第一章、概述

随着越来越多的便携式设备和智能终端普及，进一步推动了WLAN的广泛使用。在银行各分支网点部署WLAN，可方便银行工作人员使用iPad等进行随时随地业务展示、向手持终端等设备推送特色金融服务、等广告页面、银行APP应用推广、为等候区客户提供无线上网服务等，以满足不同客户的个性化需求，提高金融的品质服务质量、提升VIP客户对银行服务的满意度。目前业内各大银行全国各个城市都推出了集网上银行、手机银行和电话银行“三位一体”的电子银行服务区，并提供免费WIFI上网服务，在网点中创建了“无线”服务新模式，实现无线网络全覆盖。

本方案根据用户实际无线网络覆盖需求，基于整体化无线网络解决方案，采用业界先进的瘦AP+AC部署方式，在业务上基于分布式转发进行架构，具有极强的可靠性、扩展性和易维护性；结合全面的无线安全技术，从接入认证、数据加密、安全策略等多个角度进行安全一体化设计，充分保证无线数据通信的安全性和完备的无线系统防御措施，支持对非法钓鱼AP的实时监测和有效反制，保证客户在银行内无线上网的信息安全。本方案，将无线漫游技术、射频信号优化技术、安全加密技术、认证计费、业务功能设计等进行分层模块化部署设计，将系统资源有效整合，充分发挥设备功能、性能优势，可为银行客户提供安全、高品质、高可靠性的无线网络。

方案优势：

l  领先的多核AC架构 —可管理高达16000个AP，支持终端无缝漫游；

l  丰富的AP形态 — 外形美观，根据银行的装修情况选择不同的AP形态；

l  覆盖范围大 —所有AP采用增强型射频技术，结合智能天线，可满足各种范围的覆盖需求。

l  多认证的无线网络—提供短信交互认证、微信认证、二维码认证、无感知认证、预置帐户认证等多种认证方式，满足客户不同的需求

l  安全的无线网络—无线AP带有非法AP信号自动检测和反制，有效保障公共场所客户无线数据安全。

l  一体化解决方案—提供无线接入、无线认证、大数据收集网页广告及短信推送功能于一体的解决方案

第二章、某银行需求分析

通过对客户的需求分析和了解，农商银行无线网络建设存在以下需求：

1） 业务需求：

a)   提供顾客无线上网，减轻窗口双向情绪“共振”压力，减轻客户排队“心理”时间。

b)   银行业务人员使用移动终端推送个人理财产品，开展面对面交互式营销。

c)   上网页面广告推送——企业品牌宣传、网点查询、有奖调查、热门理财产品推荐等。

d)   通过无线网络增强手机银行APP推广力度。

e)   通过微信认证无线网接入，持续增加银行微信粉丝

2） 覆盖区域要求：无线网络覆盖范围包括业务办理区、客户等待区、电子银行体验区、贵宾客户区等。

3） 网络安全需求：

a)   上网行为审计，配合公安部可追溯信息来源，满足公安部要求

b)   各网点互联网无线网络和行内网络实施严格的物理隔离，确保金融业务安全；

c)   防止钓鱼AP，可有效监测钓鱼AP信号并主动攻击反制，有效阻断客户接入；

d)   行内原有固定办公网络电脑禁止私自连接到无线网络，禁止行内计算机违规上网带来安全隐患；

e)   过滤不良信息，严禁访问非法网站和发表敏感言论：

f)   用户认证和身份识别，基于用户名和动态密码认证，必须对每一个用户可以追溯识别到用户的身份；

g)   个性化Portal需求：用户在网点上网时，可弹出银行定制的WEB页面，用于客户安全提示和业务宣传；

4）无线信号需求：网点营业大厅、贵宾区无线信号强度边缘值不低于

-75dBm，ping 上层POE交换机时延小于50ms；
 5） 运维管理需求：
          a)   多个分支网点设备集中管理、统一维护、支持全网统一升级；
    b)   支持基于用户的带宽限制，防止某一用户占用大量带宽影响其他用户体验；
    c)   用户信息记录和查询、统计等。

第三章、某银行无线解决方案

一、     方案设计原则

一）、组网架构选择

采用业界最主流的增强管理的分布式无线组网架构，它采用“AC+AP”的方式， AC负责无线网络的接入控制、统计、转发，AP的配置监控、负载均衡、漫游管理、网管代理和安全控制等；AP负责各无线终端的接入、传输数据的加密解密、接受AC的策略管理等功能。

