企业WiFi管理解决方案
從上篇文章我們可以得出,企業WiFi主要困惑主要就在于管理難,所以這篇文章就給你們說下上述描述的問題是否可以解決!
2、時訊網絡-企業WiFi管理解決方案
根據無線網絡的要求和xxx公司無線網絡的設計原則,結合技術和無線系統產品的特點,該方案設計如下:
2.2 無線組網方式
結合用戶的無線網絡要求,結合產品的技術特點,以滿足用戶構建高速無線接入網絡的需求,穩定,安全,可靠,易于管理,該設計基于結構為化無線的NOP + AC網絡解決方案。設計網絡的拓撲結構如下(可編輯):
2.3 信道規劃
以2.4 GHz頻點為例,為確保信道不相互干擾,要求兩個信道之間的間隔不小于25 MHz。在一個覆蓋范圍內,最多可提供三個非重疊頻率點同時工作,通常使用1,6和11三個頻率點.WLAN頻率規劃應考慮建筑結構的具體情況,穿透損失和布線系統。
渠道計劃如下:
圖中的橙色,藍色和×××信號圓分別是1,6和11個通道。中心點是國家行動方案的實施地點。
2.4 企業無線安全接入設計
在無線系統中,可以在系統前面的多個層中構建安全保護。安全設計如下:
2.4.1更豐富、快捷的企業認證安全機制
使用802.1x身份驗證時,用戶訪問時需要進行身份驗證。用戶可以使用安全證書和用戶名和密碼作為憑據來訪問網絡,并且經過身份驗證的用戶可以訪問網絡。業界眾所周知,802.1x在用戶終端設備設置極其復雜,這無疑為IT用戶和管理員增加了大量的配置工作。無線技術為企業身份驗證提供了自動配置工具。下載自動配置工具,只需單擊即可輕松連接到企業網絡,安裝方便。
自動配置工具可以統一打包并完成證書的分發。此外,它允許用戶通過網絡下載和管理員通過電子郵件分發,這是簡單而快速的。
支持使用公司中的用戶認證服務器進行認證。您只需在配置頁面上配置連接信息,即可與公司中的用戶身份數據庫(如LDAP,AD域和Radius)進行快速身份驗證。它安全可靠。
企業身份驗證支持本地內部數據庫服務器本地數據庫支持控制器中的身份驗證終止,以滿足沒有內部身份驗證服務器的中小型企業。
2.4.2帳號、終端靈活綁定、杜絕越權訪問
首次連接無線網絡的身份驗證時,可以自動鏈接用戶名和終端,以幫助公司快速完成身份鏈接。如果用戶具有多個Internet終端,則管理員還可以手動批準新的聚合終端的鏈接。因此,公司可以根據用戶組織的結構劃分不同的訪問權限,以避免出現未經授權的訪問問題。
2.4.3 限制帳號在多個終端同時接入
您可以限制帳戶可以同時登錄的終端數量,有效保護公司的網絡資源。您可以為超出的帳戶采取兩個步驟:
盡早強制接入終端斷開連接。
不允許訪問新終端。
當然,對于需要發布的帳戶,例如老板帳戶,您還可以設置例外帳戶。
2.4.4 多樣化的接入控制
基于終端類型和特征的訪問控制。手機,iPad和筆記本電腦可以連接到無線網絡,你有最后的發言權。無需客戶端軟件即可安裝無線連接,以執行終端類型的識別。訪問認證時,只能根據情況訪問移動終端,無法訪問筆記本的類型,或者只能訪問IOS終端,無法訪問Android終端。您認為不安全的終端無法訪問網絡。
基于訪問位置的訪問控制。可以使用不同的訪問控制策略來配置不同的無線接入點,使得具有不同無線接入點的無線用戶可以訪問公司內的不同業務系統,這是安全且有效的。
基于用戶屬性的訪問控制。無線連接無縫連接到公司的內部認證服務器,并支持用戶屬性的訪問控制,例如用戶組[安全組,組織單位組]和用戶名,以及它支持無線電等屬性的訪問控制。不僅如此,而且還開發了內部本地數據庫服務器,它還支持基于本地數據庫的用戶屬性的訪問控制。
