智慧园区室外无线覆盖0328.docx
- 文档编号:23825073
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:17
- 大小:1.43MB
智慧园区室外无线覆盖0328.docx
《智慧园区室外无线覆盖0328.docx》由会员分享,可在线阅读,更多相关《智慧园区室外无线覆盖0328.docx(17页珍藏版)》请在冰豆网上搜索。
智慧园区室外无线覆盖0328
基金小镇无线建设方案建议书
2017年3月
1、概述
1.1智慧园区WLAN现状分析
无线移动技术的不断发展以及信息化技术的广泛应用,推动了智慧型园区的无线网建设。
依托移动通信网络,园区的娱乐、管理和服务等各项业务变得更加快速便捷,园区住户及管理人员对无线网络的倚赖程度,已经变得越来越高。
无线网络接入的便捷,管理手段的更新以及高容量、高带宽业务的广泛应用,对园区无线网建设提出了更高要求,建设一个高性能的无线网络已是迫在眉睫。
随着移动技术以及数字化技术的飞速发展和广泛应用,各类便携式、多功能、可移动智能终端的普及,管理人员和住户分别对无线网络的体验度,提出了更高的要求,建设新一代满足智慧型园区需求的无线网应运而生。
1.2WLAN需求分析
随着智能移动终端的增加,高质量的WLAN已经成为一个成功智慧园区必不可少选项。
而在具体的应用过程中酒店WLAN包含以下具体的需求:
1.2.1高速的无线业务网络
智慧型园区的不断发展,对于无线网络的要求也越来也高,信息发布、巡更定位、物业管理软件的高效使用都需要快速的无线网络支撑。
1.2.2随时随地的无线终端
要实现园区内部任何时间、任何地点都能实现高速无线接入,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。
对于多种接入终端,多个接入地点保证良好的一体化兼容、控制、管理。
1.2.3安全、便于管控的访客网络
基金小镇作为一个典型型的智慧园区,经常会有领导、客户、合作伙伴的接待工作。
在网络发达的今天,访客往往会要求使用网络。
对于园区管理者来说,开放内部网络会面临内部信息安全的问题,同时如何开放、如何管理访客接入网络也是一件非常头疼的事情。
所以园区WLAN需要一个安全、便于管控的访客网络系统。
1.3WLAN当前面临的挑战
1.3.1终端、应用类型多,不易管理
移动终端的不断发展,设备类型多种多样,内部员工自带手机、平板、笔记本接入园区无线网络,对于园区而言,管控难度也加大。
如果员工通过手机终端连接上WiFi,在上班刷微博,聊陌陌,炒股等与工作无关的活动,工作效率低下。
管理者想要禁止员工手机接入无线网络,仅仅允许电脑接入对应办公,另外对于移动笔记本禁止炒股、P2P等非法应用。
1.3.2OA、邮件等办公系统带宽被大量抢占
在一定的无线带宽情况下,员工运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的OA、邮件等办公系统,造成无线带宽的不合理理由,无线办公效率低下。
1.3.3访客网络无法安全、有效管控
对于众多的访客,接入终端多种多样,终端的安全性也有高有低。
如果让他们接入内网,外网会对企业信息安全造成影响。
如果给访客单独的物理网络,如果访客在企业发表非法言论,产生一些非法事件,企业无法责任溯源,定位责任人。
所以企业访客网络管理难度非常大。
1.3.4攻击手段多样,内网安全有威胁
不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对企业而言,IT资源就是资产,难免会存在一定盗用账号、非法接入的安全威胁。
1.3.6空中垃圾多,无线接入稳定性得不到保证
WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:
微波炉、蓝牙、无线座机、外来AP、监控摄像头等等,会对WiFi设备进行大量的干扰。
除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。
在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。
1.3.7无线运营能力弱
现在的企业无线WIFI建设基本停留在网络连通的阶段,无线建设往往只在于提供能够使用的无线网络,而怎样利用企业WLAN平台来进行广告宣传、提升公司形象还是一个需要解决的问题。
2、方案设计
根据基金小镇的无线网络需求和无线网络设计原则,结合信锐无线系统技术和产品的特点,方案设计如下:
2.1AP布放设计
根据平面图纸规划,无线网络采取蜂窝式部署方式。
AP安装的室外立杆.
