业务需求
本次建设的总体目标为：无线信号覆盖整个办公区域，Wi-Fi 信号质量稳定，网络接入符合国家及主管单位管理规定，安全控制手段完备，并能够提供有效的业务宣传服务，为到场的办税人员提供便利。

具体目标如下：

1. 无线覆盖根据地税服务大厅的面积、布局、人员数量等实际情况确定 AP 的数量及位置，确保良好的信号覆盖。

2. 实名认证、行为可管控建设方案需做到严格的实名认证与上网行为可管控可追溯，达到中华人民共和国公安部令第 82号《互联网安全保护技术措施规定》的要求，提供安全健康的网络服务。

3. 杜绝税务专网终端违规外联对于业务专网终端设备违规外联的情况，要通过技术手段做到有效杜绝，满足国家税务总局电子税务管理中心下发的税总电税便签（2015）69 号通知要求。

4. 信息推送建立有效的线上宣传渠道，便于地税局进行办公流程及最新政策的介绍，可按照组织结构进行不同的授权控制和严谨的信息发布审批流程。

5. 安全防护及权限控制所建系统可实现上网行为控制同时还应具备防火墙、IPS、防病毒等多种安全功能实现对网络安
全多层的保护。同时可根据用户身份、时间、地点实现不同的访问优先级控制，保证关键业务的带宽充足。

解决方案

整体组网采用分布式转发组网的方式，无线网络覆盖方案采用云平台架构，在运营商省中心建设核心平台，包括安全网关、核心交换机、云 AC 控制器并接入云 Wi-Fi 应用平台，各地市根据辖内营业厅的数量面积与运营商沟通建设方案，地市核心部署安全网关与市级云 AC 控制器，与省平台和辖内网点实现互通，控制方式采用省核心统一协调各地市分管的方式。地市各网点服务大厅主要部署 AP 和安全网关，网点安全网关与地市安全网关开启 IPsec VPN，在互联网环境下传输 AC 控制及认证推送信息，保障此类信息在公网的传输安全。用户认证通过后通过网点本地的安全网关访问互联网，在访问过程中，由安全网关完成上网行为管理、带宽控制、非法信息过滤等功能，并把以上收集的用户行为日志全部通过 IPSec 隧道上传到省核心的数据分析平台，做数据留存和二次分析，实现网络行为的可追溯，同时安全网关统一开启 IPS和防病毒功能，保护所在网点的网络及应用安全。

客户获益

此组网方式采用管理上收数据转发下放的模式，实现用户认证数据分离传输、AP 管理数据通过CAPWAP 数据报文与管理层交互，实现数据层、控制层流量分离，访客访问互联网的流量本地转发效率高，认证、管理流量汇总到出口安全网关处，安全性高，用户可审计。云平台提供分级授权管理模式，权限体系应至少分为省中心级别、市中心级别，功能点权限具备可管理、可分配能力，支持各地市的实际管理需求进行权限匹配。