引言

   近年來G行圍繞業(yè)務(wù)數(shù)字化轉(zhuǎn)型打造財(cái)富管理銀行的戰(zhàn)略目標(biāo)，提出了“123+N”數(shù)字銀行發(fā)展體系支撐業(yè)務(wù)數(shù)字化轉(zhuǎn)型和長(zhǎng)遠(yuǎn)發(fā)展，金融科技板塊結(jié)合各類需求，無論是對(duì)外服務(wù)還是內(nèi)部運(yùn)營，使用數(shù)字化手段融入更多的內(nèi)外部場(chǎng)景，科技賦能服務(wù)更多的內(nèi)外部客戶。在內(nèi)部網(wǎng)絡(luò)運(yùn)營方面，2022年起G行開展了基于WiFi6技術(shù)的無線網(wǎng)絡(luò)建設(shè)，融合智能無線運(yùn)維、一體化認(rèn)證系統(tǒng)等全新無線網(wǎng)絡(luò)和智能運(yùn)維技術(shù)，展現(xiàn)了G行推進(jìn)數(shù)字化轉(zhuǎn)型、智能化應(yīng)用的能力，現(xiàn)將本次無線網(wǎng)絡(luò)的建設(shè)經(jīng)驗(yàn)分享給大家。

    WiFi6（原稱：IEEE802.11ax）即第六代無線網(wǎng)絡(luò)技術(shù)，是WiFi標(biāo)準(zhǔn)的名稱，是WiFi聯(lián)盟創(chuàng)建于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)技術(shù)。WiFi6將允許與多達(dá)8個(gè)設(shè)備通信，最高速率可達(dá)9.6Gbps。相比前幾代的WiFi技術(shù)，新一代WiFi6具有速度更快、延時(shí)更低、容量更大、更加安全和省電等特點(diǎn)，在行業(yè)領(lǐng)域中有廣泛的應(yīng)用前景，如產(chǎn)業(yè)園區(qū)、辦公大樓、商場(chǎng)、醫(yī)院以及機(jī)場(chǎng)等。

一、無線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

   本次無線網(wǎng)絡(luò)改造建設(shè)，主要對(duì)辦公樓進(jìn)行無線WiFi6全覆蓋，用戶可以獲得更穩(wěn)定安全的網(wǎng)絡(luò)接入和較高的接入速率。同時(shí)根據(jù)管理要求，無線網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)嚴(yán)格隔離，并且考慮到未來同城多場(chǎng)地?zé)o線互聯(lián)網(wǎng)需求的可能性，在架構(gòu)設(shè)計(jì)上主要有以下特點(diǎn)：

- 01 -

   主要網(wǎng)絡(luò)架構(gòu)采用星型結(jié)構(gòu)，各接入點(diǎn)都通過核心交換機(jī)統(tǒng)一匯聚，后續(xù)支持使用裸光纖或?qū)＞€通過OSPF路由協(xié)議實(shí)現(xiàn)三層互聯(lián)，互聯(lián)網(wǎng)出口方面使用建設(shè)辦公樓互聯(lián)網(wǎng)專線作為出口，可以根據(jù)流量要求進(jìn)行靈活擴(kuò)容，滿足整體帶寬需求；

- 02 -

   部署防火墻、上網(wǎng)行為系統(tǒng)、認(rèn)證和日志管理等系統(tǒng)設(shè)備對(duì)用戶進(jìn)行登錄認(rèn)證、權(quán)限管理、行為管理和策略控制，實(shí)現(xiàn)無線環(huán)境基礎(chǔ)網(wǎng)絡(luò)設(shè)備的智能化統(tǒng)一管理和運(yùn)維；

- 03 -

   無線環(huán)境中全部使用支持WiFi6標(biāo)準(zhǔn)的瘦AP設(shè)備，安裝和更換可以實(shí)現(xiàn)零配置AC統(tǒng)一管理，流量采用AP本地轉(zhuǎn)發(fā)，AC控制器僅負(fù)責(zé)管理、安全和認(rèn)證，不負(fù)責(zé)流量轉(zhuǎn)發(fā)，在降低AC控制器性能消耗的同時(shí)能大幅提升用戶接入效率和網(wǎng)絡(luò)訪問速率；

