伴隨著企業技術創新的飛速發展，無線網絡技術應用日益完善，與有線網絡相比，無線網安裝更為簡易，應用更為靈活，網絡布線費用更為低廉，拓展能力更為強大，無線網應用場景日漸多元化，承載業務也更為復雜；廣東懷集登月氣門有限公司對整個廠區開展智能信息化建設改建，健全原有 有線網絡，與此同時利用無線網承載倉儲、生產流水線等多種業務要求，與此同時規定整個無線網具有安全、易管理、快速、可靠等特點。

二、解決辦法

<2.1>:規劃設計。

        廣東懷集登月氣門有限公司本次智慧工廠廠房建設，規定無線網能應用于辦公、倉庫、管道等具體場景，承載無線辦公、移動掃碼、管道系統等應用，規定無線網能更安全、易管理、上網快捷、信號穩定、無線可靠，與此同時提供無線接入。

       安全性：提出了建立無線網應能為不同場景提供安全接入認證方式，并為接入的員工、用戶和設備提供不同級別的安全保護。

       穩定性：全網無線網規定有優良的性能，滿足辦公場景下高并發要求，防止出現無線卡頓、掉線、數據終端等現象；倉庫、流水場景下規定設備提供優良的漫游終端，防止數據丟失。

       可靠性：可靠性是整個無線網的總體規定，規定無線網必須有冗余的災備能力，以防止由于設備故障而導致整個無線網無法使用，進而影響整個業務。

      易于管理的規定。

       它規定無線網絡易于管理，操作簡易，使網絡管理員可以便捷及時地把握例如網絡拓撲結構，網絡性能指標統計，網絡問題等信息，進而可以便捷地配備和調整網絡，確保網絡在優良的情況下運轉。

施工現場的接線和安裝規定。

       將網線走暗線或穿管在廠區內敷設到位，AP吸頂或掛墻安裝，可利用設備本身自帶的安裝附件開展安裝，AP電源由POE交換機供電。

上述廣東懷集登月氣門有限公司對無線網的要求，結合廣州軒轅宏邁科技應用產品的特點，為廣東懷集登月氣門有限公司生產基地整體設計了無線網解決方案。

<2.2>:組網結構。

       根據用戶對無線網的規定，結合廣州軒轅宏邁產品自身的技術應用特點，為滿足用戶建設高速、穩定、安全、可靠、易管理的無線接入網絡的需要，本設計采用AP+AC結構化無線網解決方案。

       整體網絡結構采用瘦AP組網結構，在不改變原有組網鏈路的前提下，無線控制器旁掛于廠區核心交換機，通過局域網聯接對各區域的無線AP開展統一管理，同時在各出口設置防火墻，保證整個廠區出口鏈路的網絡安全。

      <2.3>:安全訪問驗證。

      對于工廠采用wifi網絡的群體，引入內部員工采用的驗證方法和訪問者驗證方法，并采用隔離方法，將外部訪問者隔離到外部網絡中，禁止他們訪問內部網絡。

     企業內部的客戶身份驗證網絡服務器支持開展身份驗證，只需在配備頁上配備聯接數據，即能夠 與企業內部的客戶身份數據庫，如LDAP、AD域、Radius，開展快速身份驗證，既安全又可靠。

企業驗證支持本地的內部數據庫網絡服務器，本地數據庫支持在控制器上開展驗證，能夠 滿足沒有內部驗證網絡服務器的中小企業的需求。

首次聯接無線wifi網絡認證，可實現登錄名與終端的自動綁定，幫助企業快速完成身份綁定，如果客戶有多個上網終端，管理員還可靈活手動審批后續新聯接終端的綁定。這樣，企業能夠根據客戶組織結構對訪問權限開展劃分，從而避免越權訪問的問題。

      在某些特殊情況下，如沒有radius網絡服務器的可以直接驗證，廣州軒轅宏邁技術支持802.1XWEP驗證方法，并為XX廠提供企業級安全隧道驗證方法，在保證驗證安全性的同時，還能在AD域中可以直接采用登錄名開展驗證，省掉布署radius網絡服務器的花費和不便。

