【精编】金融WLAN无线解决方案讲义.ppt
54页
金融WLAN无线解决方案 金融行业部孟繁锦2011 7 提纲 金融有线网络的局限性和新要求 1 Wlan技术标准和选择 2 金融无线解决方案 3 推广策略 4 金融有线网络的局限性 办公 有事不在工位时 不能利用iPad iPhone等移动设备 随时随地处理办公管理业务 如会客 会议等会议 会议室开会 不能方便接入网络及时处理相关业务或查询相关资料营销 有线网络接入点限制 大堂经理不能用移动方便的平板电脑向客户介绍 推销业务运维 科技人员到机房维护需要搭线 限制位置和不方便 影响效率协作 业务和开发等需要临时组建项目团队 需要布线 影响效率扩容 原有布线没有留足接口 扩容网络需要新布线 破坏原有装修 增加成本备份 有线网络没有后备 故障后相关办公业务处理停顿来宾 来宾需要接入网络时 接入有线网络带来安全隐患 金融办公 管理 营销新要求 Anywhere Anyterminal Anyuser 急需一种高效 灵活 高带宽 安全的接入方式来解决难题 无线局域网满足需求的能力 无线局域网满足需求能力 结论 鉴于802 11n无线局域网技术实际带宽可以达到100M以上 且有了健壮的无线局域网安全标准体系保障 在金融业务 办公 管理等边缘接入场所采用WLAN无线局域网技术 以增加业务 办公管理的方便性 便利性 进而提高效率 业务创新能力 进而提高银行自身的竞争力 金融无线应用需求总结 第7页 共4页 提纲 金融有线网络的局限性和新要求 1 Wlan技术标准和选择 2 金融无线解决方案 3 推广策略 4 无线技术发展趋势 两个发展趋势方向 1 宽带接入移动化2 移动技术宽带化 802 11无线局域网空中接口标准 802 11n的MIMO技术 可以提高单个AP的信号覆盖范围和信号质量 并大幅度提高速度 使得性能可以超过100M以太网 第10页 共4页 SMP 802 11n的发展 2002年9月 IEEE高吞吐量研究组成立 专门探讨提升WLAN速度的可行性 2003年9月 IEEE成立802 11n任务组 负责创设100 MbpsWLAN标准 2007年3月 草案2获通过 2007年6月 Wi Fi联盟发布了11n互操作性测试及认证程序 2009年9月11日 IEEE标准委员会终于批准通过802 11n成为正式标准 802 11n的成熟 Intel迅驰技术普及 Intel迅驰2平台4款无线模块 5100 5300 5150 5350 WLAN网络组网方式选择 目前主流大规模组网方式 自治式组网 适合小规模简单应用配置管理维护工作量大IP 安全 服务等全部在AP上配置 查看 安全性低AP丢失 配置丢失 且需要重新配置 集中式组网 适合大规模组网配置管理维护工作量小IP 安全 服务等全部在AC上配置 查看 管理安全性高 集中式无线局域网 无线局域网组成 IP网络 AAA CA 无线客户端 无线接入点AP 通过无线射频跟客户端通讯 将无线格式报文转换为有线网络格式并转发 无线控制器AC 1 管理AP2 转发AP转发的流量3 安全控制功能 安全服务器 1 用户名密码认证2 数字证书认证3 生成密钥并分发 Web WLAN无线网络安全标准选择 OPEN WEPSHARED WEPIEEE802 1x WEPWPA PSK TKIPorCCMP WPA2 PSK TKIPorCCMP WPA TKIPorCCMP WPA2 TKIPorCCMP 第15页 共4页 Pre share Key TKIP CCMP 802 1X TKIP CCMP 结论和建议 安全认证小规模局部部署 Web PSK大规模部署 802 1X 数字证书EAP PEAPorEAP TLS安全加密小规模部署 WPA2 PSK大规模部署 WPA2 提纲 金融有线网络的局限性和新要求 1 Wlan技术标准和选择 2 金融无线解决方案 3 推广策略 4 金融无线解决方案 一级分行 1 2台AC 2 