一、项目背景

1.1 企业WLAN建设背景概述

广东烟草广州市有限公司是广州地区国家烟草专卖专营机构，负责广州地区烟草制品的专卖管理，经营范围以国产卷烟为主，兼营进口卷烟。局（公司）内设办公室、营销管理中心、专卖管理办公室、信息中心、财务处、从事劳资处、安全保卫处、纪检监察处、审计处、政工处、工会11个处（室）。下设荔湾、越秀、海珠、天河、白云、黄埔、番禺、南沙、花都、增城、从化11个专卖分局以及1个物流配送中心和1支稽查支队直属稽查队，拥有员工1000多人

1.2 项目需求情况介绍

（一）提供稳定安全的办公无线网络。

（二）办公无线覆盖区域无线信号强度不低于-65dBm。

（三）▲用户接入须实名认证，并记录用户的上网行为，满足国家网络信息安全审计需要；提供公共WIFI对接公安审计服务；审计日志保存时间不少于300天，日志须同时存储在区局（公司）、物流配送中心、专卖稽查中队和市局机关本部；市局机关本部须保存所有下属单位审计日志。

（四）无线控制器和安全审计网关须包含不少于36个月特征库、规则库、补丁及安全更新升级服务。所有审计设备产品须具备《计算机信息系统安全专用产品销售许可证》，且已向广州市公安局网警部门报备。

（五）▲市局机关本部须对下属单位所有 AP 和无线控制器进行统一集中管控，实现对所有AP和无线控制器的统一集中配置管理以及网络运维，并实现基于用户、接入位置、时间段 、终端类型等因素分配不同的上网权限策略。

1.3 WLAN无线企业网络总体需求  

  安全

安全、便捷的接入认证方式，保证网络的安全性

精细的访问控制策略，保证部门信息安全

对数据传输进行加密，防止黑客窃取、篡改

快速

在企业内移动时能快速切换，满足移动办公需求

足够的互联网以及内网带宽，保障办公应用的流畅访问

稳定

无线不断线、不中断，不能因无线网络问题影响办公效率

良好的网络冗余和容错能力，无线网络常年使用稳定

二、解决方案

2.1有线网络

基础互联网接入方案

为了满足烟草构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，结合烟草实际的上网流量需求，本项目互联网接入全部设计为光纤接入作为基础网络，设计内容与建议带宽为：总部为1条50M带宽的互联网极速专线服务+1条1000M的互联网商务专线；各个分局为1条20M带宽的互联网极速专线服务+1条500M的互联网商务专线。

光纤接入网由于其高速率、低成本的特性且发展潜力巨大，资源丰富，因此将是未来接入网的主流技术，这已成为业界的一个共识。目前，有源光网络的成本与铜缆逐渐接近，无源光网络也逐渐与铜缆接近，使得光纤网络日益延伸到我们的生活中来。最具安全性的高速率透明光纤通路成为用户信息网进行宽带上网的首选。

2.2 无线组网及认证接入方式

本设计方案按照AP+AC的结构化无线网络解决方案进行设计。具体设计为在市局部署AC，在各分局直接部署分支AP。市局AC可以对各分局的AP进行统一管理。

无线接入方式分为员工接入和访客接入，员工接入内网，可以访问一些内部资源与外部网络，而访客则接入外网，优化内网的工作效率与访客的外网体验，更保护了内网的安全，增强内网的安全性，防止内网受到攻击而导致内部资料泄露。

2.2.1 员工接入认证方式

支持和企业内部的用户认证服务器进行身份认证，只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快速的身份校验，既安全且可靠。

企业认证支持本地内部数据库服务器，本地数据库支持认证终结到控制器上。

首次连接无线网络认证时，用户名和终端可以实现自动绑定，帮助企业快速完成身份绑定，若用户拥有多个上网终端，管理员也可以灵活的手动审批后续新加入终端的绑定。因此企业可根据用户组织结构划分不同的访问权限，避免越权访问问题的发生。

