網絡原來如此之智能無線網絡建設經驗分享
網絡原來如此之智能無線網絡建設經驗分享
引言
近年來G行圍繞業務數字化轉型打造財富管理銀行的戰略目標,提出了“123+N”數字銀行發展體系支撐業務數字化轉型和長遠發展,金融科技板塊結合各類需求,無論是對外服務還是內部運營,使用數字化手段融入更多的內外部場景,科技賦能服務更多的內外部客戶。在內部網絡運營方面,2022年起G行開展了基於WiFi6技術的無線網絡建設,融合智能無線運維、一體化認證系統等全新無線網絡和智能運維技術,展現了G行推進數字化轉型、智能化應用的能力,現將本次無線網絡的建設經驗分享給大家。
WiFi6(原稱:IEEE802.11ax)即第六代無線網絡技術,是WiFi標準的名稱,是WiFi聯盟創建於IEEE802.11標準的無線局域網技術。WiFi6將允許與多達8個設備通信,最高速率可達9.6Gbps。相比前幾代的WiFi技術,新一代WiFi6具有速度更快、延時更低、容量更大、更加安全和省電等特點,在行業領域中有廣泛的應用前景,如產業園區、辦公大樓、商場、醫院以及機場等。
一、無線網絡架構設計
本次無線網絡改造建設,主要對辦公樓進行無線WiFi6全覆蓋,用戶可以獲得更穩定安全的網絡接入和較高的接入速率。同時根據管理要求,無線網絡與內部網絡嚴格隔離,並且考慮到未來同城多場地無線互聯網需求的可能性,在架構設計上主要有以下特點:
- 01 -
主要網絡架構採用星型結構,各接入點都通過核心交換機統一匯聚,後續支持使用裸光纖或專線通過OSPF路由協議實現三層互聯,互聯網出口方面使用建設辦公樓互聯網專線作為出口,可以根據流量要求進行靈活擴容,滿足整體帶寬需求;
- 02 -
部署防火牆、上網行為系統、認證和日誌管理等系統設備對用戶進行登錄認證、權限管理、行為管理和策略控制,實現無線環境基礎網絡設備的智能化統一管理和運維;
- 03 -
無線環境中全部使用支持WiFi6標準的瘦AP設備,安裝和更換可以實現零配置AC統一管理,流量採用AP本地轉發,AC控制器僅負責管理、安全和認證,不負責流量轉發,在降低AC控制器性能消耗的同時能大幅提升用戶接入效率和網絡訪問速率;
- 04 -
無線網核心交換機使用堆疊方式部署,提高管理效率和實現設備冗餘;
- 05 -
認證服務器採用集群部署實現系統冗餘高可靠性,認證系統通過用戶名、IP、MAC地址等信息對用戶進行准入認證以及權限分組,並與上網行為系統聯動,根據分組權限執行不同的行為策略,可以實現不同分組行為策略的靈活管控,實現用戶的實名認證+實名審計,滿足合規性要求;
- 06 -
無線移動漫遊採用二層漫遊方式,用戶在WiFi覆蓋區域內不同AP間實現快速平滑切換,配合用戶無感知認證,避免用戶頻繁登錄影響使用感受。
二、無線網絡安全隔離
為避免在無線網絡建設時引入新的安全問威脅,例如:開放式的網絡環境、成為攻擊工具為攻擊提供便利手段、非法用戶的接入、用戶數據的洩密、對無線AP的DDoS攻擊、非法AP的接入等問題,無線網絡的安全設計應從無線網絡設計管理要求和終端安全管控要求兩方面進行:
(一)
在無線網絡設計管理要求方面,首先無線網絡必須與單位辦公和業務網絡嚴格物理隔離,從管理要求上禁止建設與行內辦公和生產網絡有連接的辦公WLAN 和生產WLAN,在建設互聯網WLAN方面重點考慮網絡安全、覆蓋範圍、物理層安全管理三個方面:
1.網絡安全
無線用戶劃分獨立網段和VLAN,各VLAN間進行邏輯隔離禁止互訪;在關鍵網絡節點部署安全防護設備(FW、上網行為管理等設備)進行隔離和訪問控制,同時做好日誌記錄滿足行內日誌存儲時長相關要求便於事後追溯;內外網保持嚴格的物理網絡隔離;開啟必要的二層防環策略,防止非法設備接入;
2.覆蓋範圍
發射功率按需調整,網絡優化收縮覆蓋到業務需求區域;相同場景統一SSID(不含有敏感信息),利於安全策略的部署;
3.物理層安全
對無線通信信道進行安全加密;建立安全基線管理(配置修改或者無線相關服務發生變化告警);強化無線網絡設備的管理賬號和口令安全;完善組網設備管理;開啟WIPS,通過掃描信道,收集空中傳播的信息,可以及時發現安全隱患。
(二)
在終端安全管控層面,重點考慮終端信息鑑別和用戶信息鑑別兩個方面:
1.終端信息鑑別
