银行网点智能化WLAN无线网络技术方案目录1前言 (4)1.1文档目的 (4)1.2适用对象 (4)2项目概述 (5)2.1项目背景 (5)2.2应用需求 (5)2.3建设原则 (5)3方案设计 (7)3.1组网结构设计 (7)3.2设备命名设计 (8)3.3SSID命名设计 (9)3.4IP地址设计 (9)3.5身份认证设计 (10)4安全性设计 (13)4.1设备合规检查 (13)4.2终端隔离 (13)4.3无线SSID隐藏 (13)4.4非法AP检测与反制 (14)4.5ARP欺骗的防护 (14)4.6黑名单管理 (15)4.7DHCP安全 (15)4.8数据传输与加密安全 (15)5无线高可用性设计 (16)5.1AC冗余设计 (16)5.2信号自动补偿 (16)5.3信号抗干扰 (17)5.4边缘智能感知 (17)5.5移动漫游设计 (18)5.6智能负载均衡 (18)6无线网络设备监控管理设计 (20)6.1全局视图 (20)6.2无线热图分析 (21)6.3频谱分析 (21)6.4AP超忙闲统计 (22)6.5一键快速定位故障 (23)6.6AP地理位置定位 (24)7无线部署规划设计 (25)7.1工作频段与频点规划 (25)7.2信号衰减注意事项 (26)7.3服务指标注意事项 (27)7.4接入点部署注意事项 (28)7.5网络布线和接入设备 (29)1 前言1.1 文档目的本文档是WLAN项目的总体概要性设计技术文件，对本次项目的总体设计方向、设计思路和参考资料作了明确的阐述。

编写本文档的主要目的，旨在负责明确本次项目所要达成的总体目标，指导与规范在实施中会涉及的工程和技术要素，以保证项目的参与成员能按照规范要求高质、高效、按时地完成本次网络建设任务。

1.2 适用对象本文档的适用对象主要是负责WLAN项目网络设计和实施的网络设计人员、维护人员及项目实施小组成员。

2 项目概述2.1 项目背景为践行我行“担当社会责任，做最好的银行”的战略目标，发挥我行IT 蓝图新核心银行系统在架构及技术方面的优势，顺应互联网金融和移动互联技术在金融服务中的应用方向，提升客户服务水平和客户满意度，2014年总行党委做出重要战略决策，启动网点智能化升级建设，并将2015年作为网点智能化升级建设的试点年。

根据我行网点智能化升级建设的相关需求，需要在网点提供WLAN 无线局域网接入环境，以满足我行服务人员无线接入需求。

针对于我行服务人员，主要满足其采用移动终端设备（如各类平板电脑）访问我行内部移动应用系统，以提升对客户的服务能力和服务范围的灵活便利性。

2.2 应用需求根据内部移动应用系统对无线网络接入的相关需求，通过在网点建设我行专用的无线网络基础设施，为我行服务人员提供无线网络接入，从而支持利用各类移动终端接入内部移动应用系统。

在此场景中，无线网络是我行网点网络基础设施的重要组成部分，是有线网络接入的延伸和补充，为提升我行企业形象、提高服务人员服务能力、扩展服务范围和便利性提供必要支持。

此场景在本规范中简称“网点内网WLAN”场景。

2.3 建设原则针对“网点内网WLAN”场景，在建设结构合理、功能完整的无线网络系统的前提下，针对本场景所涉及的终端无线接入系统，从功能性设计、实施和运维等方面提出如下无线网络设计原则：1、架构及扩展性设计原则：在总行、一、二级分行及营业网点层级部署无线网络相关功能模块，实现我行内部人员使用移动终端无线接入我行网络。

2、网络安全设计原则：从用户身份认证、设备合法性检查、传输信息加密等方面对无线网络的安全保障要点进行设计；针对应用场景的相关要求，明确相关的安全隔离和控制策略；根据我行应用需求，需要WLAN 无线网络与我行内网实现安全的连接。

根据总行领导的要求，“需要在客户端及网络接入端制定安全有效的技术方案，并经过国家保密（密码）管理部门审核批准”。

为此，在WLAN 网络建设过程中，所选的产品必须为我行无线网络设备入围产品，且其中实现客户端接入认证功能的模块必须具备国家保密局颁发的涉密产品检测证书。

3、可靠性设计原则：选用高可靠性设备，设计合理的网络冗余拓扑结构，确定可靠的网络备份策略，提供可满足相关应用场景可靠性要求的相对稳定的无线网络服务。

4、可管理性设计：整个系统的设备易于管理，易于维护，便于进行于进行系统配置，在设备、安全性、数据流量、性能等方面进行监视和控制，并可以进行远程管理和故障诊断。

5、可扩展原则：整个系统应易于扩展，能扩充更多的应用场景，便于支撑业务的良好运转，从性能上、构架上保证足够的弹性。

达到保护投资的目的。

3 方案设计3.1 组网结构设计组网要点描述：1、XX分行主网络中心2#网服务器功能区建立WLAN接入子区，初步预计，XX分行部署锐捷网络的WS55048无线控制器1组（2台），主AC放置在主中心，备AC放置在备中心，采用集中处理的方式，管理辖内所有接入AP。

后续随着AP 数量的增多，可考虑增加一组无线控制器或考虑更换成更高档次的AC控制器。

2、在省行和各二级行大楼、各营业网点根据情况可部署锐捷放装型AP RG-AP320-I或智分型AP RG-AP220-E(M)，AP与AC之间的通讯IP地址采用固定分配的方式。

