構建WLAN網絡面臨的挑戰

無線有別于傳統的有線網絡，無線網絡的所有數據都在空氣中傳輸，干擾避免、網絡管理、安全接入的邊界及方式相較有線網絡環境更加難以控制，這就為金融企業的IT管理帶來了新的難題，如何在保障企業新業務戰略推廣和安全風險可控兩個方面之間取得平衡？IT管理者在探索WLAN接入技術時面臨著如下的挑戰：

1、 如何使無線網絡和有線網絡一樣安全可控、管理可視？

2、 如何提高內、外部用戶的使用體驗？

3、 WLAN產品及解決方案眼花繚亂，我們是否可以像有線網絡一樣來部署我們的WLAN接入網？

4、 部署WLAN之后，投資回報是否能達到預期？WLAN接入網絡，是否會落入看上去很美的境地？

金融WLAN安全接入解決方案

一級分行/分公司WLAN接入網絡架構采用AC無線控制器-AP接入集中式組網模式。AC在一級分行/公司；一級分行/公司、二級分行/中支公司、網點部署AP，AP、AC之間通過CAPWAP(Controlling and Provisioning of Wireless Access Point無線接入點控制與供應)隧道進行通信，終端和AC之間采用AES128位加密算法進行加密確保傳輸數據的安全，認證服務器、集中管理平臺統一部署在一級分行/公司，對全網的接入終端進行統一認證、對AC、AP及進行集中監控配置與監控。

1 安全性設計

1.1 SSID隱藏技術

采用隱藏SSID方式降低SSID廣播帶來的安全隱患；

1.2 用戶、設備合法性識別

1）身份合規性檢查

采用802.1X用戶接入時即需要認證，用戶可采用安全證書、一次性口令（OTP）、AD域用戶數據對接、或固定設置的用戶名口令作為接入網絡的憑據進行接入，認證通過的用戶允許接入網絡，而未進行認證的客戶被拒絕接入。

我們的WLAN產品已和各大行的統一認證平臺均完成對接，全面的支持業界所有WLAN安全接入方式。

2）終端合規性檢查

認證平臺可采用MAC地址、用戶名和SSID綁定的方式，很好的保證了接入用戶設備的合法性，確保合法的人使用固定的終端接入特定的場景。

3）AP設備合規性檢查

AC無線控制器端，采用白名單管理AP的方式，對接入的AP進行統一管理，在后續擴展AP的時候，應首先在AC端添加新增AP的MAC地址。防止不合規的AP隨意接入企業網絡。

1.3 鏈路加密

采用WPA2+AES的方式實現數據的加密，確保數據的機密性。WPA2密鑰長度為128 位，解決了傳統加密算法密鑰長度過短的問題，而且在WPA2中，RADIUS 服務器解決了認證過程中的單一密碼機制。即用戶在接入無線網絡前，首先需要提供相應的身份證明，通過與用戶身份數據庫中的認證信息進行比對檢查，以確認是否具有權限并向客戶端動態分發用于加密數據的密鑰。

我們的網絡同時是WAPI聯盟的成員，根據終端支持WAPI的普遍性情況及用戶后端認證基礎平臺的完善情況，可采用WAPI加密方式進一步保障數據的機密性和完整性。

1.4 終端隔離

在金融無線接入環境下，如果不采用終端隔離技術，將會出現相互影響的情況，一方面終端之間傳輸大容量文件會嚴重損耗AP的資源，另外一方面任意互訪有可能造成惡意數據竊取，發送病毒文件等情況，將嚴重威脅網絡安全。

我們的網絡采用AC上的終端訪問隔離技術，可以通過靈活設置，有效杜絕終端間的互訪，最大限度確保接入安全。

1.5 流氓AP的攻擊檢測與反制

無線網絡的無線信號在開放的區間進行傳播，很可能受到非法AP的攻擊，通過使用非法AP誘騙銀行用戶接入并伺機盜取用戶的密碼，或者非法用戶采用大量的無線攻擊來影響網絡，都會帶來嚴重個人損失，為企業帶來惡劣的社會影響。

