• 时讯无线提供优质的WiFi无线网、宽带网准入和认证计费整体解决方案.

我的位置:

某某大学无线认证计费方案 > 无线认证计费 > 解决方案 > 时讯无线 >

某某大学无线认证计费方案

作者:「时讯无线」

发表于:

浏览:

  某某大学无线认证计费方案

  

一、背景

2014年9月上线某某大学的Wi-Fi Portal系统,由三部分组成,由华为的ME60网络接入设备、城市热点的DR.COM的认证计费系统、时讯网络的Portal系统,网络拓扑图如下:

 

 
业务认证流程如下:

1. 用户通过城域网汇集到ME60上做WEB认证,ME60推送到未认证用户到Portal服务器进行弹出页面显示认证界面。

2. 用户在Portal的认证界面上输入账号和密码,提交后,Portal按照CMCC协议进行封装发送请求到ME60,该协议交互为CMCC Portal 2.0协议。

3. ME60收到Portal发送的CMCC Portal 2.0协议后,提取到用户名和密码,然后向城市热点的认证计费中心发送认证请求,认证计费中心认证成功或者认证失败的时候,均向ME60反馈认证结果。

4. ME60收到认证反馈结果后,转换成CMCC Portal协议响应给Portal服务器,Portal服务器根据认证成功和失败的结果显示结果页面提示给用户,从而引导用户进行上网。

5. 用户在Portal服务器上有可能会存在修改密码的请求,该请求由用户提交到Portal服务器后,Portal服务器通过城市热点的协议接口来调用城市热点的用户修改密码接口来完成用户密码修改。


二、目前存在的问题

1. 网运部问题
城市热点AAA设备、北京时讯网络Portal设备目前均无维保。城市热点AAA设备一个礼拜平均会出现2次以上故障(用户余额无法显示、用户无法修改密码、关键进程宕机导致无法认证等问题),严重影响用户体验。且城市热点AAA当前型号厂家不再提供硬件及软件保修,需更换新型号设备才能进行维保。

2. 科区问题
由于Portal页面需不定期进行更新,每次更新都是将需更新内容发送给厂家,厂家再进行远程更新。

3. 认证方式新需求
根据新的业务需求,之前用户的帐号和密码都是预先到数据库开设好的,用户在Portal界面上需要输入预先开设好的帐号和密码进行认证,由于WEB认证存在用户间账号串用现象比较严重,且帐号密码不容易记录,影响用户体验,故现在需要改成通过手机号获取验证码这种方式来认证。

业务认证流程如下:
1. 用户手机连接WiFi后推送到Portal认证页面,Portal认证页面输入手机号,该手机号预先在认证库中做开户登记。

2. 用户在 Portal页面上用户输入手机号,点击获取验证码,该验证码会通过短信平台方式下发到用户手机上。

3. 用户收取到短信通知的验证码后,用户输入该验证,即可登录成功接入到互联网。

注意点:用户输入的手机号码,必须是预先进行开户登记的用户,方可以通过短信获取到验证码,否则提示非法用户。

三、改造目标

1. 新增AAA系统,该AAA版本自己携带Portal系统,它内置短信认证的Portal模版、内置短信发送、内置AAA认证计费系统。新系统采用Linux内核,相较于城市热点采用Windows系统,Linxu在安全性、稳定性、高效率方面表现更佳。

2. 根据分布到的不同上网区域的IP地址范围不同,本次升级将根据不同区域的显示不同的Portal页面,方便不同区域的用户分别接入到各自的Portal显示页面上。

3. 本次升级还将开放每个区域的广告管理界面,允许每个区域的管理员来查看和管理各自的用户和广告上传,管理自己的 Portal页面显示。

4. 本次将新增第三方短信平台发送平台,通过第三方短信平台下发密码到用户手机。

5. 华为的ME60需要改认证计费系统的接口到新的AAA-Portal系统上。

四、时讯WiFi认证计费平台产品介绍

4.1 基础云平台管控系统

4.1.1 基础云平台管控系统业务功能

 

 
基础云平台管控系统是整个云Wi-Fi的系统基础构架平台,需要在基础硬件上构建整个云Wi-Fi的虚拟化平台,为以下各系统提供可运维、可管控、可扩展的云计算环境,它主要实现如下功能:

1)物理硬件的虚拟化
基础云平台管控系统采用虚拟化技术,将多台物理机器的硬件进行虚拟化管理,将多台物理机器虚拟化成一个云端管控平台,将物理机器的CPU、内存、磁盘、网卡全部融合接管并虚拟化,对虚拟化的主机提供透明的使用资源。

2)虚拟机的创建、编辑、删除
基础云平台管控系统可以创建虚拟机、编辑虚拟机CPU、内存、资源、网卡等资源分配,同时也运行删除虚拟机。
为充分节省系统资源,虚拟机分成KVM虚拟化和半虚拟化LXC,从而根据业务场景的不同采用不同的虚拟化技术,以期将系统的资源发挥到极致。

3)虚拟机的运行、暂停、终止、克隆、迁移、镜像、备份
基础云平台管控系统可以设置虚拟机的启动状态,默认为不启动,也可以设置为随物理机器启动而启动,同时可以非常方便的通过管理界面控制虚拟机的运行、暂停和停机终止。