甚至可以靈活組合訪問控制條件,以滿足客戶不同的訪問控制需求。它支持根據終端類型和訪問位置以及用戶屬性作為一組訪問條件的訪問控制。例如,它可以支持不同的訪問位置并符合指定的終端特性以允許Internet訪問,如下所示:
2.5 企業無線安全辦公設計
2.5.1精細化多角色授權管理
一旦用戶訪問網絡公司0x7D0,0x7D0提供安全經理管理的用戶權限的授權全部責任。分配表與支持用戶屬性,終端的類型,訪問的地區,不同的功能設定不同的時間段,豐富的權限訪問控制配置不同的策略來構建防火墻功能的企業級控制更廣泛地接觸和細化。
2.5.2 VLAN隔離
VLAN本身,使用分離技術的VLAN,大量文件的有效地防止端子之間的有限的資源的AP的帶寬傳輸損耗,并且還不同終端之間的通信可以防止終端之間的任何接入數據可能會導致盜竊,惡意行為的文件中毒,確保最大安全的辦公室和提高辦公效率。
2.5.3 基于內網的服務和應用控制
0x7D0不僅與傳統的基于防火墻策略控制端口兼容,和建造的最大的圖書館數據庫URL和識別應用,管理員可以輕松地識別應用和特定的URL,靈活的接入網絡的策略,因此,你可以細化應用程序的控制。
業界的防火墻控制主要基于網關的退出。您只能限制內網的用戶訪問網絡的外部資源。內網的用戶無法基于服務和應用程序執行控制。而0x7D0補償這個黑洞,和獨特的控制方案基于應用和服務內網帶來了新的發展和福音行業。業務網絡和內部應用程序非常復雜。如下圖所示,公司內部有有線網絡和無線網絡。他們需要相互訪問,訪問內部資源,訪問小型移動設備和數據傳輸,以及訪問Internet資源。數據中心需要數據同步。環境在這個復雜的網絡和應用環境,傳統的防火墻只能控制用戶訪問資源內網公共網絡輸出網關,忽視內網更復雜的環境。
信線通過電纜集成了無線的集成。它是第一個在行業中引入“用戶”概念的人。其訪問控制策略結合強大的應用程序識別庫和“用戶”概念,在內網用戶之間進行控制,并訪問公共網絡資源。通過外部控制,該程序適用于有線或無線的用戶,為公司提供了一個干凈健康的環境網絡。同時,其政策的配置更加注重人性化。不同于配置IP的復雜的傳統方式,用戶可以選擇應用程序,選擇連接地址“用戶啟動”,“接收用戶”,選擇日歷,選擇操作“允許”或“拒絕”“這您可以快速實施訪問控制。“ ,
例如,公司的員工只能在工作時間訪問公司的“內部業務系統”內網,不允許訪問公共網絡的視頻網站。研發人員無法訪問市場人員的CRM系統,研發人員無法向市場人員發送電子郵件;文件無法傳輸,訪問者只能訪問固定網站,無法訪問公司的內部研發和市場資源,但不允許在微博上發送信息;對于與工作相關的即時通訊軟件,下載軟件不受限制,并且對下載速度有一定的限制。
2.5.4 網絡層防護
DHCP防御。只需轉發來自可信DHCP服務器的響應,阻止非法DHCP服務器并防止終端的IP被非法。防止用戶私下配置IP,有效保護網絡免受大量沖突的IP地址的影響,并導致客戶端網絡癱瘓。
DDOS防御。它可以根據最大并發用戶數,新連接速度和數據包速度進行保護。超過限制后,您可以自動加入動態黑名單并凍結處理以避免網絡***。
2.6 企業無線快速上網設計
2.6.1 端到端的協議加速
隨著訪問者數量的增加,由于干擾增加,Internet訪問速度變慢,訪問應用程序的經驗也很糟糕。借助獨特的應用層協議加速技術,客戶端無需安裝任何附加組件,只需在無線控制器上激活應用程序的加速功能即可。通過改進無線傳輸協議的算法,無線網絡的傳輸速度可以提高1.5-4倍。有效解決網絡質量問題,如無線傳輸速度低,丟包,以及企業無線網絡干擾造成的延遲。
