《工业物联网解决方案.docx》由会员分享,可在线阅读,更多相关《工业物联网解决方案.docx(29页珍藏版)》请在优知文库上搜索。
1、工业物联网解决方案一、技术方案1.1建设原则根据网络具体情况,在网络设计中遵循下列原则:先进性原则采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性;开放性原则网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性;可伸展性原则网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地Q另一方面,还必须为网络规模的扩展留有充分的余地。安全性原则网络系统的设计必须贯彻安全性原则,以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现
2、在以下方面:1)设备采用的是扩频技术;2)提供了无线数据传输的加密;3)用户可以通过设置自己的AP或另加独立加密设备实现更高的安全性;4)网络内部对资源访问的授权、认证、控制以及审计等安全措施:防止网络内部的用户对网络资源的非法访问和破坏;可靠性原则网络系统的设计必须贯彻可靠性原则,使网络系统具有很高的可用性。可靠性原则体现在以下方面:1)选用技术先进、成熟高可靠性的网络设备;2)系统增益储备高;3)链路的可维护性好。可管理性原则网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。1
3、.2组网架构结合用户无线网络需求情况,结合信锐产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照APAC的结构化无线网络解决方案进行设计。NTERNET一代防火墙宿舍区;办公区移株汇*播练汇量P0维 MPCl放装AP吸 BIAPKIfiAP白口 ,一2D目口92口9sa 2口9XX三核心 交换RadMS椒务3联先中心整个组网架构采用瘦AP组网架构,在不改变原有组网链路的基础上,将无线控制器旁挂在厂区核心交换机上,通过局域网联路统一管理各个区域的无线AP,同时在出口部署防火墙,保障整个厂区出口链路的网络安全。1.l场景化解决方案1.1.1无
4、线办公场景1.1.1.1安全接入认证针对厂区使用无线网络的群体,推出内部员工使用的认证方式和访客认证方式,并且通过隔离手段,将外部访客隔离在外网当中,禁止其访问内网。员工接入认证支持和企业内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和LDAP、AD域、RadiUS等企业内部的用户身份数据库进行快速的身份校验,既安全且可靠。企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型企业。首次连接无线网络认证时,用户名和终端可以实现自动绑定,帮助企业快速完成身份绑定,若用户拥有多个上网终端,管理员也可以灵活的手动审批后续新加入
5、终端的绑定。因此企业可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。(1) 802.IX认证信锐技术支持802.1XWEP认证方式,并且为XX工厂提供企业级安全隧道认证方式,在保证认证安全的同时,在一些特殊场景,比如没有radius服务器的情况,信锐802.IxWEP认证可以直接与AD域对接,用AD域里面的用户名直接认证,省去部署radius服务器的成本和麻烦。同时在部署基于证书认证(EAP-TLS)或用户名、密码认证(PEAP-MSCHAPv2)的企业无线网络时,由于接入无线网络的终端类型众多,不同平台的无线网络配置方法各不一致。为了方便部署,信锐提供的802.Ix认证一键配置
6、,让安全和方便同时兼得。(2) MDQ认证MDQ认证是信锐在业内首家提出的将如口袋助理、钉钉、微信企业号等移动OA软件平台与Wi-Fi员工上网管理相结合做上网认证,实现对接口袋助理、钉钉、微信企业号做企业认证。这里的企业认证,我们可以简单理解为账号密码认证。MDQ对接认证可以帮助企业省去人力物力搭建其他系统来管理员工上网信息、部署维护接入认证服务器,并且可以通过使用这些移动办公平台统一管理实现员工的上网信息,并实现接入认证。.访客接入认证(1)二维码审核认证面对供应商、客户、商业伙伴、相关领导来到公司参观,都需要便捷的接入无线网络。信锐提供了更简洁的认证方式,来访客人只需要连接该公司无线网络,
7、然后打开浏览器自动出现二维码,内部接待员工用自己的终端扫一扫即可认证通过。二维码认证技术经过公安部认证,且针对访客行为可追溯。(2)微信认证通过信锐无线提供的微信认证功能,访客进入XX工厂展厅,接入无线网络,将被定向到指定提示页面,提示访客关注微信号然后即可获取上网权限,访客关注微信号即可上网,这样便大大增加了访客对XX工厂的关注度,也便于企业广告、业务推送和宣传。1.1.1.2Wi-Fi智能考勤相比较于传统的指纹考勤、打卡考勤、有源RFlD考勤等传统考勤系统来说,利用办公OA软件口袋助理适合考勤系统更加精准、人性化,而且无需排队;每天上班前口袋助理会准时提醒上班考勤打卡,员工只需要打开软件此
8、时口袋助理会自动识别进行考勤打卡签到。(1)点击APP签到考勤按钮,APP将终端WlFl连接信息(连接的SSID、连接的AP位置名称、APMAC地址、终端MAC地址等信息)传递给APP服务器。(2) 口袋助理联动无线控制器进行校对终端WIFl连接信息,若校对成功则返回信息给终端“签到成功”;若信息不匹配则返回“请连接公司WIFI进行签到“o1.1.1.3内部信息安全保障由于无线的开放性,以及BYOD接入终端的多样特性,导致接入到无线企业网中的终端的合法性、安全性无法得到保障。比如员工自带的设备多种多样,尤其是android终端的开放性,导致其比较容易受到攻击从而嵌入木马、黑客工具等,这样的终端