(a)portal认证

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。同时本次建设无线支持Portal认证页面自定义，可方便灵活的根据自己的需求来制定Portal认证页面，包括但不限于页面标题、logo、背景颜色、文字描述、广告图片等信息同时本次建设无线支持Portal认证页面自定义，可方便灵活的根据自己的需求来制定Portal认证页面，包括但不限于页面标题、logo、背景颜色、文字描述、广告图片等信息

(b) 802.1x一键配置

在部署基于证书认证（ EAP-TLS）或用户名、密码认证（ PEAP-MSCHAPv2）的企业无线网络时，由于接入无线网络的终端类型众多，不同平台的无线网络配置方法各不一致。这提高了用户接入无线网络的难度，降低了用户体验。因此在大规模部署企业无线网络时，如何让所有无线终端都能快速，安全的接入企业无线网络将成为一个挑战，对于大部分行业客户的 IT 管理员来说更是难以接受的挑战。电信提供的 802.1x 认证一键配置，让安全和方便同时兼得。

(c)账号与手机号绑定

为了提高Portal认证的安全性及灵活性，账号首次登陆时需要绑定手机号并输入短信验证码，后续无需输入短信验证码，当用户账号被他人使用或者被盗，在新终端登陆时，同样需要输入短信验证码，解决员工web认证的安全问题。

同时，绑定手机号码的用户，可以自助重置密码和修改密码，无需通过IT管理员

2.2.2 访客接入认证方式

企业常用的认证方式主要为二维码认证，二维码认证安全快捷。此外电信提供技术还有短信认证，免认证，临时访客认证等方式。

访客是开放的企业每天都会面对的群体，供应商、客户、商业伙伴、相关领导来到公司参观，都需要便捷的接入无线网络。电信提供了更简洁的认证方式，来访客人只需要连接该公司无线网络，然后打开浏览器自动出现二维码，内部接待员工用自己的终端扫一扫即可认证通过。二维码认证技术经过公安部认证，且针对访客行为可追溯。

2.2.3 portal服务器

若用户已经购买过第三方的无线，那么本次可以通过电信提供的无线控制器，进行统一认证。电信提供的无线控制器能够支持给第三方的无线设备做认证，包含：国内外主流厂家（支持portal2.0）的无线设备。实现的认证方式有：账号密码认证、短信认证、临时访客认证。网络拓扑如下：

2.3 企业用户上网行为管理控制

网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。  

 2.3.1员工上网权限控制

全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。本次建设无线控制器拥有国内最大的应用识别库，可以精准识别2000种以上网络主流应用，并且有专业的研发团队定期维护更新，保证库处于最新状态，提高应用识别准确率。

除了精准的应用识别库，还提供丰富的、灵活的控制策略，企业可以针对不同的用户、不同的接入位置、不同的时间段进行员工的上网访问权限控制，通过基于应用层的访问控制，灵活控制员工的上网权限，每一个员工都只能访问已授权访问的系统，防止非法的、未经授权的越权访问，相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。

2.3.2允许访问指定网站

在企业办公时，往往会对研发部门进行网络限制，不允许其上外网，但是呢，研发很多时候都需要在网络上搜索资料，这时就可以里访问控制策略中配置全局排除地址，如设置域名 baidu.com，这样就允许研发进行百度资料查询。可以使用在在多种无线部署时，用户终端接入无线网络，在认证前不允许上网，但是可以配置官网排除地址，允许用户浏览客户官方网站或者允许上某个网络等的场景。

2.3.3员工上网行为审计

提供技术上网审计功能， 支持对有线用户和无线用户的网络行为和内容进行审计，
包括但不限于 HTTP 外发内容、访问的网站和下载、邮件、 FTP、 TELNET、其它已识别和未识别的网络应用、网页内容、 ACL 拒绝行为、以及审计用户访问应用的流量与时长。通过配置审计策略，在角色中引用相应用审计策略，并给用户分配相应的角色，即可实现对用户的审计。 并支持排除审计应用、开启审计和关闭审计功能。
从此，上网用户看过什么、做过什么，您全知道。且完全满足公安部令第82号令。

