项目需求分析
随着移动互联网业务的迅速发展,智能手机、便携式笔记本电脑的普及使用,Wi-Fi已成为移动用户网络接入的主要渠道之一。特别是银行金融行业、商业场所和企事业单位,这些场所无线Wi-Fi的覆盖,由于突破了传统有线固定上网方式,客户可以自由的在覆盖区域内,如商场银行营业厅、商场大堂、会议室等,通过智能手机、便携式笔记本电脑,随心所欲、多样式的实现互联网应用。广西联通属于企事业单位
大量的大、中、小型企事业单位需要给员工提供Wi-Fi网络,同时需要针对员工使用Wi-Fi进行安全认证,针对访客提供可管控、可索源的Wi-Fi管理系统,提升企业Wi-Fi网络安全,同时使访客安全快捷的使用Wi-Fi网络。
大量的企业使用Wi-Fi网络来提升服务、构建安全的网络访问,这些企业一般均采用本地自建Wi-Fi管控系统或采用设备厂商的云端管控系统来完成Wi-Fi 网络的管理和运营,这两种方式均存在各自的问题:
(1)平台成本、运维成本高
自建Wi-Fi管控系统需要本地架设服务器、购买Wi-Fi管控系统、招聘Wi-Fi管控系统的运维管控人员。软硬件投资成本偏高,运维管控人员成本居高不下,而且运维管控人员只能做现象级别的维护,深层次的维护还需要Wi-Fi管控系统的厂家来支持维护,后续的厂家的维护费用也是一笔不小的开支。自建Wi-Fi管控系统投入较大。
(2)兼容性差
设备厂商的Wi-Fi云端管控系统为云端部署,各设备厂商仅仅支持自家的设备,面对企业各种的品牌Wi-Fi设备,支持不够齐全,而且设备厂商的主要目的的销售自家的Wi-Fi设备,而不是面向企业提供更精细化服务,这是厂家云端管控平台先天的不足。设备厂商的Wi-Fi云端管控系统存在明显的局限性。
云Wi-Fi系统建设将作为广西联通Wi-Fi建设的标志之一,助力各ICT客户、提升客户服务质量成为重要的服务系统,同时还将成为各ICT客户办公系统的重要组成部分,为拓展移动办公业务创造条件,为联通的收入营收贡献一份力量。
云Wi-Fi系统的投产除了满足各ICT客户的应用需求外,还可利用其系统能力拓展更多的银行、行政事业服务单位用户,带来更多的线路收入。
方案总体规划
方案设计原则
本次的方案设计,以实现中国联通广西行业云WiFi工程项目的Portal认证系统的建设为总体目标,结合广西联通的实际使用情况和未来发展需求,对系统建设以及整体保障贯彻以下原则:技术的先进性和成熟性
采用国际、国内先进实用的技术,选择目前和未来一定时期内有代表性和先进性的成熟安全、网络、系统技术,实现安全、网络、系统先进性和成熟性的统一,保证当前系统的高可靠运行,满足系统在很长生命周期内有持续的可维护和可扩展。
开放性和标准化
在本次方案涉及的系统产品、技术的选型坚持标准化原则,既符合国家标准和国际标准,又满足主流的实用化工业标准。系统能够支持多种标准、协议和接口,可以与现有和未来的系统互联。
可扩展性
充分考虑信息技术的飞速发展变化和无线WiFi网络规模的扩大,确保系统的设计和实施具有良好的扩展性,能够满足不断发展的需要,可以灵活地适应未来需求的调整和变化,充分保护当前的投资和利益。网络、安全、系统的设计选型要保证:端口可扩展,关键设备、组件可扩展,全面支持各种标准,以保证整个系统的可扩展性。
实用性
大量的大、中、小型商业场所需要给客户提供Wi-Fi网络、给收银POST机提供网络支持、通过Wi-Fi网络入口为商业场所提供移动营销服务,如:短信认证手机营销、微信公众号吸粉、优惠券领取、离店后的二次短信微信互动营销。
经济性
云Wi-Fi综合系统建成后,将从以下几个方面融入到企业的核心网络中去,为运营带来可持续化的收入。
方案组件
硬件系统
1) 防火墙(利旧1台)2) 交换机(利旧1台)
3) 服务器(利旧1台)
1. 建设方案
1.1 系统网络架构
(A)项目网络总体结构如图4.3.1所示。
图4.3.1 网络总体结构图
(1)在联通数据中心机房建设云Wi-Fi虚拟化平台。
(2)云Wi-Fi平台包括基础云平台、Portal集群、Radius集群、运营管控系统、智能营销系统、上网行为管控系统、网管监控系统。
(3)目标客户包括商场、企业、营业厅场所等,均通过云Wi-Fi网关统一接入到云Wi-Fi系统,实现统一认证管控。
(B)项目网络总体结构如图4.3.1所示。
云WiFi分层体系为数据层、业务层、网络层。其中:
Ø 数据层:主要负责数据的存储、缓存、队列的功能,数据库的部署应用。
Ø 业务层:完成Portal认证系统的主要功能专区,其中包括认证系统、广告推送与注入、系统业务的集成与管理等。
Ø 网络层:负责网络层的数据传输,以及系统与网络设备的通信层面。
对外服务层:负责提供网络接入、认证端口、集成接口的支持。
1.1 基础云平台管控系统
1.1.1 基础云平台管控系统业务功能
基础云平台管控系统是整个云Wi-Fi的系统基础构架平台,需要在基础硬件上构建整个云Wi-Fi的虚拟化平台,为以下各系统提供可运维、可管控、可扩展的云计算环境,它主要实现如下功能:
1)物理硬件的虚拟化
2)虚拟机的创建、编辑、删除
3)虚拟机的运行、暂停、终止、克隆、迁移、镜像、备份
4)虚拟机的状态监控
5)冗余的网络出口
6)7层HTTP负载均衡
7)7层HTTP缓存调度
8)DNS调度均衡
9)统一的文件存储服务
10)统一的图片裁剪和自适应
11)3层网络负载均衡
