無線網(wǎng)絡(luò)覆蓋方案

-.z.方案總述圖3.1無線網(wǎng)絡(luò)拓?fù)涫疽鈭D增加運維難度，影響運維效率的因素有大量的網(wǎng)絡(luò)節(jié)點，復(fù)雜的網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)覆蓋的地理范圍。網(wǎng)絡(luò)節(jié)點越多意味著網(wǎng)絡(luò)管理員要維護(hù)的設(shè)備越多，同時*一節(jié)點出現(xiàn)問題的概率越大，從而提升了管理員的工作量。而復(fù)雜的網(wǎng)絡(luò)拓?fù)渥尰跇I(yè)務(wù)變更的網(wǎng)絡(luò)策略調(diào)整與優(yōu)化變的復(fù)雜，網(wǎng)絡(luò)管理員不得不看4分片分區(qū)的自下而上的逐層修改配置，由于復(fù)雜的網(wǎng)絡(luò)拓?fù)鋵?dǎo)致的錯綜復(fù)雜的網(wǎng)絡(luò)協(xié)議關(guān)系給問題排查帶來不小的難度。網(wǎng)絡(luò)所覆蓋的地址范圍是不能人為控制的，但是從運維的角度看，減少運維壓力提高運維效率就是網(wǎng)絡(luò)管理員盡量少的跑到接入端去進(jìn)展問題排查，實現(xiàn)方法就是前端設(shè)備盡量少或不需要進(jìn)展配置，只要接入網(wǎng)絡(luò)就可通過網(wǎng)絡(luò)中心進(jìn)展統(tǒng)一管理，這樣當(dāng)前端接入設(shè)備出現(xiàn)故障，只需要找工程人員做簡單的設(shè)備更換，而不需要管理員到現(xiàn)場在進(jìn)展復(fù)雜的配置，網(wǎng)絡(luò)管理運維效率得以提升。在以上三個因素中網(wǎng)絡(luò)覆蓋的地理范圍是不可改變的，而網(wǎng)絡(luò)節(jié)點數(shù)和網(wǎng)絡(luò)拓?fù)涫强梢詮姆桨冈O(shè)計上進(jìn)展優(yōu)化，因此神州數(shù)碼在*市教育城域網(wǎng)網(wǎng)工程中在滿足教學(xué)應(yīng)用的需求下以簡化后期運維量為出發(fā)點，在方案設(shè)計中使用最少的設(shè)備，最簡單的拓?fù)鋪頋M足應(yīng)用需求。如圖2.1所示，在*市教育無線網(wǎng)建立中神州數(shù)碼采用教育局集中管理，集中運維的思路進(jìn)展網(wǎng)絡(luò)設(shè)計，學(xué)校只作為網(wǎng)絡(luò)前端進(jìn)展AP和PoE交換機的部署，無線控制器，實名認(rèn)證系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、平安運維審計系統(tǒng)以及無線應(yīng)用加速系統(tǒng)等網(wǎng)絡(luò)管理、運維系統(tǒng)將統(tǒng)一部署在*市教育局，實現(xiàn)對全市無線網(wǎng)的統(tǒng)一管理，統(tǒng)一運維。采用這種網(wǎng)絡(luò)設(shè)計當(dāng)管理員需要修改網(wǎng)絡(luò)策略對網(wǎng)絡(luò)進(jìn)展調(diào)整或優(yōu)化時，他只需要對教育局?jǐn)?shù)據(jù)中心的設(shè)備進(jìn)展調(diào)整即可全網(wǎng)生效，而不需要從接入端逐層的進(jìn)展配置修改。能實現(xiàn)如此的管理方式也得益于當(dāng)前無線網(wǎng)絡(luò)的部署架構(gòu)。當(dāng)前主流的無線網(wǎng)絡(luò)全部采用無線控制器+瘦AP的架構(gòu)，無線控制器就像無線網(wǎng)絡(luò)的大腦，它負(fù)責(zé)管理與其連接的所有AP的配置策略，而瘦AP只是運算和執(zhí)行策略，基于此架構(gòu)，無線網(wǎng)絡(luò)可直接通過對中心端的無線控制器的配置操作到達(dá)修改接入點網(wǎng)絡(luò)策略的目的，從而實現(xiàn)中心的統(tǒng)一管理，統(tǒng)一運維。