3、接入子区增加2台隔离防火墙，建议选择国产防火墙厂商的设备。

防火墙启用透明模式，开启AP、AC之间的通讯端口允许访问（UDP 5246/5247）4、XX分行主网络中心2#网管理区部署一套锐捷网络无线接入认证平台RG-SMP、实现对接入用户的认证管理，同时部署一套锐捷网络集中管理平台RG-SNC，实现对接入辖内所有AC、AP设备的集中监控与配置管理。

5、根据AP所属的地市分行，在AC上定义不同的地址池，为认证成功通过后的终端分配对应的IP地址，采用本地转发模式建设，终端的网关地址设置在本地网关设备上（一、二级行办公汇聚，网点路由器）。

6、服务器区汇聚交换机需要配置无线终端的DHCP pool地址的C类汇总路由指向无线控制器的三层端口，且汇聚交换机上还需要将该静态路由重分发到OSPF区域中。

7、鉴于分行大楼的交换机和网点路由器不支持POE供电，因此需要通过增加POE交换机或POE适配器的方式对AP进行供电。

3.2 设备命名设计根据我行设备统一命名规则：网络类型_安装地点_设备功能_设备类型编号，第三个字段WLN，表示Wireless LAN功能区。

各设备的命名如下：字段 1 标识网络类，长度 1 字符：A 表示1#网，B表示2#网；字段 2 标识安装地点，格式为一级分行简称+城市简称+楼宇，长度 5 字符：一级分行简称：2 字符，各一级分行简称参考XX银行文件《国内一级分行地区名称编码对照表》。

楼宇：1 字符，用 A、B、C….表示。

字段 3 标识功能区，长度 3 字符：COR：核心功能区WBN：二级骨干网功能区MAN：同城网功能区CAM：园区网、局域网功能区ATM：离行式 ATM 接入功能区NMG：网络监控管理功能区WWN: 无线网络接入功能区(3G) WLN:无线网络接入功能区（WLAN）（上述功能区已按照其优先级递减次序列示，若某设备兼属一个以上功能区，则按其优先级最高功能区命名）字段 4 AC：无线控制器AP：无线接入点nn 长度 2 字符，相同功能的设备按序号排列，01-993.3 SSID命名设计内部移动应用系统无线接入： BOC_INT3.4 IP地址设计需要分配的IP地址如下几类：1）AC无线控制器AC部署在2#网XX网段服务器区的接入子区，交换机、防火墙、AC的地址从主、备机房中的互联地址块当中选择。

掩码位255.255.255.248。

2）AP接入使用2#网XX网段，从现有管理地址块内新启用一个连续地址的网段，掩码位根据接入的AP数量确定。

连接无线AP的交换机端口应配置MAC地址绑定。

3）接入终端接入终端由各网点、分行机构2#网XX网段中选择。

3.5 身份认证设计1）身份合规性检查采用802.1X用户接入时即需要认证，用户可采用安全证书、一次性口令（OTP）、AD域用户数据对接、或固定设置的用户名口令作为接入网络的凭据进行接入，认证通过的用户允许接入网络，而未进行认证的客户被拒绝接入。

锐捷网络的WLAN产品已和各大行的统一认证平台均完成对接，全面的支持业界所有WLAN安全接入方式。

下述为测试结果截图：一次性口令（OTP）认证：和AD域对接认证：●基于802.1x的身份准入通过AAA服务器提供统一的身份管理，对接入内网的用户进行身份合法性认证，没有合法身份的用户被隔离在内网之外，无法登陆访问网络。

●多元素身份唯一性保障针对行内办公PC实现多种元素进行绑定，可选择对用户名、密码、用户IP、用户MAC、交换机IP及交换机端口、硬盘序列号七元素进行灵活绑定。

4 安全性设计4.1 设备合规检查WIFI接入应用场景下进行终端合规性检查。

采用MAC地址、用户名和SSID绑定的方式，很好的保证了接入用户设备的合法性，确保合法的人使用固定的终端做特定的操作。

AP设备合规性检查：在AC无线控制器端，采用白名单管理AP的方式，对接入的AP进行统一管理，在后续扩展AP的时候，应首先在AC端添加新增AP的MAC地址。

防止不合规的AP随意接入银行网络。

4.2 终端隔离由于无线用户的流动性和不确定性，在某些场合（特别是在公共场合），用户信息的私密性显得尤为重要，需要限制用户之间直接访问。

用户隔离技术可以控制在无线网络覆盖区域中，无线终端之间的不安全访问（例如无线上网用户之间通过网上邻居访问），避免私人信息遭到他人窃取。

用户隔离功能在不影响用户正常上网的情况下对用户进行隔离，使之不能互访，保证了用户业务的安全。

AC上下发同AP下用户隔离的指令，以实现AP禁止两个用户之间互访。

系统会识别每一个无线报文，如果侦测到用户数据目标MAC地址到是连接在同一AP下，则将该数据丢弃，以此实现用户之间的隔离。

4.3 无线SSID隐藏无线SSID采用广播和非广播模式进行发送，在广播模式下SSID容易泄露，在非广播模式下SSID手工添加后才可见。

在本次WLAN部署中采用非广播模式。

隐藏用于内部员工上网的SSID，以降低SSID广播所带来的安全隐患。

调整AP发射功率，降低信号外泄：通过调整AP的发射功率，在保障营业场所WiFi信号覆盖质量的前提下，尽可能减小信号外泄，做到场内有信号、场外无信号的效果。

4.4 非法AP检测与反制无线网络很容易受到各种网络威胁的影响，如黑客假冒AP的网络攻击、未经授权的AP用户、泛洪攻击等。

非法AP对于网络安全来说是一个很严重的威胁。

AP反制功能有效的检测出无线网络环境中的非法AP，控制无线AP发送探测报文给周围的AP并等待合法的AP回应探测报文，以此检测出未给出应答报文的非法AP，从而有效的检测出无线网络中连入的非法AP，保证整个无线网络环境的安全性。