2.3.4数据中心报表功能

针对企业有线无线网络完成用户的接入、认证，同时对用户的网络行为和内容进行审计，审计的结果保存于数据中心。本次建设无线支持内置数据中心和外置数据中心两种保留方式。其中内置的数据中心可以配置日志保留天数、磁盘预警百分比。除了将审计的结果保存于数据中心之外，我们还提供多种类型的报表，这些报表可以更好的帮助客户分析网络状态，为客户提供更方便、快捷的的管理维护方法，以及更深层次的挖掘上网用户价值，助无线增值一臂之力。

2.4信息安全保障

随着无线网络的发展，越来越多的公司允许员工用个人或公司配发的移动设备办公，处理业务数据， BYOD（Bring Your Own Device）成为一种移动办公的趋势。由于无线的开放性，以及 BYOD 接入终端的多样特性，导致接入到无线企业网中的终端的合法性、安全性无法得到保障。比如员工自带的设备多种多样，尤其是Android 终端的开放性，导致其比较容易受到攻击从而嵌入木马、黑客工具等，这样的终端接入到企业网络中后就可能导致内部业务数据的泄漏，虽然可以通过访问控制策略对接入的终端做精细化的权限划分，但一个健壮的安全解决方案，首先应该在接入层面就能过滤掉绝大部分的攻击。

2.4.1绑定终端的安全准入

1、用户 MAC 绑定，用户在首次接入无线网络时输入用户名、密码就能直接绑定终端的 MAC 地址， IT 管理员无需介入，既保障了接入设备的可信性，也减轻了 IT 管理员的负担。若是用户名、密码被盗用，绑定了非法终端的 MAC 地址，用户在正常接入时就能发现问题， IT 管理员可及时强制下线非法终端加入黑名单，并人工绑定合法终端的MAC 地址，黑客用窃取的用户名、密码也无法登陆，因为其 MAC 地址不对。

2、若是认为 MAC 地址容易串改，本次建设无线提供了更安全的证书认证方式，并且内建了 CA 证书服务器，无需第三方的证书服务器的支持。企业通过邮件或移动存储设备分发证书给信任的移动终端（手机、 PAD、笔记本），用户安装了证书后，需要与控制器进行加密的双向证书认证，才能通过验证，用户只需要在第一次连接网络时输入自己的用户、密码，再次连接企业网络时，可以直接连接上网。这样即使泄漏了用户、密码，黑客也由于没有证书，而无法接入到无线网络，达到了更高的安全性。

3、MAC 地址白名单，对于配发移动智能终端的企业，可以批量采集配发终端的 MAC地址，只有在这个白名单中的终端才能接入无线网络，预防非法终端的接入

2.4.2终端类型的安全准入

本次建设无线，基于其强大的终端类型识别，通过 OUI 识别、 DNS 指纹特征等技术，无需安全第三方应用程序到设备上，在设备接入时就能准确识别出类型，识别出设备类型后，可以只允许 IOS 终端接入，禁止其他类型终端接入到企业内网中。甚至可以结合访问控制策略，也可以灵活设置，对于安全级别高的资源，只允许 IOS类型的终端访问，有安全隐患类型的终端类型只允许访问公共资源。以上的安全准入方法可以结合使用，只有用户名、密码正确，用户名 MAC 地址绑定正确，且安装了证书能够通过双向证书认证，且是允许的安全类型终端才能够接入到企业无线，访问内部资源。通过多的安全保障，在接入层过滤掉大部分的攻击，减少 BYOD对企业带来的安全隐患。

2.4.3防钓鱼WIFI

所谓钓鱼 WiFi，就是黑客或不良分子在公共场所搭建“免费”WiFi，或者搭建与原无线网络相似或相同的无线网络（SSID）， 诱使无线客户端访问虚假的无线接入点，从而达到截获其账号、密码等信息的目的。

