一、項(xiàng)目背景

隨著企業(yè)信息化的不斷發(fā)展以及移動(dòng)辦公的趨勢，很多企業(yè)正原有的有線連接上網(wǎng)的基礎(chǔ)上，開始增加更加方便、便捷、移動(dòng)性強(qiáng)的無線接入網(wǎng)絡(luò)來滿足自身發(fā)展的需求。這樣企業(yè)內(nèi)部人員和訪客都可以方便的通過無線網(wǎng)絡(luò)在辦公和企業(yè)園區(qū)內(nèi)隨時(shí)地接入企業(yè)局域網(wǎng)和互聯(lián)網(wǎng)，來完成各種業(yè)務(wù)工作的處理。另外建設(shè)WLAN無線網(wǎng)絡(luò)解決以往的有線端口接入限制、硬件維護(hù)工作繁瑣、線路多、可移動(dòng)性弱、訪客管理難度大等問題。
但是傳統(tǒng)的無線網(wǎng)絡(luò)的接入方式，用戶上網(wǎng)需要得知無線密碼或者不需要密碼直接接入到無線網(wǎng)絡(luò)中，不僅對企業(yè)的網(wǎng)絡(luò)安全存在一定的隱患，而且網(wǎng)絡(luò)運(yùn)行也不夠穩(wěn)定更不能對接入訪客進(jìn)行管理控制。更重要的是在大型企業(yè)中，并沒有通過無線網(wǎng)絡(luò)跟員工和訪客建立一種良性互動(dòng)，沒有發(fā)揮其應(yīng)有的作用，使無線網(wǎng)絡(luò)的效果大打折扣。因此如何部署一套可運(yùn)營、可管理、可靠高效的無線網(wǎng)絡(luò)已經(jīng)成為企業(yè)的當(dāng)務(wù)之急。

二、需求分析

藍(lán)海卓越針對目前企業(yè)在自身無線網(wǎng)絡(luò)建設(shè)及無線認(rèn)證中存在的問題，推出適合企業(yè)的無線認(rèn)證解決方案，該方案需要滿足以下需求：
1、支持多種認(rèn)證方式，包括針對訪客的手機(jī)短信和二維碼認(rèn)證上網(wǎng)，以及針對內(nèi)部員工的靜態(tài)用戶名密碼認(rèn)證方式；
2、可以結(jié)合企業(yè)現(xiàn)有的OA/CRM等系統(tǒng)進(jìn)行認(rèn)證，企業(yè)員工通過現(xiàn)有的賬戶進(jìn)行認(rèn)證上網(wǎng)；
3、可以對認(rèn)證頁面、認(rèn)證成功頁面進(jìn)行高度定制，支持多種網(wǎng)頁設(shè)計(jì)語言，以實(shí)現(xiàn)對認(rèn)證頁面自由設(shè)計(jì)的需求；
4、企業(yè)無線網(wǎng)絡(luò)可以劃分為兩個(gè)SSID，分別為企業(yè)員工使用和訪客使用，針對不同的SSID可以推送不同的認(rèn)證頁面；
5、方便管理，能夠?qū)崿F(xiàn)對接入無線網(wǎng)絡(luò)中的用戶進(jìn)行上網(wǎng)時(shí)間、上傳下載速度及認(rèn)證有效期等方面控制管理，不同的用戶屬性采取不同de上網(wǎng)策略；
6、認(rèn)證成功后可以實(shí)現(xiàn)強(qiáng)制跳轉(zhuǎn)至企業(yè)官網(wǎng)或其他指定網(wǎng)站，可以有效的進(jìn)行品牌宣傳和推廣；
7、支持二次開發(fā)，將來可以對接企業(yè)現(xiàn)有的OA、CRM等系統(tǒng)，在OA或其他系統(tǒng)上實(shí)現(xiàn)對訪客上網(wǎng)權(quán)限的授權(quán)管理；
8、部署方便，維護(hù)簡單，同時(shí)對整體設(shè)備需要易操作易管理，將來增加覆蓋范圍和用戶數(shù)量能夠方便的進(jìn)行擴(kuò)展升級。

