1、概述
1.2 厂区WLAN现状分析
随着移动互联网的发展,移动终端的爆炸增长,无线终端和无线应用的快速普及,极大的推动了无线网络的发展。在这个移动互联的时代,无线已经成为终端接入的主导力量。BYOD、移动办公已成大势所趋,厂区WLAN的应用需求正在进一步加大。
空间跨距过大,而且许多数字化控制设备处于移动状态,是目前大中型厂区的普遍现状。采用传统的、固定的以太网布线手段,难以方便、经济、快捷的完成数控设备的信息控制和移动终端的接入。随着无线网络传输速率的不断提高,抗干扰能力的不断增强,设备性价比的不断提升,实现厂房内、厂房间的设备互连与通讯,已经具有切实的可行性。
大型厂区在无线网络建设期间要充分考虑访客(领导、客户、合作伙伴、仓库移动终端)接入网络的需求。首先从安全性考虑,访客网络必须要和厂区办公网络分开,访客网络单独提供给访客使用。从用户体验角度考虑,访客接入网络的验证方式一定要做到简单易行,繁琐的验证方式会降低访客对厂区的整体印象。同时对于访客网络,厂区还需要建立完善的网络安全管理机制,避免由于访客的网络不良访问给厂区带来的法律风险。对于厂区员工移动办公上网、宿舍休闲上网更需要做到可管控,上网行为做到可追溯,企业有效的带宽资源得到合理的分配和保证,才能使企业的业务系统正常且稳定高效地运行,同时保证企业信息安全,避免机密信息泄露。
1.3项目介绍
虎门港联想增益供应链华南总部基地项目是继武汉白沙洲项目之后,联想增益总部在全国布局的十大冷链物流平台(冷库、交易市场等)之一。平台涵盖有较强辐射能力的冷链食品主销城市、有突出优势的冷链食品主产区以及关键的冷链食品进口口岸。
区位优势
项目位于东莞市虎门港沙田镇西大坦片区。广州-东莞-深圳-香港城市发展轴带的中间和珠三角经济区中心位置,具有得天独厚的地理区位优势和优越的经济集聚优势,周边交通道路系统十分完善,距离广深沿江高速沙田出口约5公里、离虎门港国际集装箱码头约2公里,项目位于黄埔、南沙、盐田港之间,与南沙自贸区隔江相望,占据重要的海关资源优势;以项目所在港区为中心的100公里覆盖圈、1小时生活圈内,聚集了东莞、广州、深圳、香港、惠州、中山、佛山等大珠三角核心城市群。
业态规模
项目投资总额约25亿元,总占地面积约26万平方米(约384亩),总建筑面积约50万平方米,冷库总库容约20万吨。项目分六期开发建设,一期包括2栋合计约7万吨的低温冷库。项目以禽肉海产冻品为重点,涵盖农副产品产品储存、分拨、加工和配送,直至消费终端的整个过程。
1.4 厂区WLAN需求分析
随着智能移动终端的增加,BYOD的普及,仓库移动终端的使用,高质量的WLAN已经成为厂区移动办公的刚性需求。
而在具体的应用过程中厂区WLAN包含以下具体的需求:
1.4.1 厂区WIFI安全接入
随着厂区信息化建设和国家信息化工程的发展,厂区办公信息化逐渐实现,厂区BYOD需求激增,仓库移动终端的使用等,更多的厂区采用无线网络接入自己的内部业务和办公系统。受无线网络局限性影响,其安全问题日益凸显,亟待安全接入机制,保障客户业务系统免受黑客攻击。
1.4.2 厂区WIFI安全办公生产
厂区业务规模不断扩大,厂区业务对网络的依赖性也越来越高。无线网络技术的逐步成熟让很多厂区扩展无线网络来实行自身的日常办公和客户接待以及业务咨询。办公、访客、会议室、食堂、宿舍楼等都需要使用无线网络。在智能终端普及的当下,无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具。伴随而来的安全问题不仅体现在接入,接入之后如何防护企业网络的安全以及保障业务系统的正常运行,亟需要有效的无线安全解决方案来做双重保障。
1.4.3 厂区WIFI快速上网
随着厂区的不断发展,业务对于无线网络的要求也越来也高。而无线网络由于其无边界化、信号易受干扰等原因,无线网络在多人使用过程中会出现连接不稳定、上网速度慢、无关应用占用带宽等体验不佳的问题。因此厂区邮件、财务、办公软件、互联网业务系统、仓库移动设备,扫码枪等的高效使用、访客的信息咨询和反馈亟需要快速的无线网络来支撑。
1.4.4 厂区WIFI快速漫游
随着智能移动终端发展,厂区BYOD、移动无线设备处于大势所趋,要实现厂区内部任何时间、任何地点都能实现BYOD、移动PDA终端用户产线设备扫描录入,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。
对于多种接入终端,多个接入地点保证良好的一体化兼容、控制、管理。
1.4.5 厂区上网行为管理
厂区员工可以通过WIFI进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件、员工食堂宿舍休闲上网等,亟需要实现员工上网行为的管理、带宽的管控和保证员工上网安全,用于提供员工的办公效率和避免企业网络资源浪费,防止企业机密数据泄密、员工通过互联网从事非法交易活动,以及在休闲时间的上网行为管理。
1.4.6 厂区访客安全管理
厂区访客可以通过WIFI接入厂区内部或访问互联网,接入层需要解决安全接入问题。接入后访问厂区内部受限资源、访问互联网,同样亟需要对访客的上网行为做管控以及流量做管控。
1.4.7 厂区无线集中管理
很多集团公司随着业务的高速发展,厂区部署的无线接入点与日俱增,数量庞大。针对众多的无线WIFI热点配置、升级、维护需要统一化的集中管理,降低维护成本,提高整体的稳定性,减少故障率。
