郴州移动五岭广场WIFI解决方案-v1-0-FB

湖南郴州移动
五岭广场WIFI解决方案*********************
项目与技术支持部
目录
第一章概述 (1)
第二章解决方案 (2)
2.1网络拓扑图 (2)
2.2无线环境扫描 (3)
2.3现场解决方案 (4)
2.4安装及规划信息 (5)
2.5链路传输质量 (5)
第三章覆盖区域场强测试 (6)
3.1打点采样AP列表 (7)
3.2整体覆盖效果图 (7)
3.3SSID:U TEST (信道:09)--关键AP (9)
3.4SSID:U TEST (信道:03) (10)
第四章关键点位测试 (11)
4.1测试点 (11)
4.2测试方法 (11)
4.3各测试点数据 (13)
第五章解决方案总结 (26)
第六章智能WIFI相关技术 (28)
6.1无线网络方案设计的原则 (28)
6.2WLAN覆盖场景 (28)
6.3“胖”“瘦”AP转换 (30)
6.4接口 (31)
6.5带宽需求 (31)
6.6网管 (32)
6.7安全方案 (32)
6.8IP地址规划，SSID,VLAN划分等 (36)
6.9UT STARCOM 技术特点 (36)
第七章UTSTARCOM产品描述 (38)
7.1UAP1200产品介绍 (38)
7.2UAC8000-30产品介绍 (44)
第一章概述
五岭广场位于郴州市城南新区，被誉为湘南的“大客厅”，同时它也是湘南地区最大的城市广场，南接日月路、西靠燕泉南路、北临五岭路、东为五岭大道，五岭广场现分为：地面广场、地下购物广场、广场地下人防。

五岭广场的修建也让郴州城南地区迅速发展起来，现在是城南地区最繁华的商业中心，离武广高铁郴州西站也只有半个小时不到的时间，去往市中心城区的公交也遍布广场各个方向，交通十分便利发达，成为郴州市城市的一个新的风景线。

五岭广场占地13.69 万平方米，由市国土局以聚资8000万元建成。

整个广场由方形主广场和三角形次广场构成，其布局为规划式对称构图，主广场外方内圆。

广场分中心集会、休憩集散、历史文化、群众艺术、购物休闲和园林绿化6个功能区。

中心集会区为下沉式圆形放射广场，可容万人集会，凸起的核心圆取日月之形，日形舞台由9级弧形台阶而上，月形水池为5组喷泉，喷出水幕作舞台背景，弧形花岗岩护栏相隔，护柱为月季花蕾造型，中间栏板刻有郴阳古八景浮雕。

休息集散区由主、次入口与西、北角的小广场组成。

园林绿化区由6块扇形草地与4块绿地组成，绿地内乔灌木高低错落，形成春看红继木、夏观花石榴、秋闻桂花香、冬咏梅花雪的独特景观，是市民娱乐休闲、购物赏景、闲情逸致的好去处。

图 1 湖南郴州五岭广场平面图
第二章解决方案
UT斯达康智能WIFI室外解决方案组网灵活，AP可以采用以下三种方式组网：
一、有线接入方式组网：通过传统的ONU或交换机UNI口接入；
二、无线接入方式组网：
➢通过无线网桥接入组网（可实现星型和树型连接）；
➢通过MESH接入方式组网（可实现星型和树型连接）；
三、混合接入方式组网：同时采用有线和无线接入方式，可以实现从有线---无线---有
线接入。

2.1 网络拓扑图
本次无线WIFI网络一个AP采用直接通过LAN接交换机接入有线侧，另一个AP采用MESH无线回程两种方式混合组网模式，既解决了移动公司目前传输资源问题，又很好的解决了五岭广场及周边WIFI信号的覆盖问题，具体拓扑见图2:
图 2 混合组网拓扑图
2.2 无线环境扫描
图 3 现场无线环境扫描
通过WirelessMon软件对广场及周边进行频点扫描，发现广场周边共有各种类型AP共920个，WIFI使用频段内各频点干扰相当严重。

