1.4 企业WLAN需求分析
随着智能移动终端的增加,企业BYOD的普及,高质量的WLAN已经成为企业移动办公的刚性需求。
而在具体的应用过程中企业WLAN包含以下具体的需求:
1.4.1 企业WIFI安全接入
随着企业信息化建设和国家信息化工程的发展,企业办公信息化逐渐实现,企业BYOD需求激增,更多的企业采用无线网络接入自己的内部业务和办公系统。受无线网络局限性影响,其安全问题日益凸显,亟待安全接入机制,保障客户业务系统免受黑客攻击。
1.4.2 企业WIFI安全办公
企业业务规模不断扩大,企业业务对网络的依赖性也越来越高。无线网络技术的逐步成熟让很多企业扩展无线网络来实行自身的日常办公和客户接待以及业务咨询。办公、访客、会议室等都需要使用无线网络。在智能终端普及的当下,无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具。伴随而来的安全问题不仅体现在接入,接入之后如何防护企业网络的安全以及保障业务系统的正常运行,亟需要有效的无线安全解决方案来做双重保障。
1.4.3 企业WIFI快速上网
随着企业的不断发展,业务对于无线网络的要求也越来也高。而无线网络由于其无边界化、信号易受干扰等原因,无线网络在多人使用过程中会出现连接不稳定、上网速度慢、无关应用占用带宽等体验不佳的问题。因此企业邮件、财务、办公软件、互联网业务系统的高效使用、访客的信息咨询和反馈亟需要快速的无线网络来支撑。
1.4.4 企业WIFI快速漫游
随着智能移动终端发展,企业BYOD处于大势所趋,要实现企业内部任何时间、任何地点都能实现BYOD,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。
对于多种接入终端,多个接入地点保证良好的一体化兼容、控制、管理。
1.4.5 企业上网行为管理
企业员工可以通过WIFI进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件等,亟需要实现员工上网行为的管理、带宽的管控和保证员工上网安全,用于提供员工的办公效率和避免企业网络资源浪费,防止企业机密数据泄密和员工通过互联网从事非法交易活动。
1.4.6 访客安全管理
企业访客可以通过WIFI接入企业内部或访问互联网,接入层需要解决安全接入问题。接入后访问企业内部受限资源、访问互联网,同样亟需要对访客的上网行为做管控以及流量做管控。
1.4.7 集中管理
很多集团公司随着业务的高速发展,企业部署的无线接入点与日俱增,数量庞大。针对众多的无线WIFI热点配置、升级、维护需要统一化的集中管理,降低维护成本,提高整体的稳定性,减少故障率。
1.4.8 企业数据保护、安全
企业业务系统以数据为核心,而无线网络有别于有线网络,无线网络的所有数据都在空中传输,需要高效且安全性极高的加密机制保证数据不被窃取破解,泄露企业机密。
企业无线部署作为有线的扩展,安全接入的边界和方式相较于有线网络难以控制,员工私接Wi-Fi等安全问题也缺乏很好的管理手段。各种钓鱼AP、AD-hoc可能隐藏在无线环境中,数据被转移、数据中病毒的风险无处不在,亟需要加以防护,确保数据和业务安全。
1.5企业WLAN当前面临的挑战
1.5.1 企业办公无线终端密度大,员工对网络时延敏感度高
企业BYOD需求激增,企业办公区、会议室,无线终端密集。需要保证在高密度的情况下,员工和访客上网的流畅性,提高企业的办公和业务处理效率。
1.5.2 办公场所要求覆盖广,无死角,信号强
企业办公区域面积大,要求信号无死角覆盖,内部员工接入可实现无感知漫游,不断网。满足公司会议室高密区域,用户稳定接入。来访访客随时随地可接入,并办理业务咨询和反馈。
1.5.3 企业组织结构复杂,权限难于控制
随着企业的发展壮大,职位分工更加明确,部门的职责也更加细化。部门精细化的同时权限也必须精细化控制,各个部门、职位拥有责任内的不同权限。
1.5.4 OA、邮件等办公系统带宽被大量抢占
在一定的无线带宽情况下,企业员工运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的系统带宽,造成企业的带宽资源耗费,无线办公和业务处理效率低下。
1.5.5 无线攻击手段多样,内网安全有威胁
不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对企业而言,难免会存在一定盗用账号、非法接入的安全威胁。
1.5.6 空中垃圾多,无线接入稳定性得不到保证
WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来NAP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。
根据xxx企业的无线网络需求和无线网络设计原则,结合无线系统技术和产品的特点,方案设计如下:
2.2 无线组网方式
