XX银行办公大楼无线网络解决方案.docx

《XX银行办公大楼无线网络解决方案.docx》由会员分享，可在线阅读，更多相关《XX银行办公大楼无线网络解决方案.docx（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX银行办公大楼无线网络建设建议书合大楼场景实际情况，打造平安、合规的无线网络。5.3.1 多种认证方式大楼无线网络对于丰富的终端接入认证方式有着强烈的要求，根据不同业务终端的属 性提供不同的认证方式。大楼无线网络既承载了银行日常办公业务内部资料、数据的交互; 同时对于员工互联网访问给予严格的管理；还能够对来宾互联网访问提供可信的认证方 式。以下是大楼常见的几种访问需求，根据不同角色赋予不同的认证方式。内网办公PC接入：办公场所最常见的PC终端，银行员工对于内部金融信息访问、 信贷数据检查等平安性较高的接入设备，可采用802. lx认证，对接银行AD/LDAP,结合 员工身份信息登录，首次登陆

2、后无线管理平台自动绑定用户账号与终端mac信息；内网哑终端接入：对于银行类似打印机无法通过界面认证且在日常工作中经常用到 的一类设备，需要加强对这类设备的接入认证控制，防止私接这种非法设备到网络从而带 来平安方面的威胁，可采用基于终端mac的认证；员工互联网接入：银行网络需要将内网办公和互联网访问区分开来，鉴于两者的安 全性要求不同，可采用不同的认证方式，对于员工接入互联网采用固定账号/密码方式， 通过平安策略绑定用户账号及移动终端mac信息，同时限制用户账号与移动终端绑定数 量，可由员工根据自身情况报告申请，由此保障无线网络实名准入，防止出现账号他用的 情况；来宾互联网接入：对于来访宾客既有

3、互联网访问的需求但同时又需要对他们身份的 合法性进行确认，防止恶意蹭网者在互联网上发布非法、违法言论给银行带来平安方面的 风险。可采用授权二维码方式，即银行员工通过手机终端扫描来宾手机经系统产生的二维 码进行认证授权。5.3.2 灵活授权方式基于不同的授权方式：对于银行大楼场景常用的802. lx和Portal,可根据不同的认 证方式进行授权。如员工采用802. lx认证方式，来宾采用Portal认证方式，从而为员工 和来宾授予不同的网络访问权限；基于不同用户组授权：将有相同网络访问要求的用户划分到指定的组，可对指定的 组、用户授予不同的网络访问权限；基于Portal不同认证授权：支持手机短信

4、认证、微信认证、QQ认证、微博认证、固 定账号密码认证等方式，可基于Portal不同的认证方式授予不同的网络访问权限。5.3.3 内外网实名审计近年来网络平安无时无刻不在我们身边敲响警钟，网络平安事件更是屡见不鲜，通过 网络发生的数据泄露、银行卡信息被盗等鲜活的案例警示着我们提供的无线网络系统必须 是平安、可溯源的，“迎客无限”系统可提供多维度、细粒度的实名审计功能：基于不同认证方式的实名审计：对于802. lx、Portal等应用于员工内网办公、员工 互联网访问、来宾互联网接入均可进行实名审计；大楼、网点混合场景实名审计：大楼、网点都接入到一套云平台，可分别对大楼和 网点进行实名审计；基于S

5、SID区分审计：面向不同使用群体、不同业务类型设置多个SSID,可针对每个 SSID进行单独审计；网点场景的非经对接：公安部在2015年已经明确对无线平安下发了 “非经营性互联 网无线上网服务场所的平安管控”（简称“非经平安”）的通知是续公安部82号令专门 针对无线平安的又一重要举措。已在20多个省正常推进，与10多家后端审计平台厂家 成功对接。5. 4平安性设计用户身份认证要求 行内人员无线办公接入场景采用802. lx认证方式，认证账户由无线AAA接入认证平台从银行现有AD域认证服务 器中提取身份信息进行平安认证； 行内人员非办公终端互联网接入场景使用Web Portal认证方式，认证账户

6、由无线AAA接入认证平台从银行现有AD域认证 服务器中提取身份信息进行平安认证； 行外人员互联网访问应用场景使用Web Portal认证方式，认证账户由无线AAA接入认证平台，通过手机申请动态密码的方式进行身份平安认证。5.4.1 非法AP控制要求在无线控制器AC端，采用白名单管理AP的方式，对接入的AP进行统一管理，在后 续扩展AP的时候，应首先在AC端添加新增AP的MAC地址。防止非法AP随意接入银行网 络。5.4.2 终端访问控制要求属于银行统配的终端包括台式机、笔记本、特定应用系统用户终端一律不许接入互联 网；无线终端间需要平安隔离；针对应用场景一，行内人员无线办公接入的SSID需要进

