IT外包服務
無線辦公解決方案
發布日期:2022-05-06 10:04:00閱讀量:557

1.?概述

單位隨著業務規模的線上化及不斷擴大,對單位提高運營效率的要求也不斷提升,隨著WIFI技術的不斷發展,使其能更加穩定高效的承載單位應用。很多單位在有線網絡的基礎上擴展無線網絡來進行日常業務的開展,甚至很大一部分單位在新建辦公場所時,考慮建設的成本和傳統網絡的繁瑣,也希望可以通過WIFI接入技術實現他們的目的。

事實上,無線應用已經深入到單位當中,除了日常辦公之外,很多應用也正依賴于無線技術,比如日常辦公,訪客服務,會議室,公眾場地等。

在智能終端普及的這個背景下,對于單位而言,BYOD、移動辦公的需求也提上日程,WIFI作為必不可少的接入手段,需求也進一步擴大。

2.?需求與挑戰

2.1?需求分析

隨著智能移動終端的增加,單位BYOD的普及,高質量的WLAN已經成為一個成功單位必不可少選項。

image.png

在具體的應用過程中單位辦公WLAN包含以下具體的需求:

高速的無線業務網絡

隨著無線技術的不斷發展,以及單位辦公網的需求面的擴大,單位級WLAN對于無線質量的要求也越來也高,公司郵件、財務、辦公軟件的高效使用都需要快速的無線網絡支撐。

image.png

?隨時隨地的BYOD

大信息技術高速發展,單位BYOD處于大勢所趨,要實現單位內部任何時間、任何地點都能實現BYOD,這就必須保證無線信號的無縫覆蓋、快速漫游,而且信號質量高。

image.png


對于多種接入終端,多個接入地點保證良好的一體化兼容、控制、管理。


image.png

現在越來越多的提到BYOD,員工將個人應用和個人終端帶到單位環境中,員工移動化給單位帶來很多影響。包括帶來便利性,提高員工效率,同時帶來挑戰比如安全、IT支撐、工作量的挑戰,辦公場所變著越來越靈活,移動程度越來越高,這種趨勢是大勢所趨。

安全、便于管控的訪客網絡

作為一個成功、開放的單位,經常會有領導、客戶、合作伙伴的接待工作。在網絡發達的今天,訪客往往會要求使用網絡。對于單位來說,開放內部網絡會面臨單位信息安全的問題,同時如何開放、如何管理訪客接入網絡也是一件非常頭疼的事情。所以單位WLAN需要一個安全、便于管控的訪客網絡系統。

image.png

1.1?單位辦公WLAN面臨的挑戰

?組織結構復雜,權限難于控制

隨著單位的發展壯大,職位分工更加明確,部門的職責也更加細化。部門精細化的同時權限也必須精細化控制,各個部門、職位擁有責任內的不同權限。如何保障公司機密不外泄,越權事故不發生是一件非常困難的事情。

image.png

終端、應用類型多,不易管理

BYOD的不斷發展,終端類型多種多樣,員工自帶手機、平板、筆記本接入單位無線網絡,對于單位而言,管控難度也加大。如果員工通過手機終端連接上WiFi,在上班刷微博,聊陌陌,炒股等與工作無關的活動,工作效率低下。公司想要禁止員工手機接入無線網絡,僅僅允許電腦接入辦公,另外對于移動筆記本訪問指定URL或者不能訪問指定URL等。

訪客網絡無法安全、有效管控

對于眾多的訪客,接入終端多種多樣,終端的安全性也有高有低。如果讓他們接入內網,外網會對單位信息安全造成影響。如果給訪客單獨的物理網絡,如果訪客在單位發表非法言論,產生一些非法事件,單位無法責任溯源,定位責任人。所以單位訪客網絡管理難度非常大。

攻擊手段多樣,內網安全有威脅

不同于有線網絡基于物理端口進行安全防御,無線信號因其自身特點,覆蓋區域內的任何人員都能看到無線信號,對單位而言,IT資源就是資產,難免會存在一定盜用賬號、非法接入的安全威脅。

image.png

空中垃圾多,無線接入穩定性得不到保證

WiFi網絡大多使用的2.4GHz頻段,眾所周知,2.4GHz頻段是開放頻段,工作在這個頻段的設備很多,比如:微波爐、藍牙、無線座機、外來AP、監控攝像頭等等,會對WiFi設備進行大量的干擾。除此以外,2.4GHz相互不干擾的信道只有1、6、11,當部署區域被運營商的AP給占用以后,可用信道就不多了。在這種情況下,干擾會造成丟包和延遲,實際傳輸速率往往得不到保證。?

image.png?無線運營能力弱

現在的單位無線WIFI建設基本停留在網絡連通的階段,無線建設往往只在于提供能夠使用的無線網絡,而怎樣利用單位WLAN平臺來進行廣告宣傳、提升公司形象還是一個需要解決的問題。??

