邮政银行无线网络实施方案建议书.docx

1、邮政银行无线网络实施方案建议书某省邮政银行无线网络方案建议书公司简介苏州汉明技术有限公司成立于2009年6月，公司总部位于苏州工业园区，设有上海、苏州两大研发中心，在上海、北京、武汉、广州、成都、深圳、合肥等地设有分公司和办事处。目前公司有员工近200人，其中研发人员占60。苏州汉明科技有限公司是一家专业致力于无线局域网（WLAN）通信软件和硬件开发与推广的自主研发型企业。公司产品包括AP、AC、网管等全系列WLAN设备，均拥有核心技术及知识产权，获得多项发明专利，所有产品均获得国家无委会认证、CE认证、FCC安全认证，公司已获得ISO14001环境管理体系认证、ISO9001国际质量管理体系

2、认证、国家级高新技术企业、江苏省软件企业认定等资质。目前公司产品已全方位应用于运营商、教育、酒店、医疗、煤矿、金融、石油等多个行业。依托强大的研发和市场团队，公司建立了全方位的产品、市场、服务体系。1.方案概述1.1方案概要随着越来越多的便携式设备和智能终端都开始支持Wi-Fi接入，进一步推动了WLAN的广泛使用。在邮政银行各分支网点部署WLAN，可方便银行工作人员使用iPad等进行随时随地业务展示、向手持终端等设备推送特色金融服务等广告页面、为等候区客户提供无线上网服务等，以满足不同客户的个性化需求，提高金融的品质服务质量。目前业内已经有光大银行在国内72个城市共计624家网点推出了集网上银

3、行、手机银行和电话银行“三位一体”的电子银行服务区，并提供免费WIFI上网服务，在网点中创建了“无线”服务新模式，成为国内首家实现无线网络全覆盖的银行。本方案根据用户实际无线网络覆盖需求，基于汉明科技整体化无线网络解决方案，采用业界先进的瘦AP+AC部署方式，在业务上基于分布式转发进行架构，具有极强的可靠性、扩展性和易维护性；结合汉明科技独有的安全专利技术，从接入认证、数据加密、安全策略等多个角度进行安全一体化设计，充分保证无线数据通信的安全性和完备的无线系统防御措施。汉明科技无线整体化解决方案，将无线漫游技术、射频信号优化技术、安全加密技术、综合管理系统、业务功能设计等进行分层模块化部署设计

4、，将系统资源有效整合，充分发挥设备功能、性能优势，可为邮政银行客户提供安全、高品质、高可靠性的无线网络。1.2 需求分析通过对金融行业客户的需求分析和了解，邮政银行无线网络建设存在以下需求：1） 业务需求：供客户的笔记本、iPad、iPhone等无线智能终端接入，方便客户现场体验网上银行、手机银行等在线业务；方便分行客户经理利用iPad等智能终端进行业务推介、业务展示、指导客户手机银行应用下载等；为排队等候区客户提供无线上网服务，提高服务体验。2） 覆盖区域要求：无线网络覆盖范围包括业务办理区、客户等待区、电子银行体验区、贵宾客户区等。3） 强大的网络安全和业务安全保障措施：a) 各网点互联网

5、无线网络和行内网络（生产网、办公网）实施严格的物理隔离，确保金融业务安全；b) 各网点互联网无线网络开启二层隔离，保证用户之间隔离不能互访；c) 行内原有固定办公网络电脑禁止私自连接到无线网络，禁止行内计算机违规上网带来安全隐患；d) 过滤不良信息，严禁访问非法网站和发表敏感言论：e) 强用户认证和身份识别，基于用户名和动态密码认证，必须对每一个用户可以追溯识别到用户的身份；f) 个性化Portal需求：用户在网点上网时，可弹出银行定制的WEB页面，用于客户安全提示和业务宣传；4）无线信号要求：网点营业大厅、贵宾区无线信号强度边缘值不低于-75dBm，ping时延小于50ms；5） 运维管理需