7、 行平安隐藏。5.4.3 业务数据隔离要求无线互联网业务数据与办公网业务数据需要进行有效平安隔离，不同的应用场景采用 不同的SSID进行区分隔离。545互联网上网行为控制、审计要求针对应用场景二、三的无线互联网接入应用，需要对通过无线接入互联网的终端进行 上网行为控制，如工作时间实现禁止BT下载、在线视频等应用层控制，并对接入用户进 行上网行为日志记录，日志记录至少保存90天。5. 5网络管理设计无线控制器(AC)和AP间采用业界标准的CAPWAP协议进行通讯，并由此实现对AP 的集中管理和自动配置。通过使用该功能，无线控制器AC可将其所管理AP的软件版本及 配置文件自动下载到AP上。这样，当

8、在网络中增加新的AP、更换坏的AP或给网络中所 有的AP软件版本升级时，网络管理者只需在无线控制器AC上进行统一操作即可轻松完成 相应工作。这将极大的减轻网络维护人员的管理工作量。有线无线统一管理网络的可管理、可维护性是网络能否健康运行的重要保障，系统能够对无线控制器 AC、AP、平安网关、交换机在同一个管理平台进行管理维护。NetManager图形化中文版的WEB界面网络管理软件，该网管软件界面友好、功能丰 富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外，该网管软件还可以提供众多强大的管理功能，其中包括AP的自动拓扑发现、 自动升级、批量配置、管理、告警等，并可

9、实现针对无线覆盖空间内的射频扫描、非法接 入点监听等平安功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行 的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网 络的管理运营进行合理的规划。6方案优势6.1高平安可靠性“迎客无限”整体解决方案在业界是少数应用双向加密认证技术企业之一，对接入用 户采用网内隔离，单独数据加密的方式，保证接入用户的数据平安。同时云平台独立部署 在企业内部数据机房，服务器群边界采用平安网关进行加固，保证平台的平安性。6. 2高性能扩容对于大楼无线覆盖、内容分发、数据收集、处理的平台性能要求必须是具备云计算大 容量弹性扩展、负载均

10、衡，采用虚拟化计算技术的超强性能处理能力的平台。自2015年 服务于中国工商银行16000个网点、总行大楼、37个省分行的大楼AP均接入位于北京工 总行大楼数据中心机房的“迎客无限”运营平台。不但满足现在工行业务处理能力，还能 够通过硬件、软件扩容持续满足今后AP、用户增长带来的高性能要求的处理能力。6. 3最完成组网方案方案支持瘦AP+AC等多种设备进行组网，设备类型最全。同时配合AC、AP设备可灵 活支持L2、L3组网模式，对组网要求限制最小。6. 4精准实名审计WiFi互联网营销平台，可进行短信认证、微信实名制认证，满足公安部82号令互联 网服务要求；同时可记录用户行为信息，方便事后追述

11、、查询，实现互联网服务免责。10记录用户访问网址的IP地 址、URL分类、主域名、 URL地址记录用户使用微薄、论坛等 登录帐号、发帖内容等可靠性银行总行办公大楼部署两台AC控制器，进行二层1+1主备冗余，确保高可靠性。正 常情况下，所有的AP由主AC进行管理，主AC和被AC会实时同步AP和客户端信息，一 旦主AC出现异常，如AC拓机、主AC线路中断等情况，备AC会立即接管AP和客户端， 该过程是无缝切换，不需要AP再重新进行注册，客户端也不需要再重新关联SSID。从而 确保了网络的可靠性。7无线网络优化信道优化信道优化原理802. 11协议在2. 4GHz频段定义了 14个信道，每个频道的频

12、宽为22MHz。两个信道 中心频率之间为5MHz。信道1的中心频率为2. 412GHz,信道2的中心频率为2. 417GHz, 依此类推至位于2. 472GHz的信道13。信道14是特别针对日本所定义的，其中心频率 与信道13的中心频率相差12 MHzo北美地区（美国和加拿大）开放1T1信道，欧洲开 放13信道。中国与欧洲一样，开放了 1-13信道。信道1在频谱上和信道2、3、4、5都有交叠的地方，这就意味着：如果有两个无线 设备同时工作，且它们工作的信道分别为1和3,那么它们发送出来的信号会互相干扰。信道优化操作为了最大程度的利用频段资源，我们使用1、6、11组互相不干扰的信道来进行无线11

