企业无线覆盖方案建议书-信锐2.4-(1).docx

《企业无线覆盖方案建议书-信锐2.4-(1).docx》由会员分享，可在线阅读，更多相关《企业无线覆盖方案建议书-信锐2.4-(1).docx（62页珍藏版）》请在咨信网上搜索。

XXX企业无线覆盖 技术建议书 信锐技术有限公司 xxxx年xx月 目录 1、概述 3 1.1公司介绍 3 1.2 企业WLAN现状分析 4 1.3项目介绍 5 1.4 企业WLAN需求分析 5 1.5企业WLAN当前面临的挑战 10 2、方案设计 13 2.1 NAP布放设计 13 2.2 无线组网方式 14 2.3 信道规划 14 2.4 企业无线安全接入设计 15 2.5 企业无线安全办公设计 19 2.6 企业无线快速上网设计 24 2.7 企业无线快速漫游设计 28 2.8 企业有线无线用户上网行为管理设计 29 2.9 访客安全管理设计 34 2.10 集中管理设计 37 2.11 企业数据保护、安全可靠设计 40 2.12 企业无线稳定性设计 42 2.13设备选型 43 3、 方案亮点与价值 44 3.1 更快速、更稳定的企业业务WLAN 44 3.2更安全、更便捷的企业安全WLAN 48 3.3 高扩展性、高可靠性 52 4、案例介绍 54 4.1 无限极（中国）有限公司服务中心WLAN建设 54 4.2 安正时尚集团WLAN建设 55 4.3 吉利春晓基地WLAN工程建设 56 5、售后服务 59 5.1 信锐服务体系介绍 59 5.2 技术支持及服务内容 59 5.3 信锐服务及维修流程 60 1、概述 1.1公司介绍 信锐网科技术有限公司（简称信锐技术，Sundray）注册资金1000万元人民币，专注于企业级无线网络产品研发、生产、销售的应用层无线网络供应商，总部位于深圳。 Sundray研发团队超过百人，研发无线产品多年，在无线硬件射频、软件控制、漫游、负载均衡、无线增值等各个领域有着多年深厚的技术积累。 Sundray无线产品自登陆市场以来，在全国已拥有北京、上海、广州、深圳、浙江、江苏、四川、重庆、天津、福建、河南、河北、辽宁、安徽、山东、湖南、湖北、新疆、云南、贵州等23个直属分支机构，8个产品备件库，服务网点覆盖全国，提供7*24小时不间断售后服务支持，服务体系通过ISO9001认证，提供30分钟问题必响应、无线AP一年内只换不修等高质量的产品服务。目前，已获得近千家用户的成功实施应用，其中多家无线接入点（AP）数量规模超过2000台。 因为更专注，所以更专业。Sundray投入100%的工作精力和热情，致力于为政府、企业、医疗、酒店、教育、金融、连锁等行业用户提供量身打造的更安全、更快速、可增值的应用层企业级无线网络。 1.2 企业WLAN现状分析 随着移动互联网的发展，移动终端的爆炸增长，无线终端和无线应用的快速普及，极大的推动了无线网络的发展。在这个移动互联的时代，无线已经成为终端接入的主导力量。BYOD、移动办公已成大势所趋，企业WLAN的应用需求正在进一步加大。 大型企业在无线网络建设期间要充分考虑访客（领导、客户、合作伙伴）接入网络的需求。首先从安全性考虑，访客网络必须要和办公网络分开，访客网络单独提供给访客使用。从用户体验角度考虑，访客接入网络的验证方式一定要做到简单易行，繁琐的验证方式会降低访客对企业的整体印象。同时对于访客网络，企业还需要建立完善的网络安全管理机制，避免由于访客的网络不良访问给企业带来的法律风险。对于企业员工移动办公上网，更需要做到可管控，上网行为做到可追溯，企业有效的带宽资源得到合理的分配和保证，才能使企业的业务系统正常且稳定高效地运行，同时保证企业信息安全，避免机密信息泄露。 1.3项目介绍 ……（客户背景介绍，IT现状，项目概述..） 1.4 企业WLAN需求分析 随着智能移动终端的增加，企业BYOD的普及，高质量的WLAN已经成为企业移动办公的刚性需求。 而在具体的应用过程中企业WLAN包含以下具体的需求： 1.4.1 企业WIFI安全接入 随着企业信息化建设和国家信息化工程的发展，企业办公信息化逐渐实现，企业BYOD需求激增，更多的企业采用无线网络接入自己的内部业务和办公系统。受无线网络局限性影响，其安全问题日益凸显，亟待安全接入机制，保障客户业务系统免受黑客攻击。 1.4.2 企业WIFI安全办公 企业业务规模不断扩大，企业业务对网络的依赖性也越来越高。