【正文】 統(tǒng)免受黑客攻擊。 企業(yè)WLAN需求分析隨著智能移動終端的增加，企業(yè)BYOD的普及，高質量的WLAN已經(jīng)成為企業(yè)移動辦公的剛性需求。某展館企業(yè)需要在展館內(nèi)部署無線，用于內(nèi)部運營。同時對于訪客網(wǎng)絡，企業(yè)還需要建立完善的網(wǎng)絡安全管理機制，避免由于訪客的網(wǎng)絡不良訪問給企業(yè)帶來的法律風險。首先從安全性考慮，訪客網(wǎng)絡必須要和辦公網(wǎng)絡分開，訪客網(wǎng)絡單獨提供給訪客使用。BYOD、移動辦公已成大勢所趨，企業(yè)WLAN的應用需求正在進一步加大。企業(yè)辦公無線覆蓋方案書 概述 企業(yè)WLAN現(xiàn)狀分析隨著移動互聯(lián)網(wǎng)的發(fā)展，移動終端的爆炸增長，無線終端和無線應用的快速普及，極大的推動了無線網(wǎng)絡的發(fā)展。在這個移動互聯(lián)的時代，無線已經(jīng)成為終端接入的主導力量。大型企業(yè)在無線網(wǎng)絡建設期間要充分考慮訪客（領導、客戶、合作伙伴）接入網(wǎng)絡的需求。從用戶體驗角度考慮，訪客接入網(wǎng)絡的驗證方式一定要做到簡單易行，繁瑣的驗證方式會降低訪客對企業(yè)的整體印象。對于企業(yè)員工移動辦公上網(wǎng)，更需要做到可管控，上網(wǎng)行為做到可追溯，企業(yè)有效的帶寬資源得到合理的分配和保證，才能使企業(yè)的業(yè)務系統(tǒng)正常且穩(wěn)定高效地運行，同時保證企業(yè)信息安全，避免機密信息泄露。展館共三層，面積約3萬平米，無線信號需全覆蓋，不留盲區(qū)，支持無縫漫游，統(tǒng)一SSID，無縫漫游，統(tǒng)一認證方式。而在具體的應用過程中企業(yè)WLAN包含以下具體的需求： 企業(yè)WIFI安全接入隨著企業(yè)信息化建設和國家信息化工程的發(fā)展，企業(yè)辦公信息化逐漸實現(xiàn)，企業(yè)BYOD需求激增，更多的企業(yè)采用無線網(wǎng)絡接入自己的內(nèi)部業(yè)務和辦公系統(tǒng)。 企業(yè)WIFI安全辦公企業(yè)業(yè)務規(guī)模不斷擴大，企業(yè)業(yè)務對網(wǎng)絡的依賴性也越來越高。辦公、訪客、會議室等都需要使用無線網(wǎng)絡。伴隨而來的安全問題不僅體現(xiàn)在接入，接入之后如何防護企業(yè)網(wǎng)絡的安全以及保障業(yè)務系統(tǒng)的正常運行，亟需要有效的無線安全解決方案來做雙重保障。而無線網(wǎng)絡由于其無邊界化、信號易受干擾等原因，無線網(wǎng)絡在多人使用過程中會出現(xiàn)連接不穩(wěn)定、上網(wǎng)速度慢、無關應用占用帶寬等體驗不佳的問題。 企業(yè)WIFI快速漫游隨著智能移動終端發(fā)展，企業(yè)BYOD處于大勢所趨，要實現(xiàn)企業(yè)內(nèi)部任何時間、任何地點都能實現(xiàn)BYOD，這就必須保證無線信號的無縫覆蓋、快速漫游，而且信號質量高。 企業(yè)上網(wǎng)行為管理企業(yè)員工可以通過WIFI進行資料查找、內(nèi)部辦公、溝通交流、業(yè)務咨詢、外發(fā)機密文件等，亟需要實現(xiàn)員工上網(wǎng)行為的管理、帶寬的管控和保證員工上網(wǎng)安全，用于提供員工的辦公效率和避免企業(yè)網(wǎng)絡資源浪費，防止企業(yè)機密數(shù)據(jù)泄密和員工通過互聯(lián)網(wǎng)從事非法交易活動。接入后訪問企業(yè)內(nèi)部受限資源、訪問互聯(lián)網(wǎng)，同樣亟需要對訪客的上網(wǎng)行為做管控以及流量做管控。針對眾多的無線WIFI熱點配置、升級、維護需要統(tǒng)一化的集中管理，降低維護成本，提高整體的穩(wěn)定性，減少故障率。 