银行WLAN覆盖方案.docx
《银行WLAN覆盖方案.docx》由会员分享,可在线阅读,更多相关《银行WLAN覆盖方案.docx(37页珍藏版)》请在冰点文库上搜索。
银行WLAN覆盖方案
苏州银行无线网络接入网
项目建议书
长城宽带网络服务有限公司苏州分公司
2014.5
一、概述
随着无线WIFI智能终端与WLAN技术的普及,WLAN的便利性已经被大多数用户认可。
为适应苏州银行业务的迅猛发展,苏州银行需要新建一张无线广域网络来承载全省多个分支机构以及营业网点日益增加的访客上网流量以及满足银行总部对全省多个分支机构实行互联网访问行为集中管控的需求。
本次网络信息系统建设采用统一部署,用户统一认证方式,建设一个连接总行与营业网点的无线高效、安全的数据通信网络,通过VPN与总部、分支机构实现安全互联,满足互联网接入审计要
1、WLAN技术介绍
无线局域网络(WirelessLocalAreaNetworks;WLAN)是相当便利的数据传输系统,它利用射频(RadioFrequency;RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身化、便利走天下」的理想境界。
对于局域网络管理主要工作之一,对于铺设电缆或是检查电缆是否断线这种耗时的工作,很容易令人烦躁,也不容易在短时间内找出断线所在。
再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路,虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。
因此,架设无线局域网络就成为最佳解决方案。
2、WLAN覆盖需求
1)计划覆盖区域
此次苏州银行建设WLAN覆盖工程主要建设区域为:
25个自助营业网点。
按照自助网点的格局,考虑推荐以室内型AP来布放终端设备。
本次使用AP专为室内组网方式设计,AP本身内置功率放大器和检波反馈回路,射频接口提供500mW高精度、高质量的射频信号,与组网时不需要再增加功率放大器,很大程度地避免了由于增加放大器而造成的信号失真,为用户提供可靠的带宽保证。
2)需求分析
利用WLAN802.11n技术实现300M无线到用户端,实现客户端全无线化,并充分考虑网络安全、支持数据、语音、视频等综合传输的高速网络。
采用统一认证,数据本地转发方式,在银行中心机房布放一台AC控制器,中心与各分支营业网点建立VPN通道实现加密性的AP上下行,AC配置安全审计功能,满足公安部82号令互联网安全接入要求。
集中管理,所有的AP都可以在中心控制器上进行维护管理,在所有AP上是真正的零配置,其接入到网络会自动和控制器建立连接,并且根据需要下载相关策略,真正做到即插即用;从全网集中管理方面,采用综合网络管理系统对全网所有的无线接入设备以及用户进行集中管理,提供当前和历史运行状态、性能报告、以及专家诊断和故障告警等功能。
提供特定的SSID接入,此次项目主要满足营业网点VIP或访客上网需求,用户认证方式采用WEBPortal认证方式,支持终端自适应页面,支持个性化页面推送,支持手机账号+短信密码方式登录。
整网可进行统一可视化管理。
3)无线局域网技术发展情况
无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展:
第一代无线局域网主要是采用FatAP,AP本身储存了大量的网络和安全的配置,包括加密的密钥,认证报文终结等,而AP又是分散在各处的,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。
特别是在管理方面,每一台AP都要单独进行配置,费时、费力、费成本;
第二代无线局域网采用无线控制器(AC)和FITAP的架构,对传统WLAN设备的功能做了重新划分,将无线网络和安全处理功能转移到集中的无线控制器中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、RF监测、无缝漫游等。
这时,AP只作为无线数据的收发设备,所有对无线数据的处理都放在无线控制器中实现,这种组网模式大大简化了AP的管理和配置功能,甚至可以做到“零”配置,完全解决了第一代无线局域网AP配置和管理复杂的难题。
但第二代无线局域网将所有功能都集中到无线控制器中,无线网络和有线网络在逻辑上完全是两张不同的网络,有线和无线的网管都是分离的,无法进行有线网络和无线网络的有效融合,网络管理和维护的成本依然很高。