2.2智慧园区WLAN高速业务设计
2.2.1端到端的网络协议栈加速
针对基金小镇现有的无线网络环境,采用信锐独有的协议栈加速技术,客户端无需安装任何插件,只需在NAC开启单边加速功能,通过改善无线传输协议算法,基金小镇的无线网络的传输速度就能够提升200%以上。
有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。
2.2.2应用识别和流量控制
针对基金小镇内部移动终端多种多样,员工运行着各种应用无法管控。
信锐无线控制器内置全国最大的应用识别库和URL库,能自动识别基金小镇无线流量类型和终端类型,根据终端、应用类型设置相应的流量控制策略。
对于基金小镇重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止抢占。
对于高耗流量的风行、迅雷、电驴等P2P下载,视频浏览我们可以进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障企业正常的办公网络。
2.2.3针对无线的网络优化
为了改善基金小镇的无线网络,信锐针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
广播优化:
针对广播包发送机制优化,减少广播报浪费过多资源。
ARP转单播:
通过对ARP发送机制的优化提升ARP效率。
禁止DHCP包发往无线终端功能:
通过对DHCP发送机制的优化提升DHCP效率。
自动广播提速:
将广播包原有的发送速度提高,加快广播包的传输效率。
接入终端速度限制:
支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。
平均带宽分配:
支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
2.2.4智能负载均衡
针对基金小镇存在部分区域人员集中的现状。
信锐NAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点,平衡负载压力,极大的提高无线网络的容量和连接可用性,提升无线接入质量。
2.2.5快速L2/L3漫游
为了实现基金小镇在区域内的无线漫游、上网不中断,相对于传统FatAP方案无法有效保证跨三层的漫游,信锐无线解决方案满足优秀的L3漫游特性,用户漫游不受子网限制,保证基金小镇用户在不同区域间移动而业务不中断。
2.2.6射频优化
依据基金小镇不同环境,NAC可自动进行射频调整,有效避开自干扰,也可以自动进行信道调整,为AP分配不同信道避开信道间的干扰。
2.3WLAN全面、便捷的安全设计
2.3.1更全面的安全
针对基金小镇的实际情况,信锐通过精细的权限控制,非法URL的封堵,动态黑名单、防DOS攻击、IDS等为基金小镇更全面的安全防护。
2.3.1.1精细化角色识别与授权管理
针对基金小镇存在各个部门不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。
根据不同的用户(内部员工或客户)划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。
2.3.1.2危险应用和URL的识别和管控
在基金小镇内部,员工和访客通过无线访问网络,有可能会出现反问非法网络的情况,给公司带来安全风险。
针对于此信锐无线控制器内置全国最大的应用识别库和URL库,能自动识别危险应用和URL,我们可针对这些危险应用和URL进行封堵和控制,从而提高公司网络的安全性。
2.3.1.3动态黑名单
无线控制器NAC会实时监控无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。
一段时间后检测如果该终端还存在攻击,则继续列入黑名单。
如果恢复正常则允许其接入。
2.3.2更便捷的安全
2.3.2.1安全、便捷的访客认证系统
二维码认证
外来访客来到基金小镇接入网络后,无线设备自动向访客的终端推送基金小镇的portal页面,页面中包含一个二维码,这个二维码中包含了访客终端的MAC信息。
被授予接待权限的内部员工(行政部和领导)用自己已经接入内网的终端扫描此二维码,此时无线管理设备记录下接待员工的用户名和访客的MAC地址,访客可以便可以接入网络。
临时帐号系统认证
无线使用临时用户信息管理系统,访客到来基金小镇时只需在前台开设临时帐号,设定使用时间即可。
临时用户在有效期内可以登录,超过有效期无法登录;临时账号管理系统拥有二级权限系统,该系统仅能进行临时帐号的创建、管理功能,给前台使用方便、简洁。
大大减少网络管理员压力。
2.3.2.2802.1X自动配置
802.1X能有效保证基金小镇网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。
对此,信锐为基金小镇提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。
2.3.2.3帐号、MAC自动绑定
针对基金小镇存在领导等人员帐号需要重点保障的情况,信锐针对重点帐号使用帐号、MAC自动绑定。
防止越权访问的同时减少管理员繁琐的操作。
而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。
2.3.2.4统一集中管理
结合信锐NAC无线统一集中管理平台,安装前无需对设备进行任何配置,部署完成后由无线控制器统一下发配置,极大的减少实施和维护的工作量及成本。
后期维护中,通过NAC内置的图形化热点分析界面,可有效查找到问题点,轻松完成维护工作。
2.4WLAN运营、宣传设计
2.4.1个性化的页面推送
信锐的页面推送可以根据用户、用户组、地理位置等多维度的推送。