9、接入到企业网络中后就可能导致内部业务数据的泄漏,虽然可以通过访问控制策略对接入的终端做精细化的权限划分,但一个健壮的安全解决方案,首先应该在接入层面就能过滤掉绝大部分的攻击。绑定终端的安全准入.终端MAC地址绑定用户在首次接入无线网络时输入用户名、密码就能直接绑定终端的MAC地址,IT管理员无需介入,既保障了接入设备的可信性,也减轻了IT管理员的负担若是用户名、密码被盗用,绑定了非法终端的MAC地址,用户在正常接入时就能发现问题,IT管理员可及时强制下线非法终端加入黑名单,并人工绑定合法终端的MAC地址,黑客用窃取的用户名、密码也无法登陆,因为其MAC地址不对。.安全证书认证信锐无线提供了更安
10、全的证书认证方式,并且内建了CA证书服务器,无需第三方的证书服务器的支持。企业通过邮件或移动存储设备分发证书给信任的移动终端(手机、PAD、笔记本),用户安装了证书后,需要与控制器进行加密的双向证书认证,才能通过验证,这样即使泄漏了用户、密码,黑客也由于没有证书,而无法接入到无线网络,达到了更高的安全性。.MAC地址白名单对于配发移动智能终端的企业,可以批量采集配发终端的MAC地址,只有在这个白名单中的终端才能接入无线网络,预防非法终端的接入。VLAN池在无线网络接入的环境下,移动终端间可以进行相互通信,存在较大安全隐患。终端之间传输大量文件损耗AP有限的带宽资源,降低了无线网络性能;终端之间
11、的任意互访有可能导致的数据被窃取的恶意行为,存在安全隐患,甚至还有可能存在某些感染了病毒的终端传播病毒的风险。信锐无线在无线网络部署时,启用此VLAN内用户隔离功能选项,禁止同一VLAN内的用户之间相互通信,可以减少同一个VLAN内无线终端间的广播报文,提高了无线网络性能,同时提高了安全性。同时避免某些感染了病毒的终端传播病毒的风险,最大限度地确保办公安全,高办公效率,保障用户无线体验。 射频控制策略企业在晚上凌晨以后,正常情况仓储都是没有进行工作的,那么信锐无线网络能自动关闭射频信号,一方面能节省电,另一方面又能防止非法用户利用深夜时间入侵无线网络,做一些非法入侵的操作,保障企业无线数据的安
12、全,另外为了更加人性化,还增加了设置基于SSlD的例外无线网络,可以选择性的关闭SSlD。1.LL4上网行为管控网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。 员工上网权限控制全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,保障管理效果。信锐无线控制器拥有国内最大的应用识别库,可以精准识别2000种以上网络主流应用,并且有专业的研发团队定期维护更新,保证库处于最新状态,提高应用识别准确率。除了精准的应用识别库,还提供丰富的、灵活的控制策略,企业可以针对不同的用户、不同的接入位置、不同的时间段进行员工的上网访问权限控制,通
13、过基于应用层的访问控制,灵活控制员工的上网权限,每一个员工都只能访问已授权访问的系统,防止非法的、未经授权的越权访问,相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。 允许访问指定网站在企业办公时,往往会对研发部门进行网络限制,不允许其上外网,但是呢,研发很多时候都需要在网络上搜索资料,这时就可以里访问控制策略中配置全局排除地址,如设置域名,这样就允许研发进行百度资料查询。可以使用在在多种无线部署时,用户终端接入无线网络,在认证前不允许上网,但是可以配置官网排除地址,允许用户浏览客户官方网站或者允许上某个网络等的场景。 员工上网行为审计信锐技术上网审计功能,支持对有线
14、用户和无线用户的网络行为和内容进行审计,包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET.其它已识别和未识别的网络应用、网页内容、AeL拒绝行为、以及审计用户访问应用的流量与时长。通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计 数据中心报表功能针对企业有线无线网络完成用户的接入、认证,同时对用户的网络行为和内容进行审计,审计的结果保存于数据中心。信锐无线支持内置数据中心和外置数据中心两种保留方式。1.LL5流量管控/网络优化 借用空闲带宽不同优先级的通道竞争流量时,较高优先级的通道能优先获得全部空闲带宽,相同优先级的通道竞争
15、流量时,按各自保证带宽数值的比率进行带宽保障。 宽智能平均带宽带宽在此刻有流量经过设备的用户间进行分配,如果此刻用户没有流量,则不参与分配带宽逐步分配给此刻有流量经过的用户,如果某个用户的带宽需求已经得到满足,则会忽略该用户,继续给有需要的用户分配带宽,直到带宽分配完为止。 流量控制流量管理策略有三种方式,分别是:1、基于用户的流量限速策略;2、基于WLAN的带宽保障;3、基于应用的带宽保障,顾名思义,通过禁止使用降低工作效率和高带宽消耗的应用,提高办公效率和上网体验。2.6.5空口的流量管控为了保证重要业务产生的上网流量能够在有限的运营商带宽资源下优先通行,信锐基于用户、终端类型、接入AP位置进行上下行带宽限制。1.LL6有线无线一体化XX工厂目前除了有线网络以外,仍然有许多有线设备需要上网,信锐无线可以通过无线控制器上进行配置,对无线用户和有线用户进行集中管理,完成流量控制、流量管理和流量审计,同时利用无线器的有线口来完成有线用户的认证,通过针对物理接口、聚合接口和VLAN接口配置认证策略,同时可以设置过滤条件包括IP组和MAC地址,完成对有线用户的认证控制Q1.LL7智能安全网卡智能安全网卡适用于对网络安全要求十分苛刻的企业、政府、金融行业内的办公网络,适用于笔记本电