第三代无线局域网依然采用无线控制器(AC)和FITAP的架构,但它基于有线、无线一体化组网的理念,对第二代无线网络做了很多改进。
包括统一的QoS策略部署,分布式加密,丰富的转发类型,有线、无线统一网管等功能。
第二代无线局域网采用集中式转发,所有的数据流都要经过无线控制器,这样以来AC容易成为网络瓶颈,并且AP与AC之间大量的数据流占用了宝贵的城域网带宽;第三代无线局域网提供更加丰富的转发类型,可以根据需要选择进行本地转发、集中式AC转发和跨AP转发等多种模式,AP的控制流和用户的数据流分开,极大程度的优化了带宽资源分配,减少了网络转发时延,保证了语音数据流的快速交换。
第三代无线局域网将无线网络和有线网进行无缝融合,在减少了无线网络管理和维护费用的同时更加增强了无线网络的性能,为办公提供精细的用户管理。
通过有线、无线一体化的管理平台,办公可以非常清楚的看到无线网络的运营状况,无线客户的流量和用户的上网习惯,从而可以选择是否要调整热点地区的AP数量。
可以说,第三代无线局域网不但满足了办公对无线网络可运营、可管理的需求,还增加了很多丰富的功能,为办公提供了更加丰富的运营模式选择,将是未来热点地区WLAN网络建设的优选方案
4)AP点位统计
苏州WLAN设备数量统计
编号
网点
单位
设备名称
数量
备注
1
自助网点
台
无线AP
25
每自助网点一台
2
中心网点
台
AC无线控制器
1
最大管理512个AP
3
自助网点
台
POE交换机
25
每自助网点一台,建议9口
4
中心网点
套
网管/认证系统
1
最大1000并发用户
说明:
需要根据现场情况增加或减少设备。
5)AP数量统计
本次苏州银行WLAN覆盖工程共设计室内型AP25台,POE交换机25台,AC主控器1台。
二、设计思路与依据
工程设计依据:
Ø中国电信《移动电话室内布线系统方案设计暂行规定》;
Ø《800MHzCDMA数字蜂窝移动通信系统设备总技术规范第二部分:
基站子系统(暂行规定)》,YD/T1029-1999;
Ø《800MHzCDMA数字蜂窝移动通信系统设备总技术规范第三部分:
移动台(暂行规定)》,YD/T1028-1999;
ØCCITT和STD28标准;
Ø电磁环境卫生按联合国世界卫生组织(WTO)与中华人民共和国国家标准GB9175-88<环境电磁卫生标准>;天线口的辐射功率≤15dBm。
Ø无线WLAN通信工程设计规范;
Ø无线WLAN通信工程施工要求及验收规范;
ØGB/T50311-2000建筑与建筑群综合布线系统工程设计规范;
ØGB/T50312-2000建筑与建筑群综合布线系统工程验收规范;
Ø现场勘查、测试数据和资料。
三、网络安全及管理需求
1)要求WLAN网络具备多个层面的安全性:
设备层面、接入层面。
●要求AP支持丰富的安全特性:
●支持64、128位WEP加密,WPA,802.11i和WAPI
●支持AP上二层转发抑制,以做用户隔离
●支持虚拟AP(多SSID)之间的隔离
●支持报文过滤
●支持802.1X认证、MAC地址认证、PPPoE认证
●支持MAC地址过滤
●要求系统能检测非法入侵的AP。
苏州银行除了要对用户的身份加以认证外,还必须保证所有人的通信不会被中间人截获、窃听甚至篡改。
这就要求该无线网络必须拥有较强的加密能力。
本公司AP设备支持目前最先进的各种加密算法AES,并支持802.11和802.11i中规定的各种加密模式,包括WEP、TKIP和CCMP等,完全可以满足用户的安全需要。
当用户使用这些加密方式时,其他人使用任何设备均不可能破解用户传输的内容。
2)网络管理需求
●要求本次WLAN设备可集中管理。
●要求支持通过标准网络管理协议SNMP对WLAN设备做管理。
●要求支持本地维护和远程维护。
作为接入层网络,苏州银行的无线网络需要较多的AP,维护工作量较大,加之无线网络的灵活性和不可见性,如果对每个AP进行单独管理则会造成较高的维护开销,也给管理人员带来了一定的难度。
而且无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。
无线业务管理器应能对无线网络中的AP、AC等设备作到统一管理。
无线业务管理器依托管理智能管理平台,实现有线无线一体化的管理,在系统全面的有线网络管理的基础上,为用户提供无线网络管理能力。
用户无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。