1.1.1 基础云平台管控系统部署
基础云平台管控系统部署支持如下方式:
1)多台物理硬件集群部署
基础云平台管控系统自带Linux操作系统,它接管物理硬件,在物理硬件上进行虚拟化管理,同时可以将多台虚拟化成一个集群操作系统。
2)虚拟化防火墙部署
基础云平台管控系统在每台物理虚拟机云平台上提供防火墙虚拟机,由该虚拟机对云内网各业务平台进行网络层面控制,包括keepalive冗余和3层网络层的负载均衡。
3)7层HTTP集群部署
基础云平台管控系统在每台物理虚拟机云平台上提供7层集群虚拟机,由该虚拟机对云内网各业务平台进行7层HTTP协议的负载均衡。
4)统一存储部署
基础云平台管控系统在每台物理虚拟机物理层面上提供统一的存储支持服务,各业务虚拟机直接通过磁盘IO即可进行访问统一存储服务,该统一存储需要支持碎片化、条带化存储。
1.1 Portal系统
1.1.1 Portal业务流程
系统接入主要涉及Portal认证流程,业务认证流程见下图所示。
图3.2.1 业务认证流程
业务流程描述如下:
(1)用户访问网络时,AC将用户重定向到Portal页面;
(2)用户输入手机号和动态密码,并提交页面;
(3)Portal将用户的认证信息提交给AC;
(4)AC发送Access-Request消息(包含账号、密码等)到Radius;
(4)Radius收到AC的Access-Request消息后,对用户信息进行认证鉴权。如果通过则返回Access-Response(Reject)消息给AC,否则返回Access-Response(Accept)消息给AC;
(5)AC将认证结果返回给Portal;
(6)Portal向用户展现认证结果。
1.1.1 Portal功能
1.1.1.1 Portal业务功能
Portal应用服务系统模块应实现如下功能:
1)Portal推送
采用WEB认证方式,需要提供灵活的Portal页面推送功能,同时密码的下发由短信网关同步完成,当用户认证成功同时推送至指定网页。
2)个性Portal
支持每个企业拥有一套独立的Portal,每个Portal的具备独立的可编辑、管理的WEB管理操作界面。
3)Portal页面终端自适应
支持自动适应不同手持无线终端:笔记本电脑,手机(包括IOS系统、安卓系统、Windows Mobile等系统)或PDA终端推送相应外观大小的Portal页面。
4)Portal用户自主注册
可以认证Portal页面实现用户自主注册功能。
5)Portal页面自定义
支持每个企业PORTAL页面可自定义图片、文字等。
6)Portal认证方式可自定义
支持每个企业自行定义各自的用户认证方式,支持短信、微信、用户名密码、密码、一键认证、二维码扫码认证、二维码授权认证、802.1X认证。
7)Portal模版
支持多种模版,方便每个企业自行选择模版,避免重复设定页面,快速上线业务。
8)Portal广告
支持Portal广告图片、广告视频管理,支持广告图片轮播,视频的播放管理。
9)Portal跳转页
支持Portal前置跳转页和后置跳转页,前置跳转页为认证前的主动跳转页,由跳转页的页面提示引导进入Portal认证,后置跳转页为认证成功后的主动跳转页,比如商户的主页。
10)Portal认证协议
支持中国移动CMCC Portal 2.0协议标准和国际WISPr Portal 2.0协议标准,可以与各种AC控制器对接认证支持。
1.1.1.2 Portal系统部署
Portal应用的系统部署支持如下方式:
1)集群部署
2)CMCC Portal 2.0协议支持
3)WISPr Portal 2.0协议支持
4)第三方认证协议支持
5)Portal协议的自适配
6)Portal系统多级缓存部署
7)系统处理能力
1.1 Radius认证系统
1.1.1 Radius业务流程
系统接入主要涉及Radius认证流程,业务认证流程见下图所示。
说明:
1) 本图为RADIUS协议标准交互图,云Wi-Fi系统也遵循该协议标准
2) 本图中的NAS对应到云Wi-Fi中,为AC控制器
3) 本图的RADIUS为Wi-Fi的认证中心
4) AC收到Portal用户的认证请求后,向radius发出Access-Request(code=1)的认证请求报文;
5) radius向 AC发出相应的 Access-Accept(认证通过)或 Access-Reject(认证失败)响应报文;
6) AC根据radius发回的属性对用户进行授权配置
7) AC向radius发出Accounting-Request(code=4/start)的计费开始请求报文,radius发回相应的计费响应报文
8) 用户上网过程中,AC定时向radius发出 Accounting-Request(Interim-Update)实时计费请求,radius发回相应的计费响应报文
9) 用户提出下线请求或者用户长时间不用,闲置掉线后,AC向radius发送ting-Request(stop)计费结束请求报文,RADIUS发回相应的计费响应报文,AC收到iSCP的计费结束响应报文后,断开用户连接,此时用户下线。
1.1.2 Radius功能
1.1.2.1 Radius业务功能
Radius认证系统模块应实现如下功能:1)PAP/CHAP认证
