从上篇文章我们可以得出,企业WiFi主要困惑主要就在于管理难,所以这篇文章就给你们说下上述描述的问题是否可以解决!
2、时讯网络-企业WiFi管理解决方案
根据无线网络的要求和xxx公司无线网络的设计原则,结合技术和无线系统产品的特点,该方案设计如下:
2.2 无线组网方式
结合用户的无线网络要求,结合产品的技术特点,以满足用户构建高速无线接入网络的需求,稳定,安全,可靠,易于管理,该设计基于结构为化无线的NOP + AC网络解决方案。设计网络的拓扑结构如下(可编辑):
2.3 信道规划
以2.4 GHz频点为例,为确保信道不相互干扰,要求两个信道之间的间隔不小于25 MHz。在一个覆盖范围内,最多可提供三个非重叠频率点同时工作,通常使用1,6和11三个频率点.WLAN频率规划应考虑建筑结构的具体情况,穿透损失和布线系统。
渠道计划如下:
图中的橙色,蓝色和×××信号圆分别是1,6和11个通道。中心点是国家行动方案的实施地点。
2.4 企业无线安全接入设计
在无线系统中,可以在系统前面的多个层中构建安全保护。安全设计如下:
2.4.1更丰富、快捷的企业认证安全机制
使用802.1x身份验证时,用户访问时需要进行身份验证。用户可以使用安全证书和用户名和密码作为凭据来访问网络,并且经过身份验证的用户可以访问网络。业界众所周知,802.1x在用户终端设备设置极其复杂,这无疑为IT用户和管理员增加了大量的配置工作。无线技术为企业身份验证提供了自动配置工具。下载自动配置工具,只需单击即可轻松连接到企业网络,安装方便。
自动配置工具可以统一打包并完成证书的分发。此外,它允许用户通过网络下载和管理员通过电子邮件分发,这是简单而快速的。
支持使用公司中的用户认证服务器进行认证。您只需在配置页面上配置连接信息,即可与公司中的用户身份数据库(如LDAP,AD域和Radius)进行快速身份验证。它安全可靠。
企业身份验证支持本地内部数据库服务器本地数据库支持控制器中的身份验证终止,以满足没有内部身份验证服务器的中小型企业。
2.4.2帐号、终端灵活绑定、杜绝越权访问
首次连接无线网络的身份验证时,可以自动链接用户名和终端,以帮助公司快速完成身份链接。如果用户具有多个Internet终端,则管理员还可以手动批准新的聚合终端的链接。因此,公司可以根据用户组织的结构划分不同的访问权限,以避免出现未经授权的访问问题。
2.4.3 限制帐号在多个终端同时接入
您可以限制帐户可以同时登录的终端数量,有效保护公司的网络资源。您可以为超出的帐户采取两个步骤:
尽早强制接入终端断开连接。
不允许访问新终端。
当然,对于需要发布的帐户,例如老板帐户,您还可以设置例外帐户。
2.4.4 多样化的接入控制
基于终端类型和特征的访问控制。手机,iPad和笔记本电脑可以连接到无线网络,你有最后的发言权。无需客户端软件即可安装无线连接,以执行终端类型的识别。访问认证时,只能根据情况访问移动终端,无法访问笔记本的类型,或者只能访问IOS终端,无法访问Android终端。您认为不安全的终端无法访问网络。
基于访问位置的访问控制。可以使用不同的访问控制策略来配置不同的无线接入点,使得具有不同无线接入点的无线用户可以访问公司内的不同业务系统,这是安全且有效的。
基于用户属性的访问控制。无线连接无缝连接到公司的内部认证服务器,并支持用户属性的访问控制,例如用户组[安全组,组织单位组]和用户名,以及它支持无线电等属性的访问控制。不仅如此,而且还开发了内部本地数据库服务器,它还支持基于本地数据库的用户属性的访问控制。
甚至可以灵活组合访问控制条件,以满足客户不同的访问控制需求。它支持根据终端类型和访问位置以及用户属性作为一组访问条件的访问控制。例如,它可以支持不同的访问位置并符合指定的终端特性以允许Internet访问,如下所示:
2.5 企业无线安全办公设计
2.5.1精细化多角色授权管理
一旦用户访问网络公司0x7D0,0x7D0提供安全经理管理的用户权限的授权全部责任。分配表与支持用户属性,终端的类型,访问的地区,不同的功能设定不同的时间段,丰富的权限访问控制配置不同的策略来构建防火墙功能的企业级控制更广泛地接触和细化。
2.5.2 VLAN隔离
VLAN本身,使用分离技术的VLAN,大量文件的有效地防止端子之间的有限的资源的AP的带宽传输损耗,并且还不同终端之间的通信可以防止终端之间的任何接入数据可能会导致盗窃,恶意行为的文件中毒,确保最大安全的办公室和提高办公效率。
