银行WLAN覆盖方案

苏州银行无线网络接入网项目建议书 2 22、WLAN覆盖需求 2 4 5 61.建设原则 62.组网方案 6五、方案特点 7六设备选型及产品介绍 8 82.AP无线接入终端 七、设备安装 1、设备安装要求原则 2、防水处理 八质量控制具体方案 1.AC组网方案 2.系统方案特点 21 26 可。为适应苏州银行业务的迅猛发展，苏州银行需要新建一省多个分支机构以及营业网点日益增加的访客上网流本次网络信息系统建设采用统一部署，用户统一认证方时的工作，很容易令人烦躁，也不容易在短期内找出断线所在。再者，由于配合企业络路线，虽然电缆本身并不贵，可是请技术人员来配线的成本很高，特别是老旧的大1)计划覆盖区域2)需求分析采用统一认证，数据本地转发方式，在银行中心机房布放一台AC控制器，中心与各分支营业网点建立VPN通道实现加密性的AP上下行，AC配置安全审计功能，满足公安部82号令互联网安全接入要求。集中管理，所有的AP都可以在中心控制器上进行维护管理，在所有AP上是真正的零行集中管理，提供当前和历史运行状态、性能报告、以及专家诊断和故障告警等功能。提供特定的SSID接入，此次项目主要满足营业网点VIP或者访客上网需求，用户认证方式采用WEBPortal认证方式，支持终端自适应页面，支持个性化页面推送，支持手机账号+短信密码方式登录。整网可进行统一可视化管理。无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展：第一代无线局域网主要是采用FatAP,AP本身储存了大量的网络和安全的配置，包括第二代无线局域网采用无线控制器(AC)和FITAP的架构，对传统WLAN设备的功能做AP的管理和配置功能，甚至可以做到“零”配置，彻底解决了第一代无线局域网AP配置和管理复杂的难题。但第二代无线局域网将所有功能都集中到无线控制器中，无线网络和有线无线网络的有效融合，网络管理和维护的成本依然很高。第三代无线局域网依然采用无线控制器(AC)和FITAP的架构，但它基于有线、无线密，丰富的转发类型，有线、无线统一网管等功能。第二代无线局域网采用集中式转发，所有的数据流都要经过无线控制器，这样以来AC容易成为网络瓶颈，并且AP与AC之间大量需要选择进行本地转发、集中式AC转发和跨AP转发等多种模式，AP的控制流和用户的数4)AP点位统计网点1自助网点台无线AP每自助网点一台2中心网点台1最大管理512个AP3自助网点台每自助网点一台，建议9口4中心网点套网管/认证系统1最大1000并发用户5)AP数量统计(暂行规定)》,YD/T1029-1999;GB9175-88<环境电磁卫生标准>;天线口的辐射功率≤15dBm。1)要求WLAN网络具备多个层面的安全性：设备层面支持AP上二层转发抑制，以做用户隔离支持报文过滤苏州银行除了要对用户的身份加以认证外，还必须保本公司AP设备支持目前最先进的各种加密算法AES,并支持802.11和802.11i中规定的各种加密模式，包括WEP、TKIP2)网络管理需求络的灵便性和不可见性，如果对每一个AP进行单独管理则会造成理人员带来了一定的难度。而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。结合WLAN的实际应用和发展要求，WL令实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。随意被外来人员接入。络能在最短期内修复。令成熟和先进性原则：由于WLAN应用于运营网络仍然属于新兴技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。令规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和挪移WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。令开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。成后的系统在向新的技术升级时，能保护现有的投资。令可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。根据上述苏州银行WLAN网络建设的各项需求，这里采用FITAP室内覆盖式组网模式：(1)在上述要求的各网点部署AP,实现用户挪移端的无线接入；(2)所有AP统一采用PoE方式供电；楼PoE交换机负责AP的接入和供电。所有POE交换机通过上行电口接入到运营商在苏州银行已经布放的链路上。(3)Internet链路接入，由根据现有情况考虑增加现有30M长城宽带出口；(4)AC无线控制器作为苏州银行WLAN网络的核心，负责所有AP的集中管理、数据交换、安全加密等功能。