系统支持PAP/CHAP方式认证,针对各AC或者网关的PAP/CHAP认证方式均可以支持。
2)802.1X认证
系统支持802.1X方式认证,针对各AC或者网关的802.1X认证方式均可以支持。
3)用户名和密码认证
系统支持用户名和密码方式的认证,针对短信认证、微信认证、一键认证、二维码扫码认证、二维码授权认证的各种类型,最终在Radius层面上演变为用户名和密码认证,系统支持用户名和密码方式的本地数据库存储认证。
4)Windows AD域/LDAP认证
系统支持Windows AD域和LDAP方式认证,针对这类的用户认证,由于Windows AD域和LDAP有可能部署到用户内网,故需要用户内网与云端建立专用隧道进行三层互通,从而保证与企业的Windows AD域/LDAP域进行融合认证。
5)多次认证
系统支持用户的帐号和密码的N次认证,当第N+1个终端进行认证的时候,系统将拒绝,从而对上层实现多终端认证,当N=1的时候,系统实现唯一终端认证。
6)认证带宽授权
系统支持认证成功后的用户,授权特定大小的带宽,系统内置多种带宽策略,比如4M、8M、10M、100M,当用户认证成功后,可以根据预先设定的带宽策略进行下发QoS带宽,对客户的互联网出口带宽进行每终端限流。
7)认证策略授权
系统支持认证成功后的用户,授权VLAN和特定ACL,该VLAN和ACL需要AC设备或者网关支持,遵循国际标准的AAA协议的设备,均可以支持VLAN和特定ACL授权。
8)用户上网会话记录
系统支持认证成功后的用户,记录上线会话信息、心跳会话信息、下线会话信息,这些信息包括用户名、终端MAC地址、AP的MAC地址、会话唯一标准、NAS的IP、用户的IP、上线时刻、下线时刻、会话时间、上行流量、下行流量、上行字节、下行字节、掉线原因等信息。
9)用户在线记录
系统支持认证在线会话查询,允许查询当前在线的用户会话信息,从而给用户容量做实时统计,同时针对N次认证提供判别标准。
10)强制下线
系统支持认证认证成功用户会话的强制踢掉功能,按照AAA扩展协议的DM协议规范,将AC设备或者网关设备的用户会话强制下线。
11)在线调整策略
系统支持认证认证成功用户会话的在线实时修改,比如用户认证成功后,系统可以实时修改它的QoS带宽属性,可以实时修改它的VLAN信息和ACL信息。
12)会话记录的第三方传送
系统支持异步队列,针对第三方业务系统,可以实时推送用户的上网会话信息,将用户终端的上线、心跳、下线信息实时推送到第三方业务系统,从而实现与第三方系统的实时联动,比如CRM联动。
13)会话记录syslog输出
系统可以实时通过syslog协议方式推送用户的上网会话信息到大数据统计分析平台,将云Wi-Fi的用户上网信息与其它信息进行融合分析。
1.1.2.2 Radius系统部署
Radius应用的系统部署支持如下方式:
1)集群部署
云Wi-Fi综合系统面向全省用户,按照每秒3000用户认证用户计算,系统需要做集群和冗余部署,多台Radius系统集群对外提供服务,从而避免单台Radius的失效导致认证故障。系统需要提供多级认证保证体系,确保认证7*24小时不间断。
系统采用Radius代理热备、认证授权集群、记账集群三级构架确保系统高并发、大容量认证。
2)Radius代理热备
根据Radius协议的主备属性,系统需要设置主Radius代理和备份Radius代理,由代理来根据认证和记账集群分发。
3)认证授权集群
Radius认证授权服务器支持多台部署,而且随着用户量增大,可以平滑扩充部署新的服务器来完成扩容,它由Radius代理进行转发认证并响应授权。
4)记账集群
Radius记账服务器支持多台部署,而且随着用户量增大,可以平滑扩充部署新的记账服务器来完成用户会话记录的存储,它由Radius代理进行转发记账包。
5)集群心跳检测
Radius的认证授权集群和Radius的记账集群的各服务器间需要与Radius代理间保持心跳,当集群的某台服务器失效时,将有Radius代理将请求包调度到另外服务器,当失效的服务器恢复时,Radius代理重新调度请求到恢复的有效服务器上。
6)系统处理能力
系统承载用户量1200万,Radius处理能力3000次/秒。
1.2 运营管控系统
1.2.1 运营管控业务流程
运营管控系统为WEB管理界面,分成多级管理,包括云Wi-Fi后台管理、用户一级管理平台、用户二级管理平台、用户三级管理平台、门店管理平台、对外接口管理系统等,管理系统总体结构如下:
说明:
(1)云Wi-Fi管理平台为整个系统的WEB管理界面,通过它可以开设多个用户多级管理平台。
(2)用户多级管理平台包括三级管理,用户总部级管理平台、用户分支机构管理平台、门店管理平台。每一级管理平台均可以开设下一级管理平台,从 而实现分级管理和查看,上一级可以一键切换进入到下级管理平台。
(3)门店管理系统是最基础管理系统,包括对Wi-Fi用户管控、Portal界面设置、Portal模版设置、广告设置、认证策略设置、短信认证设置、微信认证设置、第三方接口设置、数据统计分析平台。
1.2.2 运营管控功能
1.2.2.1 云Wi-Fi平台总平台管理功能
云Wi-Fi平台总平台管理功能,包括如下功能点:
1)多级管理平台注册开通
系统支持多级管理平台的开设增加,可以设定多级管理平台的三级管理平台组织机构,可以为多个客户(比如建设银行、百盛商场)开设各自的多级管理平台。