無線控制器的選擇與部署0無線控制器的選擇在中大型無線網(wǎng)絡(luò)環(huán)境中采用無線控制器+瘦AP的網(wǎng)絡(luò)架構(gòu)已經(jīng)成為不爭的事實。從無線控制器的形態(tài)上分類從目前市場上的產(chǎn)品來看可分為兩類：硬件形態(tài)的無線控制器和軟件形態(tài)的無線控制器。硬件形態(tài)的無線控制器是從無線控制器+瘦AP架構(gòu)正是發(fā)布后一直延續(xù)到現(xiàn)在的一種無線控制器物理形態(tài)，目前市場上主要以*86工控機或多核+交換板作為硬件架構(gòu)。這種架構(gòu)的產(chǎn)生源于第一代瘦AP架構(gòu)，第一代瘦AP的數(shù)據(jù)轉(zhuǎn)發(fā)模式采用的是集中式轉(zhuǎn)發(fā)，即無線AP所有的數(shù)據(jù)都要流經(jīng)無線控制器，再由無線控制器轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)當(dāng)中，這種模式就需要無線控制器就較好的數(shù)據(jù)轉(zhuǎn)發(fā)性能，而效勞器網(wǎng)卡在數(shù)據(jù)轉(zhuǎn)發(fā)上的性能與帶有交換架構(gòu)的工控機來比就要差一些，因此，無線控制器是以硬件形態(tài)出現(xiàn)的。第一代瘦AP主要采用的是IEEE802.11g無線傳輸協(xié)議，IEEE802.11g協(xié)議在TCP傳輸協(xié)議下的最大帶寬在25Mbps左右，第一代無線控制器采用集中式轉(zhuǎn)發(fā)模式不會產(chǎn)生網(wǎng)絡(luò)瓶頸。隨著單一工程的無線網(wǎng)絡(luò)規(guī)模的擴(kuò)大，雙頻雙模無線AP的出現(xiàn)以及IEEE802.11n協(xié)議的無線AP的問世，無線AP的上行帶寬越來越高。因此，集中式轉(zhuǎn)發(fā)已經(jīng)成為數(shù)據(jù)傳輸瓶頸，為了解決這一問題，提高無線網(wǎng)絡(luò)傳輸性能，瘦AP開場采用本地轉(zhuǎn)發(fā)，集中管理的架構(gòu)，即從瘦AP上行的業(yè)務(wù)數(shù)據(jù)都有AP直接通過交換機轉(zhuǎn)發(fā)到網(wǎng)關(guān)，不在經(jīng)由無線控制器進(jìn)展轉(zhuǎn)發(fā)。只有瘦AP的管理數(shù)據(jù)和是在無線控制器和AP之間交互，這種交互數(shù)據(jù)的數(shù)據(jù)流非常小，因此無線控制器開場采用單臂旁掛核心交換機的方式進(jìn)展部署，我們稱這種部署方式為旁路部署。圖3.2-1集中轉(zhuǎn)發(fā)&本地轉(zhuǎn)發(fā)示意圖前面講到數(shù)據(jù)采用本地轉(zhuǎn)發(fā)的瘦AP與無線控制器之間的管理數(shù)據(jù)流量很小，無線控制器的數(shù)據(jù)轉(zhuǎn)發(fā)性能，隨著效勞器性能的大幅提升以及虛擬化技術(shù)的完善和普及，軟件形態(tài)的無線控制器應(yīng)運而生。很多人把簡單的認(rèn)為軟件形態(tài)的無線控制器就是把硬件形態(tài)無線控制器里的系統(tǒng)抽離出來形成的，所以除了形態(tài)上的差異之外其他都是一樣的。其實這是一個簡單而且錯誤的理解，軟件形態(tài)的無線控制器的產(chǎn)生更多由于虛擬化技術(shù)和云數(shù)據(jù)中心的普及而產(chǎn)生的，因此軟件形態(tài)的無線控制器自身的首要特性就是虛擬化特性，云特性。