2.6.2 防終端拖滯讓無線跑得更快
與低速終端的傳統無線連接將降低高速終端的速度,這將導致整體性能的降低和客戶服務的慢響應,這將嚴重影響接入體驗。終端的應用。
該技術對底層無線層進行了技術改進,提出了創新專利“反終端拖動”,允許用戶統一分配帶寬,防止單終端降低整體速度。網絡根據時間算法。
2.6.3 基于應用的無線射頻管理
技術開發的無線網絡帶寬的動態分配。當無線接入點的帶寬不足時,將根據建立的權重分配無線網絡的保證帶寬。當無線接入點的帶寬足夠時,不受此限制。例如,辦公網絡可以配置很大,以保證辦公應用的正常服務通信。非關鍵網絡(例如訪客網絡)可以配置較低的權重以限制非關鍵網絡的帶寬,以免影響其他無線網絡。
每個無線網絡的用戶可以根據應用定制子通道。的用戶可以配置通道之間的帶寬使用關系。當無線網絡的帶寬不足時,將根據建立的關系分配信道之間的保證帶寬。當它足夠時,它不受這種關系的約束。例如,在辦公室網絡,P2P0x7D0可以具有較小結構的重量配置,重量0x7D0系統辦公OA是最大的,并且重量0x7D0互聯網應用是在兩者之間。
2.6.4 組播優化及提速
自動加速組播速度增加了傳輸分組的初始傳輸,加速了傳輸分組的傳輸效率,并確保每個終端可以接收多播數據包并提高了帶寬的性能。
ARP轉發到單播:通過優化ARP發送機制提高ARP效率,減少不必要的擴散泛濫。
禁用對無線終端的DHCP請求:通過優化DHCP發送機制提高DHCP的效率。
限速接入終端:支持限速接入終端,禁止到低于某一速度終端接入并提高了整體網絡的速度。
2.6.5 VLAN池
使用該組VLAN地址可以減少傳輸域,減少傳輸泛洪,提高無線網絡帶寬資源的利用率。
2.6.6 智能負載、5G優先、高密穩定快速接入
在高密度的企業區域,例如開放式站點和會議室,通常有多個無線接入點覆蓋信號。技術無線解決方案將根據每個AP的負載自動為用戶分配信號和訪問次數。至少AP,將為干擾較少的5G頻段選擇優先級負載,確保每個無線用戶都能獲得無縫的網絡體驗。除了基于數字的充電,該技術還可以基于雙2.4G和5.8G頻段執行雙頻智能充電。
智能負載雙頻:自動加載可以是2.4G和5G,5G和終端之間被優選地連接到5G網絡具有較少干擾,從而提高了的無線接入的質量。
2.7 企業無線快速漫游設計
2.7.1 防終端粘滯
傳統的無線漫游是基于終端,這是不能被控制的特性,而“卡在端子的端部”,由技術提供補償這一缺陷。通過防止終端卡住,無線設備可以引導無線終端更快地移動到具有更好無線服務能力的無線接入點,從而使客戶獲得更好的無線網絡體驗。漫游后,終端的vlan,角色和IP保持不變,用戶沒有感知。
2.8 企業無線上網行為管理設計
2.8.1 有線與無線一體化
無線企業網絡客戶端通常同時連接用戶。客戶希望通過無線控制器進行配置,使用有線端口的無線控制器來完成連接的用戶認證和集中管理無線用戶和連接來完成流量控制的用戶,流量管理和審計交通。無線技術集成了管理和電纜認證,并提供安全的訪問認證機制,如“組合認證”,“IP認證”和“無認證認證”,以真正集成和控制用戶電纜和無線用戶。
2.8.2 上網審計
客戶無線網絡的公司不僅需要完全訪問權限,用戶認證,同時也希望審計用戶的網絡行為和內容,包括,除其他外,傳出HTTP內容,網站訪問和下載,郵件,FTP,TELNET等。 Web應用程序,Web內容,ACL拒絕和流量控制以及Internet持續時間。
配置審核策略時,參考角色中的應用程序審核策略并將相應的角色分配給用戶,可以審核用戶。
2.8.3 流量控制和帶寬保證