无线网络技术的逐步成熟让很多企业扩展无线网络来实行自身的日常办公和客户接待以及业务咨询。办公、访客、会议室等都需要使用无线网络。在智能终端普及的当下，无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具。伴随而来的安全问题不仅体现在接入，接入之后如何防护企业网络的安全以及保障业务系统的正常运行，亟需要有效的无线安全解决方案来做双重保障。 1.4.3 企业WIFI快速上网 随着企业的不断发展，业务对于无线网络的要求也越来也高。而无线网络由于其无边界化、信号易受干扰等原因，无线网络在多人使用过程中会出现连接不稳定、上网速度慢、无关应用占用带宽等体验不佳的问题。因此企业邮件、财务、办公软件、互联网业务系统的高效使用、访客的信息咨询和反馈亟需要快速的无线网络来支撑。 1.4.4 企业WIFI快速漫游 随着智能移动终端发展，企业BYOD处于大势所趋，要实现企业内部任何时间、任何地点都能实现BYOD，这就必须保证无线信号的无缝覆盖、快速漫游，而且信号质量高。 对于多种接入终端，多个接入地点保证良好的一体化兼容、控制、管理。 1.4.5 企业上网行为管理 企业员工可以通过WIFI进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件等，亟需要实现员工上网行为的管理、带宽的管控和保证员工上网安全，用于提供员工的办公效率和避免企业网络资源浪费，防止企业机密数据泄密和员工通过互联网从事非法交易活动。 1.4.6 访客安全管理 企业访客可以通过WIFI接入企业内部或访问互联网，接入层需要解决安全接入问题。接入后访问企业内部受限资源、访问互联网，同样亟需要对访客的上网行为做管控以及流量做管控。 1.4.7 集中管理 很多集团公司随着业务的高速发展，企业部署的无线接入点与日俱增，数量庞大。针对众多的无线WIFI热点配置、升级、维护需要统一化的集中管理，降低维护成本，提高整体的稳定性，减少故障率。 1.4.8 企业数据保护、安全 企业业务系统以数据为核心，而无线网络有别于有线网络，无线网络的所有数据都在空中传输，需要高效且安全性极高的加密机制保证数据不被窃取破解，泄露企业机密。 企业无线部署作为有线的扩展，安全接入的边界和方式相较于有线网络难以控制，员工私接Wi-Fi等安全问题也缺乏很好的管理手段。各种钓鱼AP、AD-hoc可能隐藏在无线环境中，数据被转移、数据中病毒的风险无处不在，亟需要加以防护，确保数据和业务安全。 1.5企业WLAN当前面临的挑战 1.5.1 企业办公无线终端密度大，员工对网络时延敏感度高 企业BYOD需求激增，企业办公区、会议室，无线终端密集。需要保证在高密度的情况下，员工和访客上网的流畅性，提高企业的办公和业务处理效率。 1.5.2 办公场所要求覆盖广，无死角，信号强 企业办公区域面积大，要求信号无死角覆盖，内部员工接入可实现无感知漫游，不断网。满足公司会议室高密区域，用户稳定接入。来访访客随时随地可接入，并办理业务咨询和反馈。 1.5.3 企业组织结构复杂，权限难于控制 随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。 1.5.4 OA、邮件等办公系统带宽被大量抢占 在一定的无线带宽情况下，企业员工运行大量的P2P下载，视频浏览等高耗带宽的应用，严重抢占正常的系统带宽，造成企业的带宽资源耗费，无线办公和业务处理效率低下。 1.5.5 无线攻击手段多样，内网安全有威胁 不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对企业而言，难免会存在一定盗用账号、非法接入的安全威胁。 1.5.6 空中垃圾多，无线接入稳定性得不到保证 WiFi网络大多使用的2.4GHz频段，众所周知，2.4GHz频段是开放频段，工作在这个频段的设备很多，比如：微波炉、蓝牙、无线座机、外来NAP、监控摄像头等等，会对WiFi设备进行大量的干扰。除此以外，2.4GHz相互不干扰的信道只有1、6、11，当部署区域被运营商的AP给占用以后，可用信道就不多了。在这种情况下，干扰会造成丢包和延迟，实际传输速率往往得不到保证。 