《智慧园区室外无线覆盖20170328》由会员分享,可在线阅读,更多相关《智慧园区室外无线覆盖20170328(24页珍藏版)》请在金锄头文库上搜索。
1、基金小镇无线建设方案建议书2017年3月目录1、概述51.1 智慧园区WLAN现状分析51.2 WLAN需求分析51.2.1高速的无线业务网络61.2.2随时随地的无线终端61.2.3安全、便于管控的访客网络71.3 WLAN当前面临的挑战71.3.1终端、应用类型多,不易管理71.3.2 OA、邮件等办公系统带宽被大量抢占71.3.3访客网络无法安全、有效管控81.3.4攻击手段多样,内网安全有威胁81.3.6空中垃圾多,无线接入稳定性得不到保证91.3.7无线运营能力弱92、方案设计102.1 AP布放设计102.2智慧园区WLAN高速业务设计112.2.1端到端的网络协议栈加速112.2
2、.2应用识别和流量控制112.2.3针对无线的网络优化122.2.4智能负载均衡122.2.5快速L2/L3漫游122.2.6射频优化132.3 WLAN全面、便捷的安全设计132.3.1更全面的安全132.3.2更便捷的安全152.4 WLAN运营、宣传设计182.4.1个性化的页面推送182.4.2微信认证182.5设备选型193、方案亮点与价值203.1 更快速、更稳定的WLAN203.1.1端到端的网络协议栈加速203.1.2终端识别与流量控制203.1.3应用识别和流量控制213.1.4针对无线的网络优化213.2更安全、更便捷的安全WLAN213.2.1更全面的安全防护213.2.
3、2更便捷的安全管理223.3无线可运营化233.3.1内置信息推送中心233.3.2园区微信公共平台对接233.4高扩展性、高可靠性241、概述1.1 智慧园区WLAN现状分析无线移动技术的不断发展以及信息化技术的广泛应用,推动了智慧型园区的无线网建设。依托移动通信网络,园区的娱乐、管理和服务等各项业务变得更加快速便捷,园区住户及管理人员对无线网络的倚赖程度,已经变得越来越高。无线网络接入的便捷,管理手段的更新以及高容量、高带宽业务的广泛应用,对园区无线网建设提出了更高要求,建设一个高性能的无线网络已是迫在眉睫。 随着移动技术以及数字化技术的飞速发展和广泛应用,各类便携式、多功能、可移动智能终
4、端的普及,管理人员和住户分别对无线网络的体验度,提出了更高的要求,建设新一代满足智慧型园区需求的无线网应运而生。1.2 WLAN需求分析随着智能移动终端的增加,高质量的WLAN已经成为一个成功智慧园区必不可少选项。而在具体的应用过程中酒店WLAN包含以下具体的需求:1.2.1高速的无线业务网络智慧型园区的不断发展,对于无线网络的要求也越来也高,信息发布、巡更定位、物业管理软件的高效使用都需要快速的无线网络支撑。1.2.2随时随地的无线终端要实现园区内部任何时间、任何地点都能实现高速无线接入,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。对于多种接入终端,多个接入地点保证良好的一体化
5、兼容、控制、管理。1.2.3安全、便于管控的访客网络基金小镇作为一个典型型的智慧园区,经常会有领导、客户、合作伙伴的接待工作。在网络发达的今天,访客往往会要求使用网络。对于园区管理者来说,开放内部网络会面临内部信息安全的问题,同时如何开放、如何管理访客接入网络也是一件非常头疼的事情。所以园区WLAN需要一个安全、便于管控的访客网络系统。1.3 WLAN当前面临的挑战1.3.1终端、应用类型多,不易管理移动终端的不断发展,设备类型多种多样,内部员工自带手机、平板、笔记本接入园区无线网络,对于园区而言,管控难度也加大。如果员工通过手机终端连接上WiFi,在上班刷微博,聊陌陌,炒股等与工作无关的活动
6、,工作效率低下。管理者想要禁止员工手机接入无线网络,仅仅允许电脑接入对应办公,另外对于移动笔记本禁止炒股、P2P等非法应用。1.3.2 OA、邮件等办公系统带宽被大量抢占在一定的无线带宽情况下,员工运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的OA、邮件等办公系统,造成无线带宽的不合理理由,无线办公效率低下。1.3.3访客网络无法安全、有效管控对于众多的访客,接入终端多种多样,终端的安全性也有高有低。如果让他们接入内网,外网会对企业信息安全造成影响。如果给访客单独的物理网络,如果访客在企业发表非法言论,产生一些非法事件,企业无法责任溯源,定位责任人。所以企业访客网络管理难度非常
7、大。1.3.4攻击手段多样,内网安全有威胁不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对企业而言,IT资源就是资产,难免会存在一定盗用账号、非法接入的安全威胁。1.3.6空中垃圾多,无线接入稳定性得不到保证WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来AP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,
8、实际传输速率往往得不到保证。1.3.7无线运营能力弱现在的企业无线WIFI建设基本停留在网络连通的阶段,无线建设往往只在于提供能够使用的无线网络,而怎样利用企业WLAN平台来进行广告宣传、提升公司形象还是一个需要解决的问题。2、方案设计根据基金小镇的无线网络需求和无线网络设计原则,结合信锐无线系统技术和产品的特点,方案设计如下:2.1 AP布放设计根据平面图纸规划,无线网络采取蜂窝式部署方式。AP安装的室外立杆.2.2智慧园区WLAN高速业务设计2.2.1端到端的网络协议栈加速针对基金小镇现有的无线网络环境,采用信锐独有的协议栈加速技术,客户端无需安装任何插件,只需在NAC开启单边加速功能,通
