伴随着企业技术创新的飞速发展,无线网络技术应用日益完善,与有线网络相比,无线网安裝更为简易,应用更为灵活,网络布线费用更为低廉,拓展能力更为强大,无线网应用场景日渐多元化,承载业务也更为复杂;广东怀集登月气门有限公司对整个厂区开展智能信息化建设改建,健全原有 有线网络,与此同时利用无线网承载仓储、生产流水线等多种业务要求,与此同时规定整个无线网具有安全、易管理、快速、可靠等特点。
二、解决办法
<2.1>:规划设计。
广东怀集登月气门有限公司本次智慧工厂厂房建设,规定无线网能应用于办公、仓库、管道等具体场景,承载无线办公、移动扫码、管道系统等应用,规定无线网能更安全、易管理、上网快捷、信号稳定、无线可靠,与此同时提供无线接入。
安全性:提出了建立无线网应能为不同场景提供安全接入认证方式,并为接入的员工、用户和设备提供不同级别的安全保护。
稳定性:全网无线网规定有优良的性能,满足办公场景下高并发要求,防止出现无线卡顿、掉线、数据终端等现象;仓库、流水场景下规定设备提供优良的漫游终端,防止数据丢失。
可靠性:可靠性是整个无线网的总体规定,规定无线网必须有冗余的灾备能力,以防止由于设备故障而导致整个无线网无法使用,进而影响整个业务。
易于管理的规定。
它规定无线网络易于管理,操作简易,使网络管理员可以便捷及时地把握例如网络拓扑结构,网络性能指标统计,网络问题等信息,进而可以便捷地配备和调整网络,确保网络在优良的情况下运转。
施工现场的接线和安裝规定。
将网线走暗线或穿管在厂区内敷设到位,AP吸顶或挂墙安裝,可利用设备本身自带的安裝附件开展安裝,AP电源由POE交换机供电。
上述广东怀集登月气门有限公司对无线网的要求,结合广州庄闲和游戏科技应用产品的特点,为广东怀集登月气门有限公司生产基地整体设计了无线网解决方案。
<2.2>:组网结构。
根据用户对无线网的规定,结合广州庄闲和游戏产品自身的技术应用特点,为满足用户建设高速、稳定、安全、可靠、易管理的无线接入网络的需要,本设计采用AP+AC结构化无线网解决方案。
整体网络结构采用瘦AP组网结构,在不改变原有组网链路的前提下,无线控制器旁挂于厂区核心交换机,通过局域网联接对各区域的无线AP开展统一管理,同时在各出口设置防火墙,保证整个厂区出口链路的网络安全。
<2.3>:安全访问验证。
对于工厂采用wifi网络的群体,引入內部员工采用的验证方法和访问者验证方法,并采用隔离方法,将外部访问者隔离到外部网络中,禁止他们访问內部网络。
企业内部的客户身份验证网络服务器支持开展身份验证,只需在配备页上配备联接数据,即能够 与企业内部的客户身份数据库,如LDAP、AD域、Radius,开展快速身份验证,既安全又可靠。
企业验证支持本地的內部数据库网络服务器,本地数据库支持在控制器上开展验证,能够 满足没有內部验证网络服务器的中小企业的需求。
首次联接无线wifi网络认证,可实现登录名与终端的自动绑定,帮助企业快速完成身份绑定,如果客户有多个上网终端,管理员还可灵活手动审批后续新联接终端的绑定。这样,企业能够根据客户组织结构对访问权限开展划分,从而避免越权访问的问题。
在某些特殊情况下,如没有radius网络服务器的可以直接验证,广州庄闲和游戏技术支持802.1XWEP验证方法,并为XX厂提供企业级安全隧道验证方法,在保证验证安全性的同时,还能在AD域中可以直接采用登录名开展验证,省掉布署radius网络服务器的花费和不便。
与此同时,企业wifi网络采用基于证书(EAP-TLS)或登录名、登陆密码(PEAP-MSCHAPv2)验证的方法连接wifi网络时,由于连接终端的种类繁多,不同平台的wifi网络配备方法不尽一致。为便于布署,广州庄闲和游戏802.1x验证一键配备,让安全与方便同时兼顾。