2、方案设计 根据xxx企业的无线网络需求和无线网络设计原则，结合信锐无线系统技术和产品的特点，方案设计如下： 2.1 NAP布放设计 根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。NAP安装在走廊/墙壁上。 区域一放置XX个NAP负责覆盖XXX 区域二放置XX个NAP负责覆盖XXX 区域三放置XX个NAP负责覆盖XXX …… 设备清单及位置统计如下： 序号 设备类型 设备品牌 设备型号 放置区域 设备数量 合计 1 无线接入点NAP 信锐 　 区域1 　 　 　 区域2 　 　 区域3 　 　 区域4 　 　 区域5 　 2 无线控制器 　 核心机房 　 　 3 POE交换机 　 1楼弱电井 　 　 　 2楼弱电井 　 　 3楼弱电井 　 2.2 无线组网方式 结合用户无线网络需求情况，结合信锐产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照NAP+AC的结构化无线网络解决方案进行设计。网络拓扑如下（可编辑）： 无线控制器 核心交换机 中心机房 核心交换机 核心交换机 POE交换机 POE交换机 大楼2 大楼1 2.3 信道规划 使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。 信道规划如下图： 图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为NAP部署位置。 2.4 企业无线安全接入设计 在Sundray无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下： 2.4.1 更丰富、快捷的企业认证安全机制 采用802.1x认证，用户接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据，认证通过的用户才允许接入网络。业内皆知802.1x在用户终端设备上配置极其复杂，无疑给用户使用和IT管理员增加了大量的配置工作，信锐技术提供了企业认证的自动配置工具，终端用户无须管理员协助，通过开放性wlan下载自动配置工具，一键安装即可轻松接入企业网络，既安全又便捷。 支持自建CA颁发证书和管理，证书分发可通过自动配置工具统一打包一键完成安装，也支持用户通过web下载、管理员通过邮件分发，简单且快捷。 支持和企业内部的用户认证服务器进行身份认证，只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快速的身份校验，既安全且可靠。 企业认证支持本地内部数据库服务器，本地数据库支持认证终结到控制器上，可满足没有内部身份认证服务器的中小型企业。 2.4.2 帐号、终端灵活绑定、杜绝越权访问 首次连接无线网络认证时，用户名和终端可以实现自动绑定，帮助企业快速完成身份绑定，若用户拥有多个上网终端，管理员也可以灵活的手动审批后续新加入终端的绑定。因此企业可根据用户组织结构划分不同的访问权限，避免越权访问问题的发生。 2.4.3 限制帐号在多个终端同时接入 可限制一个帐号同时登录的终端个数，有效保护企业网络资源。针对超限的帐号可采取以下两种措施： 一、 强迫最早接入的终端下线。 二、 不允许新终端接入。 当然对于需要放开限制的帐号如老板帐号，也可支持配置例外帐号。 2.4.4 多样化的接入控制 信锐无线可以免安装客户端软件实现终端类型的识别，认证接入时，可以根据情况限制只有手机终端可以接入，笔记本类型不能接入；或者只允许IOS终端接入，不允许Android终端接入，让您认为不安全的终端无法接入网络。 基于接入位置的接入控制。不同的无线热点可配置不同的接入访问控制策略，以便不同的无线热点承载的无线用户接入到企业内部不同的业务系统，既安全又高效。 基于用户属性的接入控制。信锐无线无缝对接企业内部认证服务器，支持用户组[安全组、OU组]、用户名等用户属性的接入控制，也支持radius等属性的接入控制。不仅如此，还致力于开发内部的本地数据库服务器，同样支持按本地数据库的用户属性进行接入控制。 甚至接入控制条件可以灵活组合，满足客户不同的接入控制需求。支持基于终端类型和接入位置、用户属性作为一组接入条件进行接入控制。例如可以支持不同的接入位置且满足指定的终端特性才允许接入进行上网，如下图： 2.5 企业无线安全办公设计 2.5.1 精细化多角色授权管理 企业用户接入无线网络后，信锐无线提供安全管家全面负责其用户权限的授权管理。