一、行業(yè)背景

隨著企業(yè)信息化的不斷發(fā)展以及移動(dòng)辦公的趨勢(shì)，很多企業(yè)正原有的有線連接上網(wǎng)的基礎(chǔ)上，開(kāi)始增加更加方便、便捷、移動(dòng)性強(qiáng)的無(wú)線接入網(wǎng)絡(luò)來(lái)滿足自身發(fā)展的需求。這樣企業(yè)內(nèi)部人員和訪客都可以方便的通過(guò)無(wú)線網(wǎng)絡(luò)在辦公和企業(yè)園區(qū)內(nèi)隨時(shí)地接入企業(yè)局域網(wǎng)和互聯(lián)網(wǎng)，來(lái)完成各種業(yè)務(wù)工作的處理。另外建設(shè)WLAN無(wú)線網(wǎng)絡(luò)解決以往的有線端口接入限制、硬件維護(hù)工作繁瑣、線路多、可移動(dòng)性弱、訪客管理難度大等問(wèn)題。
但是傳統(tǒng)的無(wú)線網(wǎng)絡(luò)的接入方式，用戶上網(wǎng)需要得知無(wú)線密碼或者不需要密碼直接接入到無(wú)線網(wǎng)絡(luò)中，不僅對(duì)企業(yè)的網(wǎng)絡(luò)安全存在一定的隱患，而且網(wǎng)絡(luò)運(yùn)行也不夠穩(wěn)定更不能對(duì)接入訪客進(jìn)行管理控制。更重要的是在大型企業(yè)中，并沒(méi)有通過(guò)無(wú)線網(wǎng)絡(luò)跟員工和訪客建立一種良性互動(dòng)，沒(méi)有發(fā)揮其應(yīng)有的作用，使無(wú)線網(wǎng)絡(luò)的效果大打折扣。因此如何部署一套可運(yùn)營(yíng)、可管理、可靠高效的無(wú)線網(wǎng)絡(luò)已經(jīng)成為企業(yè)的當(dāng)務(wù)之急。

二、需求分析

企業(yè)在自身無(wú)線網(wǎng)絡(luò)建設(shè)及無(wú)線認(rèn)證中存在的問(wèn)題，需要一套快速、低成本、簡(jiǎn)單易用的無(wú)線認(rèn)證解決方案，該方案需要滿足以下需求：
1. 支持多種認(rèn)證方式，包括針對(duì)訪客的手機(jī)短信和二維碼認(rèn)證上網(wǎng)，以及針對(duì)內(nèi)部員工的靜態(tài)用戶名密碼認(rèn)證方式，以及針對(duì)國(guó)外用戶發(fā)短信不方便時(shí)的郵箱驗(yàn)證；
2. 可以結(jié)合企業(yè)現(xiàn)有的OA、CRM、LDAP等系統(tǒng)進(jìn)行對(duì)接認(rèn)證，企業(yè)員工通過(guò)現(xiàn)有的賬戶進(jìn)行認(rèn)證上網(wǎng)，所有的用戶數(shù)據(jù)只需要在企業(yè)的管理系統(tǒng)中創(chuàng)建或刪除，認(rèn)證系統(tǒng)無(wú)需二次操作；
3. 可以對(duì)認(rèn)證頁(yè)面、認(rèn)證成功頁(yè)面進(jìn)行高度定制，支持多種網(wǎng)頁(yè)設(shè)計(jì)語(yǔ)言，以實(shí)現(xiàn)對(duì)認(rèn)證頁(yè)面自定義設(shè)計(jì)的需求；
4. 企業(yè)無(wú)線網(wǎng)絡(luò)可以劃分為多個(gè)不個(gè)SSID，分別為企業(yè)管理者、企業(yè)員工和企業(yè)訪客使用，針對(duì)不同的SSID可以推送不同的認(rèn)證頁(yè)面，實(shí)現(xiàn)不同的認(rèn)證策略；
5. 方便管理，能夠?qū)崿F(xiàn)對(duì)接入無(wú)線網(wǎng)絡(luò)中的用戶進(jìn)行上網(wǎng)時(shí)間、上傳下載速度及認(rèn)證有效期等方面控制管理，不同的用戶屬性采取不同的上網(wǎng)策略；
6. 認(rèn)證成功后可以實(shí)現(xiàn)強(qiáng)制跳轉(zhuǎn)至企業(yè)官網(wǎng)或其他指定網(wǎng)站，可以有效的進(jìn)行品牌宣傳和推廣；
7. 支持二次開(kāi)發(fā)，將來(lái)可以對(duì)接企業(yè)現(xiàn)有的OA、CRM等系統(tǒng)，在OA或其他系統(tǒng)上實(shí)現(xiàn)對(duì)訪客上網(wǎng)權(quán)限的授權(quán)管理；
8. 部署方便，維護(hù)簡(jiǎn)單，同時(shí)對(duì)整體設(shè)備需要易操作易管理，將來(lái)增加覆蓋范圍和用戶數(shù)量能夠方便的進(jìn)行擴(kuò)展升級(jí)。

