企业无线办公方案.doc

.企业无线办公方案建议书鄂尔多斯市网信安科技有限公司2015年5月目录1、概述51.1 企业WLAN现状分析51.2企业WLAN需求分析51.2.1高速的无线业务网络61.2.2随时随地的BYOD61.2.3安全、便于管控的访客网络71.3 企业WLAN当前面临的挑战81.3.1组织结构复杂，权限难于控制81.3.2终端、应用类型多,不易管理81.3.3OA、邮件等办公系统带宽被大量抢占81.3.4访客网络无法安全、有效管控91.3.5攻击手段多样，内网安全有威胁91.3.6空中垃圾多，无线接入稳定性得不到保证102、方案设计102.1 AP布放设计102.2 无线组网方式112.3 信道规划122.4企业WLAN高速业务设计132.4.1端到端的网络协议栈加速132.4.2应用识别和流量控制132.4.3针对无线的网络优化142.4.4智能负载均衡152.4.5快速L2/L3漫游152.4.6射频优化152.5企业WLAN全面、便捷的安全设计162.5.1更全面的安全162.5.2更便捷的安全183、方案亮点与价值213.1 更快速、更稳定的企业业务WLAN213.1.1端到端的网络协议栈加速223.1.2终端识别与流量控制223.1.3应用识别和流量控制223.1.4针对无线的网络优化233.2更安全、更便捷的企业安全WLAN233.2.1更全面的安全防护233.2.2更便捷的安全管理243.3无线可运营化253.3.1内置信息推送中心253.3.2企业微信公共平台对接253.4 高扩展性、高可靠性264、案例介绍264.1中电投资集团河南省分公司WLAN建设264.2东风汽车公司WLAN建设工程274.3东鹏饮料WLAN建设工程284.4中青宝网络科技WLAN建设工程304.5大自然家居有限公司WLAN工程314.6慈溪进出口股份有限公司WLAN建设321、概述1.1 企业WLAN现状分析企业随着业务规模的不断扩大，对企业提高运营效率的要求也不断提升，随着WIFI技术的不断发展，使其能更加稳定高效的承载企业应用。很多企业在有线网络的基础上扩展无线网络来进行日常业务的开展，甚至很大一部分企业在新建办公场所时，考虑建设的成本和传统网络的繁琐，也希望可以通过WIFI接入技术实现他们的目的。事实上，无线应用已经深入到企业当中，除了日常办公之外，很多应用也正依赖于无线技术，比如访客服务，会议室，工厂车间，智能仓库等等。在智能终端普及的这个背景下，对于企业而言，BYOD、移动办公的需求也提上日程，WIFI作为必不可少的接入手段，需求也进一步扩大。1.2企业WLAN需求分析随着智能移动终端的增加，企业BYOD的普及，高质量的WLAN已经成为一个成功企业必不可少选项。而在具体的应用过程中酒店WLAN包含以下具体的需求：1.2.1高速的无线业务网络随着企业的不断发展，对于无线网络的要求也越来也高，公司邮件、财务、办公软件的高效使用都需要快速的无线网络支撑。1.2.2随时随地的BYOD信息技术高速发展，企业BYOD处于大势所趋，要实现企业内部任何时间、任何地点都能实现BYOD，这就必须保证无线信号的无缝覆盖、快速漫游，而且信号质量高。对于多种接入终端，多个接入地点保证良好的一体化兼容、控制、管理。1.2.3安全、便于管控的访客网络作为一个成功、开放的企业，经常会有领导、客户、合作伙伴的接待工作。在网络发达的今天，访客往往会要求使用网络。对于企业来说，开放内部网络会面临企业信息安全的问题，同时如何开放、如何管理访客接入网络也是一件非常头疼的事情。所以企业WLAN需要一个安全、便于管控的访客网络系统。1.3 企业WLAN当前面临的挑战1.3.1组织结构复杂，权限难于控制随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄，越权事故不发生是一件非常困难的事情。1.3.2终端、应用类型多,不易管理BYOD的不断发展，终端类型多种多样，员工自带手机、平板、笔记本接入企业无线网络，对于企业而言，管控难度也加大。如果员工通过手机终端连接上WiFi，在上班刷微博，聊陌陌，炒股等与工作无关的活动，工作效率低下。公司想要禁止员工手机接入无线网络，仅仅允许电脑接入办公，另外对于移动笔记本禁止炒股、P2P等非法应用。1.3.3OA、邮件等办公系统带宽被大量抢占在一定的无线带宽情况下，员工运行大量的P2P下载，视频浏览等高耗带宽的应用，严重抢占正常的OA、邮件等办公系统，造成无线带宽的不合理理由，无线办公效率低下。1.3.4访客网络无法安全、有效管控对于众多的访客，接入终端多种多样，终端的安全性也有高有低。如果让他们接入内网，外网会对企业信息安全造成影响。如果给访客单独的物理网络，如果访客在企业发表非法言论，产生一些非法事件，企业无法责任溯源，定位责任人。所以企业访客网络管理难度非常大。1.3.5攻击手段多样，内网安全有威胁不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对企业而言，IT资源就是资产，难免会存在一定盗用账号、非法接入的安全威胁。