1.4.8 厂区数据保护、安全
厂区业务系统以数据为核心,而无线网络有别于有线网络,无线网络的所有数据都在空中传输,需要高效且安全性极高的加密机制保证数据不被窃取破解,泄露厂区生产机密。
厂区无线部署作为有线的扩展,安全接入的边界和方式相较于有线网络难以控制,员工私接Wi-Fi等安全问题也缺乏很好的管理手段。各种钓鱼AP、AD-hoc可能隐藏在无线环境中,数据被转移、数据中病毒的风险无处不在,亟需要加以防护,确保数据和业务安全。
1.4.9 厂区室内室外覆盖需求
现在大型厂区都已综合并且内部管理化,厂区包含生产,员工住宿,食堂,便利店,甚至都还有休闲区,现在这样无线覆盖就不仅仅需要室内覆盖,室外也需要进行覆盖。
1.5厂区WLAN当前面临的挑战
1.5.1 厂区员工、产线设备对网络时延敏感度高
厂区BYOD需求激增,厂区办公区、生产车间,无线终端密集。需要保证在高密度的情况下,员工和产线设备生产的流畅性,提高厂区的办公和生产处理效率。
1.5.2 厂区要求覆盖广,无死角,信号强
厂区区域面积大,要求信号无死角覆盖,不仅室内需要覆盖,室外也是有覆盖需求,内部员工接入可实现无感知漫游,不断网。满足厂区会议室高密区域,用户稳定接入。来访访客随时随地可接入,并办理业务咨询和反馈。
1.5.3 厂区组织结构复杂,权限难于控制
随着厂区的发展壮大,职位分工更加明确,部门的职责也更加细化。部门精细化的同时权限也必须精细化控制,各个部门、职位拥有责任内的不同权限。
1.5.4 OA、邮件等办公系统带宽被大量抢占
在一定的无线带宽情况下,厂区员工运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的系统带宽,造成企业的带宽资源耗费,无线办公和业务处理效率低下。
1.5.5 无线攻击手段多样,内网安全有威胁
不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对厂区而言,难免会存在一定盗用账号、非法接入的安全威胁。
1.5.6 空中垃圾多,无线接入稳定性得不到保证
WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来NAP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。
2、方案设计
根据虎门港联想仓库的无线网络需求和无线网络设计原则,结合信锐无线系统技术和产品的特点,方案设计如下:
2.1 NAP布放设计
根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。
设备清单如下:
| 序号 |
设备类型 |
设备品牌 |
设备型号 |
放置区域 |
设备数量 |
合计 |
| 1 |
无线接入点NAP |
信锐 |
NAP-3600 |
区域1 |
84台 |
84台 |
| 2 |
无线控制器 |
NAC-7100 |
核心机房 |
1台 |
1台 |
无线AP位置布局信息:
1#、2#库的每一层,外部放3个无线AP,呈三角状;每栋每层2个冷库区,每个冷库区内放2个无线AP,呈对角状。共计:2栋×6层×(3个外AP + 2个冷库区×2个内AP)=84台无线AP。
2.2 无线组网方式
结合用户无线网络需求情况,结合信锐产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照NAP+AC的结构化无线网络解决方案进行设计。
2.3 信道规划
使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
信道规划如下图:
图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为NAP部署位置。
2.4 厂区无线安全接入设计
在Sundray无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
2.4.1 更丰富、快捷的企业认证安全机制
采用802.1x认证,用户接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据,认证通过的用户才允许接入网络。业内皆知802.1x在用户终端设备上配置极其复杂,无疑给用户使用和IT管理员增加了大量的配置工作,信锐技术提供了企业认证的自动配置工具,终端用户无须管理员协助,通过开放性wlan下载自动配置工具,一键安装即可轻松接入企业网络,既安全又便捷。
支持自建CA颁发证书和管理,证书分发可通过自动配置工具统一打包一键完成安装,也支持用户通过web下载、管理员通过邮件分发,简单且快捷。
支持和厂区内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等厂区内部的用户身份数据库进行快速的身份校验,既安全且可靠。
企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型厂区。
2.4.2 帐号、终端灵活绑定、杜绝越权访问
首次连接无线网络认证时,用户名和终端可以实现自动绑定,帮助厂区快速完成身份绑定,若用户拥有多个上网终端,管理员也可以灵活的手动审批后续新加入终端的绑定。因此厂区可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。