三、方案設(shè)計(jì)原則

藍(lán)海卓越基于多年的產(chǎn)品運(yùn)營經(jīng)驗(yàn)及對無線認(rèn)證網(wǎng)絡(luò)運(yùn)營需求的深刻理解，針對企業(yè)無線認(rèn)證的需求并結(jié)合現(xiàn)有產(chǎn)品推出“藍(lán)海卓越企業(yè)無線認(rèn)證解決方案”，從打造可管理、可運(yùn)營的無線認(rèn)證網(wǎng)絡(luò)角度出發(fā)，致力于為客戶建設(shè)一個(gè)高效可靠、運(yùn)營成本低的企業(yè)無線認(rèn)證網(wǎng)絡(luò)，使無線網(wǎng)絡(luò)部署輕松、可靠、高效。根據(jù)用戶需求及用戶網(wǎng)絡(luò)特點(diǎn)，藍(lán)海卓越提供的方案設(shè)計(jì)遵循以下原則：
1、高可靠性，無線網(wǎng)絡(luò)運(yùn)行的穩(wěn)定可靠是接入認(rèn)證系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，適合7×24不間斷運(yùn)行；
2、技術(shù)先進(jìn)性和實(shí)用性，在保證滿足無線接入認(rèn)證的同時(shí)，又要體現(xiàn)出接入認(rèn)證系統(tǒng)的先進(jìn)性，充分考慮到系統(tǒng)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢，能夠方便的對功能進(jìn)行擴(kuò)展；
3、標(biāo)準(zhǔn)開放性，支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、支持中國移動(dòng)WLAN業(yè)務(wù)Portal協(xié)議規(guī)范，有利于保證與其它網(wǎng)絡(luò)及設(shè)備之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展；
4、靈活性及可擴(kuò)展性，根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)及設(shè)備可以平滑地?cái)U(kuò)容和升級，并在擴(kuò)容和升級過程中最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的更換調(diào)整；
5、可管理性，對網(wǎng)絡(luò)狀況實(shí)行集中監(jiān)測、分析，具有對接入用戶、設(shè)備、網(wǎng)絡(luò)、流量等進(jìn)行統(tǒng)計(jì)分析和管理的功能。

四、方案說明

藍(lán)海卓越結(jié)合廣泛的無線認(rèn)證市場需求，推出藍(lán)海卓越Portal無線認(rèn)證系統(tǒng)及AC、AP等無線網(wǎng)絡(luò)產(chǎn)品，最大限度的滿足現(xiàn)有無線認(rèn)證的市場需求。通過藍(lán)海卓越Portal系列產(chǎn)品，用戶可以方便的組建無線認(rèn)證網(wǎng)絡(luò)，實(shí)現(xiàn)WEB認(rèn)證、信息推送、用戶管理等多種功能。

4.1方案拓?fù)鋱D

 
藍(lán)海卓越無線認(rèn)證系統(tǒng)主要由：移動(dòng)終端（智能手機(jī)、平板電腦、筆記本等）、AC控制器、AP、藍(lán)海卓越Portal服務(wù)器、藍(lán)海卓越Radius服務(wù)器以及短信網(wǎng)關(guān)組成。在整體方案中，它們充當(dāng)?shù)慕巧謩e如下：
1、移動(dòng)終端：用戶使用手機(jī)、平板等移動(dòng)終端設(shè)備連接到商場WLAN無線網(wǎng)絡(luò)中；
2、AP：無線接入點(diǎn)，實(shí)現(xiàn)一定區(qū)域內(nèi)無線信號的覆蓋；
3、AC控制器：集中控制管理所有AP設(shè)備，根據(jù)需求建立統(tǒng)一的SSID；
4、藍(lán)海卓越Portal服務(wù)器：同AC設(shè)備對接，實(shí)現(xiàn)Portal認(rèn)證頁面的彈出和無線認(rèn)證流程，認(rèn)證頁面支持任意網(wǎng)頁語言進(jìn)行定制設(shè)計(jì)；
5、短信網(wǎng)關(guān)：負(fù)責(zé)發(fā)送密碼短信給手機(jī)用戶，以便用戶通過輸入密碼進(jìn)行無線認(rèn)證上網(wǎng)；
6、藍(lán)海卓越Radius：能夠建立套餐和賬戶，實(shí)現(xiàn)對上網(wǎng)用戶的賬戶密碼信息進(jìn)行認(rèn)證；
7、企業(yè)AD域服務(wù)器：企業(yè)員工通過AD域賬戶進(jìn)行認(rèn)證，需要藍(lán)海卓越系統(tǒng)能夠?qū)崟r(shí)該域服務(wù)器數(shù)據(jù)庫中的賬戶信息。

