1.4 企業WLAN需求分析
隨著智慧移動終端的增加,企業BYOD的普及,高質量的WLAN已經成為企業移動辦公的剛性需求。
而在具體的應用過程中企業WLAN包含以下具體的需求:
1.4.1 企業WIFI安全接入
隨著企業資訊化建設和國家資訊化工程的發展,企業辦公資訊化逐漸實現,企業BYOD需求激增,更多的企業採用無線網路接入自己的內部業務和辦公系統。受無線網路侷限性影響,其安全問題日益凸顯,亟待安全接入機制,保障客戶業務系統免受駭客攻擊。
1.4.2 企業WIFI安全辦公
企業業務規模不斷擴大,企業業務對網路的依賴性也越來越高。無線網路技術的逐步成熟讓很多企業擴充套件無線網路來實行自身的日常辦公和客戶接待以及業務諮詢。辦公、訪客、會議室等都需要使用無線網路。在智慧終端普及的當下,無線網路同樣能夠讓平板電腦、手機、自帶膝上型電腦成為辦公工具。伴隨而來的安全問題不僅體現在接入,接入之後如何防護企業網路的安全以及保障業務系統的正常執行,亟需要有效的無線安全解決方案來做雙重保障。
1.4.3 企業WIFI快速上網
隨著企業的不斷髮展,業務對於無線網路的要求也越來也高。而無線網路由於其無邊界化、訊號易受干擾等原因,無線網路在多人使用過程中會出現連線不穩定、上網速度慢、無關應用佔用頻寬等體驗不佳的問題。因此企業郵件、財務、辦公軟體、網際網路業務系統的高效使用、訪客的資訊諮詢和反饋亟需要快速的無線網路來支撐。
1.4.4 企業WIFI快速漫遊
隨著智慧移動終端發展,企業BYOD處於大勢所趨,要實現企業內部任何時間、任何地點都能實現BYOD,這就必須保證無線訊號的無縫覆蓋、快速漫遊,而且訊號質量高。
對於多種接入終端,多個接入地點保證良好的一體化相容、控制、管理。
1.4.5 企業上網行為管理
企業員工可以透過WIFI進行資料查詢、內部辦公、溝通交流、業務諮詢、外發機密檔案等,亟需要實現員工上網行為的管理、頻寬的管控和保證員工上網安全,用於提供員工的辦公效率和避免企業網路資源浪費,防止企業機密資料洩密和員工透過網際網路從事非法交易活動。
1.4.6 訪客安全管理
企業訪客可以透過WIFI接入企業內部或訪問網際網路,接入層需要解決安全接入問題。接入後訪問企業內部受限資源、訪問網際網路,同樣亟需要對訪客的上網行為做管控以及流量做管控。
1.4.7 集中管理
很多集團公司隨著業務的高速發展,企業部署的無線接入點與日俱增,數量龐大。針對眾多的無線WIFI熱點配置、升級、維護需要統一化的集中管理,降低維護成本,提高整體的穩定性,減少故障率。
1.4.8 企業資料保護、安全
企業業務系統以資料為核心,而無線網路有別於有線網路,無線網路的所有資料都在空中傳輸,需要高效且安全性極高的加密機制保證資料不被竊取破解,洩露企業機密。
企業無線部署作為有線的擴充套件,安全接入的邊界和方式相較於有線網路難以控制,員工私接Wi-Fi等安全問題也缺乏很好的管理手段。各種釣魚AP、AD-hoc可能隱藏在無線環境中,資料被轉移、資料中病毒的風險無處不在,亟需要加以防護,確保資料和業務安全。
1.5企業WLAN當前面臨的挑戰1.5.1 企業辦公無線終端密度大,員工對網路時延敏感度高
企業BYOD需求激增,企業辦公區、會議室,無線終端密集。需要保證在高密度的情況下,員工和訪客上網的流暢性,提高企業的辦公和業務處理效率。
1.5.2 辦公場所要求覆蓋廣,無死角,訊號強
企業辦公區域面積大,要求訊號無死角覆蓋,內部員工接入可實現無感知漫遊,不斷網。滿足公司會議室高密區域,使用者穩定接入。來訪訪客隨時隨地可接入,並辦理業務諮詢和反饋。
1.5.3 企業組織結構複雜,許可權難於控制
隨著企業的發展壯大,職位分工更加明確,部門的職責也更加細化。部門精細化的同時許可權也必須精細化控制,各個部門、職位擁有責任內的不同許可權。
1.5.4 OA、郵件等辦公系統頻寬被大量搶佔
在一定的無線頻寬情況下,企業員工執行大量的P2P下載,影片瀏覽等高耗頻寬的應用,嚴重搶佔正常的系統頻寬,造成企業的頻寬資源耗費,無線辦公和業務處理效率低下。
1.5.5 無線攻擊手段多樣,內網安全有威脅
不同於有線網路基於物理埠進行安全防禦,無線訊號因其自身特點,覆蓋區域內的任何人員都能看到無線訊號,對企業而言,難免會存在一定盜用賬號、非法接入的安全威脅。
1.5.6 空中垃圾多,無線接入穩定性得不到保證
WiFi網路大多使用的2.4GHz頻段,眾所周知,2.4GHz頻段是開放頻段,工作在這個頻段的裝置很多,比如:微波爐、藍芽、無線座機、外來NAP、監控攝像頭等等,會對WiFi裝置進行大量的干擾。除此以外,2.4GHz相互不干擾的通道只有1、6、11,當部署區域被運營商的AP給佔用以後,可用通道就不多了。在這種情況下,干擾會造成丟包和延遲,實際傳輸速率往往得不到保證。
2、時訊網路-方案設計
根據xxx企業的無線網路需求和無線網路設計原則,結合無線系統技術和產品的特點,方案設計如下:
2.2 無線組網方式
結合使用者無線網路需求情況,結合產品自身技術特點,為了滿足使用者構建一個高速、穩定、安全、可靠、易於管理的無線接入網路的需求,本設計方案按照NAP+AC的結構化無線網路解決方案進行設計。網路拓撲如下(可編輯):
2.3 通道規劃