三、方案設(shè)計(jì)原則

藍(lán)海卓越無(wú)線認(rèn)證系統(tǒng)是我們基于多年的產(chǎn)品運(yùn)營(yíng)經(jīng)驗(yàn)及對(duì)無(wú)線認(rèn)證網(wǎng)絡(luò)運(yùn)營(yíng)需求的深刻理解，針對(duì)企業(yè)無(wú)線認(rèn)證的需求并結(jié)合現(xiàn)有產(chǎn)品推出“企業(yè)無(wú)線認(rèn)證解決方案”，從打造可管理、可運(yùn)營(yíng)的無(wú)線認(rèn)證網(wǎng)絡(luò)角度出發(fā)，致力于為客戶建設(shè)一個(gè)高效可靠、運(yùn)營(yíng)成本低的企業(yè)無(wú)線認(rèn)證網(wǎng)絡(luò)，使無(wú)線網(wǎng)絡(luò)部署輕松、可靠、高效。根據(jù)用戶需求及用戶網(wǎng)絡(luò)特點(diǎn)，方案設(shè)計(jì)遵循以下原則：
1. 高可靠性，無(wú)線網(wǎng)絡(luò)運(yùn)行的穩(wěn)定可靠是接入認(rèn)證系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，適合7×24不間斷運(yùn)行；
2. 技術(shù)先進(jìn)性和實(shí)用性，在保證滿足無(wú)線接入認(rèn)證的同時(shí)，又要體現(xiàn)出接入認(rèn)證系統(tǒng)的先進(jìn)性，充分考慮到系統(tǒng)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)，能夠方便的對(duì)功能進(jìn)行擴(kuò)展；
3. 標(biāo)準(zhǔn)開(kāi)放性，支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、支持中國(guó)移動(dòng)WLAN業(yè)務(wù)Portal協(xié)議規(guī)范，有利于保證與其它網(wǎng)絡(luò)及設(shè)備之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展；
4. 靈活性及可擴(kuò)展性，根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)及設(shè)備可以平滑地?cái)U(kuò)容和升級(jí)，并在擴(kuò)容和升級(jí)過(guò)程中最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的更換調(diào)整；
5. 可管理性，對(duì)網(wǎng)絡(luò)狀況實(shí)行集中監(jiān)測(cè)、分析，具有對(duì)接入用戶、設(shè)備、網(wǎng)絡(luò)、流量等進(jìn)行統(tǒng)計(jì)分析和管理的功能；
6. 可升級(jí)性，針對(duì)未來(lái)出現(xiàn)的可能性的管理需求，系統(tǒng)需要具備可升級(jí)特性。
 

四、方案說(shuō)明

結(jié)合廣泛的企業(yè)無(wú)線認(rèn)證市場(chǎng)需求，推出企業(yè)級(jí)Portal無(wú)線認(rèn)證系統(tǒng)及AC、AP等無(wú)線網(wǎng)絡(luò)產(chǎn)品，最大限度的滿足現(xiàn)有無(wú)線認(rèn)證的市場(chǎng)需求。通過(guò)統(tǒng)一Portal無(wú)線認(rèn)證系列產(chǎn)品，用戶可以方便的組建無(wú)線認(rèn)證網(wǎng)絡(luò)，實(shí)現(xiàn)WEB認(rèn)證、信息推送、用戶管理等多種功能。