例如一臺軟件形態(tài)的無線控制器，可以根據(jù)不同用戶群定制屬于自己的虛擬化控制器，用于實現(xiàn)對自己區(qū)域的無線AP的個性化管理。我們把這種虛擬化稱為1：N虛擬化。而當(dāng)一個大型網(wǎng)絡(luò)中有多臺軟件形態(tài)的無線控制器，他們可以形成一個統(tǒng)一無線管理控制器池，任何一個控制節(jié)點出現(xiàn)問題都不會出現(xiàn)瘦AP脫管的現(xiàn)象，形成一個統(tǒng)一的，整體的無線網(wǎng)絡(luò)控制云平臺，我們把這種虛擬化稱為N：1虛擬化。由此我們可以看出軟件形態(tài)的無線控制器的根本特性就是支持虛擬化和云特性?；谶@些虛擬化特性我們也把軟件形態(tài)的無線控制器成為"云〞無線控制器。目前采用"云〞無線控制器的主要代表廠家有思科和神州數(shù)碼。兩種形態(tài)的無線控制具有哪些特性差異，如表，我們對兩種無線控制器的主要差異特性做了簡單的比照。表3.2.1無線控制器特性比照：特性硬件形態(tài)無線控制器"云〞無線控制器具有虛擬化特性不具備具備管理AP數(shù)量單臺≤4000〔主流產(chǎn)品〕軟件系統(tǒng)無AP管理上限端口配置千兆電/光口≥4；具有萬兆端口或擴(kuò)展插槽端口依托于效勞器配置的網(wǎng)卡類型AP數(shù)據(jù)轉(zhuǎn)發(fā)方式支持本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)支持本地轉(zhuǎn)發(fā)AP部署方式二層部署、三層部署二層部署、三層部署、跨NAT部署根據(jù)兩種形態(tài)的無線控制器的特性差異我們來做一個簡單的綜合分析。傳統(tǒng)的硬件形態(tài)無線控制器一臺設(shè)備可管理的最大AP數(shù)量一般在4000臺左右，市場上目前主流銷售的硬件無線控制器最大管理AP數(shù)量在2000臺以下，由此可以看出傳統(tǒng)硬件無線控制器主要用于園區(qū)無線網(wǎng)絡(luò)的部署。*市教育城域網(wǎng)工程的大型城域級的無線網(wǎng)絡(luò)如果采用硬件無線控制器由于管理AP數(shù)的限制，就只能采用分布式部署的方式，即以學(xué)校或者更小的區(qū)域為單位，將無線控制器分別部署在這些單位中，或者采用集中式分組部署，即將多臺無線控制器集中放置在區(qū)教育局中心機房，以管理地址段作為劃分手段將AP分別指不同的無線控制器來管理。以上兩種部署方法確實可以解決無線AP的管理問題，但是如前面所講，從后期管理運維的角度考慮，這兩種部署方式在網(wǎng)絡(luò)中增加了多臺無線控制器，網(wǎng)絡(luò)拓?fù)渥兊膹?fù)雜，網(wǎng)絡(luò)管理員需要維護(hù)的設(shè)備數(shù)量增加。網(wǎng)路認(rèn)證策略，QoS策略需要在每臺控制器上配置一次，在網(wǎng)絡(luò)出現(xiàn)問題時，需要做大量的數(shù)據(jù)檢測和排除工作，運維效率降低。"云〞無線控制器從功能設(shè)計上并沒有AP管理上限。AP管理上限取決于承載"云〞無線控制器的效勞器硬件性能。而"云〞無線控制器的虛擬化特性允許采用效勞器橫向擴(kuò)展〔Scaleout〕的方式來提升管理性能，同時還實現(xiàn)了冗余。由于"云〞無線控制器的虛擬化特性，即使效勞器采用橫向擴(kuò)展方式進(jìn)展擴(kuò)容，它從管理運維的角度看只是一個管理節(jié)點，網(wǎng)絡(luò)管理員看到的管到的始終是一臺無線控制器，不需要為學(xué)校的AP歸哪個控制器管而劃分群組。從端口配置上看，*市教育城域網(wǎng)這種大型的無線網(wǎng)絡(luò)部署無線控制器都會采用旁路部署，無線AP采用本地數(shù)據(jù)轉(zhuǎn)發(fā)的方式，這種方式無線AP與無線控制器之間之交互管理數(shù)據(jù)，數(shù)據(jù)流量小，只需要1到2個萬兆接口接入核心交換就可以完成鏈路部署。