2)多级平台平台查看和一键登录切换
系统支持查看当前系统的多级管理平台列表,可以对多级管理平台的注册开通信息进行修改,可以一键登录切换到客户的多级管理平台上。
3)Portal系统的模版管理
系统支持Portal模版的增加、删除、修改,同时可以针对模版进行客户授权,可以授权客户使用那些Portal模版。
4)带宽QoS的管理
系统统一的带宽QoS授权策略管理,增加、删除、修改带宽QoS授权,包括上行带宽、下行带宽。
5)第三方AC或者认证网关管理
系统可以针对第三方接入的AC网关(支持中国移动Portal 2.0或者WISPr Portal 2.0 协议标准)进行管理,包括增加、删除、修改。内容包括网关的IP地址、通信密钥、名称等信息。
6)系统参数设定
系统可以设定各种配置参数,以达到平台的各种配置需求,比如设定页面颜色、会话清单的保存周期、统计间隔、管理页面风格。
7)系统日志查看
系统需要支持详尽的操作日志、认证日志,包括多级账户的开设、帐号每次认证的错误原因、管路员操作的详细日志记录,做到可以追溯。
8)权限角色管理
系统支持角色分组和管理员分级管理,系统可以自定义角色管理,支持每个角色管理有哪些功能,管路员的增加、删除、修改,每个管理员归属哪个角色组。
9)权限角色管理
系统支持角色分组和管理员分级管理,系统可以自定义角色管理,支持每个角色管理有哪些功能,管路员的增加、删除、修改,每个管理员归属哪个角色组。
10)短信平台设置
系统内置有短信平台,支持开设短信发送平台,支持设定短信发送间隔、单IP每次发送限制。短信平台的发送记录清单、短信发送队列等查看。
11)用户侧网关管理
系统支持对用户侧的网关进行自助注册管理,支持用户侧网关绑定到门店系统,管理员可以解绑或者转移绑定到其它门店,当设备更换、新增加设备网关的时候,均可以通过总平台进行操作管理。
12)用户管理
系统支持对用户认证的帐号和密码进行管理,包括查看列表、修改用户资料、修改用户密码、锁定用户、设置用户为黑名单、设置用户为白名单、删除用户,所以的Portal各种认证方式均表现为用户的登录,云Wi-Fi总管理平台可以针对所有账号进行管控。
13)用户统计
系统支持统计用户注册量统计、新增量统计、在线率统计、终端类型统计,支持年月日方式分区间统计。系统支持按照门店、多级管理平台进行分开统计,从而输出用户的统计详细记录。
14)系统维护
系统支持数据库在线备份管理、会话历史数据清理、高速认证缓存清理、、日志数据清理等系统级别维护。
1.2.2.2 云Wi-Fi平台多级平台管理功能
云Wi-Fi平台多级管理平台包括一级管理平台、二级管理平台、三级管理管理平台,它们的管理功能包括如下功能点:
1)子级管理平台注册开通
系统支持子级管理平台的开设增加,可以设定下一级管理平台,可以为当前客户(比如建设银行、百盛商场)开设各自的子级管理平台。比如建设银行总部平台可以开设建行南宁二级平台、柳州二级平台。
2)子级平台平台查看和一键登录切换
系统支持查看当前系统的子级管理平台列表,可以对多级管理平台的注册开通信息进行修改,可以一键登录切换到客户的下一级管理平台上。
3)Portal系统的模版管理
系统支持Portal模版的挑选和分配,同时可以针对模版进行下一级授权,可以授权下一级使用那些Portal模版,默认下一级全部拥有所有模版。
4)用户侧网关管理
系统支持对用户侧的网关进行绑定、解绑、转移绑定到其它门店,当设备更换、新增加设备网关的时候,均可以通过当前级别平台进行操作管理。
5)用户管理
系统支持对用户认证的帐号进行查看,分别查看注册用户列表、来访用户列表。
6)用户统计
系统支持统计用户注册量统计、新增量统计、在线率统计、终端类型统计,支持年月日方式分区间统计。系统支持按照门店、多级管理平台进行分开统计,从而输出用户的统计详细记录。
7)基本参数设置
系统支持自行修改自己的注册信息,同时允许修改自己的登录密码,方便本级管理员管理自己的系统平台。
1.2.2.3 云Wi-Fi的商业Wi-Fi管理平台
云Wi-Fi平台门店管理平台是系统最基础的管理单位,根据门店的商业属性,分成企业Wi-Fi管理和商业Wi-Fi管理,商业Wi-Fi管理功能包括如下功能点:
1)在线用户
系统在线用户查看,可以查看用户名、MAC地址、终端类型、上线时间、上行流量、下行流量,可以针对上线用户进行强制下线。
2)注册用户
系统支持本店的注册用户查看,包括注册用户名、注册时的类型(短信、微信等等)、注册来源地、注册时间等等。
3)来访用户
系统支持查看本店的来访用户,用户有可能不是从本店注册的,有可能从云Wi-Fi平台其它店铺注册过来,但是从本店上网的,均可以在本店铺上查看。
4)黑名单
系统支持MAC黑名单和用户名黑名单,只要命中这两个匹配项,用户终端将无法上网。
5)白名单
系统支持MAC白名单和用户名白名单,只要命中这两个匹配项,用户终端将无需密码,直接登录上网,甚至是无感知认证上网(在MAC白名单情况下)。
6)Portal系统的模版设置
系统支持管理员选择并设置Portal模版,并提供设置向导允许用户根据向导来设置模版上的相关参数,比如广告图片、登录方式、产品展示等等。
7)设备模版控制
系统可以设定用户侧网关、AC控制下属的AP是否开启Portal认证,如果开启Portal认证,则是否开启本模版验证。
