无线局域网建设方案Word下载.docx
《无线局域网建设方案Word下载.docx》由会员分享,可在线阅读,更多相关《无线局域网建设方案Word下载.docx(44页珍藏版)》请在冰点文库上搜索。
设备清单及位置统计如下:
序号
设备类型
设备品牌
设备型号
放置区域
设备数量
合计
1
无线接入点AP
深信服
AP-240-P
区域1
2
6
区域2
1
AP-240-P
区域3
区域4
区域5
2
无线控制器
WAC-3100
核心机房
1
3
POE交换机
SW-GE8
2.2无线组网方式
结合用户无线网络需求情况,结合深信服产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+AC的结构化无线网络解决方案进行设计。
网络拓扑如下:
2.3信道规划
使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。
在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。
WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
2.4医院WLAN高速业务设计
2.4.1端到端的网络协议栈加速
针对干扰的无线网络环境,采用深信服独有的协议栈加速技术,客户端无需安装任何插件,只需在WAC开启单边加速功能,通过改善无线传输协议算法,无线网络的传输速度就能够提升200%以上。
有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。
2.4.2应用识别和流量控制
针对移动终端多种多样,员工运行着各种应用无法管控。
深信服无线控制器内置全国最大的应用识别库和URL库,能自动识别肿瘤生物治疗中心无线流量类型和终端类型,根据终端、应用类型设置相应的流量控制策略。
对于肿瘤生物治疗中心重要的动存系统、LIMS系统、OA等办公系统进行重点的带宽保障,防止抢占。
对于高耗流量的风行、迅雷、电驴等P2P下载,视频浏览我们可以进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障医院正常的办公网络。
2.4.3针对无线的网络优化
为了改善肿瘤生物治疗中心的无线网络,深信服针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
广播优化:
针对广播包发送机制优化,减少广播报浪费过多资源。
ARP转单播:
通过对ARP发送机制的优化提升ARP效率。
禁止DHCP包发往无线终端功能:
通过对DHCP发送机制的优化提升DHCP效率。
自动广播提速:
将广播包原有的发送速度提高,加快广播包的传输效率。
接入终端速度限制:
支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。
平均带宽分配:
支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
2.4.4智能负载均衡
针对肿瘤生物治疗中心存在办公区、会议室等部分区域人员集中的现状。
深信服WAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点,平衡负载压力,极大的提高无线网络的容量和连接可用性。
同时2.4G和5G之间可实现自动负载,提升无线接入质量。
2.4.5快速L2/L3漫游
为了实现肿瘤生物治疗中心在区域内的无线漫游、办公不中断,相对于传统FatAP方案无法有效保证跨三层的漫游,深信服无线解决方案满足优秀的L3漫游特性,用户漫游不受子网限制,保证肿瘤生物治疗中心用户在不同区域间移动而业务不中断。
2.4.6射频优化
依据肿瘤生物治疗中心不同环境,WAC可自动进行射频调整,有效避开自干扰,也可以自动进行信道调整,为AP分配不同信道避开信道间的干扰。
2.5医院WLAN全面、便捷的安全设计
2.5.1更全面的安全
针对肿瘤生物治疗中心的实际情况,深信服通过精细的权限控制,非法URL的封堵,动态黑名单、防DOS攻击、IDS等为肿瘤生物治疗中心更全面的安全防护。
2.5.1.1精细化角色识别与授权管理
针对肿瘤生物治疗中心存在各个部门不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。
根据医院的不同部,不同的终端、不同的用户划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。
2.5.1.2危险应用和URL的识别和管控
