1、 XXX 企业无线覆盖 技术建议书 信锐技术有限公司 xxxx年 xx月 目录 1、概述 4 1.1 公司介绍 4 1.2 企业 WLAN 现状分析 . 5 1.3 项目介绍 5 1.4 企业 WLAN 需求分析 . 5 1.5 企业 WLAN 当前面临的 挑战 10 2、方案设计 13 2.1 NAP 布放设计 13 2.2 无线组网方式 . 14 2.3 信道规划 . 14 2.4 企业无线安全接入设计 . 15 2.5 企业无线安全办公设计 . 19 2.6 企业无线快速上网设计 . 24 2.7 企业无线快速漫游设计 . 28 2.8 企业有线无线用户上网行为管理设计 . 29 2.9
2、 访客安全管理设计 . 34 2.10 集中管理设计 . 37 2.11 企业数据保护、安全可靠设计 . 40 2.12 企业无线稳定性设计 . 42 2.13 设备选型 43 3、 方案亮点与价值 44 3.1 更快速、更稳定的企业业务 WLAN 44 3.2 更安全、更便捷的企业安全 WLAN . 48 3.3 高扩展性、高可靠性 . 52 4、案例介绍 54 4.1 无限极(中国)有限公司服务中心 WLAN 建设 54 4.2 安正时尚集团 WLAN 建设 . 55 4.3 吉利春晓基地 WLAN 工程建设 . 56 5、售后服务 59 5.1 信锐服务体系介绍 . 59 5.2 技术支
3、持及服务内容 . 59 5.3 信锐服务及维修流程 . 60 1、概述 1.1 公司介绍 信锐网科技术有限公司(简称信锐技术, Sundray)注册资金 1000万元人民币,专注于企业级无线网络产品研发、生产、销售的应用层无线网络供应商,总部位于深圳。 Sundray研发团队超过百人,研发无线产品多年,在无线硬件射频、软件控制、漫游、负载均衡、无线增值等各个领域有着多年深厚的技术积累。 Sundray无线产品自登陆市场以来, 在全国已拥有北京、上海、广州、深圳、浙江、江苏、四川、重庆、天津、福建、河南、河北、辽宁、安徽、山东、湖南、湖北、新疆、云南、贵州等 23个直属分支机构, 8个产品备件库
4、,服务网点覆盖全国,提供 7*24小时不间断售后服务支持,服务体系通过 ISO9001认证,提供 30分钟问题必响应、无线 AP一年内只换不修等高质量的产品服务。 目前,已获得近千家用户的成功实施应用,其中多家无线接入点( AP)数量规模超过 2000台。 因为更专注,所以更专业。 Sundray投入 100%的工作精力和热情,致力于为政府、企业、医疗、酒店、教育、金融、连锁等行业用户提供量身打造的更安全、更快速、可增值的应用层企业级无线网络。 1.2 企业 WLAN 现状分析 随着移动互联网的发展,移动终端的爆炸增长,无线终端和无线应用的快速普及,极大的推动了无线网络的发展。在这个移动互联的
5、时代,无线已经成为终端接入的主导力量。BYOD、移动办公已成大势所趋,企业 WLAN 的应用需求正在进一步加大。 大型企业在无线网络建设期间要充分考虑访客(领导、客户、合作伙伴) 接入网络的需求。首先从安全性考虑,访客网络必须要和办公网络分开,访客网络单独提供给访客使用。从用户体验角度考虑,访客接入网络的验证方式一定要做到简单易行,繁琐的验证方式会降低访客对企业的整体印象。同时对于访客网络,企业还需要建立完善的网络安全管理机制,避免由于访客的网络不良访问给企业带来的法律风险。对于企业员工移动办公上网,更需要做到可管控,上网行为做到可追溯,企业有效的带宽资源得到合理的分配和保证,才能使企业的业务
6、系统正常且稳定高效地运行,同时保证企业信息安全,避免机密信息泄露。 1.3 项目介绍 (客 户背景介绍, IT现状,项目概述 ) 1.4 企业 WLAN 需求分析 随着智能移动终端的增加,企业 BYOD 的普及,高质量的 WLAN 已经成为企业移动办公的刚性需求。 而在具体的应用过程中企业 WLAN 包含以下具体的需求: 1.4.1 企业 WIFI 安全接入 随着企业信息化建设和国家信息化工程的发展,企业办公信息化逐渐实现,企业 BYOD需求激增,更多的企业采用无线网络接入自己的内部业务和办公系统。受 无线网络局限性影响 , 其安全问题日益凸显 ,亟待安全接入机制,保障客户业务系统免受黑客攻击
