互联网小镇综合平台整体建设方案版 特色小镇综合平台整体建设方案.docx

1、互联网小镇综合平台整体建设方案版 特色小镇综合平台整体建设方案互联网小镇综合平台整体建设方案第一章 什么是互联网小镇一、概念和内含“互联网小镇”在广义上指城镇信息化。即通过建设宽带多媒体信息网络、地理信息系统等基础设施平台，整合城镇信息资源、建立电子政务、电子商务、劳动社会保险等信息化社区，逐步实现城镇国民经济和社会的信息化，共享信息化资源，使城镇在信息化时代的竞争中立于不败之地。城镇、乡村、社区、街道广泛采用“互联网+”信息化解决方案，实现基础设施、政务、民生、产业、安全、教育与互联网的连接及融合，从而全面提升社会治理水平、政务服务能力、居民生活品质，互联网小镇建设将对新型城镇化发展，培育新

2、型产业、产业转型升级起到推动作用。互联网小镇的建设目标是实现公共信息基础设施水平大幅提升，政务管理与民生服务全面互联网化，电子商务与O2O服务快速发展，信息网络安全充分保障，居民互联网文化素质明显进步等。“互联网小镇”是新型城镇化的基本载体、智慧城市典型应用，指城镇、乡村、社区、街道、开发园区、学校等广泛采用“互联网”解决方案，实现基础设施、政务、民生、产业、安全、教育等与互联网的泛在连接与充分融合，全面提升社会治理水平、政务服务能力、经济发展活力、居民生活品质，为大众创业、万众创新提供有力支撑。创建“互联网小镇”是落实国家“互联网”战略的重要举措，是建设智慧城市的重要突破口，将实现公共信息基

3、础设施水平大幅提升、政务管理与民生服务全面互联网化、电子商务与O2O服务快速发展、信息网络安全充分保障、居民互联网文化素质明显进步、互联网小镇特色优势广泛传播的目标。二、创建思路互联网小镇实行创建制，以推进互联网技术与产业融合为目标，打造集产业链、投资链、创新链、人才链、服务链于一体的创业创新生态系统，引领互联网经济快速发展。以特色产业小镇为依托创建“互联网+”小镇（应用型），推进互联网与特色产业深度融合，培育互联网新模式、新应用、新业态，促进特色产业提质增效和转型升级，加快互联网在经济社会广泛应用。互联网小镇将人与人之间的P2P通信扩展到了机器与机器之间的M2M通信；通信网+互联网 物联网构

4、成了智慧城市的基础通信网络；并在通讯网络上迭加城镇信息化应用。第二章 互联网+小镇一期建设思路一、打造统一平台互联网小镇需要打造一个统一平台，设立城镇数据中心，构建三张基础网络，通过分层建设，达到平台能力及应用的可成长、可扩充，创造面向未来的智慧小镇系统框架。平台整体框架平台架构平台核心能力构建统一的互联网小镇平台可以提供综合的应用支撑和管理能力快速的应用提供能力数据统一分析能力统一硬件/存储/安全方案第三方系统集成能力系统资源共享能力系统平滑演进能力平台投资估算预估建设费用*万（二期可根据实际需求进行扩容）二、基础网络建设第1章 项目概述目前在全球提出“智慧地球”的概念，智慧中国、感知中国、

5、物联网等概念也相继提出，所有这些目标的实现都依赖于无线城市的基础建设，无线城市的建设被誉为继“水、电、气、路”之后的第五大城市公共基础设施。根据项目规划可行性方案的研究，建设前期主要针对政府部门若干典型应用，整合各方资源，构建公共基础信息平台，力求在为政府提供服务的同时，通过资源共享，让投资建设单位也能够面向公众获得相当的经济效益，实现真正的共赢模式。该项工作可以先在网络覆盖范围内进行相关业务的试点,将实现市城区政务主要区域、商务重点区域、高新技术产业园区以及人群集聚区域的宽带无线网络全覆盖，优化城市管理，提升政府服务能力，开展包括电子政务、治安监控、消防应急、智能交通、智能家庭、远程医疗、数

