无线局域网建设方案Word下载.docx

1、设备清单及位置统计如下：序号设备类型设备品牌设备型号放置区域设备数量合计1无线接入点AP深信服AP-240-P区域1 26区域21AP-240-P区域3区域4区域52无线控制器WAC-3100核心机房 13POE交换机SW-GE82.2 无线组网方式结合用户无线网络需求情况，结合深信服产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+AC的结构化无线网络解决方案进行设计。网络拓扑如下：2.3 信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点

2、同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。2.4医院WLAN高速业务设计2.4.1端到端的网络协议栈加速针对干扰的无线网络环境，采用深信服独有的协议栈加速技术，客户端无需安装任何插件，只需在WAC开启单边加速功能，通过改善无线传输协议算法，无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。2.4.2应用识别和流量控制针对移动终端多种多样，员工运行着各种应用无法管控。深信服无线控制器内置全国最大的应用识别库和URL库，能自动识别肿瘤生物治疗中心无线流量类型和终端类型，根

3、据终端、应用类型设置相应的流量控制策略。对于肿瘤生物治疗中心重要的动存系统、LIMS系统、OA等办公系统进行重点的带宽保障，防止抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览我们可以进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障医院正常的办公网络。2.4.3针对无线的网络优化为了改善肿瘤生物治疗中心的无线网络，深信服针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。广播优化: 针对广播包发送机制优化，减少广播报浪费过多资源。ARP转单播：通过对ARP发送机制的优化提升ARP效率。禁止DHCP包发往无线终端功能：通过对DHCP发送机

4、制的优化提升DHCP效率。自动广播提速：将广播包原有的发送速度提高，加快广播包的传输效率。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。平均带宽分配：支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。2.4.4智能负载均衡针对肿瘤生物治疗中心存在办公区、会议室等部分区域人员集中的现状。深信服WAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点，平衡负载压力，极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载，提升无线接入质量。2.4.5快速L2/L3漫游为了实现肿瘤生物治疗中心在区域内的

5、无线漫游、办公不中断，相对于传统Fat AP方案无法有效保证跨三层的漫游，深信服无线解决方案满足优秀的L3漫游特性，用户漫游不受子网限制，保证肿瘤生物治疗中心用户在不同区域间移动而业务不中断。2.4.6射频优化依据肿瘤生物治疗中心不同环境，WAC可自动进行射频调整，有效避开自干扰，也可以自动进行信道调整，为AP分配不同信道避开信道间的干扰。2.5医院WLAN全面、便捷的安全设计2.5.1更全面的安全针对肿瘤生物治疗中心的实际情况，深信服通过精细的权限控制，非法URL的封堵，动态黑名单、防DOS攻击、IDS等为 肿瘤生物治疗中心更全面的安全防护。2.5.1.1精细化角色识别与授权管理针对肿瘤生物

6、治疗中心存在各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。根据医院的不同部，不同的终端、不同的用户划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。2.5.1.2危险应用和URL的识别和管控在肿瘤生物治疗中心内部，员工通过无线访问网络，有可能会出现反问非法网络的情况，给医院带来安全风险。针对于此深信服无线控制器内置全国最大的应用识别库和URL库，能自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高公司网络的安全性。2.5.1.3动态黑名单无线控制器WAC会实时监控肿瘤生物治疗中心无线网络安全情况，如果网

7、络中出现攻击终端，无线控制器会将其自动列入动态黑名单，在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击，则继续列入黑名单。如果恢复正常则允许其接入。2.5.2更便捷的安全2.5.2.1安全、便捷的访客认证系统二维码认证外来访客来到肿瘤生物治疗中心接入网络后，无线设备自动向访客的终端推送肿瘤生物治疗中心的portal页面，页面中包含一个二维码，这个二维码中包含了访客终端的MAC信息。被授予接待权限的内部员工（行政部和领导）用自己已经接入内网的终端扫描此二维码，此时无线管理设备记录下接待员工的用户名和访客的MAC地址，访客可以便可以接入网络。临时帐号系统认证无线使用临时用户信息管理系统，

8、访客到来肿瘤生物治疗中心时只需在前台开设临时帐号，设定使用时间即可。临时用户在有效期内可以登录，超过有效期无法登录；临时账号管理系统拥有二级权限系统，该系统仅能进行临时帐号的创建、管理功能，给前台使用方便、简介。大大减少网络管理员压力。2.5.2.2802.1X自动配置802.1X能有效保证肿瘤生物治疗中心网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。对此，深信服为肿瘤生物治疗中心提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。2.5.2.3帐号、MAC自动绑定针对XXX存在领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号

9、、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC，实现了安全性与灵活性的兼顾。2.5.2.4统一集中管理结合深信服WAC无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过WAC内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。3、方案亮点与价值3.1 更快速、更稳定的医院业务WLAN深信服无线通过特有的协议栈加速、射频优化、应用识别为肿瘤生物治疗中心提供高速、稳定的无线网络，提升用户体验。并根据肿瘤生物治疗中心内部HIS、PACS、OA、邮件等业务系统

