金融WLAN解决方案(PPT版)v1——金融行业

金融WLAN无线解决方案金融行业部孟繁锦2011.7提纲金融有线网络的局限性和新要求1Wlan技术标准和选择2金融无线解决方案3推广策略4金融有线网络的局限性办公：有事不在工位时，不能利用iPad、iPhone等移动设备，随时随地处理办公管理业务，如会客、会议等会议：会议室开会，不能方便接入网络及时处理相关业务或查询相关资料营销：有线网络接入点限制，大堂经理不能用移动方便的平板电脑向客户介绍、推销业务运维：科技人员到机房维护需要搭线，限制位置和不方便，影响效率协作：业务和开发等需要临时组建项目团队，需要布线，影响效率扩容：原有布线没有留足接口，扩容网络需要新布线，破坏原有装修，增加成本备份：有线网络没有后备，故障后相关办公业务处理停顿来宾：来宾需要接入网络时，接入有线网络带来安全隐患金融办公、管理、营销新要求领导员工来宾笔记本ipadiphoneAnywhereAnyterminalAnyuser领导办公室会议室银行营业大厅机房办公区培训场所急需一种高效、灵活、高带宽、安全的接入方式来解决难题！无线局域网满足需求的能力需求现有有线网络无线网络效率差，需要布线或增加设备好，无需布线或增加设备方便性差，移动性差，不方便好，可随需移动，极其方便，扩展性差，需要布线，甚至部署设备好，终端随时接入适应性差，不适应手持终端好，适应手持终端，适应创新业务安全性好，有线路接口限制较好，缺少线路接口限制，需安全措施保障，安全措施稍复杂成熟性好，时间久，较成熟一般，时间短，快速发展中性能好，1G以上都已普及一般，100M以上（802.11n）才开始广泛应用无线局域网满足需求能力结论：鉴于802.11n无线局域网技术实际带宽可以达到100M以上，且有了健壮的无线局域网安全标准体系保障，在金融业务、办公、管理等边缘接入场所采用WLAN无线局域网技术，以增加业务、办公管理的方便性、便利性，进而提高效率、业务创新能力，进而提高银行自身的竞争力。金融无线应用需求总结第7页/共4页场景覆盖区域用户终端类型业务类型1、无线办公办公室省行、二级分行营业网点本行员工驻场IT维护人员来宾笔记本智能手机平板电脑管理应用（需后台审核开通）OA应用E-learing网站门户2、无线会议会议室省行、二级分行领导本行员工笔记本智能手机平板电脑管理应用（需后台审核开通）OA应用3、无线运维机房生产环境安保监控本行科技人员外包人员安保监控人员笔记本智能手机平板电脑网络巡检系统网管安全类应用（需后台审核开通）4、无线营业网点营业网点大堂经理后台员工来宾笔记本智能手机平板电脑管理应用（需后台审核开通）OA应用E-learing网站门户提纲金融有线网络的局限性和新要求1Wlan技术标准和选择2金融无线解决方案3推广策略4无线技术发展趋势两个发展趋势方向：1、宽带接入移动化2、移动技术宽带化802.11无线局域网空中接口标准802.11n的MIMO技术：可以提高单个AP的信号覆盖范围和信号质量，并大幅度提高速度，使得性能可以超过100M以太网。第10页/共4页标准802.11b802.11a802.11g802.11n发布时间1999.71999.72003.62009.9有效带宽5.5M24.7M24.7M100M以上无交叠信道数312315编码技术CCKOFDMCCK/OFDMMIMO/OFDM最高速率11Mbps54Mbps54Mbps300—600Mbps兼容性通过Wi-Fi认证的产品间可以兼容与11b/g不兼容向下兼容11b向下兼容11b、11g和11aSMP+802.11b802.11g802.11n802.11n的发展802.112002年9月：IEEE高吞吐量研究组成立，专门探讨提升WLAN速度的可行性。2003年9月：IEEE成立802.11n任务组，负责创设100+MbpsWLAN标准。2007年3月：草案2获通过。2007年6月：Wi-Fi联盟发布了11n互操作性测试及认证程序。2009年9月11日：IEEE标准委员会终于批准通过802.11n成为正式标准。802.11n的成熟-Intel迅驰技术普及Intel迅驰2平台4款无线模块：5100/5300/5150/5350WLAN网络组网方式选择目前主流大规模组网方式自治式组网：适合小规模简单应用配置管理维护工作量大IP、安全、服务等全部在AP上配置，查看，安全性低AP丢失，配置丢失，且需要重新配置集中式组网：适合大规模组网配置管理维护工作量小»IP、安全、服务等全部在AC上配置，查看，管理安全性高集中式无线局域网无线局域网组成IP网络AAACA无线客户端无线接入点AP：通过无线射频跟客户端通讯；将无线格式报文转换为有线网络格式并转发无线控制器AC：1、管理AP2、转发AP转发的流量3、安全控制功能安全服务器：1、用户名密码认证2、数字证书认证3、生成密钥并分发WebWLAN无线网络安全标准选择OPEN+WEPSHARED+WEPIEEE802.1x+WEPWPA-PSK（TKIPorCCMP）WPA2-PSK（TKIPorCCMP）WPA（TKIPorCCMP）WPA2（TKIPorCCMP）第15页/共4页Pre-share-Key+TKIP/CCMP802.1X+TKIP/CCMP结论和建议安全认证小规模局部部署：Web+PSK大