6、字城管等各种业务应用，使政府职能部门都能够利用该网络平台为各个部门和广大居民提供安全保障和便民服务，带动相关产业发展，促进产业结构的调整，发展现代服务业。因此，以技术上具有高起点、高标准和前瞻性，在应用上具有包容和普适能力，在保障上具有安全性和可靠性，在服务上具有舒适性和多样性、留有未来发展空间，建设一个先进、时尚、快速反应、安全可靠、服务周到、良性运营的无线城市，为建设“智慧城市”奠定坚实的基础，达到任何人在任何时间、任何地点，都可以实现无线网络接入需求。无线城市，连接你我他，构建和谐社会。提高政府效率、降低行政成本；改进公共服务、加强公共安全；消除数字鸿沟、改善人民生活；优化投资环境、促进

7、经济繁荣。在“互联网+”时代的到来，随着智能手机、iPad、笔记本等智能终端已经普及，移动应用程序、Web2.0、社交网络应用于企业运营的方方面面，无线网络应用越来越频繁。移动互联网和物联网正以前所未有的速度发展，这使得移动数据业务呈爆炸性增长。人们随时随地自由的接入网络已成基本诉求，WLAN无线覆盖，自然也就成为公共服务场所最基本的需求，提供免费的WiFi上网服务已经成为越来越多公共服务场所必须为消费者提供的“标配增值服务”。 在中国市场，WiFi保持了高速增长的势头。目前国内已经具备了发展Wi-Fi的良好基础。首先，WiFi技术在中国已有较广泛的认知度，在企业和热点环境中，Wi-Fi的使用

8、也逐步增加。其次，中国因特网用户数量全球排名第一，据估计，58%的用户都是通过宽带接入因特网，这预示了人们将对WiFi产生浓厚的兴趣和使用的可能。从802.11b的11Mbps，到802.11g的54Mbps，以及802.11n的300Mbps，速度的提升是用户对无线网络的最大渴求。无线组网作为一种成本低，速度快的网络形态已经逐步成为网络组网的主要形式。在未来的技术演进中，更丰富的通信模式、更好的用户体验、更广泛的应用拓展，都是重要的发展方向。为了应对海量流量的挑战，移动网络正向“无容量限制的无线网络”，即所谓的“大管道”方向发展，技术不断取得突破。在面向未来的无线技术演进中，推动用户对于Wi

9、Fi带宽的需求，适应各种应用场景、满足用户体验成为决定因素。随着无线网络应用越来越频繁，以及政府大力推动下，我国各地正蓬勃开展无线城市和智慧城市的建设，未来无线网络取代有线成为连网主流，无线WiFi也最终将会取代有线。建设目标政府无线WIFI网络要实现公益性和开放性，需要一个可持续发展的机制，因此充分调动社会各方积极性，加快建立合理的可持续发展机制，政府对无线WIFI网络应用推动，促进无线网络资源整合和商业市场发展是关键。我们提出的新整合模式是采用“政府引导、企甲方体、社会参与、市场运作” 的建设模式。由政府提出需求和建设规范，同时采用资金补助、奖励等方式在当地以招商引资的方式引进民营资本来进

10、行建设，由企业作为建设的主体，发挥各自优势，共同建设无线WIFI网络。在为居民提供免费无线上网服务的同时，利用信息化手段，在公共无线热点平台上聚合政府、社会、企业等相关信息服务资源，通过商业化运作，实现项目的可持续发展。用开放政府垄断性资源的做法，换取更多的民营资本的投入，最终达到改善公共服务、让利于民的目的，这将是四赢的做法：节省了公共财政实际上就是节省了大量纳税人的钱；让民营资本活跃起来，向民营资本开放更多的政府垄断性资源,是当下我国市场化改革的大方向；百姓得到了实惠；政府提高了威信，服务性政府、为民服务理念得到认可。整体解决方案实施方案互联网小镇采用统一的网络标识，通过该项目的建设实施，