在肿瘤生物治疗中心内部,员工通过无线访问网络,有可能会出现反问非法网络的情况,给医院带来安全风险。
针对于此深信服无线控制器内置全国最大的应用识别库和URL库,能自动识别危险应用和URL,我们可针对这些危险应用和URL进行封堵和控制,从而提高公司网络的安全性。
2.5.1.3动态黑名单
无线控制器WAC会实时监控肿瘤生物治疗中心无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。
一段时间后检测如果该终端还存在攻击,则继续列入黑名单。
如果恢复正常则允许其接入。
2.5.2更便捷的安全
2.5.2.1安全、便捷的访客认证系统
二维码认证
外来访客来到肿瘤生物治疗中心接入网络后,无线设备自动向访客的终端推送肿瘤生物治疗中心的portal页面,页面中包含一个二维码,这个二维码中包含了访客终端的MAC信息。
被授予接待权限的内部员工(行政部和领导)用自己已经接入内网的终端扫描此二维码,此时无线管理设备记录下接待员工的用户名和访客的MAC地址,访客可以便可以接入网络。
临时帐号系统认证
无线使用临时用户信息管理系统,访客到来肿瘤生物治疗中心时只需在前台开设临时帐号,设定使用时间即可。
临时用户在有效期内可以登录,超过有效期无法登录;
临时账号管理系统拥有二级权限系统,该系统仅能进行临时帐号的创建、管理功能,给前台使用方便、简介。
大大减少网络管理员压力。
2.5.2.2802.1X自动配置
802.1X能有效保证肿瘤生物治疗中心网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。
对此,深信服为肿瘤生物治疗中心提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。
2.5.2.3帐号、MAC自动绑定
针对XXX存在领导等人员帐号需要重点保障的情况,深信服针对重点帐号使用帐号、MAC自动绑定。
防止越权访问的同时减少管理员繁琐的操作。
而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。
2.5.2.4统一集中管理
结合深信服WAC无线统一集中管理平台,安装前无需对设备进行任何配置,部署完成后由无线控制器统一下发配置,极大的减少实施和维护的工作量及成本。
后期维护中,通过WAC内置的图形化热点分析界面,可有效查找到问题点,轻松完成维护工作。
3、方案亮点与价值
3.1更快速、更稳定的医院业务WLAN
深信服无线通过特有的协议栈加速、射频优化、应用识别为肿瘤生物治疗中心提供高速、稳定的无线网络,提升用户体验。
并根据肿瘤生物治疗中心内部HIS、PACS、OA、邮件等业务系统进行带宽保障,建立更快速、更稳定的医院业务WLAN。
3.1.1端到端的网络协议栈加速
针对肿瘤生物治疗中心干扰的无线网络环境,方案采用深信服独有的协议栈加速技术,客户端无需安装任何插件,在WAC开启单边加速功能,通过改善无线传输协议算法,将无线网络的传输速度提升200%以上。
有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题,大幅提升肿瘤生物治疗中心无线网络速度。
3.1.2终端识别与流量控制
深信服方案通过无线控制器自动识别终端类型,根据终端类型设置相应的流量控制策略。
实现了针对终端精细的流量控制。
例如禁止手机耍微博、炒股等等。
3.1.3应用识别和流量控制
对于肿瘤生物治疗中心应用的杂乱无章,难以管控,本方案中深信服无线控制器通过内置全国最大的应用识别库和URL库,自动识别无线流量类型,并根据终端类型设置相应的流量控制策略。
对于重要的HIS、PACS、OA、邮件、财务等办公系统进行重点的带宽保障,防止了其流量被抢占。
对于高耗流量的风行、迅雷、电驴等P2P下载,视频浏览进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障了医院正常的办公网络。
3.1.4针对无线的网络优化
深信服方案针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
3.2更安全、更便捷的医院安全WLAN
3.2.1更全面的安全防护
深信服方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为肿瘤生物治疗中心提供了更全面的安全防护
3.2.1.1精细化角色授权管理
医院内部结构的复杂、网络管理也越来越难。
深信服的精细化角色授权管理针对不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。
充分保证了各自的安全,防止越权。