6、求：a) 上千个网点设备集中管理、统一维护、支持全网统一升级；b) 支持基于用户的带宽限制，防止某一用户占用大量带宽影响其他用户体验；c) 用户信息记录和查询、统计等1.3 客户价值汉明科技作为专业WLAN解决方案提供商，专门为邮政银行所做的方案，可以为客户提供以下价值：1） 架构先进，方便运维：业内先进的“AC+AP” 组网架构，通过在邮政银行总部部署大容量AC，集中管理各分行网点上千台AP，实现所有设备的集中管理、统一配置、策略下发等，极大减轻运维难度；2） 多重安全机制保障业务安全：汉明科技通过有线无线物理隔离、行内机器MAC地址过滤、基于手机号和动态密码的认证方案等多种手段确保银行业务

7、安全和用户上网安全。3） 方便移动业务展示和提高客户服务体验：通过iPad、智能手机等随时随地进行网上银行、手机银行业务推介、使用指导，提供客户等候排队期间的上网服务等，提高客户服务体验，提升品牌形象，带动业绩增长和业务推广。2.无线网络系统解决方案2.1方案总体拓扑该方案的具体网络拓扑架构如下图所示：在该方案中，包括如下设备： 无线控制器：在邮政银行总部部署一台汉明科技大容量无线控制器Howay8000S（框式3槽位设备、双电源冗余备份），可实现对1000个分行网点的AP及接入终端的集中式管理，管理AP数量可达2048个。 无线接入点AP：在每一个分行网点营业大厅，部署2台吸顶式AP；采用汉

8、明科技吸顶式AP Howay2000NI，外形美观，支持802.11b/g/n协议，最大接入速率300Mbps，单台设备可带40个用户，实现优化、无缝的无线信号覆盖和数据分布式转发。 POE模块：在每一个分行网点，建议采用2个汉明科技千兆单口POE模块为2个AP提供上行链路及对AP 进行POE供电。 Radius主备服务器：在邮政银行总部部署两台汉明科技Radius 主备用服务器，提供用户授权和统一认证，Radius服务器支持与运营商短信平台交互，将生成的动态口令通过运营商短信平台发送到指定的手机上，实现自助式用户账号管理和用户唯一身份确认。 Portal主备用服务器：在邮政银行总部部署两台汉

9、明科技Portal主备用服务器，提供用户Portal认证页面推送和业务推广信息推送，并与Radius、AC联动完成用户的认证交互等。汉明科技结合用户无线网络需求情况，结合汉明科技自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照汉明科技AP+AC的结构化无线网络解决方案进行设计。整体框架基于瘦AP方式部署，采用AC（无线控制器）对AP进行集中管理、控制、配置下发，以及对接入终端的认证、数据分布式转发、漫游等功能。系统的中央无线控制器可以同时控制上千个AP协同工作。操作和维护工作现在只需要在AC上进行就可以了。在这个架构里，AP只负责无线信号的

10、收发，不作MAC层及其以上的协议层处理，所有的智能工作都由AC完成。汉明科技基于瘦AP+AC架构方案的优势在于： 配置简单：AP零配置、所有的配置集中在无线交换机上完成，简单便捷； 维护方便：管理、维护针对无线交换机来实现，不需要对每一台AP进行操作； 易于升级：针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线AP单独升级，软件的升级由AP自动完成。安全可控：可以集中进行射频及功率、信道调整，黑白名单、无线入侵检测、安全访问控制等功能； 扩展性强：根据需要，可以灵活增加补点AP，需要扩容的话，只需要将AP接入网络即可。 网络性能好：高速的数据转发，支持快速

11、切换，数据私密性好，天然的MAC层加密隧道； 抗干扰性强：可动态分配信道，并在受干扰时切换到最优信道。本方案中，AP与AC使用三层架构部署，即AP与AC处于不同IP子网，AC设备负责AP设备的集中管理和配置，AC/AP组网支持跨越NAT网络环境。考虑到无线网络中多媒体业务对带宽大规模占用的特点，以及对上千台AP的大流量处理要求，如果采用集中式转发的架构模式，AC很容易成为性能瓶颈。因此方案中采用分布式转发模式。控制、管理报文通过无线控制器进行统一处理，数据报文在无线AP上直接转化为以太网格式的报文，不需要通过隧道封装交无线交换机处理，从而解决无线控制器的数据转发性能瓶颈问题。2.2无线网络功能