13、覆盖，三个信道进行蜂窝式覆盖并遵循以下原那么：任意相邻区域使用无频率交叉的频道，如：1、6、11频道蜂窝式无线覆盖实现无交叉频率重复使用信道优化后5层的AP拓扑图：7. 2优先接入5G优先接入5G优化原理2. 4G是个公共的频段，无线摄像头，蓝牙，无线鼠标，微波炉等均工作在这个频段, 干扰较严重，影响用户带宽。高密度接入情况下，2. 4频段负载严重，5G频段接入较少 或者空载，设备整体利用率不高。在高密度用户或者2. 4G干扰较为严重的环境中，充分利用5G频段可以更好的提供接 入能力以及容量，在5G频段情况下非重叠信道数量可以到达21个，大大提高了无线AP 部署的灵活性与无线信号的抗干扰性。并

14、且减少干扰对用户体验的影响。优先接入5G优化操作开启双频AP的5G优先接入功能，在终端也同时支持5G和2. 4G的功能情况下，那么 AP控制这种终端优先接入5G。现在应用中，很多终端同时支持5G和2. 4G的功能，但是 这些终端在接入的时候，通常默认按照2. 4G接入，而要接入5G那么需要手工进行选择。但 是5G的性能要比2. 4G好的多。为了 WLAN利用率和提高用户体验，5G优先功能很好的解12决了这个问题，将同时支持2. 4G和5G的用户，优先接入5G。7. 3无线空口限速无线空口限速优化原理由于无线网络空口带宽共享特性，防止个别用户独占带宽或外网出口，而影响大多数 用户的使用，所以开启

15、无线用户空口带宽限速功能，保证各个无线终端享有公平的带宽。 空口限速功能如下：每个终端的带宽限制：可以针对每个接入终端设定空口带宽上限；每个Vian的带宽限制：可以针对AP上分配各个VLAN设定带宽上限；每个SSID的带宽限制：可以针对AP上每个SSID设定空口带宽上限；AP总接口带宽限制：可以设定单个AP空口总带宽上限；无线空口限速优化操作无线系统共分三个SSID,使用第一种带宽限制方案，对每个终端进行带宽限制，各 个SSID分配的不同带宽策略如下：Yinhang_Intranet：银行内部员工接入内网（可访问外网），无线用户不做带宽限速;Yinhang _Internet：银行内部员工接入

16、外网（无访问内网权限），各个无线用户做限 速策略，每用户1M带宽；Yinhang _Guest：外部访客接入Intemet外网（无访问内网权限），各个无线用户做 限速策略，每用户1M带宽；7. 4 AP间负载均衡 AP负载均衡优化原理基于流量的AP间负载均衡：AP主控基于流量的负载均衡的出发点是，AP处于网络 侧，AP之间通过有线的连接，可以在不影响终端业务的情况下，相互传递与负载均衡相 关的信息。根据这些信息，ESS就可以判断出AP中负载最重的AP和负载最轻的APo拥有 这些信息的ESS就可以做出一些决策，让负载重的AP下的终端切换到负载轻的AP下，或 者对新加入网络的终端进行限制，不允许负

17、载重的AP接入而只允许负载轻的AP接入等, 实现基于流量的的负载均衡。13基于用户数的AP见负载均衡：用户数负载均衡就是控制终端的接入实现负载均衡。 当AP的负载情况超过阈值后，该AP就会拒绝新的终端的接入，加入WLAN的终端只好寻 找负载较轻的AP进行连接，从而实现AP间负载的均衡。由于基于用户数的负载均衡只控 制新终端的接入过程或切换后的重连接过程，属于被动的负载均衡，负载均衡的调整收敛 速度会比拟慢。 AP负载均衡优化操作第一种基于流量的负载均衡，开启此功能会占用AP较多的资源，可能导致AP使用率 降低。我们使用了第二种负载均衡方案，基于用户数的AP间负载均衡，配置每个AP最大 接入用户