3.2.1.2危险应用和URL的识别和管控
调查表明75%的网络攻击来自应用层,深信服通过内置全国最大的应用识别库和URL库,自动识别危险应用和URL,并加以控制和封堵,极大的提升了网络的安全性。
3.2.2更便捷的安全管理
3.2.2.1二维码认证
通过二维码认证,访客从接入无线到通过审核、时间就在十秒之内完成,解决了便捷认证、防蹭网、责任溯源三大访客认证难点。
3.2.2.2802.1X自动配置
802.1X能有效保证肿瘤生物治疗中心网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。
对此,深信服方案为肿瘤生物治疗中心提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。
大大降低了802.1X认证的推广实施难度
3.2.2.3帐号、MAC自动绑定
为了实现针对肿瘤生物治疗中心领导等人员帐号需要重点保障的情况,深信服针对重点帐号使用帐号、MAC自动绑定。
3.4高扩展性、高可靠性
根据不同组网规模,提供多样化的产品形态,用户可根据实际灵活选择,降低组网成本,提高效益。
例如,针对中小规模网络、或者大型客户的分支机构,用户可以选择miniWAC,相较于同等性能的无线控制器,成本节省一半。
同时,由于业务扩容,无线部署时需要考虑其扩展性,初期即购买高性能无线控制器投入太大,低端无线控制器又无法满足要求。
深信服推出多样的产品形态,用户可根据组网规模按需部署。
同时,虚拟化WAC的解决方案可以部署于虚拟化服务器上,通过扩容license即可提升无线网络的规模,不必担心硬件设备淘汰浪费的问题。
双机备份机制,配置实时同步,提供动态的故障转移机制,保证用户业务不因临时故障而中断,实现业务的快速恢复,降低系统因单点故障导致网络中断的风险。
4、产品介绍
4.1无线控制器WAC系列
深信服千兆系列无线控制器是深信服自主研发的集中管理无线接入点的控制设备,集防火墙,用户认证服务器,证书颁发中心,无线射频管理软于一体。
具有多元化的认证方式,精细化的用户管理,协议优化,射频优化,二三层漫游,灵活的Q0S控制,本地转发、应用识别管控等功能。
能够减少医院部署复杂度,降低医院部署成本,为客户打造安全、快速、可运营的无线网络。
配合深信服无线AP系列,定位于中型WLAN接入业务,如:
医院、商超连锁、校园、酒店、医院等高速的wifi应用场景。
4.1.1产品规格
硬件规格
千兆系列无线控制器产品规格
硬件规格
项目
描述
型号
WAC-3100
WAC-4100
WAC-4200
WAC-4300
外形尺寸
(长×
宽×
高,单位:
mm)
275*175*44.5
430*300*44.5
430*375*44.5
430*500*89
重量
1.6kg
3.85kg
6.65kg
15.3kg
管理端口
1个命令行管理console口,1个WEB界面管理MANAGE口
业务端口
2个千兆电口
5个千兆电口
5个千兆电口;
4个SPF千兆光口
USB端口数
2个
功耗
<
20w
25w
180w
212w
输入电压
额定电压范围:
100V~240VAC;
50/60Hz
最大电压范围:
90V~264VAC;
47/63Hz
工作/存储温度
-10℃~55℃/-40℃~70℃
工作/存储湿度(非凝结)
5%~95%
硬盘
16GSSD
500GHDD
软件规格
支持特性
基础性能
缺省管理AP数
8
16
32
最大管理AP数
72/144
144/288
288/576
560/1120
License步长
在线并发用户数
>
4000
8000
15000
35000
内置认证账户数
65000
VLAN数量
0~4094
ESSID数量
802.11mac
802.11协议簇
支持802.11a/b/g/n模式
虚拟AP
支持
隐藏SSID
多国家码部署
功率、信道调整
具备自动和手动两种方式调整功能
用户在线检测
无线用户隔离
具备二层隔离和基于SSID的隔离功能
无线用户强制断连
多SSID个数
用户无流量自动老化
在线检测
具备AP和用户在线检测功能
40MHz模式的20MHz/40MHz自动切换
防火墙
新建连接数
并发连接数
数据转发
本地转发
支持:
具备SSID+VLAN的本地转发
集中转发
部分集中转发部分本地转发
漫游
二层漫游
三层漫游
IP
DHCP
支持DHCPClient,DHCP服务器,DHCP中继,DHCPSnooping
NAT
DNS代理
静态路由
策略路由
三层物理端口链路检测
二层
链路聚合
最大支持8个端口聚合
链路状态检测
ARP代理
802.1x
流量管理
基于单用户
实现基于单用户的上下行流量管控
