智慧工厂物联网解决方案
无线及物联网解决方案
2017年5月
第1章目录
第1章目录 (2)
项目背景 (5)
1.1 项目概述 (5)
1.2 建设总体需求 (5)
第2章解决方案 (7)
2.1 建设原则 (7)
2.2 组网架构 (8)
2.3 场景化解决方案 (9)
2.3.1 无线办公场景 (9)
2.3.2 无线仓储与生产车间场景 (18)
2.3.3 员工宿舍场景 (29)
2.3.4 智能能耗管理解决方案 (31)
2.4 无线稳定性方案 (35)
2.4.1 智能射频 (35)
2.4.2 智能负载均衡 (36)
2.4.3 无线空口优化 (37)
2.4.4 高密优化 (38)
2.4.5 广播优化 (38)
2.5 运维管理解决方案 (39)
2.5.1 冗余、减少单点故障 (39)
2.5.3 分权分级管理 (41)
2.5.4 AP零配置 (41)
2.5.5 云升级 (41)
2.5.6 可视化的热点地图 (42)
第3章XX优势 (43)
3.1 完善的解决方案 (43)
3.2 强劲的自主研发能力 (43)
3.3 一体化融合方案 (43)
3.4 完善的售后服务体系 (44)
第4章案例介绍 (46)
4.1 比亚迪股份公司生产仓储无线建设 (46)
4.2 吉利春晓基地WLAN工程建设 (47)
4.3 京东物流园(江苏宿迁) (49)
4.4 无限极(中国)有限公司服务中心WLAN建设 (50)
第5章售后服务 (52)
5.1 服务体系介绍 (52)
5.2 售后服务承诺 (53)
5.2.1 三十分钟问题必应 (53)
5.2.2 AP一年之内包换 (53)
5.2.3 好件先行 (53)
项目背景
1.1项目概述
在企业信息化飞速发展的今天,无线局域网技术日益成熟,无线网路相比较于有线网络安装更简单、使用更灵活、综合布线成本更低、扩展能力更强,无线网络使用场景越来越多样化,承载业务也越来越复杂化;本次苏州和鑫电气股份有限公司对整个工厂厂区进行智能信息化建设的改造,完善原有有线联路的同时利用无线网络承载厂区办公、仓储、生产流水线、宿舍等下的业务需求,同时要求整个无线网络具有安全、易管理、快速、可靠等特点。
1.2建设总体需求
苏州和鑫电气股份有限公司本次智慧工厂厂区建设要求无线网络能够使用在办公、仓储、流水线、员工宿舍等具体场景,承载无线办公、移动扫码、流水线系统、员工上网等应用,要求无线网络在提供无线接入的同时能够更加安全、容易管理、上网快速、信号稳定、无线可靠等。
●安全性要求
要求建设无线网络能够针对不同场景提供安全的接入认证方式,并且对于接入的员工、用户和设备提供不同层级的安全防护。
●稳定性要求
要求整个无线网络具有良好的稳定性,满足办公场景、宿舍下高并发的需求,防止出现无线卡顿、掉线、数据终端等现象;在仓储、流水线场景下要求设备提供良好的终端漫游,防止出现掉包数据流失。
●可靠性要求
可靠性是对整个无线网络的整体要求,要求无线网络具有冗余灾备功能,防止出现因为设备故障而导致的整体无线网络不可用,从而影响整个业务。
●易管理要求
要求无线网络管理便捷、操作简单,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。
●工程布线和安装要求
在厂区将网线走暗线或者穿管敷设到位,AP吸顶或挂墙安装,可利用设备本身自带的安装附件进行安装,AP的供电采用POE交换机供电。
综合以上苏州和鑫电气股份有限公司对无线网络的需求,结合技术产品的特点,我司为苏州和鑫电气股份有限公司设计了一套整体的智慧工厂厂区的无线网络解决方案。
第2章解决方案
2.1建设原则
根据网络具体情况,在网络设计中遵循下列原则:
●先进性原则
采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性;
●开放性原则
网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性;
●可伸展性原则
网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。另一方面,还必须为网络规模的扩展留有充分的余地。
●安全性原则
网络系统的设计必须贯彻安全性原则,以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现在以下方面:
1)设备采用的是扩频技术;
2)提供了无线数据传输的加密;
3)用户可以通过设置自己的AP或另加独立加密设备实现更高的安全性;
4)网络内部对资源访问的授权、认证、控制以及审计等安全措施:防止网络内部的用户对网络资源的非法访问和破坏;
