng)流量管理（如：上下行流量管理、線路繁忙保護、單IP最大上下行帶寬自定義、應用帶寬自定義及防終端共享接入管理等）

A. 對用戶上網(wǎng)行為進一步分析，收集信息、上網(wǎng)喜好、用戶標簽、軌跡分析、來訪偏好、上網(wǎng)高峰時段、Wi-Fi使用時長分布、顧客歸屬地域分布、性別比例、終端類型分布、來訪頻次分布、駐留時間分布等多種數(shù)據(jù)，進行針對于顧客群體或顧客個體生成畫像，可以根據(jù)不同類型顧客進行針對性營銷推送，并且根據(jù)用戶需求調(diào)整運營戰(zhàn)略。

B. 控制器或行為管理設(shè)備與網(wǎng)監(jiān)部門對接，記錄并留存用戶賬號、登錄和退出時間、訪問的互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護日志的技術(shù)措施；監(jiān)測、記錄網(wǎng)絡安全事件等安全審計?？梢杂涗浻脩舻木W(wǎng)頁訪問行為、網(wǎng)絡發(fā)帖、郵件Email、IM聊天行為、文件傳輸、游戲行為、炒股行為、在線影音、P2P下載等行為，滿足法規(guī)要求。

C. 保障用戶網(wǎng)絡使用的安全十分必要，要求對釣魚WiFi進行監(jiān)測并支持對非法信號實現(xiàn)反制，保障用戶的無線上完安全，不會因連接WiFi而造成賬號密碼被盜等后果。

D. 無線網(wǎng)絡支持應用緩存。眾多用戶在連接WiFi上網(wǎng)時必然會下載各類應用，大量顧客使用網(wǎng)絡下載應用時會對出口帶寬造成巨大壓力，如果對網(wǎng)絡進行限速，則會直接導致用戶體驗變差，如果通過應用緩存技術(shù)將用戶經(jīng)常下載的應用緩存在本地，大量用戶在更新應用時，都是從本地進行下載，不僅加快了應用下載的速度，同時也進一步降低了出口帶寬的壓力。

6、多平臺應用

? Portal廣告

通過平臺系統(tǒng)和廣告發(fā)布、問卷調(diào)查的互動，不僅僅可以推廣想要推廣產(chǎn)品的宣傳，還可了解用戶的反饋，達到精確化、針對性效果的作用和體驗。

? 信息推送

信息推送功能包括廣告、短信推送等等?？梢栽O(shè)定相關(guān)內(nèi)容，并推送給用戶的智能終端或其他設(shè)備上。而這一切，無需在用戶終端上安裝軟件或插件即能實現(xiàn)。

? 用戶體驗

短信認證

用戶連入無線網(wǎng)絡，打開網(wǎng)頁后系統(tǒng)自動跳轉(zhuǎn)至認證界面，要求用戶以手機號作為登陸憑證，用戶只需輸入手機號，隨機驗證碼以及動態(tài)密碼即可完成身份認證，系統(tǒng)自動記錄用戶訪問所使用的手機號。

此外當顧客進入WLAN覆蓋區(qū)域，可以在認證頁面，把商場會員信息，通過系統(tǒng)向VIP用戶發(fā)送短信歡迎語，提示用戶進入無線網(wǎng)絡以及各種優(yōu)惠活動等。

微信認證，與短信認證實現(xiàn)同步認證。

? 跨店漫游

支持集中管理平臺下所有接入點的無線漫游，首次通過認證后，在有效期內(nèi)同一臺設(shè)備再次上網(wǎng)無需再次認證自動連接，支持跨城市跨區(qū)域漫游。

如果有A和B兩家店安裝了WIFI，只要在A或B中的任何一家通過短信認證，去另一家可以無需再次短信認證。

1.2.4物業(yè)辦公網(wǎng)

物業(yè)管理網(wǎng)：為物業(yè)管理的信息化設(shè)備提供網(wǎng)絡接入；工作區(qū)信息點通過綜合布線系統(tǒng)與各個樓層配線間內(nèi)的ONU連接。