当增加新的物理服务器的时候,可以通过管理界面进行虚拟机的克隆或者一键迁移到新的物理服务器,以确保业务不间断运行。

虚拟机可以通过系统的定时任务来执行自动镜像、备份和定期备份任务,从而确保当系统故障的时候,可以由镜像或者备份系统来完成系统的瞬间恢复。

4)虚拟机的状态监控
基础云平台管控系统可以监控虚拟机的CPU、磁盘、内存、网卡的使用情况,可以查看实时和历史的状态情况,从而方便管理员根据系统执行情况来分配资源、进行资源调度。

5)冗余的网络出口
基础云平台管控系统支持统一的网络出口,它内置双网络虚拟化防火墙,由虚拟化防火墙对外提供统一的网络出口,当任何一台虚拟化防火墙出现故障的时候,另外一台自动接管,从而保证网络出口的不中断。

采用防火墙进行内外网隔离,将网络威胁、网络攻击、病毒工具、黑客攻击均阻隔在外网,保证内网的网络安全。

6)7层HTTP负载均衡
基础云平台管控系统提供基于HTTP协议的7层负载均衡管控,将内部的各种服务通过7层负载均衡器实现集群调度,从而实现系统的无缝和平滑扩容。

7)7层HTTP缓存调度
基础云平台管控系统提供基于HTTP协议的缓存调度,将业务系统的静态资源,比如图片、CSS控制、JS控制文件自动缓存到HTTP缓存器中,从云平台层自动加速整个业务平台,让业务平台只关注业务部署,同时为业务层的页面打开速度和网页响应速度成倍提高。

8)DNS调度均衡
基础云平台管控系统提供内置的DNS服务器,运行的内网服务应用直接采用内置的DNS服务器来加速DNS解析并毫秒级响应给内网应用服务器。

9)统一的文件存储服务
基础云平台管控系统提供内置文件上传存储服务,该服务部署多台文件存储服务器,为内网的文件上传、图片存储提供基础统一的HTTP存储。

10)统一的图片裁剪和自适应
基础云平台管控系统提供内置的图片裁剪服务和根据操作系统类型、浏览器类型、分辨率类型自动进行图片适应。

11)3层网络负载均衡
基础云平台管控系统提供3层网络的负载均衡调度,对内网的TCP和UDP应用服务提供网络层的均衡服务,使内网的应用透明平滑扩展。

4.1.2 基础云平台管控系统部署

基础云平台管控系统部署支持如下方式:

1)多台物理硬件集群部署
基础云平台管控系统自带Linux操作系统,它接管物理硬件,在物理硬件上进行虚拟化管理,同时可以将多台虚拟化成一个集群操作系统。

2)虚拟化防火墙部署
基础云平台管控系统在每台物理虚拟机云平台上提供防火墙虚拟机,由该虚拟机对云内网各业务平台进行网络层面控制,包括keepalive冗余和3层网络层的负载均衡。

3)7层HTTP集群部署
基础云平台管控系统在每台物理虚拟机云平台上提供7层集群虚拟机,由该虚拟机对云内网各业务平台进行7层HTTP协议的负载均衡。

4)统一存储部署
基础云平台管控系统在每台物理虚拟机物理层面上提供统一的存储支持服务,各业务虚拟机直接通过磁盘IO即可进行访问统一存储服务,该统一存储需要支持碎片化、条带化存储。

4.2 Portal系统

4.2.1 Portal业务流程

系统接入主要涉及Portal认证流程,业务认证流程见下图所示。

 
图3.2.1 业务认证流程
 
业务流程描述如下:

(1)用户访问网络时,AC将用户重定向到Portal页面;
(2)用户输入手机号和动态密码,并提交页面;
(3)Portal将用户的认证信息提交给AC;  
(4)AC发送Access-Request消息(包含账号、密码等)到Radius;
(4)Radius收到AC的Access-Request消息后,对用户信息进行认证鉴权。如果通过则返回Access-Response(Reject)消息给AC,否则返回Access-Response(Accept)消息给AC;  
(5)AC将认证结果返回给Portal;
Portal向用户展现认证结果。


4.2.2 Portal功能


 
 
 

4.2.2.1 Portal业务功能

Portal应用服务系统模块应实现如下功能:
1)Portal推送
采用WEB认证方式,需要提供灵活的Portal页面推送功能,同时密码的下发由短信网关同步完成,当用户认证成功同时推送至指定网页。

2)个性Portal
支持每个企业拥有一套独立的Portal,每个Portal的具备独立的可编辑、管理的WEB管理操作界面。

3)Portal页面终端自适应
支持自动适应不同手持无线终端:笔记本电脑,手机(包括IOS系统、安卓系统、Windows Mobile等系统)或PDA终端推送相应外观大小的Portal页面。

4)Portal用户自主注册
可以认证Portal页面实现用户自主注册功能。

5)Portal页面自定义
支持每个企业PORTAL页面可自定义图片、文字等。

6)Portal认证方式可自定义
支持每个企业自行定义各自的用户认证方式,支持短信、微信、用户名密码、密码、一键认证、二维码扫码认证、二维码授权认证、802.1X认证。

