企业无线办公方案

企业无线办公方案建议书鄂尔多斯市网信安科技有限公司2015年5月目录1、概述 .51.1 企业 WLAN 现状分析 51.2 企业 WLAN 需求分析 51.2.1 高速的无线业务网络 .61.2.2 随时随地的 BYOD.61.2.3 安全、便于管控的访客网络 71.3 企业 WLAN 当前面临的挑战 81.3.1 组织结构复杂，权限难于控制 81.3.2 终端、应用类型多, 不易管理 .81.3.3OA、邮件等办公系统带宽被大量抢占 .81.3.4 访客网络无法安全、有效管控 91.3.5 攻击手段多样，内网安全有威胁 91.3.6 空中垃圾多，无线接入稳定性得不到保证 102、方案设计 .102.1 AP 布放设计 102.2 无线组网方式 112.3 信道规划 .122.4 企业 WLAN 高速业务设计 .132.4.1 端到端的网络协议栈加速 .132.4.2 应用识别和流量控制 .132.4.3 针对无线的网络优化 .142.4.4 智能负载均衡 .152.4.5 快速 L2/L3 漫游 .152.4.6 射频优化 .152.5 企业 WLAN 全面、便捷的安全设计 .162.5.1 更全面的安全 .162.5.2 更便捷的安全 .183、方案亮点与价值 .213.1 更快速、更稳定的企业业务 WLAN.213.1.1 端到端的网络协议栈加速 .223.1.2 终端识别与流量控制 .223.1.3 应用识别和流量控制 .223.1.4 针对无线的网络优化 .233.2 更安全、更便捷的企业安全 WLAN233.2.1 更全面的安全防护 .233.2.2 更便捷的安全管理 .243.3 无线可运营化 .253.3.1 内置信息推送中心 .253.3.2 企业微信公共平台对接 .253.4 高扩展性、高可靠性 264、案例介绍 .264.1 中电投资集团河南省分公司 WLAN 建设 .264.2 东风汽车公司 WLAN 建设工程 .274.3 东鹏饮料 WLAN 建设工程 .284.4 中青宝网络科技 WLAN 建设工程 .304.5 大自然家居有限公司 WLAN 工程 .314.6 慈溪进出口股份有限公司 WLAN 建设 .321、概述1.1 企业 WLAN 现状分析企业随着业务规模的不断扩大，对企业提高运营效率的要求也不断提升，随着WIFI技术的不断发展，使其能更加稳定高效的承载企业应用。很多企业在有线网络的基础上扩展无线网络来进行日常业务的开展，甚至很大一部分企业在新建办公场所时，考虑建设的成本和传统网络的繁琐，也希望可以通过WIFI接入技术实现他们的目的。事实上，无线应用已经深入到企业当中，除了日常办公之外，很多应用也正依赖于无线技术，比如访客服务，会议室，工厂车间，智能仓库等等。在智能终端普及的这个背景下，对于企业而言，BYOD、移动办公的需求也提上日程，WIFI作为必不可少的接入手段，需求也进一步扩大。1.2 企业 WLAN 需求分析随着智能移动终端的增加，企业 BYOD 的普及，高质量的 WLAN 已经成为一个成功企业必不可少选项。而在具体的应用过程中酒店 WLAN 包含以下具体的需求：1.2.1 高速的无线业务网络随着企业的不断发展，对于无线网络的要求也越来也高，公司邮件、财务、办公软件的高效使用都需要快速的无线网络支撑。1.2.2 随时随地的 BYOD信息技术高速发展，企业 BYOD 处于大势所趋，要实现企业内部任何时间、任何地点都能实现 BYOD，这就必须保证无线信号的无缝覆盖、快速漫游，而且信号质量高。对于多种接入终端，多个接入地点保证良好的一体化兼容、控制、管理。1.2.3 安全、便于管控的访客网络作为一个成功、开放的企业，经常会有领导、客户、合作伙伴的接待工作。在网络发达的今天，访客往往会要求使用网络。对于企业来说，开放内部网络会面临企业信息安全的问题，同时如何开放、如何管理访客接入网络也是一件非常头疼的事情。所以企业WLAN 需要一个安全、便于管控的访客网络系统。1.3 企业 WLAN 当前面临的挑战1.3.1 组织结构复杂，权限难于控制随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄，越权事故不发生是一件非常困难的事情。1.3.2 终端、应用类型多,不易管理BYOD的不断发展，终端类型多种多样，员工自带手机、平板、笔记本接入企业无线网络，对于企业而言，管控难度也加大。如果员工通过手机终端连接上WiFi，在上班刷微博，聊陌陌，炒股等与工作无关的活动，工作效率低下。公司想要禁止员工手机接入无线网络，仅仅允许电脑接入办公，另外对于移动笔记本禁止炒股、P2P等非法应用。1.3.3OA、邮件等办公系统带宽被大量抢占在一定的无线带宽情况下，员工运行大量的 P2P 下载，视频浏览等高耗带宽的应用，严重抢占正常的 OA、邮件等办公系统，造成无线带宽的不合理理由，无线办公效率低下。