1.2 企业WLAN现状分析
企业随着业务规模的不断扩大,对企业提高运营效率的要求也不断提升,随着WIFI技术的不断发展,使其能更加稳定高效的承载企业应用。很多企业在有线网络的基础上扩展无线网络来进行日常业务的开展,甚至很大一部分企业在新建办公场所时,考虑建设的成本和传统网络的繁琐,也希望可以通过WIFI接入技术实现他们的目的。
事实上,无线应用已经深入到企业当中,除了日常办公之外,很多应用也正依赖于无线技术,比如访客服务,会议室,工厂车间,智能仓库等等。
在智能终端普及的这个背景下,对于企业而言,BYOD、移动办公的需求也提上日程,WIFI作为必不可少的接入手段,需求也进一步扩大。
1.3 项目介绍
1.4企业WLAN需求分析
随着智能移动终端的增加,企业BYOD的普及,高质量的WLAN已经成为一个成功企业必不可少选项。
而在具体的应用过程中酒店WLAN包含以下具体的需求:
1.4.1高速的无线业务网络
随着XXX企业的不断发展,对于无线网络的要求也越来也高,公司邮件、财务、办公软件的高效使用都需要快速的无线网络支撑。
1.4.2随时随地的BYOD
信息技术高速发展,企业BYOD处于大势所趋,要实现企业内部任何时间、任何地点都能实现BYOD,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。
对于多种接入终端,多个接入地点保证良好的一体化兼容、控制、管理。
1.4.3安全、便于管控的访客网络
作为一个成功、开放的企业,经常会有领导、客户、合作伙伴的接待工作。在网络发达的今天,访客往往会要求使用网络。对于企业来说,开放内部网络会面临企业信息安全的问题,同时如何开放、如何管理访客接入网络也是一件非常头疼的事情。所以企业WLAN需要一个安全、便于管控的访客网络系统。
1.4.4仓储物流无线覆盖
企业内部的仓储物流随着信息化的发展也在逐步改革,提高效率。而通过无线的全覆盖,实现wifi终端的实施扫描,信息实施传输,能极大的提高工作效率,更能杜绝纰漏和舞弊。
1.4.5企业生产车间MES系统无线覆
通过无线扫描枪、RFID和基于标准的WLAN网络技术将生产的每一道工序实时地记录到后台数据库,通过对数据库的分析和挖掘可以优化生产流程提高生产效率,移动防错减少甚至避免质量问题,出现问题可追溯,提高用户满意度。
另外生产线经常变动,如果通过有线覆盖,将来布线改动将非常麻烦,无线覆盖将会解决此类问题。
1.5 企业WLAN当前面临的挑战
1.5.1组织结构复杂,权限难于控制
随着企业的发展壮大,职位分工更加明确,部门的职责也更加细化。部门精细化的同时权限也必须精细化控制,各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄,越权事故不发生是一件非常困难的事情。
1.5.2终端、应用类型多,不易管理
BYOD的不断发展,终端类型多种多样,员工自带手机、平板、笔记本接入企业无线网络,对于企业而言,管控难度也加大。如果员工通过手机终端连接上WiFi,在上班刷微博,聊陌陌,炒股等与工作无关的活动,工作效率低下。公司想要禁止员工手机接入无线网络,仅仅允许电脑接入办公,另外对于移动笔记本禁止炒股、P2P等非法应用。
1.5.3OA、邮件等办公系统带宽被大量抢占
在一定的无线带宽情况下,员工运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的OA、邮件等办公系统,造成无线带宽的不合理理由,无线办公效率低下。
1.5.4访客网络无法安全、有效管控
对于众多的访客,接入终端多种多样,终端的安全性也有高有低。如果让他们接入内网,外网会对企业信息安全造成影响。如果给访客单独的物理网络,如果访客在企业发表非法言论,产生一些非法事件,企业无法责任溯源,定位责任人。所以企业访客网络管理难度非常大。
1.5.5攻击手段多样,内网安全有威胁
不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对企业而言,IT资源就是资产,难免会存在一定盗用账号、非法接入的安全威胁。
1.5.6空中垃圾多,无线接入稳定性得不到保证
WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来AP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。
1.5.7无线运营能力弱
现在的企业无线WIFI建设基本停留在网络连通的阶段,无线建设往往只在于提供能够使用的无线网络,而怎样利用企业WLAN平台来进行广告宣传、提升公司形象还是一个需要解决的问题。
2、方案设计
根据xxx公司的无线网络需求和无线网络设计原则,结合Sangfor无线系统技术和产品的特点,方案设计如下:
2.1 AP布放设计
根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。
△ 区域一放置XX个AP负责覆盖XXX
△ 区域二放置XX个AP负责覆盖XXX
△ 区域三放置XX个AP负责覆盖XXX
……
设备清单及位置统计如下:
序号 | 设备类型 | 设备品牌 | 设备型号 | 放置区域 | 设备数量 | 合计 |
1 | 无线接入点AP | 深信服 | 区域1 | |||
区域2 | ||||||
区域3 | ||||||
区域4 | ||||||