四、WLAN建设方案
1.建设原则
结合WLAN的实际应用和发展要求,WLAN系统设计主要遵循以下系统总体原则:
◆实用性原则:
以现行需求为基础,充分考虑发展的需要来确定系统规模。
◆安全性原则:
大楼内有关数据有一定的安全需要,需要有加密和认证的机制。
不能随意被外来人员接入。
◆可靠性原则:
系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
◆成熟和先进性原则:
由于WLAN应用于运营网络仍然属于新兴技术,需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。
◆规范性原则:
系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和移动WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
◆开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
◆可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
◆可管理性原则:
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
2.组网方案
根据上述苏州银行WLAN网络建设的各项需求,这里采用FITAP室内覆盖式组网模式:
(1)在上述要求的各网点部署AP,实现用户移动端的无线接入;
(2)所有AP统一采用PoE方式供电;楼PoE交换机负责AP的接入和供电。
所有POE交换机通过上行电口接入到运营商在苏州银行已经布放的链路上。
(3)Internet链路接入,由根据现有情况考虑增加现有30M长城宽带出口;
(4)AC无线控制器作为苏州银行WLAN网络的核心,负责所有AP的集中管理、数据交换、安全加密等功能。
苏州银行WLAN组网示意图
(5)室内系统之间的干扰问题
由于WLAN信道有限为1~13,为解决相邻信道频率之间的干扰,在AP点信道使用时取1、6、11进行重复使用。
五、方案特点
✧全面的WLAN覆盖效果,确保苏州银行WLAN服务质量
✧集中统一的WLAN网络管理,便于维护
✧企业级的WLAN设备,具备可靠性,确保WLAN网络的稳定性
✧FITAP组网方案,具备非常丰富的智能特性,如智能负载均衡、智能射频管理等
✧层次化的WLAN安全部署(设备具备丰富的安全特性、用户通过认证才能接入),确保WLAN网络的高安全
✧WLAN整体优势:
强大的研发团队,自主知识产权,快速响应客户需求;完善的服务体系,本地化的售后服务和备件库。
六设备选型及产品介绍
1.主设备AC无线控制器
1)产品外观正面视图:
2)产品(220VAC)外观背面视图:
3)产品接口如下图所示:
1)AC产品概述
128盒式AC(AC,AccessController,接入控制器)是本公司自主开发的高可靠、高性能的无线接入控制器产品,具备功能全面、性能稳定、业务丰富等特点,提供强大的WLAN接入管理与控制能力,提供VLAN、QoS、DHCP等业务支持能力,提供用户接入管理与控制能力,支持用户漫游及切换等功能,支持鉴权与计费接口。
采用了集成的软硬件一体化设计,与本公司的系列无线接入点设备(AP,AccessPoint)产品配套使用,支持最多512线AP接入与管理,支持8K个用户接入网络,支持最大4GMbps的CAPWAP数据吞吐量。
2)产品规格描述
类别
规格项
规格描述
系统容量
主要容量参数
•AP数目:
512
•用户数目:
8K
•吞吐量:
4Gbps
其他参数
•VLAN数目:
4094
•ACL规则数目:
20*64
•MAC表容量:
2K
•路由表容量:
32K
•时延:
60~120us
•时延抖动:
30us
通信协议
物理层MAC层协议
802.1d、802.1s、802.1p、802.1q、802.1w、802.3、802.3ab、802.3u、802.3x、802.3z、ARP、ReverseARP、multi-LANARP/ProxyARP
802.11系协议
802.11n、802.11b、802.11a、802.11g、802.11d、802.11h、802.11i、802.11e
IP层及上层协议