1.3.4 访客网络无法安全、有效管控对于众多的访客，接入终端多种多样，终端的安全性也有高有低。如果让他们接入内网，外网会对企业信息安全造成影响。如果给访客单独的物理网络，如果访客在企业发表非法言论，产生一些非法事件，企业无法责任溯源，定位责任人。所以企业访客网络管理难度非常大。1.3.5 攻击手段多样，内网安全有威胁不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对企业而言，IT资源就是资产，难免会存在一定盗用账号、非法接入的安全威胁。1.3.6 空中垃圾多，无线接入稳定性得不到保证WiFi网络大多使用的2.4GHz频段，众所周知，2.4GHz频段是开放频段，工作在这个频段的设备很多，比如：微波炉、蓝牙、无线座机、外来AP 、监控摄像头等等，会对WiFi设备进行大量的干扰。除此以外，2.4GHz相互不干扰的信道只有1、6 、11，当部署区域被运营商的AP 给占用以后，可用信道就不多了。在这种情况下，干扰会造成丢包和延迟，实际传输速率往往得不到保证。 2、方案设计根据公司的无线网络需求和无线网络设计原则，结合Sangfor无线系统技术和产品的特点，方案设计如下：2.1 AP 布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。设备清单及位置统计如下：序号 设备类型 设备品牌 设备型号 放置区域设备数量合计AP-260 一层 10AP-260 二层 14AP-260 三层 161无线接入点APAP-260 四层 16562 无线控制器 WAC-3100 核心机房 1 1SW-GE24 2 楼弱电井 1SW-GE24 3 楼弱电井 13 POE 交换机深信服SW-GE24 4 楼弱电井 132.2 无线组网方式结合用户无线网络需求情况，结合深信服产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+WAC 的结构化无线网络解决方案进行设计。网络拓扑如下：2.3 信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1 、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。2.4 企业 WLAN 高速业务设计 2.4.1 端到端的网络协议栈加速针对公司现有干扰的无线网络环境，采用深信服独有的协议栈加速技术，客户端无需安装任何插件，只需在WAC 开启单边加速功能，通过改善无线传输协议算法，公司的无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。2.4.2 应用识别和流量控制针对公司内部移动终端多种多样，员工运行着各种应用无法管控。深信服无线控制器内置全国最大的应用识别库和 URL 库，能自动识别公司无线流量类型和终端类型，根据终端、应用类型设置相应的流量控制策略。对于公司重要的 OA、邮件、财务等办公系统进行重点的带宽保障，防止抢占。对于高耗流量的风行、迅雷、电驴等 P 2 P 下载，视频浏览我们可以进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障企业正常的办公网络。2.4.3 针对无线的网络优化为了改善公司的无线网络，深信服针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。广播优化: 针对广播包发送机制优化，减少广播报浪费过多资源。ARP 转单播：通过对 ARP 发送机制的优化提升 ARP 效率。禁止 DHCP 包发往无线终端功能：通过对 DHCP 发送机制的优化提升 DHCP 效率。自动广播提速：将广播包原有的发送速度提高，加快广播包的传输效率。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。平均带宽分配：支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。2.4.4 智能负载均衡针对公司存在办公区、会议室等部分区域人员集中的现状。深信服WAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点，平衡负载压力，极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载，提升无线接入质量。2.4.5 快速 L2/L3 漫游为了实现公司在区域内的无线漫游、办公不中断，相对于传统Fat AP方案无法有效保证跨三层的漫游，深信服无线解决方案满足优秀的L3漫游特性，用户漫游不受子网限制，保证公司用户在不同区域间移动而业务不中断。