18、数的阀值为30个，保证AP工作在最优状态。7.5关闭低速率关闭低速率原理WLAN网络中不是使用固定的速率发送所有的报文，而是使用一个速率集进行报文发 送（例如 802. 11g 支持 1、2、5.5、11、6、9、12、18、24、36、48、54Mbps）,实际无 线网卡或者AP在发送报文的时候会动态的在这些速率中选择一个速率进行发送。通常提 到的802. 11g可以到达速率主要指所有的报文采用54M速率进行发送的情况，而且是指的 一个空口信道的能力。实际上大量的广播报文和无线的管理报文都使用最低速率1Mbps 进行发送，所以会消耗一定得空资源。关闭低速率操作该优化方案使用的前提是必须保证信

19、号覆盖良好。终端信号较弱或者覆盖不充分的场 所建议不使用。对于高密度用户覆盖场所，信号覆盖都在-70dBm以上，信号强度基本上 都是比拟良好的。关闭控制器上11Mbps以下的低速率的应用。7. 6供电问题由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建 设完成的建筑物上较难进行本地供电，基于标准的802. 3af实现对AP的供电。通过在汇 集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供 电，供电距离达100米，满足实际组网的要求。148产品介绍主要产品描述8.1.1 “迎客无限”营销平台产品概述“迎客无限”是国内领先的WiFi营销方案

20、，我们致力于智慧城市、运营商、金融、 政府、石油、电力等行业客户提供内容营销WiFi整体解决方案。依托21年的行业网络研 发积淀，“迎客无限” WiFi在软硬件开发实力、系统布署、服务品质等方面具有独特优势。 “迎客无限”解决方案包含了 WiFi接入、认证审计、精准营销、大数据分析等一系列功 能，方案包含了 “迎客无限” WiFi运营云平台和大数据分析平台、WiFi设备、ISG出口 网关以及配套网管运维软件，从基础网络层到业务上层提供整体解决方案。高可靠、稳定、 高速的基础无线网络MyPower系列产品为客户的无线上网体验提供保障，运营和数据分析 平台和具备百万级AP和千万级用户接入性能、多元

21、便捷的认证方式、全面的用户行为审 计和大数据分析、以及基于用户数据清扫沉淀后的精准营销推广等高价值功能，极大的帮 助了行业客户实现了的“互联网+”战略的快速转型。“迎客无限”系统架构图产品特征 超强的兼容性15WiFi 营销平台完全兼容 Radius 协议(RFC2138, RFC2139, RFC2865, RFC2866),支持多厂商的网络访问服务设备； 灵活的用户管理提供多级用户及角色管理，区分管理角色、系统维护员级别角色； 多种登陆方式支持用户通过手机号码动态密码验证、QQ、微信、微博等模式等第3方认证模式；同时支持用户无感知认证，即用户在第一次登录输入用户名、密码登录成功后，在后 续

22、登录过程中，可直接进行登录网络，无需输入用户名和密码； 支持数据分析报表提供基础报表定制分析呈现和运营定制服务，包括来宾用户量、用户上网时长、流量 信息统计等；提供用户首页点击量、广告链接点击量、APP下载量参数统计及呈现等定制化服务； 分场景内容精准投放通过对设备、SSID段等识别参数策略的配置，实现对不同不同分支机构或建筑的内 容精准化推送；支持投放时段控制； 组织机构管理可划分支机构的节点和账号。各节点内容可分别管理和定制，同时上级节点管理员可 要求下级节点继承相关发布内容； 内容管理（CMS）支持通过管理员通过DIY模式实现轮播广告、文章栏目定制、图文编辑、首页APP 推广、微博微关注

23、等内容管理和整合功能。支持二级文章栏目定义。方便管理员根据不同 的要求划分门户的栏目结构； 风格与模板管理系统采用风格和模板对呈现形态和视觉效果进行管理。可定制个性化的模板。也可以 通过DIY方式自定义或修改当前模板的呈现形态和效果； 基于Web的图形化管理界面使用Web方式进行系统管理，无需安装客户端管理软件，降低了软件维护费用，并且161概述错误!未定义书签。2工程背景13工程业务分析13. 1业务应用分析13.2业务需求分析24工程建设原那么25工程建设目标36总体设计思路41覆盖解决方案46.2 网络拓扑设计5集中转发模式错误!未定义书签。6.2.1 本地转发模式错误!未定义书签。6.