7、。 1.4.2 企业 WIFI 安全办公 企业业务规模不断扩大,企业业务对网络的依赖性也越来越高。无线网络技术的逐步成熟让很多企业扩展无线网络来 实行自身的日常办公 和客户接待以及业务咨询。办公、访客、会议室等都需要使用无线网络。在智能终端普及的当下,无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具。伴随而来的安全问题不仅体现在接入,接入之后如何防护企业网络的安全以及保障业务系统的正常运行,亟需要有效的无线安全解决方案来做双重保障。 1.4.3 企业 WIFI 快速上网 随着企业的不断发展,业务对于无线网络的要求也越 来也高。而无线网络由于其无边界化、信号易受干扰等原因,无线网络在
8、多人使用过程中会出现连接不稳定、上网速度慢、无关应用占用带宽等体验不佳的问题。因此企业邮件、财务、办公软件、互联网业务系统的高效使用、访客的信息咨询和反馈亟需要快速的无线网络来支撑。 1.4.4 企业 WIFI 快速漫游 随着智能移动终端发展,企业 BYOD 处于大势所趋,要实现企业内部任何时间、任何地点都能实现 BYOD,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。 对于多种接入终端,多个接入地点保证良好的一体化兼容、控制、管理。 1.4.5 企业上网行为管理 企业员工可以通过 WIFI 进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件等,亟需要实现员工上网行为的管理、
9、带宽的管控和保证员工上网安全,用于提供员工的办公效率和避免企业网络资源浪费,防止企业机密数据泄密和员工通过互联网从事非法交易活动。 1.4.6 访客安全管理 企业访客可以通过 WIFI 接入企业内部或访问互联网,接入层需要解决安全接入问题。接入后访问企业内部受限资源、访问互联网 ,同样亟需要对访客的上网行为做管控以及流量做管控。 1.4.7 集中管理 很多集团公司随着业务的高速发展,企业部署的无线接入点与日俱增,数量庞大。针对众多的无线 WIFI 热点配置、升级、维护需要统一化的集中管理,降低维护成本,提高整体的稳定性,减少故障率。 1.4.8 企业数据保护、安全 企业业务系统以数据为核心,而
10、无线网络有别于有线网络,无线网络的所有数据都在空中传输,需要高效且安全性极高的加密机制保证数据不被窃取破解,泄露企业机密。 企业无线部署作为有线的扩展,安全接入的边界和方 式相较于有线网络难以控制,员工私接 Wi-Fi 等安全问题也缺乏很好的管理手段。各种钓鱼 AP、 AD-hoc 可能隐藏在无线环境中,数据被转移、数据中病毒的风险无处不在,亟需要加以防护,确保数据和业务安全。 1.5 企业 WLAN 当前面临的挑战 1.5.1 企业办公无线终端密度大,员工对网络时延敏感度高 企业 BYOD需求激增,企业办公区、会议室,无线终端密集。 需要 保证在高密度的情况下,员工和访客上网的流畅性,提高企
11、业的办公和业务处理效率。 1.5.2 办公场所要求覆盖广,无死角,信号强 企业办公区域面积大,要求信号无死角覆盖,内部员工接入可实现无感知漫游,不断网。满足公司会议室高密区域,用户稳定接入。来访访客随时随地可接入,并办理业务咨询和反馈。 1.5.3 企业组织结构复杂,权限难于控制 随着企业的发展壮大,职位分工更加明确,部门的职责也更加细化。部门精细化的同时权限也必须精细化控制,各个部门、职位拥有责任内的不同权限。 1.5.4 OA、邮件等办公系统带宽被大量抢占 在一定的无线带宽情况下,企业员工运行大量的 P2P 下载,视频浏览等高耗带宽的应用,严重抢占正常的系统带宽,造成企业的带 宽资源耗费,
12、无线办公和业务处理效率低下。 1.5.5 无线攻击手段多样,内网安全有威胁 不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对企业而言,难免会存在一定盗用账号、非法接入的安全威胁。 1.5.6 空中垃圾多,无线接入稳定性得不到保证 WiFi网络大多使用的 2.4GHz频段,众所周知, 2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来 NAP、监控摄像头等等,会对 WiFi设备进行大量的干扰。除此以外, 2.4GHz相互不干扰的信道只有 1、 6、 11,当部署区域被运营商的 AP给占用以后,可用信道就不