7)Portal模版
支持多种模版,方便每个企业自行选择模版,避免重复设定页面,快速上线业务。

8)Portal广告
支持Portal广告图片、广告视频管理,支持广告图片轮播,视频的播放管理。

9)Portal跳转页
支持Portal前置跳转页和后置跳转页,前置跳转页为认证前的主动跳转页,由跳转页的页面提示引导进入Portal认证,后置跳转页为认证成功后的主动跳转页,比如商户的主页。

10)Portal认证协议
支持中国移动CMCC Portal 2.0协议标准和国际WISPr Portal 2.0协议标准,可以与各种AC控制器对接认证支持。



 
 

 4.2.2.2 Portal系统部署

Portal应用的系统部署支持如下方式:
1)集群部署
云Wi-Fi综合系统面向全省用户,按照每秒3000用户认证用户计算,每用户在认证时刻预计会产生100个页面的请求,故Portal系统需要接受30W页面连接请求,系统需要做集群和冗余部署,多台Portal系统集群对外提供服务,从而避免单台Portal的失效导致Portal页面故障。

2)CMCC Portal 2.0协议支持
CMCC Portal 2.0协议为国内中国移动的Portal协议标准,目前已经演变为行业内的协议标准,各大设备厂商均支持该协议,为保持平台能支持各厂家的AP和AC设备,Portal系统要支持CMCC Portal 2.0认证协议。

3)WISPr Portal 2.0协议支持
WISPr  Portal 2.0协议为国际无线联盟的Portal协议标准,目前已经是应用最为广泛的协议标准,各国外的无线设备厂商均支持该协议,为保证平台能支持各国外厂商的AP和AC设备,Portal系统需要支持WISPr Portal 2.0认证协议。

4)第三方认证协议支持
第三方认证协议,比如Cisco WLC私有认证协议、Ruckus ZD私有认证协议、Zabra/Moto私有认证协议、Wi-Fi Dog私有认证协议,从而保证系统能更灵活的接入各种认证设备。

5)Portal协议的自适配
系统需要根据各种设备的各种Portal协议进行自动参数适配和参数透明化转换,保证各种硬件设备的Portal页面展示的一致性和各种认证协议的支持。

6)Portal系统多级缓存部署
系统需要面对高容量、高并发用户的请求,故Portal系统要支持WEB页面级别的缓存,支持页面静态资源的缓存和动态页面的程序级别的动态缓存,针对动态数据做到内存级别的缓存支持,减少数据库的命中支持。

7)系统处理能力
系统承载用户量1200万,Portal:30000次请求/s。


4.3 Radius认证计费系统

4.3.1 Radius业务流程

系统接入主要涉及Radius认证流程,业务认证流程见下图所示。

 
 
说明:
1) 本图为RADIUS协议标准交互图,云Wi-Fi系统也遵循该协议标准
2) 本图中的NAS对应到云Wi-Fi中,为AC控制器
3) 本图的RADIUS为Wi-Fi的认证中心
4) AC收到Portal用户的认证请求后,向radius发出Access-Request(code=1)的认证请求报文;
5) radius向 AC发出相应的 Access-Accept(认证通过)或 Access-Reject(认证失败)响应报文;  
6) AC根据radius发回的属性对用户进行授权配置
7) AC向radius发出Accounting-Request(code=4/start)的计费开始请求报文,radius发回相应的计费响应报文
8) 用户上网过程中,AC定时向radius发出 Accounting-Request(Interim-Update)实时计费请求,radius发回相应的计费响应报文
9) 用户提出下线请求或者用户长时间不用,闲置掉线后,AC向radius发送ting-Request(stop)计费结束请求报文,RADIUS发回相应的计费响应报文,AC收到iSCP的计费结束响应报文后,断开用户连接,此时用户下线。

4.3.2 Radius认证计费功能

4.3.2.1 Radius认证计费业务功能

Radius认证系统模块应实现如下功能:
1)PAP/CHAP认证
系统支持PAP/CHAP方式认证,针对各AC或者网关的PAP/CHAP认证方式均可以支持。

2)802.1X认证
系统支持802.1X方式认证,针对各AC或者网关的802.1X认证方式均可以支持。

3)用户名和密码认证
系统支持用户名和密码方式的认证,针对短信认证、微信认证、一键认证、二维码扫码认证、二维码授权认证的各种类型,最终在Radius层面上演变为用户名和密码认证,系统支持用户名和密码方式的本地数据库存储认证。

4)Windows AD域/LDAP认证
系统支持Windows AD域和LDAP方式认证,针对这类的用户认证,由于Windows AD域和LDAP有可能部署到用户内网,故需要用户内网与云端建立专用隧道进行三层互通,从而保证与企业的Windows AD域/LDAP域进行融合认证。

5)多次认证
系统支持用户的帐号和密码的N次认证,当第N+1个终端进行认证的时候,系统将拒绝,从而对上层实现多终端认证,当N=1的时候,系统实现唯一终端认证。

6)认证带宽授权
系统支持认证成功后的用户,授权特定大小的带宽,系统内置多种带宽策略,比如4M、8M、10M、100M,当用户认证成功后,可以根据预先设定的带宽策略进行下发QoS带宽,对客户的互联网出口带宽进行每终端限流。

7)认证策略授权
系统支持认证成功后的用户,授权VLAN和特定ACL,该VLAN和ACL需要AC设备或者网关支持,遵循国际标准的AAA协议的设备,均可以支持VLAN和特定ACL授权。

