構(gòu)建WLAN網(wǎng)絡(luò)面臨的挑戰(zhàn)

無(wú)線有別于傳統(tǒng)的有線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)的所有數(shù)據(jù)都在空氣中傳輸，干擾避免、網(wǎng)絡(luò)管理、安全接入的邊界及方式相較有線網(wǎng)絡(luò)環(huán)境更加難以控制，這就為金融企業(yè)的IT管理帶來(lái)了新的難題，如何在保障企業(yè)新業(yè)務(wù)戰(zhàn)略推廣和安全風(fēng)險(xiǎn)可控兩個(gè)方面之間取得平衡？IT管理者在探索WLAN接入技術(shù)時(shí)面臨著如下的挑戰(zhàn)：

1、 如何使無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)一樣安全可控、管理可視？

2、 如何提高內(nèi)、外部用戶的使用體驗(yàn)？

3、 WLAN產(chǎn)品及解決方案眼花繚亂，我們是否可以像有線網(wǎng)絡(luò)一樣來(lái)部署我們的WLAN接入網(wǎng)？

4、 部署WLAN之后，投資回報(bào)是否能達(dá)到預(yù)期？WLAN接入網(wǎng)絡(luò)，是否會(huì)落入看上去很美的境地？

金融WLAN安全接入解決方案

一級(jí)分行/分公司W(wǎng)LAN接入網(wǎng)絡(luò)架構(gòu)采用AC無(wú)線控制器-AP接入集中式組網(wǎng)模式。AC在一級(jí)分行/公司；一級(jí)分行/公司、二級(jí)分行/中支公司、網(wǎng)點(diǎn)部署AP，AP、AC之間通過(guò)CAPWAP(Controlling and Provisioning of Wireless Access Point無(wú)線接入點(diǎn)控制與供應(yīng))隧道進(jìn)行通信，終端和AC之間采用AES128位加密算法進(jìn)行加密確保傳輸數(shù)據(jù)的安全，認(rèn)證服務(wù)器、集中管理平臺(tái)統(tǒng)一部署在一級(jí)分行/公司，對(duì)全網(wǎng)的接入終端進(jìn)行統(tǒng)一認(rèn)證、對(duì)AC、AP及進(jìn)行集中監(jiān)控配置與監(jiān)控。

1 安全性設(shè)計(jì)

1.1 SSID隱藏技術(shù)

采用隱藏SSID方式降低SSID廣播帶來(lái)的安全隱患；

1.2 用戶、設(shè)備合法性識(shí)別

1）身份合規(guī)性檢查

采用802.1X用戶接入時(shí)即需要認(rèn)證，用戶可采用安全證書、一次性口令（OTP）、AD域用戶數(shù)據(jù)對(duì)接、或固定設(shè)置的用戶名口令作為接入網(wǎng)絡(luò)的憑據(jù)進(jìn)行接入，認(rèn)證通過(guò)的用戶允許接入網(wǎng)絡(luò)，而未進(jìn)行認(rèn)證的客戶被拒絕接入。

我們的WLAN產(chǎn)品已和各大行的統(tǒng)一認(rèn)證平臺(tái)均完成對(duì)接，全面的支持業(yè)界所有WLAN安全接入方式。

2）終端合規(guī)性檢查

認(rèn)證平臺(tái)可采用MAC地址、用戶名和SSID綁定的方式，很好的保證了接入用戶設(shè)備的合法性，確保合法的人使用固定的終端接入特定的場(chǎng)景。

3）AP設(shè)備合規(guī)性檢查

AC無(wú)線控制器端，采用白名單管理AP的方式，對(duì)接入的AP進(jìn)行統(tǒng)一管理，在后續(xù)擴(kuò)展AP的時(shí)候，應(yīng)首先在AC端添加新增AP的MAC地址。防止不合規(guī)的AP隨意接入企業(yè)網(wǎng)絡(luò)。

1.3 鏈路加密

采用WPA2+AES的方式實(shí)現(xiàn)數(shù)據(jù)的加密，確保數(shù)據(jù)的機(jī)密性。WPA2密鑰長(zhǎng)度為128 位，解決了傳統(tǒng)加密算法密鑰長(zhǎng)度過(guò)短的問(wèn)題，而且在WPA2中，RADIUS 服務(wù)器解決了認(rèn)證過(guò)程中的單一密碼機(jī)制。即用戶在接入無(wú)線網(wǎng)絡(luò)前，首先需要提供相應(yīng)的身份證明，通過(guò)與用戶身份數(shù)據(jù)庫(kù)中的認(rèn)證信息進(jìn)行比對(duì)檢查，以確認(rèn)是否具有權(quán)限并向客戶端動(dòng)態(tài)分發(fā)用于加密數(shù)據(jù)的密鑰。