因此硬件控制器上所配置的豐富的接口和高速的數(shù)據(jù)轉(zhuǎn)發(fā)性能都起不到什么作用。基于以上分析可以看出，在*市教育城域網(wǎng)工程中，使用"云〞無線控制器具有擴(kuò)容更容易，拓?fù)涓唵蔚奶攸c，更易于后期的網(wǎng)絡(luò)維護(hù)。無線控制器的部署*市教育城域網(wǎng)骨干*市教育城域網(wǎng)骨干圖3.2.2-1"云〞無線控制器部署示意圖如圖所示，"云"無線控制器只需要部署在教育局網(wǎng)絡(luò)中心的運維管理區(qū)。建議配置兩臺效勞器運行"云〞無線控制器，效勞器前端配合一臺鏈路負(fù)載均衡，兩臺效勞器對AP管理實現(xiàn)負(fù)載均衡，并且防止單點故障引起網(wǎng)絡(luò)問題。無線AP的選擇與部署無線AP首先要滿足*市教育局無線控制器管理要求，能通過CAPWAP協(xié)議與*市教育局的無線控制器進(jìn)展對接。AP需要滿足50人同時接入，因此無線AP要采用IEEE802.11n/IEEE802.11ac協(xié)議的無線AP，并且支持2.4GHz和5.8GHz雙頻雙模，AP要采用2*2：2或以上MIMO架構(gòu)。無線AP支持IEEE802.3af或IEEE802.3at供電協(xié)議，通過PoE方式供電。由于無線AP的最大傳輸帶寬已經(jīng)超過百兆，所以上行PoE交換機建議采用千兆PoE交換機。交換機要支持至少370W的PoE功率輸出，并且支持IEEE802.3af和IEEE802.3at協(xié)議。在本工程中推薦采用神州數(shù)碼的DCWL-8200系列AP和S5750E系列PoE交換機。實名認(rèn)證系統(tǒng)部署要滿足全市內(nèi)賬戶漫游，就需要一個統(tǒng)一的實名認(rèn)證系統(tǒng)對*市所轄學(xué)校所有網(wǎng)絡(luò)賬戶進(jìn)展統(tǒng)一管理和統(tǒng)一認(rèn)證，網(wǎng)絡(luò)用戶不管身處哪所學(xué)校都可以使用自己的賬戶登陸網(wǎng)絡(luò)?，F(xiàn)在主流的認(rèn)證系統(tǒng)一般分為兩類，一類是網(wǎng)關(guān)型認(rèn)證系統(tǒng)，以硬件形態(tài)為主，一般串行在網(wǎng)絡(luò)出口。第二類是軟件型認(rèn)證系統(tǒng)，一般部署在網(wǎng)絡(luò)中心機房的管理區(qū)，通過與作為認(rèn)證發(fā)起設(shè)備的聯(lián)動實現(xiàn)認(rèn)證。*市信息化教學(xué)應(yīng)用非常豐富，干網(wǎng)帶寬已經(jīng)到達(dá)萬兆，如果采用網(wǎng)關(guān)型認(rèn)證系統(tǒng)可能會產(chǎn)生網(wǎng)絡(luò)瓶頸，鑒于此，本工程中推薦使用軟件型認(rèn)證計費系統(tǒng)。神州數(shù)碼的軟件計費系統(tǒng)是有DCSM-RS認(rèn)證效勞平臺和DCSM-BW綜合業(yè)務(wù)管理平臺兩局部組成。DCSM-RS提供集中的寬帶網(wǎng)絡(luò)用戶認(rèn)證，授權(quán)和計費，及接入策略管理，為電信運營商和大中型園區(qū)網(wǎng)提供類型豐富、配置靈活的寬帶運營業(yè)務(wù)模式，如集中認(rèn)證、漫游認(rèn)證、內(nèi)外網(wǎng)準(zhǔn)入準(zhǔn)出認(rèn)證、Portal認(rèn)證、免認(rèn)證Portal推送、無感知認(rèn)證等，以及WLAN、遠(yuǎn)程/VPN、PPPoE撥號、IPoE、802.1*等各種基于身份的認(rèn)證支持。