10、进行带宽保障，建立更快速、更稳定的医院业务WLAN。3.1.1端到端的网络协议栈加速针对肿瘤生物治疗中心干扰的无线网络环境，方案采用深信服独有的协议栈加速技术，客户端无需安装任何插件，在WAC开启单边加速功能，通过改善无线传输协议算法，将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题，大幅提升肿瘤生物治疗中心无线网络速度。3.1.2终端识别与流量控制深信服方案通过无线控制器自动识别终端类型，根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。3.1.3应用识别和流量控制对于肿瘤生物治疗中心应用的杂

11、乱无章，难以管控，本方案中深信服无线控制器通过内置全国最大的应用识别库和URL库，自动识别无线流量类型，并根据终端类型设置相应的流量控制策略。对于重要的HIS、PACS、OA、邮件、财务等办公系统进行重点的带宽保障，防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载，视频浏览进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障了医院正常的办公网络。3.1.4针对无线的网络优化深信服方案针对无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。3.2更安全、更便捷的医院安全WLAN3.2.1更全面的安全防护深信服方案通过精细化的角色授权管理、危险

12、应用和URL的识别与管理、内置证书、动态黑名单等为肿瘤生物治疗中心提供了更全面的安全防护3.2.1.1精细化角色授权管理医院内部结构的复杂、网络管理也越来越难。深信服的精细化角色授权管理针对不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。充分保证了各自的安全，防止越权。3.2.1.2危险应用和URL的识别和管控调查表明75%的网络攻击来自应用层，深信服通过内置全国最大的应用识别库和URL库，自动识别危险应用和URL，并加以控制和封堵，极大的提升了网络的安全性。3.2.2更便捷的安全管理3.2.2.1二维码认证通过二维码认证，访客从接入无线到通过审核、时间就在十秒之

13、内完成，解决了便捷认证、防蹭网、责任溯源三大访客认证难点。3.2.2.2 802.1X自动配置802.1X能有效保证肿瘤生物治疗中心网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。对此，深信服方案为肿瘤生物治疗中心提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度3.2.2.3帐号、MAC自动绑定为了实现针对肿瘤生物治疗中心领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MAC自动绑定。3.4高扩展性、高可靠性根据不同组网规模，提供多样化的产品形态，用户可根据实际灵活选择，降低组网成本

14、，提高效益。例如，针对中小规模网络、或者大型客户的分支机构，用户可以选择mini WAC，相较于同等性能的无线控制器，成本节省一半。同时，由于业务扩容，无线部署时需要考虑其扩展性，初期即购买高性能无线控制器投入太大，低端无线控制器又无法满足要求。深信服推出多样的产品形态，用户可根据组网规模按需部署。同时，虚拟化WAC的解决方案可以部署于虚拟化服务器上，通过扩容license即可提升无线网络的规模，不必担心硬件设备淘汰浪费的问题。双机备份机制，配置实时同步，提供动态的故障转移机制，保证用户业务不因临时故障而中断，实现业务的快速恢复，降低系统因单点故障导致网络中断的风险。4、产品介绍4.1 无线控

15、制器WAC系列深信服千兆系列无线控制器是深信服自主研发的集中管理无线接入点的控制设备，集防火墙，用户认证服务器，证书颁发中心，无线射频管理软于一体。具有多元化的认证方式，精细化的用户管理，协议优化，射频优化，二三层漫游，灵活的Q0S控制，本地转发、应用识别管控等功能。能够减少医院部署复杂度，降低医院部署成本，为客户打造安全、快速、可运营的无线网络。配合深信服无线AP系列，定位于中型WLAN接入业务，如：医院、商超连锁、校园、酒店、医院等高速的wifi应用场景。4.1.1产品规格硬件规格 千兆系列无线控制器产品规格硬件规格项目描述型号WAC-3100WAC-4100WAC-4200WAC-430

16、0外形尺寸（长宽高，单位：mm）275*175*44.5430*300*44.5430*375*44.5430*500*89重量1.6kg3.85kg6.65kg15.3kg管理端口1个命令行管理console口，1个WEB界面管理MANAGE口业务端口2个千兆电口5个千兆电口5个千兆电口 ；4个SPF千兆光口USB端口数2个功耗400080001500035000内置认证账户数65000VLAN数量04094ESSID数量802.11mac802.11协议簇支持802.11a/b/g/n模式虚拟AP支持隐藏SSID多国家码部署功率、信道调整具备自动和手动两种方式调整功能用户在线检测无线用户隔