1.3.6空中垃圾多，无线接入稳定性得不到保证WiFi网络大多使用的2.4GHz频段，众所周知，2.4GHz频段是开放频段，工作在这个频段的设备很多，比如：微波炉、蓝牙、无线座机、外来AP、监控摄像头等等，会对WiFi设备进行大量的干扰。除此以外，2.4GHz相互不干扰的信道只有1、6、11，当部署区域被运营商的AP给占用以后，可用信道就不多了。在这种情况下，干扰会造成丢包和延迟，实际传输速率往往得不到保证。 2、方案设计根据公司的无线网络需求和无线网络设计原则，结合Sangfor无线系统技术和产品的特点，方案设计如下：2.1 AP布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。设备清单及位置统计如下：序号设备类型设备品牌设备型号放置区域设备数量合计1无线接入点AP深信服AP-260一层1056AP-260二层14AP-260三层16AP-260四层162无线控制器WAC-3100核心机房113POE交换机SW-GE242楼弱电井13SW-GE243楼弱电井1SW-GE244楼弱电井12.2 无线组网方式结合用户无线网络需求情况，结合深信服产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+WAC的结构化无线网络解决方案进行设计。网络拓扑如下：2.3 信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。2.4企业WLAN高速业务设计 2.4.1端到端的网络协议栈加速针对公司现有干扰的无线网络环境，采用深信服独有的协议栈加速技术，客户端无需安装任何插件，只需在WAC开启单边加速功能，通过改善无线传输协议算法，公司的无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。2.4.2应用识别和流量控制针对公司内部移动终端多种多样，员工运行着各种应用无法管控。深信服无线控制器内置全国最大的应用识别库和URL库，能自动识别公司无线流量类型和终端类型，根据终端、应用类型设置相应的流量控制策略。对于公司重要的OA、邮件、财务等办公系统进行重点的带宽保障，防止抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览我们可以进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障企业正常的办公网络。2.4.3针对无线的网络优化为了改善公司的无线网络，深信服针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。广播优化: 针对广播包发送机制优化，减少广播报浪费过多资源。ARP转单播：通过对ARP发送机制的优化提升ARP效率。禁止DHCP包发往无线终端功能：通过对DHCP发送机制的优化提升DHCP效率。自动广播提速：将广播包原有的发送速度提高，加快广播包的传输效率。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。平均带宽分配：支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。2.4.4智能负载均衡针对公司存在办公区、会议室等部分区域人员集中的现状。深信服WAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点，平衡负载压力，极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载，提升无线接入质量。2.4.5快速L2/L3漫游为了实现公司在区域内的无线漫游、办公不中断，相对于传统Fat AP方案无法有效保证跨三层的漫游，深信服无线解决方案满足优秀的L3漫游特性，用户漫游不受子网限制，保证公司用户在不同区域间移动而业务不中断。2.4.6射频优化依据公司不同环境，WAC可自动进行射频调整，有效避开自干扰，也可以自动进行信道调整，为AP分配不同信道避开信道间的干扰。2.5企业WLAN全面、便捷的安全设计2.5.1更全面的安全针对企业的实际情况，深信服通过精细的权限控制，非法URL的封堵，动态黑名单、防DOS攻击、IDS等为 企业更全面的安全防护。2.5.1.1精细化角色识别与授权管理针对公司存在各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。根据企业的不同部门（市场、研发、领导），不同的终端（手机或电脑）、不同的用户（内部员工或客户）划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。2.5.1.2危险应用和URL的识别和管控在公司内部，员工和访客通过无线访问网络，有可能会出现反问非法网络的情况，给公司带来安全风险。针对于此深信服无线控制器内置全国最大的应用识别库和URL库，能自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高公司网络的安全性。