8)用户上网会话记录
系统支持认证成功后的用户,记录上线会话信息、心跳会话信息、下线会话信息,这些信息包括用户名、终端MAC地址、AP的MAC地址、会话唯一标准、NAS的IP、用户的IP、上线时刻、下线时刻、会话时间、上行流量、下行流量、上行字节、下行字节、掉线原因等信息。

9)用户在线记录
系统支持认证在线会话查询,允许查询当前在线的用户会话信息,从而给用户容量做实时统计,同时针对N次认证提供判别标准。

10)强制下线
系统支持认证认证成功用户会话的强制踢掉功能,按照AAA扩展协议的DM协议规范,将AC设备或者网关设备的用户会话强制下线。

11)在线调整策略
系统支持认证认证成功用户会话的在线实时修改,比如用户认证成功后,系统可以实时修改它的QoS带宽属性,可以实时修改它的VLAN信息和ACL信息。

12)会话记录的第三方传送
系统支持异步队列,针对第三方业务系统,可以实时推送用户的上网会话信息,将用户终端的上线、心跳、下线信息实时推送到第三方业务系统,从而实现与第三方系统的实时联动,比如CRM联动。

13)会话记录syslog输出
系统可以实时通过syslog协议方式推送用户的上网会话信息到大数据统计分析平台,将云Wi-Fi的用户上网信息与其它信息进行融合分析。

14)按照时长、包月、包天计费清算
系统可以携带计费引擎,针对RADIUS采集到的话单进行时长、包月、包天计费清单。目前WiFi计费采用的几种计费方式为时长计费、流量计费、包月计费、包天计费,但是从实际运营情况来说,流量计费基本众多运营商废弃,转而采用时长和包月计费,包天计费也非常少,在酒店会用到包天这种方式。建议应用时长计费和包月计费两种模型来应用到本次项目中。

1、时长计费
时长计费是按照用户PPP会话的时长来计算金额的,时长计费是最直接、精确的计费方式,同时可以非常灵活的设置优惠措施,可以按日、周、月、时间范围来优惠。

2、包月计费
包月计费是目前众多宽带运营商应用最为广泛的计费方式,粗放的包月就直接是每月收取固定费用,精细的包月可以是包月上下限方式,比如99元包100小时,超过100小时按照2元/小时收取。本系统还支持一种步步高方式的包月,比如99元包100小时,超过100小时按照2元/小时收取,超过200小时按照3元/小时收取,最高封顶150元等。



 
 
 

4.3.2.2 Radius系统部署

Radius应用的系统部署支持如下方式:
1)集群部署
云Wi-Fi综合系统面向全省用户,按照每秒3000用户认证用户计算,系统需要做集群和冗余部署,多台Radius系统集群对外提供服务,从而避免单台Radius的失效导致认证故障。系统需要提供多级认证保证体系,确保认证7*24小时不间断。
系统采用Radius代理热备、认证授权集群、记账集群三级构架确保系统高并发、大容量认证。

2)Radius代理热备
根据Radius协议的主备属性,系统需要设置主Radius代理和备份Radius代理,由代理来根据认证和记账集群分发。

3)认证授权集群
Radius认证授权服务器支持多台部署,而且随着用户量增大,可以平滑扩充部署新的服务器来完成扩容,它由Radius代理进行转发认证并响应授权。

4)记账集群
Radius记账服务器支持多台部署,而且随着用户量增大,可以平滑扩充部署新的记账服务器来完成用户会话记录的存储,它由Radius代理进行转发记账包。

5)集群心跳检测
Radius的认证授权集群和Radius的记账集群的各服务器间需要与Radius代理间保持心跳,当集群的某台服务器失效时,将有Radius代理将请求包调度到另外服务器,当失效的服务器恢复时,Radius代理重新调度请求到恢复的有效服务器上。

6)系统处理能力
系统承载用户量1200万,Radius处理能力3000次/秒。

4.4 运营总管控系统



 

 

4.4.1 运营管控业务流程

运营管控系统为WEB管理界面,分成多级管理,包括云Wi-Fi后台管理、用户一级管理平台、用户二级管理平台、用户三级管理平台、门店管理平台、对外接口管理系统等,管理系统总体结构如下:



 
说明:
(1)云Wi-Fi管理平台为整个系统的WEB管理界面,通过它可以开设多个用户多级管理平台。
(2)用户多级管理平台包括三级管理,用户总部级管理平台、用户分支机构管理平台、门店管理平台。每一级管理平台均可以开设下一级管理平台,从而实现分级管理和查看,上一级可以一键切换进入到下级管理平台。
(3)门店管理系统是最基础管理系统,包括对Wi-Fi用户管控、Portal界面设置、Portal模版设置、广告设置、认证策略设置、短信认证设置、微信认证设置、第三方接口设置、数据统计分析平台。


4.4.2 运营管控功能

4.4.2.1 云Wi-Fi平台总平台管理功能

云Wi-Fi平台总平台管理功能,包括如下功能点:
1)多级管理平台注册开通
系统支持多级管理平台的开设增加,可以设定多级管理平台的三级管理平台组织机构,可以为多个客户(比如建设银行、百盛商场)开设各自的多级管理平台。