如果部署普通类型的AP，即使信号强度很好，但下载速率根本无法保证，往往会造成能够收到信号但无法连接上网的情况。

并且，由于普通类型的AP覆盖如五岭广场面积大小的区域，由于水平覆盖角度的限制（60度），必须部署2台以上的设备，这对于在五岭广场安装要隐蔽不能影响市容（五岭广场也是市政府所在地）提出了相当严峻的挑战。

本方案将使用UTstarcom公司自主研发生产的智能UAP1200-20型AP，采用智能天线技术，水平覆盖角度高达普通类型AP的2倍（可达120度），有效覆盖面积是其3-4倍，接入用户容量更大，并且体积和重量只有普通类型AP的1/3（类似路灯大小），可以在部署一台设备的前提下
保证覆盖广场的全部。

本次测试同时进行了Mesh方案的部署，在为用户提供更加灵活的部署方案同时，亦可以为大量用户提供高速数据业务的服务。

2.3 现场解决方案
根据现场勘测情况，要完成对整个五岭广场以及周边银行、证券公司、市政府大楼、电信大楼、天一名邸酒店、雄森酒店、KFC等区域的覆盖，需要在华天酒店和大江南楼顶各安装一台UAP1200-20智能120度定向AP。

华天酒店内有移动的传输资源，但大江南内没有移动的传输资源，现场决定采用在华天酒店智能AP上开启MESH功能，作为根节点，大江南智能AP采用MESH子节点，安装及AC配置情况如下：
●华天楼顶AP：一台UAP1200-20（内置2.4G智能天线、配置外接5.8G天线用于Mesh回
传。

此接有线网络，作为Mesh根节点）；
●大江南楼顶AP：一台UAP1200-20（内置2.4G智能天线、配置外接5.8G天线用于Mesh
回传。

此AP没有有线网络，作为Mesh子节点）；
●AC（移动大楼机房）：部署一台UAC8000-30，用于统一管理MESH AP，做到零配置不
部署，统一管理维护）；
图 4 安装图2.4 安装及规划信息
各设备规划及安装信息如下：
序号MAC地址安装位置设备名称设备型号IP规划
管理
VLAN
业务
VLAN
1 50:a7:33:0c:5c:3c 移动大楼机房AC UAC8000-30 10.162.1.60 95 3008
2 74:91:1a:12:2c:79 华天酒店楼顶智能AP UAP1200-20 10.162.1.59 95 3008
3 74:91:1a:11:10:69 大江南酒店楼顶智能AP UAP1200-20 10.162.1.58 95 3008
2.5 Mesh无线链路传输质量
为了保证大量用户同时通过AP实现高速数据业务，必须保证各链路传输通畅，链路检查情况如下：
图 5 AC配置图
从上图可以看出，华天酒店楼顶AP作为MSEH根节点，大江南酒店AP作为子节点。

图 6 各链路速率
从上图，我们可以看出：从10.162.1.58（大江南酒店AP）到10.162.1.59（华天酒店AP）之间的Mesh无线链路下行链路传输速率为182Mbps，上行链路为192Mbps,传输误码率为0%，MESH之间传输速率较好。

第三章覆盖区域场强测试安装完成后，我们采用郴州移动推荐的标准测试工具---图智通讯场强打点测试设备进行了测试，测试情况如下：
3.1 打点采样AP列表
信道MAC地址SSID
CH:0974:91:1A:11:10:69Utest -- (关键AP)
CH:0374:91:1A:12:2C:79Utest
3.2 整体覆盖效果图
图 7 整体覆盖效果图
从上图可以看出，2个AP很好的完成了对整个五岭广场及周边区域的覆盖，达到了预期覆盖的效果。

附：只部署一台AP（仅在华天楼顶部署一台AP）时的广场覆盖和打点测试图。

从图中我们可以清楚地了解到，采用UAP1200-20设备，可以在部署一台设备的前提下保证覆盖广场的全部，并能提供有效用户接入。

3.3 SSID:Utest (信道:09) -- 关键AP
MAC地址:74:91:1A:11:10:69
加密方式:None
调制方式:Acess Point
网络类型: 2.4-GHz OFDM
支持速率:1/2/5.5/6/9/11/12/18/24/36/48/54 (Mbits/s)
图 8 大江南AP覆盖测试
从上图可以看出，大江南楼顶AP在整个五岭广场以及东面和南面区域覆盖良好，95%的区域信号强度在-70dBm以上，80%的区域信号强度可在-60dBm以上。