2.5.3 基于内网的服务和应用控制
0x7D0不仅与传统的基于防火墙策略控制端口兼容,和建造的最大的图书馆数据库URL和识别应用,管理员可以轻松地识别应用和特定的URL,灵活的接入网络的策略,因此,你可以细化应用程序的控制。
业界的防火墙控制主要基于网关的退出。您只能限制内网的用户访问网络的外部资源。内网的用户无法基于服务和应用程序执行控制。而0x7D0补偿这个黑洞,和独特的控制方案基于应用和服务内网带来了新的发展和福音行业。业务网络和内部应用程序非常复杂。如下图所示,公司内部有有线网络和无线网络。他们需要相互访问,访问内部资源,访问小型移动设备和数据传输,以及访问Internet资源。数据中心需要数据同步。环境在这个复杂的网络和应用环境,传统的防火墙只能控制用户访问资源内网公共网络输出网关,忽视内网更复杂的环境。
信线通过电缆集成了无线的集成。它是第一个在行业中引入“用户”概念的人。其访问控制策略结合强大的应用程序识别库和“用户”概念,在内网用户之间进行控制,并访问公共网络资源。通过外部控制,该程序适用于有线或无线的用户,为公司提供了一个干净健康的环境网络。同时,其政策的配置更加注重人性化。不同于配置IP的复杂的传统方式,用户可以选择应用程序,选择连接地址“用户启动”,“接收用户”,选择日历,选择操作“允许”或“拒绝”“这您可以快速实施访问控制。“ ,
例如,公司的员工只能在工作时间访问公司的“内部业务系统”内网,不允许访问公共网络的视频网站。研发人员无法访问市场人员的CRM系统,研发人员无法向市场人员发送电子邮件;文件无法传输,访问者只能访问固定网站,无法访问公司的内部研发和市场资源,但不允许在微博上发送信息;对于与工作相关的即时通讯软件,下载软件不受限制,并且对下载速度有一定的限制。
2.5.4 网络层防护
DHCP防御。只需转发来自可信DHCP服务器的响应,阻止非法DHCP服务器并防止终端的IP被非法。防止用户私下配置IP,有效保护网络免受大量冲突的IP地址的影响,并导致客户端网络瘫痪。
DDOS防御。它可以根据最大并发用户数,新连接速度和数据包速度进行保护。超过限制后,您可以自动加入动态黑名单并冻结处理以避免网络***。
2.6 企业无线快速上网设计
2.6.1 端到端的协议加速
随着访问者数量的增加,由于干扰增加,Internet访问速度变慢,访问应用程序的经验也很糟糕。借助独特的应用层协议加速技术,客户端无需安装任何附加组件,只需在无线控制器上激活应用程序的加速功能即可。通过改进无线传输协议的算法,无线网络的传输速度可以提高1.5-4倍。有效解决网络质量问题,如无线传输速度低,丢包,以及企业无线网络干扰造成的延迟。
2.6.2 防终端拖滞让无线跑得更快
与低速终端的传统无线连接将降低高速终端的速度,这将导致整体性能的降低和客户服务的慢响应,这将严重影响接入体验。终端的应用。
该技术对底层无线层进行了技术改进,提出了创新专利“反终端拖动”,允许用户统一分配带宽,防止单终端降低整体速度。网络根据时间算法。
2.6.3 基于应用的无线射频管理
技术开发的无线网络带宽的动态分配。当无线接入点的带宽不足时,将根据建立的权重分配无线网络的保证带宽。当无线接入点的带宽足够时,不受此限制。例如,办公网络可以配置很大,以保证办公应用的正常服务通信。非关键网络(例如访客网络)可以配置较低的权重以限制非关键网络的带宽,以免影响其他无线网络。
每个无线网络的用户可以根据应用定制子通道。的用户可以配置通道之间的带宽使用关系。当无线网络的带宽不足时,将根据建立的关系分配信道之间的保证带宽。当它足够时,它不受这种关系的约束。例如,在办公室网络,P2P0x7D0可以具有较小结构的重量配置,重量0x7D0系统办公OA是最大的,并且重量0x7D0互联网应用是在两者之间。
2.6.4 组播优化及提速
自动加速组播速度增加了传输分组的初始传输,加速了传输分组的传输效率,并确保每个终端可以接收多播数据包并提高了带宽的性能。
ARP转发到单播:通过优化ARP发送机制提高ARP效率,减少不必要的扩散泛滥。
禁用对无线终端的DHCP请求:通过优化DHCP发送机制提高DHCP的效率。
限速接入终端:支持限速接入终端,禁止到低于某一速度终端接入并提高了整体网络的速度。
2.6.5 VLAN池
使用该组VLAN地址可以减少传输域,减少传输泛洪,提高无线网络带宽资源的利用率。
