名称描述内容

身边的无线网络安全专家

新闻中心

EWS

商务楼宇、高层、中小微企业办公场所无线网络解决方案

来源: | 作者:pmo624315 | 发布时间: 2016-12-26 | 1836 次浏览 | 分享到:

1.概述

企业随着业务规模的不断扩大，对企业提高运营效率的要求也不断提升，随着WIFI技术的不断发展，使其能更加稳定高效的承载企业应用。很多企业在有线网络的基础上扩展无线网络来进行日常业务的开展，甚至很大一部分企业在新建办公场所时，考虑建设的成本和传统网络的繁琐，也希望可以通过WIFI接入技术实现他们的目的。

事实上，无线应用已经深入到企业当中，除了日常办公之外，很多应用也正依赖于无线技术，比如访客服务，会议室，工厂车间，智能仓库等等。

在智能终端普及的这个背景下，对于企业而言，BYOD、移动办公的需求也提上日程，WIFI作为必不可少的接入手段，需求也进一步扩大。

2.需求与挑战

2.1需求分析

随着智能移动终端的增加，企业BYOD的普及，高质量的WLAN已经成为一个成功企业必不可少选项。

在具体的应用过程中企业办公WLAN包含以下具体的需求：

Ø 高速的无线业务网络

随着无线技术的不断发展，以及企业办公网的需求面的扩大，企业级WLAN对于无线质量的要求也越来也高，公司邮件、财务、办公软件的高效使用都需要快速的无线网络支撑。

Ø 随时随地的BYOD

大信息技术高速发展，企业BYOD处于大势所趋，要实现企业内部任何时间、任何地点都能实现BYOD，这就必须保证无线信号的无缝覆盖、快速漫游，而且信号质量高。

对于多种接入终端，多个接入地点保证良好的一体化兼容、控制、管理。

现在越来越多的提到BYOD，员工将个人应用和个人终端带到企业环境中，员工移动化给企业带来很多影响。包括带来便利性，提高员工效率，同时带来挑战比如安全、IT支撑、工作量的挑战，办公场所变着越来越灵活，移动程度越来越高，这种趋势是大势所趋。

Ø 安全、便于管控的访客网络

作为一个成功、开放的企业，经常会有领导、客户、合作伙伴的接待工作。在网络发达的今天，访客往往会要求使用网络。对于企业来说，开放内部网络会面临企业信息安全的问题，同时如何开放、如何管理访客接入网络也是一件非常头疼的事情。所以企业WLAN需要一个安全、便于管控的访客网络系统。

2.2企业办公WLAN面临的挑战

Ø 组织结构复杂，权限难于控制

随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄，越权事故不发生是一件非常困难的事情。

Ø 终端、应用类型多,不易管理

BYOD的不断发展，终端类型多种多样，员工自带手机、平板、笔记本接入企业无线网络，对于企业而言，管控难度也加大。如果员工通过手机终端连接上WiFi，在上班刷微博，聊陌陌，炒股等与工作无关的活动，工作效率低下。公司想要禁止员工手机接入无线网络，仅仅允许电脑接入办公，另外对于移动笔记本访问指定URL或者不能访问指定URL等。

Ø访客网络无法安全、有效管控

对于众多的访客，接入终端多种多样，终端的安全性也有高有低。如果让他们接入内网，外网会对企业信息安全造成影响。如果给访客单独的物理网络，如果访客在企业发表非法言论，产生一些非法事件，企业无法责任溯源，定位责任人。所以企业访客网络管理难度非常大。

Ø攻击手段多样，内网安全有威胁

不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对企业而言，IT资源就是资产，难免会存在一定盗用账号、非法接入的安全威胁。

Ø 空中垃圾多，无线接入稳定性得不到保证

WiFi网络大多使用的2.4GHz频段，众所周知，2.4GHz频段是开放频段，工作在这个频段的设备很多，比如：微波炉、蓝牙、无线座机、外来AP、监控摄像头等等，会对WiFi设备进行大量的干扰。除此以外，2.4GHz相互不干扰的信道只有1、6、11，当部署区域被运营商的AP给占用以后，可用信道就不多了。在这种情况下，干扰会造成丢包和延迟，实际传输速率往往得不到保证。