注明：测试当天，天气情况不是很好，大雨。

如排除天气情况造成的损失，信号效果还能有一定提升。

SSID:Utest (信道:03)
MAC地址:74:91:1A:12:2C:79
加密方式:None
调制方式:Acess Point
网络类型: 2.4-GHz OFDM
支持速率:1/2/5.5/6/9/11/12/18/24/36/48/54 (Mbits/s)
图 9 华天酒店AP覆盖测试
从上图可以看出，华天酒店楼顶AP在整个五岭广场以及西面和南面区域覆盖良好，，95%的区域信号强度在-70dBm以上，80%的区域信号强度可在-60dBm以上。

注明：测试当天，天气情况不是很好，大雨。

如排除天气情况造成的损失，信号效果还能有一定提升。

第四章关键点位测试
4.1 测试点
经过与移动公司技术人员沟通，我们在五岭广场及周边区域选择了12个具有代表性的关键点位，具体测试点如图16所示：
图 10 测试点位
4.2 测试方法
我们采用Chariot网络性能测量工具，通过模拟的真实数据流来对网络端点之间的网络性能如吞吐量，带宽等。

其工作原理如下：
图 11 测试示意图
1.控制台发送配置到端点1；
2.每个脚本都包括两部分，端点1把配置脚本当中与自己相关部分留下，把与
Endpoint2相关部分传送给Endpoint2；
3.Endpoint2确认给Endpoint1回复；
4.Endpoint1把结果反馈给console，Console确认之后可以开始运行测试。

我们将Console与其中一个端点Endpoint1是安装在同一台PC上的，现场进行吞吐量测试网络连接图如下：
图 12 网络连接图
网络设置：
1、Console与Endpoint1用同一台电脑，IP地址设置为192.168.10.2；
2、H3C交换机1、8口设置成VLAN 3008 tagged（3008为AP的业务VLAN）模式，1口
接电脑，8口接POE供电模块的输入端；
3、测试电脑Endpoint2的IP地址设置成192.168.10.2；
4、两台电脑可以互相PING同后即可运行Chariot工具测试，我们在大江南楼顶设置
的是10个测试进程，其它点设置的是5个测试进程。

5、用Chariot工具下载的同时，用DU Meter工具记录下载过程中的最高速率。

4.3 各测试点数据
4.3.1 大江南酒店楼顶
图 13 大江南楼顶场强
图 14 大江南楼顶下载
从上图可以看出，在AP后方10米处的场强为-50dBm,通过Chariot 10个进程下载的平均速率在90.227Mbps，由于接入部分使用的是百兆口交换机，交换机端口受限，AP理论下载速率为300Mbps。

4.3.2 雄森酒店门口
图 15 雄森酒店门口场强
图 16 雄深酒店门口下载
图 17 雄深酒店门口下载最高速率
从上图可以看出，在雄深酒店门口占用的是华天酒店AP信号，信号强度为-52dBm,通过Chariot 5个进程下载的平均速率在3.976Mbps，最高下载速率为14.9Mbps。

4.3.3 欢唱迪KTV门口
图 18 欢唱迪KTV门口场强
图 19 欢唱迪KTV门口下载速率
图 20 欢唱迪KTV门口最高速率
从上图可以看出，在欢唱迪KTV门口占用的是华天酒店AP信号，信号强度为-60dBm,通过Chariot 5个进程下载的平均速率在1.679Mbps，最高下载速率为8.6Mbps。

4.3.4 大江南门口三角路口
图 21 大江南门口三角路口场强
图 22 大江南门口三角路口下载
图 23 大江南门口三角路口最高速率
从上图可以看出，在大江南门口三角路口占用的是大江南酒店AP信号，信号强度为-55dBm,通过Chariot 5个进程下载的平均速率在7.677Mbps，最高下载速率为22Mbps。