区域5 | ||||||
2 | 无线控制器 | 核心机房 | ||||
3 | POE交换机 | 1楼弱电井 | ||||
2楼弱电井 | ||||||
3楼弱电井 |
2.2 无线组网方式
结合用户无线网络需求情况,结合深信服产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+AC的结构化无线网络解决方案进行设计。网络拓扑如下:
2.3 信道规划
使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
信道规划如下图:
图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。
2.4企业WLAN高速业务设计
2.4.1端到端的网络协议栈加速
针对XXX公司现有干扰的无线网络环境,采用深信服独有的协议栈加速技术,客户端无需安装任何插件,只需在WAC开启单边加速功能,通过改善无线传输协议算法,XXX公司的无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。
2.4.2应用识别和流量控制
针对XXX公司内部移动终端多种多样,员工运行着各种应用无法管控。深信服无线控制器内置全国最大的应用识别库和URL库,能自动识别XXX公司无线流量类型和终端类型,根据终端、应用类型设置相应的流量控制策略。对于XXX公司重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载,视频浏览我们可以进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障企业正常的办公网络。
2.4.3针对无线的网络优化
为了改善XXX公司的无线网络,深信服针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
广播优化: 针对广播包发送机制优化,减少广播报浪费过多资源。
ARP转单播:通过对ARP发送机制的优化提升ARP效率。
禁止DHCP包发往无线终端功能:通过对DHCP发送机制的优化提升DHCP效率。
自动广播提速:将广播包原有的发送速度提高,加快广播包的传输效率。
接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。
平均带宽分配:支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
2.4.4智能负载均衡
针对XXX公司存在办公区、会议室等部分区域人员集中的现状。深信服WAC无线控制器可智能实时的根据用户数和流量调将接入终端整分配到不同的接入点,平衡负载压力,极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载,提升无线接入质量。
2.4.5快速L2/L3漫游
为了实现XXX公司在区域内的无线漫游、办公不中断,相对于传统Fat AP方案无法有效保证跨三层的漫游,深信服无线解决方案满足优秀的L3漫游特性,用户漫游不受子网限制,保证XXX公司用户在不同区域间移动而业务不中断。
2.4.6射频优化
依据XXX公司不同环境,WAC可自动进行射频调整,有效避开自干扰,也可以自动进行信道调整,为AP分配不同信道避开信道间的干扰。
2.5企业WLAN全面、便捷的安全设计
2.5.1更全面的安全
针对XXX企业的实际情况,深信服通过精细的权限控制,非法URL的封堵,动态黑名单、防DOS攻击、IDS等为 XXX企业更全面的安全防护。
2.5.1.1精细化角色识别与授权管理
针对XXX公司存在各个部门不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。根据企业的不同部门(市场、研发、领导),不同的终端(手机或电脑)、不同的用户(内部员工或客户)划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。
2.5.1.2危险应用和URL的识别和管控
在XXX公司内部,员工和访客通过无线访问网络,有可能会出现反问非法网络的情况,给公司带来安全风险。针对于此深信服无线控制器内置全国最大的应用识别库和URL库,能自动识别危险应用和URL,我们可针对这些危险应用和URL进行封堵和控制,从而提高公司网络的安全性。
2.5.1.3动态黑名单
无线控制器WAC会实时监控无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。一段时间后检测如果该终端还存在攻击,则继续列入黑名单。如果恢复正常则允许其接入。
2.5.2更便捷的安全
2.5.2.1安全、便捷的访客认证系统
二维码认证
外来访客来到XXX公司接入网络后,无线设备自动向访客的终端推送XXX公司的portal页面,页面中包含一个二维码,这个二维码中包含了访客终端的MAC信息。被授予接待权限的内部员工(行政部和领导)用自己已经接入内网的终端扫描此二维码,此时无线管理设备记录下接待员工的用户名和访客的MAC地址,访客可以便可以接入网络。
临时帐号系统认证
无线使用临时用户信息管理系统,访客到来XXX公司时只需在前台开设临时帐号,设定使用时间即可。临时用户在有效期内可以登录,超过有效期无法登录;临时账号管理系统拥有二级权限系统,该系统仅能进行临时帐号的创建、管理功能,给前台使用方便、简介。大大减少网络管理员压力。