Ø 无线运营能力弱

现在的企业无线WIFI建设基本停留在网络连通的阶段，无线建设往往只在于提供能够使用的无线网络，而怎样利用企业WLAN平台来进行广告宣传、提升公司形象还是一个需要解决的问题。

3.方案设计原则

结合WLAN的实际应用及发展要求，无线局域网系统设计，主要遵循以下原则：

Ø 实用性：以现行需求为基础，充分考虑发展的需要来确定系统规模

Ø先进性：采用先进成熟的网络理念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行、成熟的技术，保证网络能适应技术的快速发展。

Ø可靠性：系统设计能有效避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

Ø规范性：系统设计所采用的技术和设备应符合WLAN国家、国际标准，为系统扩展升级、与其他系统互联提供良好的基础

Ø 开放新及标准化：在设计时，要提供开放性好、标准化程度高的技术方案，设备的各种接口满足开放及标准化原则

Ø可扩展性：系统不但满足当前需求，并在扩充模块后满足可预见的将来的需求，保证建设完成后，系统在向新的技术升级时，能保护现有投资。

Ø可管理性：整个系统的设备易于管理，易于维护，操作简单，便于进行系统配置，在设备、安全性、统计、性能等方面得到很好的监视和控制，并可以进行远程管理、故障诊断处理。

4.方案设计

4.1无线局域网技术发展及特点

802.11ac是在802.11a标准之上建立起来的包括将使用802.11a的5GHz频段。在通道的设置上，802.11ac将沿用802.11n的MIMO(多进多出)技术，为它的传输速率达到Gbps量级打下基础,第一阶段的目标达到的传输速率为1Gbps，目的是达到有线电缆的传输速率。

802.11ac每个通道的工作频宽将由802.11n的40MHz，提升到80MHz甚至是160MHz，再加上大约10%的实际频率调制效率提升，最终理论传输速度将由802.11n最高的600Mbps跃升至1Gbps。当然，实际传输率可能在300Mbps～400Mbps之间，接近目前802.11n实际传输率的3倍(目前802.11n无线路由器的实际传输率为75Mbps～150Mbps之间)，完全足以在一条信道上同时传输多路压缩视频流。

此外，802.11ac还将向后兼容802.11全系列现有和即将发布的所有标准和规范，包括即将发布的802.11s无线网状架构以及802.11u等。安全性方面，它将完全遵循802.11i安全标准的所有内容，使得无线连接能够在安全性方面达到企业级用户的需求。根据802.11ac的实现目标，未来802.11ac将可以为用户提供无缝漫游服务，并且在漫游过程中能支持无线产品相应的安全、管理以及诊断等应用。

通俗一点就是，802.11ac让千兆无线传输成为可能，完全从传输速度上满足日益增长的需求。每一次无线技术的进步都与我们的生活密切相关，与11n的诞生一样可知，千兆无线传输速率标准的提出是为了满足我们日益增长的无线传输需求，为打造新一代无线网络生活奠定基础。到那时运用于千兆桌面的大部分应用将无缝地移植到手持终端上, 让人们不再感觉有无线网络和有线网络之分,达到两者在用户端的真正统一。

4.1.1无线局域网架构

随着WLAN技术的不断成熟，人们对于基于“瘦”AP架构的组网模式关注程度越来越高，其发展规模也在不断壮大，由起初的图书馆、机场等小范围的热点区域直到目前的大型体育馆、政府、乃至无线城市。而WLAN网络在安全和管理方面的问题一直是建设者所关注的重点问题，“胖”AP无法满足我们对WLAN网络的安全性和管理方面的需求。因此，基于“瘦”AP组网的架构是无线局域网建设的主要方式，其核心设备由无线控制器AC和无线接入点AP组成。无线控制器主要负责流量监控、RF、用户认证、负载均衡、AP管理以及QoS等，AP主要负责用户的接入及无线信号的收发。这种架构的无线网络，大大简化了AP的复杂性，一切功能均有AC完成，充分解决了基于“胖”AP架构网络中的突出问题。