8)轮播广告管理
系统可以加载多张广告图片,允许管理员设定是否进行广告轮播,每次轮播的时间间隔。
9)用户侧网关管理
系统可以对接多台用户侧的网关,每台网关可以进行地理位置描点,管理员可以设定是否开启Portal认证,同时可以查看该网关下的所有认证用户。可以强制该网关上单个用户下线,或者强制网关上所有用户下线,可以该网关的每用户上网的最大时长和次数。
10)系统参数设定
系统可以设定商家的基本信息、修改商家登录的密码、商家的LOGO和门头照。
11)商家带宽QoS设定
系统可以设定该商家下的单用户带宽,当用户从本商家的Wi-Fi热点登录的时候,它拥有的本商家设定的带宽。
12)商家认证前、认证后跳转链接
系统可以设定认证前跳转和认证后的跳转链接,从而引导用户认证前跳转和认证后跳转,尤其是认证后,可以设定跳转到商家的官方网站。
13)商家的二次透明认证
系统支持用户二次透明热证,面向老客户连接Wi-Fi的时候,无需输入用户名和密码,自动跳转到登录后连接,从而实现用户到商家店铺后,自动弹出商家的官方网站。
14)商家的云漫游认证
系统默认是关闭云漫游认证的,如果开启云漫游认证的话,在云Wi-Fi平台上的用户,均可以自由登录到任何一个商家店铺的Wi-Fi网络上,无需输入账号和密码。
15)微信认证参数设定
系统支持对微信认证的参数设定,支持多种微信认证模式,包括微信连Wi-Fi、微信关注立刻认证、微信点击链接认证等三种认证。
16)短信认证
系统支持短信认证,需要支持国内阿里大于、阿里云通信、漫道通信、云通信、乐信等短信通道,支持这些短信通道的短信发送。
17)短信营销平台
系统支持针对短信认证的用户进行二次短信发送营销,通过编辑短信内容,直接通过短信通道下发到用户手机上,同时需要支持短信PUSH,当用户进入店铺并认证成功后,系统可以PUSH一条短信到用户手机上,从而实现短信的到店营销。
18)第三方推送
系统支持将用户的信息推送给第三方,该推送为实时推送,实现用户到店即可推送用户的用户名、MAC地址等信息到用户的第三方系统上,比如CRM系统。
1.2.2.4 云Wi-Fi的企业Wi-Fi管理平台
云Wi-Fi平台门店管理平台是系统最基础的管理单位,根据门店的商业属性,分成企业Wi-Fi管理和商业Wi-Fi管理,企业Wi-Fi管理功能包括如下功能点:
企业Wi-Fi管理平台按照用户划分为访客、员工、会议三种类型,根据三种类型进行区分认证。
1)在线列表
系统在线列表可以查看访客在线列表、员工在线列表、会议在线列表。
2)未在线列表
系统支持查看已经关联上AC,但是还没有认证通过的终端列表,以方便系统管理员查看当前AC上有多少终端。
3)黑名单
系统支持MAC黑名单和用户名黑名单,只要命中这两个匹配项,用户终端将无法上网。
4)白名单
系统支持MAC白名单和用户名白名单,只要命中这两个匹配项,用户终端将无需密码,直接登录上网,甚至是无感知认证上网(在MAC白名单情况下)。
5)员工分组管理
系统支持针对员工进行划分组别,每个分组有不同的网络权限,比如QoS带宽权限、 VLAN权限、授权策略权限、用户最大上网终端数等。
6)员工上网参数设定
系统支持针对员工上网限制终端类型、终端数量、员工的认证频率等。
7)员工管理
员工管理包括员工导入、员工增加账户、员工编辑账户、员工删除账户、显示员工终端列表、删除员工终端、手工增加员工终端、一次性导入员工终端等功能。
8)员工密码修改
员工密码修改包括强制修改、通过邮箱找回密码、通过短信找回密码、首次登陆自行修改密码。
9)员工上网记录
员工的每次上网会话均记录在列表,同时针对每次会话的上网清单也可以查询到。
10)访客列表
历史的访客均可以在列表中显示出来,同时可以统计查询出访客的上网次数、上网的总消耗流量、上网的网络访问日志。
11)访客授权日志
针对访客进行二维码授权上网的访问日志记录,系统是可以查询并显示所有的授权上网日志,同时系统可以设定访客最大上网时间。
12)访上网记录
访客的每次上网均记录在列表,同时针对每次会话的上网清单也可以查询到。
13)会议室管理
系统可以创建多个二维码扫码认证的会议室,可以给每个会议室设定上网时间段和上网时长,从而确保每个会议室能有效上网并合理利用上网时间。
14)访客上网设置
系统可以设定访客的上网时长、访客上网的时间段、访客上网的特定VLAN、访客上网的最大带宽QoS等参数。
15)微信连Wi-Fi参数设置
系统可以管理微信连Wi-Fi的参数设定,可以控制是否强制吸粉等功能。
16)AP管理和用户侧网关管理
系统可以管理AP或者用户侧的网关,增加、删除、自动注册AP和网关,同时可以根据AP和网关的位置进行分组设置。
17)Portal模版设定管理
系统可以统一设定Portal显示模版,同时也可以根据AP和网关的分组来设定模版,每个模版可以设定滚动广告、视频广告、认证方式等。
18)Portal模版参数管理
Portal模版可以设定多张广告图,可设定为轮播;同时可以嵌入视频广告;设定模版是否开启员工和访客认证;设定是否允许PC、手机终端登录等,从而控制用户的上网方式。
19)Windows AD域/802.1X对接认证
系统可以设定与本地的Windows AD域/802.1X联动认证,配置相关参数即可使本地对接用户侧的用户数据库。