銳捷網絡采用基于有線，無線的一整套非法AP和非法用戶的防御體系，為您構建最安全的無線接入網絡。

1.6 短信安全開戶

金融用戶使用WLAN網絡來為本行/公司的客戶提供上網服務，如果提供固定的用戶名和密碼的安全簡易發放存在問題，借助銳捷網絡的短信注冊和短信密碼發布方案，用戶可以通過手機來獲取密碼，輕松訪問無線網絡。

同時該賬號，密碼均支持過期時間設置，還可以和銀行用戶的銀行卡號，保險用戶的行駛證編號等實現綁定。

2.2 穩定性設計

2.1 AC冗余設計

為了保證網絡的可靠性，金融企業都會建立同城或異地跨城域網/廣域網的災備系統進行業務網絡的備份，網絡的金融WLAN解決方案支持完備的N+1熱備方式，可以非常好的支持金融的跨廣域網熱備，來充分保證網絡的高可靠性。

通過多隧道技術和快速感知切換技術，網絡將跨局址的N+1熱備縮短到50ms以內，在主備AC切換的過程中，用戶的網絡訪問不受影響。

2.2 AP冗余設計

利用AP之間的盲區自動覆蓋功能，當某一個AP出現故障時，周邊的AP可以檢測到問題AP覆蓋出現的盲區而適時增大覆蓋面積以填補盲區；當AP出現硬件故障，更換AP時無需任何配置，AP上電后會自動加載并獲取相應配置，減少管理和維護的難度。

2.3 移動用戶漫游設計

在金融網點營銷和辦公系統無線網絡中，經常會有用戶攜帶無線終端不斷的走動的情況，如何保證移動中的用戶也能穩定接入無線網絡？我們的的WLAN設備可以很好的支持同一AC下和不同AC下跨2層或3層網絡的快速漫游，通過AC和AP之間的快速漫游數據交互，提供用戶穩定，快速的漫游體驗。

2.4 信道自動調節設計

無線網絡采用公開的頻段，不可避免的會受到干擾，而干擾是降低無線網絡性能的最主要因素，嚴重時甚至影響整個網絡的正常運行。
我們的WLAN設備可以通過實時掃描周邊的無線環境，智能調整為干擾最低的信道進行工作，同時還支持降低功率來減少覆蓋重疊、提升功率來彌補覆蓋盲區等功能。

3 無線接入可視化管理設計

在無線接入環境下，由于接入位置的不確定性，無線信號在空氣中傳播難以捕捉等特性，為無線網絡的管理帶來很大的難度，我們的網絡系統支持有線、3G、WLAN一體化管理，同時支持集中配置無線設備，還支持全方位監控AC、AP及接入終端的運行情況，為用戶實現可視化管理無線網絡。

3.1 輕松一覽全局

通過一張圖表可有效地幫助網絡管理人員很清晰的看出整個無線網絡的運行情況。

3.2 無線熱圖分析

無線熱圖分析可有效地幫助網絡管理人員很清晰的看出無線覆蓋區域的無線信號覆蓋情況，可根據自己的喜好定義不同的顏色，可協助網絡管理人員進行AP的部署是否合理？干擾、信號盲點、設備帶機數量及性能進行有效的判斷。

3.3 頻譜分析

當802.11客戶端或AP設備在通訊過程中遇到干擾源干擾時，會造成整體網性能下降，導致共享同一AP的用戶體驗變差。頻譜分析很好地是檢測RF（微波爐、無繩電話和藍牙設備）信號的有效工具，為WLAN的性能提供重要的基礎保障。