AAA CA E portal服务器 无线网管系统3 AP 二级分行 1 2台AC 2 无线网管终端3 AP 网点 1 AP 产品要求 AC一级分行部署 吞吐性能20Gbps 管理700个以上AP能力 二级分行部署 吞吐性能20Gbps 管理250个以上AP能力 支持AC集群或热备份冗余 支持WPA WPA2安全标准 支持E portal认证 Mac地址认证 支持二三层漫游 AP支持POE供电 覆盖性能 190Mbps 台 用户数量 30用户 台支持20个以上的SSID 支持WPA WPA2安全标准 支持E portal认证 Mac地址认证 支持二三层漫游 金融无线解决方案 行外访问 需要在无线终端上安装IPSec客户端或通过SSLVPN进行 WLAN方案关键点 第22页 安全 能用1 人合规 终端合规2 数据安全3 全行统一认证4 权限控制 稳定 可用1 集中组网模式AC稳定性2 AC故障时 如何保障网络可用3 负载拥挤4 移动漫游保障业务 关键点 解决方案的关键是如何解决如下问题 管理 易用1 集中部署 分级管理2 设备监控 管理3 用户管理4 射频管理 性能 好用1 带宽达到有线网络 性能稳定 满足所有业务2 覆盖面大 严格认证 加密 STA AP 1 认证 802 1X 证书认证 生成主钥 AAA 3 加密 每帧不同密钥 身份合规 终端合规 数据机密 防篡改和重放 AC PMK PMK PMK PTK PTK GTK GTK 2 4次握手 每次一密 4 校验 48位帧序列号防重放 消息完整性校验 统一证书认证 1 手持设备 软证书2 笔记本 台式机 硬证书 全国统一认证 漫游 AAA方案 AAA与证书服务器互联协议 EAP CHAP V2 全国统一认证 漫游 AAA AD方案 访客接入认证 授权 访客认证有3种方案Web认证 小规模 简单应用大规模方案2 Web AAA AD大规模方案1 Web AAA认证 权限控制 本地用户 1 认证信息User testB 带SSID信息 4 AC对该SSID用户对应vlan或网段进行控制 或网关交换机进行控制 分行AAA AC DHCP 2 转交AAA认证 3 认证用户正确性 SSID正确性 认证结果转交AC 其他安全措施 禁止广播SSID驻场人员 通过设定专门Vlan和安全策略 限制访问权限账号锁定 3次密码错误锁定账号 进入黑名单非法AP限制移动终端证书认证 WLAN方案关键点 第29页 安全 能用1 人合规 终端合规2 数据安全3 全行统一认证4 权限控制 稳定 可用1 集中组网模式AC稳定性2 AC故障时 如何保障网络可用3 负载拥挤4 移动漫游保障业务 关键点 解决方案的关键是如何解决如下问题 管理 易用1 集中部署 分级管理2 设备监控 管理3 用户管理4 射频管理 性能 好用1 带宽达到有线网络 性能稳定 满足所有业务2 覆盖面大 无线AC虚拟化集群技术 N 1冗余备份 Page30 MasterAC BackupAC AP MasterTunnel BackupTunnel MasterAC MasterAC AP AP BackupAC MasterTunnel MasterTunnel BackupTunnel 1 1冗余备份 通过集群技术实现50ms跨控制器漫游 盲区自动覆盖与信道动态调整 WS无线控制器 无线接入点 射频信道 6 射频信道 1 射频信道 11 WS无线控制器 基于每个用户的带宽限制基于Qos Profile设置严格的用户使用的带宽基于每个SSID的带宽限制限制整个SSID的使用带宽控制粒度单位 KBps 基于二层 三层的用户隔离限制同一AP下用户互访限制同一SSID下用户互访保证无线带宽资源不被本地应用占用 基于用户的QoS和带宽管理 50ms级别的无缝漫游技术 用户业务不中断二 三层用户漫游AC内和跨AC的二 三层漫游 WLAN方案关键点 第34页 安全 能用1 人合规 终端合规2 数据安全3 全行统一认证4 