20)管理员管理和权限组划分
企业Wi-Fi管理可能涉及到多个管理员,每个管理员管理的功能权限都可以设定,从而将管理工作划分开,责权分离。
21)系统基本参数设定
设定跳转后连接URL、设定跨域SSID不允许认证、设定企业邮箱等基本参数设定。
22)短信认证
系统支持短信认证,需要支持国内阿里大于、阿里云通信、漫道通信、云通信、乐信等短信通道,支持这些短信通道的短信发送。
23)短信营销平台
系统支持针对短信认证的用户进行二次短信发送营销,通过编辑短信内容,直接通过短信通道下发到用户手机上,同时需要支持短信PUSH,当用户进入店铺并认证成功后,系统可以PUSH一条短信到用户手机上,从而实现短信的到店营销。
1.3 符合网监规范的上网行为管理系统
1.3.1 上网行为采集业务流程
上网行为采集系统主要涉及上网行为采集流程,上网行为采集流程见下图所示。
说明:
1) 用户通过认证后,用户基本信息(账号、MAC、IP等信息)会记录到云Wi-Fi中
2) 用户通过出口网关访问外网的时候,出口网关会记录下用户的NAT转换信息、HTTP访问信息等日志信息,并通过syslog方式传送云Wi-Fi上网行为采集系统上。
3) 云Wi-Fi采集服务器收集到用户的上网行为信息后,根据用户认证的基本信息匹配上网行为信息,整合完整后缓存到本地日志数据库。
4) 云Wi-Fi上网行为网监上传组件每天按照指定时间传送到网监上传接口服务器,同时对本地的数据做保留100天(该保留时间可以配置)处理;
1.3.2 上网行为功能
1.3.2.1 上网行为业务功能
上网行为业务模块应实现如下功能:
1)网关侧的上网行为采集
部署在客户本地网络的网关,采集用户的NAT会话日志、HTTP访问记录日志、QQ、微信、邮箱等访问日志并远程实时传送到云Wi-Fi平台。
NAT会话日志包括原IP、原端口、目标IP、目标端口、转换后IP、转换后端口、协议类型、访问时刻。
HTTP访问日志包括原IP、原端口、目标URL、访问时刻。
QQ/微信/邮箱访问日志包括原IP、原端口、QQ/微信/邮箱等信息、访问时刻
2)网关侧的上网行为传送
网关侧采集到上网行为的上网行为信息后,通过标准的syslog协议传送到云Wi-Fi采集系统,syslog协议走明文传送,它通过加密隧道传输到云Wi-Fi采集系统上。
3)云Wi-Fi的上网行为采集
云Wi-Fi采集到各网关传送的上网行为信息后,根据云Wi-Fi的用户认证信息进行匹配,按照网监的要求存储匹配完的信息,并记录到本地的上网行为数据库中。
4)云Wi-Fi的上网行为传送
云Wi-Fi根据网监的规范要求,将记录到本地的上网行为数据库按照网监要求定时定点传送到网监数据库中。
云Wi-Fi传送的网监数据包括AP的BSSID信息、场强信息、安装位置信息、位置联系人信息、用户上网账号、上网时间、上网的MAC地址、上网流量、上网访问的URL信息等等,详细请参照广西区网监的信息要求。
5)云Wi-Fi的上网行为定时清理
云Wi-Fi根据网监的规范要求,本地不能长时间记录用户的上网行为信息,故要求定期清理用户的上网行为记录,一般建议清理周期为100天。
1.3.2.2 上网行为管理系统部署
云Wi-Fi上网行为管理系统部署支持如下方式:1)采集器集群部署
云Wi-Fi综合系统采集广西全区所有商业客户的上网行为记录,按照规划1200万用户来计算,云Wi-Fi上网采集系统需要做多台集群部署,确保采集的上网行为记录不丢失。
2)上网行为存储部署
上网行为预先按照文本方式进行分时间点、分网关设备、分客户继续文件系统存储,当订单传送的时候,数据需要结合认证数据库中的用户信息数据进行整合,然后写入到上网行为库中,需要部署高容量的存储设备和等待数据传送的数据库。
3)上网行为传送部署
上网行为数据需要定时传送到网监传送接口服务器,该传送需要具备容错机制,当传输失败或者对方无响应式,需要等待并延时重传,部署双机冗余系统和数字专线确保日志传送的及时和可靠性,通过数字专线确保传送的数据的安全性。
1.4 综合网管报警系统
1.4.1 综合网管报警系统业务流程
为提高云Wi-Fi平台的服务质量和故障第一时间预警机制,云Wi-Fi平台提供综合网管报警系统,它的业务流程如下:
说明:
1) 每个出口网关内置zabbix网管监控引擎,由zabbix网管引擎采集监控数据,实时上报到云Wi-Fi网管平台。
2) 云Wi-Fi网管平台实时收集网关传送过来的数据,存储在网管平台上,根据预先设定的规则,一旦触发报警规则,则触发报警短信进行发送或者触发报警邮件进行发送。
3) 云Wi-Fi网管平台根据预先设定的规则,可以实时探测网关的网络通畅性或者各网关下属的AP的网络通畅性,同时监控各自的用户负载、网络负载,一旦超过预先设定的阀值,则触发报警短信进行发送或者触发报警邮件进行发送。
4) 云Wi-Fi网管平台提供图形化的WEB管理界面,方便管理员进行监控管理和日常维护处理。
1.4.2 综合网管报警功能
1.4.2.1 综合网管报警功能
综合网管报警系统业务模块应实现如下功能:
1)网关的网关的网络通断性检测
云Wi-Fi网管系统自动监控网关的网络连通性,当网络出现光纤中断、设备硬件故障等原因的时候,系统针对网关实时进行发送短信或者邮件报警通知。
2)网关的AP的网络通断性检测