24、2.2 支行自建模式错误!未定义书签。6.3 大楼场景功能6多种认证方式76.3.1 灵活授权方式7内外网实名审计86.4 平安性设计8用户身份认证要求86.4.1 非法AP控制要求9终端访问控制要求96.4.2 业务数据隔离要求9互联网上网行为控制、审计要求96.5 网络管理设计97方案优势107. 1高平安可靠性10高性能扩容107.2 最完成组网方案10精准实名审计10* 11使管理工作不受地理环境的限制，随时随地可以进行系统管理监控；终端多样化能够支持业内多种终端设备，包括智能手机、平板电脑等智能设备；能够自动识别终 端类型，调整登陆界面；同时也支持多种桌面系统设备。产品规格功能子项描

25、述用户认证手机短信认证支持来宾用户通过输入手机号码，系统发送动态密码，用户通过输入手机号码、动态密码进行认证微信关注认证支持来宾用户关注微信公众号，通过公众号获取链接方式进行认证支持同一模板，可分组织机构米用不同微信公众号进行认证微信连WiFi支持微信连WiFi ,访客关联SSID后，在Portal推送贞面只需一键即可同时关注微信公众号和求得上网权限支持扫描二维码连网扫描二维码即可同时关注微信公众号和连接SSID上网支持同一模板，可分组织机构米用不同微信公众号进行认证微信实名认证支持微信实名认证，确保符合公安部实名审计要求:首次使用微信连WiFi时，首先验证用户手机号码之后进行微信连WiFi认

26、证；90天内再次使用微信连WiFi ,不冉验证用户手机号码支持同一模板，可分区域米用不同微信公众号进行认证微信引导关注支持微信连WiFi （微信实名认证）过程中引导用户关注公众号，以提升粉丝转化率微博认证支持来宾用户通过微博账号、密码认证QQ认证支持来宾用户通过QQ账号、密码认证17内置账号认证支持管理员创立内置固定账号、密码，来宾通过该账号、密码可接入网络支持内置固定账号、密码登录时，可通过用户手机号码，发送动态密码进行验证，提高账户平安性用户免认证支持来宾用户免认证登录，尢需认证就口访问互联网资源无感知认证支持无感知一次认证功能，用户首次认证后，系统自动记录用户上网设备信息，用户后续接入无

27、需再次认证，自动接入支持快速无感知，用户首次认证后，系统自动记录用户上网设备信息，用户后续接入，设备后台流量自动触发无感知认证，自动接入模板管理支持自主模板选择，系统内置多套精美模板,可满足不同行业客户使用系统提供图文形式模板预览，方便查看模板投放效果支持同时启用多套模板，可根据不同推送策略进行差异化推送门户管理门户定制支持自助装修门户，包括认证页、广告跳转页、首页、无感知认证页等 支持自定义登录页，上传企业Logo,形象图、背景图以强化品牌宣传; 支持选择多种认证方式：手机短信认证、微信认证、微博认证、QQ认 证、内置账号认证、免认证等支持广告跳转页自定义，广告页时间和图片自定义支持用户认证

28、后，可选跳过广告页支持门户主页内容定制，用户可进行轮播图、主题栏目、广告栏目等设 置支持微博推广帐号、微信推广公众号设置，提升企业账号推广度支持用户APP下载配置,可同时配置多个APP下载（IOS、Andriod.18Winphone ）支持自定义页面推送顺序：1 .首页-认证页-倒计时广告页-首页推送顺序管理无感知推送2 .首页-认证页-倒计时广告页。自定义外部链接3 .认证页-倒计时广告页首页4 .认证页- 倒计时广告页- 自定义外部链接支持无感知认证时推送广告页面，或者无感知认证不推出广告页面；支持用户自定义无感知页推送面内容支持无感知认证广告页面推送控制，可配置为每次推送、每天首次推送

29、支持按SSID进行广告推送支持按指定设备（AC Name. AP Mac、AP SN ）进行广告推送推送策略管理支持按组织机构（区域）进行广告推送 支持定时内容发布，同时支持指定发布内容的结束时间支持用户在门户主页、倒计时广告页发布广告、文章、下载信息等内容, 并支持精准投放策略支持按用户标签进行广告投放，用户标签支持按人物画像分析设置，也 支持通过接口从第三方系统获取广告投放内容投放支持总部采用一套模板的情况下，将模板中的广告位置，分级分权交由 下级机构进行广告内容投放（至少支持5级机构）；支持总部采用一套模板的情况下，可分别控制模板中广告位的权限，部 分广告只能总部进行内容投放，局部广告内

