h3c营业厅无线解决方案.docx
- 文档编号:23932809
- 上传时间:2023-05-22
- 格式:DOCX
- 页数:12
- 大小:104.89KB
h3c营业厅无线解决方案.docx
《h3c营业厅无线解决方案.docx》由会员分享,可在线阅读,更多相关《h3c营业厅无线解决方案.docx(12页珍藏版)》请在冰豆网上搜索。
h3c营业厅无线解决方案
h3c营业厅无线解决方案
H3C营业厅无线解决方案技术建议书
H3C营业厅无线解决方案
——技术建议书
杭州华三通信技术有限公司
2014-8
1
H3C营业厅无线解决方案技术建议书
第一章、建设需求............................................................................................................3
1.1营业厅背景及网络建设原则................................................................................3
1.2营业厅无线零售建设需求...................................................................................4第二章H3C无线零售解决方案.........................................................................................5
2.1.1无线上网认证及管理解决方案.......................................................................5第三章、营业厅网络设计................................................................................................10
3.1营业厅网络拓扑设计.......................................................................................10
3.1.1营业厅无线网络架构设计.............................................................................10
3.1.2营业厅无线供电设计....................................................................................11
3.1.3营业厅无线设备选型....................................................................................11
2
H3C营业厅无线解决方案技术建议书
第一章、建设需求
1.1营业厅背景及网络建设原则
结合WLAN的实际应用和发展要求,营业厅无线网络的系统设计,主要遵循以下总体原则:
实用性原则:
以现行需求为基础,充分考虑发展的需要来确定系统规模。
安全性原则:
营业厅内无线为开放网络,无线网络可以随时随地接入,
如果营业厅内员工和顾客使用内部无线网络时,必须有相应的加密和认
证机制,才能保证网络的安全性。
同时为了满足公安部82号令的要求,
营业厅需要一套可以进行顾客身份认证及上网行为审计和管理的系统。
可靠性原则:
系统设计能有效的避免单点失败,在设备的选择和关键设
备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可
能性,另一方面要保证网络能在最短时间内修复。
规范性原则:
系统设计所采用的技术和设备应符合WLAN国际标准、国家
标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供
良好的基础。
开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的
技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块
后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和地区的扩
展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:
整个系统的设备应易于管理,易于维护,操作简单,易
学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方
面得到很好的监视和控制,并可以进行远程管理和故障诊断。
3
H3C营业厅无线解决方案技术建议书1.2营业厅无线零售建设需求
营业厅无线网络覆盖项目是要保证营业厅内的员工和顾客能够使用移动终端(手机、平板电脑等)经过简单快捷的认证之后,随时随地的接入网络,并且可以实现营业厅内顾客的无线定位,以及对于顾客信息的收集和统一管理,进一步针对不同的顾客展开更加精细的营销信息推送;同时,为了未来扩展营业厅可能的无线办公系统,该无线网络必须具有一定的安全性、可管理性和可扩展性。