13、多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。 2、方案设计 根据 xxx企业的无线网络需求和无线网络设计原则,结合信锐无线系统技术和产品的特点,方案设计如下: 2.1 NAP 布放设计 根 据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。 NAP安装在走廊 /墙壁上。 区域一放置 XX个 NAP负责覆盖 XXX 区域二放置 XX个 NAP负责覆盖 XXX 区域三放置 XX个 NAP负责覆盖 XXX 设备清单及位置统计如下: 序号 设备类型 设备品牌 设备型号 放置区域 设备数量 合计 1 无线接入点 NAP 信锐 区域 1 区域 2 区域 3 区域 4 区域
14、 5 2 无线控制器 核心机房 3 POE 交换机 1 楼弱电井 2 楼弱电井 3 楼弱电井 2.2 无线组网方式 结合用户无线网络需求情况,结合信锐产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照 NAP+AC的结构化无线网络解决方案进行设计。网络拓扑如下( 可编辑 ): 2.3 信道规划 使用 2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供 3个不重叠的频点同时工作,通常采用 1、 6、 11三个频点。 WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体
15、情况进行。 信道规划如下图: 无线控制器 核心交换机 中心机房 核心交换机 核心交换机 POE 交换机 POE 交换机 大楼 2 大楼 1 图纸中橙色、蓝色、黄色信号圈分别为 1、 6、 11信道。圆心点为 NAP部署位置。 2.4 企业无线安全接入设计 在 Sundray无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下: 2.4.1 更丰富、快捷的企业认证安全机制 采用 802.1x 认证,用户接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据,认证通过的用户才允许接入网络。业内皆知 802.1x 在用户终端设备上配置极其复杂,无疑给用户使用和 IT 管理员增加
16、了大量的配置工作,信锐技术提供了企业认证的自动配置 工具,终端用户无须管理员协助,通过开放性 wlan 下载自动配置工具,一键安装即可轻松接入企业网络,既安全又便捷。 支持自建 CA 颁发证书和管理,证书分发可通过自动配置工具统一打包一键完成安装,也支持用户通过 web 下载、管理员通过邮件分发,简单且快捷。 支持和企业内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和 LDAP、 AD 域、 Radius 等企业内部的用户身份数据库进行快速的身份校验,既安全且可靠。 企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型
17、企业。 2.4.2 帐号、终端灵活绑定、杜绝越权访问 首次连接无线网络认证时,用户名 和终端可以 实现 自动绑定,帮助 企业 快速 完成身份绑定,若用户拥有 多 个上网 终端, 管理员也可以灵活的 手动审批后续 新加入 终端的绑定。 因此企业可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。 2.4.3 限制帐号在多个终端同时接入 可限制一个帐号同时登录的终端个数,有效保护企业网络资源。针对超限的帐号可采取以 下两种措施: 一、 强迫最早接入的终端下线。 二、 不允许新终端接入。 当然对于需要放开限制的帐号如老板帐号,也可支持配置例外帐号。 2.4.4 多样化的接入控制 信锐无线可
18、以免安装客户端软件实现终端类型的识别,认证接入时,可以根据情况限制只有手机终端可以接入,笔记本类型不能接入;或者只允许 IOS 终端接入,不允许 Android终端接入,让您认为不安全的终端无法接入网络。 基于接入位置的接入控制。不同的无线热点可配置不同的接入访问控制策略,以便不同的无线热点承载的无线用户接入到企业内部不同的业务系统,既安全又高效。 基于用户属性的接入控制。信锐无线无缝对接企业内部认证服务器,支持用户组 安全组、 OU 组 、用户名等用户属性的接入控制,也支持 radius 等属性的接入控制。不仅如此,还致力于开发内部的本地数据库服务器,同样支持按本地数据库的用户属性进行接入控
