案例介绍
一、项目介绍
伴随着时代的发展,很多传统行业为了更好的适应当今越来越激烈的市场竞争,都在服务种类和服务领域进行了变革,对于金融行业也是同样如此。现代的金融行业如果还像以前一样固步自封,只提供基本的交易即可的话,就很难适应更多客户的需求。如何在同业竞争中永远领先一步,为客户提供更全面周到地服务,一定是金融行业客户首先考虑的问题。近年来,随着移动互联网和无线网络的高速发展,手指移动终端几乎是人手一个甚至多个,传统网线上网早已经无法满足用户上网的需求,无线上网服务的需求越来越大。如果能在金融行业中添加WLAN无线上网服务的话,将会给经营者带来更多的客源,因此已经有不少金融行业实现了WLAN覆盖。WLAN覆盖不仅方便了客户,同时也是留住回头客保持入住率的有效手段之一,也为经营者创造了效益。
二、网络覆盖设计遵循的原则
l 网络的标准化和易扩展性--网络的结构,技术和产品的标准化,结构的易扩展,技术和产品的可连续性。
l 网络业务的适应性--适应多业务发展需求,提供高质量的可服务于图象,话音,数据的业务网。
l 网络路由协议的健壮性及开放性--它应具有很好的收敛性和可扩展性,同时其网络额外开销是极小的,且受到国际标准的支持,保证不同设备见的互通性。
l 网络的易管理和维护性--全网可进行统一或分布管理,网络维护简单有效。
l 网络的实用性--根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
l 网络安全性--是指防止非法访问者通过互联网络对网络节点进行攻击的能力。内部局域网的安全则主要依靠划分VLAN来进行隔离,网旗科技的以太网交换机产品均支持VLAN。
l 可扩充性-考虑到今后信息化的进程和逐步演进,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
l 开放性-技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
l经济性-应该充分的利用现有的网络资源,充分考虑经济和安全的最佳结合点。设备在保障性能和可靠安全的基础上,应能达到最佳性价比。
三、无线覆盖设计
3.1 无线网络拓扑
局域网采用星型网络拓朴结构,星型拓朴结构为现在主流的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。所有节点的往外传输都由中央节点来处理。
3.2 逻辑施工拓扑图
解决方案
如图所示AP根据部署位置选择网旗室内AP,同时启用AP的FIT模式,支持集中管控,可由硬件控制器统一下发所有配置。无线网控制、管理部分采用网旗WQAC系列无线网络控制器,本产品支持集中管理局域网内所有网旗无线AP,统一下发配置,统一升级,统一设置认证,无线漫游等等多种功能,网络管理员在控制器中就可以轻松管理内网所有无线AP,十分方便。通过网旗无线云平台,实现对多位置的集中认证、广告投放及数据管理。当用户连入无线网络时强制推送无线营销页面,同时实现上网的认证以及用户访问行为的统计分析。供电部分采用网旗POE供电交换机,网旗所有AP都支持标准的802.3AF协议,接入到POE交换机之后,同时提供电力及数据传输,方便用户进行网络部署,无需砸墙布线即可实现无线覆盖。
3.3 设计方案
3.4 方案特色
1)MAC免认证
通过MAC地址绑定后,领导或特殊客户使用移动终端(手机、平板、笔记本等)通过MAC免认证的方式接入至无线网络中,与普通游客和员工区别,不需要进行认证即可访问互联网,不影响现有的业务系统运行;
2)无线接入认证
所有具备无线功能的游客和员工终端均可以方便的接入到无线网络中,当发起http访问请求后会被重定向到Portal认证页面,用户可以根据情况选择手机短信认证和其他认证方式;
3)第三方数据源认证
使用到静态用户名密码认证的用户,网旗云科Radius系统可以实现与景区管理系统对接,实时读取数据库即可完成认证,可以方便的进行溯源;员工可以使用景区管理系统中的账号密码或个人信息进行登录;
4)认证页面定制
认证页面/认证成功页面均可以按照自己的要求进行定制设计,支持网页设计语言,达到良好的页面展示效果;在认证页面和认证成功页面可以自由设计承载信息、公告;
5)页面跳转
当用户完成认证后,自动跳转至景区官网或其他指定网址,提高景区广告推送频率及质量;
6)手机短信认证
支持手机获取随机密码短信的方式认证上网,游客只需要输入自己的手机号码即可收到随机密码,在规定的时间内输入密码提交验证即可无线认证上网;
7)用户管理
强大的用户管理功能,可以实现对不同认证方式的用户采用不同的上网策略,包括上传、下载速度以及在线时长等,实现对无线接入用户的速度、在线用户数、上网时长等管理;
8)二次登录免认证
当用户第一次完成正常的手机短信认证上网流程后,该终端的MAC地址会被系统记录下来,下次在使用终端时,会自动连接上无线网络并不需要认证即可访问互联网。拓展:访客使用微信认证功能时,本系统radius可进行检测,若用户已经关注了微信公众号,系统则不会提示用户进行重复关注,而只是弹出一个信息推送页面,点跳过后即可访问互联网。
9)信息记录
通过网旗云科Radius系统可以获取手机短信认证的手机号码信息,可方便将短信记录下来。
10)微信认证