30、容可由下级机构进行内容投 放（至少支持5级机构）；19周边商圈数据分析支持用户预览投放内容，即时了解投放效果支持用户投放内容后，需经指定管理员审核后，该投放内容才生效内容审核 支持管理员审核内容时进行页面预览，方便查看投放效果支持门店管理：管理员新建、删除门店信息，填写门店基础信息，并且对门店进行自定义分类支持门店和活动分级分权管理，上级可以查看和管理下级活动和门店周边活动投放支持按门店进行周边商家广告活动投放，同一广告活动可同时投放到多个门店，支持设置活动展示时间支持按距离、类别展现周边商家活动列表，可展现商家活动内容，联系方式，地图等信息活动审核活动审核支持用户投放内容后，需经指定管理员审

31、核后，该投放内容才生效可对系统新注册用户、总用户数、老用户数进行统计分析呈现 可对用户使用总时长，单次使用时长、登录次数、登录分布等数据进行分析呈现用户分析 支持对客户数、客户登录数、访问时长进行趋势分析支持统计客户数、客户登录数ToplO的网点和区域，支持统计访问时长区域ToplO及分析每天24小时上网时长情况可对门户推广的微信、微博账号，关注情况进行分析统计可对门户推广的APP下载情况，进行数据分析统计；并可统计在用户广告分析处的APP使用情况可对门户推广的广告内容进行分析统计，可快速呈现排名前5的投放广告及点击次数20行为分析可对用户访问的站点进行统计分析，可展小访问频率排名前10的站点

32、可对用户搜索的关键字进行统计分析，可展示搜索频率排名前10的名词或词条可对用户使用的APP进行统计分析，可展小作用频率排名前10的客户端（热门APP ）支持对用户上网行为进行分析，对用户使用时长、登录次数进行列表展示支持展示指定用户访问域名ToplO,使用App Top 10、广告浏览Top5支持展示用户上网期间具体行为：网站访问、搜索关键字、App下载情况人物画像可根据用户访问的网站URL进行综合分析，结合系统本地特征库，生成用户标签和画像支持用户标签从第三方接口查询设置支持雷达图展示用户Top 10标签数据查看所有数据支持分区域（机构）和自定义时间查看报表数据详细数据对系统所有统计分析项，

33、可进行详细数据查看、导出内置用户管理支持对内置用户的管理，可对用户信息进行编辑支持对内置用户的导入、导出用户平安支持用户帐号密码策略控制提供web贞面，供用户自助修改密码支持用户错误登录次数控制用户管理21支持用户重复登录次数控制 支持终端MAC黑白名单,过滤非法终端访问控制 支持用户黑白名单功能，过滤非法用户 可指定用户每天上网时长，可指定用户单次认证上网控制防蹭网控制可指定用户无感知免认证时长，过期需要重新认证可指定用户同时上网终端数分级分权分角色管理支持多种管理角色管理，包括超级管理员、系统管理员、门户管理员、内容管理员、内容审核员等；分区域管理各种系统角色支持按组织机构，进行分级分权管

34、理，即不同用户拥有不同区域、不同权限Radius认证Non-EAP 认证PAP认证CHAP认证EAP认证EAP-MD5 认证代理认证AD代理认证LDAP代理认证Radius代理认证支持IP地址和IP地址池的地址下发授权终端授权支持ACL授权卜发支持Qos授权卜发接入时间策略支持基于时间授权，支持基于绝对时间和周期时间方式的策略，并且这两种策略可以叠加使用设备操作授权支持基于TACACS的用户设备操作命令授权、用户Shell属性授权，确22保不同用户，对设备拥有不同操作权限支持对用户设备操作命令审计，方便记录跟踪绑定手动绑XE支持用户账户和接入设备mac绑定支持用户终端mac和用户账户绑定智能绑

35、定内置4种绑定场景可配置绑定策略支持绑定隔离用户可自定义绑定属性VIP客户识别VIP客户识别收集AC发送到的来宾信息，将提供的APLocation、AP Name.用户终端MAC , AP MAC信息，转换成用户手机号码（未登录过，采用MAC地址）、网点信息（地理位置）；将用户手机号码、网点信息、到达时间，通过中转服务器发送到银行内网业务系统记录用户手机号码（未登录过，采用MAC地址）、网点信息、到达时间等信息，并提供查询界面，供客户查询（当天的）日志管理用户登录日志管理用户登录访问日志管理管理员操作日志管理管理员操作日志管理用户上下线信息外发同步支持将用户上、下线信息，外发到其它上网行为管理