2.4.6 射频优化依据公司不同环境，WAC可自动进行射频调整，有效避开自干扰，也可以自动进行信道调整，为AP 分配不同信道避开信道间的干扰。2.5 企业 WLAN 全面、便捷的安全设计2.5.1 更全面的安全针对企业的实际情况，深信服通过精细的权限控制，非法 URL 的封堵，动态黑名单、防 DOS 攻击、 IDS 等为 企业更全面的安全防护。2.5.1.1 精细化角色识别与授权管理针对公司存在各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。根据企业的不同部门（市场、研发、领导） ，不同的终端（手机或电脑） 、不同的用户（内部员工或客户）划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。2.5.1.2 危险应用和 URL 的识别和管控在公司内部，员工和访客通过无线访问网络，有可能会出现反问非法网络的情况，给公司带来安全风险。针对于此深信服无线控制器内置全国最大的应用识别库和 URL 库，能自动识别危险应用和 URL，我们可针对这些危险应用和 URL 进行封堵和控制，从而提高公司网络的安全性。2.5.1.3 动态黑名单无线控制器WAC会实时监控无线网络安全情况，如果网络中出现攻击终端，无线控制器会将其自动列入动态黑名单，在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击，则继续列入黑名单。如果恢复正常则允许其接入。2.5.2 更便捷的安全2.5.2.1 安全、便捷的访客认证系统二维码认证外来访客来到公司接入网络后，无线设备自动向访客的终端推送公司的 portal 页面，页面中包含一个二维码，这个二维码中包含了访客终端的 MWAC 信息。被授予接待权限的内部员工（行政部和领导）用自己已经接入内网的终端扫描此二维码，此时无线管理设备记录下接待员工的用户名和访客的 MWAC 地址，访客可以便可以接入网络。临时帐号系统认证无线使用临时用户信息管理系统，访客到来公司时只需在前台开设临时帐号，设定使用时间即可。临时用户在有效期内可以登录，超过有效期无法登录；临时账号管理系统拥有二级权限系统，该系统仅能进行临时帐号的创建、管理功能，给前台使用方便、简介。大大减少网络管理员压力。2.5.2.2 802.1X 自动配置802.1X 能有效保证企业网络的安全性,但 802.1X 复杂的配置往往令 802.1X 认证实施遇到巨大阻力。对此，深信服为公司提供了 802.1X 自动配置工具，让各个部门的人能够轻松使用 802.1X 认证。2.5.2.3 帐号、MWAC 自动绑定针对存在领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MWAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MWAC，实现了安全性与灵活性的兼顾。2.5.2.4 统一集中管理结合深信服WAC无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过WAC内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。3、方案亮点与价值3.1 更快速、更稳定的企业业务 WLAN深信服无线通过特有的协议栈加速、射频优化、应用识别为企业提供高速、稳定的无线网络，提升用户体验。并根据企业内部 OA、邮件等业务系统进行带宽保障，建立更快速、更稳定的企业业务 WLAN。3.1.1 端到端的网络协议栈加速针对干扰的无线网络环境，方案采用深信服独有的协议栈加速技术，客户端无需安装任何插件，在WAC开启单边加速功能，通过改善无线传输协议算法，将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题，大幅提升企业无线网络速度。3.1.2 终端识别与流量控制深信服方案通过无线控制器自动识别终端类型，根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。3.1.3 应用识别和流量控制对于应用的杂乱无章，难以管控，本方案中深信服无线控制器通过内置全国最大的应用识别库和 URL 库，自动识别无线流量类型，并根据终端类型设置相应的流量控制策略。对于重要的 OA、邮件、财务等办公系统进行重点的带宽保障，防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等 P 2 P 下载，视频浏览进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障了企业正常的办公网络。