- 04 -

   無線網(wǎng)核心交換機(jī)使用堆疊方式部署，提高管理效率和實(shí)現(xiàn)設(shè)備冗余；

- 05 -

   認(rèn)證服務(wù)器采用集群部署實(shí)現(xiàn)系統(tǒng)冗余高可靠性，認(rèn)證系統(tǒng)通過用戶名、IP、MAC地址等信息對(duì)用戶進(jìn)行準(zhǔn)入認(rèn)證以及權(quán)限分組，并與上網(wǎng)行為系統(tǒng)聯(lián)動(dòng)，根據(jù)分組權(quán)限執(zhí)行不同的行為策略，可以實(shí)現(xiàn)不同分組行為策略的靈活管控，實(shí)現(xiàn)用戶的實(shí)名認(rèn)證+實(shí)名審計(jì)，滿足合規(guī)性要求；

- 06 -

   無線移動(dòng)漫游采用二層漫游方式，用戶在WiFi覆蓋區(qū)域內(nèi)不同AP間實(shí)現(xiàn)快速平滑切換，配合用戶無感知認(rèn)證，避免用戶頻繁登錄影響使用感受。

二、無線網(wǎng)絡(luò)安全隔離

   為避免在無線網(wǎng)絡(luò)建設(shè)時(shí)引入新的安全問威脅，例如：開放式的網(wǎng)絡(luò)環(huán)境、成為攻擊工具為攻擊提供便利手段、非法用戶的接入、用戶數(shù)據(jù)的泄密、對(duì)無線AP的DDoS攻擊、非法AP的接入等問題，無線網(wǎng)絡(luò)的安全設(shè)計(jì)應(yīng)從無線網(wǎng)絡(luò)設(shè)計(jì)管理要求和終端安全管控要求兩方面進(jìn)行:

(一)

   在無線網(wǎng)絡(luò)設(shè)計(jì)管理要求方面，首先無線網(wǎng)絡(luò)必須與單位辦公和業(yè)務(wù)網(wǎng)絡(luò)嚴(yán)格物理隔離，從管理要求上禁止建設(shè)與行內(nèi)辦公和生產(chǎn)網(wǎng)絡(luò)有連接的辦公WLAN 和生產(chǎn)WLAN，在建設(shè)互聯(lián)網(wǎng)WLAN方面重點(diǎn)考慮網(wǎng)絡(luò)安全、覆蓋范圍、物理層安全管理三個(gè)方面：

1.網(wǎng)絡(luò)安全

無線用戶劃分獨(dú)立網(wǎng)段和VLAN，各VLAN間進(jìn)行邏輯隔離禁止互訪；在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)部署安全防護(hù)設(shè)備（FW、上網(wǎng)行為管理等設(shè)備）進(jìn)行隔離和訪問控制，同時(shí)做好日志記錄滿足行內(nèi)日志存儲(chǔ)時(shí)長(zhǎng)相關(guān)要求便于事后追溯；內(nèi)外網(wǎng)保持嚴(yán)格的物理網(wǎng)絡(luò)隔離；開啟必要的二層防環(huán)策略，防止非法設(shè)備接入；

2.覆蓋范圍

發(fā)射功率按需調(diào)整，網(wǎng)絡(luò)優(yōu)化收縮覆蓋到業(yè)務(wù)需求區(qū)域；相同場(chǎng)景統(tǒng)一SSID（不含有敏感信息），利于安全策略的部署；

3.物理層安全

對(duì)無線通信信道進(jìn)行安全加密；建立安全基線管理（配置修改或者無線相關(guān)服務(wù)發(fā)生變化告警）；強(qiáng)化無線網(wǎng)絡(luò)設(shè)備的管理賬號(hào)和口令安全；完善組網(wǎng)設(shè)備管理；開啟WIPS，通過掃描信道，收集空中傳播的信息，可以及時(shí)發(fā)現(xiàn)安全隱患。

(二)

   在終端安全管控層面，重點(diǎn)考慮終端信息鑒別和用戶信息鑒別兩個(gè)方面：

1.終端信息鑒別

禁止終端內(nèi)外網(wǎng)混用，內(nèi)網(wǎng)終端使用互聯(lián)網(wǎng)WLAN時(shí)，容易受到來自互聯(lián)網(wǎng)的安全威脅，例如一些訪問互聯(lián)網(wǎng)的內(nèi)網(wǎng)終端，被黑客植入木馬，盜取內(nèi)網(wǎng)終端業(yè)務(wù)數(shù)據(jù)，或者當(dāng)內(nèi)網(wǎng)終端重新接入內(nèi)網(wǎng)時(shí)木馬對(duì)內(nèi)網(wǎng)造成了威脅，因此應(yīng)通過終端信息鑒別的安全工具識(shí)別內(nèi)網(wǎng)機(jī)特征，禁止各類終端的內(nèi)外網(wǎng)混用；