2)多级平台平台查看和一键登录切换
系统支持查看当前系统的多级管理平台列表,可以对多级管理平台的注册开通信息进行修改,可以一键登录切换到客户的多级管理平台上。

3)Portal系统的模版管理
系统支持Portal模版的增加、删除、修改,同时可以针对模版进行客户授权,可以授权客户使用那些Portal模版。

4)带宽QoS的管理
系统统一的带宽QoS授权策略管理,增加、删除、修改带宽QoS授权,包括上行带宽、下行带宽。

5)第三方AC或者认证网关管理
系统可以针对第三方接入的AC网关(支持中国移动Portal 2.0或者WISPr Portal 2.0 协议标准)进行管理,包括增加、删除、修改。内容包括网关的IP地址、通信密钥、名称等信息。

6)系统参数设定
系统可以设定各种配置参数,以达到平台的各种配置需求,比如设定页面颜色、会话清单的保存周期、统计间隔、管理页面风格。

7)系统日志查看
系统需要支持详尽的操作日志、认证日志,包括多级账户的开设、帐号每次认证的错误原因、管路员操作的详细日志记录,做到可以追溯。

8)权限角色管理
系统支持角色分组和管理员分级管理,系统可以自定义角色管理,支持每个角色管理有哪些功能,管路员的增加、删除、修改,每个管理员归属哪个角色组。

9)权限角色管理
系统支持角色分组和管理员分级管理,系统可以自定义角色管理,支持每个角色管理有哪些功能,管路员的增加、删除、修改,每个管理员归属哪个角色组。

10)短信平台设置
系统内置有短信平台,支持开设短信发送平台,支持设定短信发送间隔、单IP每次发送限制。短信平台的发送记录清单、短信发送队列等查看。

11)用户侧网关管理
系统支持对用户侧的网关进行自助注册管理,支持用户侧网关绑定到门店系统,管理员可以解绑或者转移绑定到其它门店,当设备更换、新增加设备网关的时候,均可以通过总平台进行操作管理。

12)用户管理
系统支持对用户认证的帐号和密码进行管理,包括查看列表、修改用户资料、修改用户密码、锁定用户、设置用户为黑名单、设置用户为白名单、删除用户,所以的Portal各种认证方式均表现为用户的登录,云Wi-Fi总管理平台可以针对所有账号进行管控。

13)用户统计
系统支持统计用户注册量统计、新增量统计、在线率统计、终端类型统计,支持年月日方式分区间统计。系统支持按照门店、多级管理平台进行分开统计,从而输出用户的统计详细记录。

14)系统维护
系统支持数据库在线备份管理、会话历史数据清理、高速认证缓存清理、日志数据清理等系统级别维护。


4.5 云Wi-Fi平台多级平台管理功能

 

 
云Wi-Fi平台多级管理平台包括一级管理平台、二级管理平台、三级管理管理平台,它们的管理功能包括如下功能点:
1)子级管理平台注册开通
系统支持子级管理平台的开设增加,可以设定下一级管理平台,可以为当前客户(比如建设银行、百盛商场)开设各自的子级管理平台。比如建设银行总部平台可以开设建行南宁二级平台、柳州二级平台。

2)子级平台平台查看和一键登录切换
系统支持查看当前系统的子级管理平台列表,可以对多级管理平台的注册开通信息进行修改,可以一键登录切换到客户的下一级管理平台上。

3)Portal系统的模版管理
系统支持Portal模版的挑选和分配,同时可以针对模版进行下一级授权,可以授权下一级使用那些Portal模版,默认下一级全部拥有所有模版。

4)用户侧网关管理
系统支持对用户侧的网关进行绑定、解绑、转移绑定到其它门店,当设备更换、新增加设备网关的时候,均可以通过当前级别平台进行操作管理。

5)用户管理
系统支持对用户认证的帐号进行查看,分别查看注册用户列表、来访用户列表。

6)用户统计
系统支持统计用户注册量统计、新增量统计、在线率统计、终端类型统计,支持年月日方式分区间统计。系统支持按照门店、多级管理平台进行分开统计,从而输出用户的统计详细记录。

7)基本参数设置
系统支持自行修改自己的注册信息,同时允许修改自己的登录密码,方便本级管理员管理自己的系统平台。

4.5.1 云Wi-Fi的商业Wi-Fi管理平台


 

 
云Wi-Fi平台门店管理平台是系统最基础的管理单位,根据门店的商业属性,分成企业Wi-Fi管理和商业Wi-Fi管理,商业Wi-Fi管理功能包括如下功能点:

1)在线用户
系统在线用户查看,可以查看用户名、MAC地址、终端类型、上线时间、上行流量、下行流量,可以针对上线用户进行强制下线。

2)注册用户
系统支持本店的注册用户查看,包括注册用户名、注册时的类型(短信、微信等等)、注册来源地、注册时间等等。

3)来访用户
系统支持查看本店的来访用户,用户有可能不是从本店注册的,有可能从云Wi-Fi平台其它店铺注册过来,但是从本店上网的,均可以在本店铺上查看。

4)黑名单
系统支持MAC黑名单和用户名黑名单,只要命中这两个匹配项,用户终端将无法上网。

5)白名单
系统支持MAC白名单和用户名白名单,只要命中这两个匹配项,用户终端将无需密码,直接登录上网,甚至是无感知认证上网(在MAC白名单情况下)。

6)Portal系统的模版设置
系统支持管理员选择并设置Portal模版,并提供设置向导允许用户根据向导来设置模版上的相关参数,比如广告图片、登录方式、产品展示等等。