结合用户无线网络需求情况,结合产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照NAP+AC的结构化无线网络解决方案进行设计。网络拓扑如下(可编辑):
2.3 信道规划
使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
信道规划如下图:
图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为NAP部署位置。
2.4 企业无线安全接入设计
在无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
2.4.1 更丰富、快捷的企业认证安全机制
采用802.1x认证,用户接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据,认证通过的用户才允许接入网络。业内皆知802.1x在用户终端设备上配置极其复杂,无疑给用户使用和IT管理员增加了大量的配置工作,无线技术提供了企业认证的自动配置工具,终端用户无须管理员协助,通过开放性wlan下载自动配置工具,一键安装即可轻松接入企业网络,既安全又便捷。
支持自建CA颁发证书和管理,证书分发可通过自动配置工具统一打包一键完成安装,也支持用户通过web下载、管理员通过邮件分发,简单且快捷。
支持和企业内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快速的身份校验,既安全且可靠。
企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型企业。
2.4.2 帐号、终端灵活绑定、杜绝越权访问
- 首次连接无线网络认证时,用户名和终端可以实现自动绑定,帮助企业快速完成身份绑定,若用户拥有多个上网终端,管理员也可以灵活的手动审批后续新加入终端的绑定。因此企业可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。
- 同一vlan内、不同vlan间通讯的终端采用隔离技术,有效防止终端之间传输大量文件损耗AP有限的带宽资源,也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为,最大限度地确保办公安全,提高办公效率。
- 无线不仅支持传统的基于端口的防火墙控制策略, 同时内置了国内最大的应用识别库和URL库,管理员能够轻易识别出具体的应用和URL,灵活的设置网络访问策略,并且能够进行相应的精细化应用控制。
- 业界的防火墙控制主要是基于网关出口,只能限制内网用户访问外网资源,内网用户之间不能做到基于服务和应用控制。而无线弥补了这块黑洞,独有的基于内网的服务和应用控制方案给业界带来新的突破和福音。企业网络和内部应用是非常复杂的如下图,企业内部既有有线网络也有无线网络,既有用户之间互访、访问内部资源、移动小型设备接入和数据传递的需求,也有访问互联网资源、数据中心进行数据同步需求。在这种错综复杂的网络环境和应用环境中,传统的防火墙只能在网关出口控制内网用户对公网资源的访问,而忽略了内网这更为复杂的环境。
- 信线集成了有线无线一体化,在业界首次提出“用户”的概念,其访问控制策略结合强大的应用识别库搭配“用户”概念,完美实现了内网用户之间的控制以及对公网资源访问的外部控制,该方案针对有线或无线用户都适用,给企业一个干净和健康的网络环境。同时其策略配置更注重人性化,区别于传统的配置IP等复杂的方式,用户可选择应用、选择连接方向“用户发起”、“用户接收”,选择时间计划,选择动作“允许”或“拒绝”即可快速地实现访问控制。、
- 例如:企业员工上班时间只能访问内网的“企业内部业务系统”、不允许允许访问公网视频网站,研发人员不能访问市场人员的CRM系统,研发人员不能向市场人员发送邮件;访客手机终端之间不能传送文件,访客只能访问固定的网站,不能访问企业内部的研发和市场资源, 但不允许上微博发信息;针对与工作相关的即时通讯软件、下载软件不做应用的限制,而对下载速度做一定范围的限制。
- 技术研发的无线网络动态带宽分配,当无线接入点带宽不足时,无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配;无线接入点带宽充足时,将不受此限制。例如办公网络,可以配置权重较大,用于保证办公应用的正常业务通信;非重要网络,例如访客网络,可以配置权重较小,用于限制非重要网络的上网带宽,以免影响其他无线网络。
- 每个无线网络上用户可以自定义基于应用的子通道, 用户可以设置通道间的带宽占用比例,当无线网络带宽不足时,通道间的保证带宽将按照设定的比例进行带宽分配,无线网络带宽充足时不受此比例限制。例如办公网络中,可配置P2P子通道,配置权重最小;办公OA系统对应的子通道权重最大;互联网应用对应的子通道权重介于两者之间。
- 自动组播提速:将广播包原有的发送速度提高,加快广播包的传输效率,保证每个终端可以收到组播包,提升带宽吞吐。