客戶希望管理和劃分不同用戶和應用的網絡流量,以完成帶寬保證和帶寬限制。帶寬保證功能可以保證重要應用的帶寬,限制帶寬功能可以限制用戶組/上行鏈路和下行鏈路的總帶寬以及幾個帶寬。應用。與此同時,客戶希望提供一個更加靈活的管理和配置,以保證重要應用的帶寬,然后根據用戶的優先級不同的用戶相同的應用程序之間分配帶寬。
該技術提供基于應用程序的流量控制,保證用戶輸出的帶寬,并保證關鍵應用程序的帶寬消耗,無論應用程序如何。
2.8.4更豐富的數據中心報表功能、審計報告自動通知管理層
公司無線網絡的客戶不僅需要完成用戶訪問和身份驗證,還需要審核用戶網絡的行為和內容。審計結果存儲在數據中心。
技術提供了“退出風險報告”,“法律風險報告”,獨特的“在線行為報告”,以及時控制員工的風險行為。
2.9 訪客安全管理設計
2.9.1二維碼快捷上網
參觀者是開放公司每天面對的群體。供應商,客戶,業務合作伙伴和相關領導來到公司訪問并需要方便地訪問無線網絡。提供更簡潔的身份驗證方法,訪問者只需要連接到公司的無線網絡,然后打開瀏覽器即可自動顯示QR碼,內部接待人員可以使用自己的終端來通過認證。
QR碼認證技術經過認證,為公安部,可追溯到訪客行為。
2.9.2 臨時訪客快捷上網
該技術為臨時訪客提供臨時解決方案,以取代傳統接待。公司可以直接在接待處打開訪客的帳戶和密碼。帳號可以是您的×××號碼,密碼可以是×××的最后六位數字。訪問互聯網的有效時間;同時,銳信科技結合二維碼為臨時互聯網訪客生成二維碼,企業接待人員只需要給他們一個二維碼,訪客可以掃描二維碼快速訪問互聯網。
臨時訪客的在線行為可以追溯到。
2.9.3 短信認證
該技術提供SMS認證,訪客用戶可以通過手機獲取驗證碼,輕松訪問無線網絡。驗證碼可以使用一次以便永久使用。
2.9.4微信認證
通過無線提供的功能微信認證,游客進入房間的企業介紹和訪問無線網絡,這將解決該消息頁面指定的,它會問你要注意微 - 簽名然后訪問互聯網。訪客可以關注微信號訪問互聯網。這極大地增加了訪客對公司的關注,也促進了企業廣告,商業沖動和促銷。
該技術涵蓋了多種微信,尤其是單次點擊的關注,網站的Oauth等的授權,讓游客可以快速訪問互聯網的認證方法。
2.9.5防蹭網
該技術提供的網絡和流量配額的持續時間,可根據客戶需求靈活防止企業客戶侵入網絡,并保護公司的網絡資源的控制策略。
2.9.6 同一SSID內的隔離
技術提供員工和訪客相同的SSID之間的隔離,防止數據傳輸,企業信息的泄漏,中毒的文件引起的互訪等危險行為,保護企業資源和防止機密信息滲出。
2.10 集中管理設計
2.10.1 AP零配置
所有無線接入點的配置均勻配置在無線控制器中,易于實現和配置,無需用戶學習成本。
該配置與自動和手動備份和恢復兼容,并保證無線接入點24小時不間斷運行的兩倍。
2.10.2 云升級
所有無線熱點都支持從云端到最新版本的自動更新。不同的AP硬件模型可以自動判斷和完成更新。無線客戶端手動干預以減少后續維護和升級成本。
客戶可以選擇在晚上自動更新,以減少白天更新造成的業務中斷。
2.10.3 可視化的熱點地圖
隨著大公司的快速發展,無線接入點的實施急劇增加,企業分支控制器的實施也急劇增加,面臨復雜的設備管理問題。
該技術提供了接入點的功能強大的可視地圖,可有效幫助網絡管理員分析和快速實時掌握和充電設備的運行狀態。此功能分層管理使用地圖來跟蹤設備的實時運行狀態在演示設備。
位圖接入點還提供了用于分析人類流,快速搜索地點的用戶和安全事件的密度,以幫助網絡管理人員能夠更好地管理無線網絡,并滿足員工的機制。
2.10.4 遠程AP智能連接