4.2方案特點(diǎn)

1）有線+無線統(tǒng)一接入認(rèn)證
所有的上網(wǎng)終端均可進(jìn)行認(rèn)證，有線和無線均采用PORTAL認(rèn)證的方式，當(dāng)用戶連接網(wǎng)絡(luò)時(shí)，當(dāng)發(fā)起http訪問請求后會(huì)被重定向到Portal認(rèn)證頁面；
2）認(rèn)證頁面定制
認(rèn)證頁面/認(rèn)證成功頁面均可以按照自己的要求進(jìn)行定制設(shè)計(jì)，支持任意網(wǎng)頁設(shè)計(jì)語言，達(dá)到良好的頁面展示效果；在認(rèn)證頁面和認(rèn)證成功頁面可以自由設(shè)計(jì)承載企業(yè)宣傳和通知信息；
3）基于AC設(shè)置兩個(gè)不同的SSID，企業(yè)SSID隱藏，只有員工通過AD域賬戶進(jìn)行登錄認(rèn)證上網(wǎng)；訪客SSID開放，企業(yè)訪客通過手機(jī)短信認(rèn)證或者一鍵登錄認(rèn)證進(jìn)行上網(wǎng)；
4）基于AC針對不同的SSID設(shè)置不同的Portal認(rèn)證頁面URL參數(shù)，實(shí)現(xiàn)向員工和和訪客推送不同的認(rèn)證頁面；
5）頁面跳轉(zhuǎn)
    當(dāng)訪客完成手機(jī)短信認(rèn)證或者員工完成認(rèn)證后，自動(dòng)跳轉(zhuǎn)至企業(yè)官網(wǎng)或其他指定網(wǎng)址，實(shí)現(xiàn)對企業(yè)品牌的宣傳推廣，增強(qiáng)品牌知名度；
6）多種認(rèn)證方式
    除手機(jī)短信認(rèn)證、AD域認(rèn)證之外，藍(lán)海卓越Portal系統(tǒng)還可以提供一鍵登錄、OpenID以及微信等認(rèn)證方式，為企業(yè)的無線認(rèn)證提供更多方式選擇；
7）上網(wǎng)策略分級
企業(yè)訪客通過手機(jī)短信的方式認(rèn)證上網(wǎng)，企業(yè)員工通過輸入AD域賬戶的方式進(jìn)行認(rèn)證上網(wǎng)，兩類用戶分別采取不同的上網(wǎng)策略，可以在上網(wǎng)速度、上網(wǎng)時(shí)長等方面行進(jìn)區(qū)分和限制；
8）用戶管理
強(qiáng)大的用戶管理功能，可以實(shí)現(xiàn)對手機(jī)短信認(rèn)證用戶的上傳、下載速度以及在線時(shí)長等進(jìn)行設(shè)置，實(shí)現(xiàn)對無線接入用戶的速度、在線用戶數(shù)、上網(wǎng)時(shí)長等管理；
9）支持訪客掃碼認(rèn)證
 協(xié)助掃碼：訪客上網(wǎng)認(rèn)證的最佳方式
采用訪客與被訪人一對一掃碼的方式對來訪人進(jìn)行授權(quán)。適用于網(wǎng)絡(luò)安全性要求高的企業(yè)臨時(shí)性訪客使用。當(dāng)訪客進(jìn)入訪問網(wǎng)絡(luò)空間，需被訪人掃描二維碼并進(jìn)行授權(quán)，然后訪客才可以使用網(wǎng)絡(luò)，這種一對一的訪客準(zhǔn)入形式使得入網(wǎng)訪客有跡可循，也在最大程度上保證了網(wǎng)絡(luò)準(zhǔn)入的安全。
此認(rèn)證方式優(yōu)勢：
1、一對一認(rèn)證授權(quán)加強(qiáng)企業(yè)對訪客及被訪人的審計(jì)追溯；
2、僅允許用戶在規(guī)定授權(quán)時(shí)間內(nèi)使用。
 
10）支持二次開發(fā)
藍(lán)海卓越Portal和Radius系統(tǒng)提供二次開發(fā)接口，可以方便的對接企業(yè)現(xiàn)有的各種系統(tǒng)和數(shù)據(jù)庫，實(shí)現(xiàn)更多業(yè)務(wù)功能。