11、公共免费热点将覆盖全镇相应公共场所（行政服务大厅、公园景点、重要街道）热点覆盖，完成公共场所无线网络覆盖，实现全镇街道无线网络全覆盖。为居民的购物、出行、学习、教育、保健等提供便利，为企业的宣传、营销、管理提供服务，为政府的政务公开、公共服务和城市管理提供支撑，使城市在免费无线热点建设特别是商业模式探索方面达到国内领先水平。随着全镇无线城市AP数量的增加，将大大的改善居民的接入体验。全镇无线热点的无缝漫游将让居民真正能享受到无线城市带来的便捷与实用！技术方案 针对本项目的具体情况，同时根据当地政府的建设需求和我们以往项目实施的经验，我们设计了一套适应当前需要和兼顾对未来业务扩展进行有效支持的系

12、统架构解决方案。方案设计原则 我们以系统的先进性、安全性、经济性、适用性、可扩展性、易维护性、稳定性、全面解决等为设计原则。把系统建设成先进、安全、经济、适用、可扩展、易维护、稳定的网络基础管理和运营平台。为了实现上述功能，系统需要一定的网络硬件体系和软件的升级去支撑，这就是我们建设统一认证平台的技术框架，通过该技术架构实现未来一段时间的技术领先和稳定运行。系统的开放性和规范性 即整个系统依照标准的协议开发，使用稳定可靠的系统软件功能。对其他系统可以有良好的输出接口和输入接口。系统的高性能与大容量 在保证系统功能充分实现的前提下，尽可能占用少量资源和网络带宽，为各个层次的用户提供良好的服务。系

13、统的安全性和全面性 系统的数据经过严格的加密过程，整个系统采用自主研发的协议栈进行数据捕获和分析，内置了很多对于攻击的防御能力，同时各个业务系统均基于优化的专用操作系统。方便性和简洁性 设备只需要安装在互联网网络出口处，增加了系统安装的简洁性和维护的方便性，无论网络环境内的上网终端机器怎么动态变化，整个系统都不需要做结构的调整。总体网络设计整体网络架构网络架构整体分为互联网接入区、管理区、业务接入区和存储区，其中互联网接入区：该区域用于流量至互联网的转发；管理区：该区域用于网络环境及网络设备的管理、监控、维护；业务接入区：该区域用于处理用户的认证业务，Portal推送业务，网管映射生成日志业务

14、；存储区：该区域用户数据的存储，用户的审计、认证、数据分析等；用户通过部署在前端的AP，经本地网络中的交换机、路由器、防火墙等进入公网，最终到达处于IDC业务区的认证系统进行认证，并通过处于业务区的Portal系统、短信网关向用户推送消息。采用云AC的部署方式对AP实现远程管控。可以通过处于管理区的Web端对全网AP、推送内容、认证方式等进行管控。沉淀的用户信息数据、上网审计数据等放于存储区域，并一概实行主备冗余，并设定数据恢复机制，有效保证数据安全，并且保证存储时间不低于180天。互联网小镇WLAN方案设计 由于互联网小傎公共无线WIFI今后整体上网的流量情况，我们建议针对该种情况，我们推出

15、了云集中管理平台+接入服务器+瘦AP终端+强业务平台的分布式加集中式管理相结合的平台方案。 在设计方案的时候，我们主要关注的重点和难点在于实现一个现实的、方便的，相对成本可控的冗余解决方案，我们把冗余解决方案的重点放在3个方面：众多设备的可管理性 我们采用云集中管理平台，在单一平台上可实现10万级别AP以及网关设备的配置和状态管理、短信认证、千万级别身份信息管理；安全、分布式的网关功能 通过我们强大的接入服务器能实现定制化的Patrol认证、DHCP地址分配、地址转换、流量控制、安全防护等功能；强大的业务系统 包括精准广告、智能内容分发、本地生活运营平台及大数据分析系统组成；简单配置众多室内室

16、外瘦AP组成的无线接入点做到零配置，稳定运行。方案的特点高性能：系统可支持10万AP管理、百万人员并发在线、上千万账户认证管理能力；低成本：集中式加分布式的组合架构以较低的成本实现了很强的冗余性、稳定性和可靠性；全功能：云集中平台可以实现账户的统一认证、所有设备的集中配置和状态管理；不同型号的网关设备可以支持从千兆至万兆的网络，对网络的故障点的范围大大缩小；强业务系统直接与分布式安装的网关设备通信，降低瓶颈。重安全：在数据加密和安全防护部分具备很高的安全性，同时又能满足国家对上网场所的监管要求；部署方案 考虑网络冗余架构的设计理念，实现设备间故障的平滑迁移，确保网络系统的持续稳定、可靠运行，在