2.5.2.2 802.1X自动配置
802.1X能有效保证XXX企业网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。对此,深信服为XXX公司提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。
2.5.2.3帐号、MAC自动绑定
针对XXX存在领导等人员帐号需要重点保障的情况,深信服针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。
2.5.2.4统一集中管理
结合深信服WAC无线统一集中管理平台,安装前无需对设备进行任何配置,部署完成后由无线控制器统一下发配置,极大的减少实施和维护的工作量及成本。后期维护中,通过WAC内置的图形化热点分析界面,可有效查找到问题点,轻松完成维护工作。
2.6企业WLAN运营、宣传设计
2.6.1个性化的页面推送
深信服的页面推送可以根据用户、用户组、地理位置等多维度的推送。由此可以实现不同部门推送不同的页面,访客进入不同部门推送不同页面。同时,页面自定义灵活简单,不需要专业人员开发,普通网管人员即可实现灵活的自定义页面。
2.6.2微信认证
访客进入企业接入无线网络,被定向到指定提示页面,提示访客关注企业微信号然后即可获取上网权限,访客关注企业微信号即可上网。这样便大大增加了企业的关注度,也便于后期的宣传。
2.7 设备选型
根据以上对xxx公司需求的分析,为了实现更快速、更安全的企业WLAN建设,XXX公司无线系统必须具备以下功能:
1、 对无线网络的加速功能
2、 对于企业重点的业务数据进行识别和带宽保障
3、 对非法网络应用和URL进行识别和控制
4、 802.1X配置能够实现自动一键配置
5、 访客网络通过二维码认证或是单独的临时访客系统方式认证
6、 无线接入点AP使用2.4G和5G双频接入保证接入数量和质量。
基于此本次方案推荐使用深信服科技无线控制器WAC系列和无线接入点AP系列设备。然后基于XXX公司的实际环境,以及XXX公司对于无线网络的信号要求选择部署X个AP-260,根据AP数量,选择深信服X型号无线控制器。
3、方案亮点与价值
3.1 更快速、更稳定的企业业务WLAN
深信服无线通过特有的协议栈加速、射频优化、应用识别为XXX企业提供高速、稳定的无线网络,提升用户体验。并根据XXX企业内部OA、邮件等业务系统进行带宽保障,建立更快速、更稳定的企业业务WLAN。
3.1.1端到端的网络协议栈加速
针对干扰的无线网络环境,方案采用深信服独有的协议栈加速技术,客户端无需安装任何插件,在WAC开启单边加速功能,通过改善无线传输协议算法,将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题,大幅提升XXX企业无线网络速度。
3.1.2终端识别与流量控制
深信服方案通过无线控制器自动识别终端类型,根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。
3.1.3应用识别和流量控制
对于应用的杂乱无章,难以管控,本方案中深信服无线控制器通过内置全国最大的应用识别库和URL库,自动识别无线流量类型,并根据终端类型设置相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载,视频浏览进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障了企业正常的办公网络。
3.1.4针对无线的网络优化
深信服方案针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。
3.2更安全、更便捷的企业安全WLAN
3.2.1更全面的安全防护
深信服方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为XXX企业提供了更全面的安全防护。
3.2.1.1精细化角色授权管理
随着公司内部结构的逐渐复杂化、网络管理也越来越难。深信服的精细化角色授权管理针对不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。充分保证了各自的安全,防止越权。
3.2.1.2危险应用和URL的识别和管控
调查表明75%的网络攻击来自应用层,深信服通过内置全国最大的应用识别库和URL库,自动识别危险应用和URL,并加以控制和封堵,极大的提升了网络的安全性。
3.2.2更便捷的安全管理
3.2.2.1二维码认证
通过二维码认证,访客从接入无线到通过审核、时间就在十秒之内完成,解决了便捷认证、防蹭网、责任溯源三大访客认证难点。
3.2.2.2 802.1X自动配置
02.1X能有效保证XXX企业网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。对此,深信服方案为XXX公司提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度
3.2.2.3帐号、MAC自动绑定
为了实现针对XXX公司领导等人员帐号需要重点保障的情况,深信服针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。