丰富的权限分配表支持按用户属性、终端类型、接入区域、不同时间段来设置不同的角色，角色上搭建不同的访问控制策略，构建企业级防火墙，权限控制更全面和精细化。 2.5.2 VLAN隔离 同一vlan内、不同vlan间通讯的终端采用隔离技术，有效防止终端之间传输大量文件损耗AP 有限的带宽资源，也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为，最大限度地确保办公安全，提高办公效率。 2.5.3 基于内网的服务和应用控制 信锐无线不仅支持传统的基于端口的防火墙控制策略， 同时内置了国内最大的应用识别库和URL库，管理员能够轻易识别出具体的应用和URL，灵活的设置网络访问策略，并且能够进行相应的精细化应用控制。 业界的防火墙控制主要是基于网关出口，只能限制内网用户访问外网资源，内网用户之间不能做到基于服务和应用控制。而信锐无线弥补了这块黑洞，独有的基于内网的服务和应用控制方案给业界带来新的突破和福音。企业网络和内部应用是非常复杂的如下图，企业内部既有有线网络也有无线网络，既有用户之间互访、访问内部资源、移动小型设备接入和数据传递的需求，也有访问互联网资源、数据中心进行数据同步需求。在这种错综复杂的网络环境和应用环境中，传统的防火墙只能在网关出口控制内网用户对公网资源的访问，而忽略了内网这更为复杂的环境。 信锐无线集成了有线无线一体化，在业界首次提出“用户”的概念，其访问控制策略结合强大的应用识别库搭配“用户”概念，完美实现了内网用户之间的控制以及对公网资源访问的外部控制，该方案针对有线或无线用户都适用，给企业一个干净和健康的网络环境。同时其策略配置更注重人性化，区别于传统的配置IP等复杂的方式，用户可选择应用、选择连接方向“用户发起”、“用户接收”，选择时间计划，选择动作“允许”或“拒绝”即可快速地实现访问控制。 例如：企业员工上班时间只能访问内网的“企业内部业务系统”、不允许允许访问公网视频网站，研发人员不能访问市场人员的CRM系统，研发人员不能向市场人员发送邮件；访客手机终端之间不能传送文件，访客只能访问固定的网站，不能访问企业内部的研发和市场资源， 但不允许上微博发信息；针对与工作相关的即时通讯软件、下载软件不做应用的限制，而对下载速度做一定范围的限制。 2.5.4 网络层防护 一、 DHCP防御。只转发受信任的DHCP服务器响应，屏蔽非法的DHCP服务器，防止终端IP不合法。防止用户私设IP，有效保护网络避免存在大量冲突IP地址导致客户网络瘫痪。 二、 DDOS防御。可根据用户最大并发数、新建连接速率、小包速率进行防护，一旦超限可自动加入动态黑名单，冻结处理，杜绝网络攻击。 2.6 企业无线快速上网设计 2.6.1 端到端的协议加速 无线网络随着接入人数的不断增加，由于干扰增大导致上网速度慢，应用访问体验差。采用信锐独有的应用层协议加速技术，客户端无需安装任何插件，只需在无线控制器上开启应用加速功能，通过改善无线传输协议算法，无线网络的传输速度就能够提升1.5-4倍效果。有效解决企业无线网络由于干扰导致的无线传输速率低、丢包、延迟等网络质量问题。 Internet STA AP 有线网络，传输速率不受干扰影响 受干扰影响的无线传输 AP作为数据传输的缓存点（传统AP没有协议栈缓存功能），在干扰环境丢包导致速率下降的情况下，启用应用加速，终端与AP之间直接进行快速重传，从而提升无线网络速度。 干扰信号 2.6.2 防终端拖滞让无线跑得更快 传统的无线随着低速终端的接入会导致高速终端速率被拉低，从而导致整体吞吐率下降，客户业务响应缓慢，严重影响终端的应用访问体验。 信锐技术进行了无线底层的技术改进，提出“防终端拖滞”创新专利，支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。 2.6.3 基于应用的无线射频管理 信锐技术研发的无线网络动态带宽分配，当无线接入点带宽不足时，无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配；无线接入点带宽充足时，将不受此限制。例如办公网络，可以配置权重较大，用于保证办公应用的正常业务通信；非重要网络，例如访客网络，可以配置权重较小，用于限制非重要网络的上网带宽，以免影响其他无线网络。 