行业背景：

大型企业在无线网络建设期间要充分考虑访客（领导、客户、合作伙伴）接入网络的需求。首先从安全性考虑，访客网络必须要和办公网络分开，访客网络单独提供给访客使用。从用户体验角度考虑，访客接入网络的验证方式一定要做到简单易行，繁琐的验证方式会降低访客对企业的整体印象。同时对于访客网络，企业还需要建立完善的网络安全管理机制，避免由于访客的网络不良访问给企业带来的法律风险。对于企业员工移动办公上网，更需要做到可管控，上网行为做到可追溯，企业有效的带宽资源得到合理的分配和保证，才能使企业的业务系统正常且稳定高效地运行，同时保证企业信息安全，避免机密信息泄露。

存在的问题（用户需求）

1、接入不安全：缺乏安全可靠的认证机制，企业无线网络接入不安全；

2、上网权限混乱：缺乏有效的控制策略，员工上网权限不分明；

3、数据信息安全：缺乏有效的数据加密机制，企业数据被黑客窃取篡改；

4、无线信号差：AP性能不佳，上网总掉线，点位规划不合理，信号盲区多；

5、漫游效果差：不能实现二三层漫游，移动办公时，业务中断。

结合用户无线网络需求情况，结合云腾产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+AC的结构化无线网络解决方案进行设计。具体设计为在总部设置总部AC,在大型分支机构设置分支AC与分支AP，中型分支机构设计二级，三级交換机，分支AP。小微型分支机构直接设置分支AP。总部AC可以对大型分支机构的AC进行管理，当网点控制器采用集中管理的模式进入到中心端控制器时，会自动下载中心端的公共配置，比如IP组、MAC地址库、时间计划、角色授权、认证页面等 。总部AC也可以直接管理中小型分支机构的分支AP，实现统一管理。

方案设计：

安全无线整体解决方案：

接入前&接入时进行身份认证、云腾安全无线网卡、账号绑定（硬件码+手机号），非法热点检测及防御、网络攻击防护、射频定时关闭及安全加固。

接入后&上网时进行访问权限控制。

上网后进行上网行为记录。

上网用户身份实名认证：

无线办公网采用802.1X/Portal/WAPI认证，外置AAA和RADIUS+AD用于存储用户账号密码。

每个账号对应一个员工，包括姓名、部门、性别以及身份证、手机号等个人信息，保证每个上网的账号都是可寻的，便于安全管理。

方案优势：

1、丰富的无线安全机制，提供从安全接入到安全上网等端到端的安全策略

2、合理管控工作人员上网行为，提升工作效率、防止带宽浪费，有线无线双重管控

3、为会议室，报告厅等人员密集区域接入网络提高保证，解决有线网口不足的问题；