19、制。 甚至接入控制条件可以灵活组合,满足客户不同的接入控制需求。支持基于终端类型和接入位置、用户属性作为一组接入条件进行接入控制。例如可以支持不同的接入位置且满足指定的终端特性才允许接入进行上网,如下图: 2.5 企业无线安全办公设计 2.5.1 精细化多角色授权管理 企业用户接入无线网络后,信锐无线提供安全管家全面负责其用户权限的授权管理。丰富的权限分配表支持按用户属性、终端类型、接入区域、不同时间段来设置不同的角色,角色上搭建不同的访问控制策略,构建企业级防火墙,权限控制更全面和精细化。 2.5.2 VLAN 隔离 同一 vlan 内、不同 vlan 间通讯的终端采用隔离技术,有效防止终端
20、之间传输大量文件损耗 AP有限的带宽资源,也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为,最大限度地确保办公安全,提高办公效率。 2.5.3 基于内网的服务和应用控制 信锐 无线 不仅支持传统的基于端口的防火墙控制策略, 同时 内置 了 国内最大的应用识别库和 URL 库 , 管理员 能够 轻易 识别出具体的应用和 URL,灵活的设置网络访问策略, 并且能够进行相应的 精细化应用 控制。 业界的防火墙控制主要是基于网关出口,只能限制内网用户访问外网资源,内网用户之间不能做到基于服务和应用控制。而信锐无线弥补了这块黑洞,独有的基于内网的服务和应用控制方案给业界带来新的突破和福音
21、。企业网络和内部应用是非常复杂的 如下图 ,企业内部既有有线网络也有无线网络,既有用户之间互访、 访问内部资源、移动小型设备接入和数据传递的需求,也有访问互联网资源、数据中心进行数据同步需求。在这种错综复杂的网络环境和应用环境中,传统的防火墙只能在网关出口控制内网用户对公网资源的访问,而忽略了内网这更为复杂的环境。 信锐无线集成了有线无线一体化,在业界首次提出“用户”的概念,其访问控制策略结合强大的应用识别库搭配“用户”概念,完美实现了内网用户之间的控制以及对公网资源访问的外部控制,该方案针对有线或无线用户都适用,给企业一个干净和健康的网络环境。同时其策略配置更注重人性化,区别于传统的配置 I
22、P 等复杂的方 式,用户可选择应用、选择连接方向“用户发起”、“用户接收”,选择时间计划,选择动作“允许”或“拒绝”即可快速地实现访问控制。 例如:企业员工 上班时间 只能访问内网的“企业内部业务系统”、不允许允许访问公网视频网站,研发人员不能访问市场人员的 CRM 系统,研发人员不能向市场人员发送邮件;访客手机终端之间不能传送文件,访客只能访问固定的网站,不能访问企业内部的研发和市场资源, 但不 允许上微博 发信息;针对与工作相关的即时通讯软件、下载软件不做应用的限制,而对下载速度做一定范围的限制。 2.5.4 网络层防护 一、 DHCP 防御。只转发受信任的 DHCP 服务器响应,屏蔽非法
23、的 DHCP 服务器,防止终端 IP 不合法。防止用户私设 IP,有效保护网络避免存在大量冲突 IP 地址导致客户网络瘫痪。 二、 DDOS 防御。可根据用户最大并发数、新建连接速率、小包速率进行防护,一旦超限可自动加入动态黑名单,冻结处理,杜绝网络攻击。 2.6 企业无线快速上网设计 2.6.1 端到端的协议加速 无线网络随着接入人数的不断增加,由于干扰增大导致上网速度慢,应用访问体验差。采用信锐独有的应用层协议加速技术,客户端无需安装任何插件,只需在无线控制器上开启应用加速功能,通过改善无线传输协议算法,无线网络的传输速度就能够提升 1.5-4倍效果。有效解决企业无线网络由于干扰导致的无线
24、传输速率低、丢包、延迟等网络质量问题。 2.6.2 防终端拖滞让无线跑得更快 传统的无线随着低速终端的接入会导致高速终端速率被拉低,从而导致整体吞吐率下降,客户业务响应缓慢,严重影响终端的应用访问体验。 信锐技术进行了无线底层的技术改进,提出“防终端拖滞”创新专利, 支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。 Internet STA AP 有线网络,传输速率不受干扰影响 受干扰影响的无线传输 AP 作为数据传输的缓存点(传统 AP 没有协议栈缓存功能),在干扰环境丢包导致速率下降的情况下,启用应用加速,终端与AP 之间直接进行快速重传,从而提升无线网络速度。 干扰