3.3无线可运营化
3.3.1内置信息推送中心
个性化内容推送
深信服方案通过页面推送功能,可以实现针对不同位置或者不同用户推送个性化的Portal页面,同时,页面自定义功能可根据XXX公司的实际需要,灵活设置页面内容,如公司产品最新信息推送、领导视察欢迎页面推送等。
3.3.2企业微信公共平台对接
微信作为一个信息交流的平台,被越来越多的企业所重视,纷纷建立自己的微信公共平台,来实现内部资料的动态分享。SANGFOR特有的微信认证方式,使用户通过对企业微信公共平台关注获得无线网络上网的授权,提高企业微信平台的利用率,帮助企业快速建立有效的信息分享平台。
3.4 高扩展性、高可靠性
根据不同组网规模,提供多样化的产品形态,用户可根据实际灵活选择,降低组网成本,提高效益。例如,针对中小规模网络、或者大型客户的分支机构,用户可以选择mini WAC,相较于同等性能的无线控制器,成本节省一半。
同时,由于业务扩容,无线部署时需要考虑其扩展性,初期即购买高性能无线控制器投入太大,低端无线控制器又无法满足要求。深信服推出多样的产品形态,用户可根据组网规模按需部署。同时,虚拟化WAC的解决方案可以部署于虚拟化服务器上,通过扩容license即可提升无线网络的规模,不必担心硬件设备淘汰浪费的问题。
双机备份机制,配置实时同步,提供动态的故障转移机制,保证用户业务不因临时故障而中断,实现业务的快速恢复,降低系统因单点故障导致网络中断的风险。
4、产品介绍
4.1 无线控制器WAC系列
深信服千兆系列无线控制器是深信服自主研发的集中管理无线接入点的控制设备,集防火墙,用户认证服务器,证书颁发中心,无线射频管理软于一体。具有多元化的认证方式,精细化的用户管理,协议优化,射频优化,二三层漫游,灵活的Q0S控制,本地转发、应用识别管控等功能。能够减少企业部署复杂度,降低企业部署成本,为客户打造安全、快速、可运营的无线网络。
配合深信服无线AP系列,定位于中型WLAN接入业务,如:企业、商超连锁、校园、酒店、医院等高速的wifi应用场景。
4.1.1产品规格
硬件规格
千兆系列无线控制器产品规格 | ||||
硬件规格 | ||||
项目 | 描述 | |||
型号 | WAC-3100 | WAC-4100 | WAC-4200 | WAC-4300 |
外形尺寸 (长×宽×高,单位:mm) |
275*175*44.5 | 430*300*44.5 | 430*375*44.5 | 430*500*89 |
重量 | 1.6kg | 3.85kg | 6.65kg | 15.3kg |
管理端口 | 1个命令行管理console口,1个WEB界面管理MANAGE口 | |||
业务端口 | 2个千兆电口 | 5个千兆电口 | 5个千兆电口 |
5个千兆电口 ; 4个SPF千兆光口 |
USB端口数 | 2个 | 2个 | 2个 | 2个 |
功耗 | <20w | <25w | <180w | <212w |
输入电压 |
额定电压范围:100V~240V AC;50/60Hz 最大电压范围:90V~264V AC; 47/63Hz |
|||
工作/存储温度 | -10℃~55℃/-40℃~70℃ | |||
工作/存储湿度(非凝结) | 5%~95% | |||
硬盘 | 16G SSD | 16G SSD | 16G SSD | 500G HDD |
软件规格
软件规格 | |||||
项目 | 支持特性 | WAC-3100 | WAC-4100 | WAC-4200 | WAC-4300 |
基础性能 | 缺省管理AP数 | 8 | 16 | 32 | 32 |
最大管理AP数 | 72/144 | 144/288 | 288/576 | 560/1120 | |
License步长 | 1 | ||||
在线并发用户数 | >4000 | >8000 | >15000 | >35000 | |
内置认证账户数 | 65000 | 65000 | 65000 | 65000 | |
VLAN数量 | 0~4094 | 0~4094 | 0~4094 | 0~4094 | |
ESSID数量 | 32 | 32 | 32 | 32 | |
802.11mac | 802.11协议簇 | 支持802.11a/b/g/n模式 | |||
虚拟AP | 支持 | ||||
隐藏SSID | 支持 | ||||
多国家码部署 | 支持 | ||||
功率、信道调整 | 具备自动和手动两种方式调整功能 | ||||
用户在线检测 | 支持 | ||||
无线用户隔离 | 具备二层隔离和基于SSID的隔离功能 | ||||
无线用户强制断连 | 支持 | ||||
多SSID个数 | 32 | ||||
用户无流量自动老化 | 支持 | ||||
在线检测 | 具备AP和用户在线检测功能 | ||||
40MHz模式的20MHz/40MHz自动切换 | 支持 | ||||
防火墙 | 新建连接数 | ||||
并发连接数 | |||||
数据转发 | 本地转发 | 支持:具备SSID+VLAN的本地转发 | |||
集中转发 | 支持 | ||||
部分集中转发部分本地转发 | 支持 | ||||
漫游 | 二层漫游 | 支持 | |||
三层漫游 | 支持 | ||||