每个无线网络上用户可以自定义基于应用的子通道， 用户可以设置通道间的带宽占用比例，当无线网络带宽不足时，通道间的保证带宽将按照设定的比例进行带宽分配，无线网络带宽充足时不受此比例限制。例如办公网络中，可配置P2P子通道，配置权重最小；办公OA系统对应的子通道权重最大；互联网应用对应的子通道权重介于两者之间。 2.6.4 广播优化及提速 一、 ARP广播转单播：通过对ARP发送机制的优化提升ARP效率，减少不必要的广播泛洪。 二、 禁止DHCP请求发往无线终端：通过对DHCP发送机制的优化提升DHCP效率 三、 多播优化：将广播包原有的发送速度提高，加快广播包的传输效率，保证每个终端可以收到报文，提升带宽吞吐。 四、 接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。 2.6.5 VLAN池 利用VLAN地址池，减少广播域，减少广播泛洪，提升无线网络带宽资源的利用率。 2.6.6 智能负载、5G优先、高密稳定快速接入 在企业的开放工位、会议室等人员高密的区域，通常会有多个无线热点的信号覆盖，信锐技术无线解决方案会根据每个AP的负载情况，将用户自动分配到信号强、接入人数少的AP上，同时会选择优先负载到干扰比较小的5G频段上，确保每个无线用户都能获得畅快的网络体验。除了基于人数的负载外，信锐技术还能基于2.4G和5.8G的双频段进行智能双频负载。 智能双频负载：2.4G和5G之间可实现自动负载，引导5G终端优先接入干扰比较小的5G网络，提升无线接入质量。 2.6.7 高密优化，加速密集用户的上网体验 对于企业存在的部分区域，如会议室开会人数较多且密集，展厅访客多，终端分布密集，用户体验效果就会下降，然而在这有限的空间里部署过多AP的话，往往解决不了用户多的问题，反而会带来更多的干扰漫游问题。 信锐高密优化功能针对终端分布密集的场景进行无线网络性能优化，降低由于终端低速率发送probe response（探测帧响应）消耗无线的性能空间，从而提升高密度场景用户的无线上网体验。 2.7 企业无线快速漫游设计 2.7.1 防终端粘滞 传统的无线漫游依赖的是终端自己的特性，无法做到可控制，而信锐技术提供的“防终端粘滞”弥补了这块的缺陷。通过防终端粘滞功能，信锐无线可以引导无线终端更快的漫游到无线服务能力更好的无线热点上，让客户得到更好的无线网络体验。漫游后，终端的vlan、角色、IP保持不变，用户无感知。 2.8 企业有线无线用户上网行为管理设计 2.8.1 有线与无线一体化 企业在拥有无线的同时，也拥有有线网络。信锐无线可以通过无线控制器上进行配置，利用无线控制器的有线口来完成有线用户的认证，同时对无线用户和有线用户进行集中管理，完成流量控制、流量管理和流量审计。信锐无线集成了有线认证和管控，提供了“Web认证”、“IP认证”、“免认证“等安全接入认证机制，在进行账号认证时，可以跟内部账号认证体系radius、ldap服务器结合起来，对用户身份进行验证，真正做到对有线用户和无线用户的一体化管控。 2.8.2 上网审计 企业有线无线网络不仅需要完成用户的接入、认证，同时对用户的有线无线网络行为和内容进行审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、邮件内容以及上网流量与时长控制。 通过配置审计策略，在角色中引用相应用审计策略，并给用户分配相应的角色，即可实现对用户的审计。 2.8.3 流量控制和带宽保证 信锐无线对企业有线无线网络不同用户及应用的网络流量进行管理和划分，完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽，带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。同时，提供更灵活的管理和配置，保证重要应用带宽的同时，可以再根据用户的优先级，分配同一应用不同用户间的带宽。 信锐技术提供基于应用的流量控制，针对用户的出口带宽做保证，保证关键应用的带宽占用，无关应用靠边占。 2.8.4 更丰富的数据中心报表功能、审计报告自动通知管理层 针对企业有线无线网络完成用户的接入、认证，同时对用户的网络行为和内容进行审计，审计的结果保存于数据中心。信锐无线支持内置数据中心和外置数据中心两种保留方式。其中内置的数据中心可以配置日志保留天数、磁盘预警百分比。