无线网络覆盖与管理自查报告

无线网络覆盖与管理自查报告第一章现状与问题复盘1.1覆盖范围实测2024年3月，信息中心联合第三方测试机构“网测通”对总部A、B、C三栋办公楼、地下停车场、屋顶设备层、园区外围50m绿化带进行24h连续打点。使用EkahauSidekick2配合ESS11.0软件，共采集18720个有效采样点。结果：2.4GHz边缘场强＜-75dBm占比11.7%，主要集中于B栋4层西侧、地下二层防火分区7；5GHz边缘场强＜-75dBm占比23.4%，问题区域与2.4GHz基本重叠，但屋顶设备层新增3处；信道冲突率：2.4GHz1、6、11外溢占用38%，5GHz149信道同频AP数峰值9个；漫游丢包：iPhone13在80km/h电动车环园区测试，平均4次丢包1.8%，高于公司SLA≤1%。1.2管理侧漏洞资产台账：AP序列号、固件版本、安装点位、责任人四要素缺失率27%；密码策略：仍有42台2018年出厂的AP采用出厂默认SNMPcommunity“public”；日志留存：AC控制器仅保存7天，无法满足《网络安全法》≥6个月要求；访客准入：临时二维码有效期默认8h，与HR实际4h访客时效不符，导致12起“访客过夜”事件。第二章目标与指标2.1业务目标2024Q3结束前，实现“生产网0死角、办公网0投诉、访客网0违规”。2.2量化指标边缘场强≥-65dBm且RSSI抖动≤5dB的采样点≥98%；漫游切换时延≤50ms，丢包≤0.5%；关键固件漏洞（CVSS≥7）修复时长≤14天；日志留存≥180天，可5min内定位任意终端24h内接入轨迹；访客账号生命周期与HR系统同步误差≤1min。第三章无线网络优化技术方案3.1射频设计3.1.1频段策略2.4GHz仅开启1、6、11三条20MHz非重叠信道，关闭802.11b速率≤11Mbps全部速率集；5GHz优先使用36、40、44、48、149、153、157、161八条20MHz或40MHz信道，启用DFS前使用“信道可用性检测”脚本预扫描60s；6GHz暂不启用，待终端渗透率≥30%再评估。3.1.2功率规划采用“同层同功率”原则，2.4GHz发射功率统一14dBm，5GHz17dBm；跨层AP采用3dB衰减器，保证楼层间信号泄漏＜-85dBm；地下停车场使用8dBi全向天线，高度2.8m，间距25m。3.1.3漫游优化启用802.11k、v、r，NeighbourReport间隔30s；调整漫游阈值：RSSI差值≥6dB、误包率≥3%触发；AC侧开启“智能漫游”，强制粘性终端下线阈值-70dBm。3.2网络拓扑核心—汇聚—接入全万兆，AC采用华为AirEngine9700，双机VRRP热备，心跳线10GbE；PoE交换机全千兆802.3at，每端口预留30W，实际平均12.6W；AP上行开启“以太网链路检测”，掉线3s即重启网口。3.3地址与VLAN生产网VLAN110，办公网VLAN120，访客网VLAN130，物联网VLAN140；每VLAN/22掩码，DHCP租约4h，网关放在核心交换机SVI；启用DHCPSnooping+IPSourceGuard，杜绝静态IP私接。第四章安全加固制度4.1准入控制4.1.1802.1X+PEAP证书采用私有CA，服务器证书有效期3年，客户端证书1年；账号格式：工号@corp.domain，密码长度≥12位，含大小写、数字、特殊字符；失败5次锁定15min，失败15次拉黑MAC24h。4.1.2访客二维码申请流程：访客在HR小程序提交身份证、拜访人、预计时长→HR系统调用无线管理平台API→生成一次性账号→短信+二维码双通道；有效期与拜访时段同步，超时自动注销；二维码含6位动态令牌，每30s刷新，防拍照转发。4.2漏洞管理每月第二个周二为“无线补丁日”，AC、AP、PoE交换机同步升级；升级前48h发邮件至业务方，凌晨2:00—4:00执行，升级后跑30min自动化用例（关联、漫游、吞吐、认证）；回退策略：保留旧版本14天，异常15min内自动回退。4.3日志与审计AC本地日志+Syslog到Graylog集群，索引保留180天；敏感字段（手机号、身份证）脱敏，使用SHA-256哈希；每季度内部审计，随机抽取50终端，核对接入时间与监控录像，误差＞5min需书面说明。第五章运维流程与工具5.1日常巡检每日8:30自动化脚本通过Zabbix6.0轮询APCPU、内存、流量、PoE电压；阈值：CPU>80%、内存>85%、流量>7天峰值90%、电压<46V即告警；告警5min内钉钉机器人推送至值班工程师，30min未处理升级至主管。