IP | DHCP | 支持DHCP Client,DHCP服务器,DHCP中继,DHCP Snooping | |||
NAT | 支持 | ||||
DNS代理 | 支持 | ||||
静态路由 | 支持 | ||||
策略路由 | 支持 | ||||
三层物理端口链路检测 | 支持 | ||||
二层 | 链路聚合 | 最大支持8个端口聚合 | |||
链路状态检测 | 支持 | ||||
ARP代理 | 支持 | ||||
802.1x | 支持 | ||||
流量管理 | 基于单用户 | 实现基于单用户的上下行流量管控 | |||
基于应用 | 实现基于应用的流量保障 | ||||
基于终端类型 | 实现基于终端类型(手机、电脑等)的流量管控 | ||||
基于终端操作系统 | 能够实现基于终端操作系统(安卓、IOS、windows phone等)的流量管控 | ||||
基于不同无线网络 | 满足基于不同无线网络进行带宽权重分配 | ||||
单用户流量限速 | 可基于不同SSID灵活设置 | ||||
802.11e/WMM | 可基于不同SSID灵活设置 | ||||
射频管理 | 功率自动调整 | 支持 | |||
功率手动调整 | AP可手动功率调整,调整粒度为1dBm,调整范围为1dBm~国家规定功率范围 | ||||
信道自动调整 | 支持 | ||||
AP负载均衡 | 多个AP间实现负载均衡,在双频情况下,实现2.4G和5G的双频负载 | ||||
无线防广播泛洪(arp代理) | 支持 | ||||
安全防御 | DoS攻击防御 | 支持 | |||
WIPS | 支持 | ||||
接入认证 | 认证类型 | 支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加密、开放式+web认证、WPA-PSK/WPA2-PSK+web认证、WPA(企业)、WPA2(企业)、WPA/WPA2(企业) | |||
二维码认证 | 访客终端接入无线网络后,终端自动弹出二维码页面,企业审核人通过手机扫描访客终端二维码,访客即可上网。 | ||||
微信认证 | 用户接入无线后关注指定微信账号(商户或企业官方帐号)即可实现上网。增加商家/企业关注度,提供后续营销平台。 | ||||
短信认证 | 用户接入网络后弹出认证页面,用户输入手机号码以获取验证码,输入验证码后可以实现正常上网。 | ||||
临时访客认证 | 内置临时用户信息管理系统,临时用户在有效期内可以登录,超过有效期无法登录;内置临时账号管理的二级权限系统,该系统仅能进行临时帐号的创建、管理功能 | ||||
证书认证 | 支持内置CA证书颁发中心,无需额外搭建证书服务器,同时支持外部证书服务器导入证书认证 | ||||
加密方式 | 支持TKIP和AES | ||||
MAC+用户名绑定 | 具备自动绑定和管理员审核功能 | ||||
域计算机认证 | 支持 | ||||
EAP类型 | 支持中继模式、终结EAP-PEAP模式、终结EAP-TLS模式 | ||||
支持使用本地数据库 | 支持 | ||||
使用LDAP服务器作为认证服务器 | 用户实时同步 | ||||
MAC静态白名单 | 支持 | ||||
MAC静态黑名单 | 支持 | ||||
动态黑名单 | 支持 | ||||
智能识别 | 应用识别 | 能精确识别无线流量属于具体的什么应用,设备内置应用识别规则库,支持超过1500种以上的应用,并保持每两个星期更新一次,保证应用识别的准确率 | |||
URL识别 | 设备内置海量预分类的URL地址库,支持根据URL类别实现URL控制 | ||||
终端识别 | 能识别接入终端的类型、操作系统,并作相应控制 | ||||
应用流量查询 | 能查看基于应用的实时和一段时间的流量情况 | ||||
授权管理 | 多角度的角色分配 | 基于用户帐号/SSID/区域/接入终端的角色分配管理 | |||
基于终端类型的权限控制 | 实现基于终端类型如手机、电脑、平板等的灵活权限管控 | ||||
基于操作系统类型的权限控制 | 实现基于终端操作系统如安卓、IOS、windows phone等的灵活权限管控 | ||||
基于具体应用的权限控制 | 实现基于具体应用如QQ、迅雷、P2P等的权限控制 | ||||
基于用户角色的访问权限控制 | 支持 | ||||
以ssid为单位灵活配置规则确定用户的用户角色 | 支持 | ||||
以ssid为单位灵活配置规则确定用户的vlan | 支持 | ||||
备份 | 双机1+1热备 | 支持 | |||
AC间AP快速切换 | 支持 | ||||
双机配置同步 | 支持 | ||||
备份配置和备份恢复 | 支持 | ||||
实时状态显示 | 流量历史查询 | 支持WAC及AP历史流量查询 | |||
local wac状态显示 | 支持系统状态显示 | ||||
动态黑名单显示 | 支持 | ||||
AP在线、离线提醒 | 支持 | ||||
在线用户信息显示 | 支持 | ||||
网络攻击实时告警 | 支持 | ||||
接口状态告警 | 支持 | ||||
双机切换告警 | 支持 | ||||
AP信息显示 | 支持 | ||||
射频信息显示 | 支持 | ||||
WLAN信息显示 | 支持 | ||||
系统日志查询 | 支持 | ||||
热点分析 | 依据用户显示繁忙或空闲AP | 支持 | |||
