您的位置:首页 >滚动 >

今日看点:网络原来如此之智能无线网络建设经验分享

2023-06-13 10:13:42    来源:匠心独运维妙维效
引言

近年来G行围绕业务数字化转型打造财富管理银行的战略目标,提出了“123+N”数字银行发展体系支撑业务数字化转型和长远发展,金融科技板块结合各类需求,无论是对外服务还是内部运营,使用数字化手段融入更多的内外部场景,科技赋能服务更多的内外部客户。在内部网络运营方面,2022年起G行开展了基于WiFi6技术的无线网络建设,融合智能无线运维、一体化认证系统等全新无线网络和智能运维技术,展现了G行推进数字化转型、智能化应用的能力,现将本次无线网络的建设经验分享给大家。


【资料图】

WiFi6(原称:IEEE802.11ax)即第六代无线网络技术,是WiFi标准的名称,是WiFi联盟创建于IEEE802.11标准的无线局域网技术。WiFi6将允许与多达8个设备通信,最高速率可达9.6Gbps。相比前几代的WiFi技术,新一代WiFi6具有速度更快、延时更低、容量更大、更加安全和省电等特点,在行业领域中有广泛的应用前景,如产业园区、办公大楼、商场、医院以及机场等。

一、无线网络架构设计

本次无线网络改造建设,主要对办公楼进行无线WiFi6全覆盖,用户可以获得更稳定安全的网络接入和较高的接入速率。同时根据管理要求,无线网络与内部网络严格隔离,并且考虑到未来同城多场地无线互联网需求的可能性,在架构设计上主要有以下特点:

- 01 -

主要网络架构采用星型结构,各接入点都通过核心交换机统一汇聚,后续支持使用裸光纤或专线通过OSPF路由协议实现三层互联,互联网出口方面使用建设办公楼互联网专线作为出口,可以根据流量要求进行灵活扩容,满足整体带宽需求;

- 02 -

部署防火墙、上网行为系统、认证和日志管理等系统设备对用户进行登录认证、权限管理、行为管理和策略控制,实现无线环境基础网络设备的智能化统一管理和运维;

- 03 -

无线环境中全部使用支持WiFi6标准的瘦AP设备,安装和更换可以实现零配置AC统一管理,流量采用AP本地转发,AC控制器仅负责管理、安全和认证,不负责流量转发,在降低AC控制器性能消耗的同时能大幅提升用户接入效率和网络访问速率;

- 04 -

无线网核心交换机使用堆叠方式部署,提高管理效率和实现设备冗余;

- 05 -

认证服务器采用集群部署实现系统冗余高可靠性,认证系统通过用户名、IP、MAC地址等信息对用户进行准入认证以及权限分组,并与上网行为系统联动,根据分组权限执行不同的行为策略,可以实现不同分组行为策略的灵活管控,实现用户的实名认证+实名审计,满足合规性要求;

- 06 -

无线移动漫游采用二层漫游方式,用户在WiFi覆盖区域内不同AP间实现快速平滑切换,配合用户无感知认证,避免用户频繁登录影响使用感受。

二、无线网络安全隔离

为避免在无线网络建设时引入新的安全问威胁,例如:开放式的网络环境、成为攻击工具为攻击提供便利手段、非法用户的接入、用户数据的泄密、对无线AP的DDoS攻击、非法AP的接入等问题,无线网络的安全设计应从无线网络设计管理要求和终端安全管控要求两方面进行:

(一)

在无线网络设计管理要求方面,首先无线网络必须与单位办公和业务网络严格物理隔离,从管理要求上禁止建设与行内办公和生产网络有连接的办公WLAN 和生产WLAN,在建设互联网WLAN方面重点考虑网络安全、覆盖范围、物理层安全管理三个方面:

1.网络安全

无线用户划分独立网段和VLAN,各VLAN间进行逻辑隔离禁止互访;在关键网络节点部署安全防护设备(FW、上网行为管理等设备)进行隔离和访问控制,同时做好日志记录满足行内日志存储时长相关要求便于事后追溯;内外网保持严格的物理网络隔离;开启必要的二层防环策略,防止非法设备接入;

2.覆盖范围

发射功率按需调整,网络优化收缩覆盖到业务需求区域;相同场景统一SSID(不含有敏感信息),利于安全策略的部署;

3.物理层安全

对无线通信信道进行安全加密;建立安全基线管理(配置修改或者无线相关服务发生变化告警);强化无线网络设备的管理账号和口令安全;完善组网设备管理;开启WIPS,通过扫描信道,收集空中传播的信息,可以及时发现安全隐患。

(二)

在终端安全管控层面,重点考虑终端信息鉴别和用户信息鉴别两个方面:

1.终端信息鉴别

禁止终端内外网混用,内网终端使用互联网WLAN时,容易受到来自互联网的安全威胁,例如一些访问互联网的内网终端,被黑客植入木马,盗取内网终端业务数据,或者当内网终端重新接入内网时木马对内网造成了威胁,因此应通过终端信息鉴别的安全工具识别内网机特征,禁止各类终端的内外网混用;

2.用户信息鉴别

通过用户名或短信验证码/密码等实名认证,对接入互联网WLAN的用户进行实名认证,认证系统与出口上网行为审计设备形成联动,对互联网访问行为进行实名记录。

本次无线网络建设围绕上述两方面设计管控进行安全防护设计,通过对网络设备安全管控、用户认证和逃生安全管控、互联网出口控制和用户审计安全管控、AC控制器安全控制等管控手段,保障无线网络安全平稳运行,具体如下:

-网络设备上非网络设备互联接口全部配置边缘端口,并开启BPDU Guard、Root Guard、DHCP Snooping等功能防止非法设备接入导致二层环路以及ARP欺骗,同时关闭所有网络设备除SSH外的服务端口并限定网段管理确保网络设备登录安全;

- 用户接入无线使用WAP3安全协议,接入后对用户进行区分,满足不同角色的有线无线上网认证需求,针对不同用户身份设置不同的有线无线上网权限,无线用户通过portal认证,有线用户启用802.1X安全准入认证,防止非法用户登录,准入策略根据需求与PC终端安全管理联动,及时检测发现不合规PC终端接入,同时对于无线和有线认证配置有逃生通道,确保在认证发生故障时可进行一键逃生降低对用户的影响;

- 互联网出口部署防火墙进行安全策略控制,上网行为审计控制非法网站和非法应用的访问限制,并对用户上网行为进行控制和日志记录;

- 适当部署无线安全压制管控设备,加强对仿冒无线网络侦测,防范欺骗、非法钓鱼等网络安全攻击。

三、无线网络智能运维

“三分建设七分运维”,无线网络由于部署点随着楼层场地分布较为广泛、设备数量相对较多,这意味着更多的运维管理需求,需要消耗一定的人力投入和管理成本。同时无线网络故障排查也是一个难点,在无线应用过程中影响无线网络使用体验的因素非常多,传统的运维方式仅从网络设备以及无线AC/AP的异常告警出发,对排查大规模网络故障行之有效,却无法精准的定位影响用户无线网络使用体验的问题,只能等待用户的报障或投诉,这让无线网络运维同学工作时常处于被动状态。为解决这个问题,本次改造方案首次为无线网络部署了智能分析系统,支持对无线环境从宏观到微观进行问题预警、故障定位、故障分析、趋势分析,从之前以设备为中心的传统运维模式向以用户体验为中心的智能运维模式转变。

无线网络的智能运维从用户的使用体验出发,以网络全局健康度作为切入点,运维工具具备单个用户/终端的精细化数据收集和展现、无线网络的一键自动化、多维智能分析等关键的能力,帮助无线运维管理员快速定位、精准预判问题根因,提升用户体验。G行通过部署的无线智能分析器,可以查看用户全局健康度态势,提前预判无线网络的问题,当收到用户反馈无线网络使用体验不佳的时候,可以精细的查看单个用户/终端的健康度详情,包括用户的健康度态势、上下线详情、终端射频参数、AP迁移信息、干扰信息、关联事件、历史流量曲线等信息,同时可查看关联设备健康详情进行辅助分析。

通过无线用户健康度数据和详细的网络指标信息,从体验趋势(空闲、质优、质差)、指标趋势(信号强度、上行选速、下行选速、时延、丢包率、重传率)、问题趋势(接入、认证、IP地址、漫游、无线信号、上网慢)三个维度分析呈现无线用户总体在线体验质量,定位质差用户及所在AP,并对其根本原因进行分析和统计,及时进行调整优化。对于常见的无线网络问题,无线智能分析器同样可以快速的定位问题原因,例如WLAN同频干扰问题、远端关联问题、二层环路问题等,解决了运维人员对于无线网络问题快速定位难的问题,提高无线问题处理能力。

四、总结

本次智能无线网络改造,通过引入WI-FI6技术实现了显著的改进,提升网络速度和容量,为用户带来了极致的无线网络体验;在用户体验方面,创新部署用户漫游、无感认证等方式提升用户体验;在安全保障方面,通过规范无线网络架构设计,启用准入和终端Vlan隔离等措施,提升整网无线防护水平;借助智能运维工具大幅提升无线网络管理水平,并根据用户需求进行智能调整,满足特殊场景个性化需求。后续G行办公网络服务团队将持续努力,不断提升无线网络技术和服务水平,为用户提供更快速、稳定和安全的无线网络体验。始终站在用户的角度,创造更加便捷、安全的体验。

关键词:

相关阅读

精彩放送