RFC768UDP、RFC791IP、RFC792ICMP、RFC793TCP、RFC854Telnet、RFC1191PathMTUDiscovery、RFC1542BOOTP、RFC1519ClasslessInter-DomainRouting(CIDR)、RFC1812IProuterrequirements、RFC2236IGMP&IGMPv2
接入控制与安全
无线接入安全
•开放系统
•支持WEP
•支持WPA/WPA2PSK
•支持802.1x
•支持802.11i
•支持WAPI
认证计费
•支持PPPoE认证
•支持Portal认证
•支持AAA计费
网络安全
•支持DDOS预防
•支持ACL
•支持无线IPS/IDS,包括非法AP检测、非法终端检测
AAA
•RADIUSClient
•支持认证服务器多域配置
•支持认证/记费服务器主备连
•支持认证和计费服务器分离
业务安全
•用户业务隔离
•支持白名单
•支持静态/动态黑名单
网
络
功
能
IP路由相关功能
•DHCPServer/Client/Relay
•NTPServer、
•IP静态路由
•RIPv1、RIPv2功能;
•NAT/NPAT
AP/AC之间组网
•AP/AC之间通过三层安全隧道进行连接
•二层业务的集中交换、分布式交换和混合交换
漫游
•支持AC内、跨AC漫游能力
外部网络互联
•AC与外部网络之间采用二层转发或三层转发
•二层转发支持STP协议,支持802.1Q
•三层转发支持RIP2/OSPF协议
转发模式
•支持集中转发,所有业务集中到AC上进行转发
•支持分布式转发,部分AP或SSID的业务在瘦AP本地转发
设
备
管
理
网管通道
•支持基于WEB/SSH的本地关联
•支持通过SNMP接入远程管理
•支持通过OMC进行全网的统一管理
网管功能
•通过AC集中对AP进行配置,AP零配置运行。
•通过AC集中获得设备运行状态和告警信息。
•通过AC集中对网络性能参数进行测量。
•通过AC检测网络拓扑(包括MESH拓扑),上报到网管中心。
•通过AC集中对软件版本进行管理
•通过AC支持远程版本升级、批量版本升级、定时版本升级
•支持自动版本升级
日志管理
•设备运行日志管理
•设备操作日志管理
SNMP协议
支持SNMPv2/v3协议,支持以下标准MIB:
•基于TCP/IP的互联网管理信息库MIB-II(RFC1213)协议
•MIB-II接口组的发展(RFC1573)协议
•类似以太网接口类型的管理对象定义(RFC1643)协议
•ISO/IEC8802-11:
1999、IEEE802.11b、ISO/IEC8802-11:
1999/Amd1:
2000、IEEE802.11g和IEEE802.11i定义的MIB
Q
o
S管理
用户流量控制
•支持基于域的用户流量控制(以VLAN、SSID作为配置域)
•支持用户级流量控制,根据Radius服务器的签约信息进行流控
业务优先级
•支持802.11e,对不同优先级的业务提供不同的服务
•支持根据SSID映射用户QOS等级
•支持802.1p,二层报文的优先级映射
负荷均衡控制
•支持基于优先级和负荷的AP/AC关联
•支持相邻AP之间基于用户数和流量的负荷均衡
智能射频管理
自动信道
•支持静态信道配置
•支持AP上电时的自动信道配置
•支持AP运行过程中的自动信道配置
•可配置自动信道选择列表
自动发射功率
•静态发射功率设置
•支持自动发射功率,以进行覆盖补偿
•支持基于STA的自动发射功率,以提高系统吞吐量
自动速率
•基于STA的自动速率选择
•支持最大发射速率限制功能
可靠性
AC冗余
•基于负荷分担的N+1备份
•正常情况下,各AC采用负荷分担策略
•AC故障状态时,负荷切换到其他AC,切换策略可配置
•端口冗余:
支持多端口捆绑功能
Ø集中的无线网络管理
AC可以根据容量需求独立部署,也可以与WLAN3000认证和计费平台配套部署,提供电信级的网络管理,可以对AP进行管理,也可以对用户进行管理,简化了运营网络的部署和维护。
Ø集中的无线网络安全
无线网络安全支持WEP/WPA/WPA2/802.1x方式,支持无线IPS/IDS,支持二层用户的隔离,支持集中的ACL控制。
支持多种认证方式:
支持802.1x认证,支持MAC地址认证,Portal认证,PPPoE认证与WAPI方式认证。
支持非法AP检测及后续处理,支持无线攻击防御,支持静态黑白名单,减少非法用户对无线网络冲击。
Ø运营级无线用户管理