我們的網(wǎng)絡(luò)同時(shí)是WAPI聯(lián)盟的成員，根據(jù)終端支持WAPI的普遍性情況及用戶后端認(rèn)證基礎(chǔ)平臺(tái)的完善情況，可采用WAPI加密方式進(jìn)一步保障數(shù)據(jù)的機(jī)密性和完整性。

1.4 終端隔離

在金融無(wú)線接入環(huán)境下，如果不采用終端隔離技術(shù)，將會(huì)出現(xiàn)相互影響的情況，一方面終端之間傳輸大容量文件會(huì)嚴(yán)重?fù)p耗AP的資源，另外一方面任意互訪有可能造成惡意數(shù)據(jù)竊取，發(fā)送病毒文件等情況，將嚴(yán)重威脅網(wǎng)絡(luò)安全。

我們的網(wǎng)絡(luò)采用AC上的終端訪問(wèn)隔離技術(shù)，可以通過(guò)靈活設(shè)置，有效杜絕終端間的互訪，最大限度確保接入安全。

1.5 流氓AP的攻擊檢測(cè)與反制

無(wú)線網(wǎng)絡(luò)的無(wú)線信號(hào)在開放的區(qū)間進(jìn)行傳播，很可能受到非法AP的攻擊，通過(guò)使用非法AP誘騙銀行用戶接入并伺機(jī)盜取用戶的密碼，或者非法用戶采用大量的無(wú)線攻擊來(lái)影響網(wǎng)絡(luò)，都會(huì)帶來(lái)嚴(yán)重個(gè)人損失，為企業(yè)帶來(lái)惡劣的社會(huì)影響。

銳捷網(wǎng)絡(luò)采用基于有線，無(wú)線的一整套非法AP和非法用戶的防御體系，為您構(gòu)建最安全的無(wú)線接入網(wǎng)絡(luò)。

1.6 短信安全開戶

金融用戶使用WLAN網(wǎng)絡(luò)來(lái)為本行/公司的客戶提供上網(wǎng)服務(wù)，如果提供固定的用戶名和密碼的安全簡(jiǎn)易發(fā)放存在問(wèn)題，借助銳捷網(wǎng)絡(luò)的短信注冊(cè)和短信密碼發(fā)布方案，用戶可以通過(guò)手機(jī)來(lái)獲取密碼，輕松訪問(wèn)無(wú)線網(wǎng)絡(luò)。

同時(shí)該賬號(hào)，密碼均支持過(guò)期時(shí)間設(shè)置，還可以和銀行用戶的銀行卡號(hào)，保險(xiǎn)用戶的行駛證編號(hào)等實(shí)現(xiàn)綁定。

2.2 穩(wěn)定性設(shè)計(jì)

2.1 AC冗余設(shè)計(jì)

為了保證網(wǎng)絡(luò)的可靠性，金融企業(yè)都會(huì)建立同城或異地跨城域網(wǎng)/廣域網(wǎng)的災(zāi)備系統(tǒng)進(jìn)行業(yè)務(wù)網(wǎng)絡(luò)的備份，網(wǎng)絡(luò)的金融WLAN解決方案支持完備的N+1熱備方式，可以非常好的支持金融的跨廣域網(wǎng)熱備，來(lái)充分保證網(wǎng)絡(luò)的高可靠性。

通過(guò)多隧道技術(shù)和快速感知切換技術(shù)，網(wǎng)絡(luò)將跨局址的N+1熱備縮短到50ms以內(nèi)，在主備AC切換的過(guò)程中，用戶的網(wǎng)絡(luò)訪問(wèn)不受影響。

2.2 AP冗余設(shè)計(jì)

利用AP之間的盲區(qū)自動(dòng)覆蓋功能，當(dāng)某一個(gè)AP出現(xiàn)故障時(shí)，周邊的AP可以檢測(cè)到問(wèn)題AP覆蓋出現(xiàn)的盲區(qū)而適時(shí)增大覆蓋面積以填補(bǔ)盲區(qū)；當(dāng)AP出現(xiàn)硬件故障，更換AP時(shí)無(wú)需任何配置，AP上電后會(huì)自動(dòng)加載并獲取相應(yīng)配置，減少管理和維護(hù)的難度。

2.3 移動(dòng)用戶漫游設(shè)計(jì)

在金融網(wǎng)點(diǎn)營(yíng)銷和辦公系統(tǒng)無(wú)線網(wǎng)絡(luò)中，經(jīng)常會(huì)有用戶攜帶無(wú)線終端不斷的走動(dòng)的情況，如何保證移動(dòng)中的用戶也能穩(wěn)定接入無(wú)線網(wǎng)絡(luò)？我們的的WLAN設(shè)備可以很好的支持同一AC下和不同AC下跨2層或3層網(wǎng)絡(luò)的快速漫游，通過(guò)AC和AP之間的快速漫游數(shù)據(jù)交互，提供用戶穩(wěn)定，快速的漫游體驗(yàn)。