苏州银行WLAN组网示意图(5)室内系统之间的干扰问题由于WLAN信道有限为1~13,为解决相邻信道频率之间的干扰，在AP点信道使用时取1、6、11进行重复使用。五、方案特点今全面的WLAN覆盖效果，确保苏州银行WLAN服务质量今集中统一的WLAN网络管理，便于维护今企业级的WLAN设备，具备可靠性，确保WLAN网络的稳定性今FITAP组网方案，具备非常丰富的智能特性，如智能负载均衡、智能射频管理等今层次化的WLAN安全部署(设备具备丰富的安全特性、用户通过认证才干接入),确保WLAN网络的高安全今WLAN整体优势：强大的研发团队，自主知识产权，快速响应客户需求；完善的服务体系，本地化的售后服务和备件库。六设备选型及产品介绍3)产品接口如下图所示：1)AC产品概述128盒式AC(AC,AccessController,接入控制器)是本公司自主开辟的高通信协议物理层MAC层协议802.1d、802.1s、802.1p、802.1q、802.3z、ARP、ReverseARP、multi-LANARP/802.11n、802.11b、802.11a、802.11g、802.11d、802.11h、802.11IP层及上层协议Inter-DomainRoutin接入控制与安全网络安全·支持无线IPS/IDS,包括非法AP检测、非法终端检测网络IP路由相关功能RIPv1、RIPv2功能；·二层业务的集中交换、分布式交换和混合交换·AC与外部网络之间采用二层转发或者三层转发设备管理网管通道网管功能·通过AC支持远程版本升级、批量版本升级、定时版本升级日志管理备运行日志管理支持SNMPv2v3协议，支持以下标准MIB:·基于TCP/IP的互联网管理信息库MIB-II(RFC1213)协议0s管理用户流量控制支持基于域的用户流量控制(以VLAN、SSID作为配置域)负荷均衡控制自动信道自动发射功率·支持自动发射功率，以进行覆盖补偿·支持基于STA的自动发射功率，以提高系统吞吐量自动速率可靠性·正常情况下，各AC采用负荷分担策略供电信级的网络管理，可以对AP进行管理，也可以对用户进行管理，简化了运营网络的部支持报文分类和流量控制，支持DSCP流量调度，支持端到端的QoS映射，支持GB系列AC支持1+1方式热备份能力，支持N+1方式的冗余备份功能，提高系统的网络接口，4个千兆电口(RJ45)。2.AP无线接入终端前福图1)概述无线接入点是本公司为室内无线应用环境设计的单频1x1无线接入点。GB产品形态丰富多样，满足用户在各种室内应用环境下对无线接入的需求。此外，产品还具备丰富的挪移、安全和管理特性，通过配合无线控制器设备可为用户提供基于零配置的安全挪移网络。产品特点无线特性模块1:802.11b/g/nSISO1×1工作调制调制802.11b:11,5.5,2,1'802.11g:54,48,36,24,18,14,9,射接收灵敏度射SS组网多组网S支持流量控制安全无线安全接控制列表管理内置WEB器议支持SNMPv2c/v3接口理(11N)室内无线接入点支持即插即用的零配置部署特性。利用该特性，网络管理员可通过无线控制器对网络中的GB(11N)设备进行集中化统一管理，实(11N)室内无线接入点根据应用需求可以通过置为瘦AP模式与无线控制器协同工作。当工作在瘦AP模式时，还可以根据接入用户的角色来决策数据的转发策略，为用户数据提供优化的转发路径。令硬件特性分布系统的所有器件均安装于室内干燥地方，连接口处应采用专用防水胶(布)进八质量控制具体方案a)设立专门的器材员，对各类设备b)设计人员由公司的经验丰富的工程师直接负而作心料c)现场施工由公司的工程师完成，他们都拥有助理工程师以上的职称，经验丰富。而作心料d)和客户一起进行严格的初验和终验。Server冗余设计、旁路部署、远程自动备份设计，能够满足大容量用户认证需求，设计用户容量为≥50万用户，同时在线人数为≥100000用户，用户认证报文处理能力≥3000个/秒。支持标准radius协议，支持Huawei,H3C,Juniper,CISCO,Ruije,神码私有属性下发，支2)暂时访客和办公区用户分离存放，集中认证。单SSID部署。系统架构组成多AC群：负责AP的参数下发，管理，对用户的接入控制部份，能够对用户的上下线AC的时间ACL、目的访问ACL,带宽策略下发，能够灵便的对用户的上网时间及访问流量，使用带宽进行有效控制。wlan3000RadiusProxy:提供对Radius报文的分析，处理，加工，并配合wlan3000专用防代理，防私接系统，支持多种AC,能够提供了专门的属性扩展，并提供COA技术，Radius采用内存处理技术，内部可以最多存放10万条明细，支持在链路中断的情况下独Wlan3000PortalServer:通过AC转发WiFi无线终端上线、下线信息、其它通知信息，提供强制PORTAL、认证页面推送、用户认证、静态密码认证、动态密码认证和用户服务等功能。