构建WLAN网络面临的挑战

无线有别于传统的有线网络，无线网络的所有数据都在空气中传输，干扰避免、网络管理、安全接入的边界及方式相较有线网络环境更加难以控制，这就为金融企业的IT管理带来了新的难题，如何在保障企业新业务战略推广和安全风险可控两个方面之间取得平衡？IT管理者在探索WLAN接入技术时面临着如下的挑战：

1、 如何使无线网络和有线网络一样安全可控、管理可视？

2、 如何提高内、外部用户的使用体验？

3、 WLAN产品及解决方案眼花缭乱，我们是否可以像有线网络一样来部署我们的WLAN接入网？

4、 部署WLAN之后，投资回报是否能达到预期？WLAN接入网络，是否会落入看上去很美的境地？

金融WLAN安全接入解决方案

一级分行/分公司WLAN接入网络架构采用AC无线控制器-AP接入集中式组网模式。AC在一级分行/公司；一级分行/公司、二级分行/中支公司、网点部署AP，AP、AC之间通过CAPWAP(Controlling and Provisioning of Wireless Access Point无线接入点控制与供应)隧道进行通信，终端和AC之间采用AES128位加密算法进行加密确保传输数据的安全，认证服务器、集中管理平台统一部署在一级分行/公司，对全网的接入终端进行统一认证、对AC、AP及进行集中监控配置与监控。

1 安全性设计

1.1 SSID隐藏技术

采用隐藏SSID方式降低SSID广播带来的安全隐患；

1.2 用户、设备合法性识别

1）身份合规性检查

采用802.1X用户接入时即需要认证，用户可采用安全证书、一次性口令（OTP）、AD域用户数据对接、或固定设置的用户名口令作为接入网络的凭据进行接入，认证通过的用户允许接入网络，而未进行认证的客户被拒绝接入。

我们的WLAN产品已和各大行的统一认证平台均完成对接，全面的支持业界所有WLAN安全接入方式。

2）终端合规性检查

认证平台可采用MAC地址、用户名和SSID绑定的方式，很好的保证了接入用户设备的合法性，确保合法的人使用固定的终端接入特定的场景。

3）AP设备合规性检查

AC无线控制器端，采用白名单管理AP的方式，对接入的AP进行统一管理，在后续扩展AP的时候，应首先在AC端添加新增AP的MAC地址。防止不合规的AP随意接入企业网络。

1.3 链路加密

采用WPA2+AES的方式实现数据的加密，确保数据的机密性。WPA2密钥长度为128 位，解决了传统加密算法密钥长度过短的问题，而且在WPA2中，RADIUS 服务器解决了认证过程中的单一密码机制。即用户在接入无线网络前，首先需要提供相应的身份证明，通过与用户身份数据库中的认证信息进行比对检查，以确认是否具有权限并向客户端动态分发用于加密数据的密钥。

我们的网络同时是WAPI联盟的成员，根据终端支持WAPI的普遍性情况及用户后端认证基础平台的完善情况，可采用WAPI加密方式进一步保障数据的机密性和完整性。

1.4 终端隔离

在金融无线接入环境下，如果不采用终端隔离技术，将会出现相互影响的情况，一方面终端之间传输大容量文件会严重损耗AP的资源，另外一方面任意互访有可能造成恶意数据窃取，发送病毒文件等情况，将严重威胁网络安全。

我们的网络采用AC上的终端访问隔离技术，可以通过灵活设置，有效杜绝终端间的互访，最大限度确保接入安全。

1.5 流氓AP的攻击检测与反制

无线网络的无线信号在开放的区间进行传播，很可能受到非法AP的攻击，通过使用非法AP诱骗银行用户接入并伺机盗取用户的密码，或者非法用户采用大量的无线攻击来影响网络，都会带来严重个人损失，为企业带来恶劣的社会影响。

锐捷网络采用基于有线，无线的一整套非法AP和非法用户的防御体系，为您构建最安全的无线接入网络。

1.6 短信安全开户

金融用户使用WLAN网络来为本行/公司的客户提供上网服务，如果提供固定的用户名和密码的安全简易发放存在问题，借助锐捷网络的短信注册和短信密码发布方案，用户可以通过手机来获取密码，轻松访问无线网络。

同时该账号，密码均支持过期时间设置，还可以和银行用户的银行卡号，保险用户的行驶证编号等实现绑定。

2.2 稳定性设计

2.1 AC冗余设计

为了保证网络的可靠性，金融企业都会建立同城或异地跨城域网/广域网的灾备系统进行业务网络的备份，网络的金融WLAN解决方案支持完备的N+1热备方式，可以非常好的支持金融的跨广域网热备，来充分保证网络的高可靠性。

通过多隧道技术和快速感知切换技术，网络将跨局址的N+1热备缩短到50ms以内，在主备AC切换的过程中，用户的网络访问不受影响。

2.2 AP冗余设计

利用AP之间的盲区自动覆盖功能，当某一个AP出现故障时，周边的AP可以检测到问题AP覆盖出现的盲区而适时增大覆盖面积以填补盲区；当AP出现硬件故障，更换AP时无需任何配置，AP上电后会自动加载并获取相应配置，减少管理和维护的难度。

2.3 移动用户漫游设计

在金融网点营销和办公系统无线网络中，经常会有用户携带无线终端不断的走动的情况，如何保证移动中的用户也能稳定接入无线网络？我们的的WLAN设备可以很好的支持同一AC下和不同AC下跨2层或3层网络的快速漫游，通过AC和AP之间的快速漫游数据交互，提供用户稳定，快速的漫游体验。