●可靠性原则
网络系统的设计必须贯彻可靠性原则,使网络系统具有很高的可用性。可靠性原则体现在以下方面:
1)选用技术先进、成熟高可靠性的网络设备;
2)系统增益储备高;
3)链路的可维护性好。
●可管理性原则
网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。
2.2组网架构
结合用户无线网络需求情况,结合XX产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+AC的结构化无线网络解决方案进行设计。
整个组网架构采用瘦AP组网架构,在不改变原有组网链路的基础上,将无线控制器旁挂在厂区核心交换机上,通过局域网联路统一管理各个区域的无线AP,同时在出口部署防火墙,保障整个厂区出口链路的网络安全。
2.3场景化解决方案
2.3.1无线办公场景
2.3.1.1安全接入认证
针对厂区使用无线网络的群体,推出内部员工使用的认证方式和访客认证方式,并且通过隔离手段,将外部访客隔离在外网当中,禁止其访问内网。
员工接入认证
支持和企业内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快
速的身份校验,既安全且可靠。
企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型企业。
首次连接无线网络认证时,用户名和终端可以实现自动绑定,帮助企业快速完成身份绑定,若用户拥有多个上网终端,管理员也可以灵活的手动审批后续新加入终端的绑定。因此企业可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。
(1)802.1X认证
XX技术支持802.1X WEP认证方式,并且为XX工厂提供企业级安全隧道认证方式,在保证认证安全的同时,在一些特殊场景,比如没有radius服务器的情况,XX802.1x WEP 认证可以直接与AD域对接,用AD域里面的用户名直接认证,省去部署radius服务器的成本和麻烦。
同时在部署基于证书认证(EAP-TLS)或用户名、密码认证(PEAP-MSCHAPv2)的企业无线网络时,由于接入无线网络的终端类型众多,不同平台的无线网络配置方法各不一致。为了方便部署,XX提供的802.1x 认证一键配置,让安全和方便同时兼得。
(2)MDQ认证
MDQ认证是XX在业内首家提出的将如口袋助理、钉钉、微信企业号等移动OA软件平台与Wi-Fi员工上网管理相结合做上网认证,实现对接口袋助理、钉钉、微信企业号做企业认证。这里的企业认证,我们可以简单理解为账号密码认证。
MDQ对接认证可以帮助企业省去人力物力搭建其他系统来管理员工上网信息、部署维护接入认证服务器,并且可以通过使用这些移动办公平台统一管理实现员工的上网信息,并实现接入认证。
访客接入认证
(1)二维码审核认证
面对供应商、客户、商业伙伴、相关领导来到公司参观,都需要便捷的接入无线网络。XX提供了更简洁的认证方式,来访客人只需要连接该公司无线网络,然后打开浏览器自动出现二维码,内部接待员工用自己的终端扫一扫即可认证通过。二维码认证技术经过公安部认证,且针对访客行为可追溯。
(2)微信认证
通过XX无线提供的微信认证功能,访客进入XX工厂展厅,接入无线网络,将被定向到指定提示页面,提示访客关注微信号然后即可获取上网权限,访客关注微信号即可上网,这样便大大增加了访客对XX工厂的关注度,也便于企业广告、业务推送和宣传。
2.3.1.2Wi-Fi智能考勤
相比较于传统的指纹考勤、打卡考勤、有源RFID考勤等传统考勤系统来说,利用办公OA软件口袋助理适合考勤系统更加精准、人性化,而且无需排队;每天上班前口袋助理会准时提醒上班考勤打卡,员工只需要打开软件此时口袋助理会自动识别进行考勤打卡签到。
(1)点击APP签到考勤按钮,APP将终端WIFI连接信息(连接的SSID、连接的AP位置名称、AP MAC地址、终端MAC地址等信息)传递给APP服务器。
(2)口袋助理联动无线控制器进行校对终端WIFI连接信息,若校对成功则返回信息给终端“签到成功”;若信息不匹配则返回“请连接公司WIFI进行签到”。
2.3.1.3内部信息安全保障
由于无线的开放性,以及BYOD 接入终端的多样特性,导致接入到无线企业网中的终端的合法性、安全性无法得到保障。比如员工自带的设备多种多样,尤其是android 终端的开放性,导致其比较容易受到攻击从而嵌入木马、黑客工具等,这样的终端接入到企业网络中后就可能导致内部业务数据的泄漏,虽然可以通过访问控制策略对接入的终端做精细化的权限划分,但一个健壮的安全解决方案,首先应该在接入层面就能过滤掉绝大部分的攻击。