DCSM-BW是作為DCSM-RS配套使用的綜合業(yè)務(wù)管理后臺軟件，實現(xiàn)寬帶運營中的策略配置、用戶管理、用戶業(yè)務(wù)辦理、賬務(wù)處理、統(tǒng)計輸出等綜合業(yè)務(wù)功能，是用戶對寬帶運營管理的統(tǒng)一操作界面。DCSM-RS實名認(rèn)證系統(tǒng)部署方式：圖3.4.1-1實名認(rèn)證系統(tǒng)部署示意圖DCSM-RSRadius平臺一般與DCSM-BW寬帶業(yè)務(wù)管理平臺同時部署，DCSM-RSRadius平臺負(fù)責(zé)用戶實時認(rèn)證、計費、控制策略下發(fā)以及Portal頁面推送，DCSM-BW寬帶業(yè)務(wù)管理平臺則負(fù)責(zé)用戶管理、業(yè)務(wù)策略配置、賬務(wù)處理、統(tǒng)計報表輸出、自助效勞、數(shù)據(jù)維護(hù)等后臺業(yè)務(wù)功能。DCSM-RS與DCSM-BW效勞器均需旁路部署在受防火墻等網(wǎng)絡(luò)平安設(shè)備保護(hù)的數(shù)據(jù)中心中，原網(wǎng)絡(luò)的部署與構(gòu)造無需調(diào)整，只需接入控制層的網(wǎng)絡(luò)設(shè)備支持相關(guān)的Radius和Portal協(xié)議，另外防火墻等網(wǎng)絡(luò)平安設(shè)備須允許RADIUS、PORTAL報文通信。網(wǎng)絡(luò)認(rèn)證方式主流的認(rèn)證方式有802.1*認(rèn)證，Portal認(rèn)證，無感知認(rèn)證，PPPOE認(rèn)證，手機短信認(rèn)證，二維碼認(rèn)證。802.1*認(rèn)證一般需要采用客戶端或者配置啟用終端系統(tǒng)自帶的802.1*客戶端來進(jìn)展認(rèn)證，對終端用戶的技術(shù)要求較高，多系統(tǒng)平臺的兼容性較低，管理員維護(hù)工作量增加。因此在本工程中不建議采用。Poral認(rèn)證采用WEB頁面重定向方式用瀏覽器為用戶推送認(rèn)證頁面，用戶終端不需要其他第三方軟件就可實現(xiàn)認(rèn)證。市場上主流的視窗類系統(tǒng)都支持，兼容性高。由于認(rèn)證時通過用戶常用瀏覽器進(jìn)展認(rèn)證，對用戶的技術(shù)要求低，管理員維護(hù)工作量很小。在保證網(wǎng)絡(luò)平安認(rèn)證的同時，用戶要求簡化認(rèn)證流程，因此神州數(shù)碼推出了無感知認(rèn)證，用戶在第一次通過Protal認(rèn)證之后，再次連接網(wǎng)絡(luò)就不需要在進(jìn)展認(rèn)證，直接就可以接入網(wǎng)絡(luò)，大幅簡化認(rèn)證流程。是本工程中作為首選的認(rèn)證方式。PPPOE認(rèn)證同樣需要使用客戶端進(jìn)展撥號上網(wǎng)，對于移動終端系統(tǒng)的兼容性低，后期維護(hù)工作量大。手機短信認(rèn)證主要用于外來訪客的上網(wǎng)認(rèn)證需求。例如，學(xué)生家長，其他地區(qū)的參觀團(tuán)，當(dāng)這些用戶有接入網(wǎng)絡(luò)需求，如果通過管理員一個一個的開通賬戶效率低，工作量大。采用手機短信認(rèn)證的方式，用戶通過自己的手機按需開通賬戶，管理員只需要預(yù)設(shè)好賬戶有效時間，賬戶到期后會自動銷戶。不需要管理員花時間精力去管理這些賬戶。管理員可根據(jù)實際情況隨時翻開或關(guān)閉短信認(rèn)證方式。二維碼認(rèn)證是目前基于移動終端應(yīng)用的一種認(rèn)證方式，系統(tǒng)將訪客終端的MAC地址信息以二維碼的方式表現(xiàn)出來，網(wǎng)絡(luò)授權(quán)由用戶通過手機掃描二維碼的方式進(jìn)展授權(quán)。