2.用戶信息鑒別

通過用戶名或短信驗(yàn)證碼/密碼等實(shí)名認(rèn)證，對(duì)接入互聯(lián)網(wǎng)WLAN的用戶進(jìn)行實(shí)名認(rèn)證，認(rèn)證系統(tǒng)與出口上網(wǎng)行為審計(jì)設(shè)備形成聯(lián)動(dòng)，對(duì)互聯(lián)網(wǎng)訪問行為進(jìn)行實(shí)名記錄。

   本次無線網(wǎng)絡(luò)建設(shè)圍繞上述兩方面設(shè)計(jì)管控進(jìn)行安全防護(hù)設(shè)計(jì)，通過對(duì)網(wǎng)絡(luò)設(shè)備安全管控、用戶認(rèn)證和逃生安全管控、互聯(lián)網(wǎng)出口控制和用戶審計(jì)安全管控、AC控制器安全控制等管控手段，保障無線網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行，具體如下：

- 網(wǎng)絡(luò)設(shè)備上非網(wǎng)絡(luò)設(shè)備互聯(lián)接口全部配置邊緣端口，并開啟BPDU Guard、Root Guard、DHCP Snooping等功能防止非法設(shè)備接入導(dǎo)致二層環(huán)路以及ARP欺騙，同時(shí)關(guān)閉所有網(wǎng)絡(luò)設(shè)備除SSH外的服務(wù)端口并限定網(wǎng)段管理確保網(wǎng)絡(luò)設(shè)備登錄安全；

- 用戶接入無線使用WAP3安全協(xié)議，接入后對(duì)用戶進(jìn)行區(qū)分，滿足不同角色的有線無線上網(wǎng)認(rèn)證需求，針對(duì)不同用戶身份設(shè)置不同的有線無線上網(wǎng)權(quán)限，無線用戶通過portal認(rèn)證，有線用戶啟用802.1X安全準(zhǔn)入認(rèn)證，防止非法用戶登錄，準(zhǔn)入策略根據(jù)需求與PC終端安全管理聯(lián)動(dòng)，及時(shí)檢測(cè)發(fā)現(xiàn)不合規(guī)PC終端接入，同時(shí)對(duì)于無線和有線認(rèn)證配置有逃生通道，確保在認(rèn)證發(fā)生故障時(shí)可進(jìn)行一鍵逃生降低對(duì)用戶的影響；

- 互聯(lián)網(wǎng)出口部署防火墻進(jìn)行安全策略控制，上網(wǎng)行為審計(jì)控制非法網(wǎng)站和非法應(yīng)用的訪問限制，并對(duì)用戶上網(wǎng)行為進(jìn)行控制和日志記錄；

- 適當(dāng)部署無線安全壓制管控設(shè)備，加強(qiáng)對(duì)仿冒無線網(wǎng)絡(luò)偵測(cè)，防范欺騙、非法釣魚等網(wǎng)絡(luò)安全攻擊。

三、無線網(wǎng)絡(luò)智能運(yùn)維

   “三分建設(shè)七分運(yùn)維”，無線網(wǎng)絡(luò)由于部署點(diǎn)隨著樓層場(chǎng)地分布較為廣泛、設(shè)備數(shù)量相對(duì)較多，這意味著更多的運(yùn)維管理需求，需要消耗一定的人力投入和管理成本。同時(shí)無線網(wǎng)絡(luò)故障排查也是一個(gè)難點(diǎn)，在無線應(yīng)用過程中影響無線網(wǎng)絡(luò)使用體驗(yàn)的因素非常多，傳統(tǒng)的運(yùn)維方式僅從網(wǎng)絡(luò)設(shè)備以及無線AC/AP的異常告警出發(fā)，對(duì)排查大規(guī)模網(wǎng)絡(luò)故障行之有效，卻無法精準(zhǔn)的定位影響用戶無線網(wǎng)絡(luò)使用體驗(yàn)的問題，只能等待用戶的報(bào)障或投訴，這讓無線網(wǎng)絡(luò)運(yùn)維同學(xué)工作時(shí)常處于被動(dòng)狀態(tài)。為解決這個(gè)問題，本次改造方案首次為無線網(wǎng)絡(luò)部署了智能分析系統(tǒng)，支持對(duì)無線環(huán)境從宏觀到微觀進(jìn)行問題預(yù)警、故障定位、故障分析、趨勢(shì)分析，從之前以設(shè)備為中心的傳統(tǒng)運(yùn)維模式向以用戶體驗(yàn)為中心的智能運(yùn)維模式轉(zhuǎn)變。