12、设计1) 零配置/即插即用功能：AP上不需要进行任何配置，只要接入到网络就可以工作2) 软件自动升级功能：AP的软件完全实现自动升级3) 批量配置功能：对连接到无线控制器的众多AP进行批量配置4) 动态信道分配功能：无线控制器可以为AP自动分配信道，并在受到干扰时切换到最优信道5) 自动发射功率调整功能：AP发生故障后，邻居AP可以提高自身功率，以弥补覆盖空洞6) 网络负载分担功能：既可以实现用户在不同AP下的负载分担，也可以实现AP在不同无线控制器下的负载分担7) 快速切换功能：用户在同一无线控制器的不同AP之间漫游时，可以大大提高切换速度，切换时延只有89毫秒8) 跨区组网功能：对于分散在

13、不同区域的AP依然可以通过城域网连接到无线控制器，而且AP无需任何配置9) 跨IP子网漫游功能：无线工作站无需作任何改动，可以在不同的IP子网进行无缝漫游2.3无线网络安全设计WLAN利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战。仔细分析无线网络面临的安全挑战，主要是防止非法窃听、数据篡改，防止非法用户接入，防止恶意攻击（ARP攻击、DHCP攻击），防止AP过载（广播风暴），防止不合理应用等。针对以上安全问题，汉明科技无线系统可以提供多标识的用户的接入验证功能，如无线链路接入认证，以及针对用户接入的802.1X、WEB认证、MAC、SSID等多种标识的认证方式。并且，可

14、以提供对无线链路进行加密功能，如WEP、WPA、WPA-PSK、WPA2等加密方式。实现对所有无线数据进行加密传输无线网络的安全性设计体现在接入认证、数据加密、安全策略三个层面。接入认证实现对接入无线网络的终端和用户进行接入合法性检查；数据加密对终端和AP之间的数据进行加密处理，防止窃听；安全策略采用用户隔离、SSID隐藏、MAC地址过滤等技术手段抵御恶意用户的攻击行为。 接入认证方案设计：汉明科技AP产品支持MAC地址认证、预共享密钥认证、802.1X认证、portal认证。如果用户网络中已包含radius认证服务器，我们建议用户采用portal认证方式实现对接入用户的准入。也可以在用户现有

15、网络认证系统的基础上进行扩展，把无线系统的接入控制加入到现有认证系统中，实现用户网络认证系统的统一性和完整性。汉明科技全套WLAN产品均支持与标准认证系统的无缝对接，可完美支持Portal、802.1X、PSK、PPPOE等认证接入方式。个性化Portal定制：Portal认证也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户接入wlan后上网时，打开浏览器，portal网关设备将强制用户登录到特定站点，提示用户输入用户名和密码，只有认证通过后才可以使用互联网资源。本项目可针对不同网点设备推送不同的Portal页面，实现Portal页面可定制，以推动不同的认证页面和广告业务推

16、广页面。手机账号和动态口令：本项目为了作为唯一确认用户身份和密码安全性考虑，采用用户账号采用用户手机号，密码通过短信交互动态获取方式以确保安全性。 数据加密方案设计：汉明科技除了支持WIFI通用的安全策略和中国标准的WAPI安全标准外，还发明了一种基于E-CARD的加密保护方法、一种用户和无线点之间的专有加密保护方法、一种基于心跳的WLAN网络资源防盗方法三个关于WIFI的安全专利。其中，E-CARD加密保护方法在提高数据加密等级的基于上，对数据加密性能和效率进行了极大的优化。本方案中，AP与终端设备之间采用E-CARD技术进行加密。采用E-CARD技术对全网数据进行机密保护。由于采用汉明独有专利技术，使得对加密数据的破解更为不可