使用2.4GHz頻點為例,為保證通道之間不相互干擾,要求兩個通道之間間隔不低於25MHz。在一個覆蓋區內,最多可以提供3個不重疊的頻點同時工作,通常採用1、6、11三個頻點。WLAN頻率規劃需綜合考慮建築結構、穿透損耗以及佈線系統等具體情況進行。
通道規劃如下圖:
圖紙中橙色、藍色、黃色訊號圈分別為1、6、11通道。圓心點為NAP部署位置。
2.4 企業無線安全接入設計
在無線系統中,可以在多個層面對系統構築安全防護,其安全性設計如下:
2.4.1 更豐富、快捷的企業認證安全機制
採用802.1x認證,使用者接入時即需要認證。使用者可採用安全證書、使用者名稱口令作為接入網路的憑據,認證透過的使用者才允許接入網路。業內皆知802.1x在使用者終端裝置上配置極其複雜,無疑給使用者使用和IT管理員增加了大量的配置工作,無線技術提供了企業認證的自動配置工具,終端使用者無須管理員協助,透過開放性wlan下載自動配置工具,一鍵安裝即可輕鬆接入企業網路,既安全又便捷。
支援自建CA頒發證書和管理,證書分發可透過自動配置工具統一打包一鍵完成安裝,也支援使用者透過web下載、管理員透過郵件分發,簡單且快捷。
支援和企業內部的使用者認證伺服器進行身份認證,只需要在配置頁面上配置對接資訊即可以和LDAP、AD域、Radius等企業內部的使用者身份資料庫進行快速的身份校驗,既安全且可靠。
企業認證支援本地內部資料庫伺服器,本地資料庫支援認證終結到控制器上,可滿足沒有內部身份認證伺服器的中小型企業。
2.4.2 帳號、終端靈活繫結、杜絕越權訪問
可限制一個帳號同時登入的終端個數,有效保護企業網路資源。針對超限的帳號可採取以下兩種措施:
強迫最早接入的終端下線。
不允許新終端接入。
當然對於需要放開限制的帳號如老闆帳號,也可支援配置例外帳號。
基於終端型別和特性的接入控制。手機、ipad、Notebook能不能接無線,您說了算。無線可以免安裝客戶端軟體實現終端型別的識別,認證接入時,可以根據情況限制只有手機終端可以接入,筆記本型別不能接入;或者只允許IOS終端接入,不允許Android終端接入,讓您認為不安全的終端無法接入網路。
基於接入位置的接入控制。不同的無線熱點可配置不同的接入訪問控制策略,以便不同的無線熱點承載的無線使用者接入到企業內部不同的業務系統,既安全又高效。
基於使用者屬性的接入控制。無線無縫對接企業內部認證伺服器,支援使用者組[安全組、OU組]、使用者名稱等使用者屬性的接入控制,也支援radius等屬性的接入控制。不僅如此,還致力於開發內部的本地資料庫伺服器,同樣支援按本地資料庫的使用者屬性進行接入控制。
甚至接入控制條件可以靈活組合,滿足客戶不同的接入控制需求。支援基於終端型別和接入位置、使用者屬性作為一組接入條件進行接入控制。例如可以支援不同的接入位置且滿足指定的終端特性才允許接入進行上網,如下圖:
企業使用者接入無線網路後,無線提供安全管家全面負責其使用者許可權的授權管理。豐富的許可權分配表支援按使用者屬性、終端型別、接入區域、不同時間段來設定不同的角色,角色上搭建不同的訪問控制策略,構建企業級防火牆,許可權控制更全面和精細化。
DHCP防禦。只轉發受信任的DHCP伺服器響應,遮蔽非法的DHCP伺服器,防止終端IP不合法。防止使用者私設IP,有效保護網路避免存在大量衝突IP地址導致客戶網路癱瘓。
DDOS防禦。可根據使用者最大併發數、新建連線速率、小包速率進行防護,一旦超限可自動加入動態黑名單,凍結處理,杜絕網路攻擊。
無線網路隨著接入人數的不斷增加,由於干擾增大導致上網速度慢,應用訪問體驗差。採用獨有的應用層協議加速技術,客戶端無需安裝任何外掛,只需在無線控制器上開啟應用加速功能,透過改善無線傳輸協議演算法,無線網路的傳輸速度就能夠提升1.5-4倍效果。有效解決企業無線網路由於干擾導致的無線傳輸速率低、丟包、延遲等網路質量問題。
傳統的無線隨著低速終端的接入會導致高速終端速率被拉低,從而導致整體吞吐率下降,客戶業務響應緩慢,嚴重影響終端的應用訪問體驗。
技術進行了無線底層的技術改進,提出“防終端拖滯”創新專利,支援使用者平均分配頻寬,根據時間公平演算法,防止單個終端拉低網路整體速度。
傳統的無線漫遊依賴的是終端自己的特性,無法做到可控制,而技術提供的“防終端粘滯”彌補了這塊的缺陷。透過防終端粘滯功能,無線可以引導無線終端更快的漫遊到無線服務能力更好的無線熱點上,讓客戶得到更好的無線網路體驗。漫遊後,終端的vlan、角色、IP保持不變,使用者無感知。
無線企業網的客戶,往往同時擁有有線使用者。客戶希望可以透過無線控制器上進行配置,利用無線控制器的有線口來完成有線使用者的認證,同時對無線使用者和有線使用者進行集中管理,完成流量控制、流量管理和流量審計。無線集成了有線認證和管控,提供了“porta認證”、“IP認證”、“免認證“等安全接入認證機制,真正做到對有線使用者和無線使用者的一體化管控。
無線企業網的客戶,不僅需要完成使用者的接入、認證,同時希望對使用者的網路行為和內容進行審計,包括但不限於HTTP外發內容、訪問的網站和下載、郵件、FTP、TELNET、其它網路應用、網頁內容、ACL拒絕行為、以及上網流量與時長控制。
透過配置審計策略,在角色中引用相應用審計策略,並給使用者分配相應的角色,即可實現對使用者的審計。
無線企業網的客戶,不僅需要完成使用者的接入、認證,同時希望對使用者的網路行為和內容進行審計,審計的結果保存於資料中心。