5.2故障分级P1：生产网全阻≥10min，立即电话通知IT总监，15min内启动应急预案；P2：单楼层SSID不可达≥30min，1h内到场；P3：个别终端无法认证，4h内解决。5.3备件库常备AP数量=在线数量×5%，最低10台；AC主控板、电源模块、万兆光模块各1:1冗余；备件出库30min内完成资产系统变更，旧件7天内返厂。5.4文档管理使用Confluence建立“无线知识库”，射频设计图、验收报告、升级记录、故障复盘必须24h内归档；每半年导出PDF离线备份，保存3年。第六章实施步骤（可直接照做）6.1前置条件已购买EkahauSidekick21套、华为AirEngine97002台、AP5760-1096台、PoE交换机S5735-L48P4X6台；施工许可证、楼顶高空作业证、强电断电窗口已审批；核心交换机已空余2个10GbE光口，并配置好VLAN110-140。6.2详细步骤Day018:001.在AC上创建VLAN110-140、DHCPPool、SSID（Corp、Office、Guest、IoT）。2.导入私有CA证书，启用802.1X，绑定AD认证。3.配置SNMPv3用户“wlanmon”，SHA+AES256，关闭v1/v2c。Day100:00—04:004.按“楼层断电清单”逐台替换旧AP，新AP先接控制台升级至V200R019C10SPC200。5.使用Ekahau现场验证，每安装5台跑一次“自动信号质量”脚本，不达标立即调整点位。6.记录序列号、MAC、点位、责任人四要素到资产系统。Day109:00—12:007.开启“智能漫游”与802.11kvr，跑iPerf320线程60s，吞吐≥550Mbps为合格。8.配置DHCPSnooping、IPSG、DAI，绑定端口+IP+MAC。9.在Graylog创建“无线认证失败”仪表盘，字段包括时间、MAC、SSID、失败原因。Day214:0010.组织20人现场漫游压力测试：iPhone、安卓、Win11各5台，在园区骑行2圈，丢包≤0.5%签字验收。11.输出《无线验收报告》，含热图、吞吐量、漫游轨迹、漏洞扫描截图。6.3常见问题与排错问题：iPhone显示已连接但无法获取IP排错：检查DHCPSnooping信任端口是否把AP上行口设为trusted；若已trusted，查看是否IPSourceGuard表项满，扩容至4096。问题：5GHz速率仅54Mbps排错：确认未开启802.11a-only，检查是否终端网卡驱动仅支持20MHz，更新驱动或更换终端。问题：AC主备切换失败排错：核对VRRP优先级、抢占延迟5s、心跳线VLAN是否一致，检查是否有端口隔离。第七章培训与考核7.1培训对象网络组8人、桌面支持6人、安保部4人、HR2人。7.2培训内容射频原理、Ekahau热图判读、DHCPSnooping排错、访客系统操作；现场实操：使用NetSpot找死角、使用WiFiAnalyzer看信道冲突、使用PacketCapture抓4-wayhandshake。7.3考核标准理论笔试≥80分；实操30min内独立完成1个死角的定位、方案、验证；通过方可获得“无线运维上岗证”，未通过补考，补考不过调岗。第八章预算与ROI8.1一次性投入设备83.4万元、软件许可9.2万元、施工7.8万元、培训1.5万元，合计101.9万元。8.2年度运维备件5万元、维保8.3万元、电费1.2万元，合计14.5万元。8.3收益测算生产网断线导致产线停线每小时损失32万元，目标一年减少4次停线，节省128万元；办公网投诉工单由月均45单降至5单，IT支持人力节省0.5FTE，年省9万元；访客合规审计一次通过，避免网络安全罚款20万元；预计1.2年收回投资。第九章经验总结（2023.5—2024.4）实施主体：XX股份有限公司信息中心无线小组（3人）关键事件：2023-07引入Ekahau，首次发现B栋4层信号黑洞，推动加设6台AP；2023-10完成802.11r漫游升级，iPhone微信视频切换时延从180ms降至42ms；2024-01通过等级保护2.0三级测评，无线部分0不符合项；2024-02建立“无线补丁日”，平均漏洞修复时长从45天缩短到9天；2024-03完成与HR系统API对接，访客账号生命周期100%自动同步。经验：1.射频设计必须“模型+实测”双轮驱动，仅靠仿真误差可达10dB；2.