集中控制组网方式的优势：

l 便捷的安装、维护

部署“瘦”AP可以实现即插即用，AP设备的管理、控制、配置任务全部由无线控制器来完成，无线网络的管理员不必再对数量庞大的无线接入点进行管理和维护，所有的配置、固件升级、安全策略更新等动作都可以在无线控制器上就可以完成。

l 提供动态RF管理

WLAN控制器AC能自动获取同一个网络中不同瘦AP之间的信号强度。无线局域网控制器能利用这些信息，为网络创建一个动态优化RF拓扑。优化RF的手段主要包括动态信道调整和动态功率调整。

l 用户负载均衡技术

WLAN控制器AC能自动探测到接入点AP之间的信号强度。当有终端需连接WLAN中的无线AP时，此时只要收到终端发出的探测信号的AP都会向无线控制器AC发出信号，随后无线控制器AC将根据终端信号强度和信噪比，决定哪个AP应当响应终端的探测信号

4.1.2链路预算

无线局域网架构确定后，需要进行链路预算。

设发射机的输出功率为Pt，空间路径衰耗PL (d>，电缆及各类器件的损耗Ls，发射天线增益为Gt，接收天线增益Gr，则接收机接收的功率电平Pr可用下面公式表示:

Pr=Pt+Gt一PL ( d)一Ls+Gr

利用以上公式计算得到各处的接收电平，进而确认AP覆盖范围。

本项目覆盖区域属于室内场景，以下为WLAN信号在室外的传播损耗：

因无线局域网在室外区域的覆盖范围相对较小，因此可采用自由空间传播模型。2.4GHz、5.8GHz频段自由空间电磁波的传播路径损耗符合:

LO (dB) =92.4+201g (d) +201g (f)

注：LO为自由空间损耗；

d为传输距离，单位是km；

f为工作频率，单位是GHz。

4.1.3容量预算

对于利用AP数量的多少是根据用户数量进行估算的，计算公式下:

单个用户所得速率=(每AP基本速率*效率)/(用户数量*用户并发率)

其中，每AP基本联系速率:采用802.11ac3x3:3设备可使每个AP传输速率达到1.75Gbps ；效率：表示总开销效率因子，包括MAC低效率和纠错开销，记为50%；用户数量*用户并发率：此为同时使用无线业务的用户数量。

本项目4楼、24楼预计并发用户达500人以上，即系统应满足500人同时上网，（其他区域人数较少，不详细计算）按企业WLAN部署经验，实现无线办公的同时，将个人终端纳入公式，并发终端按1600人计算（考虑24楼的大型培训室），并发率取值100%，每AP接入100，每个用户至少可以得到的速率：

=(1.75Gbps*50%)/(100*100%)=8.96Mbps。

每用户接近9Mbps的速率完全能够满足用户移动终端的上网、内部FTP传输、投影会议等需求。

4.2无线覆盖设计

3.2.1频率规划

根据IEEE 802.11b、IEEE802.11a及国家相关标准的规定，WLAN工作频段分别为2.4GHz～2.4835GHz和5725~5850MHz。

2.4G共13个子信道（信道14非国内标准），这13个子信道是互相重叠的。如下图：

2.4G子信道分配图

通常情况下，设计者一般会使用1、6、11信道进行蜂窝式覆盖规划，从子信道分配图上看，1、6、11三个子信道处在非重叠频段内。但本项目AP部署需满足高并发要求，AP数量部署相对密集，只有3个子信道显然不能很好的满足部署要求。信道规划选择1、5、9、13四个信道，在高密部署环境下，增加可用信道数量，在实际应用、测试中证明，四信道的表现明显优于三信道。

因此，本项目频段规划设计中，用1、5、9、13四个子信道进行蜂窝式覆盖规划，提高无线网络接入效率：

按国家标准，5725~5850MHz频段共划分149、153、157、161、165五个子信道，互补重叠，实际部署中，可参照2.4G频段进行规划设计，如下图：

5.8G频段覆盖规划

3.2.2点位设计

按要求，XXX企业覆盖要求如下：

Ø 系统覆盖范围：省公司办公大楼：夹层办公室（面积约为普通办公楼层的四分之一）、4楼饭堂（用餐区域）、11、12、15至21、23层办公室及24层会议室等共计13个楼层（详细布局请参照楼层平面图），估计总使用人员超过500人，其中，4楼饭堂及24层会议室要求系统能够满足同时连接500个终端能力；其他9个普通办公楼层要求系统能够满足至少同时连接60个连接终端。

