金融网点WLAN覆盖案例:山东联通&建设银行

【发布时间:2013-12-19】

案例看点:为响应中国人民建设银行总行对加强“金融网点WLAN覆盖建设”的号召,山东建设银行与山东联通配合开展了省内银行网点WLAN的建设改造工作。

应用背景及建设需求:

山东建设银行为提高银行网点用户满意度,进行金融网点WLAN覆盖,综合考虑省内每个金融网点进行无线覆盖,并且开展相应的业务和功能:

(一)SSID命名

面向客户的WLAN无线网络SSID命名为:CCB,采用广播模式,客户可以搜索发现。

(二)上网账号

客户接入面向客户WLAN,采用用户名和密码的用户身份验证方式连接网络,登陆页面包括用户名、密码、免责申明、行内广告等要素。用户名、密码可以由用户通过自助方式申请,如手机短信等,同时运营商应保留用户身份等相关信息,以便对用户上网行为进行审计;也可以由银行工作人员手工方式发放给客户,并保留发放记录,供审计之用。客户上网时长由运营商可根据银行要求进行调整。

(三)信号覆盖

WLAN网络的信号覆盖要根据应用网点的实际环境,如面积、楼层等做具体的适应性调整,范围应覆盖电子银行服务区、营业大厅、客户等候区、VIP客户接待区、理财专区等所有客户有权到达区域。

(四)网络带宽

按照所处环境、业务规模和客户流量的不同,对应网点设计不同的带宽模式,原则上应充分保证每个客户的上网体验。每个客户的无线互联网速率至少不应低于运营商3G网络速率。特殊情况,如遇同时连接WLAN无线网络客户达系统支持最大数时,应支持每个客户均能流畅体验手机银行服务、办理手机银行交易。

(五)应用设备

面向客户的WLAN网络应用设备按归属分为两种:一是客户自带设备,如笔记本电脑、智能终端(IPAD、智能手机)等;二是银行电子银行服务区通用服务终端,包括PC机、笔记本电脑、平板电脑等。这两种设备在认证方式、网络带宽等方面可有所不同。

(六)安全要求

1、由运营商在每个网点部署单独的、直连互联网的线路,与网点现有数据专线严格物理隔离。由运营商在每个网点部署AP,与银行自有AP设备严格分离,且与银行自建的WLAN网络信道相隔离。

2、客户通过自带设备接入WLAN网络的访问控制,由运营商遵照国家相关法律法规进行访问限制,实施包括但不限于恶意AP的检测与抑制、入侵检测、禁止用户互访、帐户安全等技术管控。

3、面向客户WLAN网络登陆页面和弹出广告涉及银行标识和信息的,应由相关业务部门审核,并在显著位置显示免责声明。

解决方案

整体组网方案架构

(1)无线控制器部署

根据山东联通和建设银行的合作模式,可以考虑将无线控制器H3C WX6108E部署在联通核心机房,无线控制器通过N*GE链路旁挂或者在线部署在城域网汇聚交换机或者核心设备上,主要部署如下:

  • AC、AP之间建立起CAPWAP管理传输通道;
  • AC启用DHCP Server,AC给AP分配管理地址,AP通过Option43 获取到AC地址;
  • AC对金融网点每个AP启用不同的SSID,具体的SSID名称由建行确认;
  • AC针对不同的SSID定义不同的VLAN ID,并分别透传到运营商城域网自有BRAS和综合认证网关上。

(2)无线接入点部署

针对各个金融网点进行现场工勘和无线网络优化建议,计算出每个银行网点所需要的POE供电交换机端口数和无线AP数量(建议每个网点AP通过POE供电交换机方式供电)。

  • 建议在网点营业大厅、客户等候区、VIP客户接待区、理财专区等区域部署300M室内放装型双频无线接入点H3C WA2600,内置终端感知型智能天线,外型小巧美观,安装方式灵活,适用于壁挂、吸顶等多种安装方式。将AP设置工作2.4G和5.8G两个频段,并且开启频谱导航功能,通过AP引导双频网卡优先关联5.8频段,将提高无线网络的频谱使用效率,保证用户高吞吐。
  • 可以考虑在电子银行服务区部署面板式无线接入点WA2610H-GN,内置天线、采用POE供电方式,通过2个百兆以太网口连接电子银行服务区固定终端设备,可以安装在任意86mm面板的暗盒上,不破坏原有的装修,并极大的减少了安装成本和实施时所带来的运营成本。

(3)综合接入网关部署

建议在每个地市部署综合接入网关SR6600,可以考虑利用GE链路连接运营商互联网专线,同时作为无线业务的Portal认证网关,由Portal认证网关和Portal服务器、AAA服务器、短信平台联动进行认证并获取到限速策略,认证通过之后放开端口访问互联网;SR6600路由器还具备强大的NAT功能,也可以完成对金融网点内无线上网用户私网地址对公网的NAT地址转换;

  • 启用DHCP Server ,针对访问银行业务SSID:CCB、CCB-VIP、CCB-DZYH的用户分配业务私网IP地址
  • 将访问银行业务的HTTP请求重定向到银行专用Portal服务器上,为用户推送银行定制化页面及应用
  • 作为银行认证接入设备,同银行的AAA、安全策略服务器、Portal服务器进行互动,完成用户身份认证/安全认证

(4)综合认证管理平台部署(一体机)

在核心机房部署 H3C iMC智能管理平台,iMC智能管理平台实现对网络资源的集中管理、可视化管理,实现拓扑、故障、性能、配置、安全等管理功能,并且通过流程向导的方式告诉用户如何使用相关功能满足业务需求,为用户提供网络精细化管理。以下各个组件都是基于iMC智能管理平台的,根据客户的需求灵活配置,并且每个组件之间都有联动关系,能够满足银行当前的各项需求。