云Wi-Fi网管系统自动监控网关下管理的AP的网络连通性,当AP出现硬件故障、或者PoE交换机出现故障导致无法管理AP的时候,系统针对网关的AP实时发送短信或者邮件报警通知。
3)网关在线用户量为0检测
云Wi-Fi网管系统自动监控网关下认证用户,当网关的认证用户量为0的时候,系统持续监控,在指定时间内长期为0的,系统则立刻实时发送短信或者邮件报警通知。
4)网关流量为0检测
云Wi-Fi网管系统自动监控网关的下行流量,当网关的下行流量趋近为0的时候,系统持续监控,在指定时间内长期为0的,系统则立刻实时发送短信或者邮件报警通知。
5)分用户、分区域管控
云Wi-Fi网管系统根据网关属性,可以划分网关分组、划分地域等区域分组,从而根据分管理员分区域来进行维护管理。
6)网络流量、CPU负载等曲线图
云Wi-Fi网管系统可以实时记录各主机的网络流量(上行流量、下行流量)、CPU负载、磁盘负载等曲线图,可以分年、月、日来分别查看,方便管理员进行维护管理。
7)基于GIS地图的设备状态监控
云Wi-Fi网管系统带有GIS地图实时点位监控图,将设备投放到地图上,方便运维监控人员实时查看并维护处理。
8)基于语音、短信、邮箱的报警体系
云Wi-Fi网管系统带有语音报警、短信报警、邮箱报警。
1.4.2.2 综合网管管理系统部署
云Wi-Fi综合网管管理系统部署支持如下方式:
1)网关侧网管监控引擎部署
云Wi-Fi综合网管监控引擎内置在用户侧网关中,随网关系统发行直接内置进入,网关上需要配置综合网管的管理IP地址,网关即可将网管监控的数据传输到云Wi-Fi综合网管系统中。
2)综合网管管理系统部署
综合网管管理系统部署到双机冗余的虚拟机上,由它来负责对全网的网关进行统一管理和控制,同时提供WEB管理侧以供管理员进行管理和维护。
3)综合网管报警器和外部API接口服务器部署
综合网管系统单独部署一个虚拟机,由它来负责发送报警语音、报警短信、报警邮件等信息。
1.5 商业智能营销系统
1.5.1 商业智能营销系统功能
商业智能营销系统是整个云Wi-Fi的大数据二次营销系统,结合云Wi-Fi线下实体店铺位置坐标和商业属性和线上的数据采集和统计分析,它主要实现如下功能:
1)Portal广告营销
云Wi-Fi作为Wi-Fi的入口,Portal广告是100%展现的,通过Portal广告进行品牌广告投放,拥有超高的曝光量。按照1200W用户的设计规模,10%的活跃度情况下,预计120W的UV和月100的PV。
2)微信吸粉营销
云Wi-Fi作为Wi-Fi的入口,Portal页面可内置微信连Wi-Fi功能,用户连接Wi-Fi成功后必须关注后方可以上网,从而为线下店铺提供微信粉丝营销,按照日活跃120W用户计算,采用微信连Wi-Fi并吸粉的用户预计占50%,达到日活跃60W微信吸粉量。
3)短信推送广告
云Wi-Fi系统支持用户认证通过后,主动推送短信营销,根据用户认证的手机号码进行推送周边的优惠活动,按照120W用户的日活跃度来计算,按照0.5%的转化率计算的话,预计转化率在6W用户左右。
4)客流分析报告营销
云Wi-Fi系统支持指定区域内的客流分析统计,将客流的区域热度进行图形展示,给商业业态提供线下营销指导,比如调整经营位置、提高店铺租金等等。
5)大数据营销
云Wi-Fi系统是Wi-Fi的入口,它获客成本低廉,而且很容易积累大量的用户,根据这些用户我们可以对外提供数据接口,第三方应用系统通过接口查询方式来获取用户的数据信息,从而实现大数据营销。收费模型可以按照万人次收取。
1.5.2 商业智能营销系统安装部署
1)微信营销服务器
云Wi-Fi微信营销服务器对外提供WEB自助注册界面,允许广告商自行提交微信号进行推广注册,预计吸收10W的微信公众号推广量,系统进行主备冗余部署即可。
2)短信营销服务器
云Wi-Fi短信营销对外提供自助发送短信广告和查询发送报告的界面,允许广告商自行提交申请发送请求,由系统自动匹配商业形态进行触发发送。
同时云Wi-Fi短信触发营销服务,提供商家自助编辑触发营销短信内容,由系统自动触发并发送短信内容到客户手机上。
系统进行主备冗余部署即可。
3)大数据营销查询接口
云Wi-Fi大数据营销查询接口服务器进行集群部署,预计1200W用户会产生大量的用户使用轨迹信息,按照每天10亿次的查询请求量来部署大数据查询接口。
关键技术方案
数据库的建设过程
数据库系统
时讯WIFI云平台采用的数据库操作系统为Oracle 数据库。ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。比如SilverStream就是基于数据库的一种中间件。ORACLE数据库是目前世界上使用最为广泛的数据库管理系统,作为一个通用的数据库系统,它具有完整的数据管理功能;作为一个关系数据库,它是一个完备关系的产品;作为分布式数据库它实现了分布式处理功能。
Oracle数据库12c 引入了一个新的多承租方架构,使用该架构可轻松部署和管理数据库云。此外,一些创新特性可最大限度地提高资源使用率和灵活性,如Oracle Multitenant可快速整合多个数据库,而Automatic Data Optimization和Heat Map能以更高的密度压缩数据和对数据分层。这些独一无二的技术进步再加上在可用性、安全性和大数据支持方面的主要增强,使得Oracle数据库12c 成为私有云和公有云部署的理想平台。