3.?方案設計原則

結合WLAN的實際應用及發展要求,無線局域網系統設計,主要遵循以下原則:

實用性:以現行需求為基礎,充分考慮發展的需要來確定系統規模

?先進性:采用先進成熟的網絡理念、技術、方法與設備,反映當今先進水平,又給未來的發展留有余地;充分采用目前國際、國內流行、成熟的技術,保證網絡能適應技術的快速發展。

?可靠性:系統設計能有效避免單點失敗,在設備的選擇和關鍵設備的互聯時,應提供充分的冗余備份,一方面最大限度地減少故障的可能性,另一方面要保證網絡能在最短時間內修復。

?規范性:系統設計所采用的技術和設備應符合WLAN國家、國際標準,為系統擴展升級、與其他系統互聯提供良好的基礎

開放新及標準化:在設計時,要提供開放性好、標準化程度高的技術方案,設備的各種接口滿足開放及標準化原則

可擴展性:系統不但滿足當前需求,并在擴充模塊后滿足可預見的將來的需求,保證建設完成后,系統在向新的技術升級時,能保護現有投資。

可管理性:整個系統的設備易于管理,易于維護,操作簡單,便于進行系統配置,在設備、安全性、統計、性能等方面得到很好的監視和控制,并可以進行遠程管理、故障診斷處理。

2.?方案設計

2.1?無線局域網技術發展及特點

802.11ac是在802.11a標準之上建立起來的 包括將使用802.11a的5GHz頻段。在通道的設置上,802.11ac將沿用802.11n的MIMO(多進多出)技術,為它的傳輸速率達到Gbps量級打下基礎,第一階段的目標達到的傳輸速率為1Gbps,目的是達到有線電纜的傳輸速率。

802.11ac每個通道的工作頻寬將由802.11n的40MHz,提升到80MHz甚至是160MHz,再加上大約10%的實際頻率調制效率提升,最終理論傳輸速度將由802.11n最高的600Mbps躍升至1Gbps。當然,實際傳輸率可能在300Mbps~400Mbps之間,接近目前802.11n實際傳輸率的3倍(目前802.11n無線路由器的實際傳輸率為75Mbps~150Mbps之間),完全足以在一條信道上同時傳輸多路壓縮視頻流。

此外,802.11ac還將向后兼容802.11全系列現有和即將發布的所有標準和規范,包括即將發布的802.11s無線網狀架構以及802.11u等。安全性方面,它將完全遵循802.11i安全標準的所有內容,使得無線連接能夠在安全性方面達到單位級用戶的需求。根據802.11ac的實現目標,未來802.11ac將可以為用戶提供無縫漫游服務,并且在漫游過程中能支持無線產品相應的安全、管理以及診斷等應用。

通俗一點就是,802.11ac讓千兆無線傳輸成為可能,完全從傳輸速度上滿足日益增長的需求。每一次無線技術的進步都與我們的生活密切相關,與11n的誕生一樣可知,千兆無線傳輸速率標準的提出是為了滿足我們日益增長的無線傳輸需求,為打造新一代無線網絡生活奠定基礎。到那時運用于千兆桌面的大部分應用將無縫地移植到手持終端上, 讓人們不再感覺有無線網絡和有線網絡之分,達到兩者在用戶端的真正統一。

2.1.1?無線局域網架構

隨著WLAN技術的不斷成熟,人們對于基于“瘦”AP架構的組網模式關注程度越來越高,其發展規模也在不斷壯大,由起初的圖書館、機場等小范圍的熱點區域直到目前的大型體育館、政府、乃至無線城市。而WLAN網絡在安全和管理方面的問題一直是建設者所關注的重點問題,“胖”AP無法滿足我們對WLAN網絡的安全性和管理方面的需求。因此,基于“瘦”AP組網的架構是無線局域網建設的主要方式,其核心設備由無線控制器AC和無線接入點AP組成。無線控制器主要負責流量監控、RF、用戶認證、負載均衡、AP管理以及QoS等,AP主要負責用戶的接入及無線信號的收發。這種架構的無線網絡,大大簡化了AP的復雜性,一切功能均有AC完成,充分解決了基于“胖”AP架構網絡中的突出問題。

