凉山环保局无线网络覆盖项目方案建议书.doc

目录1.1 无线AP布放设计    21.2 无线组网方式    21.3 信道规划    41.4 政府WLAN挑战的解决方案    41.5 WLAN高速业务设计    51.5.1端到端的网络协议栈加速    51.5.2应用识别和流量控制    61.5.3针对无线的网络优化    61.5.4智能负载均衡    71.5.5快速L2/L3漫游    71.5.6射频优化    71.6WLAN安全设计    81.6.1更全面的安全    81.6.2无线认证策略设计    111.7WLAN运营、宣传设计    131.7.1个性化的页面推送    131.7.2微信认证    141.8设备选型    14凉山环保局无线网络覆盖项目方案建议书根据凉山环保局的无线网络需求和无线网络设计原则，结合目前业内主流无线系统技术和产品的特点，方案设计如下：1.1 无线AP布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。设备清单及位置统计如下：序号设备类型放置区域设备数量合计1无线接入点AP大楼内部2626台2无线控制器核心机房11台3POE交换机各层弱电间55台4汇聚交换机核心机房11台5光纤模块核心机房1414个6防火墙核心机房11台     1.2 无线组网方式结合凉山环保局无线网络需求情况及无线产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照无线AP+无线控制器的结构化无线网络解决方案进行设计。无线网络与现有有线网络通过划分管理VLAN的方式逻辑隔离。无线控制器通过旁路部署方式，连接在核心交换机上。无线接入点通过POE交换机接入到网络中。目前有两种无线组网方式：集中转发和本地转发，凉山环保局可根据不同的流量需求，选择不同的转发模式。本次无线覆盖方案，必须选择集中转发，给无线用户划分数据VLAN， AP把无线流量转换成有线网流量，通过控制器转发。用户认证数据、管理数据通过隧道协议上传到无线控制器，这样可以做到数据层、控制层流量分离，用户访问互联网的流量本地转发效率高，认证、管理流量汇总到无线控制器处，安全性高，用户可审计。拓扑如下：凉山环保局无线网络拓扑示意图1.3 信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。1.4 政府WLAN挑战的解决方案针对凉山环保局组织结构复杂、权限难于控制的问题，无线控制器使用精细化的角色识别和授权管理功能，可针对凉山环保局各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略，有效区分用户权限，防止越权访问。针对凉山环保局终端、应用类型多，不易管理的问题。无线控制器使用终端识别和应用识别功能，无线控制器内置应用识别库和URL库，能自动识别凉山环保局无线流量类型和终端类型，根据终端、应用类型设置相应的流量控制策略。对用户的应用流量进行有效的管理，限制视频、P2P下载等高耗带宽应用对带宽的使用，有效防止其大量抢占带宽。针对凉山环保局OA、邮件等办公系统带宽被大量抢占，无线控制器能针对这些应用使用带宽保障技术，优先保障办公应用对带宽的需求，有效防止出现看视频等行为对办公应用带宽的抢占，影响办公业务。针对凉山环保局无线网络有可能受到攻击的问题，无线控制器使用动态黑名单技术，将攻击终端加入黑名单，拒绝其接入无线网络。并且，无线控制器能够自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高政府网络的安全性。无线控制器可采用多种认证方式，有效保障接入用户的合法性。针对凉山环保局无线空中垃圾多，各部门都自行部署家用无线路由器，无线接入稳定性得不到保障。无线网络部署采用企业级无线控制器加瘦AP的模式，对无线网络进行统一部署，合理的规划AP的位置和信道，有效避免无线信号充斥，干扰严重，无线接入稳定性得不到保障，上网速度慢的问题。针对凉山环保局无线运营能力弱，WIFI建设基本停留在网络连通的阶段，无线建设往往只在于提供能够使用的无线网络。无法利用政府WLAN平台来进行广告宣传、提升政府形象。无线控制器能够采用个性化的页面推送技术，给终端用户推送网页、提升政府形象。并且可以结合凉山环保局微信公众号进行微信认证，用户需关注微信公众号后，才能上网。大大增加了政府微信公众号的关注度，便于后期的政策宣传。1.5 WLAN高速业务设计1.5.1端到端的网络协议栈加速针对凉山环保局现有干扰的无线网络环境，采用协议栈加速技术，客户端无需安装任何插件，只需在无线控制器开启单边加速功能，通过改善无线传输协议算法，凉山环保局的无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。1.5.2应用识别和流量控制针对凉山环保局内、外部移动终端多种多样，公务人员和办事人员运行着各种应用无法管控。无线控制器内置应用识别库和URL库，能自动识别凉山环保局无线流量类型和终端类型，根据终端、应用类型设置相应的流量控制策略。对于凉山环保局重要的OA、邮件、财务等办公系统进行重点的带宽保障，防止抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览我们可以进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障政府正常的办公网络。1.5.3针对无线的网络优化为了改善凉山环保局的无线网络，可针对无线传输中拉低网络速度的相关机制进行相应的优化，使无线网络传输速度得道进一步的提升。广播优化: 针对广播包发送机制优化，减少广播包浪费过多资源。ARP转单播：通过对ARP发送机制的优化提升ARP效率。禁止DHCP包发往无线终端功能：通过对DHCP发送机制的优化提升DHCP效率。