2.4.3 限制帐号在多个终端同时接入
可限制一个帐号同时登录的终端个数,有效保护厂区网络资源。针对超限的帐号可采取以下两种措施:
一、强迫最早接入的终端下线。
二、不允许新终端接入。
当然对于需要放开限制的帐号如老板帐号,也可支持配置例外帐号。
2.4.4 多样化的接入控制
基于终端类型和特性的接入控制。手机、ipad、Notebook能不能接无线,您说了算。信锐无线可以免安装客户端软件实现终端类型的识别,认证接入时,可以根据情况限制只有手机终端可以接入,笔记本类型不能接入;或者只允许IOS终端接入,不允许Android终端接入,让您认为不安全的终端无法接入网络。
基于接入位置的接入控制。不同的无线热点可配置不同的接入访问控制策略,以便不同的无线热点承载的无线用户接入到企业内部不同的业务系统,既安全又高效。
基于用户属性的接入控制。信锐无线无缝对接企业内部认证服务器,支持用户组[安全组、OU组]、用户名等用户属性的接入控制,也支持radius等属性的接入控制。不仅如此,还致力于开发内部的本地数据库服务器,同样支持按本地数据库的用户属性进行接入控制。
甚至接入控制条件可以灵活组合,满足客户不同的接入控制需求。支持基于终端类型和接入位置、用户属性作为一组接入条件进行接入控制。例如可以支持不同的接入位置且满足指定的终端特性才允许接入进行上网。
2.5 厂区无线安全办公设计
2.5.1 精细化多角色授权管理
厂区用户接入无线网络后,信锐无线提供安全管家全面负责其用户权限的授权管理。丰富的权限分配表支持按用户属性、终端类型、接入区域、不同时间段来设置不同的角色,角色上搭建不同的访问控制策略,构建企业级防火墙,权限控制更全面和精细化。
2.5.2 VLAN隔离
同一vlan内、不同vlan间通讯的终端采用隔离技术,有效防止终端之间传输大量文件损耗AP 有限的带宽资源,也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为,最大限度地确保办公生产安全,提高办公生产效率。
2.5.3 基于内网的服务和应用控制
信锐无线不仅支持传统的基于端口的防火墙控制策略,同时内置了国内最大的应用识别库和URL库,管理员能够轻易识别出具体的应用和URL,灵活的设置网络访问策略,并且能够进行相应的精细化应用控制。
业界的防火墙控制主要是基于网关出口,只能限制内网用户访问外网资源,内网用户之间不能做到基于服务和应用控制。而信锐无线弥补了这块黑洞,独有的基于内网的服务和应用控制方案给业界带来新的突破和福音。厂区网络和内部应用是非常复杂,厂区内部既有有线网络也有无线网络,既有用户之间互访、访问内部资源、移动小型设备接入和数据传递的需求,也有访问互联网资源、数据中心进行数据同步需求。在这种错综复杂的网络环境和应用环境中,传统的防火墙只能在网关出口控制内网用户对公网资源的访问,而忽略了内网这更为复杂的环境。
信锐无线集成了有线无线一体化,在业界首次提出“用户”的概念,其访问控制策略结合强大的应用识别库搭配“用户”概念,完美实现了内网用户之间的控制以及对公网资源访问的外部控制,该方案针对有线或无线用户都适用,给厂区一个干净和健康的网络环境。同时其策略配置更注重人性化,区别于传统的配置IP等复杂的方式,用户可选择应用、选择连接方向“用户发起”、“用户接收”,选择时间计划,选择动作“允许”或“拒绝”即可快速地实现访问控制。
2.5.4 网络层防护
一、DHCP防御。只转发受信任的DHCP服务器响应,屏蔽非法的DHCP服务器,防止终端IP不合法。防止用户私设IP,有效保护网络避免存在大量冲突IP地址导致客户网络瘫痪。
有线与无线一体化
厂区无线网的客户,往往同时拥有有线用户。客户希望可以通过无线控制器上进行配置,利用无线控制器的有线口来完成有线用户的认证,同时对无线用户和有线用户进行集中管理,完成流量控制、流量管理和流量审计。信锐无线集成了有线认证和管控,提供了“porta认证”、“IP认证”、“免认证“等安全接入认证机制,真正做到对有线用户和无线用户的一体化管控。
厂区无线网的客户,不仅需要完成用户的接入、认证,同时希望对用户的网络行为和内容进行审计,包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。
通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计。
厂区管理希望对不同用户及应用的网络流量进行管理和划分,完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽,带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。同时,希望提供更灵活的管理和配置,保证重要应用带宽的同时,可以再根据用户的优先级,分配同一应用不同用户间的带宽。
信锐技术提供基于应用的流量控制,针对用户的出口带宽做保证,保证关键应用的带宽占用,无关应用靠边占。
1、 对无线网络的加速功能
2、 对于企业重点的业务数据进行识别和带宽保障
3、 对非法网络应用和URL进行识别和控制
4、 访客网络通过二维码认证或是单独的临时访客系统方式认证
无线接入点NAP使用2.4G和5G双频接入保证接入数量和质量。
总结:该项目中标后,顺利结项!