以用户为颗粒度,实现用户鉴权、接入与计费等,支持用户的地理定位能力,支持用户QoS流量控制能力,支持基于MAC的接入控制,支持基于MAC的VLAN控制,满足无线网络运营的需求。
支持用户漫游、切换能力,支持层3与层2漫游与切换能力,实现在漫游切换场景下统一计费能力。
Ø灵活的业务流交换方式
GB系列AC与AP支持二层和三层的路由组网,支持集中交换、分布式交换、混合交换等交换方式,满足运营网络的多种组网需求。
Ø智能无线资源管理
支持无线信道频点、功率、速率与无线高级参数配置的管理,支持无线信道智能切换,支持无线功能智能调整,支持用户负荷分担,最大程度提高无线资源使用效率。
Ø全面的业务QoS保证
支持报文分类和流量控制,支持DSCP流量调度,支持端到端的QoS映射,支持802.11e,支持负荷均衡和接纳控制。
Ø系统冗余备份功能
GB系列AC支持1+1方式热备份能力,支持N+1方式的冗余备份功能,提高系统的高可靠性。
Ø硬件特性
符合EIARS-310C上架标准,1U高,可安装在19英寸标准机架上。
工业级硬件设计,全钢结构设计,满足高可靠性和大容量处理要求。
网络接口,4个千兆电口(RJ45)。
220VAC供电。
2.AP无线接入终端
产品前视图
产品后视图
1)概述
无线接入点是本公司为室内无线应用环境设计的单频1×1无线接入点。
GB产品形态丰富多样,满足用户在各种室内应用环境下对无线接入的需求。
另外,产品还具备丰富的移动、安全和管理特性,通过配合无线控制器设备可为用户提供基于零配置的安全移动网络。
产品特点
类别
规格项
规格描述
无
线
特
性
无线模块
模块1:
802.11b/g/nSISO1×1
工作频段
802.11b/g/n:
2.412~2.472GHz,13个信道(3个非重叠信道)
调制速率
802.11b:
11,5.5,2,1`Mbps,DSSS;
802.11g:
54,48,36,24,18,14,9,6Mbps,OFDM;
802.11n:
MCS0~MCS15,OFDM;
最大发射功率
2.4G:
27dBm
接收灵敏度
802.11b
-93dBm@1Mbps
-91dBm@2Mbps
-
-87dBm@11Mbps
802.11g
-91dBm@6Mbps
-90dBm@9Mbps
-87dBm@12Mbps
-85dBm@18Mbps
-82dBm@24Mbps
-78dBm@36Mbps
-73dBm@48Mbps
-72dBm@54Mbps
802.11n
2.4G
HT20
-85dBm@MCS0/MCS8
-82dBm@MCS1/MCS9
-80dBm@MCS2/MCS10
-77dBm@MCS3/MCS11
-73dBm@MCS4/MCS12
-69dBm@MCS5/MCS13
-68dBm@MCS6/MCS14
-67dBm@MCS7/MCS15
HT40
-82dBm@MCS0/MCS8
-79dBm@MCS1/MCS9
-77dBm@MCS2/MCS10
-74dBm@MCS3/MCS11
-73dBm@MCS4/MCS12
-70dBm@MCS5/MCS13
-66dBm@MCS6/MCS14
-64dBm@MCS7/MCS15
组
网
多SSID
最大支持16个SSID
组网方式
多种方式灵活组网:
胖AP:
各自独立工作
瘦AP:
与AC协调工作
QoS
QoS
支持802.11e
支持TOS映射
支持流量控制
安
全
无线安全接入控制列表
OpenSystem
WEP64/128BITS
WPA、WPA2
802.1x
WAPI
MAC地址过滤
支持基于协议、IP地址、协议端口的过滤
VLAN
802.1Q
管理
内置WEB服务器
使用直接方便
SNMP协议
支持SNMPv2c/v3接口
空口接入管理
可以通过空中接口进行管理
网络级管理
通过网络管理系统,对多个AP进行全网管理
◆严格的安全性
(11N)室内无线接入点完全遵循业界安全标准进行设计,提供包括WEP、WPA、WPA2、802.11i在内的数据认证加密标准。
并提供MAC、WEB、802.1x认证和非法AP检测、无线用户隔离、无线用户黑白名单等安全特性,为用户提供稳定的无线安全应用环境。
◆即插即用的零配置部署
(11N)室内无线接入点支持即插即用的零配置部署特性。
利用该特性,网络管理员可通过无线控制器对网络中的GB(11N)设备进行集中化统一管理,实现设备软件版本的自动升级、配置数据的自动下发、射频参数的自动调整,极大减轻网络的建