因为wifi网络的开放性,以及BYOD连接终端的多样性,使得连接无线企业网的终端的合法性、安全性都难以保证。例如,雇员自带的设备多种多样,特别是androids终端的开放性,导致其比较容易被攻击,并因此被嵌入木马、黑客工具等,这样的终端进入企业网络后可能导致內部业务数据泄露,尽管能够 通过访问控制策略对访问终端开展精细的权限划分,但是一种健壮的安全解决方案,首先应该在连接级别过滤掉大部分的攻击。
安全访问绑定的终端终端。
终端MAC地址(MAC地址)。
首次连接wifi网络时,客户输入登录名、登陆密码即可可以直接绑定终端的MAC地址,IT管理人员不需要IT管理人员干预,既保证了连接设备的可靠性,又减轻了管理人员的负担。一旦登录名、登陆密码被盗用,绑定了不法终端的MAC地址,客户在正常访问时就可以发现问题,IT管理员能够 及时将不法终端下线,人工将合法终端的MAC地址绑定到黑名单上,黑客采用盗用的登录名、登陆密码也无法登陆,因为其MAC地址错误。
无线wi-fi提供了更加安全的验证方法,并内置CA证书网络服务器,不需要采用第三方证书网络服务器。企业将证书通过邮件或移动存储设备分发给受信任的移动终端(手机、PAD、笔记本),客户安装了证书之后,需要有一个加密的双向证书验证控制器来通过验证,这样即使泄露了客户、登陆密码,黑客也无法访问wifi网络,因为没有证书,因此,黑客无法访问wifi网络,从而达到更高的安全性。
对配有移动智能终端的企业,可批量收集配有终端的MAC地址,只有位于此白名单中的终端才能连接wifi网络,避免不法终端连接。
aVLAN池。
移动终端之间能够在wifi网络连接的环境下互相通信,存在很大的安全隐患。由于AP有限的带宽资源,在终端之间传输大量文件会消耗AP,降低wifi网络的性能;在终端之间开展任意互访会产生恶意行为,造成数据被盗,存在安全隐患,甚至有些终端感染了病毒,可能会传播病毒。
wifi网络布署时,广州庄闲和游戏无线网启用了该VLAN内客户隔离功能,禁止同一VLAN内的客户开展通信,能够 减少同一VLAN内无线终端之间的广播消息,提高wifi网络的性能,同时提高安全性。在避免某些感染病毒的终端传播病毒的危险的同时,最大限度地保证办公安全,提高办公效率,保证客户的无线体验。
无线电频率控制策略。
晚上凌晨之后,企业库存的正常情况下都是没有开展作业的,那么广州庄闲和游戏wifi网络能够 自动关闭RF信号,一方面能够 节省电力,与此同时能够 避免不法客户运用夜晚時间侵入wifi网络,做某些非法侵入的操作,保证企业无线数据的安全,另外为了更人性化,还增加了基于SSID的例外wifi网络,可选择性关闭SSID。
互联网接入行为控制。
互联网应用极为丰富,特别是随着大量社会网络应用的出现,客户将个人网络行为带入办公场所,从而引发了各种各样的管理和安全问题。
上网的权限控制。
综合应用有助于管理员深入了解网络应用的现状和客户行为,保证管理效果。无线控制器拥有国内最大的应用识别库,可在2000多个网络主流应用中精确识别,并有专业的研发队伍定期维护更新,确保应用库处于最新状态,提高应用识别的准确率。
广州庄闲和游戏技术提供了强大的可视化的热点地图,通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式,分层管理设备,以掌握设备的实时运行状态。您的企业有无线网WIFI的任何问题,欢迎您拨打电话与我们沟通!