权限控制 稳定 可用1 集中组网模式AC稳定性2 AC故障时 如何保障网络可用3 负载拥挤4 移动漫游保障业务 关键点 解决方案的关键是如何解决如下问题 管理 易用1 集中部署 分级管理2 设备监控 管理3 用户管理4 射频管理 性能 好用1 带宽达到有线网络 性能稳定 满足所有业务2 覆盖面大 性能 好用 性能 好用 大容量 高性能 集中管控电信级高可靠性精细化业务标识和用户定位业务连续性提升用户体验 运营级AC 双万兆口 8千兆电口 768个AP 20G的802 11吞吐量 WLAN方案关键点 第37页 安全 能用1 人合规 终端合规2 数据安全3 全行统一认证4 权限控制 稳定 可用1 集中组网模式AC稳定性2 AC故障时 如何保障网络可用3 负载拥挤4 移动漫游保障业务 关键点 解决方案的关键是如何解决如下问题 管理 易用1 集中部署 分级管理2 设备监控 管理3 用户管理4 射频管理 性能 好用1 带宽达到有线网络 性能稳定 满足所有业务2 覆盖面大 分级 统一网管 有线 无线统一管理 有线无线统一拓扑管理 设备的批量配置与控制 无线网络健康度监控 设备的精细化管理 拓扑管理 直观了解无线整体部署情况 通过饼图 柱状图方式查看当前AC AP 用户 告警等信息 有线无线一体化拓扑管理 直观了解无线网络部署状况 链路通断 设备故障等信息 AC管理 AC当前运行状态一目了然 并且可以根据直观的菜单项对AC进行详细配置 AC配置菜单 AP设备列表 可以方便查看所有AP状态 配置 位置等信息 方便整体管理 AP批量管理 可以方便批量的配置AP名称 定时开关等功能 支持配置模板导入 AP版本报表 可以方便地查看AP版本及部署数量 及时地发现AP版本异常信息 AP带机阈值 可以方便地设定AP带机数阈值 为无线网优提供及时的信息发现 AP管理 无线用户状态一目了然 随时了解无线用户上下线状态 链接速率 信号强度等问题 用户管理 锐捷无线解决方案特点 高速 广覆盖 基于802 11n技术的胖瘦AP一体化架构 300 600MHz带宽 支持本地转发架构安全 在802 11i安全标准基础上 采用3重安全加密认证 保障业务安全 可靠 无线控制器集群 智能带宽控制 自动信道调整和补偿 保障网络稳定 一体化运维管理 有线无线一体化认证和管理 提升管理能力 提纲 金融有线网络的局限性和新要求 1 Wlan技术标准和选择 2 金融无线解决方案 3 推广策略 4 推广策略 1X完善前 销售策略 1X完善后 增加如下解决方案 销售策略 注意事项本地转发 可讲 可测试 实施采用集中转发1X认证 Q4解决完 基于MAC地址划分vlan需要下一个版本解决可以基于SSID划分用户的Vlan如何推 针对性交流 介绍解决方案 传递价值了解到客户真实需求 通过现有产品和功能组合解决确定需要 但不支持的情况及时同步 尽量融合到下一版本中解决正面价值传递材料解决方案能力正面材料 实力 锐捷为Wi Fi联盟成员 全部产品通过Wi Fi联盟认证互通测试 AP全面支持802 11N 锐捷全系列无线产品测试过的互操作性 能给您带来更好的用户体验 更好的满意度 在2010年中国移动WLAN集采备选供应商厂验中 锐捷网络综合排名第二 仅次于华为 目前已经采购锐捷Wlan产品3万台左右 资质 全系列产品均获有工信部无线电管理局颁发的无线电设备发射型号核准证 无线控制器产品通过CQC认证中心的国家产品强制性要求的CCC认证 业界第一款通过国家信息安全中心的CCCi认证的802 11nAP 全面的产品线 无线管理及应用系统 有线无线一体化交换机 POE交换机 智能无线接入点 应用层 接入层 园区 RG S5750P RG S2900P RG S3760P RG S2600P RG AP620 H室外无线接入点 RG AP220 E室内无线接入点 RG AP220 SE室内无线接入点 RG AP220 SH室内无线接入点 RG AP220 S室。