基于应用
实现基于应用的流量保障
基于终端类型
实现基于终端类型(手机、电脑等)的流量管控
基于终端操作系统
能够实现基于终端操作系统(安卓、IOS、windowsphone等)的流量管控
基于不同无线网络
满足基于不同无线网络进行带宽权重分配
单用户流量限速
可基于不同SSID灵活设置
802.11e/WMM
射频管理
功率自动调整
功率手动调整
AP可手动功率调整,调整粒度为1dBm,调整范围为1dBm~国家规定功率范围
信道自动调整
AP负载均衡
多个AP间实现负载均衡,在双频情况下,实现2.4G和5G的双频负载
无线防广播泛洪(arp代理)
安全防御
DoS攻击防御
WIPS
接入认证
认证类型
支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加密、开放式+web认证、WPA-PSK/WPA2-PSK+web认证、WPA(医院)、WPA2(医院)、WPA/WPA2(医院)
访客终端接入无线网络后,终端自动弹出二维码页面,医院审核人通过手机扫描访客终端二维码,访客即可上网。
微信认证
用户接入无线后关注指定微信账号(商户或医院官方帐号)即可实现上网。
增加商家/医院关注度,提供后续营销平台。
短信认证
用户接入网络后弹出认证页面,用户输入手机号码以获取验证码,输入验证码后可以实现正常上网。
临时访客认证
内置临时用户信息管理系统,临时用户在有效期内可以登录,超过有效期无法登录;
内置临时账号管理的二级权限系统,该系统仅能进行临时帐号的创建、管理功能
证书认证
支持内置CA证书颁发中心,无需额外搭建证书服务器,同时支持外部证书服务器导入证书认证
加密方式
支持TKIP和AES
MAC+用户名绑定
具备自动绑定和管理员审核功能
域计算机认证
EAP类型
支持中继模式、终结EAP-PEAP模式、终结EAP-TLS模式
支持使用本地数据库
使用LDAP服务器作为认证服务器
用户实时同步
MAC静态白名单
MAC静态黑名单
动态黑名单
智能识别
应用识别
能精确识别无线流量属于具体的什么应用,设备内置应用识别规则库,支持超过1500种以上的应用,并保持每两个星期更新一次,保证应用识别的准确率
URL识别
设备内置海量预分类的URL地址库,支持根据URL类别实现URL控制
终端识别
能识别接入终端的类型、操作系统,并作相应控制
应用流量查询
能查看基于应用的实时和一段时间的流量情况
授权管理
多角度的角色分配
基于用户帐号/SSID/区域/接入终端的角色分配管理
基于终端类型的权限控制
实现基于终端类型如手机、电脑、平板等的灵活权限管控
基于操作系统类型的权限控制
实现基于终端操作系统如安卓、IOS、windowsphone等的灵活权限管控
基于具体应用的权限控制
实现基于具体应用如QQ、迅雷、P2P等的权限控制
基于用户角色的访问权限控制
以ssid为单位灵活配置规则确定用户的用户角色
以ssid为单位灵活配置规则确定用户的vlan
备份
双机1+1热备
AC间AP快速切换
双机配置同步
备份配置和备份恢复
实时状态显示
流量历史查询
支持WAC及AP历史流量查询
localwac状态显示
支持系统状态显示
动态黑名单显示
AP在线、离线提醒
在线用户信息显示
网络攻击实时告警
接口状态告警
双机切换告警
AP信息显示
射频信息显示
WLAN信息显示
系统日志查询
热点分析
依据用户显示繁忙或空闲AP
依据流量显示繁忙或空闲AP
显示信号好和信号差的AP
网管与配置
WEBUI配置通过HTTPS访问
AP升级计划
记录用户上线、下线信息
日志管理
具备查看和导出系统日志功能
策略故障排除功能
自动更新升级
重启设备、重启服务
配置时间日期、NTP服务
配置管理员帐号
配置序列号
工堪管理
内置工堪图管理软件
通过导入部署地场景图,在场景图上设置相应参数,然后自动或是手动的生成无线网络部署热点分析图
大屏显示
显示AP实时动态信息
实时显示每个AP位置、接入用户数、接入用户用户名等信息
建筑图导入
支持手动调整背景,导入建筑图,自由布放AP示意点位置
页面推送
根据SSID推送
能够根据不同SSID推送不同页面
根据AP推送
能够根据不同AP推送不同页面
自定义portal界面
具备自定义动态页面功能
根据用户组推送
能够根据不同用户组推送不同页面
认证前后区别推送
能够在认证前和认证后推送不同页面
终端自适应
能够根据不同终端推送不同页面,而且可以推送合适匹配终端的尺寸页面
网络优化
协议栈加速
针对协议栈进行加速,在无线干扰环境下,提升传输速度
自动广播提速
将广播包原有的发送速度提高,加快广播包的传输效率
接入终端速度限制
对接入终端的速度做门槛,禁止低于
升级会员 