数据库架构设计
相比较其他友商的数据设计,时讯云平台数据库的架构设计在用户认证、查询使用中,都具有更快速的响应、更高的可冗余保证性的特点。
时讯云平台数据库功能优势
本系统采用认证数据库+统计数据库,两个数据库同时分担认证和统计查询两类需求的设计。这种设计的优势在于,当生产数据量不断增大时,统计查询对运行的业务不产生任何影响,同时内置的自动分表功能程序将大大提高数据导出或事实数据同步的效率。
Protal系统操作流程
客户端连接SSID获取无线网络IP地址,并发送HTTP访问请求,由无线控制器(网关)拦截客户请求,并发送302跳转信息,携带Portatl系统地址;客户端收到302跳转信息后,访问Portal系统地址,由Portal系统返回Portal界面到客户端。
Protal认证技术优势与特点
- 不需要部署客户端,直接使用WEB页面认证,使用方便
- 可以定制“VLAN+端口+IP地址池”粒度级别的个性化认证页面,同时可以在Portal页面上开展广告业务、服务选择和信息发布等内容,进行业务拓展,实现IP网络的运营
- 关注对用户的管理,可基于用户名与VLAN ID/IP/MAC的捆绑识别来认证,并采用Portal server和Portal client之间,BAS和Portal client之间定期发送握手报文的方式来进行断网检测
- 二次地址方式可以实现灵活的地址分配策略和计费策略,且能节省公网IP地址
- 三层认证方式可以跨越网络层对用户作认证,可以在企业网络出口或关键数据的入口作访问控制
认证系统操作流程
客户端获得Portal系统返回界面后,通过发送帐号密码(手机号,密码由短信、微信等形式获得)并提交给Portal系统,并由Portal系统携带帐号及密码想无线控制器发起认证请求;无线控制器收到来自Portal系统的认证请求信息后,想认证系统发起认证到认证系统,经过认证系统进行数据审核,会向无线控制器返回认证结果,并由无线控制器将认证结果返回给Portal系统,由Portal系统返回给客户端认证成功或者认证失败界面。
Portal产品设计优势
- 运行于Linux系统之上,采用J2EE进行开发。
- 支持PAP/CHAP认证方式
- 带宽、 VLAN控制,强制门户认证支持
- 支持用户强制下线、用户主动下线
- 支持管理界面可定制化管理
- 支持双机热备部署、支持负载均衡
- 支持主流网关WEB认证。
- 支持WiBAS系列的入网门户认证,支持无线WiFi WISPr WEB认证协议标准
- 内置Linux双机Keepalived部署,可进行多台集群部署,确保服务不宕机。
- 支持WEB Portal的多台负载均担,确保随着压力的增加,自动平滑插入机器完成超大规模的WEB认证。
- 内置防DDOS攻击,自动健康检查和自动修复系统
- 内置防范有意、无意的HTTP攻击,自动控制单机最大并发SYN连 接和TCP链接数,有效遏制HTTP的超大并发访问。
- 自动进行日志归档清理。
- 系统稳定可靠,可经年长时间无故障运行。
MAC认证设计
MAC认证介绍
MAC认证
以终端的MAC地址作为身份凭据到系统进行认证。启用MAC认证后,当终端接入网络时,网络准入设备提取终端MAC地址,并将该MAC地址作为用户名和密码进行认证。
通过MAC认证可实现二次用户无感知登陆上网。
MAC旁路认证
接入设备首先触发用户采用802.1x认证方式,如果用户长时间内没有进行802.1x认证,则以用户的MAC地址为认证信息,把MAC地址作为用户名和密码上送AAA服务器进行认证
应用场景
哑终端设备,如打印机、IP电话等,无法通过输入用户帐号信息的方式进行认证授权。
对某些特殊用户,希望“免认证”接入网络,用户不想通过输入用户帐号信息的方式完成认证,或二次无感知登陆。
广告推送流程
客户端访问Portal地址,Portal系统实时向广告系统查询广告,广告系统根据系统预先定制的广告策略,将已满足条件的广告返回给Portal系统,Portal系统将携带广告内容的界面推送给客户端显示。
广告注入流程
客户端发起一个HTTP网站的浏览请求,当网站返回页面请求内容后,经过广告注入网关,并被劫持;同时,注入网关向广告系统发送请求广告内容,又广告系统根据系统预先定制的广告策略,将已满足条件的广告返回给广告注入网关;注入网关将HTTP网站页面与广告内容整合后,返回给客户端并呈现。
北京时讯遨游网络科技有限公司,是一家创立于北京,致力于无线WiFi宽带网络设备研发、无线WiFi宽带网络媒体运营的新技术企业。公司由一批在宽带网业界从事多年的人士发起创建,凭借团队多年来服务于IT行业的技术实力和丰富的行业资源,提供一流的技术、产品和服务。
景区无线WIFI网络覆盖,酒店无线WIFI网络覆盖,学校无线WIFI网络覆盖,商超无线WIFI网络覆盖,银行无线WIFI网络覆盖,企业无线WIFI网络覆盖,工厂无线WIFI网络覆盖,仓库无线WIFI网络覆盖,政府无线WIFI网络覆盖,室内外无线WIFI网络覆盖,农场无线WIFI网络覆盖,加油站无线WIFI网络等
Wiradius是用户认证计费管理系统,采用国际标准协议RADIUS为基本支撑,可以实现对VOIP电话、网络接入、即时通信、电子商务网站提供认证、计帐、漫游、虚拟计费服务。是由北京时讯遨游网络科技有限公司研制出!
