大型企業(yè)(ye)在無(wu)線網(wǎng)絡建(jian)設期間要充(chong)分考慮訪客(ke)（領導、客戶、合(he)作伙伴）接入(ru)網(wǎng)絡的需(xu)求。首先從安全(quan)性考慮(lv)，訪客網(wǎng)絡必(bi)須要和辦公(gong)網(wǎng)絡分開(kai)，訪客網(wǎng)(wang)絡單(dan)獨提(ti)供給(gei)訪客使用。從(cong)用戶(hu)體驗(yan)角度考慮，訪客(ke)接入網(wǎng)絡的(de)驗證(zheng)方式(shi)一定要做到(dao)簡單易行，繁(fan)瑣的驗證(zheng)方式(shi)會降低訪(fang)客對企(qi)業(yè)的整(zheng)體印象(xiang)。同時對(dui)于訪客網(wǎng)絡，企(qi)業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡安(an)全管理機制(zhi)，避免由于訪客(ke)的網(wǎng)絡不(bu)良訪問給企(qi)業(yè)帶來的法律(lv)風險(xian)。對于企業(yè)員工(gong)移動辦公上網(wǎng)(wang)，更需(xu)要做到(dao)可管控，上網(wǎng)行(xing)為做到可(ke)追溯，企業(yè)(ye)有效的帶寬資(zi)源得到合(he)理的分配(pei)和保證，才能使(shi)企業(yè)(ye)的業(yè)(ye)務系統(tǒng)正常(chang)且穩(wěn)定高效(xiao)地運行，同(tong)時保證(zheng)企業(yè)(ye)信息(xi)安全，避免機密(mi)信息泄(xie)露。

存在(zai)的問題（用戶需(xu)求）

1、接入不安(an)全：缺乏(fa)安全(quan)可靠的認證(zheng)機制(zhi)，企業(yè)無(wu)線網(wǎng)絡(luo)接入不安全(quan)

2、上網(wǎng)權(quan)限混亂：缺乏(fa)有效的控(kong)制策略，員工上(shang)網(wǎng)權限不分明(ming)

3、數(shù)據(jù)信息(xi)安全：缺乏(fa)有效的數(shù)(shu)據(jù)加密(mi)機制，企業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取篡改(gai)

4、無線信號差(cha)：AP性能不佳，上(shang)網(wǎng)總掉線(xian)，點位規(guī)(gui)劃不合理，信號(hao)盲區(qū)多

5、漫游效果差(cha)：不能實現(xiàn)二(er)三層漫游(you)，移動辦公時，業(yè)(ye)務中斷(duan)

解決(jue)方案(an)：

結合用戶(hu)無線網(wǎng)絡(luo)需求(qiu)情況，結(jie)合產(chǎn)品自身(shen)技術(shu)特點，為了滿足(zu)用戶(hu)構建一(yi)個高(gao)速、穩(wěn)定、安全(quan)、可靠(kao)、易于管(guan)理的(de)無線接入網(wǎng)絡(luo)的需(xu)求，本設計(ji)方案按(an)照AP+AC的(de)結構化無線(xian)網(wǎng)絡解(jie)決方(fang)案進行設計(ji)。具體設計(ji)為在總(zong)部設置總部AC,在(zai)大型(xing)分支機(ji)構設置分支(zhi)AC與分支AP，中型分(fen)支機構設(she)計二(er)級，三(san)級交換機(ji)，分支AP。小(xiao)微型分支(zhi)機構直接設(she)置分支AP。總部AC可(ke)以對大型(xing)分支機構(gou)的AC進行管理(li)，當網(wǎng)(wang)點控制器采(cai)用集中管(guan)理的模式進入(ru)到中心(xin)端控制器時，會(hui)自動下(xia)載中心端的公(gong)共配置，比(bi)如IP組、MAC地址(zhi)庫、時(shi)間計劃、角色授(shou)權、認證頁(ye)面等 ?？偛緼C也(ye)可以直接管理(li)中小型分支(zhi)機構的分支AP，實(shi)現(xiàn)統(tǒng)一管(guan)理。