2.6.6 智能负载、5G优先、高密稳定快速接入
在高密度的企业区域,例如开放式站点和会议室,通常有多个无线接入点覆盖信号。技术无线解决方案将根据每个AP的负载自动为用户分配信号和访问次数。至少AP,将为干扰较少的5G频段选择优先级负载,确保每个无线用户都能获得无缝的网络体验。除了基于数字的充电,该技术还可以基于双2.4G和5.8G频段执行双频智能充电。
智能负载双频:自动加载可以是2.4G和5G,5G和终端之间被优选地连接到5G网络具有较少干扰,从而提高了的无线接入的质量。
2.7 企业无线快速漫游设计
2.7.1 防终端粘滞
传统的无线漫游是基于终端,这是不能被控制的特性,而“卡在端子的端部”,由技术提供补偿这一缺陷。通过防止终端卡住,无线设备可以引导无线终端更快地移动到具有更好无线服务能力的无线接入点,从而使客户获得更好的无线网络体验。漫游后,终端的vlan,角色和IP保持不变,用户没有感知。
2.8 企业无线上网行为管理设计
2.8.1 有线与无线一体化
无线企业网络客户端通常同时连接用户。客户希望通过无线控制器进行配置,使用有线端口的无线控制器来完成连接的用户认证和集中管理无线用户和连接来完成流量控制的用户,流量管理和审计交通。无线技术集成了管理和电缆认证,并提供安全的访问认证机制,如“组合认证”,“IP认证”和“无认证认证”,以真正集成和控制用户电缆和无线用户。
2.8.2 上网审计
客户无线网络的公司不仅需要完全访问权限,用户认证,同时也希望审计用户的网络行为和内容,包括,除其他外,传出HTTP内容,网站访问和下载,邮件,FTP,TELNET等。 Web应用程序,Web内容,ACL拒绝和流量控制以及Internet持续时间。
配置审核策略时,参考角色中的应用程序审核策略并将相应的角色分配给用户,可以审核用户。
2.8.3 流量控制和带宽保证
客户希望管理和划分不同用户和应用的网络流量,以完成带宽保证和带宽限制。带宽保证功能可以保证重要应用的带宽,限制带宽功能可以限制用户组/上行链路和下行链路的总带宽以及几个带宽。应用。与此同时,客户希望提供一个更加灵活的管理和配置,以保证重要应用的带宽,然后根据用户的优先级不同的用户相同的应用程序之间分配带宽。
该技术提供基于应用程序的流量控制,保证用户输出的带宽,并保证关键应用程序的带宽消耗,无论应用程序如何。
2.8.4更丰富的数据中心报表功能、审计报告自动通知管理层
公司无线网络的客户不仅需要完成用户访问和身份验证,还需要审核用户网络的行为和内容。审计结果存储在数据中心。
技术提供了“退出风险报告”,“法律风险报告”,独特的“在线行为报告”,以及时控制员工的风险行为。
2.9 访客安全管理设计
2.9.1二维码快捷上网
参观者是开放公司每天面对的群体。供应商,客户,业务合作伙伴和相关领导来到公司访问并需要方便地访问无线网络。提供更简洁的身份验证方法,访问者只需要连接到公司的无线网络,然后打开浏览器即可自动显示QR码,内部接待人员可以使用自己的终端来通过认证。
QR码认证技术经过认证,为公安部,可追溯到访客行为。
2.9.2 临时访客快捷上网
该技术为临时访客提供临时解决方案,以取代传统接待。公司可以直接在接待处打开访客的帐户和密码。帐号可以是您的×××号码,密码可以是×××的最后六位数字。访问互联网的有效时间;同时,锐信科技结合二维码为临时互联网访客生成二维码,企业接待人员只需要给他们一个二维码,访客可以扫描二维码快速访问互联网。
临时访客的在线行为可以追溯到。
2.9.3 短信认证
该技术提供SMS认证,访客用户可以通过手机获取验证码,轻松访问无线网络。验证码可以使用一次以便永久使用。
2.9.4微信认证
通过无线提供的功能微信认证,游客进入房间的企业介绍和访问无线网络,这将解决该消息页面指定的,它会问你要注意微 - 签名然后访问互联网。访客可以关注微信号访问互联网。这极大地增加了访客对公司的关注,也促进了企业广告,商业冲动和促销。
该技术涵盖了多种微信,尤其是单次点击的关注,网站的Oauth等的授权,让游客可以快速访问互联网的认证方法。
2.9.5防蹭网
该技术提供的网络和流量配额的持续时间,可根据客户需求灵活防止企业客户侵入网络,并保护公司的网络资源的控制策略。
2.9.6 同一SSID内的隔离
