金融WLAN无线解决方案讲义

《金融WLAN无线解决方案讲义》由会员分享，可在线阅读，更多相关《金融WLAN无线解决方案讲义（55页珍藏版）》请在装配图网上搜索。

1、金融WLAN无线解决方案金融行业部孟繁锦2011.7 提纲金融有线网络的局限性和新要求1Wlan技术标准和选择2金融无线解决方案3推广策略4 金融有线网络的局限性n办公：有事不在工位时，不能利用iPad、iPhone等移动设备，随时随地处理办公管理业务，如会客、会议等n会议：会议室开会，不能方便接入网络及时处理相关业务或查询相关资料n营销：有线网络接入点限制，大堂经理不能用移动方便的平板电脑向客户介绍、推销业务n运维：科技人员到机房维护需要搭线，限制位置和不方便，影响效率n协作：业务和开发等需要临时组建项目团队，需要布线，影响效率n扩容：原有布线没有留足接口，扩容网络需要新布线，破坏原有装修，

2、增加成本n备份：有线网络没有后备，故障后相关办公业务处理停顿n来宾：来宾需要接入网络时，接入有线网络带来安全隐患 金融办公、管理、营销新要求领导员工来宾笔记本ipadiphoneAny whereAny terminalAny user领导办公室会议室银行营业大厅机房办公区培训场所急需一种高效、灵活、高带宽、安全的接入方式来解决难题！无线局域网满足需求的能力需求现有有线网络无线网络效率差，需要布线或增加设备好，无需布线或增加设备方便性差，移动性差，不方便好，可随需移动，极其方便，扩展性差，需要布线，甚至部署设备好，终端随时接入适应性差，不适应手持终端好，适应手持终端，适应创新业务安全性好，有线

3、路接口限制较好，缺少线路接口限制，需安全措施保障，安全措施稍复杂成熟性好，时间久，较成熟一般，时间短，快速发展中性能好，1G以上都已普及一般，100M以上（802.11n）才开始广泛应用 无线局域网满足需求能力n 结论：n 鉴于802.11n无线局域网技术实际带宽可以达到100M以上，且有了健壮的无线局域网安全标准体系保障，在金融业务、办公、管理等边缘接入场所采用WLAN无线局域网技术，以增加业务、办公管理的方便性、便利性，进而提高效率、业务创新能力，进而提高银行自身的竞争力。金融无线应用需求总结第 7页 /共 4页场景覆盖区域用户终端类型业务类型1、无线办公办公室省行、二级分行营业网点本行员

4、工驻场IT维护人员来宾笔记本智能手机平板电脑管理应用（需后台审核开通）OA应用E-learing网站门户2、无线会议会议室省行、二级分行领导本行员工笔记本智能手机平板电脑管理应用（需后台审核开通）OA应用3、无线运维机房生产环境安保监控本行科技人员外包人员安保监控人员笔记本智能手机平板电脑网络巡检系统网管安全类应用（需后台审核开通）4、无线营业网点营业网点大堂经理后台员工来宾笔记本智能手机平板电脑管理应用（需后台审核开通）OA应用E-learing网站门户 提纲金融有线网络的局限性和新要求1Wlan技术标准和选择2金融无线解决方案3推广策略4 无线技术发展趋势两个发展趋势方向：1、宽带接入移动

5、化2、移动技术宽带化 802.11无线局域网空中接口标准n 802.11n的MIMO技术：可以提高单个AP的信号覆盖范围和信号质量，并大幅度提高速度，使得性能可以超过100M以太网。第 10页 /共 4页标准802.11b802.11a802.11g802.11n发布时间1999.71999.72003.62009.9有效带宽5.5M24.7M24.7M100M以上无交叠信道数312315编码技术CCKOFDMCCK/OFDMMIMO/OFDM最高速率11Mbps54Mbps54Mbps300600Mbps兼容性通过Wi-Fi认证的产品间可以兼容与11b/g不兼容向下兼容11b向下兼容11b、

6、11g和11aSMP+802.11n的发展20022002年年9 9月月：IEEE高吞吐量研究组成立，专门探讨提升WLAN速度的可行性。20032003年年9 9月：月：IEEE成立802.11n任务组，负责创设100+MbpsWLAN标准。20072007年年3 3月：月：草案2获通过。20072007年年6 6月：月：Wi-Fi联盟发布了11n互操作性测试及认证程序。20092009年年9 9月月1111日：日：IEEE标准委员会终于批准通过802.11n成为正式标准。802.11n802.11n的成熟的成熟-IntelIntel迅驰技术普及迅驰技术普及Intel迅驰2平台4款无线模块：5