自动广播提速：将广播包原有的发送速度提高，加快广播包的传输效率。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。平均带宽分配：支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。1.5.4智能负载均衡针对凉山环保局存在办公区、会议室等部分区域人员集中的现状，无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点，平衡负载压力，极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载，提升无线接入质量。1.5.5快速L2/L3漫游为了实现凉山环保局在区域内的无线漫游、办公不中断，本方案满足优秀的L3漫游特性，用户漫游不受子网限制，保证凉山环保局用户在不同区域间移动而业务不中断。1.5.6射频优化依据凉山环保局不同环境，无线控制器可自动进行射频调整，有效避开自干扰，也可以自动进行信道调整，为AP分配不同信道避开信道间的干扰。1.6WLAN安全设计1.6.1更全面的安全针对凉山环保局的实际情况，通过精细的权限控制，非法URL的封堵，动态黑名单、防DOS攻击、IDS等为凉山环保局更全面的安全防护。1.6.1.1精细化角色识别与授权管理针对凉山环保局存在各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。根据政府的不同部门（财务、员工、领导），不同的终端（手机或电脑）、不同的用户（内部工作人员或办事人员）划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。1.6.1.2危险应用和URL的识别和管控在凉山环保局内部，工作人员和访客通过无线访问网络，有可能会出现访问非法网络的情况，给政府带来安全风险。本方案中，无线控制器内置应用识别库和URL库，能自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高政府网络的安全性。1.6.1.3动态黑名单无线控制器会实时监控无线网络安全情况，如果网络中出现攻击终端，无线控制器会将其自动列入动态黑名单，在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击，则继续列入黑名单。如果恢复正常则允许其接入。1.6.1.4上网行为审计无线控制器融合内容识别功能，以国内最大的应用识别库以及URL识别库为基础，能够将使用有线和无线网络的政府办公人员以及访客诸如用户注册信息、发布信息的内容及时间、访问信息的内容及时间、传输文件的信息及时间等内容全部识别并记录，完全符合公安部82号令要求。并且该功能实现无需再搭配第三方专业设备，大大节省政府部门的IT建设成本。1.6.2无线认证策略设计1.6.2.1安全、便捷的访客认证系统短信认证外来办事人员进入凉山环保局接入无线网络，通过输入手机号码获取验证码取得上网权限。所有用户的手机号码都会上传到无线控制器，在无线控制器上可以下载用户手机号码列表。这样就可以通过短信平台进行定向的信息推送。还可以针对手机号码的上网行为进行审计、分析，从而规避法律风险。二维码认证外来访客来到凉山环保局接入网络后，无线设备自动向访客的终端推送凉山环保局的portal页面，页面中包含一个二维码，这个二维码中包含了访客终端的MAC信息。被授予接待权限的内部工作人员用自己已经接入内网的终端扫描此二维码，此时无线管理设备记录下接待工作人员的用户名和访客的MAC地址，访客可以便可以接入网络。临时帐号系统认证无线使用临时用户信息管理系统，访客到来凉山环保局时只需开设临时帐号，设定使用时间即可。临时用户在有效期内可以登录，超过有效期无法登录；临时账号管理系统拥有二级权限系统，该系统仅能进行临时帐号的创建、管理功能，给前台使用方便、简介。大大减少网络管理员压力。1.6.2.2 802.1X自动配置802.1X能有效保证凉山环保局网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。对此，可提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。1.6.2.3帐号、MAC自动绑定针对凉山环保局存在领导等人员帐号需要重点保障的情况，针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC，实现了安全性与灵活性的兼顾。1.6.2.4统一集中管理结合无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过无线控制器内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。1.7WLAN运营、宣传设计1.7.1个性化的页面推送页面推送可以根据用户、用户组、地理位置等多维度的推送。由此可以实现不同部门推送不同的页面，访客进入不同部门推送不同页面。同时，页面自定义灵活简单，不需要专业人员开发，普通网管人员即可实现灵活的自定义页面。1.7.2微信认证访客进入政府接入无线网络，被定向到指定提示页面，提示访客关注政府微信号然后即可获取上网权限，访客关注政府微信号即可上网。这样便大大增加了政府的关注度，也便于后期的政策宣传。1.8设备选型根据以上对凉山环保局需求的分析，为了实现更快速、更安全的政府WLAN建设，凉山环保局无线系统必须具备以下功能：1、 对无线网络的加速功能2、 对于政府重点的业务数据进行识别和带宽保障3、 对非法网络应用和URL进行识别和控制，限制访问非法网站，保证网络安全4、 页面推送，可对凉山环保局进行形象宣传5、 无线接入点AP使用2.4G和5G双频接入保证接入数量和质量6、 能够对无线网络进行统一的管理，能够实现无缝漫游7、 能够实现对无线用户的上网行为管理和审计