2.4 信道自动调节设计

无线网络采用公开的频段，不可避免的会受到干扰，而干扰是降低无线网络性能的最主要因素，严重时甚至影响整个网络的正常运行。
我们的WLAN设备可以通过实时扫描周边的无线环境，智能调整为干扰最低的信道进行工作，同时还支持降低功率来减少覆盖重叠、提升功率来弥补覆盖盲区等功能。

3 无线接入可视化管理设计

在无线接入环境下，由于接入位置的不确定性，无线信号在空气中传播难以捕捉等特性，为无线网络的管理带来很大的难度，我们的网络系统支持有线、3G、WLAN一体化管理，同时支持集中配置无线设备，还支持全方位监控AC、AP及接入终端的运行情况，为用户实现可视化管理无线网络。

3.1 轻松一览全局

通过一张图表可有效地帮助网络管理人员很清晰的看出整个无线网络的运行情况。

3.2 无线热图分析

无线热图分析可有效地帮助网络管理人员很清晰的看出无线覆盖区域的无线信号覆盖情况，可根据自己的喜好定义不同的颜色，可协助网络管理人员进行AP的部署是否合理？干扰、信号盲点、设备带机数量及性能进行有效的判断。

3.3 频谱分析

当802.11客户端或AP设备在通讯过程中遇到干扰源干扰时，会造成整体网性能下降，导致共享同一AP的用户体验变差。频谱分析很好地是检测RF（微波炉、无绳电话和蓝牙设备）信号的有效工具，为WLAN的性能提供重要的基础保障。

3.4 AP超忙闲统计

通过设置AP的忙闲率统计，了解哪些AP使用频度高，哪些使用频度低协助决策如何合理利用AP，达到最优的投入产出比。

3.5 一键快速定位故障

当无线网络中有人上报故障时，如何快速定位故障？通过对设备信息、用户信息可以进行灵活搜索，定位故障信息点？对关键设备的故障信息如何快速的查看？通过对关键设备相关信息进行搜索，可以查看关键设备的相关故障信息。

3.6 AP地理位置定位

AP的详细地理位置描述，清楚查看具体位置；由实施人员通过实施表格的方式导入到系统，一次导入永久管理，并且可随时修改。

4 提升使用体验的方案设计

4.1 网络智分部署方案

在金融用户的办公大楼环境中，不可避免会遇到领导办公室、会议室场景，此类场景下可能会采用钢混加固墙壁、防盗门、走廊侧无窗设计等，而传统的楼道放装AP的无线部署，无线信号就需要穿透墙壁来对房间内进行覆盖。墙壁对无线信号的损耗根据墙壁的厚度不同而有所区别，一般损耗都在20~30dB，倾斜的入射角度损耗更加严重。而且更有可能存在入户厕所的房间格局，这样无线信号就需要穿透多层墙壁才能到达房间内，实测的信号强度基本上都远<-60dBm。很大程度上影响了用户的使用体验。

采用内置智能功分模块，可以对单路射频卡上的发射功率进行1分多处理，相比传统的室分系统省去了多级硬件功率分配单元和耦合单元。每台设备自带八个RP-SMA接口，配合我们的系列低损连接线缆，最大可将天线延伸至15米远的房间内，再通过美化天线进行无线覆盖，进行8个房间双频单流或4个房间的双频双流覆盖，不仅保证了每个房间内的信号强度同时也满足了高流量的用户覆盖。

传统的无线都是单独的布放，需要独立的有线网络和设备安装位置，锐捷推出的网线面板式AP，可以利用原有的有线网络，采用隐蔽入墙的微型AP，实现无线覆盖。

该方式可以有效的解决AP信号进入室内的问题，同时安装美观，实施非常简单，非常适合办公、金融网点的美化安装。

4.2 灵动天线技术

1）1677万种天线路径组合，覆盖无死角

2）天线路径高速切换，让信号随你而“动”

无论如何移动，都有最佳的信号路径伴你左右，这是X-sense灵动天线技术的又一大特色。无需人工干预，X-sense凭借其强大的运算性能，可以在1毫秒内完成300次指向终端的信号路径切换，即便在快速奔跑状态下也能保证时刻都有最佳的信号与你同“行”。

3）终端接入优化设计，全面提升用户体验

当你接入无线网络时，X-sense会快速、准确的识别到你的终端类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术，针对移动终端提升接收灵敏度、增加重传，保证所有的终端都能获得最优的接入效果，同时，X-sense通过动态天线组合，更可将信号强度提升至普通天线的3倍。

4.3 终端界面自适应

当您使用移动终端接入无线网络时，经常会遇到弹出门户网站（Portal）要求认证的情况。我们的的WLAN产品，能根据终端特点，智能识别终端类型，推送最适合您屏幕显示的页面，省去了缩放、拖动屏幕的繁复操作，为用户提供更加简单洒脱的无线体验。该功能目前已全面支持苹果iOS、安卓和Windows等智能终端操作系统。

4.4 终端二维码扫描接入

当访客来到办公区的时候，如何快速开户同时加强用户体验？

• 客人连接上无线，系统生成专用二维码
• 负责接待员工使用任意二维码软件进行扫描
• 客人和接待者收到系统信息成功，访客即可访问网络
• 系统保留日志系统，备案可查