除了将审计的结果保存于数据中心之外，我们还提供多种类型的报表，这些报表可以更好的帮助客户分析网络状态，为客户提供更方便、快捷的的管理维护方法，以及更深层次的挖掘上网用户价值，助无线增值一臂之力。 2.9 访客安全管理设计 2.9.1 二维码快捷上网 访客是开放的企业每天都会面对的群体，供应商、客户、商业伙伴、相关领导来到公司参观，都需要便捷的接入无线网络。信锐提供了更简洁的认证方式，来访客人只需要连接该公司无线网络，然后打开浏览器自动出现二维码，内部接待员工用自己的终端扫一扫即可认证通过。 二维码认证技术经过公安部认证，且针对访客行为可追溯。 2.9.2 临时访客快捷上网 信锐技术提供了临时访客代替了传统的前台手工登记上网的复杂方案，企业可以直接在前台为访客开通账号和密码，帐号可以是其身份证号，密码可以是其身份证的后六位，并且设置上网有效时长；同时信锐技术结合二维码，为临时访客上网生成二维码，企业前台人员只需要给访客二维码，访客扫二维码即可快速上网。 临时访客的上网行为可追溯。 2.9.3 短信认证 信锐技术提供短信认证方式，访客用户可以通过手机来获取验证码，轻松访问无线网络。验证码可做到一次获取永久使用。 2.9.4 微信认证 通过信锐无线提供的微信认证功能，访客进入企业展厅，接入无线网络，将被定向到指定提示页面，提示访客关注微信号然后即可获取上网权限，访客关注微信号即可上网。这样便大大增加了访客对企业的关注度，也便于企业广告、业务推送和宣传。 信锐技术覆盖了多种微信认证方式，特别是一键关注、Oauth网页授权等方式让访客可快捷接入上网。 2.9.5 防蹭网 信锐技术提供了上网时长和流量配额控制策略，可灵活根据客户需要杜绝企业周边人员侵入网络，保护公司的网络资源。 2.9.6 同一SSID内的隔离 信锐技术提供了员工与访客接入同一SSID内的隔离，防止互访可能导致的数据转移、企业信息泄密、文件中毒等危险行为，保护企业资源安全，防止机密信息泄露。 2.10 集中管理设计 2.10.1 AP零配置 所有无线热点的配置统一在无线控制器上配置，部署简单，配置简易，实现用户零学习成本。 配置支持自动以及手工备份和还原，双重保证无线热点的24小时不间断运行。 2.10.2 云升级 所有无线热点支持从云端自动升级到最新的版本，不同硬件型号AP能自动判断并完成升级，无线客户手工干预，降低了后续升级维护成本。 客户可选择夜里自动升级，减少白天升级导致的业务中断问题。 2.10.3 可视化的热点地图 大型企业随着业务的快速发展，无线热点部署剧增，企业分支控制器部署也剧增，面临着复杂的设备管理问题。 信锐技术提供了强大的可视化的热点地图，通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式，分层管理设备，以掌握设备的实时运行状态。 热点位图还提供人流密度分析、用户位置的搜索快速定位、安全事件等机制，帮助网管更好地管理无线网络，服务于企业员工。 2.10.4 远程AP智能连接 部分企业分支部署远程AP，需要接入到总部的无线控制器，以便通过无线网络访问总部的资源，而企业总部的出口IP经常变换，给远程AP连接总部带来极大的困扰。 信锐技术提供智能连接技术，总部IP变换对于远程AP而言是透明的，不需要任何手工操作便可快速地恢复网络，保证业务不中断。 2.10.5 智能射频管理 信号干扰是无线网络使用中的常见问题，运营商的CMCC，China Net等无线信号，以及蓝牙、无线监控摄像头等均工作在2.4G频段，他们都会对无线网络产生干扰。 信锐技术无线AP能够根据周围无线的实际干扰情况，只能调整为干扰最低的信道进行工作，同时还支持降低功率来减少覆盖重叠，提升功率来弥补覆盖盲区等功能，从而达到真正有效的避免干扰。 2.11 企业数据保护、安全可靠设计 2.11.1 流氓AP的攻击检测与反制 无线网络的无线信号具有开放性，钓鱼AP和AD-Hoc等非法AP极容易隐藏在无线网络中引诱企业用户接入，盗取用户帐号并窃取企业机密文件或传播病毒。 企业员工也可能通过部署非法AP进行数据转移，导致企业信息泄露。 信锐技术采用全面的防御体系，为您构建最安全的无线接入网络，抵制钓鱼AP和AD-Hoc、用户发起的泛洪或欺骗攻击等无线攻击行为，还你一个干净且安全的无线网络环境。 2.11.2 无线空中加密技术 无线数据在空中传输，承载者企业各种业务数据，需要高效且可靠的加密机制来避免数据被暴力破解或篡改。