银行营业点WIFI认证管理技术方案.docx

1、银行营业点WIFI认证管理技术方案银行portal认证类WIFI产品方案中国联合网络通信有限公司四川省分公司集团客户事业部2012年10月一、概述.银行WIFI应用背景随着WiFi热点增多及智能终端的迅速发展，银行相继推出了网上银行、手机银行等更加便捷的服务模式，丰富业务服务手段的同时，减轻传统营业网点服务方式的压力。如何能够进行更有效的电子银行推广，成为了银行电子银行部门需要解决的问题。而高端用户是银行个人金融服务收益的主要来源。为吸引高端用户，着实提高人性化便捷服务和整体满意度，各银行向客户提供WiFi无线上网服务，让银行客户在营业网点等待办理业务的同时享受此项互联网服务，提升客户对银行整

2、体服务的认知度。银行为客户提供的无线WIFI上网服务需满足客户使用笔记本电脑、PDA、智能终端等现有移动设备高速上网的同时，还必须做到上网日志的储存与记录，通过IP溯源机制，回溯到用户的账号和个人身份。客户在银行营业厅免费享受N小时wifi服务，用户在上网时候需要使用电脑或者手机在登陆跳转后的页面输入用户名和密码进行认证后上网，与使用chinaunicom接入上网登陆认证情况类似。二、需求分析 银行接入分支点为N个，每营业厅计划建设1台POE交换机，3个AP。 各分支进行无线网络覆盖，并且提供安全的无线接入。 用户上网帐号由营业员手工建立，按20个帐号/网点计算，每个帐号的有效使用时间为2小时

3、（从登录开始计算，并可以定制化时间长度） ，2小时后该帐号自动失效。 系统能提供月报，主要是数量、流量等相关数据统计 系统能够实现对用户的溯源功能 客户登录提供个性化portal 页面（页面的数量） 网络提供有黑名单和白名单功能 无线网络环境满足公安部令第82号互联网安全保护技术措施规定的相关要求。三、设计要求 个性化Portal展示用户接入认证方式采用PORTAL；需提供个性化PORTAL服务。银行的用户在银行网点使用无线网络环境时，终端用户通过CHINA UNICOM-CEBBANK访问WiFi网络，Portal支持推送各银行客户定制的WEB页面（页面为统一模版，预留银行自定义空间用于提示

4、上网政策及银行新业务宣传推广）。 运营管理平台需支持分层级管理功能。提供客户运营管理界面，供客户自行操作生成账号，并预留与排队机进行耦合开发的接口，以便后期客户开发后通过排队领号时领取口令。账号需设置最长有效时间、下线超时失效时间，且不能设置密码错误次数保护。 网络安全隔离网点无线网络环境必须和银行内部网络严格物理隔离，严禁将银行内部网络通过连接无线设备的方式建设无线上网环境。严禁银行内网设备使用该无线网络环境访问互联网。 IP溯源根据国家对互联网信息安全的管理要求，需要提供IP溯源机制，可以根据用户上网的记录回溯到用户的帐号和个人身份。 内容审计需提供用户上网内容审计功能，查询用户外网访问服

5、务记录，为惩治不法网络行为提供证据。四、解决方案及实现 四川联通AAA宽带认证系统应采取多SSID部署的组网。用户在使用WLAN网络时，一个AP可以提供多个SSID，由AP完成各SSID和VLAN的独立绑定关系以区别认证路径，例如提供2个SSID：银行及中国联通，根据用户选择的SSID对用户终端推送不同的PORTAL界面。民生银行wifi接入方案目前我公司已与民生银行达成业务合作协议，由我公司投入银行wifi AAA系统和wifi热点及到银行营业厅的互联网专线，民生银行每月支付互联网专线费用。AAA分公司银行wifi接入方案省内其它地市分公司如果要与当地银行合作此类业务，近期无需再考虑AAA的

6、投资（近期全省均可共用为民生银行新建的AAA系统），只需解决银行wifi热点覆盖和互联网专线接入的投资。银行wifi热点覆盖建议组网方案：1、银行热点建议部署POE交换机来汇接热点覆盖所需要的AP，实现对营业厅上网的全覆盖；2、接入方式在满足4M带宽要求的情况下，优先使用光纤接入。接入至就近接入机房（或汇聚机房）的城域网交换机后，上行至城域网BRAS,识别CHINAUNICOM用户或银行wifi上网用户分别转发到联通省AAA认证或者银行AAA认证后接入互联网；3、AC旁挂于BRAS（或CR），AP的IP地址由此BRAS进行分配。网络拓扑图如下： 可见关键点是：利用AP接入+AC(管理)+认证系