17、管理中心平台我们采用管理中心、数据中心、查询中心分离的组建模式，每个中心各自组成一个服务器集群，可根据流量的增长不断的堆叠。系统架构平台统一认证管理平台 管理中心具有大容量、高可靠性的特点，是为在海量的网络数据快速得到所需要的数据，可以做到信息的精确定位和快速处置。同时对所管辖的统一接入服务器进行管理，查看其连接情况和工作状态，并记录其连接到管理中心的日志。前端统一接入服务器和管理中心的连接，互相之间的传送的数据是加密的。统一认证管理平台的具体功能如下：统一认证、云认证（即对注册认证的用户进行手机号与MAC地址的绑定，当该用户再次登录的时候，直接可登录，无须进行二次认证)、下属统一接入服务器的

18、集中管理。统一接入平台 统一接入平台具有高性能、业务类型丰富等特点，具有丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、安全机制、快速漫游、带宽分配、流量管理、服务限制、等多功能于一体，提供强大的WLAN 接入控制功能。 提供定制化的Portal页面与欢迎页面的定制功能，可以灵活自定义页面的格式，风格，Java Script脚本与广告。DHCP地址分配、地址转换、安全防护、智能负载均衡等功能； 支持高密度用户接入，需要支持以下技术来满足高密度用户接入情况下业务的稳定与连续性。在大型会议场所，展览场所等市域，能10000个智能终端以上接入的能力。具体功能包括： 互联网实时状态:可以有效

19、了解互联网的使用实时状态，各种服务、链路、用户的实时流量，即时发现网络的问题；风险评估:通过NAT识别，对于立即发现的问题，比如个别人的流量比较大等，你可以立即锁定5分钟或者更长的时间等。 互联网流量管理:可以对部门、人员、权限组、ip地址段、网站、服务等多种元素限制上下行流量，支持共享通道和独享通道。 互联网网速优化:可以对P2P、视频限制或者人员限制一定带宽，优化互联网使用体验，保证关键应用网络访问的要求。 互联网接入权限管理：可以对人员、部门、策略组、服务、网站、时间段等元素组合建立立体化的规则，允许、拒绝互联网使用。 网络接入功能：内置了多出口NAT功能，可以做到多出口的链路负载均衡，

20、提供出口代理功能。支持多路PPOE拨号，本身内置了SSLvpn，支持远程移动连接。 网络基础管理功能：包括ip/mac的绑定、上网时间和总流量的管理等。 互联网使用报告和分析：提供了强大的分析报告功能，包括主线报告、趋势报告等，有效了解互联网使用。AC控制器 可实现无线用户和瘦AP 的集中管理。同时还能具有领先的射频控制、安全控制、负载均衡、漫游与切换等功能，提供从100M 到1G 的多种速率接入端口，可以与原有网络有效融合。射频控制、频谱管理、支持频谱分析能力，可视化各类无线干扰，通过热点视图等检测各类对频段的干扰。 可以设置自动保护SSID或者终端策略，自动压制非法 AP,如：设置了同样S

21、SID的欺诈AP。三层上可以提供智能黑名单功能，即可以针对以发现的网络攻击进行自动黑名单匹配，保护整个网络不受蠕虫类病毒攻击，能够自动切断感染蠕虫病毒客户端的无线连接。可以防御ARP等类似攻击，如ARP非法代理，DOS攻击，IP地址欺骗等。瘦AP 提供大覆盖范围和超强的信号穿透力，具有丰富的射频控制、移动访问、网络安全、多业务支持等功能，可同时提供多种接入模式（b/g/n）。根据不同的应用场景，可灵活选择FIT 或FAT 工作模式，进行独立组网或配合无线AC控制器提供基于零配置的高性能无线移动网络。自适应环境的信道/功率选择，可降低WIFI的频率干扰。强业务平台 平台是一个智慧、高效的综合信息