Ø AP设备要有高可靠性，对于人员密集的地方要求单个AP能够同时连接100台终端接入能力，同时提供2.4G和5G Wi-Fi连接，必须全面支持802.11AC协议，在目标覆盖区域内95％以上的位置，接收信号电平≥-75dBm，单用户接入最低业务速率≥5Mbps。

基于此，点位部署采用蜂窝式部署方式，均匀覆盖，点位设计图如下：

4F点位图

11-21F点位图

24F点位图

3.3无线局域网系统设计

3.3.1系统组网设计

根据系统组网设备在网络中的不同位置，并结合XXX企业现网的情况，最大限度减小对已有有线网络的改动，无线控制器、用户行为审计系统、认证服务器均旁挂于汇聚交换机。

系统组网如下图所示：

系统组网拓扑图

所有设备管理地址、用户网关统一配置在核心交换机上，核心交换机同时完成出口动作。AC、AP间二层发现建立capwap隧道，进行管理控制。汇聚交换机上对应用户行为审计的端口多镜像配置，可避免审计系统部署在主干网络上引起的性能瓶颈问题，同时可节省硬件投资。用户通过核心交换机获取IP，通过认证服务器完成认证，根据配置的认证策略，实现不同的访问逻辑通道。

3.3.2多业务区分设计

使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，一个给来宾访客使用，配置对应的保障策略，以保障业务。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。

3.3.3无线接入认证

基于企业无线局域网服务质量及运营效果，无线局域网接入认证方式已不仅仅局限于简单的用户名密码认证即可接入，多样化的认证方式，不仅可以给顾客带来更畅快的体验，还能实现增值性的运营、管理。

本次项目以实现主流的portal（短信）认证、微信认证及802.1x认证为目标。Portal、微信连wifi供用户多样化选择，802.1x认证供内部员工访问内部资源使用，两种认证方式的业务通道通过不同VLAN进行透传，实现安全隔离。

微信连wifi：

从可增值的无线局域网设计思路，越来越多的无线场景启用微信公众号，开展基于微信的推广，来宾访客可单独开通基于VLAN隔离的通道，用于实现微信连wifi，与内部网络隔离，满足安全要求的同时，简化来宾访客的认证流程，同时推广企业形象。

微信连wifi流程

Portal认证：

Web Portal认证又称为强制WEB认证或WEB+DHCP，其对具有对新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点。受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。

采用Web Portal认证方式，无线用户的认证点都是放置于无线控制器设备上，后台现有的安全计费认证系统认证计费统一作为作为用户身份认证系统。

802.1x认证：

在802.1x认证协议中，需要具备具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。802.1X具有较高的安全级别，有利于对用户使用无线网络的深层次的控制。

客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

认证系统：在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的服务，并根据认证结果向认证系统发出打开或保持端口关闭的状态。

在客户端与认证服务器交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。

3.3.5用户行为审计

用户是上网行为管理产品最为核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了设备部署效果。

u实时监控

可以通过浏览器实时查看用户当前的上网情况，如当前在线用户，其访问的IP地址信息、URL、应用服务信息、流量、占用带宽、即时通信信息、收发邮件等；

u 信息审计

详细记录用户上线的各类日志，包括HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戏、股票、视频等近大量常见应用的上网日志。日志可以保留90天以上，归档的日志可通过各种组合条件进行在线查询，也可以远程备份到异地通过离线浏览器查看；

u 异常管理

根据用户上网状态，如IP连接数、数据包特征、流量等情况，及时发现用户上网终端是否异常，自动告警或采取相应的控制措施，保障网络通畅。

u统计分析

提供数十种统计报表对上网流量、上网时间、网站访问、邮件收发、聊天信息等进行统计，可生成各类排行榜，并可以图表的方式从各个角度对用户上网情况进行分析，统计结果可直接打印或自动分发，亦可导出Excel表格，方便进行二次处理。