技术提供员工和访客相同的SSID之间的隔离,防止数据传输,企业信息的泄漏,中毒的文件引起的互访等危险行为,保护企业资源和防止机密信息渗出。
2.10 集中管理设计
2.10.1 AP零配置
所有无线接入点的配置均匀配置在无线控制器中,易于实现和配置,无需用户学习成本。
该配置与自动和手动备份和恢复兼容,并保证无线接入点24小时不间断运行的两倍。
2.10.2 云升级
所有无线热点都支持从云端到最新版本的自动更新。不同的AP硬件模型可以自动判断和完成更新。无线客户端手动干预以减少后续维护和升级成本。
客户可以选择在晚上自动更新,以减少白天更新造成的业务中断。
2.10.3 可视化的热点地图
随着大公司的快速发展,无线接入点的实施急剧增加,企业分支控制器的实施也急剧增加,面临复杂的设备管理问题。
该技术提供了接入点的功能强大的可视地图,可有效帮助网络管理员分析和快速实时掌握和充电设备的运行状态。此功能分层管理使用地图来跟踪设备的实时运行状态在演示设备。
位图接入点还提供了用于分析人类流,快速搜索地点的用户和安全事件的密度,以帮助网络管理人员能够更好地管理无线网络,并满足员工的机制。
2.10.4 远程AP智能连接
一些公司分支机构实施远程AP,需要访问总部的无线控制器,以通过无线网络访问总部的资源。公司总部的退出IP频繁更改,给远程AP带来了很大的问题。
该技术提供智能连接技术。总部的IP转换对于远程AP是透明的。无需任何手动操作即可快速恢复网络,并且不会中断服务。
2.10.5 智能射频管理
信号的干扰是无线网络使用中的常见问题。在中国移动运营商,中国网等无线信号,以及蓝牙,无线监控摄像机等,在2.4G频段工作,将与无线网络的干扰。
无线技术接入只能设置与根据来自无线circundante.Al同时干扰的实际情况干扰最小的信道也可以降低功耗,减少重叠的覆盖面,提高功率补偿覆盖盲区等,以实现真正的干扰预防。
2.11 企业数据保护、安全可靠设计
2.11.1 流氓AP的***检测与反制
从无线网络的无线信号是开放的,非法接入点,比如AP网络钓鱼和AD-HOC,很容易隐藏无线网络来吸引企业用户访问,窃取用户帐户并窃取公司的机密文件或传播病毒。
公司员工还可以实施非法访问点进行数据传输,从而导致公司信息泄露。
该技术采用整体防御系统,以建立您的网络更安全的无线接入,无线抵御***,如网络钓鱼AP和AD-肝卵圆细胞,欺骗***或由用户发起洪水和一个安全的无线网络环境。
2.11.2 无线空中加密技术
无线数据通过空中传输,运营商的各种业务数据需要高效可靠的加密机制,以防止数据被暴力侵犯或操纵。多种数据加密方法的国际技术支持标准确保了公司的业务数据在传输过程中安全可靠。主要体现在以下三个方面:
该技术使用WPA/WPA2 + AES加密数据并确保数据安全。 WPA2密钥的长度为128位,解决了传统密钥太短而容易被第三方拦截的问题。在CPA2中,定义了更高安全性的加密标准CCMP,其旨在为用户提供作为完整的认证机制,无线接入点根据以下内容确定是否允许访问无线网络。用户认证的结果,并在认证之前将认证信息与用户的身份数据库进行比较,以确认权限是否具有权限并动态分发给客户端。加密密钥可以根据几种方法(当用户访问网络时发送的数据包的数量等)动态地改变每个访问用户的加密密钥。另外,用户在无线连接中发送的数据包以MIC编码,以确保其他用户不改变用户的数据。
无线接入点和控制器之间的数据包是RC4加密的,这是有效和安全的。
该技术还与WAPI标准兼容,以进一步保证数据的机密性和完整性。
2.12 企业无线稳定性设计
2.12.1 单一设备多功能集成
该技术不仅具有多种无线功能,还具有线缆管理和认证功能,并集成到无线控制器中。每个功能模块相互独立,数据转发和处理在应用层平台上,可以快速恢复服务模块的故障。
2.12.2 冗余、减少单点故障
技术提供了一种机制双重备份系统,以减少因单个设备的故障客户服务中断,提高客户服务的可靠性,并减少单点故障。
2.13设备选型
根据对商场XXX需求的上述分析,实现更快,安全的企业WLAN建设,XXX无线系统必须具有以下特点:
加速无线网络
确定并保证专注于公司的业务数据带宽
识别和控制非法Web应用程序和URL
访客网络通过QR代码或单独的临时访客系统进行身份验证
NAP无线接入点使用2.4G和5G双频接入来保证接入的数量和质量。
原文地址:https://blog.51cto.com/14257353/2405392