4.1方案拓?fù)鋱D

企業(yè)無(wú)線認(rèn)證系統(tǒng)主要由：移動(dòng)終端（智能手機(jī)、平板電腦、筆記本等）、AC控制器、AP、Portal服務(wù)器、Radius服務(wù)器以及短信服務(wù)器、微信服務(wù)器組成。在整體方案中，它們充當(dāng)?shù)慕巧謩e如下：
1. 移動(dòng)終端：用戶使用手機(jī)、平板等移動(dòng)終端設(shè)備連接到企業(yè)WLAN無(wú)線網(wǎng)絡(luò)中；
2. AP：無(wú)線接入點(diǎn)，實(shí)現(xiàn)一定區(qū)域內(nèi)無(wú)線信號(hào)的覆蓋；
3. AC控制器：集中控制管理所有AP設(shè)備，根據(jù)需求建立統(tǒng)一的SSID；
4. Portal服務(wù)器：同AC設(shè)備對(duì)接，實(shí)現(xiàn)Portal認(rèn)證頁(yè)面的彈出和無(wú)線認(rèn)證流程，認(rèn)證頁(yè)面支持任意網(wǎng)頁(yè)語(yǔ)言進(jìn)行定制設(shè)計(jì)；
5. Radius系統(tǒng)：能夠建立套餐和賬戶，實(shí)現(xiàn)對(duì)上網(wǎng)用戶的賬戶密碼信息進(jìn)行認(rèn)證；
6. 短信服務(wù)器：負(fù)責(zé)發(fā)送密碼短信給手機(jī)用戶，以便用戶通過(guò)輸入密碼進(jìn)行無(wú)線認(rèn)證上網(wǎng)；
7. 微信服務(wù)器：負(fù)責(zé)向管理員發(fā)送驗(yàn)證通知，方便管理員審核；
8. 企業(yè)OA或是CRM服務(wù)器：企業(yè)員工通過(guò)OA賬戶或CRM進(jìn)行認(rèn)證，需要認(rèn)證系統(tǒng)能夠?qū)崟r(shí)該OA服務(wù)器數(shù)據(jù)庫(kù)中的賬戶信息。

4.2方案特點(diǎn)

1）有線+無(wú)線統(tǒng)一接入認(rèn)證
所有的上網(wǎng)終端均可進(jìn)行認(rèn)證，有線和無(wú)線均采用PORTAL認(rèn)證的方式，當(dāng)用戶連接網(wǎng)絡(luò)時(shí)，當(dāng)發(fā)起http訪問(wèn)請(qǐng)求后會(huì)被重定向到Portal認(rèn)證頁(yè)面；
2）認(rèn)證頁(yè)面定制
認(rèn)證頁(yè)面/認(rèn)證成功頁(yè)面均可以按照自己的要求進(jìn)行定制設(shè)計(jì)，支持任意網(wǎng)頁(yè)設(shè)計(jì)語(yǔ)言，達(dá)到良好的頁(yè)面展示效果；在認(rèn)證頁(yè)面和認(rèn)證成功頁(yè)面可以自由設(shè)計(jì)承載企業(yè)宣傳和通知信息；
3）基于AC設(shè)置兩個(gè)不同的SSID，企業(yè)SSID隱藏，只有員工通過(guò)AD域賬戶進(jìn)行登錄認(rèn)證上網(wǎng)；訪客SSID開(kāi)放，企業(yè)訪客通過(guò)手機(jī)短信認(rèn)證或者一鍵登錄認(rèn)證進(jìn)行上網(wǎng)；
4）基于AC針對(duì)不同的SSID設(shè)置不同的Portal認(rèn)證頁(yè)面URL參數(shù)，實(shí)現(xiàn)向員工和和訪客推送不同的認(rèn)證頁(yè)面；
5）頁(yè)面跳轉(zhuǎn)
    當(dāng)訪客完成手機(jī)短信認(rèn)證或者員工完成認(rèn)證后，自動(dòng)跳轉(zhuǎn)至企業(yè)官網(wǎng)或其他指定網(wǎng)址，實(shí)現(xiàn)對(duì)企業(yè)品牌的宣傳推廣，增強(qiáng)品牌知名度；
6）多種認(rèn)證方式
除手機(jī)短信認(rèn)證、OA帳戶認(rèn)證之外，Portal系統(tǒng)還可以提供一鍵登錄、等認(rèn)證方式，為企業(yè)的無(wú)線認(rèn)證提供更多方式選擇；
同時(shí)支持郵件驗(yàn)證、掃碼驗(yàn)證等企業(yè)訪客認(rèn)證方式，支持對(duì)注冊(cè)的臨時(shí)上網(wǎng)用戶進(jìn)行管理員審核；
7）上網(wǎng)策略分級(jí)
企業(yè)訪客通過(guò)手機(jī)短信的方式認(rèn)證上網(wǎng)，企業(yè)員工通過(guò)輸入OA賬戶的方式進(jìn)行認(rèn)證上網(wǎng)，兩類用戶分別采取不同的上網(wǎng)策略，可以在上網(wǎng)速度、上網(wǎng)時(shí)長(zhǎng)等方面行進(jìn)區(qū)分和限制；
8）用戶管理
強(qiáng)大的用戶管理功能，可以實(shí)現(xiàn)對(duì)手機(jī)短信認(rèn)證用戶的上傳、下載速度以及在線時(shí)長(zhǎng)等進(jìn)行設(shè)置，實(shí)現(xiàn)對(duì)無(wú)線接入用戶的速度、在線用戶數(shù)、上網(wǎng)時(shí)長(zhǎng)等管理；
9）訪客掃碼認(rèn)證
 協(xié)助掃碼：訪客上網(wǎng)認(rèn)證的最佳方式
采用訪客與被訪人一對(duì)一掃碼的方式對(duì)來(lái)訪人進(jìn)行授權(quán)。適用于網(wǎng)絡(luò)安全性要求高的企業(yè)臨時(shí)性訪客使用。當(dāng)訪客進(jìn)入訪問(wèn)網(wǎng)絡(luò)空間，需被訪人掃描二維碼并進(jìn)行授權(quán)，然后訪客才可以使用網(wǎng)絡(luò)，這種一對(duì)一的訪客準(zhǔn)入形式使得入網(wǎng)訪客有跡可循，也在最大程度上保證了網(wǎng)絡(luò)準(zhǔn)入的安全。

