智能wifi平台方案.docx
- 文档编号:3690387
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:13
- 大小:355.54KB
智能wifi平台方案.docx
《智能wifi平台方案.docx》由会员分享,可在线阅读,更多相关《智能wifi平台方案.docx(13页珍藏版)》请在冰豆网上搜索。
智能wifi平台方案
智能wifi接入
解决方案
一、方案背景
1.1建设背景
现如今智能手机/平板设备的发展突飞猛进,人们越来越习惯使用这些移动终端去畅游网络,而使用Wi-Fi是人们最常用的上网接入点,为给客户提供更好的服务体验,需要为客户提供WIFI接入服务,而运营商在网络接入方面的可行性已经非常成熟,由运营商为行业客户统一部署管理WIFI接入,既能满足双方的需求,又能有效利用双方的优势资源。
1.2建设原则
(1)稳定性原则
稳定性是首要考虑的问题,必须保证系统24小时不间断服务,对用户的认证、管理和日志管理方面达到稳定的性能。
(2)安全性原则
WiFi作为向客户免费提供的开放性网络服务,需满足互移动的安全技术标准,为用户提供安全的网络接入服务,同时对用户的上网行为进行检测,以满足公安部对网络监控的需求。
(3)可扩展性
考虑到无线的持续发展和其它多家或商户的扩充前提下,必须提供平滑的扩展和升级,能够支持用户数量的升级,在不影响网络服务的情况下进行平滑的升级和过渡。
(4)可管理
管理包括对设备、服务和用户的管理。
对设备的管理是对设备正常运行的保障,对业务和用户的管理和统计分析,对业务推送的统一管理,将有利于更合理的运用系统资源。
1.3建设目标
(1)为客户提供高质量的WiFi接入服务,提升客户的上网体验;
(2)为客户提供portal接入认证方式,满足的认证需求;
(3)增加运营商的广告投放的渠道,
(4)为用户提供增值服务,提升移动品牌形象;
二、方案介绍
3.1认证接入系统
3.1.1组网方案
3.1.2认证流程
Web认证需要与Portal认证服务器配合使用,主机首先通过DHCP得到一个IP地址,通过HTTP重定向的方式强制用户与Portal认证服务器通信,接入服务器将用户强制连接到Portal认证服务器上,并在浏览器中弹出认证页面。
在该页面中输入用户名和密码,PortalServer把通过Protal协议将认证信息传送到PORTAL网关设备上,对用户进行认证。
认证通过后,用户获得相应的访问权限,可以访问互联网或特定的网络。
在Portal的认证方式中,用户的账号都是由Portal进行认证,这样就可以免去客户端软件相对繁琐的接入要求,适应了当前多种接入终端的出现。
而Portal在实际的处理机制中会把账号信息转交付给PORTAL网关设备,由PORTAL网关设备向RadiusServer发起AAA认证。
RADIUS认证结束后,PORTAL网关设备一方面会通知Portal给出相关提示给用户,如“认证通过,可以访问网络”,也可能是“认证失败,用户名或密码错误”等。
另一方面PORTAL网关设备会从AAA中获取用户的访问属性,访问策略,让认证通过的用户可以连接到外网资源,让认证未通过的用户无法接入到外网。
终端用户接入流程:
(1)用户通过无线WiFi连接WLAN网络XXX2,通过DHCP服务器获取IP地址,打开任何网页,由Portal网关设备将用户访问请求强制重定向到Web认证服务器;
(2)Portal服务器向用户提供认证页面,在该页面中,用户输入用户名、密码,点击登录;
(3)Portal网关设备将用户输入的用户名、密码发送至认证系统对用户信息进行验证;
(4)Portal认证系统将认证结果返回给用户;
(5)认证通过后,Portal网关修改该用户的ACL,用户可以访问外部因特网或特定的网络服务;
(6)用户离开网络前,连接到Portal服务器上,单击"断开网络"按钮,用户下线;
3.2运营商运营管理系统
运营管理系统为运营商的统一运营管理后台,提供针对用户的认证、管理、设备管理、日志管理等。
模块
功能说明
用户组配置
支持各客户组的用户组配置,如普通用户组、用户组
管理员配置
支持针对客户组、用户组的管理员配置
黑白名单配置
支持黑白名单配置
上网时长配置