7、统(AAA日志直接存在网管服务器即可)，实现整个WIFI安全认证接入并记录日志，确保满足客户需求。1. AP接入方式AP的供电采用以太网供电（Power Over Ethernet，PoE），通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。AP的管理地址需要由BRAS分配，同时要求BRAS需要支持OPTION43属性，AP从PTION43属性中获取AC的IP地址，向AC注册。2.接入认证系统通过接入认证系统用以实现对用户DHCP地址分配、WEB Portal接入认证、计时访问、用户溯源审计等功能。智能管理中心位于网络中BRAS路由可达的网络

8、位置，托管在IDC机房即可。3. AC部署位置由于营业厅网点较多，且分散在市区的各个角落，AC要作为全网用户的认证点，并且实现所有上网用户的集中数据转发，建议旁挂于CR。4.客户获取上网帐号方式客户有上网需求时，由银行营业员手动的在智能管理中心系统上面手工创建上网帐号密码，然后由营业员将用户名和密码交给需要上网的客户，该帐号在2小时后自动失效；交给客户的用户名及密码若在10分钟（具体时间可根据实际情况设定）内未使用，将自动失效。5.溯源方案由认证系统配合日志服务器存储用户的所有上网记录，保持时限为1年。通过IP溯源可确定用户的账号信息与个人身份。6.用户地址分配终端用户的地址由AC统一分配，地

9、址池配置在AC上。7.提供第三方系统集成接口 可提供三方接口进行开户、交费等业务操作，实现与一卡通等系统集成；（自动开户功能） 运营商BSS/OSS系统集成； 支持标准LDAP接口，与其他系统集成，实现用户认证信息共享； 统一802.1X与Windows域登录，与Windows活动目录服务集成认证。8.业务整体流程 客户提出上网需求 银行营业员给有需求客户进行开户 客户在营业厅搜寻到银行的WIFI信号进行连接 客户打开任意网页，弹出portal页面。 客户在网页内输入给定的帐号域名及密码 AC集中进行认证 AAA认证通过，用户可以正常上网。五、设计组网方案特点 1.实用、方便的统一管理系统为了

10、保障今后网络维护、管理的简便性、实用性，在本次网络构建方案中从设备的选择到网管系统的选用上都进行考虑。本次配置的智能管理中心，通过图形化界面可以实现设备管理、拓扑管理、故障管理以及集群管理、日志管理。为网络管理员提供方便的管理手段。除提供传统的网络设备的管理之外，中心也真正实现了对用户、对业务的全方位统一管理。大大简便了网络管理人员的工作量，可以直观的在网络拓扑系统上了解用户的行为。2.有线无线一体化接入方案有线无线一体化接入方案为无线控制器加Fit AP最典型的应用，无线控制器插卡作为无线数据控制转发的中心，无缝融合部署在核心交换机上，无线接入点则放到办公楼走廊或者会议室等场所， Fit A

11、P和无线控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），结合以太网交换机的接入功能，这样就非常容易部署企业级有线无线一体化接入方案。从用户管理的角度出发，配合联通公司的智能管理中心，可以做到有线设备和无线设备统一网管、有线用户和无线用户统一认证平台，从而真正实现有线无线一体化。4.无线组网可靠性方案特点FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可

12、以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，联通只能射频管理系统可以定位出该AP的位置，以便及时加以排除。FIT A

13、P自动射频调整功能示意图无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。如图所示。联通 WLAN智能负载分担支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。联通 WLAN智能负载分担FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设

14、备发起攻击，使该第三方设备无法连接上相应的用户。联通无线入侵检测示意图5.无线组网安全管理方案特点基于标准的SNMP协议实现对设备的管理，管理中心专门的无线局域网管理软件WSM组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。无线控制器可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WSM可以实现配置管理整个WLAN无线网络，其具备以下特点：1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息

15、。可将无线控制器接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到无线控制器上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。无线控制器与AP之间可