可以实现微信关注后认证上网,方便景区对游客提供信息推送、业务预约等等功能等。
11)身份认证
通过采用本套方案,可以实现对所有上网用户的身份鉴别,满足公安82号令所要求的上网行为记录。
12)数据统计分析
可以通过采用本套方案,实现对用户上网时间,时段,流量,时长,地点等记录,以便后期采用大数据分析,优化结构,提高服务质量。
13)万能弹特色
网旗云科认证系统具有独特的万能弹功能,可根据不同地点、不同用户、不同地点、不同时间,使用不同的认证方式,推送不同的认证页面。手机、电脑自适应页面(本系统可检测用户终端种类,针对手机、电脑分别推送不同的portal认证页面,以适应各类终端上的页面显示。)
14)上网时间限制
当访客连入无线网络并认证成功访问互联网后,本系统可对用户上网时长等进行管理。限制访客的上网时长,有效防止恶意蹭网。
四、方案产品介绍
4.1 PORTAL管理平台
网旗云科统一无线认证管理系统是一款针对大中型企业、政府、医疗、景区、高校、无线运营商、无线广告运营商设计的统一无线认证管理产品,基于自主研发的核心技术,为政企及运营客户提供高稳定、高安全、高可用的无线运营平台。
产品架构
产品特点
4.2 高性能平台
技术参数
网旗云科无线室内AP WQA2501
| 一、产品概述 |
功能及技术指标 | 具体参数要求 |
★无线接入人数 | 单频段≥30,双频≥60 |
外形 | 为满足美观要求,要求AP外形为吸顶式设计 |
内存 | ≥64M |
Flash | ≥16M |
网络接口 | 10/1000自适应电口(输入) |
天线 | 内置≥5dbi*4全向天线(2.4G*2,5G*2) |
POE | 支持标准的802.3af/at供电 |
供电 | 不支持本地供电 |
功率 | <24W |
无线标准 | IEEE802.11a/b/g/n |
无线频段 | 802.11b/g/n : 2.4GHz-2.483GHz (中国),802.11a/n:5.150GHz-5.825GHz |
功率可调 | 需支持功率调整 |
★多SSID | ≥4个,并支持对每一个SSID分配加密和VLAN策略。有利于学校和企业等环境的复杂应用管理。 |
★中文SSID | 需支持中文SSID设定,满足国内用户需求 |
无线频宽 | 需支持20MHZ模式和20MHZ/40MHZ/80MHZ切换 |
★云PORTAL | 支持以手机号码、QQ号码、微信公众平台、新浪微博、倒计时、随机密码、固定账号、随机账号等多种方式认证到无线网络;用户可以自主选择多个Portal模板以及更改模板中的图片和文字;可实现广告推送和精准营销;不同的门店或地点具有不同的portal页面,可针对不同的地点推送不同的portal;不同的用户角色具有不同的portal,可针对不同的用户角色推送不同的portal;Portal绑定微信关注,提高公众号关联度。 |
无线漫游 | 需支持无线漫游, |
接入速率 | 需支持750Mbps无线接入 |
★VLAN | 需支持802.1QVLAN,管理VLAN,LAN口VLAN,多SSID VLAN |
系统负载显示 | 需支持系统负载显示,超出设定数值时在日志中予以提示 |
WDS | 需支持无线桥接 |
用户隔离 | 需支持用户隔离 |
广播SSID取消 | 需支持广播SSID取消 |
无线射频 | 支持手动关闭无线射频 |
★ARP代理 | 与列表中IP与MAC地址全部匹配的设备方能通过AP转发,可保护重要的服务器,如网关,DHCP SERVER等不被伪造 |
★MAC过滤 | 通过信任列表和黑名单等形式,禁止非法无线终端接入到无线网络 |
★智能流控 | 支持针对单个无线终端及无线AP整体流量的智能流量管控,支持多SSID设定不同的流量管控策略 |
★微信连WIFI认证 | 支持腾讯微信连WI-FI功能,顾客仅需通过微信“扫一扫”二维码等方式,即可快速连接商户提供的Wi-Fi免费上网。连接成功后,用户微信主界面顶部会出现“正在连接Wi-Fi”的状态提示,用户点击该提示,即可查看商户公众号、优惠活动以及使用商户提供的在线功能和服务。 |
管理 | 需支持FAT/FIT AP模式切换,支持AC统一升级,统一模板操作等 |
维护方式 | WEB页面, ssh |
统计信息 | 需支持AP状态统计,用户状态统计 |
无线网络出口层(网关路由器)
| 出口层的网关路由器主要用于外接电信运营商光纤、宽带线路,可采用企业级高性能路由器,路由器功能全,接入线路多,流控新,速度快,易布控,可做精准的行为管理,支持云端管理与云端互动,可轻松实现各种认证计费和广告宣传。由于采用了最新的流控技术,具有良好的上网体验,从而提高员工的工作效率,合理利用外网带宽,有效避免了重复采购等好处。目前已通过3C认证,并获得国家软件著作权,广泛应用与大中专院校和企事业单位。出口层网关路由器自硬件和软件两方面保证了学生在使用网络时的稳定性。并且路由器自带防火墙功能,可实现与原有校园网之间的隔离。 |
WQR7200G是网旗云科为中型企业:小型商场、饭店、商务型酒店,休闲娱乐场所等中等网络环境所推出的一款千兆上网行为管理路由。7200G在上述环境下最大带机量可支持200-250台,它采用64位高性能专用网络处理器,软件默认为3个千兆WAN口和2个千兆LAN口,1个USB口,支持USB局域网文件共享。
