項目背景

        XX銀行前期的網(wǎng)絡(luò)建設(shè)僅滿足及辦公區(qū)域的有線接入。為滿足日益增長的移動辦公需求，提高辦公服務(wù)的工作效率，籌劃建立一個安全的、可靠的、靈活的、可智能管理的新型無線網(wǎng)絡(luò)。

        本次無線網(wǎng)絡(luò)建設(shè)項目本著安全、可靠、靈活擴展、易管理等建設(shè)原則，力求無線信號全面覆蓋整個銀行總部大樓（七層）、數(shù)據(jù)中心（一、二、五層）及開發(fā)中心（三、四層）?；谶@些建設(shè)前提，實現(xiàn)POE供電交換機上行雙鏈路冗余，控制器冗余、管理服務(wù)器組件冗余部署，滿足“集中管理，分布部署”的要求，同時又可以保障未來其他分支機構(gòu)無線擴展可以無縫接入現(xiàn)有的結(jié)構(gòu)。用戶數(shù)據(jù)安全性方面則要求在保障安全性的前提下，衡量用戶使用的便利性做出均衡調(diào)整，降低用戶使用難度及管理人員后期維護難度。

無線網(wǎng)絡(luò)項目規(guī)劃

        XX銀行無線網(wǎng)絡(luò)結(jié)構(gòu)共分為AP、POE交換機、無線控制器（AC）、智能管理平臺四個部分，其中，無線控制器和智能管理平臺部署于總行，數(shù)據(jù)中心、開發(fā)中心的無線訪問點（AP）通過專線連接總行AC，從而實現(xiàn)“統(tǒng)一管理，分布部署”的網(wǎng)絡(luò)結(jié)構(gòu)。

        XX銀行無線網(wǎng)絡(luò)用戶采用多因子認證方式，其中元素因子包括Portal（用戶名/密碼）+MAC+PSK。通過Portal認證方式，用戶的訪問行為會觸發(fā)彈出WEB認證頁面，用戶需要在界面中輸入用戶名/密碼進行身份認證，認證成功后，系統(tǒng)需要再次驗證終端設(shè)備的MAC地址的合法性。

        用戶身份認證成功后，總行無線控制器將根據(jù)制定的策略為用戶分配相應(yīng)的VLAN，用戶分配到的VLAN決定了其通過DHCP能獲得相應(yīng)的應(yīng)用IP地址。

        由于XX銀行無線網(wǎng)絡(luò)規(guī)劃采用“集中式”數(shù)據(jù)轉(zhuǎn)發(fā)模式，終端獲得IP地址后，用戶的業(yè)務(wù)數(shù)據(jù)將借由AP通過隧道傳輸?shù)紸C（無線控制器）上，無線控制器會將數(shù)據(jù)包進行解封裝，然后傳輸?shù)胶诵慕粨Q機上，通過核心交換機上的路由選擇轉(zhuǎn)發(fā)到目的地。