支持用户自定义广告推送，短信密码获取，重要通知发送。Wlan3000用户管理系统：存储访客用户信息，提供营业厅访客数据的暂时存放，提供访问策略的制定，用户URL分析，用户带宽策略制定下发，统计报表，上网分布，用户在线情况监控等功能。备份服务器：用户备份用户数据、可以是数据库备份服务器、用户自助服务备份服务器、支持远程备份及虚拟化技术。3)集团公众用户(SSID-CMCC)业务处理流程：a)用户使用STA浏览器发起访问请求，AC对用户的访问页面做重定向处理，码提交给AC,由AC向AAA服务器发出认证请求。就做本地用户认证，如果是漫游用户提交中心的AAA做认证处理。 用户通过WEB浏览器发起首次Internet访问请求后，AC可以将该请求强制转发到●PORTAL认证页面接收到用户页面请求时，向用户推送统一定制的认证页面；●认证页面应同时提供“静态密码登录”和“动态密码登录”两种选择；短信猫，短信接口，令牌方式获取密码。●用户使用预定免费时间后，自动下线，重新申请密码后可以登录上网3)WEBPORTAL静态密码认证息后，向RADIUS服务器发起密码认证过程，认证结束后，PORTAL服务系统将认证结果返回给用户。如果用户未开通业务，需页面提示开户方法。是否希翼绑定MAC地址作为以后登录的认证方式；●若用户选择绑定MAC地址认证，PORTAL将通知RADIUS为该MAC地址生成一个与该用户WEBPORTAL账号相关的全新账号和随机密码，即下次用户连接上WiFi网络无线过认证流程后正常上网；●若用户不选择绑定MAC地址认证，即下次用户连接上WiFi网络时，仍需通过WEB●PORTAL服务系统可以设置开启或者关断MAC绑定认证功能。●PORTAL服务系统支持WiFi终端UA信息适配功能，为不同类型的WiFi终端(包括PORTAL服务系统根据WiFi终端发起的HTTP请求所携带的UA(UserA码、使用协议、额外的协议属性、接入服务器本地通信端口任何时刻得到保证，同时数据的备份也每天提供全库，本地异地同时备份，保证用户数据产品wlan3000安全认证网络管理计费系统，实现了多进多出全千兆(多链路聚合技术),采用多路4核至强CPU,内核级别操作系统的方式，继承了RedHatLinux系统优异的稳定和高性能的优点，采用了开放的Linux操作系统作为应用开辟平台，全WEB管理模式、支持IPv4/v6双栈技术，实现了全千兆全线速转发能力，链路聚合模式下，可以支持6G级别的全速转发能力，支持万兆，在万兆模式下，性能达到双向15G的速转发能力。不少高带宽的211院校，比如，清华大学(出口10G),北京师范大学(出口1.45G)北京理工大学 (出口1.35G)北京航空航天大学(出口1.45G)西安交通大学(学生区1G),浙江大学(出口4G)等等都证明了wlan3000卓越的性能。架构，可以实现64字节包10G全线速的转发能力，支持双万兆链路的聚合技术。2)多认证模式统一部署及可伸缩性系统设计采用了多体系模块化设计，管理功能模块既可以分散部署，也可以集中部署，根据可靠性、安全性、预算，用户可以很灵便的进行部署，并具有完善的无缝结合功能，即可以将RadiusServer、数据库、用户自助服务系统、策略管理平台融合在一台服务器上，也可以将RadiusServer、数据库、用户自助服务系统、策略管理平台分别部署在不同的服pppoe、L2TP等，支持无线网络的统一认证wlan3000内置Radius服务器，支持所有的RADIUSRFC's(rfc1157rfc1227rfc1448支持PAP,CHAP,MS-CHAP,MS-CHAPv2,SIPDigest、PEAP、EAPTTLS,PEAP-GTC,PEAP-MSCHAPv2.EAP-SIMandEAP-AKA3)灵便性上的优势我们在设计wlan3000安全认证网络管理计费系列解决方案时，充分考虑了一个主要考虑因素：如何才干将解决方案有效便利的部署在网络运营环境中。分阶段的部署接入认证则可能需要完整的解决方案来满足运营规章制度。而wlan3000的解决方案支持多种实施方法，并能够将现有基础设施作为组件赋予最充分的利用。灵便的接入认证计费管理是运营部门此外考虑的一个重点。网络是动态的，不是静态的，用户也是动态的，不是静态的，wlan3000系列解决方案能够与网络及用户保持同步变化。这也是支持多种部署方式的wlan3000受到普遍欢迎的原因之一。它允许您随时利用特定无需大幅度改造或者替换现有部署。