36、服务器，完成基于用户账号的实名审计功能双机备份支持双机备份支持双机备份，保证系统可靠性23支持实时进行备份数据同步平安网关产品概述24ISG1000平安网关是面向多应用场景的互联网出口、运营商互联网专线、政企互联网 出口应用、金融机构营业网点与总部、教育城域网互联网出口而开发的新一代高性能平安 网关产品。ISG1OOO平安网关采用自主可控的硬件，集成自主设计、制造，共享20年的路由器 硬件制造工艺。ISG1000平安网关采用自主研发平安操作系统，突破硬件处理器对应用层 平安检测的性能瓶颈，能以高性能提供上网行为管控、用户信息定位与审计、精准广告推 送、智能平安防护等多种功能，能够将多种业务部署

37、在同一节点，在充分节约用户投资的 情况下提供平安、灵活、便捷的一体化组网与接入方案，有效降低整体的运维本钱，真正 做到“可管控、可透视、可营销、可信赖”。ISG1000-X4 正面产品特征 多样便捷的用户认证方式提供多样便捷的互联网上网认证方式，包括基于用户名密码的本地认证、WEB认证， 和第三方RADIUS/LDAP服务器结合进行外部认证，基于手机号码的短信认证，基于微信公 众号的微信认证，适用于多样化的用户上网场景； 精细的上网行为识别与控制精确识别1000种以上的应用，通过内容级的数据包挖掘技术，对同一种应用可精确 识别多达11种以上的行为，对用户的上网行为进行精细化的控制； 灵活的流量

38、控制管理流量管控技术可以有效地遏制各种应用抢夺珍贵的带宽和IT资源，从而确保网络资 源的合理配置和关键业务的服务质量，显著提高网络的整体性能。可以对IP与应用进行 流量嵌套，支持4层QoS,对客户业务进行灵活控制； 精准的虚实身份识别基于虚实身份识别的用户信息中心，可对用户的各种虚拟账号进行记录，将该用户的25 所有日志信息进行统一分析归类以视图方式展现，并将用户的关键事件时间点在时光轴呈 现，使得网络管理员可对网络情况使用分析有实际的辅助意义； 内容级实名制审计对用户的网站访问、发帖记录、聊天账号、搜索内容、邮件内容进行全面的实名制审 计，并支持对VPN隧道内各种应用实现分类，做到一切上网行

39、为有迹可查； 丰富的互联网营销功能提供Portal页面推送功能，不同地点的用户上网后，推送不同的广告页面，实现广 告的精准定位和推送。支持APP缓存技术，移动用户“秒杀”下载APP,不占用出口带宽, 提升客户业务体验，提高APP下载和使用率； 完善的日志管理与分析提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能, 配合日志管理系统可以完成日志的记录、查询、分析以及报表的生成，为大数据分析提供 完善的数据基础； 先进的硬件平台及软件架构使用MIPS多核平台，高速平安处理，统一化的特征库和一体化分析处理引擎设计， 极大的提高了多功能模块同时运行时的运行效率； 全面的网络攻

40、击防护支持DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、ARP 攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护; 高可靠性保障支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实 现负载分担和业务备份，支持自动同步特征库和策略库。支持双配置文件，设备关键部件 均采用冗余设计。产品规格无线控制器产品概述WNC6600系列是通信技术股份自主研发的新一代无线控制器（Access268无线网络优化111信道优化118.2 优先接入5G12无线空口限速138.3 AP间负载均衡13关闭低速率

41、148.4 供电问题149产品介绍159.1 主要产品描述15“迎客无限”营销平台159.1.1 平安网关24无线控制器269.1.2 无线 AP30网管平台379.1.3 无线平安审计平台3810案例提供3910.1.1 中国工商银行大楼无线工程39恒丰银行大楼无线工程4010.1.2 江西九江银行大楼无线工程41 111 Controller -AC),该无线控制器可以对Fit AP和无线客户端进行集中管理，提供丰富 的业务类型。新一代WNC6600基于有线无线一体化的设计思路，具有高性能、全融合、高 业务集成度、高可靠性、高平安性等优点，完全满足各类行业客户有线网络和无线网络完 全融合的