分布式组网方式优点：

1）支持二层/三层漫游切换；

2）AC对AP群组自动进行信道分配和选择，自动调整发射功率；

3）非法AP检测和处理机制。

4）分布式组网有利于减少骨干网的传输压力，以提升数据效率。

二）、系统设计原则及指标

1)     采用集中控管的组网方式，集中控制管理所有的AP。AP的供电可采用POE或本地电源供电两种方式。

2)     充分考虑WLAN的安全性、稳定性，采用先进的WLAN安全技术保障，无线局域网系统要支持故障热备冗余能力。

3)     工作频段：我国国家无线电管理委员会分配给 ISM 系统的频带为2.4GHz、5.8GHz本项目室内WLAN接入系统将采用上述频段。

4)     无线覆盖区内可接通率：要求在无线覆盖区内的 95%位置，99%的时间无线网卡可接入网络。

5)     在银行的营业厅内无线信号强度不低于-75dBm

二、方案总体拓扑

根据银行的实际情况，无线网络方案网络拓扑架构如下图所示：

在该方案中，包括如下设备：

n 无线控制器：在银行总部部署2台BU，做1+1备份，可实现对各分行网点的AP及接入终端的集中式管理、统一配置。

n  无线接入点AP：在每一个分行网点营业大厅，部署吸顶式AP；支持最新国际标准802.11ac协议，最大接入速率1.2Gbps，单台设备可带100个用户，实现优化、无缝的无线信号覆盖和数据转发。每个分行网点配置一台出口路由器，与无线AP、POE一起实现端到端的QOS功能，实现更佳的用户体验。

n  认证服务器：在银行总部部署统一集中认证运营系统，提供用户授权和统一认证，认证计费服务器支持与运营商短信平台对接，将生成的动态口令通过运营商短信平台发送到指定的手机上，实现自助式用户账号管理和用户唯一身份确认；同时认证计费平台也支持与银行微信公众平台对接，提供微信无线上网认证。

n  上网行为审计：在本方案中，银行各网点所使用的AP均内置了上网行为审计插件功能，可直接与公安审计平台对接，对用户上网行为进行审计、记录和管控，非法网站过滤，带宽管理等，满足公安部82号令要求，对用户上网记录留存备案。

结合用户无线网络需求情况及产品技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求。整体框架基于瘦AP方式部署，采用AC（无线控制器）对各网点AP进行集中管理、控制、配置下发，以及对接入终端的认证、数据分布式转发、漫游等功能。系统的中央无线控制器可以同时控制上千个AP协同工作。操作和维护工作现在只需要在AC上进行就可以了。在这个架构里，AP只负责无线信号的收发，不作MAC层及其以上的协议层处理，所有的智能工作都由AC完成。

控制、管理报文通过无线控制器进行统一处理，数据报文采用本地转发直接本地出互联网；审计数据AP直接通过本地互联网出口上送公安平台。

三、无线网络用户认证设计

一）、短信认证：

银行属于公共区域，针对公共区域，采用“Portal认证+短信获取密码”的方式对接入用户进行认证。即做到安全、客户自助，同时满足公安部对于公共上网区域客户身份可追溯的要求。短信认证针对银行客户，可以做到：

1） 认证前，可以设置URL白名单，让认证前客户可以自由访问银行自己的网站。

2）      输入非银行网站的网址，弹出Portal认证页，该Portal页面可以根据

用户要求进行定制成自己的样式，进行银行品牌形象展示、业务展示等。

用户账户为手机号，点击“获取密码”可以获得短信通知的密码，客户

输入后获得上网权限，可以上网。

3）      客户在Portal页面输入正确的用户名、密码认证成功后，我们还可以自

动弹出一个广告网页，譬如银行的最新业务介绍等。

认证系统可以自动识别不同的终端类型，自动判断是平板还是手机、PC，推出与客户终端相适应大小的页面，同时支持Portal页面可定制，以推出不同的认证页面和广告业务推广页面。

二）、微信认证

本方案可以为银行无线网络提供微信认证方式。用户只需要在接入无线网络时，在页面点击打开微信，即可实现微信认证，并达到关注银行的微信订阅号或服务号功能，实现微信吸粉。