 此認(rèn)證方式優(yōu)勢(shì)：
    1、一對(duì)一認(rèn)證授權(quán)加強(qiáng)企業(yè)對(duì)訪客及被訪人的審計(jì)追溯；
    2、僅允許用戶在規(guī)定授權(quán)時(shí)間內(nèi)使用。
10）支持郵件認(rèn)證
郵件認(rèn)證是在不方便使用短信驗(yàn)證的環(huán)境，如外國(guó)訪客使用，或是訪客數(shù)量較多，采用短信會(huì)導(dǎo)致成本技術(shù)增高的情況下使用。

郵件認(rèn)證的流程：
1、用戶連接WIFI，彈出PORTAL頁(yè)面；
2、用戶在PORTAL頁(yè)面，輸入管理員指定的信息，如姓名、單位，以及自己的郵件地址，點(diǎn)擊獲取驗(yàn)證碼，申請(qǐng)獲取密碼；
3、用戶申請(qǐng)后，系統(tǒng)將該用戶的請(qǐng)求，通過(guò)微信服務(wù)號(hào)推送信息給管理員，等待審核；
4、管理員在手機(jī)微信端收到信息，點(diǎn)擊信息，即進(jìn)入審核頁(yè)面，查看信息并審核后，系統(tǒng)接收到審核，自動(dòng)開(kāi)戶，并發(fā)送郵件給用戶，告知用戶帳號(hào)密碼、使用時(shí)長(zhǎng)等信息，用戶收到郵件，根據(jù)郵件內(nèi)容，重新連接WIFI，使用帳號(hào)和密碼登錄上網(wǎng)；
5、系統(tǒng)自動(dòng)開(kāi)戶可以設(shè)置默認(rèn)套餐有效期，也可以由管理員在審核時(shí)指定套餐，按套餐時(shí)長(zhǎng)生成有限時(shí)間的套餐，過(guò)期后，用戶需要重新認(rèn)證申請(qǐng)并審核后上網(wǎng)。

微信審核必要條件：企業(yè)需要開(kāi)通微信服務(wù)號(hào)。
11）支持動(dòng)態(tài)密碼認(rèn)證
12）支持二次開(kāi)發(fā)
Portal和Radius系統(tǒng)提供二次開(kāi)發(fā)接口，可以方便的對(duì)接企業(yè)現(xiàn)有的各種系統(tǒng)和數(shù)據(jù)庫(kù)，實(shí)現(xiàn)更多業(yè)務(wù)功能。