2.5.1.3动态黑名单无线控制器WAC会实时监控无线网络安全情况，如果网络中出现攻击终端，无线控制器会将其自动列入动态黑名单，在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击，则继续列入黑名单。如果恢复正常则允许其接入。2.5.2更便捷的安全2.5.2.1安全、便捷的访客认证系统二维码认证外来访客来到公司接入网络后，无线设备自动向访客的终端推送公司的portal页面，页面中包含一个二维码，这个二维码中包含了访客终端的MWAC信息。被授予接待权限的内部员工（行政部和领导）用自己已经接入内网的终端扫描此二维码，此时无线管理设备记录下接待员工的用户名和访客的MWAC地址，访客可以便可以接入网络。临时帐号系统认证无线使用临时用户信息管理系统，访客到来公司时只需在前台开设临时帐号，设定使用时间即可。临时用户在有效期内可以登录，超过有效期无法登录；临时账号管理系统拥有二级权限系统，该系统仅能进行临时帐号的创建、管理功能，给前台使用方便、简介。大大减少网络管理员压力。2.5.2.2 802.1X自动配置802.1X能有效保证企业网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。对此，深信服为公司提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。2.5.2.3帐号、MWAC自动绑定针对存在领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MWAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MWAC，实现了安全性与灵活性的兼顾。2.5.2.4统一集中管理结合深信服WAC无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过WAC内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。3、方案亮点与价值3.1 更快速、更稳定的企业业务WLAN深信服无线通过特有的协议栈加速、射频优化、应用识别为企业提供高速、稳定的无线网络，提升用户体验。并根据企业内部OA、邮件等业务系统进行带宽保障，建立更快速、更稳定的企业业务WLAN。3.1.1端到端的网络协议栈加速针对干扰的无线网络环境，方案采用深信服独有的协议栈加速技术，客户端无需安装任何插件，在WAC开启单边加速功能，通过改善无线传输协议算法，将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题，大幅提升企业无线网络速度。3.1.2终端识别与流量控制深信服方案通过无线控制器自动识别终端类型，根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。3.1.3应用识别和流量控制对于应用的杂乱无章，难以管控，本方案中深信服无线控制器通过内置全国最大的应用识别库和URL库，自动识别无线流量类型，并根据终端类型设置相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障，防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障了企业正常的办公网络。3.1.4针对无线的网络优化深信服方案针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。3.2更安全、更便捷的企业安全WLAN3.2.1更全面的安全防护深信服方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为企业提供了更全面的安全防护3.2.1.1精细化角色授权管理随着公司内部结构的逐渐复杂化、网络管理也越来越难。深信服的精细化角色授权管理针对不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。充分保证了各自的安全，防止越权。3.2.1.2危险应用和URL的识别和管控调查表明75%的网络攻击来自应用层，深信服通过内置全国最大的应用识别库和URL库，自动识别危险应用和URL，并加以控制和封堵，极大的提升了网络的安全性。3.2.2更便捷的安全管理3.2.2.1二维码认证通过二维码认证，访客从接入无线到通过审核、时间就在十秒之内完成，解决了便捷认证、防蹭网、责任溯源三大访客认证难点。3.2.2.2 802.1X自动配置02.1X能有效保证企业网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。对此，深信服方案为公司提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度3.2.2.3帐号、MWAC自动绑定为了实现针对公司领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MWAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MWAC，实现了安全性与灵活性的兼顾。