7、100/5300/5150/5350 WLAN网络组网方式选择目前主流大规模组网方式目前主流大规模组网方式自治式组网：适合小规模简单应用n配置管理维护工作量大nIP、安全、服务等全部在AP上配置，查看，n安全性低nAP丢失，配置丢失，且需要重新配置n集中式组网：适合大规模组网p 配置管理维护工作量小 IP、安全、服务等全部在AC上配置，查看，管理p 安全性高 集中式无线局域网n 无线局域网组成IP 网络AAACA无线客户端无线接入点AP：通过无线射频跟客户端通讯；将无线格式报文转换为有线网络格式并转发无线控制器AC：1、管理AP2、转发AP转发的流量3、安全控制功能安全服务器：1、用户名密码认

8、证2、数字证书认证3、生成密钥并分发Web WLAN无线网络安全标准选择n OPEN+WEPn SHARED+WEPn IEEE802.1x+WEPn WPA-PSK（TKIP or CCMP）n WPA2-PSK（TKIP or CCMP）n WPA（TKIP or CCMP）n WPA2（TKIP or CCMP）第 15页 /共 4页Pre-share-Key+TKIP/CCMP802.1X+TKIP/CCMP 结论和建议n 安全认证p 小规模局部部署：Web+PSKp 大规模部署：802.1X+数字证书p EAP：PEAP or EAP-TLSn 安全加密p 小规模部署：WPA2-PS

9、Kp 大规模部署：WPA2 提纲金融有线网络的局限性和新要求1Wlan技术标准和选择2金融无线解决方案3推广策略4 金融无线解决方案一级分行：1、2台AC，2、AAA、CA、E-portal服务器、无线网管系统3、AP二级分行：1、2台AC、2、无线网管终端3、AP网点：1、AP 产品要求n ACp 一级分行部署，吞吐性能20Gbps，管理700个以上AP能力；p 二级分行部署，吞吐性能20Gbps，管理250个以上AP能力；p 支持AC集群或热备份冗余；p 支持WPA、WPA2安全标准；p 支持E-portal认证、Mac地址认证；p 支持二三层漫游；n APp 支持POE供电；p 覆盖性能

10、：190Mbps/台；用户数量：30用户/台p 支持20个以上的SSID；p 支持WPA、WPA2安全标准；p 支持E-portal认证、Mac地址认证；p 支持二三层漫游；金融无线解决方案p无线办公，平板电脑等移动终端随时随地接入，提升办公效率；p无线营销，大堂经理随时向客户展示业务、传递价值，提升客户感受；p无线会议，随时处理会议决策、记录，提升效率；p无线运维，科技部门提升维护效率。应用环境无线办公无线运维无线营销无线会议 行外访问n 需要在无线终端上安装IP Sec客户端或通过SSL VPN进行 WLAN方案关键点第 22页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。

11、权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大 严格认证、加密STAAP1、认证：802.1X（证书认证、生成主钥）AAA3、加密：每帧不同密钥身份合规、终端合规、数据机密、防篡改和重放身份合规、终端合规、数据机密、防篡改和重放ACPMKPMKPMKPTKPTKGTKGTK2、4次握手，每次一密4、校验：48位帧序列号防重放，消息完整性校验统一证书认证：1、

12、手持设备：软证书2、笔记本，台式机：硬证书 全国统一认证、漫游（AAA方案）n AAA与证书服务器互联协议：EAP-CHAP-V2 全国统一认证、漫游（AAA+AD方案）访客接入认证、授权n 访客认证有3种方案p Web认证：小规模，简单应用p 大规模方案2：Web+AAA+ADp 大规模方案1：Web+AAA认证 权限控制（本地用户）1、认证信息User=testB，带SSID信息4、AC对该SSID用户对应vlan或网段进行控制，或网关交换机进行控制分行AAAAC，DHCP2、转交AAA认证，3、认证用户正确性，SSID正确性，认证结果转交AC 其他安全措施n 禁止广播SSIDn 驻场人员

13、，通过设定专门Vlan和安全策略，限制访问权限n 账号锁定，3次密码错误锁定账号，进入黑名单n 非法AP限制n 移动终端证书认证 WLAN方案关键点第 29页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能：好用 1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大 无线AC虚拟化集群技术N+1冗余备份冗余备份Page30Master ACBackup A