22、发布平台，能实现精准广告发布、智能应用分发、本地生活运营平台、大数据挖掘分析。平台对所有记录的数据进行统一的挖掘和分析和处理。通过建立运算模型，生成各类兴趣标签及人群标签，为每一个平台用户建立用户画像，从而形成专属精准的人群细分库。平台再根据不同的信息内容为用户和广告主提供多种不同应用层面和级别的定向功能，通过高度智能的信息匹配和撮合算法对目标用户准确定向，还可同时使用一个或者多个定向交集标签来锁定最精准的受众，然后再通过多维度的定向方式，将信息内容定向的发送给目标受众。定向可分为基础定向、专业定向和深度定向。其中基础定向又包括：地域定向、时间定向、人群定向、频次定向。专业定向又包括：场景定向

23、和语言定向。深度定向又包括内容定向、搜索定向、重定向。 最终实现向用户投放相应的符合其需求的信息内容，真正做到信息的精准匹配和投放。安全审计系统 互联网行为审计提供了强大的互联网审计功能，提供了对各种数据包括连接、服务、邮件、表单、web邮件、即时消息、文件收发、网站、微博、贴吧、虚拟身份等多种信息的记录。同时还提供了强大的数据管理、存储和搜索功能。 符合公安部第82号令对上网内容的安全审计、日志留存的要求，同时能够与公安网监部门的管理平台进行数据对接。能对用户上网信息做日志留存便于在发生问题的时候帮助公安部门追根溯源、敏感信息的管理控制。无线局域网2.3.2.7.1AP部署方案 根据场景周围

24、环境不同，选用不同的覆盖方式。重点保证人流密集区域全覆盖。 AP部署位置选择沿街街道传输位置侧灯杆，减少破路面积，同时确保AP天线3米内没有障碍物遮挡。采用120度定向覆盖。如广场场景可采用360度全向覆盖。AP供电方式采用POE供电，即室外基站AP通过超五类或六类网线，连接POE供电模块，供电模块接入220V市电。网线长度不应超过70米。2.3.2.7.2网络组网图2.3.2.7.3无线网络功能设计协议栈加速 针对无线网络的丢包、延迟特性，开启特有的协议栈加速技术，通过改变无线网络的传输机制来提高网络传输速度。通过实际测试，开启特有的协议栈加速技术后网络速度至少能提高2倍以上。终端识别与流量

25、控制当前接入终端多种多样，MagicFlow无线系列产品自动识别终端类型，根据终端类型设置相应的流量控制策略。大部分用户使用手机和pad上网冲浪。对于手机和pad终端，我们对其进行带宽保障，从而保障用户通过手机和pad的上网体验。应用识别和流量控制 针对流量复杂难以管控的情况，MagicFlow有线无线一体化防火墙网关内置业界最全面的应用识别库和URL库，能自动识别无线流量类型，根据终端类型设置相应的流量控制策略。对于高耗流量的视频、风行、迅雷、电驴等P2P下载，我们可以进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障正常的上网体验。针对高密网络优化 针对无线传输中拉低网络速度的相关机制

26、进行了相应的优化，使无线网络传输速度得道进一步的提升。 广播优化：针对广播包发送机制优化，减少广播报浪费过多资源。 ARP转单播：通过对ARP发送机制的优化提升ARP效率。 禁止DHCP包发往无线终端功能：通过对DHCP发送机制的优化提升DHCP效率。 自动广播提速：将广播包原有的发送速度提高，加快广播包的传输效率。 接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。 平均带宽分配：支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。 智能负载均衡对于一些无线用户密集的区域，结合AC无线控制器，可智能实时的根据用户数和流量调整分配到不同的接

27、入点，平衡负载压力，极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载，提升无线接入质量。快速L2/L3漫游 用户在不同子网间漫游时，传统AP方案无法有效保证跨三层的漫游。无线解决方案满足优秀的L3漫游特性，用户漫游不受子网限制，保证用户在不同区域间移动而业务不中断。干扰自动检测，射频自动优化，故障自动业务切换，安全自动防护可以自动识别终端接入类型，自动检测干扰和故障环境，进行射频功率、信道等参数的自动调整，自动检测非法钓鱼AP，自动识别攻击并进行防护。AP间负载均衡，用户数量均衡化接入，保障用户的接入；产品自动检测干扰与故障，自动调整产品功率和信道，保障信号覆盖范围；