针对用户组的上网时长配置普通客户账户可以为每个手机号码提供每天120分钟的免费上网时间,每个手机号码在一天之中可以申请多次但累计时长不超过120分钟。
并且普通客户账户默认具有24小时的回滚周期,即使账号未达到限制120分钟上网时限,24小时后也会自动失效。
设备管理
支持针对AP\AC的设备管理
3.2.1用户管理
(1)系统支持基于多客户组的管理,例如本期建设为建设客户组,支持多客户组的统一管理、统一配置、平滑升级;
(2)支持大客户组下的客户管理,例如客户组添加下属客户,支持针对此客户组的SSID、AP、AC接入设备配置;
(3)支持客户组用户添加用户组,例如支持添加“用户组”,用户组通过固定的用户名、密码登陆,其它用户组采用非固定密码验证方式登陆;
3.2.2管理员管理
(1)为不同的营业提供管理员帐号,管理员账号权限可配置,管理范围为本营业网关的用户管理;
(2)管理员账号实现分级管理,总部管理员的账号可管理、配置营业网点管理员;
(3)为运营商提供管理员账号配置,实现分级管理,市级管理员可管理、配置地市管理员账号;
(4)可为运营商管理员、客户组管理员配置不同的管理权限。
图表1管理员权限分配
3.2.3黑白名单管理
(1)管理员可配置“黑名单”网站,保护用户的终端免受恶意网站的攻击;
(2)管理员可配置“黑名单”用户,在黑名单里的用户禁止通过下属WIFI接入互联网;
(3)可为终端MAC地址建立“白名单”;
3.3运营管理系统
运营商运营管理系统针对每个用户开设管理员权限,该管理员负责本AP下用户的用户组配置、黑白名单配置、上网时长配置。
模块
功能说明
用户组配置
支持各客户组的用户组配置,如普通用户组、用户组
黑白名单配置
支持黑白名单配置
上网时长配置
针对用户组的上网时长配置普通客户账户可以为每个手机号码提供每天120分钟的免费上网时间,每个手机号码在一天之中可以申请多次但累计时长不超过120分钟。
并且普通客户账户默认具有24小时的回滚周期,即使账号未达到限制120分钟上网时限,24小时后也会自动失效。
图表2用户开户
3.4使用流程
3.4.1开户流程
流程要点:
新增上网时,平台市级管理员在认证管理平台平台注册相关信息,,同时向本地运维部门提交新增网店的申请,运维部门在网络侧进行网络端口配置、AP部署等相关工作。
网络端口等部署成功后,市级管理员在认证平台配置本管理员账号,配置成功后,本管理员就有权限在本内开通上网账号。
3.4.2用户使用流程
流程要点:
用户入住时,管理员登陆本系统,选择新用户开户,开户成功后,用户上网时打开任意网页,弹出portal认证界面,用户输入用户名、密码即可登陆上网。
3.5业务推送系统
模块
功能说明
Portal页面定制
用户登录的Portal页面可定制,展现不同客户的不同风格,体现运营商标志等
广告页面定制
广告页面即用户登陆后的广告推送页面,可根据不同客户的不同需求定制
Portal页面自适应
支持不同终端的页面自适应功能
(1)Portal认证系统支持各种不同终端的页面信息自适应功能,为不同类型的W终端如手机、IPAD、笔记本等推送适合不同终端大小的的特定的PORTAL页面和认证功能;
(2)Portal服务系统根据认证终端发起的请求所携带的信息中的终端型号字段,为终端推送适配其屏幕大小的Portal页面;
(3)Portal页面可根据运营商、的需求不同定制化开发,包括广告展现区域、用户登陆区域等;
(4)用户登陆后可强制推送广告页面,广告页面推送的时间、频率可配置,广告页面可根据运营商、需求的不同定制;
(5)根据用户组、SSID、ip的不同,为用户推送不同定制PORTAL页面;
3.6日志管理系统
众多如用户行为管理、非法行为的控制、公安部追查用户行为需一套记录用户行为的系统,为满足用户上网行为的监控追查,
日志管理系统可以记录用户某一时间,访问过的URL地址,而不记录具体的网页内容;提供URL过滤功能,可以将网页上的图片,脚本等无用的日志信息过滤掉。
依据网页访问次数自动筛选排名前topN的网站,形成统计报表。
3.6.1在线用户数统计
以日期(具体到天)为查询条件,统计一天24小时内,每小时的用户在线数,在宏观角度上以此了解所有wifi点的上网基本情况。
3.6.2高流量用户排名