4.3.5 五岭广场中央
图 24 五岭广场中央场强
图 25 五岭广场中央下载
图 26 五岭广场中央最高速率
从上图可以看出，在五岭广场中央占用的是华天酒店AP信号，信号强度为-54dBm,通过Chariot 5个进程下载的平均速率在7.327Mbps，最高下载速率为17.3Mbps。

4.3.6 市政府大楼门口
图 27 市政府大楼门口场强
图 28 市政府大楼门口下载
图 29 市政府大楼门口最高速率
从上图可以看出，在五岭广场中央占用的是华天酒店AP信号，信号强度为-54dBm,通过Chariot 5个进程下载的平均速率在2.413Mbps，最高下载速率为10.2Mbps。

4.3.7 电信营业厅门口
图 30 电信营业厅门口场强
图 31 电信营业厅门口下载
图 32 电信营业厅门口最高速率
图 33 电信营业厅内上网测试
从上图可以看出，在电信营业厅门口占用的是大江南酒店AP信号，信号强度为-58dBm,通过Chariot 5个进程下载的平均速率在6.944Mbps，最高下载速率为19.4Mbps，在电信营业厅内上安徽移动的网站通过FTP下载，最高速率为2.4Mbps，下载平均速率为1.5Mbps。

4.3.8 天一名邸酒店门口
图 34 天一名邸酒店门口场强
图 35 天一名邸酒店门口下载
图 36 天一名邸酒店门口最高速率
从上图可以看出，在天一名邸酒店门口占用的是大江南酒店AP信号，信号强度为-49dBm,通过Chariot 5个进程下载的平均速率在12.026Mbps，最高下载速率为28Mbps。

4.3.9 华新酒店门口
图 37 华新酒店门口场强
图 38 华新酒店门口下载
图 39华新酒店门口最高速率
从上图可以看出，在华新酒店门口占用的是大江南酒店AP信号，信号被电信大楼阻挡，主要靠反射和绕射信号，信号强度为-64dBm,通过Chariot 5个进程下载的平均速率在0.998Mbps，最高下载速率为6.1Mbps。

4.3.10 KFC门口
图 40 KFC门口场强
图 41 KFC门口下载
图 42 KFC门口最高速率
从上图可以看出，在KFC门口占用的是大江南酒店AP信号，信号强度为-52dBm,通过Chariot 5个进程下载的平均速率在4.871Mbps，最高下载速率为16.7Mbps。

4.3.11 建设银行门口
图 43 建行门口场强
图 44 建行门口下载
图 45 建行门口最高速率
从上图可以看出，在建行门口占用的是华天酒店AP信号，信号强度为-52dBm,通过Chariot 5个进程下载的平均速率在1.960Mbps，最高下载速率为6.3Mbps。

4.3.12 移动公司营业厅斜对面
图 46 移动公司营业厅对面场强
图 47 移动公司营业厅对面下载
图 48 移动公司营业厅对面最高速率
从上图可以看出，在建行门口占用的是大江南酒店AP信号，信号强度为-54dBm,通过Chariot 5个进程下载的平均速率在1.846Mbps，最高下载速率为5.1Mbps。