电信提供除了具备强大的行为管理、应用控制外，也具备无线入侵检测系统（ wIDS）、无线入侵预防系统（wIPS），它是通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。利用 wIPS 技术，可以对非法接入点进行检测以及反制，可以对具备某些特性，如特定SSID（与原网络相同或相似）、非法 AP 的 MAC（物理地址）或者非无线控制器所管理的AP 发射出的无线信号，进行时时扫描、检测，对检测到的钓鱼 WiFi 后可对其进行反制，引导无线终端不接入钓鱼 WiFi。反制后的结果就是：钓鱼WiFi 对于用户来说，就是没用。

2.4.4 无线空中加密技术

无线数据在空中传输，承载者企业各种业务数据，需要高效且可靠的加密机制来避免数据被暴力破解或篡改。电信提供技术支持国际标准的多种数据加密方式，保证了企业业务数据在传输过程中既安全又可靠。主要体现在以下3方面：

一、保证数据的安全性。WPA2密钥长度为128 位，解决了传统密钥过短、容易被第三者恶意截获的问题，且在WPA2中定义了一个具有更高安全性的加密标准CCMP，旨在给用户提供了一个完整的认证机制，无线热点根据用户的认证结果决定是否允许其接入无线网络中，认证前与用户身份数据库中的认证信息进行比对检查，以确认是否具有权限并向客户端动态分发用加密密钥，认证成功后可以根据多种方式（传输数据包的多少、用户接入网络的时间等）动态地改变每个接入用户的加密密钥。另外，对用户在无线中传输的数据包进行MIC编码，确保用户数据不会被其他用户更改。

二、无线热点和控制器之间的数据包进行RC4加密，高效且安全。

三、提供技术同时支持WAPI标准，进一步保障数据的机密性和完整性。

2.4.5 VLAN池

在无线网络接入的环境下，移动终端间可以进行相互通信，存在较大安全隐患。例如部署用于公众上网的无线网络中： 终端之间传输大量文件损耗 AP 有限的带宽资源，
降低了无线网络性能； 终端之间的任意互访有可能导致的数据被窃取的恶意行为，存在安全隐患，甚至还有可能存在某些感染了病毒的终端传播病毒的风险。本次建设无线在无
线网络部署时，启用此 VLAN 内用户隔离功能选项， 禁止同一 VLAN 内的用户之间相互通信，可以减少同一个 VLAN 内无线终端间的广播报文，提高了无线网络性能，同时提高了安全性。还有避免某些感染了病毒的终端传播病毒的风险，最大限度地确保办公安全，高办公效率，保障用户无线体验。

2.4.6 射频控制策略

企业在晚上凌晨以后，正常情况都是没有人使用无线网络的，那么本次建设无线网络能自动关闭射频信号，一方面能节省电，另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法入侵的操作，保障企业无线数据的安全，另外为了更加人性化，还增加了设置基于SSID的例外无线网络，可以选择性的关闭SSID。

2.5流量管控

2.5.1借用空闲带宽

空闲带宽有以下两种情况：保证通道中，此刻还没有使用的保证带宽。线路上，还没有分配的保证带宽。空闲带宽可以被其它通道借用。某个通道，所能借用到的空闲带宽，取决于该通道的保证带宽数值，以及通道的优先级。分配方法为：不同优先级的通道竞争流量时，较高优先级的通道能优先获得全部空闲带宽，相同优先级的通道竞争流量时，按各自保证带宽数值的比率进行带宽保障。

2.5.2宽智能平均带宽

如果同时有多个不同用户（不同 IP）在使用同一个带宽通道，不同用户间的带宽是采取“平均分配”的方式进行分配的。这里说的“平均分配”并不是绝对的平均分配，而是采取一种最优的方式进行分配，具体效果如下：带宽在此刻有流量经过设备的用户间进行分配，如果此刻用户没有流量，则不参与分配带宽逐步分配给此刻有流量经过的用户，如果某个用户的带宽需求已经得到满足，则会忽略该用户，继续给有需要的用户分配带宽，直到带宽分配完为止。