   無線網(wǎng)絡(luò)的智能運(yùn)維從用戶的使用體驗(yàn)出發(fā)，以網(wǎng)絡(luò)全局健康度作為切入點(diǎn)，運(yùn)維工具具備單個(gè)用戶/終端的精細(xì)化數(shù)據(jù)收集和展現(xiàn)、無線網(wǎng)絡(luò)的一鍵自動(dòng)化、多維智能分析等關(guān)鍵的能力，幫助無線運(yùn)維管理員快速定位、精準(zhǔn)預(yù)判問題根因，提升用戶體驗(yàn)。G行通過部署的無線智能分析器，可以查看用戶全局健康度態(tài)勢(shì)，提前預(yù)判無線網(wǎng)絡(luò)的問題，當(dāng)收到用戶反饋無線網(wǎng)絡(luò)使用體驗(yàn)不佳的時(shí)候，可以精細(xì)的查看單個(gè)用戶/終端的健康度詳情，包括用戶的健康度態(tài)勢(shì)、上下線詳情、終端射頻參數(shù)、AP遷移信息、干擾信息、關(guān)聯(lián)事件、歷史流量曲線等信息，同時(shí)可查看關(guān)聯(lián)設(shè)備健康詳情進(jìn)行輔助分析。

   通過無線用戶健康度數(shù)據(jù)和詳細(xì)的網(wǎng)絡(luò)指標(biāo)信息，從體驗(yàn)趨勢(shì)（空閑、質(zhì)優(yōu)、質(zhì)差）、指標(biāo)趨勢(shì)（信號(hào)強(qiáng)度、上行選速、下行選速、時(shí)延、丟包率、重傳率）、問題趨勢(shì)（接入、認(rèn)證、IP地址、漫游、無線信號(hào)、上網(wǎng)慢）三個(gè)維度分析呈現(xiàn)無線用戶總體在線體驗(yàn)質(zhì)量，定位質(zhì)差用戶及所在AP，并對(duì)其根本原因進(jìn)行分析和統(tǒng)計(jì)，及時(shí)進(jìn)行調(diào)整優(yōu)化。對(duì)于常見的無線網(wǎng)絡(luò)問題，無線智能分析器同樣可以快速的定位問題原因，例如WLAN同頻干擾問題、遠(yuǎn)端關(guān)聯(lián)問題、二層環(huán)路問題等，解決了運(yùn)維人員對(duì)于無線網(wǎng)絡(luò)問題快速定位難的問題，提高無線問題處理能力。

四、總結(jié)

   本次智能無線網(wǎng)絡(luò)改造，通過引入WI-FI6技術(shù)實(shí)現(xiàn)了顯著的改進(jìn)，提升網(wǎng)絡(luò)速度和容量，為用戶帶來了極致的無線網(wǎng)絡(luò)體驗(yàn)；在用戶體驗(yàn)方面，創(chuàng)新部署用戶漫游、無感認(rèn)證等方式提升用戶體驗(yàn)；在安全保障方面，通過規(guī)范無線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，啟用準(zhǔn)入和終端Vlan隔離等措施，提升整網(wǎng)無線防護(hù)水平；借助智能運(yùn)維工具大幅提升無線網(wǎng)絡(luò)管理水平，并根據(jù)用戶需求進(jìn)行智能調(diào)整，滿足特殊場(chǎng)景個(gè)性化需求。后續(xù)G行辦公網(wǎng)絡(luò)服務(wù)團(tuán)隊(duì)將持續(xù)努力，不斷提升無線網(wǎng)絡(luò)技術(shù)和服務(wù)水平，為用戶提供更快速、穩(wěn)定和安全的無線網(wǎng)絡(luò)體驗(yàn)。始終站在用戶的角度，創(chuàng)造更加便捷、安全的體驗(yàn)。