企業(yè)無線部署作為有線的擴展，安全接入的邊界和方式相較于有線網(wǎng)絡難以控制，員工私接WiFi等安全問題也缺乏很好的管理手段。 企業(yè)辦公無線終端密度大，員工對網(wǎng)絡時延敏感度高 企業(yè)BYOD需求激增，企業(yè)辦公區(qū)、會議室，無線終端密集。 辦公場所要求覆蓋廣，無死角，信號強企業(yè)辦公區(qū)域面積大，要求信號無死角覆蓋，內(nèi)部員工接入可實現(xiàn)無感知漫游，不斷網(wǎng)。來訪訪客隨時隨地可接入，并辦理業(yè)務咨詢和反饋。部門精細化的同時權限也必須精細化控制，各個部門、職位擁有責任內(nèi)的不同權限。 無線攻擊手段多樣，內(nèi)網(wǎng)安全有威脅不同于有線網(wǎng)絡基于物理端口進行安全防御，無線信號因其自身特點，覆蓋區(qū)域內(nèi)的任何人員都能看到無線信號，對企業(yè)而言，難免會存在一定盜用賬號、非法接入的安全威脅。除此以外，、11，當部署區(qū)域被運營商的AP給占用以后，可用信道就不多了。方案設計根據(jù)企業(yè)的無線網(wǎng)絡需求和無線網(wǎng)絡設計原則，結合無線系統(tǒng)技術和產(chǎn)品的特點，方案設計如下： NAP布放設計根據(jù)現(xiàn)場平面圖，無線網(wǎng)絡采取蜂窩式部署方式。設備清單及位置統(tǒng)計如下：序號設備類型設備品牌設備型號放置區(qū)域設備數(shù)量合計1無線接入點NAP信銳（深信服）　1樓22　　58　2樓18　　3樓18　2無線控制器　核心機房1　1　3POE交換機　1樓弱電井1　　3　2樓弱電井1　　3樓弱電井　1 無線組網(wǎng)方式結合用戶無線網(wǎng)絡需求情況，結合產(chǎn)品自身技術特點，為了滿足用戶構建一個高速、穩(wěn)定、安全、可靠、易于管理的無線接入網(wǎng)絡的需求，本設計方案按照NAP+AC的結構化無線網(wǎng)絡解決方案進行設計。在一個覆蓋區(qū)內(nèi)，最多可以提供3個不重疊的頻點同時工作，通常采用11三個頻點。信道規(guī)劃如下圖：圖紙中橙色、藍色、黃色信號圈分別為11信道。 企業(yè)無線安全接入設計在無線系統(tǒng)中，可以在多個層面對系統(tǒng)構筑安全防護，其安全性設計如下： 更豐富、快捷的企業(yè)認證安全機制 ，用戶接入時即需要認證。無疑給用戶使用和IT管理員增加了大量的配置工作，技術提供了企業(yè)認證的自動配置工具，終端用戶無須管理員協(xié)助，通過開放性wlan下載自動配置工具，一鍵安裝即可輕松接入企業(yè)網(wǎng)絡，既安全又便捷。 支持和企業(yè)內(nèi)部的用戶認證服務器進行身份認證，只需要在配置頁面上配置對接信息即可以和LDAP、AD域、Radius等企業(yè)內(nèi)部的用戶身份數(shù)據(jù)庫進行快速的身份校驗，既安全且可靠。 帳號、終端靈活綁定、杜絕越權訪問首次連接無線網(wǎng)絡認證時，用戶名和終端可以實現(xiàn)自動綁定，幫助企業(yè)快速完成身份綁定，若用戶擁有多個上網(wǎng)終端，管理員也可以靈活的手動審批后續(xù)新加入終端的綁定。 限制帳號在多個終端同時接入 可限制一個帳號同時登錄的終端個數(shù)，有效保護企業(yè)網(wǎng)絡資源。 不允許新終端接入。 多樣化的接入控制 基于終端類型和特性的接入控制。無線可以免安裝客戶端軟件實現(xiàn)終端類型的識別，認證接入時，可以根據(jù)情況限制只有手機終端可以接入，筆記本類型不能接入；或者只允許IOS終端接入，不允許Android終端接入，讓您認為不安全的終端無法接入網(wǎng)絡。不同的無線熱點可配置不同的接入訪問控制策略，以便不同的無線熱點承載的無線用戶接入到企業(yè)內(nèi)部不同的業(yè)務系統(tǒng)，既安全又高效。