- ARP广播转单播:通过对ARP发送机制的优化提升ARP效率,减少不必要的广播泛洪。
- 禁止DHCP请求发往无线终端:通过对DHCP发送机制的优化提升DHCP效率。
- 接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。
- 利用VLAN地址池,减少广播域,减少广播泛洪,提升无线网络带宽资源的利用率。
- 在企业的开放工位、会议室等人员高密的区域,通常会有多个无线热点的信号覆盖,技术无线解决方案会根据每个AP的负载情况,将用户自动分配到信号强、接入人数少的AP上,同时会选择优先负载到干扰比较小的5G频段上,确保每个无线用户都能获得畅快的网络体验。除了基于人数的负载外,技术还能基于2.4G和5.8G的双频段进行智能双频负载。
- 智能双频负载:2.4G和5G之间可实现自动负载,引导5G终端优先接入干扰比较小的5G网络,提升无线接入质量。
- 客户希望对不同用户及应用的网络流量进行管理和划分,完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽,带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。同时,客户希望提供更灵活的管理和配置,保证重要应用带宽的同时,可以再根据用户的优先级,分配同一应用不同用户间的带宽。
- 技术提供基于应用的流量控制,针对用户的出口带宽做保证,保证关键应用的带宽占用,无关应用靠边占。
- 访客是开放的企业每天都会面对的群体,供应商、客户、商业伙伴、相关领导来到公司参观,都需要便捷的接入无线网络。提供了更简洁的认证方式,来访客人只需要连接该公司无线网络,然后打开浏览器自动出现二维码,内部接待员工用自己的终端扫一扫即可认证通过。
- 二维码认证技术经过公安部认证,且针对访客行为可追溯。
- 技术提供了临时访客代替了传统的前台手工登记上网的复杂方案,企业可以直接在前台为访客开通账号和密码,帐号可以是其身份证号,密码可以是其身份证的后六位,并且设置上网有效时长;同时信锐技术结合二维码,为临时访客上网生成二维码,企业前台人员只需要给访客二维码,访客扫二维码即可快速上网。
- 临时访客的上网行为可追溯。
- 技术提供短信认证方式,访客用户可以通过手机来获取验证码,轻松访问无线网络。验证码可做到一次获取永久使用。
- 所有无线热点的配置统一在无线控制器上配置,部署简单,配置简易,实现用户零学习成本。
- 配置支持自动以及手工备份和还原,双重保证无线热点的24小时不间断运行。
- 大型企业随着业务的快速发展,无线热点部署剧增,企业分支控制器部署也剧增,面临着复杂的设备管理问题。
- 技术提供了强大的可视化的热点地图,通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式,分层管理设备,以掌握设备的实时运行状态。
- 热点位图还提供人流密度分析、用户位置的搜索快速定位、安全事件等机制,帮助网管更好地管理无线网络,服务于企业员工。
- 信号干扰是无线网络使用中的常见问题,运营商的CMCC,China Net等无线信号,以及蓝牙、无线监控摄像头等均工作在2.4G频段,他们都会对无线网络产生干扰。
- 技术无线AP能够根据周围无线的实际干扰情况,只能调整为干扰最低的信道进行工作,同时还支持降低功率来减少覆盖重叠,提升功率来弥补覆盖盲区等功能,从而达到真正有效的避免干扰。
- 无线网络的无线信号具有开放性,钓鱼AP和AD-Hoc等非法AP极容易隐藏在无线网络中引诱企业用户接入,盗取用户帐号并窃取企业机密文件或传播病毒。
- 企业员工也可能通过部署非法AP进行数据转移,导致企业信息泄露。
- 技术采用全面的防御体系,为您构建最安全的无线接入网络,抵制钓鱼AP和AD-Hoc、用户发起的泛洪或欺骗攻击等无线攻击行为,还你一个干净且安全的无线网络环境。
- 信锐千兆系列无线控制器
2.4.3 限制帐号在多个终端同时接入
可限制一个帐号同时登录的终端个数,有效保护企业网络资源。针对超限的帐号可采取以下两种措施:
强迫最早接入的终端下线。
不允许新终端接入。
当然对于需要放开限制的帐号如老板帐号,也可支持配置例外帐号。
2.4.4 多样化的接入控制
基于终端类型和特性的接入控制。手机、ipad、Notebook能不能接无线,您说了算。无线可以免安装客户端软件实现终端类型的识别,认证接入时,可以根据情况限制只有手机终端可以接入,笔记本类型不能接入;或者只允许IOS终端接入,不允许Android终端接入,让您认为不安全的终端无法接入网络。
基于接入位置的接入控制。不同的无线热点可配置不同的接入访问控制策略,以便不同的无线热点承载的无线用户接入到企业内部不同的业务系统,既安全又高效。
基于用户属性的接入控制。无线无缝对接企业内部认证服务器,支持用户组[安全组、OU组]、用户名等用户属性的接入控制,也支持radius等属性的接入控制。不仅如此,还致力于开发内部的本地数据库服务器,同样支持按本地数据库的用户属性进行接入控制。