技術提供獨有的”離職風險報表“、”法律風險報表“、”上網行為報表“,及時地管控員工的風險行為。
透過無線提供的微信認證功能,訪客進入企業展廳,接入無線網路,將被定向到指定提示頁面,提示訪客關注微訊號然後即可獲取上網許可權,訪客關注微訊號即可上網。這樣便大大增加了訪客對企業的關注度,也便於企業廣告、業務推送和宣傳。
技術提供了上網時長和流量配額控制策略,可靈活根據客戶需要杜絕企業周邊人員侵入網路,保護公司的網路資源。
技術提供了員工與訪客接入同一SSID內的隔離,防止互訪可能導致的資料轉移、企業資訊洩密、檔案中毒等危險行為,保護企業資源安全,防止機密資訊洩露。
所有無線熱點支援從雲端自動升級到最新的版本,不同硬體型號AP能自動判斷並完成升級,無線客戶手工干預,降低了後續升級維護成本。
客戶可選擇夜裡自動升級,減少白天升級導致的業務中斷問題。
部分企業分支部署遠端AP,需要接入到總部的無線控制器,以便透過無線網路訪問總部的資源,而企業總部的出口IP經常變換,給遠端AP連線總部帶來極大的困擾。
技術提供智慧連線技術,總部IP變換對於遠端AP而言是透明的,不需要任何手工操作便可快速地恢復網路,保證業務不中斷。
無線資料在空中傳輸,承載者企業各種業務資料,需要高效且可靠的加密機制來避免資料被暴力破解或篡改。技術支援國際標準的多種資料加密方式,保證了企業業務資料在傳輸過程中既安全又可靠。主要體現在以下3方面:
技術採用WPA/WPA2+AES的方式實現資料的加密,保證資料的安全性。WPA2金鑰長度為128 位,解決了傳統金鑰過短、容易被第三者惡意截獲的問題,且在WPA2中定義了一個具有更高安全性的加密標準CCMP,旨在給使用者提供了一個完整的認證機制,無線熱點根據使用者的認證結果決定是否允許其接入無線網路中,認證前與使用者身份資料庫中的認證資訊進行比對檢查,以確認是否具有許可權並向客戶端動態分發用加密金鑰,認證成功後可以根據多種方式(傳輸資料包的多少、使用者接入網路的時間等)動態地改變每個接入使用者的加密金鑰。另外,對使用者在無線中傳輸的資料包進行MIC編碼,確保使用者資料不會被其他使用者更改。
無線熱點和控制器之間的資料包進行RC4加密,高效且安全。
技術同時支援WAPI標準,進一步保障資料的機密性和完整性。
技術提供雙機備份機制,減少單個裝置故障帶來的客戶業務中斷問題,提升了客戶業務的可靠性,減少單點故障。
根據以上對XXX商場需求的分析,為了實現更快速、更安全的企業WLAN建設,XXX公司無線系統必須具備以下功能:
對無線網路的加速功能
對於企業重點的業務資料進行識別和頻寬保障
對非法網路應用和URL進行識別和控制
無線接入點NAP使用2.4G和5G雙頻接入保證接入數量和質量。
方案亮點與價值
無線透過特有的協議棧加速、射頻最佳化、應用識別為XXX企業提供高速、穩定的無線網路,提升使用者體驗。並根據XXX企業內部OA、郵件等業務系統進行頻寬保障,建立更快速、更穩定的企業業務WLAN。
針對干擾的無線網路環境,方案採用獨有的協議棧加速技術,客戶端無需安裝任何外掛,在NAC開啟單邊加速功能,透過改善無線傳輸協議演算法,將無線網路的傳輸速度提升200%以上。有效解決無線網路由於干擾導致的無線傳輸速率低、丟包等網路質量問題,大幅提升XXX企業無線網路速度。
方案透過無線控制器自動識別終端型別,根據終端型別設定相應的流量控制策略。實現了針對終端精細的流量控制。例如禁止手機耍微博、炒股等等。
對於應用的雜亂無章,難以管控,本方案中無線控制器透過內建全國最大的應用識別庫和URL庫,自動識別無線流量型別,並根據終端型別設定相應的流量控制策略。對於重要的OA、郵件、財務等辦公系統進行重點的頻寬保障,防止了其流量被搶佔。對於高耗流量的風行、迅雷、電驢等P 2 P下載,影片瀏覽進行頻寬限制,防止此類應用對於頻寬的過分搶佔,從而保障了企業正常的辦公網路。
針對WLAN的頻寬保障,可以讓承載重要業務的無線網路得到保障,如電子書包無線網路保障。
方案針對無線傳輸中拉低網路速度的相關機制進行了相應的最佳化,使無線網路傳輸速度得道進一步的提升。
透過智慧負載均衡使終端均衡的分佈在不同的AP上,5G終端優先連5G,讓所有終端都有較好的連線體驗。
方案透過精細化的角色授權管理、危險應用和URL的識別與管理、內建證書、動態黑名單等為XXX企業提供了更全面的安全防護
隨著企業內部結構的逐漸複雜化、網路管理也越來越難。精細化角色授權管理針對不同角色物件,對使用者進行多級的角色授權,根據不同角色分配不同的訪問和流控策略。充分保證了各自的安全,防止越權。
調查表明75%的網路攻擊來自應用層,透過內建全國最大的應用識別庫和URL庫,自動識別危險應用和URL,並加以控制和封堵,極大的提升了網路的安全性。
動態黑名單功能能實現自動對網路的監控,自動封堵攻擊源,在保障網路安全的同時,大大降低了工作人員的壓力。
802.1X能有效保證XXX企業網路的安全性,但802.1X複雜的配置往往另802.1X認證實施遇到巨大阻力。對此,方案為XXX企業提供了802.1X自動配置工具,讓各個部門的人能夠輕鬆使用802.1X認證。大大降低了802.1X認證的推廣實施難度。