2.4 信道自動(dòng)調(diào)節(jié)設(shè)計(jì)

無(wú)線網(wǎng)絡(luò)采用公開的頻段，不可避免的會(huì)受到干擾，而干擾是降低無(wú)線網(wǎng)絡(luò)性能的最主要因素，嚴(yán)重時(shí)甚至影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。
我們的WLAN設(shè)備可以通過(guò)實(shí)時(shí)掃描周邊的無(wú)線環(huán)境，智能調(diào)整為干擾最低的信道進(jìn)行工作，同時(shí)還支持降低功率來(lái)減少覆蓋重疊、提升功率來(lái)彌補(bǔ)覆蓋盲區(qū)等功能。

3 無(wú)線接入可視化管理設(shè)計(jì)

在無(wú)線接入環(huán)境下，由于接入位置的不確定性，無(wú)線信號(hào)在空氣中傳播難以捕捉等特性，為無(wú)線網(wǎng)絡(luò)的管理帶來(lái)很大的難度，我們的網(wǎng)絡(luò)系統(tǒng)支持有線、3G、WLAN一體化管理，同時(shí)支持集中配置無(wú)線設(shè)備，還支持全方位監(jiān)控AC、AP及接入終端的運(yùn)行情況，為用戶實(shí)現(xiàn)可視化管理無(wú)線網(wǎng)絡(luò)。

3.1 輕松一覽全局

通過(guò)一張圖表可有效地幫助網(wǎng)絡(luò)管理人員很清晰的看出整個(gè)無(wú)線網(wǎng)絡(luò)的運(yùn)行情況。

3.2 無(wú)線熱圖分析

無(wú)線熱圖分析可有效地幫助網(wǎng)絡(luò)管理人員很清晰的看出無(wú)線覆蓋區(qū)域的無(wú)線信號(hào)覆蓋情況，可根據(jù)自己的喜好定義不同的顏色，可協(xié)助網(wǎng)絡(luò)管理人員進(jìn)行AP的部署是否合理？干擾、信號(hào)盲點(diǎn)、設(shè)備帶機(jī)數(shù)量及性能進(jìn)行有效的判斷。

3.3 頻譜分析

當(dāng)802.11客戶端或AP設(shè)備在通訊過(guò)程中遇到干擾源干擾時(shí)，會(huì)造成整體網(wǎng)性能下降，導(dǎo)致共享同一AP的用戶體驗(yàn)變差。頻譜分析很好地是檢測(cè)RF（微波爐、無(wú)繩電話和藍(lán)牙設(shè)備）信號(hào)的有效工具，為WLAN的性能提供重要的基礎(chǔ)保障。

3.4 AP超忙閑統(tǒng)計(jì)

通過(guò)設(shè)置AP的忙閑率統(tǒng)計(jì)，了解哪些AP使用頻度高，哪些使用頻度低協(xié)助決策如何合理利用AP，達(dá)到最優(yōu)的投入產(chǎn)出比。

3.5 一鍵快速定位故障

當(dāng)無(wú)線網(wǎng)絡(luò)中有人上報(bào)故障時(shí)，如何快速定位故障？通過(guò)對(duì)設(shè)備信息、用戶信息可以進(jìn)行靈活搜索，定位故障信息點(diǎn)？對(duì)關(guān)鍵設(shè)備的故障信息如何快速的查看？通過(guò)對(duì)關(guān)鍵設(shè)備相關(guān)信息進(jìn)行搜索，可以查看關(guān)鍵設(shè)備的相關(guān)故障信息。

3.6 AP地理位置定位

AP的詳細(xì)地理位置描述，清楚查看具體位置；由實(shí)施人員通過(guò)實(shí)施表格的方式導(dǎo)入到系統(tǒng)，一次導(dǎo)入永久管理，并且可隨時(shí)修改。

4 提升使用體驗(yàn)的方案設(shè)計(jì)