2.5.3流量控制

通过禁止使用降低工作效率和高带宽消耗的应用，提高办公效率和上网体验。从一方面讲，一定程度上可以保障办公应用的带宽，但是对于需要使用迅雷下载、在线视频或 Web 流媒体一些高带宽消耗应用的场景，或者用户有需求—要求不对任何应用进行限制使用，又要保障关键办公业务应用的带宽，电信提供拥有丰富、强大的流量管理策略，可以有效地解决上诉场景的痛点。流量管理策略有三种方式，分别是： 1、基于用户的流量限速策略； 2、基于 WLAN 的带宽保障；3、基于应用的带宽保障

2.5.4应用的策略控制

现如今，每个人都带有智能终端，有了无线网络后，他们可以放肆的使用各种应用，比如看视频、狂刷微博、贴吧等，严重影响工作效率，有时候甚至因为时间耽搁而导致工作失职，造成经济损失！为了保证员工办公效率，我们应该对上网人员进行访问控制。禁止使用降低工作效率的应用以及使用高带宽消耗的应用

2.5.5空口的流量管控

常说的流量管控，几乎都是针对外网数据流量进行控制，目的是为了保证重要业务产生的上网流量能够在有限的运营商带宽资源下优先通行，电信提供可以基于用户、终端类型、接入 AP 位置进行上下行带宽限制，粒度精细到 1kbps。值得注意的是，对于无线网络来说，仅仅对上网流量进行限速是远远不够的。在无线网络中，AP的吞吐量是有一个限制的，而且，因环境的不同，实际有效的吞吐量也是不同的。

如今， 2.4G 网络环境中充斥着大量的干扰，包括 WLAN 2.4G 自身的同邻频干扰、非 WLAN 2.4G 同频设备以及利用电磁波工作的高功率设备或空气传输介质， 环境干扰越大，无线的空口带宽资源越小，随着接入人数的增加，整体吞吐量将进一步降低，所以，每一个 AP无线空口资源都是很宝贵的。

2.5.6应用节流

企业中，往往经常会在互联网上面去下载APP或者其他文件（视频、办公软件等），那么无线控制器能够缓存APP和文件，只要某用户第一次下载过该文件过后，第二个用户若要下载，直接从本地控制器上面取即可，无需到互联网上面再次下载，不但节约了互联网的带宽，也能够提升下载速度。

三、方案优化

3.1  一体化融合方案

设备采用强劲的X86架构，集无线控制器、用户认证、营销推送、客流分析、上网行为管理、流量控制、上网行为审计、防火墙、网络管理于一体，大大简化网络结构，极大的降低了建设成本、运维成本。

具有丰富的用户认证功能，支持802.1x、Portal、CA证书、微信、短信、APP、二维码等认证方式；

高密优化、应用层加速技术、智能负载均衡、二三层无缝漫游等，全面保证用户无线上网体验；

基于应用、用户、AP组进行流量通道划分，保障关键业务的带宽，配合动态流控，提高带宽利用价值；

具有国内最大的应用识别库，可精准识别1900多种网络应用，并且根据用户、用户组、时间段、接入位置、终端类型等条件进行上网权限设置；

具有上网行为审计功能，可审计用户访问的URL、邮件、论坛发帖等内容，满足公安部82号令；

内置AP热点地图，实时查看网络运行状态；支持控制器集群统一管理；IT/营销分权、分级管理。

为企业访客无线网络提供O2O增值营销功能，可以增加微信关注量，并具有客流分析、用户偏好分析、人流密度热力图等功能；

3.2  完善的售后服务体系

厂商建立了完备的技术支持体系，主要由用户呼叫中心、客户服务中心、大客户服务中心、用户培训中心、产品文档中心以及相应的行政保证机构组成。

电信提供技术拥有专业的、独立的WLAN服务体系支撑，目前拥有34个区域服务中心，300多名渠道认证工程师，50多名高级工程师以及丰富的无线网络工程经验，并提供24小时不间断TAC平台以及区域原厂工程师和服务总部400热线24小时覆盖。