為了實現針對XXX企業領導等人員帳號需要重點保障的情況,針對重點帳號使用帳號、MAC自動繫結。防止越權訪問的同時減少管理員繁瑣的操作。而且一個賬號最多繫結5個MAC,實現了安全性與靈活性的兼顧。
根據不同組網規模,提供多樣化的產品形態,使用者可根據實際靈活選擇,降低組網成本,提高效益。例如,針對中小規模網路、或者大型客戶的分支機構,使用者可以選擇mini NAC,相較於同等效能的無線控制器,成本節省一半。
同時,由於業務擴容,無線部署時需要考慮其擴充套件性,初期即購買高效能無線控制器投入太大,低端無線控制器又無法滿足要求。推出多樣的產品形態,使用者可根據組網規模按需部署。同時,虛擬化NAC的解決方案可以部署於虛擬化伺服器上,透過擴容license即可提升無線網路的規模,不必擔心硬體裝置淘汰浪費的問題。
雙機備份機制,配置實時同步,提供動態的故障轉移機制,保證使用者業務不因臨時故障而中斷,實現業務的快速恢復,降低系統因單點故障導致網路中斷的風險。
1.4 企業WLAN需求分析
隨著智慧移動終端的增加,企業BYOD的普及,高質量的WLAN已經成為企業移動辦公的剛性需求。
而在具體的應用過程中企業WLAN包含以下具體的需求:
1.4.1 企業WIFI安全接入
隨著企業資訊化建設和國家資訊化工程的發展,企業辦公資訊化逐漸實現,企業BYOD需求激增,更多的企業採用無線網路接入自己的內部業務和辦公系統。受無線網路侷限性影響,其安全問題日益凸顯,亟待安全接入機制,保障客戶業務系統免受駭客攻擊。
1.4.2 企業WIFI安全辦公
企業業務規模不斷擴大,企業業務對網路的依賴性也越來越高。無線網路技術的逐步成熟讓很多企業擴充套件無線網路來實行自身的日常辦公和客戶接待以及業務諮詢。辦公、訪客、會議室等都需要使用無線網路。在智慧終端普及的當下,無線網路同樣能夠讓平板電腦、手機、自帶膝上型電腦成為辦公工具。伴隨而來的安全問題不僅體現在接入,接入之後如何防護企業網路的安全以及保障業務系統的正常執行,亟需要有效的無線安全解決方案來做雙重保障。
1.4.3 企業WIFI快速上網
隨著企業的不斷髮展,業務對於無線網路的要求也越來也高。而無線網路由於其無邊界化、訊號易受干擾等原因,無線網路在多人使用過程中會出現連線不穩定、上網速度慢、無關應用佔用頻寬等體驗不佳的問題。因此企業郵件、財務、辦公軟體、網際網路業務系統的高效使用、訪客的資訊諮詢和反饋亟需要快速的無線網路來支撐。
1.4.4 企業WIFI快速漫遊
隨著智慧移動終端發展,企業BYOD處於大勢所趨,要實現企業內部任何時間、任何地點都能實現BYOD,這就必須保證無線訊號的無縫覆蓋、快速漫遊,而且訊號質量高。
對於多種接入終端,多個接入地點保證良好的一體化相容、控制、管理。
1.4.5 企業上網行為管理
企業員工可以透過WIFI進行資料查詢、內部辦公、溝通交流、業務諮詢、外發機密檔案等,亟需要實現員工上網行為的管理、頻寬的管控和保證員工上網安全,用於提供員工的辦公效率和避免企業網路資源浪費,防止企業機密資料洩密和員工透過網際網路從事非法交易活動。
1.4.6 訪客安全管理
企業訪客可以透過WIFI接入企業內部或訪問網際網路,接入層需要解決安全接入問題。接入後訪問企業內部受限資源、訪問網際網路,同樣亟需要對訪客的上網行為做管控以及流量做管控。
1.4.7 集中管理
很多集團公司隨著業務的高速發展,企業部署的無線接入點與日俱增,數量龐大。針對眾多的無線WIFI熱點配置、升級、維護需要統一化的集中管理,降低維護成本,提高整體的穩定性,減少故障率。
1.4.8 企業資料保護、安全
企業業務系統以資料為核心,而無線網路有別於有線網路,無線網路的所有資料都在空中傳輸,需要高效且安全性極高的加密機制保證資料不被竊取破解,洩露企業機密。
企業無線部署作為有線的擴充套件,安全接入的邊界和方式相較於有線網路難以控制,員工私接Wi-Fi等安全問題也缺乏很好的管理手段。各種釣魚AP、AD-hoc可能隱藏在無線環境中,資料被轉移、資料中病毒的風險無處不在,亟需要加以防護,確保資料和業務安全。
1.5企業WLAN當前面臨的挑戰1.5.1 企業辦公無線終端密度大,員工對網路時延敏感度高
企業BYOD需求激增,企業辦公區、會議室,無線終端密集。需要保證在高密度的情況下,員工和訪客上網的流暢性,提高企業的辦公和業務處理效率。
1.5.2 辦公場所要求覆蓋廣,無死角,訊號強
企業辦公區域面積大,要求訊號無死角覆蓋,內部員工接入可實現無感知漫遊,不斷網。滿足公司會議室高密區域,使用者穩定接入。來訪訪客隨時隨地可接入,並辦理業務諮詢和反饋。
1.5.3 企業組織結構複雜,許可權難於控制
隨著企業的發展壯大,職位分工更加明確,部門的職責也更加細化。部門精細化的同時許可權也必須精細化控制,各個部門、職位擁有責任內的不同許可權。
1.5.4 OA、郵件等辦公系統頻寬被大量搶佔
在一定的無線頻寬情況下,企業員工執行大量的P2P下載,影片瀏覽等高耗頻寬的應用,嚴重搶佔正常的系統頻寬,造成企業的頻寬資源耗費,無線辦公和業務處理效率低下。
1.5.5 無線攻擊手段多樣,內網安全有威脅
不同於有線網路基於物理埠進行安全防禦,無線訊號因其自身特點,覆蓋區域內的任何人員都能看到無線訊號,對企業而言,難免會存在一定盜用賬號、非法接入的安全威脅。
1.5.6 空中垃圾多,無線接入穩定性得不到保證