4.3.13 各测试点数据汇总
序号测试点到华天AP
（米）
到大江南AP
（米）
场强
（dBm)
最高下载速
率（Mbps)
备注
1 大江南酒店楼顶37.83 10 -50 98
2 雄深酒店门口263.2
3 283.59 -52 14.9
3 欢唱迪KTV门口461.07 469.73 -60 8.6 树木阻挡
4 大江南门口三角路口117.99 97.6
5 -55 22
5 五岭广场中央272.27 265.12 -54 17.3
6 市政府大楼门口443.92 435.8 -54 10.2
7 电信营业厅门口230.63 200.1 -58 19.4
8 天一名邸酒店门口280.91 249.11 -49 28
9 华新酒店门口399.79 363.74 -64 6.1 电信大楼阻挡
10 KFC门口356.78 332.92 -52 16.7
11 建设银行门口492.76 472.73 -52 6.3
12 移动公司营业厅斜对面665.56 647.23 -54 5.1 树木阻挡
第五章解决方案总结
通过本试点解决方案，我们可以得出以下结论：
1、接入方式灵活：即可有线接入，又可无线接入；
2、组网方式灵活：可采用无线星型或无线树型组网；
3、Mesh网络吞吐性能高：Mesh网络采用干扰较少的5.8GHz频段，可提供高吞吐量骨干回传
链路，解决了传输资源不足的覆盖瓶颈；
4、美观且安装方便：天线与AP采用一体化防水设计，减少安装工作量且美观；
5、覆盖范围广:定向AP主瓣覆盖角为水平120度，垂直30度，是一般普通定向AP覆盖范围的
2-3倍；
6、覆盖距离远：有效覆盖距离达650米以上，是一般智能AP的2倍以上；
7、工作带宽宽：支持20MHz及40MHz,采用双频3x3:2 支持802.11a/b/g/n标准，双频工作时
可达600Mbps用户吞吐量；
8、抗干扰能力强：五岭广场周边能收到200~300个干扰AP信号，我们公司提供的AP能保证良
好的工作性能及抗干扰性能；
9、支持并发用户多：能支持200个并发用户同时高速数据业务；
10、室外AP支持10/100/1000Mbps速率POE OUT输出以太网端口，作为无线城市部署时，可
以直接连接IP摄像机。

第六章智能WIFI相关技术
6.1 无线网络方案设计的原则
1.可靠性原则：无线传输系统的可靠性是具有实用性的前提。

2.先进性与实用性相结合的原则：既要保证系统设计的先进性以保护用户的投资又要
保证系统设计近可能地实用我们选用的设备都是经过实践检验的成熟产品同时还要
可虑系统的总体成本。

3.灵活扩展原则：为了使现有的系统在将来能够得到充分的利用现有的投资在将来不
被浪费，需要系统有充分的灵活的适应能力和可扩展的能力以便于系统将来的扩容
与升级。

4.便于维护原则：这是为系统在使用过程中的实际需要考虑的系统工程实施结束交付
使用以后，应该便于各种日常维护工作，能够方便地进行软件的重新配置系统的自
检与恢复硬件备品备件的更换和软件系统的升级。

5.安全性原则：用户对网络安全的要求又相当高因此安全性原则非常重要。

6.2 WLAN覆盖场景
6.2.1 WLAN薄覆盖场景
图 49 薄覆盖场景
解决方案：选择一个覆盖制高点（如通信运营商的宏基站），UTstarcom智能基站即可安装在其它通信基站的铁塔上，UTstarcom既可以提供内置全向智能天线的智能基站，又可以提供内置定向智能天线的智能基站，在进行薄覆盖时，可以选择UTstarcom 提供的全向智能天线产品，这样的好处是单AP的整体无线覆盖范围比较广。

通过这种方式，即可覆盖所需要覆盖尽可能多的区域。

UTstarcom 智能基站体积小巧，天线设备一体化设计，无需外接天线，IP-67封装，非常适于安装，并且已经内置2G/3G信号滤波器，与基站之间不会产生相互干扰，因此适于安装于基站上。

6.2.2 WLAN深覆盖场景
图 50 深覆盖场景
解决方案：选择一个合适的位置，通常是比较高的地点（如通信运营商的宏基站），UTstarcom智能基站即可安装在其它通信基站的铁塔上，UTstarcom既可以提供内置全向智能天线的智能基站，又可以提供内置定向智能天线的智能基站，在进行深覆盖时，可以选择UTstarcom 提供的定向智能天线产品，在每个站点使用多台智能型基站对多角度进行覆盖，这样的好处是使用定向天线时，在该角度内的用户可以得到更好的信号强度以及用户体验，同时，由于使用多台定向天线进行组合覆盖，因此，可以增加单个站点的容量比较适合于深覆盖的场景。