甚至接入控制条件可以灵活组合,满足客户不同的接入控制需求。支持基于终端类型和接入位置、用户属性作为一组接入条件进行接入控制。例如可以支持不同的接入位置且满足指定的终端特性才允许接入进行上网,如下图:
2.5 企业无线安全办公设计
2.5.1 精细化多角色授权管理
企业用户接入无线网络后,无线提供安全管家全面负责其用户权限的授权管理。丰富的权限分配表支持按用户属性、终端类型、接入区域、不同时间段来设置不同的角色,角色上搭建不同的访问控制策略,构建企业级防火墙,权限控制更全面和精细化。
2.5.2 VLAN隔离
2.5.3 基于内网的服务和应用控制
2.5.4 网络层防护
DHCP防御。只转发受信任的DHCP服务器响应,屏蔽非法的DHCP服务器,防止终端IP不合法。防止用户私设IP,有效保护网络避免存在大量冲突IP地址导致客户网络瘫痪。
DDOS防御。可根据用户最大并发数、新建连接速率、小包速率进行防护,一旦超限可自动加入动态黑名单,冻结处理,杜绝网络攻击。
2.6 企业无线快速上网设计
2.6.1 端到端的协议加速
无线网络随着接入人数的不断增加,由于干扰增大导致上网速度慢,应用访问体验差。采用独有的应用层协议加速技术,客户端无需安装任何插件,只需在无线控制器上开启应用加速功能,通过改善无线传输协议算法,无线网络的传输速度就能够提升1.5-4倍效果。有效解决企业无线网络由于干扰导致的无线传输速率低、丢包、延迟等网络质量问题。
2.6.2 防终端拖滞让无线跑得更快
传统的无线随着低速终端的接入会导致高速终端速率被拉低,从而导致整体吞吐率下降,客户业务响应缓慢,严重影响终端的应用访问体验。
技术进行了无线底层的技术改进,提出“防终端拖滞”创新专利,支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
2.6.3 基于应用的无线射频管理
2.6.4 组播优化及提速
2.6.5 VLAN池
2.6.6 智能负载、5G优先、高密稳定快速接入
2.7 企业无线快速漫游设计
2.7.1 防终端粘滞
传统的无线漫游依赖的是终端自己的特性,无法做到可控制,而技术提供的“防终端粘滞”弥补了这块的缺陷。通过防终端粘滞功能,无线可以引导无线终端更快的漫游到无线服务能力更好的无线热点上,让客户得到更好的无线网络体验。漫游后,终端的vlan、角色、IP保持不变,用户无感知。
2.8 企业无线上网行为管理设计
2.8.1 有线与无线一体化
无线企业网的客户,往往同时拥有有线用户。客户希望可以通过无线控制器上进行配置,利用无线控制器的有线口来完成有线用户的认证,同时对无线用户和有线用户进行集中管理,完成流量控制、流量管理和流量审计。无线集成了有线认证和管控,提供了“porta认证”、“IP认证”、“免认证“等安全接入认证机制,真正做到对有线用户和无线用户的一体化管控。
2.8.2 上网审计
无线企业网的客户,不仅需要完成用户的接入、认证,同时希望对用户的网络行为和内容进行审计,包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。
通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计。
2.8.3 流量控制和带宽保证
2.8.4 更丰富的数据中心报表功能、审计报告自动通知管理层
无线企业网的客户,不仅需要完成用户的接入、认证,同时希望对用户的网络行为和内容进行审计,审计的结果保存于数据中心。
技术提供独有的”离职风险报表“、”法律风险报表“、”上网行为报表“,及时地管控员工的风险行为。
2.9 访客安全管理设计
2.9.1 二维码快捷上网
2.9.2 临时访客快捷上网
2.9.3 短信认证
2.9.4 微信认证
通过无线提供的微信认证功能,访客进入企业展厅,接入无线网络,将被定向到指定提示页面,提示访客关注微信号然后即可获取上网权限,访客关注微信号即可上网。这样便大大增加了访客对企业的关注度,也便于企业广告、业务推送和宣传。
技术覆盖了多种微信认证方式,特别是一键关注、Oauth网页授权等方式让访客可快捷接入上网。
2.9.5 防蹭网
技术提供了上网时长和流量配额控制策略,可灵活根据客户需要杜绝企业周边人员侵入网络,保护公司的网络资源。
2.9.6 同一SSID内的隔离
技术提供了员工与访客接入同一SSID内的隔离,防止互访可能导致的数据转移、企业信息泄密、文件中毒等危险行为,保护企业资源安全,防止机密信息泄露。
2.10 集中管理设计
2.10.1 AP零配置
2.10.2 云升级
所有无线热点支持从云端自动升级到最新的版本,不同硬件型号AP能自动判断并完成升级,无线客户手工干预,降低了后续升级维护成本。
客户可选择夜里自动升级,减少白天升级导致的业务中断问题。
2.10.3 可视化的热点地图
2.10.4 远程AP智能连接