集中控制組網方式的優勢:

?便捷的安裝、維護

部署“瘦”AP可以實現即插即用,AP設備的管理、控制、配置任務全部由無線控制器來完成,無線網絡的管理員不必再對數量龐大的無線接入點進行管理和維護,所有的配置、固件升級、安全策略更新等動作都可以在無線控制器上就可以完成。

?提供動態RF管理

WLAN控制器AC能自動獲取同一個網絡中不同瘦AP之間的信號強度。無線局域網控制器能利用這些信息,為網絡創建一個動態優化RF拓撲。優化RF的手段主要包括動態信道調整和動態功率調整。

用戶負載均衡技術

?WLAN控制器AC能自動探測到接入點AP之間的信號強度。當有終端需連接WLAN中的無線AP時,此時只要收到終端發出的探測信號的AP都會向無線控制器AC發出信號,隨后無線控制器AC將根據終端信號強度和信噪比,決定哪個AP應當響應終端的探測信號

2.2?無線覆蓋設計

4.2.1點位設計

按要求,增城殯儀館單位覆蓋要求如下:

系統覆蓋范圍:公司辦公大樓:1-4層辦公室及會議室等(詳細布局根據實際現場考察),室外2處休息區。

AP設備要有高可靠性,對于人員密集的地方要求單個AP能夠同時連接100臺終端接入能力,同時提供2.4G和5G?Wi-Fi連接,必須全面支持802.11AC協議,在目標覆蓋區域內95%以上的位置,接收信號電平≥-75dBm,單用戶接入最低業務速率≥5Mbps。

2.3?無線局域網系統設計

4.3.1 系統組網設計

根據系統組網設備在網絡中的不同位置,并結合增城殯儀館單位現網的情況,最大限度減小對已有有線網絡的改動,無線控制器、認證服務器均旁掛于匯聚交換機。

系統組網如下圖所示:

image.png


所有設備管理地址、用戶網關統一配置在核心交換機上,核心交換機同時完成出口動作。AC、AP間二層發現建立capwap隧道,進行管理控制。匯聚交換機上對應用戶行為審計的端口多鏡像配置,可避免審計系統部署在主干網絡上引起的性能瓶頸問題,同時可節省硬件投資。用戶通過核心交換機獲取IP,通過認證服務器完成認證,根據配置的認證策略,實現不同的訪問邏輯通道。

4.3.2 多業務區分設計

使用無線網絡可以分為不同的無線接入業務類型。因此,在設計上采用無線局域網多SSID技術,設置多業務區分方式。在一個無線局域網內可以設置多個SSID,例如一個SSID可給內部員工所用,一個給來賓訪客使用,配置對應的保障策略,以保障業務。由于用戶一般把SSID看成VLAN,所以它們都會慣性地以VLAN概念來劃分SSID。其實在一個AP范圍內,不管用戶連接到那一個SSID它們實際上都是在同一個802.11廣播域內,因為無線電波的傳輸是共享。一個最簡單的例子就是AP把不同的SSID名字廣播,所以當無線終端在這個AP覆蓋范圍內啟動時,它就能同時看到多個SSID。SSID的最主要用途是可讓無線終端以不同的安全認證和加密方式入網。

4.3.3 無線接入認證

基于單位無線局域網服務質量及運營效果,無線局域網接入認證方式已不僅僅局限于簡單的用戶名密碼認證即可接入,多樣化的認證方式,不僅可以給顧客帶來更暢快的體驗,還能實現增值性的運營、管理。

本次項目以實現主流的portal(短信)認證、微信認證及802.1x認證為目標。Portal、微信連wifi供用戶多樣化選擇,802.1x認證供內部員工訪問內部資源使用,兩種認證方式的業務通道通過不同VLAN進行透傳,實現安全隔離。

微信連wifi:

從可增值的無線局域網設計思路,越來越多的無線場景啟用微信公眾號,開展基于微信的推廣,來賓訪客可單獨開通基于VLAN隔離的通道,用于實現微信連wifi,與內部網絡隔離,滿足安全要求的同時,簡化來賓訪客的認證流程,同時推廣單位形象。


Portal認證:

Web Portal認證又稱為強制WEB認證或WEB+DHCP,其對具有對新業務支撐能力強大、無需安裝客戶軟件、與組網設備無關等特點。受到越來越多用戶的歡迎。Portal認證業務可以為管理者提供方便的管理功能,如要求所有的用戶都到門戶網站去認證,門戶網站可以開展廣告、信息服務、個性化的業務等,為信息傳播提供一個良好的載體。

采用Web Portal認證方式,無線用戶的認證點都是放置于無線控制器設備上,后臺現有的安全計費認證系統認證計費統一作為作為用戶身份認證系統。?