3.4 AP超忙閑統計

通過設置AP的忙閑率統計，了解哪些AP使用頻度高，哪些使用頻度低協助決策如何合理利用AP，達到最優的投入產出比。

3.5 一鍵快速定位故障

當無線網絡中有人上報故障時，如何快速定位故障？通過對設備信息、用戶信息可以進行靈活搜索，定位故障信息點？對關鍵設備的故障信息如何快速的查看？通過對關鍵設備相關信息進行搜索，可以查看關鍵設備的相關故障信息。

3.6 AP地理位置定位

AP的詳細地理位置描述，清楚查看具體位置；由實施人員通過實施表格的方式導入到系統，一次導入永久管理，并且可隨時修改。

4 提升使用體驗的方案設計

4.1 網絡智分部署方案

在金融用戶的辦公大樓環境中，不可避免會遇到領導辦公室、會議室場景，此類場景下可能會采用鋼混加固墻壁、防盜門、走廊側無窗設計等，而傳統的樓道放裝AP的無線部署，無線信號就需要穿透墻壁來對房間內進行覆蓋。墻壁對無線信號的損耗根據墻壁的厚度不同而有所區別，一般損耗都在20~30dB，傾斜的入射角度損耗更加嚴重。而且更有可能存在入戶廁所的房間格局，這樣無線信號就需要穿透多層墻壁才能到達房間內，實測的信號強度基本上都遠<-60dBm。很大程度上影響了用戶的使用體驗。

采用內置智能功分模塊，可以對單路射頻卡上的發射功率進行1分多處理，相比傳統的室分系統省去了多級硬件功率分配單元和耦合單元。每臺設備自帶八個RP-SMA接口，配合我們的系列低損連接線纜，最大可將天線延伸至15米遠的房間內，再通過美化天線進行無線覆蓋，進行8個房間雙頻單流或4個房間的雙頻雙流覆蓋，不僅保證了每個房間內的信號強度同時也滿足了高流量的用戶覆蓋。

傳統的無線都是單獨的布放，需要獨立的有線網絡和設備安裝位置，銳捷推出的網線面板式AP，可以利用原有的有線網絡，采用隱蔽入墻的微型AP，實現無線覆蓋。

該方式可以有效的解決AP信號進入室內的問題，同時安裝美觀，實施非常簡單，非常適合辦公、金融網點的美化安裝。

4.2 靈動天線技術

1）1677萬種天線路徑組合，覆蓋無死角

2）天線路徑高速切換，讓信號隨你而“動”

無論如何移動，都有最佳的信號路徑伴你左右，這是X-sense靈動天線技術的又一大特色。無需人工干預，X-sense憑借其強大的運算性能，可以在1毫秒內完成300次指向終端的信號路徑切換，即便在快速奔跑狀態下也能保證時刻都有最佳的信號與你同“行”。

3）終端接入優化設計，全面提升用戶體驗

當你接入無線網絡時，X-sense會快速、準確的識別到你的終端類型，如果是使用功率較低的手機、平板電腦等移動終端時，X-sense能夠通過動態信號補償技術，針對移動終端提升接收靈敏度、增加重傳，保證所有的終端都能獲得最優的接入效果，同時，X-sense通過動態天線組合，更可將信號強度提升至普通天線的3倍。

4.3 終端界面自適應

當您使用移動終端接入無線網絡時，經常會遇到彈出門戶網站（Portal）要求認證的情況。我們的的WLAN產品，能根據終端特點，智能識別終端類型，推送最適合您屏幕顯示的頁面，省去了縮放、拖動屏幕的繁復操作，為用戶提供更加簡單灑脫的無線體驗。該功能目前已全面支持蘋果iOS、安卓和Windows等智能終端操作系統。

4.4 終端二維碼掃描接入

當訪客來到辦公區的時候，如何快速開戶同時加強用戶體驗？

• 客人連接上無線，系統生成專用二維碼
• 負責接待員工使用任意二維碼軟件進行掃描
• 客人和接待者收到系統信息成功，訪客即可訪問網絡
• 系統保留日志系統，備案可查