部分企业分支部署远程AP,需要接入到总部的无线控制器,以便通过无线网络访问总部的资源,而企业总部的出口IP经常变换,给远程AP连接总部带来极大的困扰。
技术提供智能连接技术,总部IP变换对于远程AP而言是透明的,不需要任何手工操作便可快速地恢复网络,保证业务不中断。
2.10.5 智能射频管理
2.11 企业数据保护、安全可靠设计
2.11.1 流氓AP的攻击检测与反制
2.11.2 无线空中加密技术
无线数据在空中传输,承载者企业各种业务数据,需要高效且可靠的加密机制来避免数据被暴力破解或篡改。技术支持国际标准的多种数据加密方式,保证了企业业务数据在传输过程中既安全又可靠。主要体现在以下3方面:
技术采用WPA/WPA2+AES的方式实现数据的加密,保证数据的安全性。WPA2密钥长度为128 位,解决了传统密钥过短、容易被第三者恶意截获的问题,且在WPA2中定义了一个具有更高安全性的加密标准CCMP,旨在给用户提供了一个完整的认证机制,无线热点根据用户的认证结果决定是否允许其接入无线网络中,认证前与用户身份数据库中的认证信息进行比对检查,以确认是否具有权限并向客户端动态分发用加密密钥,认证成功后可以根据多种方式(传输数据包的多少、用户接入网络的时间等)动态地改变每个接入用户的加密密钥。另外,对用户在无线中传输的数据包进行MIC编码,确保用户数据不会被其他用户更改。
无线热点和控制器之间的数据包进行RC4加密,高效且安全。
技术同时支持WAPI标准,进一步保障数据的机密性和完整性。
2.12 企业无线稳定性设计
2.12.1 单一设备多功能集成
技术不仅具备多样化的无线功能,同时也具备有线的认证和管控功能,多功能集成在一个无线控制器上。各功能模块相互独立,数据转发和处理都是在应用层平台上,业务模块故障可快速恢复。
2.12.2 冗余、减少单点故障
技术提供双机备份机制,减少单个设备故障带来的客户业务中断问题,提升了客户业务的可靠性,减少单点故障。
2.13设备选型
根据以上对XXX商场需求的分析,为了实现更快速、更安全的企业WLAN建设,XXX公司无线系统必须具备以下功能:
对无线网络的加速功能
对于企业重点的业务数据进行识别和带宽保障
对非法网络应用和URL进行识别和控制
访客网络通过二维码认证或是单独的临时访客系统方式认证
无线接入点NAP使用2.4G和5G双频接入保证接入数量和质量。
3.1 更快速、更稳定的企业业务WLAN
无线通过特有的协议栈加速、射频优化、应用识别为XXX企业提供高速、稳定的无线网络,提升用户体验。并根据XXX企业内部OA、邮件等业务系统进行带宽保障,建立更快速、更稳定的企业业务WLAN。
3.1.1端到端的网络协议栈加速
针对干扰的无线网络环境,方案采用独有的协议栈加速技术,客户端无需安装任何插件,在NAC开启单边加速功能,通过改善无线传输协议算法,将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题,大幅提升XXX企业无线网络速度。
3.1.2终端识别与流量控制
方案通过无线控制器自动识别终端类型,根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。
3.1.3应用识别和流量控制
对于应用的杂乱无章,难以管控,本方案中无线控制器通过内置全国最大的应用识别库和URL库,自动识别无线流量类型,并根据终端类型设置相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载,视频浏览进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障了企业正常的办公网络。
3.1.4基于WLAN的带宽保障
针对WLAN的带宽保障,可以让承载重要业务的无线网络得到保障,如电子书包无线网络保障。
3.1.5针对无线的网络优化
方案针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
3.1.6智能负载均衡
通过智能负载均衡使终端均衡的分布在不同的AP上,5G终端优先连5G,让所有终端都有较好的连接体验。
3.2更安全、更便捷的企业安全WLAN
3.2.1更全面的安全防护
方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为XXX企业提供了更全面的安全防护
3.2.1.1精细化角色授权管理
随着企业内部结构的逐渐复杂化、网络管理也越来越难。精细化角色授权管理针对不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。充分保证了各自的安全,防止越权。
3.2.1.2危险应用和URL的识别和管控
调查表明75%的网络攻击来自应用层,通过内置全国最大的应用识别库和URL库,自动识别危险应用和URL,并加以控制和封堵,极大的提升了网络的安全性。
3.2.1.3动态黑名单,自动封堵攻击源
动态黑名单功能能实现自动对网络的监控,自动封堵攻击源,在保障网络安全的同时,大大降低了工作人员的压力。