9、过改善无线传输协议算法,基金小镇的无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。2.2.2应用识别和流量控制针对基金小镇内部移动终端多种多样,员工运行着各种应用无法管控。信锐无线控制器内置全国最大的应用识别库和URL库,能自动识别基金小镇无线流量类型和终端类型,根据终端、应用类型设置相应的流量控制策略。对于基金小镇重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载,视频浏览我们可以进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障企业正常的办公网络。2.2.3针对无线的网
10、络优化为了改善基金小镇的无线网络,信锐针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。广播优化: 针对广播包发送机制优化,减少广播报浪费过多资源。ARP转单播:通过对ARP发送机制的优化提升ARP效率。禁止DHCP包发往无线终端功能:通过对DHCP发送机制的优化提升DHCP效率。自动广播提速:将广播包原有的发送速度提高,加快广播包的传输效率。接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。平均带宽分配:支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。2.2.4智能负载均衡针对基金小镇存在部分区
11、域人员集中的现状。信锐NAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点,平衡负载压力,极大的提高无线网络的容量和连接可用性,提升无线接入质量。2.2.5快速L2/L3漫游为了实现基金小镇在区域内的无线漫游、上网不中断,相对于传统Fat AP方案无法有效保证跨三层的漫游,信锐无线解决方案满足优秀的L3漫游特性,用户漫游不受子网限制,保证基金小镇用户在不同区域间移动而业务不中断。2.2.6射频优化依据基金小镇不同环境,NAC可自动进行射频调整,有效避开自干扰,也可以自动进行信道调整,为AP分配不同信道避开信道间的干扰。2.3 WLAN全面、便捷的安全设计2.3.1更全面
12、的安全针对基金小镇的实际情况,信锐通过精细的权限控制,非法URL的封堵,动态黑名单、防DOS攻击、IDS等为基金小镇更全面的安全防护。2.3.1.1精细化角色识别与授权管理针对基金小镇存在各个部门不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。根据不同的用户(内部员工或客户)划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。2.3.1.2危险应用和URL的识别和管控在基金小镇内部,员工和访客通过无线访问网络,有可能会出现反问非法网络的情况,给公司带来安全风险。针对于此信锐无线控制器内置全国最大的应用识别库和URL库,能自动识别危险应用和URL
13、,我们可针对这些危险应用和URL进行封堵和控制,从而提高公司网络的安全性。2.3.1.3动态黑名单无线控制器NAC会实时监控无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击,则继续列入黑名单。如果恢复正常则允许其接入。2.3.2更便捷的安全2.3.2.1安全、便捷的访客认证系统二维码认证外来访客来到基金小镇接入网络后,无线设备自动向访客的终端推送基金小镇的portal页面,页面中包含一个二维码,这个二维码中包含了访客终端的MAC信息。被授予接待权限的内部员工(行政部和领导)用自己已经接入内网的终端扫描此二维
14、码,此时无线管理设备记录下接待员工的用户名和访客的MAC地址,访客可以便可以接入网络。临时帐号系统认证无线使用临时用户信息管理系统,访客到来基金小镇时只需在前台开设临时帐号,设定使用时间即可。临时用户在有效期内可以登录,超过有效期无法登录;临时账号管理系统拥有二级权限系统,该系统仅能进行临时帐号的创建、管理功能,给前台使用方便、简洁。大大减少网络管理员压力。2.3.2.2802.1X自动配置802.1X能有效保证基金小镇网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。对此,信锐为基金小镇提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。2
15、.3.2.3帐号、MAC自动绑定针对基金小镇存在领导等人员帐号需要重点保障的情况,信锐针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。2.3.2.4统一集中管理结合信锐NAC无线统一集中管理平台,安装前无需对设备进行任何配置,部署完成后由无线控制器统一下发配置,极大的减少实施和维护的工作量及成本。后期维护中,通过NAC内置的图形化热点分析界面,可有效查找到问题点,轻松完成维护工作。2.4 WLAN运营、宣传设计2.4.1个性化的页面推送信锐的页面推送可以根据用户、用户组、地理位置等多维度的推送。由此可以实现不同部门推送不同的页面,访客进入不同部门推送不同页面。同时,页面自定义灵活简单,不需要专业人员开发,普通网管人员即可实现灵活的自定义页面。2.4.2微信认证访客进入园区接入无线网络,被定向到指定提示页面,提示访客关注园区微信号然后即可获取上网权限,访客关注园区微信号即可上网