42、需求。WNC6600系列的统一管理，使WLAN网络成为易管理、可运维的网络，满 足各类业务的部署需求。WNC6600丰富的软件特性，能够为用户提供负载均衡、故障自动恢复、智能射频管理、 快速漫游等功能。并且可以使用中文化的WEB配置界面，便捷的进行配置部署，不需要传 统命令行的复杂操作，维护人员3分钟完成上手配置。WNC6600无线控制器作为有线无线一体化智能管理平台，可与公司全数据通信产品一 起为金融行业用户提供全方位的网络解决方案，广泛应用于各个无线接入场景。WNC6600无线控制器正面产品特征 有线无线一体化设计，满足双网合一的部署要求通信WNC6600无线控制器采取有线无线一体化的设计

43、，先天具备交换设备大容量接 口，在满足大容量无线AP和无线终端接入管理的同时，可承载有线网络大容量数据转发, 具备性能强劲的二、三层有线设备功能； 转发性能高，满足最新1 lac AP的部署升级先天具备交换容量大、转发性能强的特点，不但所有的有线以太端口可以实现线速转 发，而且所有下挂AP也可以实现全线速的转发，满足最新Hac网络高速接入的需求；所 有的平安控制功能由独立硬件ASIC进行控制，功能叠加时完全不影响设备性能； 中文化的WEB配置界面，5分钟即可熟练上手WNC6600产品提供极具人性化的中文WEB配置界面，帮组网络管理员以最高效率完成 设备的配置和维护工作，只需点一点工作轻松搞定；

44、27 单控制器即可实现BYOD功能，识别不同终端系统WNC6600系列产品不用配合任何外部设备即可实现BYOD功能，可根据DHCP识别终端 类型(如 iPhone 0S Androidwindows Symbian BlackBerry OS),不同类型终端下 发不同平安策略； 智能AP管理技术，AP零配置即插即用在Fit AP应用模式中，零配置Fit AP可以通过二或三层协议发现并自动连接到无线 控制器，无线控制器能够对Fit AP进行配置和运维管理。WNC6600无线控制器支持丰富 的二层和三层功能，通过二层、三层网络构成对Fit AP的管理和监控； 智能自动漫游技术无需终端重新认证无线用

45、户在网络中漫游时，通过对用户的IP、认证、授权等信息的共享，使得用户 可以跨越整个无线网络，能够有效保证用户的移动性和平安性，保持IP、认证、授权状 态不变，用户可以享受快速的数据漫游服务； 网络平滑升级，保护用户网络投资WNC6600系列产品可充分满足各类复杂网络环境下的组网要求，拥有极高的mac地址 容量、硬件路由表容量，可跨满足二层及三层任意布署，可以满足本地及远程组网要求, 用户无须对已有的有线网络进行变更。用户可以在任何现有的二层、三层网络上实现无缝、 平安、快速的无线网部署，而无需中断当前网络的运行，使得网络易于平滑升级，兼顾前 期投资。对于小型网络，更可以直接作为有线网络的核心设

46、备提供数据转发服务； 智能配置管理，减少用户维护管理工作基于先进的智能管控理念，WNC6600产品可对其管控的AP提供自动软件升级、自动 配置下发、基于无线控制器为中心的SNMP管理等特性。这样极大减少了设备部署和网络 维护的本钱和难度； 全面支持IPv4二、三层协议支持全面的二、三层协议；可以支持802. ld/w/s生成树协议，支持802. lq, 802. Ip, 802. 3ad, 802. 3x, GVRP, DHCP, SNTP 等协议；支持 RIPvl/2、OSPF、VRRP 等路由协议, 可以适用于复杂的网络环境； 丰富的无线功能，可以平滑过渡到802. llac网络系统提供更

47、全面的无线服务：Channel自动分配、AP发射功率自动调节、负载流量均 衡、快速漫游、预认证等。同时用户可以根据不同的应用场合灵活配置Qos策略，保证网28 络的最优运行。系统支持传统的802. lla/b/g/n同时还支持最新802. llac的AP接入，为 用户提供更高的带宽保证； 全面的平安管理，保证系统通信平安WNC6600系列提供多种无线加密方式及接入控制。可通过软件系统灵活配置与终端之 间通过WAPI、WEP、802. lx等加密方式保证用户数据的平安性。内置的WIDS功能可发觉 并抑制网络中存在的非法AP和AD Hoc主机潜在的威胁WNC6600控制器提供严格的用户 接入控制策略，如WEB认证、PPPOE认证、带宽控制、ACL等宽带接入控