禁止終端內外網混用,內網終端使用互聯網WLAN時,容易受到來自互聯網的安全威脅,例如一些訪問互聯網的內網終端,被黑客植入木馬,盜取內網終端業務數據,或者當內網終端重新接入內網時木馬對內網造成了威脅,因此應通過終端信息鑑別的安全工具識別內網機特徵,禁止各類終端的內外網混用;
2.用戶信息鑑別
通過用戶名或短信驗證碼/密碼等實名認證,對接入互聯網WLAN的用戶進行實名認證,認證系統與出口上網行為審計設備形成聯動,對互聯網訪問行為進行實名記錄。
本次無線網絡建設圍繞上述兩方面設計管控進行安全防護設計,通過對網絡設備安全管控、用戶認證和逃生安全管控、互聯網出口控制和用戶審計安全管控、AC控制器安全控制等管控手段,保障無線網絡安全平穩運行,具體如下:
- 網絡設備上非網絡設備互聯接口全部配置邊緣端口,並開啟BPDU Guard、Root Guard、DHCP Snooping等功能防止非法設備接入導致二層環路以及ARP欺騙,同時關閉所有網絡設備除SSH外的服務端口並限定網段管理確保網絡設備登錄安全;
- 用戶接入無線使用WAP3安全協議,接入後對用戶進行區分,滿足不同角色的有線無線上網認證需求,針對不同用戶身份設置不同的有線無線上網權限,無線用戶通過portal認證,有線用戶啟用802.1X安全准入認證,防止非法用戶登錄,准入策略根據需求與PC終端安全管理聯動,及時檢測發現不合規PC終端接入,同時對於無線和有線認證配置有逃生通道,確保在認證發生故障時可進行一鍵逃生降低對用戶的影響;
- 互聯網出口部署防火牆進行安全策略控制,上網行為審計控制非法網站和非法應用的訪問限制,並對用戶上網行為進行控制和日誌記錄;
- 適當部署無線安全壓制管控設備,加強對仿冒無線網絡偵測,防範欺騙、非法釣魚等網絡安全攻擊。
三、無線網絡智能運維
“三分建設七分運維”,無線網絡由於部署點隨著樓層場地分佈較為廣泛、設備數量相對較多,這意味著更多的運維管理需求,需要消耗一定的人力投入和管理成本。同時無線網絡故障排查也是一個難點,在無線應用過程中影響無線網絡使用體驗的因素非常多,傳統的運維方式僅從網絡設備以及無線AC/AP的異常告警出發,對排查大規模網絡故障行之有效,卻無法精準的定位影響用戶無線網絡使用體驗的問題,只能等待用戶的報障或投訴,這讓無線網絡運維同學工作時常處於被動狀態。為解決這個問題,本次改造方案首次為無線網絡部署了智能分析系統,支持對無線環境從宏觀到微觀進行問題預警、故障定位、故障分析、趨勢分析,從之前以設備為中心的傳統運維模式向以用戶體驗為中心的智能運維模式轉變。
無線網絡的智能運維從用戶的使用體驗出發,以網絡全局健康度作為切入點,運維工具具備單個用戶/終端的精細化數據收集和展現、無線網絡的一鍵自動化、多維智能分析等關鍵的能力,幫助無線運維管理員快速定位、精準預判問題根因,提升用戶體驗。G行通過部署的無線智能分析器,可以查看用戶全局健康度態勢,提前預判無線網絡的問題,當收到用戶反饋無線網絡使用體驗不佳的時候,可以精細的查看單個用戶/終端的健康度詳情,包括用戶的健康度態勢、上下線詳情、終端射頻參數、AP遷移信息、干擾信息、關聯事件、歷史流量曲線等信息,同時可查看關聯設備健康詳情進行輔助分析。
通過無線用戶健康度數據和詳細的網絡指標信息,從體驗趨勢(空閒、質優、質差)、指標趨勢(信號強度、上行選速、下行選速、時延、丟包率、重傳率)、問題趨勢(接入、認證、IP地址、漫遊、無線信號、上網慢)三個維度分析呈現無線用戶總體在線體驗質量,定位質差用戶及所在AP,並對其根本原因進行分析和統計,及時進行調整優化。對於常見的無線網絡問題,無線智能分析器同樣可以快速的定位問題原因,例如WLAN同頻干擾問題、遠端關聯問題、二層環路問題等,解決了運維人員對於無線網絡問題快速定位難的問題,提高無線問題處理能力。
四、總結
本次智能無線網絡改造,通過引入WI-FI6技術實現了顯著的改進,提升網絡速度和容量,為用戶帶來了極致的無線網絡體驗;在用戶體驗方面,創新部署用戶漫遊、無感認證等方式提升用戶體驗;在安全保障方面,通過規範無線網絡架構設計,啟用准入和終端Vlan隔離等措施,提升整網無線防護水平;借助智能運維工具大幅提升無線網絡管理水平,並根據用戶需求進行智能調整,滿足特殊場景個性化需求。後續G行辦公網絡服務團隊將持續努力,不斷提升無線網絡技術和服務水平,為用戶提供更快速、穩定和安全的無線網絡體驗。始終站在用戶的角度,創造更加便捷、安全的體驗。