802.1x認證:

在802.1x認證協議中,需要具備具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權。802.1X具有較高的安全級別,有利于對用戶使用無線網絡的深層次的控制。

客戶端:一般安裝在用戶的工作站上,當用戶有上網需求時,激活客戶端程序,輸入必要的用戶名和口令,客戶端程序將會送出連接請求。

認證系統:在無線網絡中就是無線接入點AP或者具有無線接入點AP功能的通信設備。其主要作用是完成用戶認證信息的上傳、下達工作,并根據認證的結果打開或關閉端口。

認證服務器:通過檢驗客戶端發送來的身份標識(用戶名和口令)來判別用戶是否有權使用網絡系統提供的服務,并根據認證結果向認證系統發出打開或保持端口關閉的狀態。

在客戶端與認證服務器交換口令信息的時候,沒有將口令以明文直接送到網絡上進行傳輸,而是對口令信息進行了不可逆的加密算法處理,使在網絡上傳輸的敏感信息有了更高的安全保障,杜絕了由于下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。

4.3.5 用戶行為審計

用戶是上網行為管理產品最為核心的要素,任何一條策略都是針對一個用戶或者部門設置的,因此對于用戶的識別、認證與管理能力決定了設備部署效果。

?實時監控

可以通過瀏覽器實時查看用戶當前的上網情況,如當前在線用戶,其訪問的IP地址信息、URL、應用服務信息、流量、占用帶寬、即時通信信息、收發郵件等;

?信息審計

詳細記錄用戶上線的各類日志,包括HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戲、股票、視頻等近大量常見應用的上網日志。日志可以保留90天以上,歸檔的日志可通過各種組合條件進行在線查詢,也可以遠程備份到異地通過離線瀏覽器查看;

異常管理

根據用戶上網狀態,如IP連接數、數據包特征、流量等情況,及時發現用戶上網終端是否異常,自動告警或采取相應的控制措施,保障網絡通暢。

?統計分析

提供數十種統計報表對上網流量、上網時間、網站訪問、郵件收發、聊天信息等進行統計,可生成各類排行榜,并可以圖表的方式從各個角度對用戶上網情況進行分析,統計結果可直接打印或自動分發,亦可導出Excel表格,方便進行二次處理。

?

4.3.6 無線局域網安全設計

原有的有線網絡基礎上,外網與內網之間通過防火墻實現安全控制,防火墻設置防御策略,控制外網到局域網的流量安全,可避免病毒和安全隱患在有線、無線網絡之間相互擴散。

局域網內,無線控制器支持豐富的ACL配置選項,可以通過設置該策略來實現對不同設備的訪問控制,并支持限定用戶只能訪問指定URL或者不允許訪問某些URL,嚴格控制接入用戶訪問路徑,以及為管理者提供更多訪問權限的管理手段。

無線網絡作為有線網絡的補充,其安全性與有線網絡密不可分,總體可以分成四個層面,分別是射頻層(物理層)安全、鏈路層安全、網絡層安全和應用層安全。

?射頻層安全

由于AP使用空中的無線電射頻信道工作,每路射頻都會占用一個信道。非法設備可能侵占合法AP的正常信道工作,一方面會對合法的無線接入點產生干擾,另一方面是非法無線用戶對合法AP的入侵?;ヂ摼W上可以輕易下載到很多無線入侵和攻擊工具,而原先傳統的無線接入點設備均都沒有偵測無線入侵的功能,所以當受到像無線DOS攻擊時,就會誤以為是無線電波的信號受干擾或AP出現不穩定情況,這些攻擊會導致用戶的無線連接發生中斷。通過無線控制器非法AP探測功能,為管理者呈現周圍環境掃描列表,提供RougeAP掃描、Adhoc掃描等功能,通過掃描的AP周圍的非法AP、友好AP為管理員提供無線網絡頻譜情況,是否需要進行反制動作,以此保障系統射頻端的安全。