规模部署：802.1X+数字证书EAP：PEAPorEAP-TLS安全加密小规模部署：WPA2-PSK大规模部署：WPA2提纲金融有线网络的局限性和新要求1Wlan技术标准和选择2金融无线解决方案3推广策略4金融无线解决方案一级分行：1、2台AC，2、AAA、CA、E-portal服务器、无线网管系统3、AP二级分行：1、2台AC、2、无线网管终端3、AP网点：1、AP产品要求AC一级分行部署，吞吐性能20Gbps，管理700个以上AP能力；二级分行部署，吞吐性能20Gbps，管理250个以上AP能力；支持AC集群或热备份冗余；支持WPA、WPA2安全标准；支持E-portal认证、Mac地址认证；支持二三层漫游；AP支持POE供电；覆盖性能：190Mbps/台；用户数量：30用户/台支持20个以上的SSID；支持WPA、WPA2安全标准；支持E-portal认证、Mac地址认证；支持二三层漫游；金融无线解决方案无线办公，平板电脑等移动终端随时随地接入，提升办公效率；无线营销，大堂经理随时向客户展示业务、传递价值，提升客户感受；无线会议，随时处理会议决策、记录，提升效率；无线运维，科技部门提升维护效率。应用环境无线办公无线运维无线营销无线会议行外访问需要在无线终端上安装IPSec客户端或通过SSLVPN进行WLAN方案关键点第22页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大严格认证、加密STAAP1、认证：802.1X（证书认证、生成主钥）AAA3、加密：每帧不同密钥身份合规、终端合规、数据机密、防篡改和重放ACPMKPMKPMKPTKPTKGTKGTK2、4次握手，每次一密4、校验：48位帧序列号防重放，消息完整性校验统一证书认证：1、手持设备：软证书2、笔记本，台式机：硬证书全国统一认证、漫游（AAA方案）AAA与证书服务器互联协议：EAP-CHAP-V2全国统一认证、漫游（AAA+AD方案）访客接入认证、授权访客认证有3种方案Web认证：小规模，简单应用大规模方案2：Web+AAA+AD大规模方案1：Web+AAA认证权限控制（本地用户）1、认证信息User=testB，带SSID信息4、AC对该SSID用户对应vlan或网段进行控制，或网关交换机进行控制分行AAAAC，DHCP2、转交AAA认证，3、认证用户正确性，SSID正确性，认证结果转交AC其他安全措施禁止广播SSID驻场人员，通过设定专门Vlan和安全策略，限制访问权限账号锁定，3次密码错误锁定账号，进入黑名单非法AP限制移动终端证书认证WLAN方案关键点第29页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大无线AC虚拟化集群技术N+1冗余备份Page30MasterACBackupACAPMasterTunnelBackupTunnelMasterACMasterACAPAPBackupACMasterTunnelMasterTunnelBackupTunnel1+1冗余备份通过集群技术实现50ms跨控制器漫游盲区自动覆盖与信道动态调整WS无线控制器无线接入点射频信道“6”射频信道“1”射频信道“11”WS无线控制器•基于每个用户的带宽限制›基于Qos-Profile设置严格的用户使用的带宽•基于每个SSID的带宽限制›限制整个SSID的使用带宽›控制粒度单位：KBps1Mbps2MbpsSSIDData16MbpsSSIDVoice12Mbps•基于二层/三层的用户隔离›限制同一AP下用户互访›限制同一SSID下用户互访›保证无线带宽资源不被本地应用占用基于用户的QoS和带宽管理50ms级别的无缝漫游技术■用户业务不中断■二、三层用户漫游■AC内和跨AC的二、三层漫游WLAN方案关键点第34页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大性能：好用高带宽广覆盖易兼容易穿透密接入802.11n性能：好用大容量、高性能、集中管控电信级高可靠性精细化业务标识和用户定位业务连续性提升用户体验运营级AC双万兆口/8千兆电口768个AP20G的802.11吞吐量WLAN方案关键点第37页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大分级、统一网管有线、无线统一管理有线无线统一拓扑管理设备的批量配置与控制无线网络健康度监控设备的精细化管理拓扑管理■直观了解无线整体部署情况，通过饼图、柱状图方式查看当前AC、AP、用户、告警等信息。■有线无线一体化拓扑管理，直观了解无线网络部署状况、链路通断、设备故障等信息。AC管理AC当前运行状态一目了然，并且可以根据直观的菜单项对AC进行详细配置AC配置菜单■AP设备列表，可以方便查看所有AP状态、配置、位置等信息，方便整体管理。■AP批量管理，可以方便批量的配置AP名称、定时开关等功能，支持配置模板导入。■AP版本报表，可以方便地查看AP版本及部署数量，及时地发现AP版本异常信息。■AP带机阈值，可以方便地设定AP带机数阈值，为无线网优提供及时的信息发现。AP管理•无线用户状态一目了然，随时了解无线用户上下线状态，链接速率，信号强度等问题用户管理锐捷无线解