28、自动检测非法钓鱼AP，自动进行WIPS防护，保障用户的信息安全；2.3.2.7.4无线网络安全性设计网络安全我们提供的无线AP、无线AC控制器、MagicFlow有线无线一体化防火墙网关设备，二层上可以支持无线入侵检测，可以检测多种无线入侵。支持频谱分析能力，可视化各类无线干扰，通过热点试图等检测各类对频段的干扰。可以设置自动保护SSID或者终端策略，自动压制非法AP。三层以上可以提供智能黑名单功能，可以针对以发现的网络攻击进行自动、黑名单匹配，保护整个网络不受蠕虫类病毒的攻击，能够自动切断感染蠕虫病毒用户端的无线连接。可以防御ARP等类似攻击、如ARP欺骗、DOS攻击、IP地址欺骗等。信息安

29、全我们提供的MagicFlow有线无线一体化防火墙网关设备，完全满足国家公安部82号令的上网行为审计的要求，所有网关设备均支持历史信息追踪、日志留存、非法信息过滤等功能。提供全面的应用、URL识别，禁止访问非法网络。全面的应用、URL识别，涵盖目前主流网络应用和URL，识别率高，可精确控制用户上网行为，防止访问非法网络，提高网络安全性，规避法律风险。采用云AC+网关设备+远程AP的安全结构，回传链路采用加密协议的专用通道。同时MagicFlow有线无线一体化网关设备具有防火墙功能软件刀片来保护整个系统的安全性。技术保障接入认证方案设计对于无线上网接入，建议使用Portal认证。未认证用户接入W

30、LAN后上网时，打开浏览器，Portal服务器将强制用户登录到设定的登录界面，提示用户输入用户名和密码，只有认证通过后才可以使用互联网资源。用户无线接入的密码可以预先生成并通知用户，也可以通过短信的方式发送到用户手机。安全策略方案设计 针对无线城市的商业区域商家的无线收银网络隐藏SSID，不主动广播SSID信息，终端采取主动寻找方式进行接入，可以防范外来用户使其无法搜索到该SSID的信号，保障无线收银网络的安全。 对于无线上网的SSID采用用户隔离功能，接入同一SSID的用户之间二层隔离，保障二层安全，避免ARP攻击、DHCPDOS攻击、广播风暴等二层攻击行为。 针对办公网络、用户无线上网采用

31、不同SSID并划分不同VLAN，实现不同类型用户数据之间的隔离。 作为人流量密集的公共场所，如有不法分子在附近放出钓鱼AP的信号，从而获取个人信息甚至是网银信息，对用户带来不安全的因素，所以无线网络需对钓鱼AP 的检测与反制，AP检测无线网络中是否存在钓鱼AP，并对钓鱼AP进行反制。多重保障由于MagicFlow有线无线一体化防火墙网关会承担部分AC的工作及认证功能，因此即使当AC和AP之间通信中断，网关会接管部分AC的工作，也不会影响整体用户的使用，能保持原有用户业务不中断，同时保证新用户的正常接入。AC恢复后可以自动转换为AC控制状态，用户无感知。云AC的1+1备份方案双AC同时与AP建立隧道，当主AC DOWN掉后，备份AC可以在毫秒级（例如100ms）内完成检测，并完成AP的主备倒换。网络中的AP通过CAPWAP协议与两台AC关联。AP从主用AC上获得所有的服务，Slave AC不提供服务，只负责发送Master AC down的信息。对端AC故障事件发生后，Slave AC会转变为Master AC，同时AP转到新Master AC上获得服务。为防止恶意AP进行“钓鱼”和操作，我们配备单独的AP专门用于实时扫描无线信道中的恶意AP并实施反制、有效切断其无线服务。2.3.2.7.5网络架构系统介绍无线AP接入点设备