方案(an)設計：

安全無線整體(ti)解決方(fang)案：

接入(ru)前&接入(ru)時進行身份(fen)認證、安(an)全無線網(wǎng)卡、賬(zhang)號綁(bang)定（硬件碼+手(shou)機號），非(fei)法熱點(dian)檢測及防御、網(wǎng)(wang)絡攻(gong)擊防(fang)護、射頻定(ding)時關(guan)閉及(ji)安全加(jia)固。

接入后(hou)&上網(wǎng)時(shi)進行訪問權限(xian)控制。

上網(wǎng)后進(jin)行上網(wǎng)行為(wei)記錄。

上網(wǎng)用戶身份(fen)實名(ming)認證：

無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證，外(wai)置AAA和RADIUS+AD用于(yu)存儲用戶賬號(hao)密碼。

每個賬號對應(ying)一個員工，包(bao)括姓(xing)名、部門、性別(bie)以及(ji)身份證、手機號(hao)等個人信息，保(bao)證每個(ge)上網(wǎng)的賬(zhang)號都是(shi)可尋的，便于(yu)安全管(guan)理。

用戶(hu)輸入(ru)賬號密碼上網(wǎng)(wang)驗證(zheng)時均(jun)采用加密(mi)傳輸，防止黑客(ke)空中(zhong)攔截(jie)，竊取(qu)賬號密碼(ma)等數(shù)(shu)據(jù)。

上網(wǎng)賬號(hao)自動(dong)綁定終端：

自動將(jiang)賬號與終端(duan)的硬件特征(zheng)碼進行綁定，防(fang)止賬號被他(ta)人使(shi)用或者(zhe)被盜用。

每臺設備的(de)硬件特征碼是(shi)唯一(yi)的，無法通過(guo)軟件(jian)修改。即(ji)使通(tong)過軟件修改了(le)仍然(ran)可以識(shi)別原始的。

每個賬號(hao)最多可以綁定(ding)5臺終端，超(chao)過1臺(tai)時需要管(guan)理員審核。

上網(wǎng)賬(zhang)號二次綁定手(shou)機號碼(ma)：

賬號首次登陸(lu)時需要(yao)綁定手(shou)機號并(bing)輸入(ru)短信(xin)驗證碼(ma)，當用戶賬(zhang)號在(zai)新終端登(deng)陸時(shi)（換終端(duan)/被他用(yong)/被盜(dao)），不僅需要輸(shu)入密碼，還需(xu)要輸入短信驗(yan)證碼(ma)，解決(jue)員工賬號(hao)認證的安全問(wen)題

綁定手機(ji)號碼的(de)用戶，可以(yi)自助重置(zhi)密碼和修(xiu)改密碼，無需通(tong)過IT管理員。

用戶密碼管理(li)及自助修(xiu)改：

無需通(tong)過管理員即可(ke)修改密碼，提(ti)高效率及減(jian)輕管理員(yuan)工作壓力(li)。

通過口(kou)袋助理(li)、釘釘(ding)、企業(yè)號等手機(ji)MOA類APP軟件進行(xing)無線(xian)密碼修改。

若賬號綁定(ding)了手機號碼(ma)，可通過手(shou)機驗(yan)證碼(ma)自助修(xiu)改。

上網(wǎng)終(zhong)端合法(fa)效驗(yan)：

采用(yong)安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡，終(zhong)端與AP熱點(dian)的雙向驗(yan)證，提高安(an)全性(xing)。

可以將(jiang)無線網(wǎng)絡設(she)置為只有(you)安裝了安全(quan)無線網(wǎng)卡(ka)的終端(duan)才能(neng)接入無線(xian)網(wǎng)絡。

支持(chi)設置(zhi)安全無線網(wǎng)卡(ka)只能連(lian)指定SSID無線網(wǎng)絡(luo)，無法連接非(fei)授權SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動進(jin)行數(shù)據(jù)(ju)加密，保證無線(xian)的空口(kou)安全(quan)。

