第一章、需求分析
一、现状和需求
小红山汽车客运站地处南京主城区北部,与南京火车站、沪宁城际站相邻。项目按一级客运站标准设计,地铁3号、9号线从其地下穿过,与铁路、地铁、城市公共交通实现便捷换乘,是集客运和商业配套为一体的综合性交通枢纽建筑,与汽车客运南站遥相呼应,项目总用地面积49500平方米,总建筑面积95120平方米,地下2层,地上3层。
对于客运站的旅客等待区域及商业配套区域,进行无线网络覆盖具体要求如下:
本次无线网络覆盖主要需求:
覆盖区域要求:
本次建设主要覆盖客运中心的地下停车场、商业区、办公区、餐饮区、司乘公寓
业务支撑需求:
n 基本数据接入/访问互联网
n 无线点餐系统
n 无线收银
n 停车场无线定位系统
n 广告推送平台
二、客运站部署WLAN的关注点
u 安全性
无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点,让许多潜在的医院用户对无线传输下是否会出现数据外泄,或者出现非法用户入侵而感到担心,从而对是否采用无线局域网系统犹豫不决。
u 管理性
为了达到信号覆盖,无线网络中往往需要部署大量AP,如何对AP进行快速有效地配置和管理,融合到原有的管理系统中,是部署无线网络时关心的问题。设备和信息的集中管理可以快速有效地帮助管理人员发现和解决问题,同时也能使各种网络资源的分配更合理。
u 扩展性
在网络建设规划的时候,应该充分考虑到网络的可扩展性,为以后网络信息点的增加留有充足的余地。所有的无线产品和解决方案都要为未来的升级和应用做好准备。
三、无线网络承载应用
1、无线接入
旅客常常喜欢在车站的候车区域内通过移动终端(手机、IPAD、笔记本电脑)进行上网娱乐用来打发候车的旅途时光,商务型旅客希望在车站能够处理紧急的工作。WLAN无线网络的覆盖使旅客可以非常方便灵活地在车站内移动上网,无论是在饭店、客房、候车室,真正实现了全方位的宽带上网。最高300Mbps的无线传输速率,满足了大量旅客 上网需注。
2、移动点餐
目前绝大多数餐饮的经营方式仍然停留在“一张纸、一支笔、经理喊破嗓、员工跑断腿”的境地,这样不但工作量巨大、效率低下、顾客等待时间长,而且极易出错。
无线点餐(点菜)系统,就是利用WiFi无线技术,替代传统的纸和笔进行电子点餐(点菜)操作,它可以远距离地进行信息即时传递。无线点餐(点菜)系统不只是进行点餐操作,同时通过配套的餐饮管理软件,还可以实现强大的统计和管理功能,这样可以提升酒店档次和管理水平,做到科学管理、科学决策、高效运作。
无线点餐终端
3、无线登记入住
在酒店实施移动入住登记可以在入住高峰时段或有大量客人到来时有效减少前台排队等待办理入住手续的客人数量。酒店员工可以在路边、大堂甚至酒店酒吧就快捷地完成客人入住登记、移动刷卡终端收费。酒店收费登记处大大减少了排队等待办理入住登记的情况,使顾客自抵达那一刻起就能享受到优质服务。
4、统一形象宣传
商铺客户使用无线网络时弹出广告宣传页面对其品牌进行宣传,提升知名度。也可通过无线网络推送给客户酒店相关优惠信息,增强客户对商铺的满意度。
第二章、无线解决方案
四、方案设计原则
(一)、组网架构选择
采用业界最主流的增强管理的分布式无线组网架构,它采用“AC+AP”的方式, AC负责无线网络的接入控制、统计、转发,AP的配置监控、负载均衡、漫游管理、网管代理和安全控制等;AP负责各无线终端的接入、传输数据的加密解密、接受AC的策略管理等功能。
分布式组网方式优点:
1)支持二层/三层漫游切换;
2)AC对AP群组自动进行信道分配和选择,自动调整发射功率;
3)非法AP检测和处理机制。
4)分布式组网有利于减少骨干网的传输压力,以提升数据效率。
(二)系统设计原则及指标
1) 采用集中控管的组网方式,集中控制管理所有的AP。AP的供电可采用POE或本地电源供电两种方式。
2) 充分考虑WLAN的安全性、稳定性,采用先进的WLAN安全技术保障,无线局域网系统要支持故障热备冗余能力。