3.2.2更便捷的安全管理
3.2.2.1 802.1X自动配置
802.1X能有效保证XXX企业网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。对此,方案为XXX企业提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度。
3.2.2.2帐号、MAC自动绑定
为了实现针对XXX企业领导等人员帐号需要重点保障的情况,针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。
3.3 高扩展性、高可靠性
根据不同组网规模,提供多样化的产品形态,用户可根据实际灵活选择,降低组网成本,提高效益。例如,针对中小规模网络、或者大型客户的分支机构,用户可以选择mini NAC,相较于同等性能的无线控制器,成本节省一半。
同时,由于业务扩容,无线部署时需要考虑其扩展性,初期即购买高性能无线控制器投入太大,低端无线控制器又无法满足要求。推出多样的产品形态,用户可根据组网规模按需部署。同时,虚拟化NAC的解决方案可以部署于虚拟化服务器上,通过扩容license即可提升无线网络的规模,不必担心硬件设备淘汰浪费的问题。
双机备份机制,配置实时同步,提供动态的故障转移机制,保证用户业务不因临时故障而中断,实现业务的快速恢复,降低系统因单点故障导致网络中断的风险。
4.1 无线控制器NAC系列(根据实际方案的情况去写)
千兆系列无线控制器是自主研发的集中管理无线接入点的控制设备,集防火墙,用户认证服务器,证书颁发中心,无线射频管理软于一体。具有多元化的认证方式,精细化的用户管理,协议优化,射频优化,二三层漫游,灵活的Q0S控制,本地转发、应用识别管控等功能。能够减少企业无线部署复杂度,降低企业部署成本,为客户打造安全、快速、可增值的无线网络。
配合无线NAP系列,定位于中型WLAN接入业务,如:企业、商超连锁、校园、酒店、医院等高速的WIFI应用场景。
4.1.1产品规格
硬件规格
千兆系列无线控制器产品规格 | ||||
硬件规格 | ||||
项目 | 描述 | |||
型号 | 6100 | 6200 | 6300 | 6600 |
外形尺寸(长×宽×高,单位:mm) | 275*175*44.5 | 430*300*44.5 | 430*375*44.5 | 430*500*89 |
重量 | 1.6kg | 3.85kg | 6.65kg | 15.3kg |
功耗 | <20w | <25w | <180w | <212w |
输入电压 | 额定电压范围:100V~240V AC;50/60Hz最大电压范围:90V~264V AC; 47/63Hz | |||
工作/存储温度 | -10℃~55℃/-40℃~70℃ | |||
工作/存储湿度(非凝结) | 5%~95% | |||
硬盘 | 16G SSD | 16G SSD | 16G SSD | 500G HDD |
软件规格
软件规格 | |||||
项目 | 支持特性 | 6100 | 6200 | 6300 | 6600 |
基础性能 | 缺省管理NAP数 | 8 | 16 | 32 | 32 |
最大管理NAP数 | 72/144 | 144/288 | 288/576 | 560/1120 | |
License步长 | 1 | ||||
在线并发用户数 | >4000 | >8000 | >15000 | >35000 | |
内置认证账户数 | 65000 | 65000 | 65000 | 65000 | |
VLAN数量 | 0~4094 | 0~4094 | 0~4094 | 0~4094 | |
ESSID数量 | 32 | 32 | 32 | 32 | |
802.11mac | 802.11协议簇 | 支持802.11a/b/g/n模式 | |||
虚拟NAP | 支持 | ||||
隐藏SSID | 支持 | ||||
多国家码部署 | 支持 | ||||
功率、信道调整 | 具备自动和手动两种方式调整功能 | ||||
用户在线检测 | 支持 | ||||
无线用户隔离 | 具备二层隔离和基于SSID的隔离功能 | ||||
无线用户强制断连 | 支持 | ||||
多SSID个数 | 32 | ||||
用户无流量自动老化 | 支持 | ||||
在线检测 | 具备NAP和用户在线检测功能 | ||||
40MHz模式的20MHz/40MHz自动切换 | 支持 | ||||
防火墙 | 新建连接数 | 1500 | 2200 | 7000 | 15000 |
并发连接数 | 50000 | 71000 | 200000 | 550000 | |
数据转发 | 本地转发 | 支持:具备SSID+VLAN的本地转发 | |||
集中转发 | 支持 | ||||
部分集中转发部分本地转发 | 支持 | ||||