依据流量显示繁忙或空闲AP | 支持 | ||||
显示信号好和信号差的AP | 支持 | ||||
网管与配置 | WEB UI 配置 通过HTTPS访问 | 支持 | |||
AP升级计划 | 支持 | ||||
记录用户上线、下线信息 | 支持 | ||||
日志管理 | 具备查看和导出系统日志功能 | ||||
策略故障排除功能 | 支持 | ||||
自动更新升级 | 支持 | ||||
重启设备、重启服务 | 支持 | ||||
配置时间日期、NTP服务 | 支持 | ||||
配置管理员帐号 | 支持 | ||||
配置序列号 | 支持 | ||||
工堪管理 | 内置工堪图管理软件 | 通过导入部署地场景图,在场景图上设置相应参数,然后自动或是手动的生成无线网络部署热点分析图 | |||
大屏显示 | 显示AP实时动态信息 | 实时显示每个AP位置、接入用户数、接入用户用户名等信息 | |||
建筑图导入 | 支持手动调整背景,导入建筑图,自由布放AP示意点位置 | ||||
页面推送 | 根据SSID推送 | 能够根据不同SSID推送不同页面 | |||
根据AP推送 | 能够根据不同AP推送不同页面 | ||||
自定义portal界面 | 具备自定义动态页面功能 | ||||
根据用户组推送 | 能够根据不同用户组推送不同页面 | ||||
认证前后区别推送 | 能够在认证前和认证后推送不同页面 | ||||
终端自适应 | 能够根据不同终端推送不同页面,而且可以推送合适匹配终端的尺寸页面 | ||||
网络优化 | 协议栈加速 | 针对协议栈进行加速,在无线干扰环境下,提升传输速度 | |||
自动广播提速 | 将广播包原有的发送速度提高,加快广播包的传输效率 | ||||
接入终端速度限制 | 对接入终端的速度做门槛,禁止低于一定速度的终端接入,提升整体网络速度 | ||||
平均带宽分配 | 支持用户平均分配带宽,根据时间公平算法,防止单个用户拉低网络整体速度 |
4.2 无线接入点AP系列
深信服AP-260无线接入点系列是深信服自主研发的支持802.11a/b/g/n双频并发高速无线接入设备,2X2MIMO技术,单射频最高300Mbps,整机支持600Mbps接入速率。覆盖范围广。上行千兆口,支持POE供电。配合深信服WAC系列控制器,为用户带来更安全的业务接入和快速的体验。
该系列产品外观美观大方,安装方便,适用于挂壁,吸顶以及桌面放装。
深信服AP-260
4.2.1产品规格
硬件规格
AP-260系列室内放置型AP产品规格书 | |
硬件规格 | |
项目 | 描述 |
型号 | AP-260 |
重量 | 0.35kg |
尺寸 (不包含天线接口和附件) |
170mm*170mm*40mm |
以太网口 | 1*10/100/1000Mbps |
Console口 | 1个 |
PoE | 支持802.3af/802.3at兼容供电 |
本地供电 | 支持48V DC 350mA |
发射功率 | ≤20dBm |
可调节功率粒度 | 1dBm |
可调功率范围 | 1dBm~相应国家规定 |
功耗 | <12W |
天线 | 内置2*2mimo天线,可选外置天线型号 |
复位/恢复出厂设置 | 支持 |
状态指示灯 | 1*power,1*sys,1*2.4GHz,1*5GHz |
工作/存储温度 | -10℃~55℃/-40℃~70℃ |
工作/存储湿度(非凝结) | 5%~95% |
MTBF | >250000H |
软件规格
软件规格 | ||
项目 | 描述 | |
型号 | AP-260 | |
射频 | 空间流数(streams) | 2 |
单频最大传输速度 | 300Mbps | |
工作频段 |
802.11b/g/n: 2.4GHz-2.483GHz (中国) 802.11a/n : 5.725GHz-5.850GHz (中国) |
|
调制技术 |
OFDM : BPSK@6/9Mbps、QPSK@12/18Mbps、16-QAM@24Mbps、64-QAM@48/54Mbps DSSS : DBPSK@1Mbps、DQPSK@2Mbps、CCK@5.5/11Mbps MIMO-OFDM : MCS 0-15 |
|
支持的信道速率 |
802.11b: 1, 2, 5.5, 11 802.11a/g: 6, 9, 12, 18, 24, 36, 48, 54 802.11n:6.5 到 300(MCS0 到 MCS15) 802.11n 高吞吐量 (HT) 支持:HT 20/40 |
|
支持信道数 |
802.11a、802.11n(兼容802.11a模式):5个信道 802.11b、802.11g、802.11n(兼容802.11b/g模式):13个信道 |
|
信道自动调整 | 支持 | |
功率手动调整 | AP可手动功率调整,调整粒度为1dBm,调整范围为1dBm~国家规定功率范围 | |
AP负载均衡 | 多个AP间实现负载均衡,在双频情况下,实现2.4G和5G的双频负载 | |
功率自动控制 | 支持 | |
WLAN功能 | 虚拟AP | 支持 |
SSID隐藏 | 支持 | |
STA相关 | 支持STA异常下线检测、STA老化、基于STA的统计和状态查询等 | |
接入用户数限制 | 支持 | |
链路完整性检测 | 支持 | |