14、CAPMaster TunnelBackup TunnelMaster ACMaster ACAPAPBackup ACMaster TunnelMaster TunnelBackup Tunnel1+1冗余备份冗余备份通过集群技术实现50ms跨控制器漫游 盲区自动覆盖与信道动态调整WS无线控制器无线控制器无线接入点无线接入点射频信道射频信道“6”射频信道射频信道“1”射频信道射频信道“11”WS无线控制器无线控制器 基于每个用户的带宽限制基于Qos-Profile设置严格的用户使用的带宽基于每个SSID 的带宽限制限制整个SSID的使用带宽控制粒度单位：KBps1 Mbps2 MbpsSSI

15、D Data1 6 MbpsSSID Voice1 2 Mbps基于二层/三层的用户隔离限制同一AP下用户互访限制同一SSID下用户互访保证无线带宽资源不被本地应用占用基于用户的 QoS 和带宽管理 50ms级别的无缝漫游技术用户业务不中断二、三层用户漫游AC内和跨AC的二、三层漫游 WLAN方案关键点第 34页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管理性能

16、：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大 性能：好用高带宽广覆盖易兼容易穿透密接入802.11n 性能：好用p大容量、高性能、集中管控p电信级高可靠性p精细化业务标识和用户定位p业务连续性提升用户体验运营级AC双万兆口/8千兆电口768个AP20G的802.11吞吐量 WLAN方案关键点第 37页安全：能用1。人合规、终端合规2。数据安全3。全行统一认证4。权限控制稳定：可用1。集中组网模式AC稳定性2。AC故障时，如何保障网络可用3。负载拥挤4。移动漫游保障业务关键点解决方案的关键是如何解决如下问题管理：易用1。集中部署，分级管理2。设备监控、管理3。用户管理4.射频管

17、理性能：好用1。带宽达到有线网络，性能稳定，满足所有业务2。覆盖面大 分级、统一网管 有线、无线统一管理有线无线统一拓扑管理设备的批量配置与控制无线网络健康度监控设备的精细化管理 拓扑管理直观了解无线整体部署情况，通过饼图、柱状图方式查看当前AC、AP、用户、告警等信息。有线无线一体化拓扑管理，直观了解无线网络部署状况、链路通断、设备故障等信息。AC管理AC当前运行状态一目了然，并且可以根据直观的菜单项对AC进行详细配置AC配置菜单 AP设备列表，可以方便查看所有AP状态、配置、位置等信息，方便整体管理。AP批量管理，可以方便批量的配置AP名称、定时开关等功能，支持配置模板导入。AP版本报表，

18、可以方便地查看AP版本及部署数量，及时地发现AP版本异常信息。AP 带机阈值，可以方便地设定AP带机数阈值，为无线网优提供及时的信息发现。AP管理 无线用户状态一目了然，随时了解无线用户上下线状态，链接速率，信号强度等问题用户管理 锐捷无线解决方案特点p 高速、广覆盖：基于802.11n技术的胖瘦AP一体化架构，300600MHz带宽；支持本地转发架构p 安全：在802.11i安全标准基础上，采用3重安全加密认证，保障业务安全；p 可靠：无线控制器集群，智能带宽控制，自动信道调整和补偿，保障网络稳定；p 一体化运维管理：有线无线一体化认证和管理，提升管理能力。提纲金融有线网络的局限性和新要求1

19、Wlan技术标准和选择2金融无线解决方案3推广策略4 推广策略n 1X完善前解决方案解决方案 认证标准认证标准认证服务器认证服务器加密标准加密标准推广场合推广场合备注备注选用选用ESSESS及注意事及注意事项项1WPA-Psk/WPA2-PskAES小规模，不需要用户名密码认证2WPA-Psk/WPA2-PskEportal+SMPAES小规模，且一定需要用户名密码认证，且需要独立AAA服务器管理用户目前必须我司SMP，其他AAA基本也能支持，但公司不承诺支持可选可选，可以用web认证，也可以用1X认证，但web认证不支持跟第三方AAA对接，不支持集群3WPA-Psk/WPA2-PskEpor

20、tal+SMP+第三方AAAAES小规模，且一定需要用户名密码认证，且客户有了第三方AAA服务器管理用户我司SMP作为一个eportal组件提供，需要采用PEAP-MSCHAP-v2协议对接第三方AAA不承诺跟第三方AAA对接4WPA-Psk/WPA2-PskEportal+SMP+ADAES用户需要AD管理认证用户在需求调研中5WPA/WPA2第三方AAAAES用户有了第三方AAA可以推我司AC、AP6WPA/WPA2第三方AAA+ADAES用户有了第三方AAA，且需要AD认证管理用户数据库在需求调研中，可推我司AC、AP 销售策略n 1X完善后，增加如下解决方案解决方案解决方案 认证标准认

