企业无线办公解决方案

1、XX企业无线网络建设项目实施方案xxxx年xx月xx日3目录第一部分项目概述11.1 项目背景11.2 建设目标1第二部分需求分析12.1 高质量、高性能的无线网络覆盖12.2 上网认证，统一管理22.3 portal定制，展示企业形象22.4 行为审计，上网追溯22.5 实现大功率用电设备远程管控2第三部分技术方案23.1 智能分布式无线组网23.2 交换机智能集群23.3 无缝漫游33.4 安全策略3第四部分方案详述34.1 统一管理，维护简单34.2 认证方式34.2.1 用户名密码认证34.2.2 动态密码认证44.2.3 微信认证44.2.4 无感知认证44.3 支持负载均衡、自动功

2、率和信道调整44.4 智能终端设备远程管理大功率用电设备54.5 Portal定制及信息推送54.5.1 Portal定制14.5.2 信息推送6第五部分方案优势65.1 业务流量分流的本地转发架构65.2 基于用户、流量、频段的智能负载均衡65.3 健全的安全防护机制75.3.1 全面的准入认证75.3.2 由始至终的无线数据加密75.3.3 用户权限灵活控制85.3.4 非法AP及用户防御反制8第六部分建设原则96.1 实用性96.2 可靠性96.3 安全性96.4 可扩容96.5 可维护10第七部分网络规划107.1 网络拓扑图107.2 网路架构介绍107.2.1 无线接入层107.2

3、.2 网络控制层11第一部分项目概述1.1项目背景自从2015年李克强总理将“互联网+”写入政府工作报告，“互联网+”已成为推动中国经济转型升级的重要力量，也是“智慧城市”的基本特征。国家两化融合方案、中国制造2025等政策及智慧城市建设方针正推动企业朝着信息化、智能化方面大步前进。在大到国家提出建设“智慧城市”，小到“智能家居”的智能时代，中小企业的信息技术环境正在发生巨变，中小企业的信息化和智能化有望成为我过经济转型升级的突破口。探索普及中小企业信息化、智能化的方法和技术对我国经济建设意义重大。当前大部分企业存在管理系统过多，使用繁杂，系统缺乏关联等问题，不仅增加企业成本，还容易造成管理上

4、的混乱。与此同时，办公室网线、电话线等“蜘蛛网”造成办公环境杂乱且坏掉不容易更换，如办公室需要搬迁，也会加大搬迁难度，随着移动互联网的兴起及无线通讯的发展，办公无线化正发挥着越来越重要的作用，并逐渐成为主流。1.2建设目标无线网络建设目标：建设一套安全、高性能的无线网络，对企业办公区域进行全面覆盖，为企业提供安全、稳定的无线办公网络；平台建设目标：通过搭建智慧网络平台，实现对员工考勤、可视化员工管理及设备管理。第二部分需求分析2.1 高质量、高性能的无线网络覆盖1）对目标区域实现100%信号覆盖，接收信号强度大于等于-70dbm根据不同环境制定不同的覆盖方案，保证信号稳定，无弱覆盖。（2）保证

5、办公带宽，实现内外网隔离，健全安全防护体系；同时，采用分级授权机制，实现上网行为管控；2.2 上网认证，统一管理支持多种认证方式，支持全网对每一个用户的上网控制；同时，对AP及交换机实行统一管理，节约维护成本。2.3 portal定制，展示企业形象支持portal个性化定制，企业可自行设置portal页面形象，展现园区对外形象。2.4 行为审计，上网追溯记录用户上网日志，追踪用户上网行为，符合公安部规定要求；2.5 实现大功率用电设备远程管控通过本方案后台管理系统/APP，可实现楼内大功率设备可远程管控最终达到节能的目的第三部分技术方案3.1 智能分布式无线组网智能分布式无线组网架构由无线控制

6、器AC+无线接入点AP构成，是目前主流的架构方向。组网层次清晰，AP通过AC进行统一配置和管理，在接入点多，用户量大，同时用户分布较广的组网情况下，宜采用集中式组网方式。3.2 交换机智能集群无线控制器AC和交换机之间通过IPS加密专线进行互联，统一对交换机进行管理，方便无线网络的平滑升级及扩容。3.3 无缝漫游利用智能无线网络架构，用户信息并不保存在本地的无线接入点中，而是集中在无线交换机上，因此用户连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的，即便用户跨AP移动，还是会延续原有的IP地址、认证与加密方式，不存在重新获取的必要，也不会中断连接。3.4 安全策略智

7、能无线交换网络架构，将所有的安全策略全部集中到智能无线交换机上统一发布和控制，包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等，只需在智能无线交换机上配置安全策略，就可以轻松地完成整网的安全策略的配置，避免无线接入点被盗产生的安全信息外泄危机。第四部分方案详述4.1 统一管理，维护简单通过AC+无线接入点（AP）模式进行组网，AC可实现对AP的集中管理和配置，搭建“藕丝”智慧企业管理平台实现多种认证方式以及各项功能需求，通过部署行为管理网关对网络进行网络审计与上网行为管理。4.2 认证方式4.2.1 用户名密码认证此项认证方式主要针对企业员工，采用用户账号和密码