7)设备模版控制
系统可以设定用户侧网关、AC控制下属的AP是否开启Portal认证,如果开启Portal认证,则是否开启本模版验证。

8)轮播广告管理
系统可以加载多张广告图片,允许管理员设定是否进行广告轮播,每次轮播的时间间隔。

9)用户侧网关管理
系统可以对接多台用户侧的网关,每台网关可以进行地理位置描点,管理员可以设定是否开启Portal认证,同时可以查看该网关下的所有认证用户。可以强制该网关上单个用户下线,或者强制网关上所有用户下线,可以该网关的每用户上网的最大时长和次数。

10)系统参数设定
系统可以设定商家的基本信息、修改商家登录的密码、商家的LOGO和门头照。

11)商家带宽QoS设定
系统可以设定该商家下的单用户带宽,当用户从本商家的Wi-Fi热点登录的时候,它拥有的本商家设定的带宽。

12)商家认证前、认证后跳转链接
系统可以设定认证前跳转和认证后的跳转链接,从而引导用户认证前跳转和认证后跳转,尤其是认证后,可以设定跳转到商家的官方网站。

13)商家的二次透明认证
系统支持用户二次透明热证,面向老客户连接Wi-Fi的时候,无需输入用户名和密码,自动跳转到登录后连接,从而实现用户到商家店铺后,自动弹出商家的官方网站。

14)商家的云漫游认证
系统默认是关闭云漫游认证的,如果开启云漫游认证的话,在云Wi-Fi平台上的用户,均可以自由登录到任何一个商家店铺的Wi-Fi网络上,无需输入账号和密码。

15)微信认证参数设定
系统支持对微信认证的参数设定,支持多种微信认证模式,包括微信连Wi-Fi、微信关注立刻认证、微信点击链接认证等三种认证。

16)短信认证
系统支持短信认证,需要支持国内阿里大于、阿里云通信、漫道通信、云通信、乐信等短信通道,支持这些短信通道的短信发送。

17)短信营销平台
系统支持针对短信认证的用户进行二次短信发送营销,通过编辑短信内容,直接通过短信通道下发到用户手机上,同时需要支持短信PUSH,当用户进入店铺并认证成功后,系统可以PUSH一条短信到用户手机上,从而实现短信的到店营销。

18)第三方推送
系统支持将用户的信息推送给第三方,该推送为实时推送,实现用户到店即可推送用户的用户名、MAC地址等信息到用户的第三方系统上,比如CRM系统。


4.5.2 云Wi-Fi的企业Wi-Fi管理平台


 

 
云Wi-Fi平台门店管理平台是系统最基础的管理单位,根据门店的商业属性,分成企业Wi-Fi管理和商业Wi-Fi管理,企业Wi-Fi管理功能包括如下功能点:
企业Wi-Fi管理平台按照用户划分为访客、员工、会议三种类型,根据三种类型进行区分认证。

1)在线列表
系统在线列表可以查看访客在线列表、员工在线列表、会议在线列表。

2)未在线列表
系统支持查看已经关联上AC,但是还没有认证通过的终端列表,以方便系统管理员查看当前AC上有多少终端。

3)黑名单
系统支持MAC黑名单和用户名黑名单,只要命中这两个匹配项,用户终端将无法上网。

4)白名单
系统支持MAC白名单和用户名白名单,只要命中这两个匹配项,用户终端将无需密码,直接登录上网,甚至是无感知认证上网(在MAC白名单情况下)。

5)员工分组管理
系统支持针对员工进行划分组别,每个分组有不同的网络权限,比如QoS带宽权限、 VLAN权限、授权策略权限、用户最大上网终端数等。

6)员工上网参数设定
系统支持针对员工上网限制终端类型、终端数量、员工的认证频率等。

7)员工管理
员工管理包括员工导入、员工增加账户、员工编辑账户、员工删除账户、显示员工终端列表、删除员工终端、手工增加员工终端、一次性导入员工终端等功能。

8)员工密码修改
员工密码修改包括强制修改、通过邮箱找回密码、通过短信找回密码、首次登陆自行修改密码。

9)员工上网记录
员工的每次上网会话均记录在列表,同时针对每次会话的上网清单也可以查询到。

10)访客列表
历史的访客均可以在列表中显示出来,同时可以统计查询出访客的上网次数、上网的总消耗流量、上网的网络访问日志。

11)访客授权日志
针对访客进行二维码授权上网的访问日志记录,系统是可以查询并显示所有的授权上网日志,同时系统可以设定访客最大上网时间。

12)访上网记录
访客的每次上网均记录在列表,同时针对每次会话的上网清单也可以查询到。

13)会议室管理
系统可以创建多个二维码扫码认证的会议室,可以给每个会议室设定上网时间段和上网时长,从而确保每个会议室能有效上网并合理利用上网时间。

14)访客上网设置
系统可以设定访客的上网时长、访客上网的时间段、访客上网的特定VLAN、访客上网的最大带宽QoS等参数。

15)微信连Wi-Fi参数设置
系统可以管理微信连Wi-Fi的参数设定,可以控制是否强制吸粉等功能。

16)AP管理和用户侧网关管理
系统可以管理AP或者用户侧的网关,增加、删除、自动注册AP和网关,同时可以根据AP和网关的位置进行分组设置。

17)Portal模版设定管理
系统可以统一设定Portal显示模版,同时也可以根据AP和网关的分组来设定模版,每个模版可以设定滚动广告、视频广告、认证方式等。

18)Portal模版参数管理
Portal模版可以设定多张广告图,可设定为轮播;同时可以嵌入视频广告;设定模版是否开启员工和访客认证;设定是否允许PC、手机终端登录等,从而控制用户的上网方式。