WiFi網路大多使用的2.4GHz頻段,眾所周知,2.4GHz頻段是開放頻段,工作在這個頻段的裝置很多,比如:微波爐、藍芽、無線座機、外來NAP、監控攝像頭等等,會對WiFi裝置進行大量的干擾。除此以外,2.4GHz相互不干擾的通道只有1、6、11,當部署區域被運營商的AP給佔用以後,可用通道就不多了。在這種情況下,干擾會造成丟包和延遲,實際傳輸速率往往得不到保證。
2、時訊網路-方案設計
根據xxx企業的無線網路需求和無線網路設計原則,結合無線系統技術和產品的特點,方案設計如下:
2.2 無線組網方式
結合使用者無線網路需求情況,結合產品自身技術特點,為了滿足使用者構建一個高速、穩定、安全、可靠、易於管理的無線接入網路的需求,本設計方案按照NAP+AC的結構化無線網路解決方案進行設計。網路拓撲如下(可編輯):
2.3 通道規劃
使用2.4GHz頻點為例,為保證通道之間不相互干擾,要求兩個通道之間間隔不低於25MHz。在一個覆蓋區內,最多可以提供3個不重疊的頻點同時工作,通常採用1、6、11三個頻點。WLAN頻率規劃需綜合考慮建築結構、穿透損耗以及佈線系統等具體情況進行。
通道規劃如下圖:
圖紙中橙色、藍色、黃色訊號圈分別為1、6、11通道。圓心點為NAP部署位置。
2.4 企業無線安全接入設計
在無線系統中,可以在多個層面對系統構築安全防護,其安全性設計如下:
2.4.1 更豐富、快捷的企業認證安全機制
採用802.1x認證,使用者接入時即需要認證。使用者可採用安全證書、使用者名稱口令作為接入網路的憑據,認證透過的使用者才允許接入網路。業內皆知802.1x在使用者終端裝置上配置極其複雜,無疑給使用者使用和IT管理員增加了大量的配置工作,無線技術提供了企業認證的自動配置工具,終端使用者無須管理員協助,透過開放性wlan下載自動配置工具,一鍵安裝即可輕鬆接入企業網路,既安全又便捷。
支援自建CA頒發證書和管理,證書分發可透過自動配置工具統一打包一鍵完成安裝,也支援使用者透過web下載、管理員透過郵件分發,簡單且快捷。
支援和企業內部的使用者認證伺服器進行身份認證,只需要在配置頁面上配置對接資訊即可以和LDAP、AD域、Radius等企業內部的使用者身份資料庫進行快速的身份校驗,既安全且可靠。
企業認證支援本地內部資料庫伺服器,本地資料庫支援認證終結到控制器上,可滿足沒有內部身份認證伺服器的中小型企業。
2.4.2 帳號、終端靈活繫結、杜絕越權訪問
首次連線無線網路認證時,使用者名稱和終端可以實現自動繫結,幫助企業快速完成身份繫結,若使用者擁有多個上網終端,管理員也可以靈活的手動審批後續新加入終端的繫結。因此企業可根據使用者組織結構劃分不同的訪問許可權,避免越權訪問問題的發生。2.4.3 限制帳號在多個終端同時接入可限制一個帳號同時登入的終端個數,有效保護企業網路資源。針對超限的帳號可採取以下兩種措施:
強迫最早接入的終端下線。
不允許新終端接入。
當然對於需要放開限制的帳號如老闆帳號,也可支援配置例外帳號。
2.4.4 多樣化的接入控制基於終端型別和特性的接入控制。手機、ipad、Notebook能不能接無線,您說了算。無線可以免安裝客戶端軟體實現終端型別的識別,認證接入時,可以根據情況限制只有手機終端可以接入,筆記本型別不能接入;或者只允許IOS終端接入,不允許Android終端接入,讓您認為不安全的終端無法接入網路。
基於接入位置的接入控制。不同的無線熱點可配置不同的接入訪問控制策略,以便不同的無線熱點承載的無線使用者接入到企業內部不同的業務系統,既安全又高效。
基於使用者屬性的接入控制。無線無縫對接企業內部認證伺服器,支援使用者組[安全組、OU組]、使用者名稱等使用者屬性的接入控制,也支援radius等屬性的接入控制。不僅如此,還致力於開發內部的本地資料庫伺服器,同樣支援按本地資料庫的使用者屬性進行接入控制。
甚至接入控制條件可以靈活組合,滿足客戶不同的接入控制需求。支援基於終端型別和接入位置、使用者屬性作為一組接入條件進行接入控制。例如可以支援不同的接入位置且滿足指定的終端特性才允許接入進行上網,如下圖:
2.5 企業無線安全辦公設計2.5.1 精細化多角色授權管理企業使用者接入無線網路後,無線提供安全管家全面負責其使用者許可權的授權管理。豐富的許可權分配表支援按使用者屬性、終端型別、接入區域、不同時間段來設定不同的角色,角色上搭建不同的訪問控制策略,構建企業級防火牆,許可權控制更全面和精細化。
2.5.2 VLAN隔離 同一vlan內、不同vlan間通訊的終端採用隔離技術,有效防止終端之間傳輸大量檔案損耗AP有限的頻寬資源,也防止終端之間的任意互訪有可能導致的資料竊取、檔案中毒等惡意行為,最大限度地確保辦公安全,提高辦公效率。2.5.3 基於內網的服務和應用控制無線不僅支援傳統的基於埠的防火牆控制策略, 同時內建了國內最大的應用識別庫和URL庫,管理員能夠輕易識別出具體的應用和URL,靈活的設定網路訪問策略,並且能夠進行相應的精細化應用控制。業界的防火牆控制主要是基於網關出口,只能限制內網使用者訪問網路資源,內網使用者之間不能做到基於服務和應用控制。而無線彌補了這塊黑洞,獨有的基於內網的服務和應用控制方案給業界帶來新的突破和福音。企業網路和內部應用是非常複雜的如下圖,企業內部既有有線網路也有無線網路,既有使用者之間互訪、訪問內部資源、移動小型裝置接入和資料傳遞的需求,也有訪問網際網路資源、資料中心進行資料同步需求。