一些公司分支機構實施遠程AP,需要訪問總部的無線控制器,以通過無線網絡訪問總部的資源。公司總部的退出IP頻繁更改,給遠程AP帶來了很大的問題。
該技術提供智能連接技術。總部的IP轉換對于遠程AP是透明的。無需任何手動操作即可快速恢復網絡,并且不會中斷服務。
2.10.5 智能射頻管理
信號的干擾是無線網絡使用中的常見問題。在中國移動運營商,中國網等無線信號,以及藍牙,無線監控攝像機等,在2.4G頻段工作,將與無線網絡的干擾。
無線技術接入只能設置與根據來自無線circundante.Al同時干擾的實際情況干擾最小的信道也可以降低功耗,減少重疊的覆蓋面,提高功率補償覆蓋盲區等,以實現真正的干擾預防。
2.11 企業數據保護、安全可靠設計
2.11.1 流氓AP的***檢測與反制
從無線網絡的無線信號是開放的,非法接入點,比如AP網絡釣魚和AD-HOC,很容易隱藏無線網絡來吸引企業用戶訪問,竊取用戶帳戶并竊取公司的機密文件或傳播病毒。
公司員工還可以實施非法訪問點進行數據傳輸,從而導致公司信息泄露。
該技術采用整體防御系統,以建立您的網絡更安全的無線接入,無線抵御***,如網絡釣魚AP和AD-肝卵圓細胞,欺騙***或由用戶發起洪水和一個安全的無線網絡環境。
2.11.2 無線空中加密技術
無線數據通過空中傳輸,運營商的各種業務數據需要高效可靠的加密機制,以防止數據被暴力侵犯或操縱。多種數據加密方法的國際技術支持標準確保了公司的業務數據在傳輸過程中安全可靠。主要體現在以下三個方面:
該技術使用WPA/WPA2 + AES加密數據并確保數據安全。 WPA2密鑰的長度為128位,解決了傳統密鑰太短而容易被第三方攔截的問題。在CPA2中,定義了更高安全性的加密標準CCMP,其旨在為用戶提供作為完整的認證機制,無線接入點根據以下內容確定是否允許訪問無線網絡。用戶認證的結果,并在認證之前將認證信息與用戶的身份數據庫進行比較,以確認權限是否具有權限并動態分發給客戶端。加密密鑰可以根據幾種方法(當用戶訪問網絡時發送的數據包的數量等)動態地改變每個訪問用戶的加密密鑰。另外,用戶在無線連接中發送的數據包以MIC編碼,以確保其他用戶不改變用戶的數據。
無線接入點和控制器之間的數據包是RC4加密的,這是有效和安全的。
該技術還與WAPI標準兼容,以進一步保證數據的機密性和完整性。
2.12 企業無線穩定性設計
2.12.1 單一設備多功能集成
該技術不僅具有多種無線功能,還具有線纜管理和認證功能,并集成到無線控制器中。每個功能模塊相互獨立,數據轉發和處理在應用層平臺上,可以快速恢復服務模塊的故障。
2.12.2 冗余、減少單點故障
技術提供了一種機制雙重備份系統,以減少因單個設備的故障客戶服務中斷,提高客戶服務的可靠性,并減少單點故障。
2.13設備選型
根據對商場XXX需求的上述分析,實現更快,安全的企業WLAN建設,XXX無線系統必須具有以下特點:
加速無線網絡
確定并保證專注于公司的業務數據帶寬
識別和控制非法Web應用程序和URL
訪客網絡通過QR代碼或單獨的臨時訪客系統進行身份驗證
NAP無線接入點使用2.4G和5G雙頻接入來保證接入的數量和質量。
轉載于:https://blog.51cto.com/14257353/2405392
總結
以上是生活随笔為你收集整理的企业WiFi管理解决方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 列表/字典生成式、生成器(generat
- 下一篇: Oraclenbsp;BIEE简介