基于用户、流量的智能负载均衡 | 支持 | |
用户数限制 | 支持基于SSID/接入点 | |
带宽限制 | 支持基于STA/SSID/AP的限速 | |
安全认证 | PSK、WEB、802.1x等多种认证方式 | 支持 |
二维码认证 | 访客终端接入无线网络后,终端自动弹出二维码页面,企业审核人通过手机扫描访客终端二维码,访客即可上网。 | |
微信认证 | 用户接入无线后关注指定微信账号(商户或企业官方帐号)即可实现上网。增加商家/企业关注度,提供后续营销平台。 | |
短信认证 | 用户接入网络后弹出认证页面,用户输入手机号码以获取验证码,输入验证码后可以实现正常上网。 | |
临时访客认证 | 临时用户在有效期内可以登录,超过有效期无法登录;在临时账号管理的二级权限系统中仅能进行临时帐号的创建、管理功能 | |
证书认证 | 支持证书认证 | |
数据加密 | 支持WPA(TKIP)、WPA2(AES)、WPA-PSK、WEP(64/128位 | |
数据帧过滤 | 支持静态白名单、动态黑名单 | |
用户隔离 | 支持 | |
非法AP检测 | 支持 | |
ACL策略下发 | 支持 | |
Radius协议 | 支持 | |
WIPS | 支持 | |
管理维护 | 大屏显示功能 | 配合控制器实现界面直观展示每个AP接入人数、接入位置、接入用户用户名等信息 |
网络管理 | 支持WEB、telnet等 | |
故障检测及告警 | 支持 | |
信息统计及日志 | 支持 | |
网络优化 | 协议栈加速 | 配合控制器针对协议栈进行加速,在无线干扰环境下,提升传输速度 |
自动广播提速 | 配合控制器将广播包原有的发送速度提高,加快广播包的传输效率 | |
接入终端速度限制 | 配合控制器对接入终端的速度做门槛,禁止低于一定速度的终端接入,提升整体网络速度 | |
访问权限 | 多角度的角色分配 | 配合控制器实现基于用户帐号/SSID/区域/接入终端的角色分配管理 |
基于终端类型的权限控制 | 配合控制器实现基于终端类型如手机、电脑、平板等的灵活权限管控 | |
基于操作系统类型的权限控制 | 配合控制器实现基于终端操作系统如安卓、IOS、windows phone等的灵活权限管控 | |
基于具体应用的权限控制 | 配合控制器实现基于具体应用如QQ、迅雷、P2P等的权限控制 |
5、案例介绍
5.1中电投资集团河南省分公司WLAN建设
中电投资河南分公司简介:
Ø 中电投河南电力有限公司属中国电力投资集团公司全资子公司,拥有承担流域开发的黄河上游水电开发有限责任公司和五凌电力有限公司;在电力设备成套服务领域中业绩突出,负责中电投集团公司在河南区域大型火电厂的投资、开发、建设、运营。
中电投资无线网络建设需求:
Ø 大楼办公区域无线信号全覆盖;
Ø 不同级别的员工和办公区域采用不同的认证方式。
深信服WLAN 建设方案:
Ø 采用WAC-4100控制器,控制器单臂连接核心交换机,无线网络数据采用集中转发模式;
Ø 办公大楼各楼层通过POE交换机连接AP,实现数据转发和供电功能。
深信服WLAN实现价值:
Ø 无线网络信号无死角覆盖,保障中电投员工接入用户自由漫游,不断网,信号强;
Ø 丰富的认证机制,满足员工对无线网络安全、快速接入的需求。
5.2东风汽车公司WLAN建设工程
东方汽车简介:
Ø 中国四大汽车集团之一,是由国务院国资委直接监督管理的中央企业;
Ø 东风汽车公司始建于1969年,是中国汽车行业骨干企业之一。公司主要业务分布在十堰、襄阳、武汉、广州四大基地,形成了“立足湖北,辐射全国,面向世界”的事业布局。公司总部设在“九省通衢”的武汉。主营业务涵盖全系列商用车、乘用车、发动机及汽车零部件和汽车水平事业。
东风汽车WLAN建设需求:
Ø 办公区域无线覆盖,满足快速接入,实现移动办公;
Ø 电磁干扰环境下保障良好接入。
深信服WLAN解决方案:
Ø 采用无线控制器WAC-4100及双频AP-260;
Ø 控制器单臂部署,通过POE交换连接各楼层AP。
深信服WLAN实现价值:
Ø 东方汽车办公大楼无线网络无死角覆盖,内部用户快速,接入无线漫游;
Ø 在部分电磁干扰严重区域,开启协议栈加速,大大减少丢包和延迟,提高用户接入体验。
5.3东鹏饮料WLAN建设工程
东鹏饮料简介:
Ø 东鹏饮料是集技术开发、生产、销售于一身,拥有先进的生产设备和雄厚的技术开发队伍及一套完整的饮料销售、推广管理体系。公司现有八条利乐包生产线、两条瓶装饮料生产线、四条纯净水生产线及一条三片罐饮料生产线,年生产能力达 18 万吨。
东鹏饮料无线网络需求:
Ø 生产车间区域无线覆盖,满足无线扫码枪的接入快速接入;
Ø 接入终端严格管控,防止非法终端接入。
深信服WLAN解决方案:
Ø 采用无线控制器WAC-4100及双频AP-260;
Ø 控制器单臂部署,通过POE交换连接各楼层AP。
深信服WLAN实现价值:
Ø 满足东鹏饮料生产车间不同系统的终端接入,针对性的对连接速度进行优化;
Ø 对接入的无线扫码枪进行MAC地址绑定,只有运行接入的白名单内终端才能接入。
5.4中青宝网络科技WLAN建设工程
中青宝网络科技简介:
Ø 深圳中青宝互动网络股份有限公司(原深圳市宝德网络技术有限公司)成立于2003年,是一家具有自主研发、运营能力、代理能力的专业化网络游戏公司。中青宝是国内网络游戏行业中拥有包括互联网出版许可证在内的为数不多的全资质全牌照企业之一,目前的定位是内容提供商。