在這種錯綜複雜的網路環境和應用環境中,傳統的防火牆只能在網關出口控制內網使用者對公網資源的訪問,而忽略了內網這更為複雜的環境。信線集成了有線無線一體化,在業界首次提出“使用者”的概念,其訪問控制策略結合強大的應用識別庫搭配“使用者”概念,完美實現了內網使用者之間的控制以及對公網資源訪問的外部控制,該方案針對有線或無線使用者都適用,給企業一個乾淨和健康的網路環境。同時其策略配置更注重人性化,區別於傳統的配置IP等複雜的方式,使用者可選擇應用、選擇連線方向“使用者發起”、“使用者接收”,選擇時間計劃,選擇動作“允許”或“拒絕”即可快速地實現訪問控制。、例如:企業員工上班時間只能訪問內網的“企業內部業務系統”、不允許允許訪問公網影片網站,研發人員不能訪問市場人員的CRM系統,研發人員不能向市場人員傳送郵件;訪客手機終端之間不能傳送檔案,訪客只能訪問固定的網站,不能訪問企業內部的研發和市場資源, 但不允許上微博發信息;針對與工作相關的即時通訊軟體、下載軟體不做應用的限制,而對下載速度做一定範圍的限制。2.5.4 網路層防護DHCP防禦。只轉發受信任的DHCP伺服器響應,遮蔽非法的DHCP伺服器,防止終端IP不合法。防止使用者私設IP,有效保護網路避免存在大量衝突IP地址導致客戶網路癱瘓。
DDOS防禦。可根據使用者最大併發數、新建連線速率、小包速率進行防護,一旦超限可自動加入動態黑名單,凍結處理,杜絕網路攻擊。
2.6 企業無線快速上網設計2.6.1 端到端的協議加速無線網路隨著接入人數的不斷增加,由於干擾增大導致上網速度慢,應用訪問體驗差。採用獨有的應用層協議加速技術,客戶端無需安裝任何外掛,只需在無線控制器上開啟應用加速功能,透過改善無線傳輸協議演算法,無線網路的傳輸速度就能夠提升1.5-4倍效果。有效解決企業無線網路由於干擾導致的無線傳輸速率低、丟包、延遲等網路質量問題。
2.6.2 防終端拖滯讓無線跑得更快傳統的無線隨著低速終端的接入會導致高速終端速率被拉低,從而導致整體吞吐率下降,客戶業務響應緩慢,嚴重影響終端的應用訪問體驗。
技術進行了無線底層的技術改進,提出“防終端拖滯”創新專利,支援使用者平均分配頻寬,根據時間公平演算法,防止單個終端拉低網路整體速度。
2.6.3 基於應用的無線射頻管理 技術研發的無線網路動態頻寬分配,當無線接入點頻寬不足時,無線網路的保證頻寬將按照設定的權重對所在接入點頻寬進行分配;無線接入點頻寬充足時,將不受此限制。例如辦公網路,可以配置權重較大,用於保證辦公應用的正常業務通訊;非重要網路,例如訪客網路,可以配置權重較小,用於限制非重要網路的上網頻寬,以免影響其他無線網路。每個無線網路上使用者可以自定義基於應用的子通道, 使用者可以設定通道間的頻寬佔用比例,當無線網路頻寬不足時,通道間的保證頻寬將按照設定的比例進行頻寬分配,無線網路頻寬充足時不受此比例限制。例如辦公網路中,可配置P2P子通道,配置權重最小;辦公OA系統對應的子通道權重最大;網際網路應用對應的子通道權重介於兩者之間。2.6.4 組播最佳化及提速自動組播提速:將廣播包原有的傳送速度提高,加快廣播包的傳輸效率,保證每個終端可以收到組播包,提升頻寬吞吐。ARP廣播轉單播:透過對ARP傳送機制的最佳化提升ARP效率,減少不必要的廣播泛洪。禁止DHCP請求發往無線終端:透過對DHCP傳送機制的最佳化提升DHCP效率。接入終端速度限制:支援接入終端速度限制,禁止低於一定速度的終端接入,提升整體網路速度。2.6.5 VLAN池利用VLAN地址池,減少廣播域,減少廣播泛洪,提升無線網路頻寬資源的利用率。2.6.6 智慧負載、5G優先、高密穩定快速接入在企業的開放工位、會議室等人員高密的區域,通常會有多個無線熱點的訊號覆蓋,技術無線解決方案會根據每個AP的負載情況,將使用者自動分配到訊號強、接入人數少的AP上,同時會選擇優先負載到干擾比較小的5G頻段上,確保每個無線使用者都能獲得暢快的網路體驗。除了基於人數的負載外,技術還能基於2.4G和5.8G的雙頻段進行智慧雙頻負載。智慧雙頻負載:2.4G和5G之間可實現自動負載,引導5G終端優先接入干擾比較小的5G網路,提升無線接入質量。2.7 企業無線快速漫遊設計2.7.1 防終端粘滯傳統的無線漫遊依賴的是終端自己的特性,無法做到可控制,而技術提供的“防終端粘滯”彌補了這塊的缺陷。透過防終端粘滯功能,無線可以引導無線終端更快的漫遊到無線服務能力更好的無線熱點上,讓客戶得到更好的無線網路體驗。漫遊後,終端的vlan、角色、IP保持不變,使用者無感知。
2.8 企業無線上網行為管理設計2.8.1 有線與無線一體化無線企業網的客戶,往往同時擁有有線使用者。客戶希望可以透過無線控制器上進行配置,利用無線控制器的有線口來完成有線使用者的認證,同時對無線使用者和有線使用者進行集中管理,完成流量控制、流量管理和流量審計。無線集成了有線認證和管控,提供了“porta認證”、“IP認證”、“免認證“等安全接入認證機制,真正做到對有線使用者和無線使用者的一體化管控。
2.8.2 上網審計無線企業網的客戶,不僅需要完成使用者的接入、認證,同時希望對使用者的網路行為和內容進行審計,包括但不限於HTTP外發內容、訪問的網站和下載、郵件、FTP、TELNET、其它網路應用、網頁內容、ACL拒絕行為、以及上網流量與時長控制。