無線熱點掃(sao)描及非法(fa)熱點抑(yi)制：

背景：黑客在(zai)附近搭建一個(ge)一模一(yi)樣或者類似的(de)WIFI名稱，誘使用戶(hu)連到虛假(jia)釣魚WIFI上，黑客(ke)利用分析軟(ruan)件從用(yong)戶上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取(qu)用戶隱(yin)私信息。

我們(men)通過WIPS無線入侵(qin)防御系統(tǒng)實時(shi)檢測周(zhou)圍無線信號，當(dang)檢測出來(lai)的信(xin)號BSSID、且AP源MAC地(di)址不在授(shou)權列表中時，我(wo)們向?qū)?dui)應的(de)AP和終(zhong)端發(fā)送解除(chu)關聯(lián)幀，讓(rang)終端無(wu)法連上釣(diao)魚WIFI。7×24小(xiao)時不間(jian)斷監(jiān)測網(wǎng)絡。

上網(wǎng)行為嚴(yan)格控制(zhi)：

強大的管理(li)：通過應用識(shi)別技術，可(ke)以根據(jù)(ju)應用類型(xing)或者具體某一(yi)種應用(yong)進行封堵，包括(kuo)視頻、論壇、游(you)戲、金融、下載(zai)等2400多種網(wǎng)絡應(ying)用。

通過應用識別(bie)技術，可(ke)以根據(jù)應(ying)用類型或者(zhe)具體某一種(zhong)應用進(jin)行封(feng)堵，比如(ru)上班(ban)時間不(bu)允許炒(chao)股，不允許P2P下(xia)載，不允許外發(fā)(fa)敏感文件等； 支(zhi)持主流移動(dong)平臺，可識別(bie)IM、社交(jiao)、Mail、新聞、炒股等(deng)應用(yong)。

無線控制器(qi)內(nèi)置(zhi)千萬(wan)級別的URL分(fen)類庫，能(neng)夠?qū)RL進行識(shi)別，包含新聞(wen)、購物、金融、教(jiao)育等18個種類的(de)URL地址； 準確識別(bie)目前主流網(wǎng)站(zhan)，識別(bie)率高(gao)達99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止登陸非(fei)法網(wǎng)(wang)站

通過基于時(shi)間段的訪(fang)問控制(zhi)策略，實現(xiàn)不同(tong)的時間段不同(tong)的訪問權(quan)限，比如(ru)上班時間，禁止(zhi)訪問網(wǎng)上銀行(xing)、游戲、論壇貼(tie)吧等與(yu)工作無關(guan)的應用，下班時(shi)間則不受(shou)限制。

辦公區(qū)(qu)域內(nèi)，不(bu)同辦公(gong)部門(men)總會(hui)有各自專(zhuan)屬的無線(xian)網(wǎng)絡，并且不希(xi)望部門(men)之外的成員使(shi)用這個(ge)網(wǎng)絡。無(wu)線網(wǎng)絡控制器(qi)可以根據(jù)用戶(hu)的屬(shu)性，限制(zhi)禁止非本(ben)部門的(de)用戶接入(ru)。

典型無線網(wǎng)(wang)絡攻(gong)擊防護：

對典(dian)型的危險(xian)攻擊行(xing)為進行檢測(ce)，當超過設定的(de)閾值后自動(dong)將攻擊者(zhe)加入到黑名單(dan)中，并凍(dong)結一定(ding)時間，即時(shi)發(fā)現(xiàn)網(wǎng)絡攻(gong)擊并進行防(fang)御。

檢測的攻(gong)擊包括：DDOS防(fang)御、ARP掃描、IP掃描(miao)、端口(kou)掃描防御，禁止(zhi)客戶端私設(she)IP以及ARP、網(wǎng)(wang)關欺騙防御(yu)、DHCP請求泛洪防(fang)御。

無線射頻定(ding)時關閉開啟(qi)：

通過射頻關(guan)閉控制(zhi)策略(lve)，可以指定某(mou)SSID網(wǎng)絡，定時自(zi)動關閉和開(kai)啟無線網(wǎng)(wang)絡的射頻信號(hao)，晚上下班后自(zi)動關閉(bi)無線射頻(pin)信號。

一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費支出；另一(yi)方面又能防止(zhi)非法(fa)用戶利用深夜(ye)時間入侵(qin)無線網(wǎng)絡，做一(yi)些非法的操(cao)作。