绑定终端的安全准入
(1)终端MAC地址绑定
用户在首次接入无线网络时输入用户名、密码就能直接绑定终端的MAC 地址,IT 管理员无需介入,既保障了接入设备的可信性,也减轻了IT 管理员的负担。若是用户名、密码被盗用,绑定了非法终端的MAC 地址,用户在正常接入时就能发现问题,IT 管理员可及时强制下线非法终端加入黑名单,并人工绑定合法终端的MAC 地址,黑客用窃取的用户名、密码也无法登陆,因为其MAC 地址不对。
(2)安全证书认证
XX无线提供了更安全的证书认证方式,并且内建了CA 证书服务器,无需第三方的证书服务器的支持。企业通过邮件或移动存储设备分发证书给信任的移动终端(手机、PAD、笔记本),用户安装了证书后,需要与控制器进行加密的双向证书认证,才能通过验证,这样即使泄漏了用户、密码,黑客也由于没有证书,而无法接入到无线网络,达到了更高的安全性。
(3)MAC 地址白名单
对于配发移动智能终端的企业,可以批量采集配发终端的MAC地址,只有在这个白名单中的终端才能接入无线网络,预防非法终端的接入。
●VLAN池
在无线网络接入的环境下,移动终端间可以进行相互通信,存在较大安全隐患。终端之间传输大量文件损耗AP 有限的带宽资源,降低了无线网络性能;终端之间的任意互访有可能导致的数据被窃取的恶意行为,存在安全隐患,甚至还有可能存在某些感染了病毒的终端传播病毒的风险。
XX无线在无线网络部署时,启用此VLAN 内用户隔离功能选项,禁止同一VLAN 内的用户之间相互通信,可以减少同一个VLAN 内无线终端间的广播报文,提高了无线网络性能,同时提高了安全性。同时避免某些感染了病毒的终端传播病毒的风险,最大限度地确保办公安全,高办公效率,保障用户无线体验。
●射频控制策略
企业在晚上凌晨以后,正常情况仓储都是没有进行工作的,那么XX无线网
络能自动关闭射频信号,一方面能节省电,另一方面又能防止非法用户利用深夜时间入侵无线网络,做一些非法入侵的操作,保障企业无线数据的安全,另外为了更加人性化,还增加了设置基于SSID的例外无线网络,可以选择性的关闭SSID。
2.3.1.4上网行为管控
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。
员工上网权限控制
全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,保障管理效果。XX无线控制器拥有国内最大的应用识别库,可以精准识别2000种以上网络主流应用,并且有专业的研发团队定期维护更新,保证库处于最新状态,提高应用识别准确率。
除了精准的应用识别库,还提供丰富的、灵活的控制策略,企业可以针对不同的用户、不同的接入位置、不同的时间段进行员工的上网访问权限控制,通过基于应用层的访问控制,灵活控制员工的上网权限,每一个员工都只能访问已授权访问的系统,防止非法的、未经授权的越权访问,相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。
●允许访问指定网站
在企业办公时,往往会对研发部门进行网络限制,不允许其上外网,但是呢,研发很多时候都需要在网络上搜索资料,这时就可以里访问控制策略中配置全局排除地址,如设置域名https://www.360docs.net/doc/e115895241.html,,这样就允许研发进行百度资料查询。可以使用在在多种无线部署时,用户终端接入无线网络,在认证前不允许上网,但是可以配置官网排除地址,允许用户浏览客户官方网站或者允许上某个网络等的场景。
●员工上网行为审计
XX技术上网审计功能,支持对有线用户和无线用户的网络行为和内容进行审计,包括但不限于HTTP 外发内容、访问的网站和下载、邮件、FTP、TELNET、其它已识别和未识别的网络应用、网页内容、ACL拒绝行为、以及审计用户访问应用的流量与时长。通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计。
●数据中心报表功能
针对企业有线无线网络完成用户的接入、认证,同时对用户的网络行为和内容进行审计,审计的结果保存于数据中心。XX无线支持内置数据中心和外置数据中心两种保留方式。
2.3.1.5流量管控/网络优化
●借用空闲带宽
不同优先级的通道竞争流量时,较高优先级的通道能优先获得全部空闲带宽,相同优先级的通道竞争流量时,按各自保证带宽数值的比率进行带宽保障。
●宽智能平均带宽