3.3无线可运营化3.3.1内置信息推送中心个性化内容推送深信服方案通过页面推送功能，可以实现针对不同位置或者不同用户推送个性化的Portal页面，同时，页面自定义功能可根据公司的实际需要，灵活设置页面内容,如公司产品最新信息推送、领导视察欢迎页面推送等。3.3.2企业微信公共平台对接微信作为一个信息交流的平台，被越来越多的企业所重视，纷纷建立自己的微信公共平台，来实现内部资料的动态分享。SANGFOR特有的微信认证方式，使用户通过对企业微信公共平台关注获得无线网络上网的授权，提高企业微信平台的利用率，帮助企业快速建立有效的信息分享平台。3.4 高扩展性、高可靠性根据不同组网规模，提供多样化的产品形态，用户可根据实际灵活选择，降低组网成本，提高效益。例如，针对中小规模网络、或者大型客户的分支机构，用户可以选择mini WAC，相较于同等性能的无线控制器，成本节省一半。同时，由于业务扩容，无线部署时需要考虑其扩展性，初期即购买高性能无线控制器投入太大，低端无线控制器又无法满足要求。深信服推出多样的产品形态，用户可根据组网规模按需部署。同时，虚拟化WAC的解决方案可以部署于虚拟化服务器上，通过扩容license即可提升无线网络的规模，不必担心硬件设备淘汰浪费的问题。双机备份机制，配置实时同步，提供动态的故障转移机制，保证用户业务不因临时故障而中断，实现业务的快速恢复，降低系统因单点故障导致网络中断的风险。4、案例介绍4.1中电投资集团河南省分公司WLAN建设中电投资河南分公司简介： 中电投河南电力有限公司属中国电力投资集团公司全资子公司，拥有承担流域开发的黄河上游水电开发有限责任公司和五凌电力有限公司；在电力设备成套服务领域中业绩突出,负责中电投集团公司在河南区域大型火电厂的投资、开发、建设、运营。中电投资无线网络建设需求： 大楼办公区域无线信号全覆盖； 不同级别的员工和办公区域采用不同的认证方式。深信服WLAN 建设方案: 采用WAC-4100控制器,控制器单臂连接核心交换机,无线网络数据采用集中转发模式； 办公大楼各楼层通过POE交换机连接AP,实现数据转发和供电功能。深信服WLAN实现价值： 无线网络信号无死角覆盖，保障中电投员工接入用户自由漫游，不断网，信号强； 丰富的认证机制，满足员工对无线网络安全、快速接入的需求。 4.2东风汽车公司WLAN建设工程东方汽车简介: 中国四大汽车集团之一，是由国务院国资委直接监督管理的中央企业； 东风汽车公司始建于1969年，是中国汽车行业骨干企业之一。公司主要业务分布在十堰、襄阳、武汉、广州四大基地，形成了“立足湖北，辐射全国，面向世界”的事业布局。公司总部设在“九省通衢”的武汉。主营业务涵盖全系列商用车、乘用车、发动机及汽车零部件和汽车水平事业。东风汽车WLAN建设需求： 办公区域无线覆盖，满足快速接入，实现移动办公； 电磁干扰环境下保障良好接入。 深信服WLAN解决方案： 采用无线控制器WAC-4100及双频AP-260； 控制器单臂部署，通过POE交换连接各楼层AP。 深信服WLAN实现价值： 东方汽车办公大楼无线网络无死角覆盖，内部用户快速，接入无线漫游； 在部分电磁干扰严重区域，开启协议栈加速，大大减少丢包和延迟，提高用户接入体验。 4.3东鹏饮料WLAN建设工程东鹏饮料简介： 东鹏饮料是集技术开发、生产、销售于一身，拥有先进的生产设备和雄厚的技术开发队伍及一套完整的饮料销售、推广管理体系。公司现有八条利乐包生产线、两条瓶装饮料生产线、四条纯净水生产线及一条三片罐饮料生产线，年生产能力达 18 万吨。东鹏饮料无线网络需求： 生产车间区域无线覆盖，满足无线扫码枪的接入快速接入； 接入终端严格管控，防止非法终端接入。深信服WLAN解决方案： 采用无线控制器WAC-4100及双频AP-260； 控制器单臂部署，通过POE交换连接各楼层AP。 深信服WLAN实现价值： 满足东鹏饮料生产车间不同系统的终端接入，针对性的对连接速度进行优化； 对接入的无线扫码枪进行MWAC地址绑定，只有运行接入的白名单内终端才能接入。4.4中青宝网络科技WLAN建设工程中青宝网络科技简介: 深圳中青宝互动网络股份有限公司（原深圳市宝德网络技术有限公司）成立于2003年，是一家具有自主研发、运营能力、代理能力的专业化网络游戏公司。中青宝是国内网络游戏行业中拥有包括互联网出版许可证在内的为数不多的全资质全牌照企业之一，目前的定位是内容提供商。中青宝无线网络建设需求： 干扰严重情况下保障接入； 不同操作系统的移动终端的高密接入。 深信服WLAN解决方案： 产品形态采用控制器WAC-4100，双频AP-260； 控制器单臂部署核心交换机，高密区域AP蜂窝式部署信道，智能负载接入用户。深信服企业级WLAN实现价值： 协议栈加速功能使得中青宝办公区域干扰环境中的接入更快速； 高密场景下，AP接入用户数的良好负载均衡.,满足了软件测试部门区域,大量手机终端接入的需求； 解决了家用级无线接入用户数过低,接入不稳定,移动终端无法漫游的问题,双频AP满足多种智能手机网卡的高速接入。4.5大自然家居有限公司