無線無縫對接企業(yè)內(nèi)部認證服務器，支持用戶組[安全組、OU組]、用戶名等用戶屬性的接入控制，也支持radius等屬性的接入控制。甚至接入控制條件可以靈活組合，滿足客戶不同的接入控制需求。例如可以支持不同的接入位置且滿足指定的終端特性才允許接入進行上網(wǎng)，如下圖： 企業(yè)無線安全辦公設計 精細化多角色授權管理企業(yè)用戶接入無線網(wǎng)絡后，無線提供安全管家全面負責其用戶權限的授權管理。 VLAN隔離同一vlan內(nèi)、不同vlan間通訊的終端采用隔離技術，有效防止終端之間傳輸大量文件損耗AP 有限的帶寬資源，也防止終端之間的任意互訪有可能導致的數(shù)據(jù)竊取、文件中毒等惡意行為，最大限度地確保辦公安全，提高辦公效率。業(yè)界的防火墻控制主要是基于網(wǎng)關出口，只能限制內(nèi)網(wǎng)用戶訪問外網(wǎng)資源，內(nèi)網(wǎng)用戶之間不能做到基于服務和應用控制。企業(yè)網(wǎng)絡和內(nèi)部應用是非常復雜的如下圖，企業(yè)內(nèi)部既有有線網(wǎng)絡也有無線網(wǎng)絡，既有用戶之間互訪、訪問內(nèi)部資源、移動小型設備接入和數(shù)據(jù)傳遞的需求，也有訪問互聯(lián)網(wǎng)資源、數(shù)據(jù)中心進行數(shù)據(jù)同步需求。無線集成了有線無線一體化，在業(yè)界首次提出“用戶”的概念，其訪問控制策略結合強大的應用識別庫搭配“用戶”概念，完美實現(xiàn)了內(nèi)網(wǎng)用戶之間的控制以及對公網(wǎng)資源訪問的外部控制，該方案針對有線或無線用戶都適用，給企業(yè)一個干凈和健康的網(wǎng)絡環(huán)境。、例如：企業(yè)員工上班時間只能訪問內(nèi)網(wǎng)的“企業(yè)內(nèi)部業(yè)務系統(tǒng)”、不允許允許訪問公網(wǎng)視頻網(wǎng)站，研發(fā)人員不能訪問市場人員的CRM系統(tǒng)，研發(fā)人員不能向市場人員發(fā)送郵件；訪客手機終端之間不能傳送文件，訪客只能訪問固定的網(wǎng)站，不能訪問企業(yè)內(nèi)部的研發(fā)和市場資源，但不允許上微博發(fā)信息；針對與工作相關的即時通訊軟件、下載軟件不做應用的限制，而對下載速度做一定范圍的限制。只轉發(fā)受信任的DHCP服務器響應，屏蔽非法的DHCP服務器，防止終端IP不合法。 DDOS防御。 企業(yè)無線快速上網(wǎng)設計 端到端的協(xié)議加速 無線網(wǎng)絡隨著接入人數(shù)的不斷增加，由于干擾增大導致上網(wǎng)速度慢，應用訪問體驗差。有效解決企業(yè)無線網(wǎng)絡由于干擾導致的無線傳輸速率低、丟包、延遲等網(wǎng)絡質量問題。干擾信號 防終端拖滯讓無線跑得更快傳統(tǒng)的無線隨著低速終端的接入會導致高速終端速率被拉低，從而導致整體吞吐率下降，客戶業(yè)務響應緩慢，嚴重影響終端的應用訪問體驗。 基于應用的無線射頻管理技術研發(fā)的無線網(wǎng)絡動態(tài)帶寬分配，當無線接入點帶寬不足時，無線網(wǎng)絡的保證帶寬將按照設定的權重對所在接入點帶寬進行分配；無線接入點帶寬充足時，將不受此限制。每個無線網(wǎng)絡上用戶可以自定義基于應用的子通道，用戶可以設置通道間的帶寬占用比例，當無線網(wǎng)絡帶寬不足時，通道間的保證帶寬將按照設定的比例進行帶寬分配，無線網(wǎng)絡帶寬充足時不受此比例限制。 組播優(yōu)化及提速 自動組播提速：將廣播包原有的發(fā)送速度提高，加快廣播包的傳輸效率，保證每個終端可以收到組播包，提升帶寬吞吐。 禁止DHCP請求發(fā)往無線終端：通過對DHCP發(fā)送機制的優(yōu)化提升DHCP效率。 VLAN池利用V