WQR7200G拥有先进的千兆硬件架构,业界先进的最小包转发能力,内置高性能防火墙,具备超强病毒防御能力,丰富的内网安全特性和智能带宽管理功能,人性化的WEB管理和监控界面,为企业构建安全、高速、稳定、智能、易管理的千兆网络。
技术参数
功能及技术指标 | 具体参数要求 |
★CPU | 多核处理器,频率≥1.8GHz |
内存 | ≥2048M |
FLASH | ≥16M |
★网络接口 | 支持WAN/LAN互转 |
风扇 | 无风扇静音散热 |
转发模式 | 支持智能、手动负载均衡模式,支持路由转发模式 |
协议支持 | PPPoE DHCP服务器,DHCP固定地址分配 NTP,sntp DDNS(www.3322.org,花生壳等) |
★防火墙 | 支持filter和NAT两种形式的防火墙,支持DNAT,SNAT,支持针对源IP,目的IP,以及分时间段的防火墙管理 |
网络安全 | ARP防攻击/免费ARP状态数据包检查,防止WAN口的Ping,防止TCP syn扫描 防止Stealth FIN扫描,防止TCP Xmas Tree扫描,防止TCP Null扫描 防止UDP扫描功能,防止Land 攻击功能,防止Smurf攻击功能 防止WinNuke攻击功能,防止Ping of Death攻击,防止SYN Flood攻击功能 防止UDP Flood攻击功能,防止ICMP Flood攻击功能,防止IP Spoofing功能 防止碎片包攻击,防止TearDrop攻击,防止Fraggle攻击功能 |
访问控制 | 支持IP,MAC地址绑定;支持主机过滤,设定后屏蔽规则链主机;支持连接数限制 |
★流量控制(QOS) | 支持智能流控,可根据内网应用所需自动计算分配带宽数值;支持传统IP流控,可自行设定单IP上下行数值。 |
★流量监控 | 支持网络监控,支持整体流量图监控,主机监控,连接信息查看,应用饼图及ping检测tracert检测等。 |
策略路由 | 支持静态路由,源地址路由,目的地址路由 |
协议调度 | 支持针对端口的线路调度 |
PPPOE SERVER | 支持PPPOE服务端:用户管理,拨入列表查询,计费状态查询,支持自定义续费公告,拨号公告,支持按时间,按流量等多种计费方式,支持服务日志。 |
WEB 认证 | 支持WEB认证服务端:支持自定义跳转地址,自定义认证界面LOGO,支持创建固定用户,流动用户,支持添加例外ip,例外MAC,支持认证状态查看,支持服务日志。 |
★VPN | 支持PPTP VPN服务端,客户端,支持点对网,网对网拨入;支持VPN数据加密,支持数据网关起禁用;支持VPN拨入列表查看;支持VPN日志; 支持SVPN 服务端,客户端,支持L2TP VPN。IPSEC VPN |
★PPPOE扩展 | 支持配合VLAN交换机额外接入128条PPPOE线路 |
★弹性端口 | 支持自定义WAN口和LAN口数量 |
其他功能 | 支持一对一NAT,支持DMZ主机,支持DNS强制,PING强制,即插即用,配置导入导出等。 |
管理 | WEB、SSH |
软件升级 | 支持WEB页面本地上传固件升级,服务器远程升级。 |
网络协议技术
需求技术简介
现如今网络发展迅速,无线网络如何更有效的实现各个部门的信息交流尤其重要。本文将根据无线网的需求介绍校园网中常运用的各种路由协议的工作原理、保障校园网络之间数据信息传输不糊干扰,
无线网络是为员工提供上网、娱乐和综合信息服务的宽带多媒体网络。首先,无线网络应为企业宣传、科研提供先进的信息化传播环境。这就需求根据目前校园网络结构实现分层管理,设备冗余,多业务传输,智能流控以及动态主机分配IP,网络安全的一些协议来稳定运行网络业务,下面对常用协议进行简单阐述。
DHCP动态主机配置协议(Dynamic Host Configuration Protocol)
是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。
功能概述
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:
1)保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
2)DHCP应当可以给用户分配永久固定的IP地址。
3)DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
4)DHCP服务器应当向现有的BOOTP客户端提供服务。
DHCP有三种机制分配IP地址
1)自动分配方式(Automatic Allocation),DHCP服务器为主机指定一个永久性的IP地址,一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后,就可以永久性的使用该地址。
2 动态分配方式(Dynamic Allocation),DHCP服务器给主机指定一个具有时间限制的IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。
3)手工分配方式(Manual Allocation),客户端的IP地址是由网络管理员指定的,DHCP服务器只是将指定的IP地址告诉客户端主机。