       與此同時，企業wifi網絡采用基于證書(EAP-TLS)或登錄名、登陸密碼(PEAP-MSCHAPv2)驗證的方法連接wifi網絡時，由于連接終端的種類繁多，不同平臺的wifi網絡配備方法不盡一致。為便于布署，廣州軒轅宏邁802.1x驗證一鍵配備，讓安全與方便同時兼顧。

       因為wifi網絡的開放性，以及BYOD連接終端的多樣性，使得連接無線企業網的終端的合法性、安全性都難以保證。例如，雇員自帶的設備多種多樣，特別是android終端的開放性，導致其比較容易被攻擊，并因此被嵌入木馬、黑客工具等，這樣的終端進入企業網絡后可能導致內部業務數據泄露，盡管能夠 通過訪問控制策略對訪問終端開展精細的權限劃分，但是一種健壯的安全解決方案，首先應該在連接級別過濾掉大部分的攻擊。

       安全訪問綁定的終端終端。

       終端MAC地址(MAC地址)。

      首次連接wifi網絡時，客戶輸入登錄名、登陸密碼即可可以直接綁定終端的MAC地址，IT管理人員不需要IT管理人員干預，既保證了連接設備的可靠性，又減輕了管理人員的負擔。一旦登錄名、登陸密碼被盜用，綁定了不法終端的MAC地址，客戶在正常訪問時就可以發現問題，IT管理員能夠 及時將不法終端下線，人工將合法終端的MAC地址綁定到黑名單上，黑客采用盜用的登錄名、登陸密碼也無法登陸，因為其MAC地址錯誤。

      無線wi-fi提供了更加安全的驗證方法，并內置CA證書網絡服務器，不需要采用第三方證書網絡服務器。企業將證書通過郵件或移動存儲設備分發給受信任的移動終端(手機、PAD、筆記本)，客戶安裝了證書之后，需要有一個加密的雙向證書驗證控制器來通過驗證，這樣即使泄露了客戶、登陸密碼，黑客也無法訪問wifi網絡，因為沒有證書，因此，黑客無法訪問wifi網絡，從而達到更高的安全性。

      對配有移動智能終端的企業，可批量收集配有終端的MAC地址，只有位于此白名單中的終端才能連接wifi網絡，避免不法終端連接。

      aVLAN池。

      移動終端之間能夠在wifi網絡連接的環境下互相通信，存在很大的安全隱患。由于AP有限的帶寬資源，在終端之間傳輸大量文件會消耗AP，降低wifi網絡的性能；在終端之間開展任意互訪會產生惡意行為，造成數據被盜，存在安全隱患，甚至有些終端感染了病毒，可能會傳播病毒。

       wifi網絡布署時，廣州軒轅宏邁無線網啟用了該VLAN內客戶隔離功能，禁止同一VLAN內的客戶開展通信，能夠 減少同一VLAN內無線終端之間的廣播消息，提高wifi網絡的性能，同時提高安全性。在避免某些感染病毒的終端傳播病毒的危險的同時，最大限度地保證辦公安全，提高辦公效率，保證客戶的無線體驗。

      無線電頻率控制策略。

      晚上凌晨之后，企業庫存的正常情況下都是沒有開展作業的，那么廣州軒轅宏邁wifi網絡能夠 自動關閉RF信號，一方面能夠 節省電力，與此同時能夠 避免不法客戶運用夜晚時間侵入wifi網絡，做某些非法侵入的操作，保證企業無線數據的安全，另外為了更人性化，還增加了基于SSID的例外wifi網絡，可選擇性關閉SSID。

    互聯網接入行為控制。

     互聯網應用極為豐富，特別是隨著大量社會網絡應用的出現，客戶將個人網絡行為帶入辦公場所，從而引發了各種各樣的管理和安全問題。

     上網的權限控制。

      綜合應用有助于管理員深入了解網絡應用的現狀和客戶行為，保證管理效果。無線控制器擁有國內最大的應用識別庫，可在2000多個網絡主流應用中精確識別，并有專業的研發隊伍定期維護更新，確保應用庫處于最新狀態，提高應用識別的準確率。

廣州軒轅宏邁技術提供了強大的可視化的熱點地圖，通過地圖展示可有效地幫助網絡管理人員快速地分析和掌握設備的實時運行狀態和負載情況。該特性以地圖式的展現方式，分層管理設備，以掌握設備的實時運行狀態。您的企業有無線網WIFI的任何問題，歡迎您撥打電話與我們溝通！