3) 工作频段:我国国家无线电管理委员会分配给 ISM 系统的频带为2.4GHz、5.8GHz本项目室内WLAN接入系统将采用上述频段。
4) 无线覆盖区内可接通率:要求在无线覆盖区内的 95%位置,99%的时间无线网卡可接入网络。
5) 在银行的营业厅内无线信号强度不低于-75dBm
五、方案总体拓扑
根据车站的实际情况,无线网络方案网络拓扑架构如下图所示:
在该方案中,包括如下设备:
n 无线控制器:在中心机房部署2台BU,做1+1备份,可实现对各分行网点的AP及接入终端的集中式管理、统一配置。
n 无线接入点AP:在每一个分行网点营业大厅,部署吸顶式AP;支持最新国际标准802.11ac协议,最大接入速率1.2Gbps,单台设备可带100个用户,实现优化、无缝的无线信号覆盖和数据转发。每个分行网点配置一台出口路由器,与无线AP、POE一起实现端到端的QOS功能,实现更佳的用户体验。
n 认证服务器:在银行总部部署统一集中认证运营系统,提供用户授权和统一认证,认证计费服务器支持与运营商短信平台对接,将生成的动态口令通过运营商短信平台发送到指定的手机上,实现自助式用户账号管理和用户唯一身份确认;同时认证计费平台也支持与银行微信公众平台对接,提供微信无线上网认证。
n 上网行为审计:在本方案中,银行各网点所使用的AP均内置了上网行为审计插件功能,可直接与公安审计平台对接,对用户上网行为进行审计、记录和管控,非法网站过滤,带宽管理等,满足公安部82号令要求,对用户上网记录留存备案。
结合用户无线网络需求情况及产品技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求。整体框架基于瘦AP方式部署,采用AC(无线控制器)对各网点AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式转发、漫游等功能。系统的中央无线控制器可以同时控制上千个AP协同工作。操作和维护工作现在只需要在AC上进行就可以了。在这个架构里,AP只负责无线信号的收发,不作MAC层及其以上的协议层处理,所有的智能工作都由AC完成。
控制、管理报文通过无线控制器进行统一处理,数据报文采用本地转发直接本地出互联网;审计数据AP直接通过本地互联网出口上送公安平台。
六、无线网络用户认证设计
(一)、短信认证
车站(机场、码头等)属于公共区域,针对公共区域,采用“Portal认证+短信获取密码”的方式对接入用户进行认证。即做到安全、客户自助,同时满足公安部对于公共上网区域客户身份可追溯的要求。短信认证针对银行客户,可以做到:
1) 认证前,可以设置URL白名单,让认证前客户可以自由访问车站(机场、码头等)自己的网站。
2) 输入非车站(机场、码头等)网站的网址,弹出Portal认证页,该Portal页面可以根据
用户要求进行定制成自己的样式,进行车站(机场、码头等)品牌形象展示、业务展示等。
用户账户为手机号,点击“获取密码”可以获得短信通知的密码,客户
输入后获得上网权限,可以上网。
3) 客户在Portal页面输入正确的用户名、密码认证成功后,我们还可以自动弹出一个广告网页,譬如车站(机场、码头等)的最新业务介绍等。
认证系统可以自动识别不同的终端类型,自动判断是平板还是手机、PC,推出与客户终端相适应大小的页面,同时支持Portal页面可定制,以推出不同的认证页面和广告业务推广页面。
(二)、微信认证
本方案可以为车站(机场、码头等)无线网络提供微信认证方式。用户只需要在接入无线网络时,在页面点击打开微信,即可实现微信认证,并达到关注车站(机场、码头等)的微信订阅号或服务号功能,实现微信吸粉。
(三)、无感知认证
本方案提供无感知认证功能,顾客只要在车站(机场、码头等)某一网点无线上网认证过一次,后续来到车站(机场、码头等)上网无需再认证,直接上网。节约了短信网关的费用,并提升了上网的便捷性。
七、无线网络安全设计
