眉县张载广场无线覆盖技术建议书

眉县张载广场无线覆盖技术建议书眉县张载广场无线覆盖技术建议书陕西移动云计算分公司2018年7月目录TOC\o"1-2"\h\z\u1. 概述 31.1张载广场WLAN现状分析 31.2张载广场WLAN需求分析 31.3张载广场WLAN当前面临的挑战 62. 整体方案设计 82.1无线网络规划 82.2总体方案拓扑 82.3NAP布放设计 92.4信道规划 92.5张载广场无线安全接入设计 102.6张载广场无线快速上网设计 132.7张载广场无线用户上网行为管理设计 172.8集中管理设计 20概述1.1张载广场WLAN现状分析随着移动互联网的发展，移动终端的爆炸增长，无线终端和无线应用的快速普及，极大的推动了无线网络的发展。在这个移动互联的时代，无线已经成为终端接入的主导力量。BYOD、移动办公已成大势所趋，张载广场WLAN的应用需求正在进一步加大。张载广场在无线网络建设期间要充分考虑访客（领导、客户、合作伙伴）接入网络的需求。首先从安全性考虑，访客网络必须要和办公网络分开，访客网络单独提供给访客使用。从用户体验角度考虑，访客接入网络的验证方式一定要做到简单易行，繁琐的验证方式会降低访客对张载广场的整体印象。同时对于访客网络，张载广场还需要建立完善的网络安全管理机制，避免由于访客的网络不良访问给张载广场带来的法律风险。对于张载广场员工移动办公上网，更需要做到可管控，上网行为做到可追溯，张载广场有效的带宽资源得到合理的分配和保证，才能使张载广场的业务系统正常且稳定高效地运行，同时保证张载广场信息安全，避免机密信息泄露。1.2张载广场WLAN需求分析随着智能移动终端的增加，张载广场BYOD的普及，高质量的WLAN已经成为张载广场移动办公的刚性需求。而在具体的应用过程中张载广场WLAN包含以下具体的需求：1.2.1张载广场WIFI安全接入随着张载广场信息化建设和国家信息化工程的发展，张载广场办公信息化逐渐实现，张载广场BYOD需求激增，更多的张载广场采用无线网络接入自己的内部业务和办公系统。受无线网络局限性影响，其安全问题日益凸显，亟待安全接入机制，保障客户业务系统免受黑客攻击。1.2.2张载广场WIFI安全办公张载广场业务规模不断扩大，张载广场业务对网络的依赖性也越来越高。无线网络技术的逐步成熟让很多张载广场扩展无线网络来实行自身的日常办公和客户接待以及业务咨询。办公、访客、会议室等都需要使用无线网络。在智能终端普及的当下，无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具。伴随而来的安全问题不仅体现在接入，接入之后如何防护张载广场网络的安全以及保障业务系统的正常运行，亟需要有效的无线安全解决方案来做双重保障。1.2.3张载广场WIFI快速上网随着张载广场的不断发展，业务对于无线网络的要求也越来也高。而无线网络由于其无边界化、信号易受干扰等原因，无线网络在多人使用过程中会出现连接不稳定、上网速度慢、无关应用占用带宽等体验不佳的问题。因此张载广场邮件、财务、办公软件、互联网业务系统的高效使用、访客的信息咨询和反馈亟需要快速的无线网络来支撑。1.2.4张载广场WIFI快速漫游随着智能移动终端发展，张载广场BYOD处于大势所趋，要实现张载广场内部任何时间、任何地点都能实现BYOD，这就必须保证无线信号的无缝覆盖、快速漫游，而且信号质量高。对于多种接入终端，多个接入地点保证良好的一体化兼容、控制、管理。1.2.5张载广场上网行为管理张载广场员工可以通过WIFI进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件等，亟需要实现员工上网行为的管理、带宽的管控和保证员工上网安全，用于提供员工的办公效率和避免张载广场网络资源浪费，防止张载广场机密数据泄密和员工通过互联网从事非法交易活动。1.3张载广场WLAN当前面临的挑战1.3.1办公场所要求覆盖广，无死角，信号强张载广场办公区域面积大，要求信号无死角覆盖，内部员工接入可实现无感知漫游，不断网。满足公司会议室高密区域，用户稳定接入。来访访客随时随地可接入，并办理业务咨询和反馈。1.3.2无线攻击手段多样，内网安全有威胁不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对张载广场而言，难免会存在一定盗用账号、非法接入的安全威胁。整体方案设计2.1无线网络规划张载广场无线网络，可采用802.11n技术实现无线局域网覆盖，802.11nAP实现用户的无线接入和数据转发，并通过部署于机房支持802.11n的无线控制器实现无线AP的集中管理和状态监控。采用本地部署方式管理和维护张载广场的AP，对所有终端的上网需求进行统一网管，瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到机房的无线控制器上进行。AP的供电采用以太网交换机供电（PowerOverEthernet，PoE交换机），通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。2.2总体方案拓扑2.3NAP布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。NAP安装在走廊/墙壁上。无线组网方式结合用户无线网络需求情况，结合产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照NAP+AC的结构化无线网络解决方案进行设计无线网络（802.11b/g/n和802.11ac(5.8G)）覆盖边缘接收信号不低于－70dBm区域，建议AP与AP之间的距离10-15米之间我们支持的无线中继网桥功能，是无线中继和无线网桥的结合体，无线中继AP的以太网口可以再接有线交换机，实现延伸无线网络的覆盖范围的同时扩展局域网。2.4信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为NAP部署位置。2.5张载广场无线安全接入设计在Sundray无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：2.5.1系统提供多种认证方式保障张载广场网络的接入安全支持和企业内部的用户认证服务器进行身份认证，只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快速的身份校验，既安全且可靠。企业认证支持本地内部数据库服务器，本地数据库支持认证终结到控制器上，可满足没有内部身份认证服务器的中小型企业。2.5.2账号MAC绑定无线提供用户MAC绑定功能，并且使用非常灵活人性化。通过用户MAC绑定功能，帐户将只允许通过绑定的终端接入无线网络。这防止了非授权的终端接入。每个用户可绑定的终端MAC地址上限为5个。用户名与MAC的绑定关系，可以通过以下几种方式灵活创建：1、手动添加管理员通过手动添加或者csv表格文件导入方式，提供用户名与MAC地址的绑定关系。在有大量终端需要管理的环境中，这种方式的缺点是较大的管理工作量。2、自动添加无线网络中，可以设置为：用户第一次登录时，自动绑定登录的终端。此方式以牺牲少量的安全性作为代价，减少了管理工作量。还可以检查指定类型的终端的用户名与MAC地址绑定关系。3、管理员审批对于未授权终端上的登录请求，系统会拒绝此用户连接，并且把终端的MAC地址加入到待审批列表中，网络管理员以人工审批的方式，来决定是否允许此未终端接入。通过针对重点帐号、使用帐号、MAC自动绑定。防止了越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC，实现了安全性与灵活性的兼顾。2.6张载广场无线快速上网设计2.6.1DHCP防护，优化地址分配在绝大部分的无线网络部署中，无线终端都使用DHCP方式获取IP地址、网关、DNS等。因此DHCP服务也被视为无线网络正常运行的基础。DHCP