中青宝无线网络建设需求:
Ø 干扰严重情况下保障接入;
Ø 不同操作系统的移动终端的高密接入。
深信服WLAN解决方案:
Ø 产品形态采用控制器WAC-4100,双频AP-260;
Ø 控制器单臂部署核心交换机,高密区域AP蜂窝式部署信道,智能负载接入用户。
深信服企业级WLAN实现价值:
Ø 协议栈加速功能使得中青宝办公区域干扰环境中的接入更快速;
Ø 高密场景下,AP接入用户数的良好负载均衡.,满足了软件测试部门区域,大量手机终端接入的需求;
Ø 解决了家用级无线接入用户数过低,接入不稳定,移动终端无法漫游的问题,双频AP满足多种智能手机网卡的高速接入。
5.5大自然家居有限公司WLAN工程
大自然家居简介:
Ø 大自然家具(中国)有限公司是全球领先的地板与家居产品解决方案供应商, 是中国地板控股有限公司全资附属公司。
大自然家具无线网络建设需求:
Ø 替代家用级AP,实现大楼AP统一管控;
Ø 无线信号大楼全覆盖;
Ø 针对来访宾客无线使用严格管控。
深信服WLAN解决方案:
Ø 产品形态采用控制器WAC-4100,双频AP-260;
Ø 控制器单臂部署核心交换机,高密区域AP蜂窝式部署信道,智能负载接入用户。
深信服企业级WLAN实现价值:
Ø 采用控制器加瘦AP模式,大自然办公大楼AP统一管控,大大降低IT运维人员工作量;
Ø AP智能射频技术,实现信号全覆盖和信道自动调整;
Ø 针对大自然家居集团来访宾客使用无线网络采用二维码认证方式,杜绝非法用户蹭网。
5.6慈溪进出口股份有限公司WLAN建设
慈溪进出口股份有限公司简介:
Ø 宁波市慈溪进出口股份有限公司成立于1988年,系中国500强企业和中国出口200强企业,是一家以进出口贸易为主业的综合企业集团。公司已连续第12次进入中国进出口额最大的500家企业行列,并多次获得全国商务系统先进集体、全国外经贸质量效益型先进企业称号。
进出口公司无线网络建设需求:
Ø 大楼办公区域无线信号全覆盖;
Ø 不同级别的员工和办公区域采用不同的认证方式。
深信服WLAN解决方案:
Ø 采用控制器一台WAC-4200和240台双频AP-260;
Ø 控制器单臂部署在公司机房,通过POE交换机连接各楼层AP。
深信服WLAN实现价值:
Ø 信号无死角覆盖,接入用户自由漫游,不断网,信号强;
Ø 进出口公司会议室等区域,AP开启智能负载均衡策略。满足高密用户稳定接入;
Ø 进出口公司的来访宾客采用二维码认证方式,杜绝非法用户上网。
6、售后服务
6.1 深信服服务体系介绍
服务是一种文化。在深信服科技,服务不仅仅代表一种制度、程序,它已经融入了深信服科技的企业文化中,并为所有员工接受和奉行。
服务内容来自用户的需求,深信服科技在一如既往地向用户提供优质、高效的服务同时,也在与用户长期合作与摸索过程中,寻求服务内容和服务方式的改进,以求双方从中获得最佳效益。
深信服科技向用户提供标准化、专业化、多元化服务。标准化代表服务规范,专业化代表服务质量,多元化代表服务内容,都是以用户满意为衡量标准。
企业唯有不断为用户提供低成本、高增值的服务,才能立于不败之地。深信服科技的核心竞争力主要表现在两个方面:一是对内的高效管理,一是对外的优质服务。
深信服科技技术服务的原则是:以不断提高用户满意度为衡量一切工作的准绳;以用户为中心,建立完善、系统的服务网络向用户提供专业化、标准化的服务;为用户提供解决问题的措施,为用户提供全方位的服务。
“顾客至上,服务第一”是深信服科技售后服务一直所秉持的售后服务理念。从成立之初到至今,深信服科技逐渐形成了一套完整的、规范化的服务体系,以“专业的人员、积极的态度、踏实的作风”服务于国内外一万六千家客户!
6.2 技术支持及服务内容
深信服科技面向所有的用户提供下列服务
1、服务标准化服务:在咨询服务、维修服务、培训服务、在线服务及远程服务全过程中,参照ISO9001质量管理体系的技术服务标准,形成标准化的作业流程,标准化的投诉制度,标准化的文挡与服务用语,标准化的资格认证等。
2、多样化服务:在售前、售中、售后,倡导基于用户满意的个性化关怀;满足用户标准化服务以外的特殊使用需要,在标准服务以外,我们还提供无偿或有偿个性化服务。
3、主动化服务:建立回访制度,日常客户满意度调查,大客户定期回访,针对客户问题案例分析,提出预先解决方案,不断推出产品升级;积极与用户记性技术交流,与用户共享产品的最新信息及动态;主动开展对用户的技术培训,让用户用好产品,降低人为操作风险。
4、电子化服务:开发了和CRM系统集成的客户服务信息管理平台,使客户打进的电话从开始到结束的每一个服务环节都处于受控状态;统一由客服中心管理,可以查询到所有问题处于何种状态及处理的整个过程,并能对服务质量和效率进行评价。
6.3 深信服服务及维修流程
客服方针:全面建立规范化的服务体系,培养专业化的服务队伍,为客户提供专业、高效、优质服务,确保客户满意。
服务宗旨:以客户为中心。
流程:
1、《采用RMA管理系统监控返修流程》,且在设备修复并寄回给客户后,呼叫中心会主动联系客户,确认设备的运行、使用情况。
2、通过多种渠道获取客户满意度和对服务的意见、建议,及时改进服务流程调研渠道:在线满意度调查、每周定期电话满意度回访、每年年终客户满意度调查。
3、问题分级处理机制,根据客户类型,问题影响范围分级处理,管理人员可以通过实时监控系统及时了解每一个问题的处理进度。