基于开放规范和标准的解决方案是确保此类互操作性的最佳方法之一，也是wlan3000系列产品的特点之一。某些认证产品，包括声称提供“协作”功能或者支持“整个行业”标准的解决方案，实际上只依赖一家供应商的专用产品或者协议(如专有的硬件环境，不可剥离的管理方式等)。wlan3000通过和多家合作火伴的合作，充分的考虑到客户的投资资产，它能够保护现有投资——包括不同的端点供应商安全解决方案、不同的审计/日志记录解决方案、不同的网络基础设施(如交换机或者路由器)以及不同的授权协议等，而且不会使您的网络被锁定在单一供应商的解决方案中。接入认证计费系统最终是为了有效的管理用户和控制网络，作为核心应用和产生费用状态，必须确保安全性。加密的通道上评估并执行策略。wlan3000可以兼容任何平台的专用客户端来确保在批准接入网络资源之前验证端点/用户的身份以及用户流量的真实性。管理人员可以让用户使用wlan3000专用客户端使用动态加密方式，虽然这种做法有点过火，但却非常实用。wlan3000使用多种属性的绑定技术来有效的管理用户，但同时又可以提供基于策略的漫游技术来保证灵便性。wlan3000的后台管理系统是安全可靠的，其通过加固后的服务来抵御已知安全漏洞和密数据。wlan3000的数据库系统使用镜像技术，可以采用多种容灾方式，如异地容灾，远5)高可用性设计wlan3000安全认证网络管理计费系统负责用户的接入、认证、计费控制的主要系统，是整个系统中最重要的部份，因此wlan3000安全认证计费系统具有自带的数据保护技术，支持数据库故障和认证网关故障的数据安全，其高可用性通过以下两方面实现：3000可以独立运行完成用户的认证请求，wlan3000认证网关利用内置的数据保护系统可以由于wlan3000具有完整的用户信息，包括用户余额，结合设置的计费策略，wlan3000可以实时依据余额判断用户可用时长及流量并根据用户的使用情况进行实施控制，避免用户产生欠费。待后台数据库恢复后，可以将wlan3000的信息恢复到数据库中。由于wlan3000支持标准的PC服务器架构，用户只需要将备份系统安装在PC服务器中即可，大量的节约了用户的成本和提高了工作效率，支持任何X86架构服务器及Power服务器。6)详尽用户上网访问日志wlan3000认证网关在对于用户访问记录的记录方面是非常完善的，可为访问记录专门登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为等等。此外可根据需要增加所需字段，如用户操作系统标志、交换机标记、楼层标记等字段等。7)用户在线监控管理wlan3000安全认证网络管理计费系统提供完整的在线用户监控子系统，能够实时监控用户的上网状态，包括当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、时P甘A费时时0月月哺0月1o通10o通20月厘护至共23个用户(1/12)12345610#安射名用户D间状方人中1人杜程甲工电421人1M人越的工角费国图以中工免册1人同或抗量究生以事用户名中下意重r187间FW0220000000007474*0061W02200000001*190011000nM1TaaimWA12200000001431e4912s1rd「w11将以上系统采集的检测信息与wlan3000安全认证网映射，向网管提供完整的用户上网实时行为源头并能实时对用户进行控制，使网络管理更加具有时效性、操作性和精确性应用层是用户登入网络的第一步，所有非鉴权用户都将被自动定向到应用层Portal,并1)用户实名认证根据公安部82号令的要求，所有在公共场所上网的用户，都要通过实名认证才可联网。我们的系统提供了基于手机号码的实名认证系统，用户惟独用手机注册才可以使用互联网服机关事后查询，避免因访客发布违法信息，给客户带来不必要的困扰。本系统采用智能绑定的形式提供实名认证的二次鉴权，当用户成功在任意网点实名认证尽可能的为用户提供优秀的使用体验。客户，如果客户可为本系统开放内部鉴权接口，则可以实现通过银行卡查询密码的实名认证，2)接入权限控制单台设备上网时间限制、网速(QoS优先级)差异化等能力。在业务逻辑的配合下，可以实自定义用户可上网的时长，避免网络资源被长期占用对VIP客户提供更多上网时偶尔更快网速对店外访客、非银行客户限制网络使用限制迅雷、视频等长期、大量占用网速的网络应用限制内部员工在工作时间使用网络3)智能QoS控制体验，本系统提供了智能QoS服务。简单来讲，当网络闲时，用户的上网不会受到任何限大文件下载、网络电台，当极端情况浮现，网络带宽不敷使用时客户可自行对QoS规则进行定义，诸如限制用户总共可利用的带宽，或者限制特定的4)黑/白名单机制本系统提供了黑/白名单机制，方便客户根据实际