信锐技术支持国际标准的多种数据加密方式，保证了企业业务数据在传输过程中既安全又可靠。主要体现在以下3方面： 一、 信锐技术采用WPA/WPA2+AES的方式实现数据的加密，保证数据的安全性。WPA2密钥长度为128 位，解决了传统密钥过短、容易被第三者恶意截获的问题，且在WPA2中定义了一个具有更高安全性的加密标准CCMP，旨在给用户提供了一个完整的认证机制，无线热点根据用户的认证结果决定是否允许其接入无线网络中，认证前与用户身份数据库中的认证信息进行比对检查，以确认是否具有权限并向客户端动态分发用加密密钥，认证成功后可以根据多种方式（传输数据包的多少、用户接入网络的时间等）动态地改变每个接入用户的加密密钥。另外，对用户在无线中传输的数据包进行MIC编码，确保用户数据不会被其他用户更改。 二、 无线热点和控制器之间的数据包进行RC4加密，高效且安全。 三、 信锐技术同时支持WAPI标准，进一步保障数据的机密性和完整性。 2.11.3 射频控制策略，自动关闭无线射频信号 企业在晚上凌晨以后，正常情况都是没有人使用无线网络的，那么信锐无线网络能自动关闭射频信号，一方面能节省电，另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法入侵的操作，保障企业无线数据的安全，另外为了更加人性化，还增加了设置基于SSID的例外无线网络，可以选择性的关闭SSID。 2.12 企业无线稳定性设计 2.12.1 单一设备多功能集成 信锐技术不仅具备多样化的无线功能，同时也具备有线的认证和管控功能，多功能集成在一个无线控制器上。各功能模块相互独立，数据转发和处理都是在应用层平台上，业务模块故障可快速恢复。 2.12.2 冗余、减少单点故障 信锐技术提供双机备份机制，减少单个设备故障带来的客户业务中断问题，提升了客户业务的可靠性，减少单点故障。 2.13设备选型 根据以上对XXX商场需求的分析，为了实现更快速、更安全的企业WLAN建设，XXX公司无线系统必须具备以下功能： 1、 对无线网络的加速功能 2、 对于企业重点的业务数据进行识别和带宽保障 3、 对非法网络应用和URL进行识别和控制 4、 访客网络通过二维码认证或是单独的临时访客系统方式认证 5、 无线接入点NAP使用2.4G和5G双频接入保证接入数量和质量。 基于此本次方案推荐使用信锐科技无线控制器AC系列和无线接入点NAP系列设备。然后基于XXX公司的实际环境，以及XXX公司对于无线网络的信号要求选择部署X个NAP-2600,根据NAP数量，选择信锐X型号无线控制器。 3、 方案亮点与价值 3.1 更快速、更稳定的企业业务WLAN 信锐无线通过特有的协议栈加速、射频优化、应用识别为XXX企业提供高速、稳定的无线网络，提升用户体验。并根据XXX企业内部OA、邮件等业务系统进行带宽保障，建立更快速、更稳定的企业业务WLAN。 3.1.1端到端的网络协议栈加速 针对干扰的无线网络环境，方案采用信锐独有的协议栈加速技术，客户端无需安装任何插件，在NAC开启单边加速功能，通过改善无线传输协议算法，将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题，大幅提升XXX企业无线网络速度。 3.1.2终端识别与流量控制 信锐方案通过无线控制器自动识别终端类型，根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。 3.1.3应用识别和流量控制 对于应用的杂乱无章，难以管控，本方案中信锐无线控制器通过内置全国最大的应用识别库和URL库，自动识别无线流量类型，并根据终端类型设置相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障，防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障了企业正常的办公网络。 3.1.4有线无线流量管理系统 信锐流量管理不同用户及应用的网络流量进行管理和划分，完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽，带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。