由此可以实现不同部门推送不同的页面,访客进入不同部门推送不同页面。
同时,页面自定义灵活简单,不需要专业人员开发,普通网管人员即可实现灵活的自定义页面。
2.4.2微信认证
访客进入园区接入无线网络,被定向到指定提示页面,提示访客关注园区微信号然后即可获取上网权限,访客关注园区微信号即可上网。
这样便大大增加了园区的关注度,也便于后期的宣传。
2.5设备选型
根据以上对基金小镇需求的分析,为了实现更快速、更安全的园区WLAN建设,基金小镇无线系统必须具备以下功能:
1、对无线网络的加速功能
2、对于园区重点的业务数据进行识别和带宽保障
3、对非法网络应用和URL进行识别和控制
4、802.1X配置能够实现自动一键配置
5、访客网络通过二维码认证或是单独的临时访客系统方式认证
基于此本次方案推荐使用信锐技术无线控制器NAC系列和无线接入点NAP系列设备。
基于基金小镇的实际环境,以及基金小镇对于无线网络的信号要求选择部署4台NAP-7600,根据AP数量,选择信锐NAC-6100型号无线控制器。
3、方案亮点与价值
3.1更快速、更稳定的WLAN
信锐无线通过特有的协议栈加速、射频优化、应用识别为基金小镇提供高速、稳定的无线网络,提升用户体验。
并根据基金小镇内部管理、邮件等业务系统进行带宽保障,建立更快速、更稳定的WLAN。
3.1.1端到端的网络协议栈加速
针对干扰的无线网络环境,方案采用信锐独有的协议栈加速技术,客户端无需安装任何插件,在NAC开启单边加速功能,通过改善无线传输协议算法,将无线网络的传输速度提升200%以上。
有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题,大幅提升基金小镇无线网络速度。
3.1.2终端识别与流量控制
信锐方案通过无线控制器自动识别终端类型,根据终端类型设置相应的流量控制策略。
实现了针对终端精细的流量控制。
例如禁止手机耍微博、炒股等等。
3.1.3应用识别和流量控制
对于应用的杂乱无章,难以管控,本方案中信锐无线控制器通过内置全国最大的应用识别库和URL库,自动识别无线流量类型,并根据终端类型设置相应的流量控制策略。
对于重要的管理、邮件、财务等统进行重点的带宽保障,防止了其流量被抢占。
对于高耗流量的风行、迅雷、电驴等P2P下载,视频浏览进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障了园区正常的办公网络。
3.1.4针对无线的网络优化
信锐方案针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
3.2更安全、更便捷的安全WLAN
3.2.1更全面的安全防护
信锐方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为基金小镇提供了更全面的安全防护
3.2.1.1精细化角色授权管理
随着园区内部结构的逐渐复杂化、网络管理也越来越难。
信锐的精细化角色授权管理针对不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。
充分保证了各自的安全,防止越权。
3.2.1.2危险应用和URL的识别和管控
调查表明75%的网络攻击来自应用层,信锐通过内置全国最大的应用识别库和URL库,自动识别危险应用和URL,并加以控制和封堵,极大的提升了网络的安全性。
3.2.2更便捷的安全管理
3.2.2.1二维码认证
通过二维码认证,访客从接入无线到通过审核、时间就在十秒之内完成,解决了便捷认证、防蹭网、责任溯源三大访客认证难点。
3.2.2.2802.1X自动配置
802.1X能有效保证基金小镇网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。
对此,信锐方案为基金小镇提供了802.1X自动配置工具,让内部人员能够轻松使用802.1X认证。
大大降低了802.1X认证的推广实施难度
3.2.2.3帐号、MAC自动绑定
为了实现针对基金小镇领导等人员帐号需要重点保障的情况,信锐针对重点帐号使用帐号、MAC自动绑定。
防止越权访问的同时减少管理员繁琐的操作。
而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。
3.3无线可运营化
3.3.1内置信息推送中心
个性化内容推送
信锐方案通过页面推送功能,可以实现针对不同位置或者不同用户推送个性化的Portal页面,同时,页面自定义功能可根据基金小镇的实际需要,灵活设置页面内容,如公司产品最新信息推送、领导视察欢迎页面推送等。
3.3.2园区微信公共平台对接
微信作为一个信息交流的平台,被越来越多的园区所重视,纷纷建立自己的微信公共平台,来实现内部资料的动态分享。
信锐特有的微信认证方式,使用户通过对园区微信公共平台关注获得无线网络上网的授权,提高园区微信平台的利用率,帮助园区快速建立有效的信息分享平台。
3.4高扩展性、高可靠性
根据不同组网规模,提供多样化的产品形态,用户可根据实际灵活选择,降低组网成本,提高效益。
例如,针对中小规模网络、或者大型客户的分支机构,用户可以选择miniWAC,相较于同等性能的无线控制器,成本节省一半。
同时,由于业务扩容,无线部署时需要考虑其扩展性,初期即购买高性能无线控制器投入太大,低端无线控制器又无法满足要求。
信锐推出多样的产品形态,用户可根据组网规模按需部署。
同时,虚拟化NAC的解决方案可以部署于虚拟化服务器上,通过扩容license即可提升无线网络的规模,不必担心硬件设备淘汰浪费的问题
。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智慧 室外 无线 覆盖 0328