25、信号 2.6.3 基于应用的无线射频管理 信锐技术研发的无线网络动态带宽分配 ,当无线接入点带宽不足时,无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配;无线接入点带宽充足时,将不受此限制。例如办公网络,可以配置权重较大,用于保证 办公应用 的正常业务通信;非重要网络,例如访 客网络,可以配置权重较小,用于限制非重要网络的上网带宽,以免影响其他无线网络。 每个无线网络 上用户 可以自定义 基于应用的 子通道, 用户 可以设置通道间的带宽 占用比例,当无线网络带宽不足时,通道间的保证带宽将按照设定的比例进行带宽分配,无线网络带宽充足时不受此比例限制。 例如办公网络中,可配置 P2P 子
26、通道,配置权重最小;办公OA 系统对应的子通道权重最大;互联网应用对应的子通道权重介于两者之间。 2.6.4 广播 优化及提速 一、 ARP 广播转单播 :通过对 ARP 发送机制的优化提升 ARP 效率, 减少不必要的广播泛洪。 二、 禁止 DHCP 请求发往无线终端 :通过对 DHCP 发送机制的优化提升 DHCP 效率 三、 多播优化: 将广播包原有 的发送速度提高,加快广播包的传输效率, 保证每个终端可以收到报文,提升带宽吞吐。 四、 接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。 2.6.5 VLAN 池 利用 VLAN 地址池,减少广播域,减
27、少广播泛洪,提升无线网络带宽资源的利用率。 2.6.6 智能负载、 5G 优先、高密稳定快速接入 在企业 的开放工位、会议室等人员 高密 的区域, 通常会有多个无线热点的信号覆盖,信锐技术无线解决方案会根据每个 AP 的负载情况,将用户自动分配到信号强、接入人数少的AP 上,同时会选择优先负载到干扰比较小的 5G 频段上,确保每个无线用户都能获得畅快的网络体验。 除了基于人数的负载外, 信锐技术还能 基于 2.4G 和 5.8G 的双 频段 进行智能双频负载 。 智能双频负载: 2.4G 和 5G 之间可实现自动负载,引导 5G 终端优先接入干扰比较小的 5G 网络,提升无线接入质量。 2.6
28、.7 高密优化,加速密集用户的上网体验 对于企业存在的部分区域 ,如会议室 开会人数较多且密集, 展厅访客多,终端分布密集,用户体验效果就会下降,然而在这有限的空间里部署过多 AP 的话,往往解决不了用户多的问题,反而会带来更 多的干扰漫游问题。 信锐高密优化功能针对 终端分布密集的 场景进行无线网络性能优化,降低由于终端低速率发送 probe response(探测帧响应)消耗无线的性能空间,从而提升高密度场景用户的无线上网体验。 2.7 企业无线快速漫游设计 2.7.1 防终端粘滞 传统的无线漫游依赖的是终端自己的特性,无法做到可控制,而信锐技术提供的“防终端粘滞”弥补了这块的缺陷。 通过
29、 防终端粘滞 功能,信锐无线可以引导无线终端更快的漫游到无线服务能力更好的无线热点上,让客户得到更好的无线网络体验。 漫游后,终端的 vlan、角色、 IP保持不变,用户无感知。 2.8 企业有线 无线用户 上网行为管理设计 2.8.1 有线与无线一体化 企业在拥有无线的同时,也 拥有有线 网络 。 信锐无线 可以通过无线控制器上进行配置,利用无线控制器的有线口来完成有线用户的认证,同时对无线用户和有线用户进行集中管理,完成流量控制、流量管理和流量审计。信锐无线集成了有线认证和管控,提供了“ Web认证”、“ IP 认证”、“免认证“等安全接入认证机制, 在进行账号认证时, 可以跟内部账号认证体系 radius、 ldap 服务器 结合起来 ,对用户身份进行验证 , 真正做到对有 线用户和无线用户的一体化管控。 2.8.2 上网审计 企业有线无线网络 不仅需要完成用户的接入、认证,同时对用户的 有线无线 网络行为和内容进行审计,包括但不限于 HTTP外发内容、访问的网站和下载、邮件、 FTP、 TELNET、其它网络应用、 邮件内容 以及上网流量与时长控制。 通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计。