19)Windows AD域/802.1X对接认证
系统可以设定与本地的Windows AD域/802.1X联动认证,配置相关参数即可使本地对接用户侧的用户数据库。

20)管理员管理和权限组划分
企业Wi-Fi管理可能涉及到多个管理员,每个管理员管理的功能权限都可以设定,从而将管理工作划分开,责权分离。

21)系统基本参数设定
设定跳转后连接URL、设定跨域SSID不允许认证、设定企业邮箱等基本参数设定。

22)短信认证
系统支持短信认证,需要支持国内阿里大于、阿里云通信、漫道通信、云通信、乐信等短信通道,支持这些短信通道的短信发送。

23)短信营销平台
系统支持针对短信认证的用户进行二次短信发送营销,通过编辑短信内容,直接通过短信通道下发到用户手机上,同时需要支持短信PUSH,当用户进入店铺并认证成功后,系统可以PUSH一条短信到用户手机上,从而实现短信的到店营销。


4.6 符合网监规范的上网行为管理系统

4.6.1 上网行为采集业务流程

上网行为采集系统主要涉及上网行为采集流程,上网行为采集流程见下图所示。

 
 
说明:
1) 用户通过认证后,用户基本信息(账号、MAC、IP等信息)会记录到云Wi-Fi中
2) 用户通过出口网关访问外网的时候,出口网关会记录下用户的NAT转换信息、HTTP访问信息等日志信息,并通过syslog方式传送云Wi-Fi上网行为采集系统上。
3) 云Wi-Fi采集服务器收集到用户的上网行为信息后,根据用户认证的基本信息匹配上网行为信息,整合完整后缓存到本地日志数据库。
4) 云Wi-Fi上网行为网监上传组件每天按照指定时间传送到网监上传接口服务器,同时对本地的数据做保留100天(该保留时间可以配置)处理;


4.6.2 上网行为功能

4.6.2.1 上网行为业务功能

上网行为业务模块应实现如下功能:
1)网关侧的上网行为采集
部署在客户本地网络的网关,采集用户的NAT会话日志、HTTP访问记录日志、QQ、微信、邮箱等访问日志并远程实时传送到云Wi-Fi平台。
NAT会话日志包括原IP、原端口、目标IP、目标端口、转换后IP、转换后端口、协议类型、访问时刻。
HTTP访问日志包括原IP、原端口、目标URL、访问时刻。
QQ/微信/邮箱访问日志包括原IP、原端口、QQ/微信/邮箱等信息、访问时刻

2)网关侧的上网行为传送
网关侧采集到上网行为的上网行为信息后,通过标准的syslog协议传送到云Wi-Fi采集系统,syslog协议走明文传送,它通过加密隧道传输到云Wi-Fi采集系统上。

3)云Wi-Fi的上网行为采集
云Wi-Fi采集到各网关传送的上网行为信息后,根据云Wi-Fi的用户认证信息进行匹配,按照网监的要求存储匹配完的信息,并记录到本地的上网行为数据库中。

4)云Wi-Fi的上网行为传送
云Wi-Fi根据网监的规范要求,将记录到本地的上网行为数据库按照网监要求定时定点传送到网监数据库中。
云Wi-Fi传送的网监数据包括AP的BSSID信息、场强信息、安装位置信息、位置联系人信息、用户上网账号、上网时间、上网的MAC地址、上网流量、上网访问的URL信息等等,详细请参照广西区网监的信息要求。

5)云Wi-Fi的上网行为定时清理
云Wi-Fi根据网监的规范要求,本地不能长时间记录用户的上网行为信息,故要求定期清理用户的上网行为记录,一般建议清理周期为100天。

4.6.2.2 上网行为管理系统部署

云Wi-Fi上网行为管理系统部署支持如下方式:
1)采集器集群部署
云Wi-Fi综合系统采集北京高校所有学生的上网行为记录,按照规划1200万用户来计算,云Wi-Fi上网采集系统需要做多台集群部署,确保采集的上网行为记录不丢失。

2)上网行为存储部署
上网行为预先按照文本方式进行分时间点、分网关设备、分客户继续文件系统存储,当订单传送的时候,数据需要结合认证数据库中的用户信息数据进行整合,然后写入到上网行为库中,需要部署高容量的存储设备和等待数据传送的数据库。

3)上网行为传送部署
上网行为数据需要定时传送到网监传送接口服务器,该传送需要具备容错机制,当传输失败或者对方无响应式,需要等待并延时重传,部署双机冗余系统和数字专线确保日志传送的及时和可靠性,通过数字专线确保传送的数据的安全性。