3.1.4 针对无线的网络优化深信服方案针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。3.2 更安全、更便捷的企业安全 WLAN3.2.1 更全面的安全防护深信服方案通过精细化的角色授权管理、危险应用和 URL 的识别与管理、内置证书、动态黑名单等为企业提供了更全面的安全防护3.2.1.1 精细化角色授权管理随着公司内部结构的逐渐复杂化、网络管理也越来越难。深信服的精细化角色授权管理针对不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。充分保证了各自的安全，防止越权。3.2.1.2 危险应用和 URL 的识别和管控调查表明 75%的网络攻击来自应用层，深信服通过内置全国最大的应用识别库和 URL库，自动识别危险应用和 URL，并加以控制和封堵，极大的提升了网络的安全性。3.2.2 更便捷的安全管理3.2.2.1 二维码认证通过二维码认证，访客从接入无线到通过审核、时间就在十秒之内完成，解决了便捷认证、防蹭网、责任溯源三大访客认证难点。3.2.2.2 802.1X 自动配置02.1X 能有效保证企业网络的安全性,但 802.1X 复杂的配置往往另 802.1X 认证实施遇到巨大阻力。对此，深信服方案为公司提供了 802.1X 自动配置工具，让各个部门的人能够轻松使用 802.1X 认证。大大降低了 802.1X 认证的推广实施难度3.2.2.3 帐号、MWAC 自动绑定为了实现针对公司领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MWAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5 个MWAC，实现了安全性与灵活性的兼顾。3.3 无线可运营化3.3.1 内置信息推送中心个性化内容推送深信服方案通过页面推送功能，可以实现针对不同位置或者不同用户推送个性化的Portal页面，同时，页面自定义功能可根据公司的实际需要，灵活设置页面内容, 如公司产品最新信息推送、领导视察欢迎页面推送等。3.3.2 企业微信公共平台对接微信作为一个信息交流的平台，被越来越多的企业所重视，纷纷建立自己的微信公共平台，来实现内部资料的动态分享。SANGFOR 特有的微信认证方式，使用户通过对企业微信公共平台关注获得无线网络上网的授权，提高企业微信平台的利用率，帮助企业快速建立有效的信息分享平台。3.4 高扩展性、高可靠性根据不同组网规模，提供多样化的产品形态，用户可根据实际灵活选择，降低组网成本，提高效益。例如，针对中小规模网络、或者大型客户的分支机构，用户可以选择mini WAC，相较于同等性能的无线控制器，成本节省一半。同时，由于业务扩容，无线部署时需要考虑其扩展性，初期即购买高性能无线控制器投入太大，低端无线控制器又无法满足要求。深信服推出多样的产品形态，用户可根据组网规模按需部署。同时，虚拟化WAC 的解决方案可以部署于虚拟化服务器上，通过扩容license即可提升无线网络的规模，不必担心硬件设备淘汰浪费的问题。双机备份机制，配置实时同步，提供动态的故障转移机制，保证用户业务不因临时故障而中断，实现业务的快速恢复，降低系统因单点故障导致网络中断的风险。4、案例介绍4.1 中电投资集团河南省分公司 WLAN 建设中电投资河南分公司简介： 中电投河南电力有限公司属中国电力投资集团公司全资子公司，拥有承担流域开发的黄河上游水电开发有限责任公司和五凌电力有限公司；在电力设备成套服务领域中业绩突出,负责中电投集团公司在河南区域大型火电厂的投资、开发、建设、运营。中电投资无线网络建设需求： 大楼办公区域无线信号全覆盖； 不同级别的员工和办公区域采用不同的认证方式。深信服 WLAN 建设方案 : 采用 WAC-4100 控制器,控制器单臂连接核心交换机,无线网络数据采用集中转发模式； 办公大楼各楼层通过 POE 交换机连接AP,实现数据转发和供电功能。深信服 WLAN 实现价值： 无线网络信号无死角覆盖，保障中电投员工接入用户自由漫游，不断网，信号强； 丰富的认证机制，满足员工对无线网络安全、快速接入的需求。 4.2 东风汽车公司 WLAN 建设工程东方汽车简介: 中国四大汽车集团之一，是由国务院国资委直接监督管理的中央企业； 东风汽车公司始建于 1969 年，是中国汽车行业骨干企业之一。公司主要业务分布在十堰、襄阳、武汉、广州四大基地，形成了“立足湖北，辐射全国，面向世界”的事业布局。公司总部设在“九省通衢”的武汉。主营业务涵盖全系列商用车、乘用车、发动机及汽车零部件和汽车水平事业。东风汽车 WLAN 建设需求： 办公区域无线覆盖，满足快速接入，实现移动办公； 电磁干扰环境下保障良好接入。 深信服 WLAN 解决方案： 采用无线控制器 WAC-4100 及双频 AP-260； 控制器单臂部