三种地址分配方式中,只有动态分配可以重复使用客户端不再需要的地址。
DHCP消息的格式是基于BOOTP(Bootstrap Protocol)消息格式的,这就要求设备具有BOOTP中继代理的功能,并能够与BOOTP客户端和DHCP服务器实现交互。BOOTP中继代理的功能,使得没有必要在每个物理网络都部署一个DHCP服务器。RFC 951和RFC 1542对BOOTP协议进行了详细描述。
DOT1Q
dot1q就是802.1q,是vlan的一种封装方式。
VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理LAN网段。
VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性.
MSTP 多生成树协议(Multiple Spanning Tree Protocol)
多生成树协议该协议可应用于在网络中建立树形拓扑,消除网络中的环路,并且可以通过一定的方法实现路径冗余,但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备,在配置上和体现功能强度上有所差别,但是在原理和应用效果是一致的。
生成树算法的网桥协议STP(Spanning Tree Protocol) 它通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其他网桥交换BPDU消息来监测环路,然后关闭选择的网桥接口取消环路,统指IEEE802·1生成树协议标准和早期的数字设备合作生成树协议,该协议是基于后者产生的。IEEE版本的生成树协议支持网桥区域,它允许网桥在一个扩展本地网中建设自由环形拓扑结构。IEEE版本的生成树协议通常为在数字版本之上的首选版本。STP的基本原理是,通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(Bridge Protocol Data Unit,简称BPDU),来确定网络的拓扑结构。BPDU有两种,配置BPDU(Configuration BPDU)和TCN BPDU。前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短MAC表项的刷新时间的(由默认的300s缩短为15s)。
spanning Tree Protocol(STP)在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。
MSTP的特点
MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来;通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。
MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
MSTP兼容STP和RSTP
智能流控
开启QoS智能流控后,将自动根据网络中活动主机的各种应用(包括游戏、P2P、网页及其他应用)的带宽使用变化情况,对网络带宽的分配进行优化调整。
智能流控路由器功能
支持QoS功能:QoS支持基于IP和服务类型的带宽限制
可依需要据对指定IP或者端口的上传下载带宽进行管理.
最小带宽保证功能,网络使用率再高我也不卡不掉线!
可根据时间进行管控,另外可排除不受限制的IP范围! 多WAN (广域网)接入
支持自动检测WAN口状态并自动启动WAN连接
支持实时显示WAN联机状态的功能
支持PPPOE、动态IP、静态IP等宽带接入方式
支持TCP/IP、PPPOE、DHCP、ICMP、NAT等协议
内建DHCP服务器,同时进行静态地址分配
支持虚拟服务器、DMZ主机
内建防火墙,支持IP地址、MAC地址、域名地址过滤,可灵活控制上网权限与时间
支持远程Web管理,全中文配置界面
支持软件升级
支持MAC地址修改与克隆
提供简单的配置与监控程序
AP lsolation 隔离
AP隔离指的是开启之后,各个连接的电脑不能互相访问,起到隔离的作用,来保障不同用户的安全!
多见于无线通信方面,常见于路由器设置中。
AP隔离非常类似有线网络的VLAN(虚拟局域网),将所有的无线客户端设备之间完全隔离,使客户端只能访问AP接入的固定网络。
该措施非常适合大型的会议室、酒店、机场等公共场所的无线网络建设,让各个接入的无线客户端之间相互保持隔离,提供彼此间更加安全的接入。该措施对于家庭用户来说没有太多的实际意义,但企业用户在一些特殊的场合可以采用这种方式来加强无线网络的安全性。例如有客户或外单位人员参加的会议等公共活动。该方法用于对酒店和机场等公共热点Hot Spot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
port security 端口安全
Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。
从基本原理上讲,Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。