16、以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到S75实现注册。4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，无线控制器会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安

17、全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。7、安全管理：提供入侵检测功能，专用 AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP将上报相应的告警给无线控制器，并通过网管软件显示。六、平台系统其他要求 1.系统智能管理平台 系统的AP/AC以及POE交换机可以通过图形化网管进行统一管理。 对于网管帐号的三级管理模式，我们为其提供了分级权限管理功能：系统管理员可以通过管理系统对管理人员进行权限分配，管理中心管理员可以查看所有权限；各二级管理点只能对其所辖区域设备进行管理

18、。 远程管理方式：可通过telnet，ssh等方式进行设备管理。设备管理：实现对所有前端设备的管理，包括设备绑定、操作日志查询、设备状态等。2.系统安全管理系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。所包含的主要功能有：操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。操作员密

19、码管理管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问系统的安全性。分组分级权限管理管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。操作日志管理对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员

20、的历史操作记录，界定网络操作错误的责任范围。操作员在线监控和管理系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。七、关键覆盖设备要求1. AC无线控制器 1套，可最大扩展至1024个AP管理能力2. 室内型AP（内置智能天线） 46套，和AC同品牌3. 网管平台 1套（含无线管理组件和AAA用户认证组件）具体技术要求如下：1. AC无线控制指标项技术规范要求可靠性支持双电源，双引擎单业AC业务板支持AP数量1024个AP接口情况支持至少2个万兆光口至少配置8

21、个自适应千兆电口，至少配置4个GE千兆多模光口VLAN支持1）支持4096个VLAN；2）支持基于端口的VLAN；3）支持基于MAC的VLAN；4）支持基于用户的VLAN分配；5）支持基于SSID的VLAN；6）支持基于AP的VLAN；VLAN均衡分配支持具有VLAN Pool功能，当一个SSID和一个VLAN池绑定时，该SSID下的用户将被均衡地分配在VLAN池的所有VLAN中，既能将用户划分在不同广播域中，又能充分利用不连续的地址段为用户分配地址无线终端定位具有内置无线终端定位功能，可以定位出无线终端的位置设备类型识别和控制无线终端采用802.1x和Portal准入时，可以对笔记本、iPa

22、d，iPhone，Android等终端设备进行识别和区分，并可以针对不同设备制定对应安全策略频谱防护AP可以定时地探测其他频道的电磁波信号，对电磁波进行智能的控管。同时具有对无线应用种类的识别，良好的协调RF管理和应用支持的问题。可以针对环境的电磁状况作出完善的分析和报告并采取有效措施进行规避。采用图形化方式，主动探测和识别所有WiFi（2.4GHz/5.8GHz）波段的射频干扰源，可实时进行射频频谱分析，可提供实时FFT图、占空比图、干扰设备列表、等。支持远程抓包AP可进行远程抓包，并能通过主流第三方的数据包分析工具分析数据IPv6支持1）AP和AC之间支持IPv4/IPv6网络，支持IPv

23、6基础协议2）AP和AC之间可以是纯IPv6网络3）支持IPv6路由4）支持TCPv6、UDPv6、ICMPv65）Pingv6、TraceRTv6、Telnetv6、DNSv66）支持DHCPv67）支持IPv6 ACLAC支持DHCP v6 Server功能QOS支持1）支持L2L4包过滤和流分类功能2）支持基于SSID的ACL3）支持基于用户的速率限制4）支持WMM（802.11e）5）支持基于SSID的速率限制，便于开着多业务，保证多业务之间的隔离负载均衡可实现基于用户数和流量的负载均衡DHCP1）支持DHCP Server2）支持DHCP Relay3）支持DHCP Snooping

24、4）支持DHCP ClientAAA和认证1）支持LDAP2）支持标准Radius RFC协议3）支持本地认证4）支持802.1x认证5）本次无线认证采用Portal方式，AC应支持Portal认证，并能提供至少1000用户的无线Portal认证。6）支持具有国家自主知识产权的WAPI标准的认证和加密7）支持PPPOE认证支持CAPWAP协议1）AP和AC之间支持L2/L3层网络拓朴2）AP可以自动发现可接入的AC 3）AP可以自动从AC更新软件版本4）AP可以自动从AC下载配置组播1）支持IGMP Snooping2）支持MLD Snooping入侵检测1）支持无线WIDS/WIPS功能2）