4.7 综合网管报警系统

4.7.1 综合网管报警系统业务流程

为提高云Wi-Fi平台的服务质量和故障第一时间预警机制,云Wi-Fi平台提供综合网管报警系统,它的业务流程如下:

 
 
说明:
1) 每个出口网关内置zabbix网管监控引擎,由zabbix网管引擎采集监控数据,实时上报到云Wi-Fi网管平台。
2) 云Wi-Fi网管平台实时收集网关传送过来的数据,存储在网管平台上,根据预先设定的规则,一旦触发报警规则,则触发报警短信进行发送或者触发报警邮件进行发送。
3) 云Wi-Fi网管平台根据预先设定的规则,可以实时探测网关的网络通畅性或者各网关下属的AP的网络通畅性,同时监控各自的用户负载、网络负载,一旦超过预先设定的阀值,则触发报警短信进行发送或者触发报警邮件进行发送。
4) 云Wi-Fi网管平台提供图形化的WEB管理界面,方便管理员进行监控管理和日常维护处理。

4.7.2 综合网管报警功能

4.7.2.1 综合网管报警功能

综合网管报警系统业务模块应实现如下功能:
1)网关的网关的网络通断性检测
云Wi-Fi网管系统自动监控网关的网络连通性,当网络出现光纤中断、设备硬件故障等原因的时候,系统针对网关实时进行发送短信或者邮件报警通知。

2)网关的AP的网络通断性检测
云Wi-Fi网管系统自动监控网关下管理的AP的网络连通性,当AP出现硬件故障、或者PoE交换机出现故障导致无法管理AP的时候,系统针对网关的AP实时发送短信或者邮件报警通知。

3)网关在线用户量为0检测
云Wi-Fi网管系统自动监控网关下认证用户,当网关的认证用户量为0的时候,系统持续监控,在指定时间内长期为0的,系统则立刻实时发送短信或者邮件报警通知。

4)网关流量为0检测
云Wi-Fi网管系统自动监控网关的下行流量,当网关的下行流量趋近为0的时候,系统持续监控,在指定时间内长期为0的,系统则立刻实时发送短信或者邮件报警通知。

5)分用户、分区域管控
云Wi-Fi网管系统根据网关属性,可以划分网关分组、划分地域等区域分组,从而根据分管理员分区域来进行维护管理。

6)网络流量、CPU负载等曲线图
云Wi-Fi网管系统可以实时记录各主机的网络流量(上行流量、下行流量)、CPU负载、磁盘负载等曲线图,可以分年、月、日来分别查看,方便管理员进行维护管理。

7)基于GIS地图的设备状态监控
云Wi-Fi网管系统带有GIS地图实时点位监控图,将设备投放到地图上,方便运维监控人员实时查看并维护处理。

8)基于语音、短信、邮箱的报警体系
云Wi-Fi网管系统带有语音报警、短信报警、邮箱报警。

4.7.2.2 综合网管管理系统部署

云Wi-Fi综合网管管理系统部署支持如下方式:
1)网关侧网管监控引擎部署
云Wi-Fi综合网管监控引擎内置在用户侧网关中,随网关系统发行直接内置进入,网关上需要配置综合网管的管理IP地址,网关即可将网管监控的数据传输到云Wi-Fi综合网管系统中。
2)综合网管管理系统部署
综合网管管理系统部署到双机冗余的虚拟机上,由它来负责对全网的网关进行统一管理和控制,同时提供WEB管理侧以供管理员进行管理和维护。
3)综合网管报警器和外部API接口服务器部署
综合网管系统单独部署一个虚拟机,由它来负责发送报警语音、报警短信、报警邮件等信息。

五、 实施方案

 5.1 启用云WiFi Portal系统

安装并启用时讯云WiFi系统,内置与ME60对接的Portal系统,内置根据IP分组设定模版的系统,内置设置管理Portal广告系统,可以允许管理员设定广告图片、页面,挑选模版。
从而实现不同区域的显示不同的Portal页面,方便不同区域的用户分别接入到各自的Portal显示页面上。允许每个区域的管理员来查看和管理各自的用户和广告上传,管理自己的 Portal页面显示。

 5.2 启用WiRadius认证计费系统

安装并启用时讯云WiFi系统,内置WiRadius 2.0认证计费,可以根据时长、包月进行计费处理。

5.3 启用短信通道

安装并启用时讯云WiFi系统,内置短信发送通道,可以直接管理和设置短信发送队列,允许管理员管理和设定短信模版。

5.4 用户数据迁移

本次实施将采用新安装系统时讯云WiFi系统,它内置了Wiradius 2.0认证计费系统,Wiradius 2.0携带城市热点认证计费系统的数据库数据迁移工具包,可以直接一键导入城市热点认证计费系统中的用户数据到新的系统中,从而实现用户数据的平滑迁移。

5.5 实施回滚考虑

本次实施将采用新安装系统时讯云WiFi系统,它将与当前的Portal设定兼容,无需调整Portal的URL配置,只需要修改ME60上的AAA服务器地址即可完成系统的切换。一旦切换失败,可以立刻启用原有系统,两套系统并行运行一段时间后,新系统完全接管当前业务后,老系统再进行下线处理。
 

 
 

相关阅读:

热门推荐