带宽在此刻有流量经过设备的用户间进行分配,如果此刻用户没有流量,则不参与分配带宽逐步分配给此刻有流量经过的用户,如果某个用户的带宽需求已经得到满足,则会忽略该用户,继续给有需要的用户分配带宽,直到带宽分配完为止。
●流量控制
流量管理策略有三种方式,分别是:1、基于用户的流量限速策略;2、基于WLAN 的带宽保障;3、基于应用的带宽保障,顾名思义,通过禁止使用降低工作效率和高带宽消耗的应用,提高办公效率和上网体验。
2.6.5空口的流量管控
为了保证重要业务产生的上网流量能够在有限的运营商带宽资源下优先通行,XX基于用户、终端类型、接入AP 位置进行上下行带宽限制。
2.3.1.6有线无线一体化
XX工厂目前除了有线网络以外,仍然有许多有线设备需要上网,XX无线可以通过无线控制器上进行配置,对无线用户和有线用户进行集中管理,完成流量控制、流量管理和流量审计,同时利用无线器的有线口来完成有线用户的认证,通过针对物理接口、聚合接口和VLAN 接口配置认证策略,同时可以设置过滤条件包括IP 组和MAC 地址,完成对有线用户的认证控制。
2.3.1.7智能安全网卡
智能安全网卡适用于对网络安全要求十分苛刻的企业、政府、金融行业内的办公网络,适用于笔记本电脑和台式机;智能安全网卡内置证书颁发中心,将智能网卡插到笔记本和台式机中,安装驱动程序,即安全网卡将数字证书写入PC 端,安装完成后用户输入PIN码即可直接链接公司无线网络。
2.3.2无线仓储与生产车间场景
在传统的工厂仓储与生产流水线中,一些已经成熟的如蓝牙、Zigbee、RFID 技术等,均均存在数据传输滞后性的弊端,因此,在今天的现代化的智慧工厂中,具有信息传输实时性、承载业务多样性、Wi-Fi将崛起,成为智慧工厂建设中不可替代的一部分。智慧工厂Wi-Fi不仅仅能够给在工厂工作的工人提供无线网络使用,实现人员定位、人员考勤等功能,同时还能够应用于工厂的移动扫码枪,无线摄像头、移动叉车、标签读写器、AGV无人搬运车或者是生车流水线MES 系统结合,提高工厂生产效率。
2.3.2.1设备接入安全
●终端准入识别技术
XX无线,基于其强大的终端类型识别,通过OUI 识别、DNS 指纹特征等技术,无需安全第三方应用程序到设备上,在设备接入时就能准确识别出类型;为了保证仓储环境中移动扫码枪、叉车、监控等设备使用无线网络的稳定性,以及终端数据安全性,在仓储场景中识别出设备类型后,可以设置终端接入权限,禁止手机、PC、Pad等终端接入仓储无线网络,保障仓储无线使用效果。
●无线空口加密技术
无线数据在空中传输,承载者企业各种业务数据,需要高效且可靠的加密机制来避免数据被暴力破解或篡改。XX技术支持国际标准的多种数据加密方式,保证了企业业务数据在传输过程中既安全又可靠。
●物联网安全认证
物联网被人们视为继计算机、互联网之后信息技术产业发展的第三次革命,智能家居、车联网、人工智能,这一切的背后正是物联网在加速落地、快速成熟,物联网时代的到来已经毋庸置疑。
而今年,震惊全球的美国断网事件,却仅仅是黑客通过操控网络摄像头及相关DVR录像机发起物联网DDoS攻击测试所导致的。一时间,Twitter、Paypal、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等美国知名网站皆无法访问,满屏都是“404 错误”。
对于目前许多接入的移动扫码终端、监控、标签读写器等设备,一些比较高端的移动终端设备,支持PSK密码认证,但是由于PSK密码较简单而且所有设
备都使用一个同样的密码,一旦被用户破解了一个密码,那么整个网络中的物终端,很容易成为黑客控制的“肉机”,一旦“肉机”被黑客控制,将会导致非常严重的数据安全后果。
XX推出业内独家的物联网安全技术;
(1)IOT安全接入认证技术
由于现在物联网设备像是监控、扫码枪等,统一采用一个上网密码接入网络,也就意味着黑客能够侵入任何一个终端,就可以采取同样方式破解其他设备,给整个网络带来了危险。
XX物联网安全接入认证,针对每一个终端的MAC地址特征,配置不同的上网密码,保障每一个物联网终端的上网的安全,防止出现黑客破解单一终端设备密码,从而控制整个网络终端设备的情况。
(2)IOT自动分类管理
大量的物联设备接入网络,如摄像头、传感器、扫码枪、采集器等,接入的网络没有分组,不同的安全设备采用统一的策略管理,造成物联设备管理复杂,缺少分组和更精细化的管理。
XXIOT分类管理,可以通过MAC和DHCP识别终端的类型,并且将终端进行分组,对不同的组别进行不同策略的下发,从而进行精细化的设备管理。
(3)物联云平台安全
采用云平台企业账号隔离,黑客攻破单一帐号不会造成平台其它帐号信息的泄漏;同时采用数据库备份、HTTPS加密访问,防止黑客暴力破解帐号。