本次无线建设包括以下几点需求:
1(实现公共区域的覆盖
本次无线网络为营业厅内员工和顾客提供无线网络接入服务,覆盖区域包含营业厅内所有公共区域,以保证用户在营业厅内各个区域都能够有较好的无线使用感受。
2.网络的安全性
为了将顾客更多的留在营业厅,营业厅希望能为客户提供无线上网服务,同时收集顾客身份信息,方便营业厅展开进一步的精准营销。
由于无线网络可以随时随地接入,故如果营业厅内员工和顾客使用内部无线网络时,必须有相应的加密和认证机制,才能保证网络的安全性。
在满足公安部82号令的前提下,提供快速便捷的短信认证系统,方便顾客上网,同时对于认证顾客进行统一的行为审计和管理,保障网络安全。
4
H3C营业厅无线解决方案技术建议书
第二章H3C无线零售解决方案H3C的无线零售解决方案通过结合H3C的WLAN产品线,iMC业务软件产品,定制化营业厅业务组件产品提供了业界领先的针对营业厅的无线网络应用。
包括,营业厅顾客无线上网、无线定位、基于无线WLAN的营销信息呈现、基于位置的营销短信推送等。
2.1.1无线上网认证及管理解决方案
(1)无线上网认证
营业厅无线网络项目对安全有着严格的要求,必须能够对外来人员进行身份认证,一方面对营业厅网络安全有一定程度的保护,另一方面,保证网络的正常使用,提高网络的使用效率和用户的使用体验。
根据营业厅的特点,本次方案建议采用portal短信认证的方案,客户通过短信自助获取登录密码,登录账号即用户手机号。
这种认证方式可以在减少营业厅网管人员工作量的同时,对无线接入用户进行登录信息记录,便于以后审查。
针对营业厅客户流动性较大,顾客众多且不固定的特点,H3C无线访客接入管理组件(UAM)单台服务器最大可以支持到1万人规模,访客注册账号数量可达10万人,顾客通过手机接入之后,后台服务器会快速为新顾客开户,发送登陆密码到顾客手机,访客身份验证成功后,根据访客策略通过ACL、VLAN控制访问范围,访客可以手动注销或者超时自动注销;服务器也会定期自动删除失效访客账号,保障后续客户的顺利接入。
如果检测到接入用户手机长期处于“无流量”状态,UAM服务器可以将此用户作下线处理,用户再次接入的时候,无需再次输入手机号和密码,可以“快速无感知”接入继续上网。
认证完成之后页面会转到营业厅营销页面(H3C支持按照模板自定义界面,可以提供现成的模板对营业厅营销界面进行自主设计),同时,H3CUAM组件也会对外提供接口,支持与第三方对接,方便营业厅或第三方厂商读取UAM每天新的注册用户信息,导入营业厅数据库;同时支持将营业厅普通会员或VIP客户信息从营业厅数据库导入UAM。
认证流程及营销页面图:
5
H3C营业厅无线解决方案技术建议书
6
H3C营业厅无线解决方案技术建议书用户管理及行为审计
<1>接入用户管理
H3CiMC智能管理中心的平台组件实现了完善的网络设备管理功能,在此基础上,iMC智能管理中心用户管理组件将管理的范畴从网络设备延展到了营业厅接入用户的管理,通过网络设备管理和用户管理的深度融合和联动,在统一的平台上实现了用户、网络的集中管理,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,完全满足公安部82号令对于公共场所提供wifi上网需要对接入用户进行身份信息收集和管理的要求。
<1>严格的权限控制手段,强化用户接入控制管理基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。
可以控制用户的上网带宽(QoS)、限制用户同时在线数、禁止用户设置
和使用代理服务器,有效防止个别用户对网络资源的过度占用。
支持最大闲置时长限制。
可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部
非法网站的访问。
可以限制用户IP地址分配策略,防止IP地址盗用和冲突。
监控用户认
证成功后的IP地址,若有变更则强制要求下线。
可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上
网。
<2>详尽的用户监控,强化对终端用户的监视控制
iMC用户接入管理组件提供强大的“黑名单”管理,可以将恶意猜测密
码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源。
管理员可以实时监控在线用户,强制非法用户下线。
支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,
网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安
全”等。
iMC用户接入管理组件记录认证失败日志,便于方便定位用户无法认证
通过的原因。
提供接入明细日志,便于审计用户的接入网络记录。
7
H3C营业厅无线解决方案技术建议书
<3>集中方便的接入业务用户管理,简化管理员维护操作
基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限
均封装于服务中,简化管理员的操作,保证网络管理模式的统一。
接入用户可使用自助服务,帐号申请、查询、修改都通过自助服务页面
完成,既提高效率,又减轻管理员的工作量。
H3C用户接入管理部分界面如下图所示:
<2>用户行为审计