21、证标准认证服务器认证服务器加密标准加密标准推广场合推广场合备注备注选用选用ESSESS及注意事及注意事项项1WPA/WPA2SMPAES需要独立AAA服务器，用户名密码认证，或证书认证1X认证可测试，Q4能实施，SMP服务器选EAP-TLS时，需要专业版可选可选，1000用户以下情况。不支持集群2WPA/WPA2SMP+第三方AAAAES在1基础上客户有了第三方AAA需要采用PEAP-MSCHAP-v2协议对接第三方AAA，SMP服务器选EAP-TLS时，需要专业版3WPA/WPA2SMP+ADAES在1基础上客户需要AD管理用户数据库和认证在需求调研中4WPA/WPA2SMP+第三方LDAP

22、AES需要独立AAA服务器，用户名密码认证，或证书认证，但有了第三方认证服务器，采用LDAP之间采用LDAP协议 销售策略n 注意事项p 本地转发，可讲、可测试，实施采用集中转发p 1X认证，Q4解决完；p 基于MAC地址划分vlan需要下一个版本解决p 可以基于SSID划分用户的Vlann 如何推？p 针对性交流、介绍解决方案，传递价值p 了解到客户真实需求，p 通过现有产品和功能组合解决p 确定需要，但不支持的情况及时同步，尽量融合到下一版本中解决n 正面价值传递材料p 解决方案p 能力正面材料p。实力锐捷为锐捷为Wi-Fi联盟成员联盟成员 全部产品通过Wi-Fi联盟认证互通测试，AP全面

23、支持802.11N,锐捷全系列无线产品测试过的互操作性，能给您带来更好的用户体验，更好的满意度。在2010年中国移动WLAN集采备选供应商厂验中，锐捷网络综合排名第二，仅次于华为。目前已经采购锐捷Wlan产品3万台左右。资质 全系列产品均获有工信部无线电管理局颁发的无线电设备发射型号核准证。无线控制器产品通过无线控制器产品通过CQC认证中心的国家产品强制性要认证中心的国家产品强制性要求的求的CCC认证。认证。业界第一款通过国家信息安全中心的CCCi认证的802.11n AP。全面的产品线无线管理及应用系统有线无线一体化交换机POE交换机智能无线接入点应用层接入层（园区）RG-S5750PRG-

24、S2900PRG-S3760PRG-S2600PRG-AP620-H室外无线接入点RG-AP220-E室内无线接入点RG-AP220-SE室内无线接入点RG-AP220-SH室内无线接入点RG-AP220-S室内无线接入点RG-WS5302小型无线控制器S5760-E系列S2900-E系列S8600系列电信级无线控制器RG-WS5708大型无线控制器RG-WS5504大型无线控制器3G网管RG-SNC锐捷电信级WLAN系列产品架构接入层（大L2汇聚或业务控制层）接入层（楼道）锐捷智能无线产品组AAA 案例Page52 锐捷网络近两年累计AP发货量超过4万台，从事各行业WLAN项目超过1000！

25、教育n北京师范大学n中山大学n华北电力大学n对外经济贸易大学n中国农业大学n中央民族大学n重庆大学n西北工业大学n哈尔滨工业大学n湖南移动n内蒙古联通n湖南移动n内蒙古移动n山西联通n苏州电信n北京联通n重庆联通n中电华通运营商金融及企业医疗n中国建设银行n中国农业银行n重庆轻纺集团n深圳发展银行n北京银行n成都康特电子园区n中国人寿保险公司n中国人保财险公司n重庆西永微电子产业园n北京肿瘤医院n广州珠江医院n北京市友谊医院n北京同仁医院n辽宁中医院n南京儿童医院n唐山市第二人民医院n郑州市第五人民医院n南京市卫生局口腔医疗中心 实施能力业务上线n 锐捷网络作为WLAN设备提供商，提供丰富的W

26、LAN解决方案，具备全面的WLAN网络设计、施工、优化的能力，为客户的工堪、方案设计、施工直至正式运行提供充分的支持与保障工程勘探方案设计工程施工测试优化网络实施全流程覆盖设计频率规划容量规划业务试运行 星网锐捷网络有限公司地址：北京海淀区复兴路29号中意鹏奥大厦东塔A座11层 邮编：100036Office Tel:010-51718888 Mobile Tel:13888888888 Fax:010-51718888 E-Mail: 谢谢观看/欢迎下载BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES.BY FAITH I BY FAITH