透過配置審計策略,在角色中引用相應用審計策略,並給使用者分配相應的角色,即可實現對使用者的審計。
2.8.3 流量控制和頻寬保證客戶希望對不同使用者及應用的網路流量進行管理和劃分,完成頻寬保證和頻寬限制功能。透過頻寬保證功能可以保證重要應用的頻寬,頻寬限制功能可以做到限制使用者組/使用者上下行總頻寬、各種應用的頻寬。同時,客戶希望提供更靈活的管理和配置,保證重要應用頻寬的同時,可以再根據使用者的優先順序,分配同一應用不同使用者間的頻寬。技術提供基於應用的流量控制,針對使用者的出口頻寬做保證,保證關鍵應用的頻寬佔用,無關應用靠邊佔。2.8.4 更豐富的資料中心報表功能、審計報告自動通知管理層無線企業網的客戶,不僅需要完成使用者的接入、認證,同時希望對使用者的網路行為和內容進行審計,審計的結果保存於資料中心。
技術提供獨有的”離職風險報表“、”法律風險報表“、”上網行為報表“,及時地管控員工的風險行為。
2.9 訪客安全管理設計2.9.1 二維碼快捷上網訪客是開放的企業每天都會面對的群體,供應商、客戶、商業夥伴、相關領導來到公司參觀,都需要便捷的接入無線網路。提供了更簡潔的認證方式,來訪客人只需要連線該公司無線網路,然後開啟瀏覽器自動出現二維碼,內部接待員工用自己的終端掃一掃即可認證透過。二維碼認證技術經過公安部認證,且針對訪客行為可追溯。2.9.2 臨時訪客快捷上網技術提供了臨時訪客代替了傳統的前臺手工登記上網的複雜方案,企業可以直接在前臺為訪客開通賬號和密碼,帳號可以是其身份證號,密碼可以是其身份證的後六位,並且設定上網有效時長;同時信銳技術結合二維碼,為臨時訪客上網生成二維碼,企業前臺人員只需要給訪客二維碼,訪客掃二維碼即可快速上網。臨時訪客的上網行為可追溯。2.9.3 簡訊認證技術提供簡訊認證方式,訪客使用者可以透過手機來獲取驗證碼,輕鬆訪問無線網路。驗證碼可做到一次獲取永久使用。2.9.4 微信認證透過無線提供的微信認證功能,訪客進入企業展廳,接入無線網路,將被定向到指定提示頁面,提示訪客關注微訊號然後即可獲取上網許可權,訪客關注微訊號即可上網。這樣便大大增加了訪客對企業的關注度,也便於企業廣告、業務推送和宣傳。
2.9.5 防蹭網技術提供了上網時長和流量配額控制策略,可靈活根據客戶需要杜絕企業周邊人員侵入網路,保護公司的網路資源。
2.9.6 同一SSID內的隔離技術提供了員工與訪客接入同一SSID內的隔離,防止互訪可能導致的資料轉移、企業資訊洩密、檔案中毒等危險行為,保護企業資源安全,防止機密資訊洩露。
2.10 集中管理設計2.10.1 AP零配置所有無線熱點的配置統一在無線控制器上配置,部署簡單,配置簡易,實現使用者零學習成本。配置支援自動以及手工備份和還原,雙重保證無線熱點的24小時不間斷執行。2.10.2 雲升級所有無線熱點支援從雲端自動升級到最新的版本,不同硬體型號AP能自動判斷並完成升級,無線客戶手工干預,降低了後續升級維護成本。
客戶可選擇夜裡自動升級,減少白天升級導致的業務中斷問題。
2.10.3 視覺化的熱點地圖大型企業隨著業務的快速發展,無線熱點部署劇增,企業分支控制器部署也劇增,面臨著複雜的裝置管理問題。技術提供了強大的視覺化的熱點地圖,透過地圖展示可有效地幫助網路管理人員快速地分析和掌握裝置的實時執行狀態和負載情況。該特性以地圖式的展現方式,分層管理裝置,以掌握裝置的實時執行狀態。熱點點陣圖還提供人流密度分析、使用者位置的搜尋快速定位、安全事件等機制,幫助網管更好地管理無線網路,服務於企業員工。2.10.4 遠端AP智慧連線部分企業分支部署遠端AP,需要接入到總部的無線控制器,以便透過無線網路訪問總部的資源,而企業總部的出口IP經常變換,給遠端AP連線總部帶來極大的困擾。
技術提供智慧連線技術,總部IP變換對於遠端AP而言是透明的,不需要任何手工操作便可快速地恢復網路,保證業務不中斷。
2.10.5 智慧射頻管理訊號干擾是無線網路使用中的常見問題,運營商的CMCC,China Net等無線訊號,以及藍芽、無線監控攝像頭等均工作在2.4G頻段,他們都會對無線網路產生干擾。技術無線AP能夠根據周圍無線的實際干擾情況,只能調整為干擾最低的通道進行工作,同時還支援降低功率來減少覆蓋重疊,提升功率來彌補覆蓋盲區等功能,從而達到真正有效的避免干擾。2.11 企業資料保護、安全可靠設計2.11.1 流氓AP的攻擊檢測與反制無線網路的無線訊號具有開放性,釣魚AP和AD-Hoc等非法AP極容易隱藏在無線網路中引誘企業使用者接入,盜取使用者帳號並竊取企業機密檔案或傳播病毒。企業員工也可能透過部署非法AP進行資料轉移,導致企業資訊洩露。技術採用全面的防禦體系,為您構建最安全的無線接入網路,抵制釣魚AP和AD-Hoc、使用者發起的泛洪或欺騙攻擊等無線攻擊行為,還你一個乾淨且安全的無線網路環境。2.11.2 無線空中加密技術無線資料在空中傳輸,承載者企業各種業務資料,需要高效且可靠的加密機制來避免資料被暴力破解或篡改。技術支援國際標準的多種資料加密方式,保證了企業業務資料在傳輸過程中既安全又可靠。主要體現在以下3方面:
技術採用WPA/WPA2+AES的方式實現資料的加密,保證資料的安全性。WPA2金鑰長度為128 位,解決了傳統金鑰過短、容易被第三者惡意截獲的問題,且在WPA2中定義了一個具有更高安全性的加密標準CCMP,旨在給使用者提供了一個完整的認證機制,無線熱點根據使用者的認證結果決定是否允許其接入無線網路中,認證前與使用者身份資料庫中的認證資訊進行比對檢查,以確認是否具有許可權並向客戶端動態分發用加密金鑰,認證成功後可以根據多種方式(傳輸資料包的多少、使用者接入網路的時間等)動態地改變每個接入使用者的加密金鑰。另外,對使用者在無線中傳輸的資料包進行MIC編碼,確保使用者資料不會被其他使用者更改。
無線熱點和控制器之間的資料包進行RC4加密,高效且安全。
技術同時支援WAPI標準,進一步保障資料的機密性和完整性。
2.12.2 冗餘、減少單點故障技術提供雙機備份機制,減少單個裝置故障帶來的客戶業務中斷問題,提升了客戶業務的可靠性,減少單點故障。
2.13裝置選型根據以上對XXX商場需求的分析,為了實現更快速、更安全的企業WLAN建設,XXX公司無線系統必須具備以下功能:
對無線網路的加速功能
對於企業重點的業務資料進行識別和頻寬保障
對非法網路應用和URL進行識別和控制
無線接入點NAP使用2.4G和5G雙頻接入保證接入數量和質量。
方案亮點與價值
3.1 更快速、更穩定的企業業務WLAN無線透過特有的協議棧加速、射頻最佳化、應用識別為XXX企業提供高速、穩定的無線網路,提升使用者體驗。並根據XXX企業內部OA、郵件等業務系統進行頻寬保障,建立更快速、更穩定的企業業務WLAN。
3.1.1端到端的網路協議棧加速針對干擾的無線網路環境,方案採用獨有的協議棧加速技術,客戶端無需安裝任何外掛,在NAC開啟單邊加速功能,透過改善無線傳輸協議演算法,將無線網路的傳輸速度提升200%以上。有效解決無線網路由於干擾導致的無線傳輸速率低、丟包等網路質量問題,大幅提升XXX企業無線網路速度。
3.1.2終端識別與流量控制方案透過無線控制器自動識別終端型別,根據終端型別設定相應的流量控制策略。實現了針對終端精細的流量控制。例如禁止手機耍微博、炒股等等。
3.1.3應用識別和流量控制對於應用的雜亂無章,難以管控,本方案中無線控制器透過內建全國最大的應用識別庫和URL庫,自動識別無線流量型別,並根據終端型別設定相應的流量控制策略。對於重要的OA、郵件、財務等辦公系統進行重點的頻寬保障,防止了其流量被搶佔。對於高耗流量的風行、迅雷、電驢等P 2 P下載,影片瀏覽進行頻寬限制,防止此類應用對於頻寬的過分搶佔,從而保障了企業正常的辦公網路。
3.1.4基於WLAN的頻寬保障針對WLAN的頻寬保障,可以讓承載重要業務的無線網路得到保障,如電子書包無線網路保障。
3.1.5針對無線的網路最佳化方案針對無線傳輸中拉低網路速度的相關機制進行了相應的最佳化,使無線網路傳輸速度得道進一步的提升。
3.1.6智慧負載均衡透過智慧負載均衡使終端均衡的分佈在不同的AP上,5G終端優先連5G,讓所有終端都有較好的連線體驗。
3.2更安全、更便捷的企業安全WLAN3.2.1更全面的安全防護方案透過精細化的角色授權管理、危險應用和URL的識別與管理、內建證書、動態黑名單等為XXX企業提供了更全面的安全防護
3.2.1.1精細化角色授權管理隨著企業內部結構的逐漸複雜化、網路管理也越來越難。精細化角色授權管理針對不同角色物件,對使用者進行多級的角色授權,根據不同角色分配不同的訪問和流控策略。充分保證了各自的安全,防止越權。
3.2.1.2危險應用和URL的識別和管控調查表明75%的網路攻擊來自應用層,透過內建全國最大的應用識別庫和URL庫,自動識別危險應用和URL,並加以控制和封堵,極大的提升了網路的安全性。
3.2.1.3動態黑名單,自動封堵攻擊源動態黑名單功能能實現自動對網路的監控,自動封堵攻擊源,在保障網路安全的同時,大大降低了工作人員的壓力。
3.2.2更便捷的安全管理3.2.2.1 802.1X自動配置802.1X能有效保證XXX企業網路的安全性,但802.1X複雜的配置往往另802.1X認證實施遇到巨大阻力。對此,方案為XXX企業提供了802.1X自動配置工具,讓各個部門的人能夠輕鬆使用802.1X認證。大大降低了802.1X認證的推廣實施難度。
3.2.2.2帳號、MAC自動繫結為了實現針對XXX企業領導等人員帳號需要重點保障的情況,針對重點帳號使用帳號、MAC自動繫結。防止越權訪問的同時減少管理員繁瑣的操作。而且一個賬號最多繫結5個MAC,實現了安全性與靈活性的兼顧。
3.3 高擴充套件性、高可靠性根據不同組網規模,提供多樣化的產品形態,使用者可根據實際靈活選擇,降低組網成本,提高效益。例如,針對中小規模網路、或者大型客戶的分支機構,使用者可以選擇mini NAC,相較於同等效能的無線控制器,成本節省一半。
同時,由於業務擴容,無線部署時需要考慮其擴充套件性,初期即購買高效能無線控制器投入太大,低端無線控制器又無法滿足要求。推出多樣的產品形態,使用者可根據組網規模按需部署。同時,虛擬化NAC的解決方案可以部署於虛擬化伺服器上,透過擴容license即可提升無線網路的規模,不必擔心硬體裝置淘汰浪費的問題。
雙機備份機制,配置實時同步,提供動態的故障轉移機制,保證使用者業務不因臨時故障而中斷,實現業務的快速恢復,降低系統因單點故障導致網路中斷的風險。