3.3.6无线局域网安全设计

XXX企业原有的有线网络基础上，外网与内网之间通过防火墙实现安全控制，防火墙设置防御策略，控制外网到局域网的流量安全，可避免病毒和安全隐患在有线、无线网络之间相互扩散。

局域网内，无线控制器支持丰富的ACL配置选项，可以通过设置该策略来实现对不同设备的访问控制，并支持限定用户只能访问指定URL或者不允许访问某些URL，严格控制接入用户访问路径，以及为管理者提供更多访问权限的管理手段。

无线网络作为有线网络的补充，其安全性与有线网络密不可分，总体可以分成四个层面，分别是射频层（物理层）安全、链路层安全、网络层安全和应用层安全。

u 射频层安全

由于AP使用空中的无线电射频信道工作，每路射频都会占用一个信道。非法设备可能侵占合法AP的正常信道工作，一方面会对合法的无线接入点产生干扰，另一方面是非法无线用户对合法AP的入侵。互联网上可以轻易下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况，这些攻击会导致用户的无线连接发生中断。通过无线控制器非法AP探测功能，为管理者呈现周围环境扫描列表，提供RougeAP扫描、Adhoc扫描等功能，通过扫描的AP周围的非法AP、友好AP为管理员提供无线网络频谱情况，是否需要进行反制动作，以此保障系统射频端的安全。

u 链路层安全

链路层的安全主要依靠标准体系中的安全特性来保证，通过802.1x、PSK、MAC、Portal等方式来控制各种类型用户的准入，丰富的产品线为管理者提供整套服务设备，包括认证、控制、管理等，从源头上杜绝第三方整合设备带来的安全风险，通过用户二三层隔离等技术来限制用户间互访。

u 网络层安全

通过准入检查后，如何对无线终端发出数据进行有效的检查和监控是进一步的病毒防护手段。通过和第三方的防病毒厂家合作，可以允许设定策略，对于某些用户以及某些可能沾染病毒的数据，将其重定向到防病毒设备上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。

u应用层安全

应用层的安全是无线网络有别于有线网络安全的特有属性，通过无线设备与防火墙、无线定位设备的配合，可实现对非法用户、终端的行为进行实时监控和记录，同时在有必要的情况下可以通过无线定位组件来实现对非法用户、终端的位置定位。

3.4 方案特点

3.4.1高带宽和抗干扰性

系统部署采用的无线接入点（AP）遵循802.11a/b/g/n/ac标准，能提供高达1.2Gbps的无线接入速度，可以同时工作在802.11b/g/n模式和802.11a/n/ac模式，通过双频接入使用方式，能有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务。AP特有的ASM射频技术增强了系统的抗干扰能力，提高了实际应用的传输带宽。专有的Crystal外围补偿校准技术提高了频谱资源的利用率。

3.4.2智能射频管理及负载均衡技术

无线控制器内提供自动功率和信道调整功能。通过专有的射频检测和RF管理算法，优化射频覆盖效果。当AP信号受到外界强信号干扰时，通过控制AP自动切换到合适的工作信道以规避干扰信号，保障WLAN通信的畅通。

支持黑洞补偿功能，在某个AP出现故障时，能够自动加大周围AP的功率以保障覆盖效果。

支持对非法AP的探测以及反制，对于钓鱼AP以及仿冒AP，可以迅速识别，并通过监控以及反制功能，攻击钓鱼AP使用户无法连接，避免损失。

支持按接入用户数量和流量的负载均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

3.4.3高可靠性，保障场馆无线业务

独创的瘦AP独立工作功能，无线设备在瘦AP的模式下，如果AP和AC的通信中断，AP会自动切换为独立工作模式，保持原有用户网络继续正常使用，并可接入认证新的用户。在通信恢复后会自动注册到AC，全程用户无感知。

AP独立生存功能，保障业务可靠性

3.4.4终端智能识别与BYOD

采用业界领先的智能终端识别技术，可以根据终端特点，智能识别终端类型以及系统类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术可以智能识别用户设备，用以适配不同大小的页面，免去了用户多次拖动，调整屏幕的操作，同时还可以为不同用户提供不同的上网策略，为用户提供更加智能的无线体验。