有線(xian)無線(xian)一體化管理：

NAC的有(you)線無線(xian)一體化(hua)，支持對(dui)有線用戶的(de)接入認證、訪(fang)問控制、流量(liang)管理、上網(wǎng)行為(wei)審計等，

并提供統(tǒng)一(yi)中文(wen)Web管理(li)界面，一站(zhan)式服務，極(ji)大的(de)降低網(wǎng)(wang)絡建設成(cheng)本。

網(wǎng)絡(luo)分權分(fen)級管理：

分配不同的管(guan)理員分別(bie)管理各(ge)自權限區(qū)域(yu)的無線AP，可以(yi)精細到對某(mou)AP分組(zu)有管理權(quan)限，該管(guan)理員(yuan)可以在該AP分(fen)組上建(jian)立無線網(wǎng)絡，能(neng)夠激活、刪除接(jie)入點，能(neng)夠?qū)P的配(pei)置進行編輯修(xiu)改。

可指定管理員(yuan)針對每個(ge)頁面(mian)的編輯或(huo)可查(cha)看權限(xian)，控制粒度到(dao)控制器上(shang)的各個(ge)頁面，對某個(ge)頁面沒有讀(du)權限則(ze)登錄時(shi)不顯示。

移動APP隨時(shi)隨地運維管(guan)理：

支持跨互聯(lián)(lian)網(wǎng)運維管理

登陸(lu)APP進行維護管理(li)：不同(tong)管理(li)員，不同權限(xian)

查看(kan)網(wǎng)絡運(yun)行情(qing)況：在線(xian)用戶(hu)、在線AP數(shù)(shu)量、實時(shi)流量

無線網(wǎng)絡(luo)管理維(wei)護：開啟關(guan)閉SSID、終(zhong)端綁定審批、二(er)維碼(ma)上網(wǎng)審(shen)核

故障、審批實(shi)時通知：AP離線(xian)警告(gao)、服務器離(li)線警告、網(wǎng)絡攻(gong)擊告(gao)警

方案優(yōu)勢：

1、最豐富的無(wu)線安全機制(zhi)，提供從安全(quan)接入到安(an)全上網(wǎng)等(deng)端到端(duan)的安(an)全策(ce)略

2、合理管控(kong)工作人(ren)員上網(wǎng)行(xing)為，提升工作效(xiao)率、防止帶(dai)寬浪費，有線(xian)無線雙(shuang)重管控(kong)

3、為會議室，報(bao)告廳等人員密(mi)集區(qū)(qu)域接(jie)入網(wǎng)絡提(ti)高保證，解(jie)決有線網(wǎng)(wang)口不(bu)足的問題；

4、為企業(yè)(ye)員工的(de)移動辦公提(ti)供支撐，內(nèi)部(bu)員工可通(tong)過無(wu)線網(wǎng)絡隨時安(an)全接入內(nèi)(nei)部網(wǎng)絡(luo)，實現(xiàn)辦(ban)公；

5、內(nèi)部員(yuan)工賬號及(ji)個人信(xin)息綁定，便于安(an)全管(guan)理；

6、內(nèi)部員工可(ke)通過自己的辦(ban)公設備在企(qi)業(yè)大樓內(nèi)(nei)快速(su)移動辦公，網(wǎng)(wang)絡接入更快速(su)，上網(wǎng)行為(wei)管理系統(tǒng)(tong)對員工上網(wǎng)(wang)行為進(jin)行審計與(yu)管控

7、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡，可根(gen)據(jù)不同需求(qiu)，分配不同(tong)的上網(wǎng)權限(xian)，保證(zheng)了接入的(de)安全性同時提(ti)升群眾上(shang)網(wǎng)的體驗

8、豐富的認證機(ji)制，滿足組織(zhi)對無線網(wǎng)(wang)絡安全、快速接(jie)入

9、投資成本(ben)低，通過部署無(wu)線控(kong)制器替換原(yuan)有網(wǎng)絡的(de)出口路由、行為(wei)管理以(yi)及無線控(kong)制器