17、离具备二层隔离和基于SSID的隔离功能无线用户强制断连多SSID个数用户无流量自动老化在线检测具备AP和用户在线检测功能40MHz模式的20MHz/40MHz自动切换防火墙新建连接数并发连接数数据转发本地转发支持：具备SSID+VLAN的本地转发集中转发部分集中转发部分本地转发漫游二层漫游三层漫游IPDHCP支持DHCP Client，DHCP服务器，DHCP中继，DHCP SnoopingNATDNS代理静态路由策略路由三层物理端口链路检测二层链路聚合最大支持8个端口聚合链路状态检测ARP代理802.1x流量管理基于单用户实现基于单用户的上下行流量管控基于应用实现基于应用的流量保障基于终端类

18、型实现基于终端类型（手机、电脑等）的流量管控基于终端操作系统能够实现基于终端操作系统（安卓、IOS、windows phone等）的流量管控基于不同无线网络满足基于不同无线网络进行带宽权重分配单用户流量限速可基于不同SSID灵活设置802.11e/WMM射频管理功率自动调整功率手动调整AP可手动功率调整，调整粒度为1dBm，调整范围为1dBm国家规定功率范围信道自动调整AP负载均衡多个AP间实现负载均衡，在双频情况下，实现2.4G和5G的双频负载无线防广播泛洪（arp代理）安全防御DoS攻击防御WIPS接入认证认证类型支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加

19、密、开放式+web认证、WPA-PSK/WPA2-PSK+web认证、WPA（医院）、WPA2（医院）、WPA/WPA2（医院）访客终端接入无线网络后，终端自动弹出二维码页面，医院审核人通过手机扫描访客终端二维码，访客即可上网。微信认证用户接入无线后关注指定微信账号（商户或医院官方帐号）即可实现上网。增加商家/医院关注度，提供后续营销平台。短信认证用户接入网络后弹出认证页面，用户输入手机号码以获取验证码，输入验证码后可以实现正常上网。临时访客认证内置临时用户信息管理系统，临时用户在有效期内可以登录，超过有效期无法登录；内置临时账号管理的二级权限系统，该系统仅能进行临时帐号的创建、管理功能证书认

20、证支持内置CA证书颁发中心，无需额外搭建证书服务器，同时支持外部证书服务器导入证书认证加密方式支持TKIP和AESMAC+用户名绑定具备自动绑定和管理员审核功能域计算机认证EAP类型支持中继模式、终结EAP-PEAP模式、终结EAP-TLS模式支持使用本地数据库使用LDAP服务器作为认证服务器用户实时同步MAC静态白名单MAC静态黑名单动态黑名单智能识别应用识别能精确识别无线流量属于具体的什么应用，设备内置应用识别规则库，支持超过1500种以上的应用，并保持每两个星期更新一次，保证应用识别的准确率URL识别设备内置海量预分类的URL地址库，支持根据URL类别实现URL控制终端识别能识别接入终端

21、的类型、操作系统，并作相应控制应用流量查询能查看基于应用的实时和一段时间的流量情况授权管理多角度的角色分配基于用户帐号/SSID/区域/接入终端的角色分配管理基于终端类型的权限控制实现基于终端类型如手机、电脑、平板等的灵活权限管控基于操作系统类型的权限控制实现基于终端操作系统如安卓、IOS、windows phone等的灵活权限管控基于具体应用的权限控制实现基于具体应用如QQ、迅雷、P2P等的权限控制基于用户角色的访问权限控制以ssid为单位灵活配置规则确定用户的用户角色以ssid为单位灵活配置规则确定用户的vlan备份双机1+1热备AC间AP快速切换双机配置同步备份配置和备份恢复实时状态显示

22、流量历史查询支持WAC及AP历史流量查询local wac状态显示支持系统状态显示动态黑名单显示AP在线、离线提醒在线用户信息显示网络攻击实时告警接口状态告警双机切换告警AP信息显示射频信息显示WLAN信息显示系统日志查询热点分析依据用户显示繁忙或空闲AP依据流量显示繁忙或空闲AP显示信号好和信号差的AP网管与配置WEB UI 配置 通过HTTPS访问AP升级计划记录用户上线、下线信息日志管理具备查看和导出系统日志功能策略故障排除功能自动更新升级重启设备、重启服务配置时间日期、NTP服务配置管理员帐号配置序列号工堪管理内置工堪图管理软件通过导入部署地场景图，在场景图上设置相应参数，然后自动或是

23、手动的生成无线网络部署热点分析图大屏显示显示AP实时动态信息实时显示每个AP位置、接入用户数、接入用户用户名等信息建筑图导入支持手动调整背景，导入建筑图，自由布放AP示意点位置页面推送根据SSID推送能够根据不同SSID推送不同页面根据AP推送能够根据不同AP推送不同页面自定义portal界面具备自定义动态页面功能根据用户组推送能够根据不同用户组推送不同页面认证前后区别推送能够在认证前和认证后推送不同页面终端自适应能够根据不同终端推送不同页面，而且可以推送合适匹配终端的尺寸页面网络优化协议栈加速针对协议栈进行加速，在无线干扰环境下，提升传输速度自动广播提速将广播包原有的发送速度提高，加快广播包的传输效率接入终端速度限制对接入终端的速度做门槛，禁止低于