为了保障营业厅网络安全,避免接入用户利用营业厅网络进行一些不正当的网络行为,iMCUBA用户行为审计组件通过与多种网络设备共同组网,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求。
UBA用户行为审计组件可根据用户需要,通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志
8
H3C营业厅无线解决方案技术建议书进行快速审计,并对审计结果提供灵活的排序、分组、保存等功能。
网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。
终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果,日志审计包括:
通用日志审计:
审计内容包括接入用户名、用户上网起止时间、来源/
目的IP地址、来源/目的端口、使用的协议及应用名。
Web访问审计:
审计内容包括接入用户名、用户上网起止时间、来源/目
的IP地址、端口、用户访问的站点、用户访问的网页等。
文件传输审计:
审计内容包括接入用户名、用户传输文件起止时间、来
源/目的IP地址、端口、ftp用户名、传输文件名、传输方式(上传/下
载)等。
邮件审计:
审计内容包括接入用户名、邮件发送时间、来源/目的IP
地址、发件人、收件人、邮件主题等。
地址转换审计:
审计内容包括接入用户名、用户上网起止时间、来源/
目的IP地址、来源/目的端口、使用的协议及应用名、NAT转换后IP地
/端口等址
UBA用户行为审计组件日志审计界面如下图:
9
H3C营业厅无线解决方案技术建议书
第三章、营业厅网络设计3.1营业厅网络拓扑设计
3.1.1营业厅无线网络架构设计
由于营业厅涉及的AP数量较多,综合考虑,建议使用FITAP方案,对AP使用无线控制器进行统一管理。
采用FITAP组网方案可以智能射频管理,当某一个AP出现故障时,周围的其他AP会自动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。
而当有非法AP进入无线网络造成信号干扰时,H3C智能射频管理系统可以定位出该AP的位置,以便及时加以排除。
使用无线控制器+FITAP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。
FITAP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP的工作信道以及发射功率。
另外,通过无线控制器的RF扫描探测热点地区RougeAP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。
在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,极大的减少了无线网络后期维护
10
H3C营业厅无线解决方案技术建议书和管理的工作量。
3.1.2营业厅无线供电设计
为方便统一管理,提高设备的安全性,本次营业厅无线供电设计建议采用POE供电的方式对无线AP进行远程供电。
采用POE方式即通过网线对AP进行供电,POE供电方式具备以下几点优势:
首先,安全性更高,通过网线进行供电可以避免本地电源的使用,有效减少强电部署,提高大楼的用电安全;另外,通过POE供电可以实现对AP供电的管理,配置H3CWSM无线运维管理软件可以实现AP的定时开关,一方面提高无线网络的安全性(不必要使用时可关闭无线网络),另一方面,还可以节省营业厅的日常费用(不必要使用时,关闭AP节省用电)。
3.1.3营业厅无线设备选型
核心交换机旁路连接无线控制器WX3010E,实现对整网无线接入点的统一管理。
为了确保控制中枢的稳定可靠,采用两台WX3010E进行双机热备,每台控制器均和AP建立管理隧道,类似于有线网络中的双核心双链路模式。
这样,一旦单台控制器故障,另外一台控制器接管所有AP的管理权限,确保业务不中断。
H3C无线控制器不但可以实现无线的双机热备,还可以实现业界唯一的Portal、802.1x认证网关和DHCP服务器的热备。
接入交换机直接通过光纤与有线网络的核心交换机互联,采用H3C5120-28P-HPWRPOE交换机实现无线AP的接入和远程供电。
无线接入点采用WA4620i-AGN,通过千兆双绞线连接到楼层接入交换机。
H3CWA4600i系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP),可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围。
该系列无线产品上行链路采用千兆以太网接口,突破了百兆速率的限制,使无线多媒体应用成为现实。
无线设备选型及软件合作方案推荐:
数量项目型号价格
4无线APWA4620i
1无线ACWX3010E
11
H3C营业厅无线解决方案技术建议书
1POE交换机S5120-28C-PWR
iMC-UAM(短信认证,支持营销页面自1无线上网认证
主定制)
1无线网络管理iMC-WSM
1用户行为审计iMC-UBA
12
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- h3c 营业厅 无线 解决方案