25、支持对无线非法设备的监测和抑制3）支持无线防攻击非法AP控制支持非法AP、非法客户端的发现、抑制功能无感知认证支持与管理软件配合针对智能终端通过MAC地址和用户名捆绑的方式在PORTAL认证模式下实现“一次输入多次使用”的无感知认证无线漫游1）要求支持2、3层情况下，无线用户在数据不加密以及加密情况下可以无缝漫游2）支持AC间漫游3）支持AC内漫游，漫游切换时间50ms动态功率调整支持对于无线终端及语音终端进行动态功率调整SSID支持支持多SSID可靠性支持AC1+1备份，切换时间为毫秒级支持多AC备份N+1、N+N支持负载均衡冗余电源，配置电源数量2无线资源管理1）支持自动无线资源管理功能，

26、根据无线网络实际情况自动调节无线网络射频参数，下发至AP生效，并不影响AP正常接入性能2）支持手动调整零配置管理所有AP完全零配置操作，完全由控制器进行统一配置2. 室内型AP指标项技术规范要求工作模式1）支持胖/瘦AP两种工作模式，支持802.11n协议2）可通过软件方式支持瘦AP和胖AP的转换接入模式支持瘦AP标准IETF 5415 CAPWAP协议工程实施要求为了美观要求，采用浅色外壳； 接口1个10/100/1000M以太网接口（RJ45）天线1） 支持内置硬件智能天线2） 同时支持外置天线接口，可以按照需求添加外置天线频率及性能1） 同时支持2.4G和5G双频2） 单频支持300M带

27、宽接入电源1）支持本地交流电源供电2）整机功耗15.4W，可支持标准802.3af供电多SSID支持支持16个SSID频谱分析1）设备支持频谱分析功能，能够识别干扰源（如蓝牙、无绳电话、微波炉等），并且能够定位干扰源位置智能带宽限速1、基于带宽均分算法2、基于每用户指定带宽的算法3、在流量未拥塞时，确保不同优先级SSID下的报文都可以自由通过；在流量拥塞时，确保每个SSID可以保持各自约定的最小带宽频谱导航支持2.4G、5G的频谱导航功能非法SSID监测支持非法SSID监测，并可以攻击非法APIPv6支持1）支持IPv6透传2)支持纯IPv6网络的应用和管理，全网部署IPv6，AP管理地址必然

28、为IPv6，AP获取地址能支持DHCPv6；支持在IPv6环境下建立CAPWAP隧道，对Fit AP进行集中管理。3）支持源地址验证SAVI技术接入认证1）支持802.1X认证2）MAC地址认证3）PPPoE4）Portal认证QOS1）支持流分类和ACL2）支持IPv6 ACL3）支持流量负载均衡4）支持基于用户的负载均衡5）支持WMM（802.11e）安全1）支持802.11i安全标准2）支持WPA 和WPA2加密方式3）支持WAPI安全标准，并提供WAPI产业联盟会员证书管理定时开关AP、SSID产品资质1、提供设备的wifi联盟认证证书2、提供每款型号的型号核准证书注：所提供证书复印件

29、应加盖投标产品设备生产商鲜章（公章）3. 网管平台网络管理1）支持SNMPv1/v2/v3、Telnet、Console管理2）支持Web配置管理3）本次采购的AC、AP与交换机网管软件进行统一管理，实配500个AP管理能力4）支持SSH加密登陆5）拓扑直接呈现AP、交换机、AC等的连接关系，可直接操作PoE交换机端口，实现远程AP重启，提供网管拓扑截图，并加盖设备生产商鲜章（公章）；6）配置AAA用户认证组件，支持portal和802.1x认证，实配1000用户认证能力4.服务器网络管理处理器：主频2.5GHz，CPU个数或CPU核数=4；内存：8G以上；硬盘：2t ，可冗余；1块10/100/1000Mb自适应以太网卡；5.POE交换机POE交换机以太网交换机,8个10/100Base-T,1个10/100/1000Base-T与1000Base-X SFP COMBO,POE交换容量 19.2Gbps包转发率 2.7Mpps支持8K MAC支持基于端口的VLAN（4K个）