UTstarcom 智能基站体积小巧，天线设备一体化设计，无需外接天线，IP-67封装，非常适于安装，并且已经内置2G/3G信号滤波器，与基站之间不会产生相互干扰，因此适于安装于基站上。

6.2.3 WLAN密集组合覆盖场景
图 51 密集组合覆盖场景
解决方案：针对建筑物特别复杂，用户比较密集的区域，UTstarcom具有完美的组合方案，在一些特殊的区域，如光纤，线缆无法就位，不方便进行有线连接的情况下，可以采用UTstarcom 桥接设备进行点对点或点对多点进行无线桥接，使各点之间形成300Mbps 的高速回传链路，同时，UTstarcom 的AP都是双频802.11n室外AP，支持Mesh 功能，可以在进行无线高速互连的同时，对用户进行大面积覆盖。

在覆盖的AP的选择上即可以选择带有内置定向天线的AP，也可以选择带有内置全向天线的AP，在一些覆盖特别困难的区域，尤其是由于阻挡或者距离原因，或者无线终端回传功率不足而引起的上行受限等问题，也可以通过部署CPE 设备而得到解决。

6.3 “胖”“瘦”AP转换
UTstarcom 智能型基站既支持“胖”AP模式下独立工作，又支持“瘦”AP模式下接受无线控制器的统一集中管理。

并且可以在两种模式之间灵活的切换。

“胖”“瘦”AP的转换过程，UTstarcom 智能型AP默认情况下作为“胖”AP独立工作，如果在网络中UTstarcom 智能型AP能够找到UTstarcom的无线控制器，并且UTstarcom无线控制器接受UTstarcom 智能型AP的注册请求时，则“胖”AP可以自动转换为“瘦”AP，与无线控制器同步软件版本，配置等，接受控制器的统一管理，如果想将“瘦”AP恢复成“胖”AP 模式，则只需简单的将AP恢复成出厂设置，并且无线控制器不接受AP的注册请求，或者是该AP不向无线控制器发送注册请求即可，这样就可以非常灵活方便的实现“胖”“瘦”AP的转换。

6.4 接口
物理接口：UTstarcom 基站型AP支持2个10/100/1000Mbps以太网口，POE IN口方便供电模块或POE交换机对设备自身进行POE供电，同时POE OUT口也可以为其他设备进行POE供电。

除此之外，UTstarcom 基站型AP还带有外接直流电源接口，允许直流电源直接对AP进行供电。

射频接口：自带两个N型天线外接接口，可以外接5GHz 天线。

与CMNet的接口：UTstarcom的AC或者“胖”AP自身都可以与数据城域网业务控制设备BRAS通信，或与省内的Radius 系统对接。

并透传PPPOE协议可以实现上网业务。

与数据网管的接口：UTstarcom的AC或者“胖”AP自身都是既可以支持TR-069网管协议，也可以支持SNMP网管协议。

在通过标准的SNMP协议与网管平台通信时，UTstarcom的AC 或者“胖”AP自身都可以上传平台设备的配置、性能、告警等数据。

6.5 带宽需求
UTstarcom 基站型AP都是双频802.11n AP,每个radio 可以提供的带宽为300Mbps, 因此，为了使用到每个AP的最大性能，不使上联链路成为瓶颈，则UTstarcom 基站型AP至CMNET的带宽应该不小于1000Mbps,当然，考虑到实际每AP下可发展的用户数以及运营商的规划等，也可以几个基站公用一个千兆链路。

UTstarcom 基站型AP与AC与网管平台间的通信主要是将设备的配置，性能，告警等信息通过标准的SNMP进行回传或等待网管平台查询，因此带宽要求不高，只需大于2Mbps即可。

当然为了确保网管平台不会因为时延等问题丢弃数据包，AC或AP与网管平台间的带宽则是越大越有利于实际部署。

6.6 网管
UTstarcom的AC或者“胖”AP自身都是既可以支持TR-069网管协议，也可以支持SNMP网管协议。

在通过标准的SNMP协议与网管平台通信时，UTstarcom的AC或者“胖”AP自身都可以上传平台设备的配置、性能、告警等数据。

UTstarcom AC以及AP都支持中国移动所要求的MIB节点。

6.7 安全方案
6.7.1 网络安全的体系架构
网络安全的任何一项工作，都必须在网络安全组织、网络安全策略、网络安全技术、网络安全运行体系的综合作用下才能取得成效。