服务基于广播方式运作，如果同一个子网内运行了多个

DHCP

服务器，在终端发起

DHCP请求后，会收到多个回应，终端会选择回应最快消息中指定的IP地址。因此如果无线网络子网内存在非法的

DHCP

服务器，则会干扰正常的

DHCP

过程，终端可能获取到错误的IP地址，导致终端无法访问网络。无线提供DHCPsnooping功能（该功能只支持集中转发，本地转发不支持）来解决上面这个问题，保证终端从合法的DHCP服务器处获取IP地址：启用“受信任的DHCP服务器”选项，并配置合法的

DHCP服务器IP地址，无线控制器及接入点将只转发来自受信任DHCP服务器的DHCP报文，来自其它IP地址的

DHCP

服务报文将被丢弃，从而保证

DHCP

服务能正常运行，不受干扰。禁止终端使用静态IP地址，避免手动配置IP地址可能带来的IP冲突问题。2.6.2防终端拖滞让无线跑得更快传统的无线随着低速终端的接入会导致高速终端速率被拉低，从而导致整体吞吐率下降，客户业务响应缓慢，严重影响终端的应用访问体验。技术进行了无线底层的技术改进，提出“防终端拖滞”创新专利，支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。2.6.3广播优化及提速ARP广播转单播：通过对ARP发送机制的优化提升ARP效率，减少不必要的广播泛洪。禁止DHCP请求发往无线终端：通过对DHCP发送机制的优化提升DHCP效率多播优化：将广播包原有的发送速度提高，加快广播包的传输效率，保证每个终端可以收到报文，提升带宽吞吐。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。2.6.4智能负载、5G优先、高密稳定快速接入在张载广场的开放工位、会议室等人员高密的区域，通常会有多个无线热点的信号覆盖，技术无线解决方案会根据每个AP的负载情况，将用户自动分配到信号强、接入人数少的AP上，同时会选择优先负载到干扰比较小的5G频段上，确保每个无线用户都能获得畅快的网络体验。除了基于人数的负载外，技术还能基于2.4G和5.8G的双频段进行智能双频负载。智能双频负载：2.4G和5G之间可实现自动负载，引导5G终端优先接入干扰比较小的5G网络，提升无线接入质量。2.6.5高密优化，加速密集用户的上网体验对于张载广场存在的部分区域，如会议室开会人数较多且密集，展厅访客多，终端分布密集，用户体验效果就会下降，然而在这有限的空间里部署过多AP的话，往往解决不了用户多的问题，反而会带来更多的干扰漫游问题。高密优化功能针对终端分布密集的场景进行无线网络性能优化，降低由于终端低速率发送proberesponse（探测帧响应）消耗无线的性能空间，从而提升高密度场景用户的无线上网体验。2.7张载广场无线用户上网行为管理设计2.7.1上网行为审计除了对用户的接入认证、访问控制外，还需要对他们使用网络情况进行记录，全面保证金融网络安全。对用户的上网行为进行审计，对拦截的访问进行记录，可以有效防止非法行为、非法事件，避免承担法律责任。根据国家规定限制用户的网络行为，满足互联网公共上网服务场所信息安全管理要求2.7.2网页访问审计日志信息用户、IP地址、链接、网站类别、时间、网页标题，并支持网页快照，网页内容直观显示邮件审计IM聊天应用审计微博论坛审计2.7.3流量控制和带宽保证无线对张载广场有线无线网络不同用户及应用的网络流量进行管理和划分，完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽，带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。同时，提供更灵活的管理和配置，保证重要应用带宽的同时，可以再根据用户的优先级，分配同一应用不同用户间的带宽。技术提供基于应用的流量控制，针对用户的出口带宽做保证，保证关键应用的带宽占用，无关应用靠边占