鏈路層安全

鏈路層的安全主要依靠標準體系中的安全特性來保證,通過802.1x、PSK、MAC、Portal等方式來控制各種類型用戶的準入,豐富的產品線為管理者提供整套服務設備,包括認證、控制、管理等,從源頭上杜絕第三方整合設備帶來的安全風險,通過用戶二三層隔離等技術來限制用戶間互訪。

?網絡層安全

通過準入檢查后,如何對無線終端發出數據進行有效的檢查和監控是進一步的病毒防護手段。通過和第三方的防病毒廠家合作,可以允許設定策略,對于某些用戶以及某些可能沾染病毒的數據,將其重定向到防病毒設備上進行防病毒檢查,檢查完成后,才允許通過,否則會將數據丟棄。

應用層安全

應用層的安全是無線網絡有別于有線網絡安全的特有屬性,通過無線設備與防火墻、無線定位設備的配合,可實現對非法用戶、終端的行為進行實時監控和記錄,同時在有必要的情況下可以通過無線定位組件來實現對非法用戶、終端的位置定位。

4.4方案特點

4.4.1高帶寬和抗干擾性

系統部署采用的無線接入點(AP)遵循802.11a/b/g/n/ac標準,能提供高達1.2Gbps的無線接入速度,可以同時工作在802.11b/g/n模式和802.11a/n/ac模式,通過雙頻接入使用方式,能有效地從覆蓋范圍、接入密度、運行穩定等方面提供更高性能的無線接入服務。AP特有的ASM射頻技術增強了系統的抗干擾能力,提高了實際應用的傳輸帶寬。專有的Crystal外圍補償校準技術提高了頻譜資源的利用率。

4.4.2 智能射頻管理及負載均衡技術

無線控制器內提供自動功率和信道調整功能。通過專有的射頻檢測和RF管理算法,優化射頻覆蓋效果。當AP信號受到外界強信號干擾時,通過控制AP自動切換到合適的工作信道以規避干擾信號,保障WLAN通信的暢通。

支持黑洞補償功能,在某個AP出現故障時,能夠自動加大周圍AP的功率以保障覆蓋效果。

支持對非法AP的探測以及反制,對于釣魚AP以及仿冒AP,可以迅速識別,并通過監控以及反制功能,攻擊釣魚AP使用戶無法連接,避免損失。

支持按接入用戶數量和流量的負載均衡方式,當無線控制器發現無線接入設備的負載超過設定的門限值以后,對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入,如果有則會拒絕用戶的關聯請求,用戶會轉而接入其他負載較輕的無線接入設備,但如果無線用戶不在重疊覆蓋區內,傳統的負載均衡方式往往會導致連接不上網絡,造成誤均衡。創新性的支持智能負載均衡技術,保證只對處于覆蓋重疊區的無線用戶才啟動負載均衡功能,有效的避免誤均衡的出現,從而最大限度的提高了無線網絡容量。

4.4.3高可靠性,保障場所無線業務

獨創的瘦AP獨立工作功能,無線設備在瘦AP的模式下,如果AP和AC的通信中斷,AP會自動切換為獨立工作模式,保持原有用戶網絡繼續正常使用,并可接入認證新的用戶。在通信恢復后會自動注冊到AC,全程用戶無感知。

image.png


AP獨立生存功能,保障業務可靠性

?

4.4.4 終端智能識別與BYOD

采用業界領先的智能終端識別技術,可以根據終端特點,智能識別終端類型以及系統類型,自適應彈出不同大小、頁面格局的Portal認證頁面。終端智能識別技術可以智能識別用戶設備,用以適配不同大小的頁面,免去了用戶多次拖動,調整屏幕的操作,同時還可以為不同用戶提供不同的上網策略,為用戶提供更加智能的無線體驗。


? ? ? ? ? ? ? ? ? ? ? ? ? ?image.pngimage.png

4.4.5便捷的運維管理

在AC的WEB頁面上,故障診斷提供了便捷的網絡連通性檢測功能,通過該功能可以快速的定位AC通信故障節點,快速排除故障。

Email告警功能是將 AC 側發送的告警信息及時通過郵件形式發往到用戶指定的郵箱的功能。定制AC 上的系統告警和AP 側告警子項,選擇性的、快速的將告警發生和解除信息通過 Email快速的推送給管理員和一些定制人員

告警類型

CPU、內存利用率;

設備重啟情況;

?心跳報文;

丟包率;

設備、用戶在線情況等;