首先必须有具体的人和组织来承担安全工作，并且赋予组织相应的责权；其次必须有相应的安全策略来指导和规范安全工作的开展，明确应该做什么，不应该做什么，按什么流程和方法来做；再次若有了安全组织、安全目标和安全策略后，需要选择合适的安全技术方案来满足安全目标；最后在确定了安全组织、安全策略、安全技术后，必须通过规范的运作过程来实施安全工作，将安全组织、安全策略和安全技术有机地结合起来，形成一个相互推动、相互联系地整体，通过实际的工程运作和动态的运营维护，最终实现安全工作的目标。

完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。

安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等，并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。

安全组织体系包括安全组织结构建立、安全角色和职责划分、人员安全管理、安全培训和教育、第三方安全管理等。

安全技术体系主要包括鉴别和认证、访问控制、内容安全、冗余和恢复、审计和响应。

安全运作体系包括安全管理和技术实施的操作规程，实施手段和考核办法。

安全运作体系提供安全管理和安全操作人员具体的实施指导，是整个安全体系的操作基础。

从管理和技术两个维度推进网络安全工作不仅是现阶段解决好网络安全问题的需要，也是今后网络安全发展的必然趋势。

从技术角度而言
1．逻辑隔离技术。

以防火墙为代表的逻辑隔离技术将逐步向大容量，高效率，基于内容的过滤技术以及与入侵监测和主动防卫设备、防病毒网关设备联动的方向发展，形成具有统计分析功能的综合性网络安全产品。

2．防病毒技术。

防病毒技术将逐步实现由单机防病毒向网络防病毒方式过渡，而防病毒网关产品的病毒库更新效率和服务水平，将成为今后防病毒产品竞争的核心要素。

3．身份认证技术。

80%的攻击发生在内部，而不是外部。

内部网的管理和访问控制相对外部的隔离来讲要复杂得多。

在一般人的心目中，基于Radius的鉴别、授权和管理（AAA）系统是一个非常庞大的安全体系，主要用于大的网络运营商，企业内部不需要这么复杂的东西。

这种看法越来越过时，实际上组织内部网同样需要一套强大的AAA系统。

4．入侵监测和主动防卫技术。

入侵检测和主动防卫（IDS、IPS）作为一种实时交互的监测和主动防卫手段，正越来越多的被政府和企业应用，但如何解决监测效率和错报、漏报率的矛盾，需要继续进行研究。

5．加密和虚拟专用网技术。

组织的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的，因此加密通信和虚拟专用网（VPN）有很大的市场需求。

IPSec已经成为市场的主流和标准。

6．网管。

网络安全越完善，体系架构就越复杂。

管理网络的多台安全设备需要集中网管。

集中网管是目前安全市场的一大趋势。

从管理角度讲应遵循以下原则
1．整体考虑，统一规划。

网络安全取决于系统中最薄弱的环节。

“一点突破，全网突破”，单个系统考虑安全问题并不能真正有效的保证安全，需要从整体IT体系层次建立网络安全架构，整体考虑，全面防护。

2．战略优先，合理保护。

网络安全工作应服从组织信息化建设总体战略，滚动式实现系统安全体系的统一。

在此前提之下，追求适度安全，合理保护组织信息资产，安全投入与资产的价值应相匹配。

3．集中管理，重点防护。

统筹设计安全总体架构，建立规范、有序的安全管理流程，集中管理各系统的安全问题，避免安全“孤岛”和安全“短板”。

4．七分管理，三分技术。

管理是企业网络安全的核心，技术是安全管理的保证。

只有制定完整的规章制度、行为准则并和安全技术手段合理结合，网络系统的安全才会有最大的保障。

6.7.2 基础型无线网安全机制
（1）更改无线AP的管理员登录初始口令和初始SSID
（2）SSID设置成隐藏，不广播SSID。