三）、无感知认证

本方案提供无感知认证功能，顾客只要在银行某一网点无线上网认证过一次，后续来到其他银行上网无需再认证，直接上网。节约了短信网关的费用，并提升了上网的便捷性。

四、无线网络安全设计

WLAN利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战。仔细分析无线网络面临的安全挑战，主要是防止非法窃听、数据篡改，防止非法用户接入，防止恶意攻击（ARP攻击、DHCP攻击），防止AP过载（广播风暴），防止不合理应用等。针对以上安全问题，本方案产品提供对无线链路进行加密功能，如WEP、WPA、WPA-PSK、WPA2等加密方式，实现对所有无线数据进行加密传输。设备支持启用同一SSID的用户之间二层隔离，保障二层安全，避免ARP攻击、DHCP攻击、广播风暴等二层攻击行为。

同时针对空口信号安全，提供防钓鱼AP功能，可以进行钓鱼AP信号的实时监测，一旦发现钓鱼AP信号，AP将自动发起无线攻击，使正常客户无法连接到非法的信号，从而保证客户信息，该功能已经在宁波银行100个网点中得到实际应用得到客户认可。

五、无线网络可靠性设计

一）、AP独立生存功能

独有的AP独立生存功能（HAP）， AC和AP之间通信中断，AP可自动切换至自主状态，接管AC的管理和认证功能，保持原有用户业务不中断，同时保证新用户的正常接入。该特性可以在不增加AC硬件设备的前提下大大提高组网可靠性，减少用户投资。

 

 

 

二）、支持AC1+1热备功能

AC1+1备份方案的实现是：一台AC主用处理各种业务，另一台AC备用，只负责与AP间CAPWAP保活报文的处理，在Master AC故障时改变自身角色，成为新的Master AC处理各种业务。

在AC的1+1备份方案中, 双AC同时与AP建立隧道，当主AC DOWN掉后，备份AC可以在毫秒级（例如100ms）内完成检测，并完成AP的主备倒换。网络中的AP通过CAPWAP协议与两台AC关联。AP从主用AC上获得所有的服务，Slave AC不提供服务，只负责发送Master AC down的信息。对端AC故障事件发生后，Slave AC会转变为Master AC，同时AP转到新Master AC上获得服务。

六、无线网络访问控制设计

银行可指定通过无线上网认证的客户，可访问的URL地址范围。通过设置无线网络的ACL功能，直接配置URL访问控制的黑白名单，满足银行需求。

一）、上网行为审计设计

在AP上集成审计插件，对接广东省公安审计平台，实现数据审计

二）、 维护管理设计

1、灵活的带宽管控设计

为保障每个客户端的上网体验及合理分配有限的网络出口带宽，建议依照实际环境及要求对每个STA做限速。无线可以对终端进行以32Kbps为单位的限速。

2、AP软件集中升级

目前提供FTP升级和CAPWAP升级。FTP升级是将升级软件放在一台FTP服务器上，AC与其对接；CAPWAP升级是将升级软件放在AC上。上述AP升级方式都可以对单独AP升级或者对AP组升级。

七、方案特点

本方案价值体现：

1）  架构先进，方便运维：业内先进的“AC+AP” 组网架构，通过在银行总部部署大容量AC，集中管理各分行网点上百台AP，实现所有设备的集中管理、统一配置、策略下发等，极大减轻运维难度；

2）  多种认证方式，大数据收集：无线认证系统实现：短信认证、微信认证、二维码认证、预置密码认证、自注册认证等。通过认证收集客户的不同数据，同时无线网络能识别客户使用的移动终端的品牌及操作系统类型版本，从而形成完整的大数据结构。

3）  多重安全机制保障业务安全：通过有线无线物理隔离、行内机器MAC地址过滤、基于手机号和动态密码的认证方案、特有的钓鱼AP防御和阻断机制等多种手段确保银行业务安全和用户上网安全。

4）  业务展示促进营收：通过iPad、智能手机等随时随地进行网上银行、手机银行业务推介、理财产品介绍与推荐等，带动业绩增长和业务推广。

5）  提升客户服务满意度：通过无线网络提供客户上网休闲娱乐，客户在银行不再是枯燥的等待。

6）  满足公安部审计要求：通过对银行旗下网点用户数据审计，满足公安部要求，保证网络环境的安全和信息合法性。

八、无线点位设计图

根据用户建筑结构并结合产品特点，本方案按照每个网点需要1台AP进行设计，4个大型网点按照2个AP设计