8、相结合的认证方式，结合后台可以设置不同的角色上网权限；4.2.2 动态密码认证通过后台可充值短信，认证时用户输入手机号码，平台发送wifi验证码至手机上，用户收到验证实现认证上网；4.2.3 微信认证企业提供微信公众号（需服务号）并认提供认证对接相关参数。微信认证可实现访客微信认证上网并关注微信公众号。4.2.4 无感知认证无感知认证是用户终端首次上网会弹出portal页面让用户认证，认证完成之后下次该终端连接无须再做认证。4.3 支持负载均衡、自动功率和信道调整启用负载均衡策略后，可实现AP间用户数量均衡化接入，一方面终端自动转接至最佳的AP,另一方面AP可控制自身接入量，将信号不佳的终端转

9、接至其他AP;AP可自动调整信道和信号发射功率，避免信号干扰，当某一AP出现故障停止工作的时候，周围AP将自动提升发射功率并变换信道，确保信号覆盖范围以及终端连接稳定；3ami4.4 智能终端设备远程管理大功率用电设备办公楼内主要的大功率用电设备为空调、饮水机。本项目通过使用带WiFi功能的智能插座。实现远程调控空调以及远程关闭饮水机。例如：通过藕丝智慧企业平台与AP联动，当检测到会议室无人的时主动关闭空调避免浪费，节约能源实时查看设备运转情况实时查看各设备功耗情况114.5 Portal定制及信息推送4.5.1 Portal定制管理员可随意定制自己的PORTAL页面，当用户连接WIFI时，用

10、户终端在网络认证的同时，会接收到园区最新新闻界面或园区官方网站的PORTAL页面，点击确认后即可在服务中心范围内免费使用无线网络。4.5.2 信息推送用户通过微信认证上网后将自动跳转到微信公众号关注界面，用户点击关注即可成为您的微信公众号粉丝，您可以通过微信公众号下发最新信息；同时，也可以在后台设置二次到来欢迎词，可有效增强用户感知。第五部分方案优势5.1 业务流量分流的本地转发架构本地转发架构即AP上行到无线控制器的数据无需经过控制器，而直接在接入交换机上进行转发。通过无线控制器的配合，可灵活预配置AP产品的数据转发模式，例如根据SSID名称或者用户VLAN以决定是否需要经过无线控制器转发，

11、或直接进入有线网络进行数据交换。本地转发技术可以将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，可以大大缓解无线控制器的流量压力，更好的适应802.11n、甚至是802.11 ac网络高流量传输的要求。802.12 基于用户、流量、频段的智能负载均衡某个共同区域内，可能发生这样的问题：大部分终端全部接入某个AP,而相邻的AP则很少用户选择，这就造成了AP之间的负载不均衡，部分AP过载，部分AP空载的情况。所以WLAN网络需要一种方法来实现在网络中（多个AP间）均衡地分担无线用户的负载，这是保证无线接入的性能和Qos的关键。这种技术一般被称为WLAN网络负载均衡技术。本方案提供该功能首先

12、能够区分相邻AP之间共同覆盖区域，实时准确地发现负载均衡组，其次利用准确的负载均衡的算法，最后有效的控制“过载”无线用户的离开。从而实现共同区域内AP之间接入负载均衡，不让某个AP出现过载情况。负载均费前负栽均衡后802.13 安全防护机制802.13.1 准入认证支持软证书、硬证书、802.1X、WEB等多种用户接入认证方式。全面的准入认证方式，用户按需使用，为整个WLAN的安全构建了第一道护城门。USB® ,证书的方式进hK证聿聊。2.1 M 原生客户瑞 的方式送M 认证牙用WFR认 证购方Kift 行认证" ''让书班甲tU全面的认证方式802.13.

13、2 终的无线数据加密从终端到AP再到AC的整个链路中，采用最高级别的加密方式。移动终端和AC间的无线链路上，所有数据采用AES加密，每个无线数据包都会采用逐包加密后进行传输，目前暂无破解手段；而从AP到AC的有线链路上，所有数据均在CAPWAP的加密隧道中进行传输，数据能够得到全面的保护。802.13.3 限灵活控制实现精细化的无线用户管理，能够不同用户类型、不同的登陆区域、针织不同的终端类型等进行灵活的访问权限控制，保证不同用户只能访问自身权限下的目标网络，达到全局安全，灵活易控的无线网络建设目标。802.13.4 P及用户防御反制对于非法AP盗接合法用户，可通过AP射频防御反制功能，对非法

14、AP进行解关联攻击，让非法AP上关联的终端下线，并关联至合法的AP上；对于非法AP直接连接交换机，可直接关闭交换机端口将非法AP进行阻断；当感知到非法用户在进行无线攻击时，可从AP侧将非法用户踢下线，并保持一段时间不然其再次进行关联。第六部分建设原则6.1 实用性遵循面向应用，注重实效，急用先上，逐步完善的原则，建设最低成本，最高性价比的网络。6.2 可靠性系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。6.3 安全性必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。6.4 可扩容系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能。6.5 可维护系统具有良好的网络管理、网络监控、故障分析和处理能力第七部分网络规划7.1 网络拓扑图7.2 网路架构介绍