漫游 | 二层漫游 | 支持 | |||
三层漫游 | 支持 | ||||
IP | DHCP | 支持DHCP Client,DHCP服务器,DHCP中继,DHCP Snooping | |||
NAT | 支持 | ||||
DNS代理 | 支持 | ||||
静态路由 | 支持 | ||||
策略路由 | 支持 | ||||
三层物理端口链路检测 | 支持 | ||||
二层 | 链路聚合 | 最大支持8个端口聚合 | |||
链路状态检测 | 支持 | ||||
ARP代理 | 支持 | ||||
802.1x | 支持 | ||||
流量管理 | 基于单用户 | 实现基于单用户的上下行流量管控 | |||
基于应用 | 实现基于应用的流量保障 | ||||
基于终端类型 | 实现基于终端类型(手机、电脑等)的流量管控 | ||||
基于终端操作系统 | 能够实现基于终端操作系统(安卓、IOS、windows phone等)的流量管控 | ||||
基于不同无线网络 | 满足基于不同无线网络进行带宽权重分配 | ||||
单用户流量限速 | 可基于不同SSID灵活设置 | ||||
802.11e/WMM | 可基于不同SSID灵活设置 | ||||
射频管理 | 功率自动调整 | 支持 | |||
功率手动调整 | NAP可手动功率调整,调整粒度为1dBm,调整范围为1dBm~国家规定功率范围 | ||||
信道自动调整 | 支持 | ||||
NAP负载均衡 | 多个NAP间实现负载均衡,在双频情况下,实现2.4G和5G的双频负载 | ||||
无线防广播泛洪(arp代理) | 支持 | ||||
安全防御 | DoS攻击防御 | 支持 | |||
WIPS | 支持 | ||||
接入认证 | 认证类型 | 支持WPA-PSK、WPA2-PSK、WNAP-PSK/WPA2-PSK混合加密、开放式+web认证、WPA-PSK/WPA2-PSK+web认证、WPA(企业)、WPA2(企业)、WPA/WPA2(企业) | |||
二维码认证 | 访客终端接入无线网络后,终端自动弹出二维码页面,企业审核人通过手机扫描访客终端二维码,访客即可上网。 | ||||
微信认证 | 用户接入无线后关注指定微信账号(商户或企业官方帐号)即可实现上网。增加商家/企业关注度,提供后续营销平台。 | ||||
短信认证 | 用户接入网络后弹出认证页面,用户输入手机号码以获取验证码,输入验证码后可以实现正常上网。 | ||||
临时访客认证 | 内置临时用户信息管理系统,临时用户在有效期内可以登录,超过有效期无法登录;内置临时账号管理的二级权限系统,该系统仅能进行临时帐号的创建、管理功能 | ||||
证书认证 | 支持内置CA证书颁发中心,无需额外搭建证书服务器,同时支持外部证书服务器导入证书认证 | ||||
加密方式 | 支持TKIP和AES | ||||
MAC+用户名绑定 | 具备自动绑定和管理员审核功能 | ||||
域计算机认证 | 支持 | ||||
ENAP类型 | 支持中继模式、终结ENAP-PENAP模式、终结ENAP-TLS模式 | ||||
支持使用本地数据库 | 支持 | ||||
使用LDNAP服务器作为认证服务器 | 用户实时同步 | ||||
MAC静态白名单 | 支持 | ||||
MAC静态黑名单 | 支持 | ||||
动态黑名单 | 支持 | ||||
智能识别 | 应用识别 | 能精确识别无线流量属于具体的什么应用,设备内置应用识别规则库,支持超过1500种以上的应用,并保持每两个星期更新一次,保证应用识别的准确率 | |||
URL识别 | 设备内置海量预分类的URL地址库,支持根据URL类别实现URL控制 | ||||
终端识别 | 能识别接入终端的类型、操作系统,并作相应控制 | ||||
应用流量查询 | 能查看基于应用的实时和一段时间的流量情况 | ||||
授权管理 | 多角度的角色分配 | 基于用户帐号/SSID/区域/接入终端的角色分配管理 | |||
基于终端类型的权限控制 | 实现基于终端类型如手机、电脑、平板等的灵活权限管控 | ||||
基于操作系统类型的权限控制 | 实现基于终端操作系统如安卓、IOS、windows phone等的灵活权限管控 | ||||
基于具体应用的权限控制 | 实现基于具体应用如QQ、迅雷、P2P等的权限控制 | ||||
基于用户角色的访问权限控制 | 支持 | ||||
以ssid为单位灵活配置规则确定用户的用户角色 | 支持 | ||||
以ssid为单位灵活配置规则确定用户的vlan | 支持 | ||||
备份 | 双机1+1热备 | 支持 | |||
AC间NAP快速切换 | 支持 | ||||
双机配置同步 | 支持 | ||||
备份配置和备份恢复 | 支持 | ||||
实时状态显示 | 流量历史查询 | 支持NAC及NAP历史流量查询 | |||
local NAC状态显示 | 支持系统状态显示 | ||||