通过记录用户上网时间,下载、上传流量,系统自动筛选排名前N的高流量用户,管理员可通过输入查询日期,查看某一日期或时间段内,排名前N的高流量用户,以此掌握用户使用网络的程度。
3.6.3黑名单维护更新
设置黑名单库,将禁止访问的网页网址等写入黑名单库,最多支持20个url。
如果管理员设定某一个网址为黑名单,则这个网址的主页及其所有的二级页面都将被完全禁止;如果管理设定这个网址的某一个页面为黑名单,则局域网主机就不能访问此页面,但可以访问其他所有的页面;黑名单库将不定期更新。
3.6.4方便的查询导出数据功能
记录了用户的访问过网站地址,包括了日志时间、用户名、用户IP、访问的IP等信息。
提供友好的基于数据库的WEB查询界面,从而能够方便用户快速查找详细的日志信息。
每天晚上12点以后,系统会自动的将前一天生成的文本形式的日志文件导入到数据库中,并提供一定的容错机制,并且用户还可以根据自己的需求,决定数据库中保存几个月的日志信息。
用户若需要提取数据可进行数据导出,导出格式为excel。
3.6.5可视化图形报表
为了便于学校网管员轻松及时地了解网络的运行情况以及一些特殊用户,系统提供了全面实时的直线图,柱状图,饼图等来直观的显示网络的概况。
该系统会朝着为网管人员监控网络运行状态,发现网络异常的方向进一步发展。
届时将提供一些自动告警机制,每日、月网络运行报告等网络状态统计功能等,具体可有客户提供需求我方负责研发系统解决用户难题。
三、部署方案
3.1架构描述
根据业务需求,由运营商在各网点部署独立的线路以及无线接入设备,通过运营商局端企业网关设备配合Portal服务器及相关认证平台,为网店提供互联网WiFi接入服务。
无线信号覆盖区域可提供建设个性化网络标识。
运营商在机房内部署认证服务器、portal服务器、日志审计服务器等,侧部署AP接入点即可,通过网络配置,系统链接到运营商平台认证。
运营商AP由部署在其内网的AC实现集中监控和管理,通常情况下每网点每楼层安装1-2个AP。
运营商机房
商户
图表3
1、AC
部署位置:
运营商机房
高可用性:
集群或热备模式
产品型号:
由运营商自行选择
功能:
实现对AP的集中监控和管理,当地运营商只需将AP接入已配置完毕的网络,即可完成自动配置工作,实现网点AP的快速部署。
2、AP
部署位置:
各网点
连接设备:
运营商接入设备
高可用性:
无
产品型号:
由运营商自行选择
3、Portal服务器
部署位置:
运营商机房
高可用性:
集群模或热备模式产品型号:
由运营商自行选择
功能:
将承担登陆页面的推送及认证。
4、AAA服务器
部署位置:
运营商机房
高可用性:
由运营商自行选择
功能:
将承担用户的认证工作。
5、安全审计服务器
部署位置:
运营商机房
高可用性:
集群或热备份模式
产品型号:
由运营商自行选择
功能:
收集用户的访问日志并进行审计。
3.2SSID规划
为了便于安全与管理策略的实现,客户自带设备接入与免认证设备接入两个场景,使用不同的SSID:
场景
SSID名称
是否广播
是否加密
终端
客户自带设备接入
是
否
客户自带终端(笔记本电脑、平板、手机等)
免认证设备
否
否
(PC、笔记本电脑、平板、接入终端设备等)
四、环境及带宽需求
4.1线路带宽
按照所处环境、业务规模和客户流量的不同,对应网点设计不同的带宽模式:
网点
业务量
初始带宽
一般网点
业务量适中
Mbps
较高级别网点
业务量较大
Mbps
图表4
定期提交网点带宽使用报告,作为升级带宽的依据。
4.2带宽保护策略
网点互联网WiFi的带宽由两个SSID下所有客户端共享,并实施动态带宽分配策略。
带宽分配上优先保证网点免认证设备接入带宽,保证每个终端至少享有kbps带宽,客户自带设备共享剩余带宽。
五、软硬件配置
名称
数量
服务器
认证服务器
2台
windowsServer2008、2核、4G内存
日志采集服务器
1台
Linux、4核、8G内存
存储服务器
1台
sqlserver2005、4核、8G内存
Portal服务器
1台
windowsServer2008、2核、4G内存
注:
以上配置支持20000左右用户,如用户量增加,需扩容服务器,可实现平滑过渡。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智能 wifi 平台 方案