同时，提供更灵活的管理和配置，保证重要应用带宽的同时，可以再根据用户的优先级，分配同一应用不同用户间的带宽。 信锐无线有线无线一体化功能和流量管理系统，能够对有线和无线的用户进行应用优先保障，可以进行根据客户的需求选择需要优先保障的应用，在没有优先应用流量的时候，其他的应用也可以进行使用，不浪费带宽流量。 能够通过选择重要区域的AP，优先提供网络带宽，进行重要区域如会议室的无线网络智能优先保障，给参会人员更好的无线网络使用。 3.1.5针对无线的网络优化 信锐方案针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。 3.1.6智能负载均衡 通过智能负载均衡使终端均衡的分布在不同的AP上，5G终端优先连5G，让所有终端都有较好的连接体验。 3.2更安全、更便捷的企业安全WLAN 3.2.1更全面的安全防护 信锐方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为XXX企业提供了更全面的安全防护 3.2.1.1精细化角色授权管理 随着企业内部结构的逐渐复杂化、网络管理也越来越难。信锐的精细化角色授权管理针对不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。充分保证了各自的安全，防止越权。 3.2.1.2危险应用和URL的识别和管控 调查表明75%的网络攻击来自应用层，信锐通过内置全国最大的应用识别库和URL库，自动识别危险应用和URL，并加以控制和封堵，极大的提升了网络的安全性。 3.2.1.3动态黑名单，自动封堵攻击源 动态黑名单功能能实现自动对网络的监控，自动封堵攻击源，在保障网络安全的同时，大大降低了工作人员的压力。 3.2.2更便捷的安全管理 3.2.2.1 802.1X自动配置 802.1X能有效保证XXX企业网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。对此，信锐方案为XXX企业提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度。 3.2.2.2帐号、MAC自动绑定 为了实现针对XXX企业领导等人员帐号需要重点保障的情况，信锐针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC，实现了安全性与灵活性的兼顾。 3.3 高扩展性、高可靠性 根据不同组网规模，提供多样化的产品形态，用户可根据实际灵活选择，降低组网成本，提高效益。例如，针对中小规模网络、或者大型客户的分支机构，用户可以选择mini NAC，相较于同等性能的无线控制器，成本节省一半。 同时，由于业务扩容，无线部署时需要考虑其扩展性，初期即购买高性能无线控制器投入太大，低端无线控制器又无法满足要求。信锐推出多样的产品形态，用户可根据组网规模按需部署。同时，虚拟化NAC的解决方案可以部署于虚拟化服务器上，通过扩容license即可提升无线网络的规模，不必担心硬件设备淘汰浪费的问题。 双机备份机制，配置实时同步，提供动态的故障转移机制，保证用户业务不因临时故障而中断，实现业务的快速恢复，降低系统因单点故障导致网络中断的风险。 4、案例介绍 4.1 无限极（中国）有限公司服务中心WLAN建设 无限极（中国）有限公司服务中心简介： 无限极（中国）有限公司（简称无限极（中国））为李锦记健康产品集团成员，成立于1992年，是一家从事中草药健康产品开发、生产及销售的大型港资企业。公司以“无限极”为核心品牌，目前已成功研发生产出5大系列，6大品牌，104款产品，并已在中国内地设立36家分公司，28家服务中心，拥有近5000家专卖店。 无限极在全国共有28家服务中心，它是无限极品牌形象及企业文化的展示窗口，也是市场服务和业务拓展的重要平台。服务中心内部共分为体验长廊、品牌墙、产品展示区、销售区、沟通区及培训室6大区域，其空间布局突破传统框架，“回”字形的整体布局，将六大区域组合起来，形成最完备的体验及服务功能，营造出贯通、流动、循环不息的无限空间，蕴含了品牌无限无极、生生不息的广袤远景，让消费者不仅可以购买产品，更能通过服务中心的精心设计体验中华养生文化的魅力，了解无限极的企业文化和品牌 服务中心WLAN建设需求： Ø 客户服务中心客户免费上网，使用无线进行广告推动，