动态黑名单显示 | 支持 | ||||
NAP在线、离线提醒 | 支持 | ||||
在线用户信息显示 | 支持 | ||||
网络攻击实时告警 | 支持 | ||||
接口状态告警 | 支持 | ||||
双机切换告警 | 支持 | ||||
NAP信息显示 | 支持 | ||||
射频信息显示 | 支持 | ||||
WLAN信息显示 | 支持 | ||||
系统日志查询 | 支持 | ||||
热点分析 | 依据用户显示繁忙或空闲NAP | 支持 | |||
依据流量显示繁忙或空闲NAP | 支持 | ||||
显示信号好和信号差的NAP | 支持 | ||||
网管与配置 | WEB UI 配置 通过HTTPS访问 | 支持 | |||
NAP升级计划 | 支持 | ||||
记录用户上线、下线信息 | 支持 | ||||
日志管理 | 具备查看和导出系统日志功能 | ||||
策略故障排除功能 | 支持 | ||||
自动更新升级 | 支持 | ||||
重启设备、重启服务 | 支持 | ||||
配置时间日期、NTP服务 | 支持 | ||||
配置管理员帐号 | 支持 | ||||
配置序列号 | 支持 | ||||
工堪管理 | 内置工堪图管理软件 | 通过导入部署地场景图,在场景图上设置相应参数,然后自动或是手动的生成无线网络部署热点分析图 | |||
热点地图 | 显示NAP实时动态信息 | 实时显示每个NAP位置、接入用户数、接入用户用户名等信息 | |||
建筑图导入 | 支持手动调整背景,导入建筑图,自由布放NAP示意点位置 | ||||
页面推送 | 根据SSID推送 | 能够根据不同SSID推送不同页面 | |||
根据NAP推送 | 能够根据不同NAP推送不同页面 | ||||
自定义portal界面 | 具备自定义动态页面功能 | ||||
根据用户组推送 | 能够根据不同用户组推送不同页面 | ||||
认证前后区别推送 | 能够在认证前和认证后推送不同页面 | ||||
终端自适应 | 能够根据不同终端推送不同页面,而且可以推送合适匹配终端的尺寸页面 | ||||
网络优化 | 协议栈加速 | 针对协议栈进行加速,在无线干扰环境下,提升传输速度 | |||
自动广播提速 | 将广播包原有的发送速度提高,加快广播包的传输效率 | ||||
接入终端速度限制 | 对接入终端的速度做门槛,禁止低于一定速度的终端接入,提升整体网络速度 | ||||
平均带宽分配 | 支持用户平均分配带宽,根据时间公平算法,防止单个用户拉低网络整体速度 |
5.1海印集团WLAN工程建设
海印集团简介:
广东海印集团股份有限公司(证券简称:海印股份,证券代码:000861) 于1998年在深交所挂牌上市,公司总股本4.92亿股。截至2012年3月中旬,公司市值近100亿元人民币。公司主营业务包括主题商场及综合性商业物业开发租赁、高岭土、炭黑三大领域
海印集团WLAN建设需求:
促使顾客用微信关注集团公共帐号,后期集团可通过微信为客户推送商场活动及广告,降低营销成本;
让顾客注册成为集团会员,提高顾客忠诚度;
收集顾客的手机号码,用于集团短信营销,
分析用户上网行为和上网偏好,为集团营销策略调整做参考;
海印集团WLAN工程建设
WLAN部署方案:
采用万兆系列控制器7300两台和1033台双频2600。
万兆系列控制器放在运营商机房,双机热备,NAP热点通过POE交换机供电,避免强电隐患。
WLAN实现价值:
海印商场区域无线信号全覆盖,无线网络提供差异化服务,吸引更多客流。
采用微信营替代部分短信营销,减少了营销成本,改善客户印象。
增加集团会员数,增加固定客源。
用户接入时推送广告,互动营销方式,营销方式新颖。
5.2中北集团WLAN建设工程
中北集团简介:
成立于1996年8月,经过十余年的发展积累,业已形成以房地产开发、商业运营、酒店运营、矿产开发为龙头产业的跨地域专业化集团公司。集团资产数十亿,集团本部及旗下公司拥有员工2000余人,其中大专以上教育水平及职业技术人才500余人均为相关领域获得多年成功经验的行业精英。
中北集团WLAN建设需求:
商场各区域内无线网络信号无死角覆盖,保障网络使用效果。
对接入用户做不同的页面推送,做广告营销。
根据接入NAP流量统计,分析不同区域商铺人流量,为商场给店铺定价制定提供数据参考。
WLAN部署方案:
采用万兆系列控制器6300两台和400台双频2600。
万兆系列控制器放在运营商机房,双机热备,NAP热点通过POE交换机供电,避免强电隐患。
信锐WLAN实现价值:
商场公共区域,人流量密集区域,NAP设备开启负载均衡策略,均衡负载用户接入,保障网络稳定使用。
根据不同购物区域内的不同NAP 组,在用户接入网络时推送不同的广告页面,定向营销,同时可根据商场不同时间段的打折信息不同,定期修改推送页面内容。
根据接入NAP流量统计,分析不同区域商铺人流量,为商场给店铺定价制定提供数据参考。;