4.1 網(wǎng)絡(luò)智分部署方案

在金融用戶的辦公大樓環(huán)境中，不可避免會(huì)遇到領(lǐng)導(dǎo)辦公室、會(huì)議室場(chǎng)景，此類場(chǎng)景下可能會(huì)采用鋼混加固墻壁、防盜門、走廊側(cè)無(wú)窗設(shè)計(jì)等，而傳統(tǒng)的樓道放裝AP的無(wú)線部署，無(wú)線信號(hào)就需要穿透墻壁來(lái)對(duì)房間內(nèi)進(jìn)行覆蓋。墻壁對(duì)無(wú)線信號(hào)的損耗根據(jù)墻壁的厚度不同而有所區(qū)別，一般損耗都在20~30dB，傾斜的入射角度損耗更加嚴(yán)重。而且更有可能存在入戶廁所的房間格局，這樣無(wú)線信號(hào)就需要穿透多層墻壁才能到達(dá)房間內(nèi)，實(shí)測(cè)的信號(hào)強(qiáng)度基本上都遠(yuǎn)<-60dBm。很大程度上影響了用戶的使用體驗(yàn)。

采用內(nèi)置智能功分模塊，可以對(duì)單路射頻卡上的發(fā)射功率進(jìn)行1分多處理，相比傳統(tǒng)的室分系統(tǒng)省去了多級(jí)硬件功率分配單元和耦合單元。每臺(tái)設(shè)備自帶八個(gè)RP-SMA接口，配合我們的系列低損連接線纜，最大可將天線延伸至15米遠(yuǎn)的房間內(nèi)，再通過(guò)美化天線進(jìn)行無(wú)線覆蓋，進(jìn)行8個(gè)房間雙頻單流或4個(gè)房間的雙頻雙流覆蓋，不僅保證了每個(gè)房間內(nèi)的信號(hào)強(qiáng)度同時(shí)也滿足了高流量的用戶覆蓋。

傳統(tǒng)的無(wú)線都是單獨(dú)的布放，需要獨(dú)立的有線網(wǎng)絡(luò)和設(shè)備安裝位置，銳捷推出的網(wǎng)線面板式AP，可以利用原有的有線網(wǎng)絡(luò)，采用隱蔽入墻的微型AP，實(shí)現(xiàn)無(wú)線覆蓋。

該方式可以有效的解決AP信號(hào)進(jìn)入室內(nèi)的問(wèn)題，同時(shí)安裝美觀，實(shí)施非常簡(jiǎn)單，非常適合辦公、金融網(wǎng)點(diǎn)的美化安裝。

4.2 靈動(dòng)天線技術(shù)

1）1677萬(wàn)種天線路徑組合，覆蓋無(wú)死角

2）天線路徑高速切換，讓信號(hào)隨你而“動(dòng)”

無(wú)論如何移動(dòng)，都有最佳的信號(hào)路徑伴你左右，這是X-sense靈動(dòng)天線技術(shù)的又一大特色。無(wú)需人工干預(yù)，X-sense憑借其強(qiáng)大的運(yùn)算性能，可以在1毫秒內(nèi)完成300次指向終端的信號(hào)路徑切換，即便在快速奔跑狀態(tài)下也能保證時(shí)刻都有最佳的信號(hào)與你同“行”。

3）終端接入優(yōu)化設(shè)計(jì)，全面提升用戶體驗(yàn)

當(dāng)你接入無(wú)線網(wǎng)絡(luò)時(shí)，X-sense會(huì)快速、準(zhǔn)確的識(shí)別到你的終端類型，如果是使用功率較低的手機(jī)、平板電腦等移動(dòng)終端時(shí)，X-sense能夠通過(guò)動(dòng)態(tài)信號(hào)補(bǔ)償技術(shù)，針對(duì)移動(dòng)終端提升接收靈敏度、增加重傳，保證所有的終端都能獲得最優(yōu)的接入效果，同時(shí)，X-sense通過(guò)動(dòng)態(tài)天線組合，更可將信號(hào)強(qiáng)度提升至普通天線的3倍。

4.3 終端界面自適應(yīng)

當(dāng)您使用移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，經(jīng)常會(huì)遇到彈出門戶網(wǎng)站（Portal）要求認(rèn)證的情況。我們的的WLAN產(chǎn)品，能根據(jù)終端特點(diǎn)，智能識(shí)別終端類型，推送最適合您屏幕顯示的頁(yè)面，省去了縮放、拖動(dòng)屏幕的繁復(fù)操作，為用戶提供更加簡(jiǎn)單灑脫的無(wú)線體驗(yàn)。該功能目前已全面支持蘋果iOS、安卓和Windows等智能終端操作系統(tǒng)。

4.4 終端二維碼掃描接入

當(dāng)訪客來(lái)到辦公區(qū)的時(shí)候，如何快速開戶同時(shí)加強(qiáng)用戶體驗(yàn)？

• 客人連接上無(wú)線，系統(tǒng)生成專用二維碼
• 負(fù)責(zé)接待員工使用任意二維碼軟件進(jìn)行掃描
• 客人和接待者收到系統(tǒng)信息成功，訪客即可訪問(wèn)網(wǎng)絡(luò)
• 系統(tǒng)保留日志系統(tǒng)，備案可查