WLAN利用了不可见的公用媒介进行空中信号传播,安全问题是部署无线的巨大挑战。仔细分析无线网络面临的安全挑战,主要是防止非法窃听、数据篡改,防止非法用户接入,防止恶意攻击(ARP攻击、DHCP攻击),防止AP过载(广播风暴),防止不合理应用等。针对以上安全问题,本方案产品提供对无线链路进行加密功能,如WEP、WPA、WPA-PSK、WPA2等加密方式,实现对所有无线数据进行加密传输。设备支持启用同一SSID的用户之间二层隔离,保障二层安全,避免ARP攻击、DHCP攻击、广播风暴等二层攻击行为。
同时针对空口信号安全,提供防钓鱼AP功能,可以进行钓鱼AP信号的实时监测,一旦发现钓鱼AP信号,AP将自动发起无线攻击,使正常客户无法连接到非法的信号,从而保证客户信息,该功能已经在宁波银行100个网点中得到实际应用得到客户认可。
八、无线网络可靠性设计
(一)、AP独立生存功能
独有的AP独立生存功能(HAP), AC和AP之间通信中断,AP可自动切换至自主状态,接管AC的管理和认证功能,保持原有用户业务不中断,同时保证新用户的正常接入。该特性可以在不增加AC硬件设备的前提下大大提高组网可靠性,减少用户投资。
(二)、支持AC1+1热备功能
AC1+1备份方案的实现是:一台AC主用处理各种业务,另一台AC备用,只负责与AP间CAPWAP保活报文的处理,在Master AC故障时改变自身角色,成为新的Master AC处理各种业务。
在AC的1+1备份方案中, 双AC同时与AP建立隧道,当主AC DOWN掉后,备份AC可以在毫秒级(例如100ms)内完成检测,并完成AP的主备倒换。网络中的AP通过CAPWAP协议与两台AC关联。AP从主用AC上获得所有的服务,Slave AC不提供服务,只负责发送Master AC down的信息。对端AC故障事件发生后,Slave AC会转变为Master AC,同时AP转到新Master AC上获得服务。
九、无线网络访问控制设计
银行可指定通过无线上网认证的客户,可访问的URL地址范围。通过设置无线网络的ACL功能,直接配置URL访问控制的黑白名单,满足银行需求。
(一)、上网行为审计设计
在AP上集成审计插件,对接广东省公安审计平台,实现数据审计
(二)、维护管理设计
1、灵活的带宽管控设计
为保障每个客户端的上网体验及合理分配有限的网络出口带宽,建议依照实际环境及要求对每个STA做限速。无线可以对终端进行以32Kbps为单位的限速。
2、AP软件集中升级
目前提供FTP升级和CAPWAP升级。FTP升级是将升级软件放在一台FTP服务器上,AC与其对接;CAPWAP升级是将升级软件放在AC上。上述AP升级方式都可以对单独AP升级或者对AP组升级。
十、方案特点
本方案价值体现:
1)架构先进,方便运维:业内先进的“AC+AP” 组网架构,通过在银行总部部署大容量AC,集中管理各分行网点上百台AP,实现所有设备的集中管理、统一配置、策略下发等,极大减轻运维难度;
2)多种认证方式,大数据收集:无线认证系统实现:短信认证、微信认证、二维码认证、预置密码认证、自注册认证等。通过认证收集客户的不同数据,同时无线网络能识别客户使用的移动终端的品牌及操作系统类型版本,从而形成完整的大数据结构。
3)多重安全机制保障业务安全:通过有线无线物理隔离、行内机器MAC地址过滤、基于手机号和动态密码的认证方案、特有的钓鱼AP防御和阻断机制等多种手段确保银行业务安全和用户上网安全。
4)业务展示促进营收:通过iPad、智能手机等随时随地进行网上银行、手机银行业务推介、理财产品介绍与推荐等,带动业绩增长和业务推广。
5) 提升客户服务满意度:通过无线网络提供客户上网休闲娱乐,客户在银行不再是枯燥的等待。
6) 满足公安部审计要求:通过对银行旗下网点用户数据审计,满足公安部要求,保证网络环境的安全和信息合法性。
十一、无线点位设计图
根据用户建筑结构并结合产品特点,本方案按照每个网点需要1台AP进行设计,4个大型网点按照2个AP设计