下面對Portal認(rèn)證，二維碼認(rèn)證，手機短信認(rèn)證和二維碼認(rèn)證做一個講解。Portal認(rèn)證Portal認(rèn)證是通過瀏覽器重定向用戶頁面，將通過網(wǎng)頁瀏覽的方式進(jìn)展用戶認(rèn)證的方式。用戶上線認(rèn)證方式有兩種：CHAP和PAP，其中CHAP方式為必選功能，PAP方式為可選功能。PAP是明文認(rèn)證方式，所以一般建議采用CHAP加密認(rèn)證方式。以Chap為例的用戶上線認(rèn)證流程，如下列圖所示：圖3.4.2-1認(rèn)證流程示意圖用戶，經(jīng)過AC重定向到DCSM-RS，DCSM-RS推送認(rèn)證頁面；用戶填入用戶名、密碼，提交頁面，向DCSM-RS發(fā)起連接請求；DCSM-RS向AC請求Challenge；AC分配Challenge給DCSM-RS；DCSM-RS向AC發(fā)起認(rèn)證請求；而后AC進(jìn)展RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；AC向DCSM-RS送認(rèn)證結(jié)果；DCSM-RS將認(rèn)證結(jié)果填入頁面，和門戶一起推送給客戶；DCSM-RS回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報文。DCSM-RS集成功能完整的Portal門戶推送平臺，支持運營商及廠家接入設(shè)備Portal協(xié)議，可基于位置〔VLAN/IP〕和終端類型推送指定的頁面，使之成為運營商優(yōu)異的基于Portal門戶頁面的廣告運營、業(yè)務(wù)推廣等增值業(yè)務(wù)平臺。DCSM-RSPortal功能特性：快捷便利的Portal頁面編輯內(nèi)置Portal頁面編輯工具，可針對不同網(wǎng)絡(luò)位置或商戶選擇或編輯Portal，實時動態(tài)定義頁面風(fēng)格、樣式、內(nèi)容及使用方式等等，充分展現(xiàn)用戶的個性，使運營商能夠快速更新門戶信息，快速響應(yīng)市場及合作商的需求，同時也促使終端用戶感受有效的信息體驗，增加用戶對Portal門戶的粘度。WEBPortal認(rèn)證和兼容性支持行業(yè)標(biāo)準(zhǔn)的Portal通訊協(xié)議和漫游認(rèn)證協(xié)議標(biāo)準(zhǔn)。遵循"中國移動WLAN業(yè)務(wù)PORTAL協(xié)議標(biāo)準(zhǔn)"、"中國移動WLANPortal設(shè)備標(biāo)準(zhǔn)"、"中國電信WLAN漫游認(rèn)證WISPr協(xié)議標(biāo)準(zhǔn)"支持Cisco、Aruba、華三等主流無線設(shè)備廠家Portal協(xié)議基于終端類型的頁面推送自動匹配用戶終端類型的頁面推送，如智能手機、平板電腦、筆記本電腦等，為用戶提供優(yōu)質(zhì)便利的接入體驗?；谖恢玫膬?nèi)容推送根據(jù)用戶的位置〔VLAN/IP段〕推送不同的內(nèi)容，為場地運營者〔如公共區(qū)域的不同商戶、企業(yè)等〕提供個性化的網(wǎng)絡(luò)門戶，實現(xiàn)廣告運營、消費者互動等增值業(yè)務(wù)和商業(yè)模式。無感知認(rèn)證用戶無感知認(rèn)證方式，解決用戶需要提升使用者體驗的同時，又保證了網(wǎng)絡(luò)使用的平安性。用戶無感知認(rèn)證，用戶在第一次portal認(rèn)證后，后續(xù)上網(wǎng)行為無需再輸入賬號密碼，在用戶無感知的情況下認(rèn)證通過上網(wǎng)，保證平安性的同時提升了用戶體驗。具體實現(xiàn)設(shè)計如下列圖所示：圖用戶首次認(rèn)證示意圖圖用戶再次上線認(rèn)證示意圖注意：圖中的MAC綁定效勞器并不是單獨的一個設(shè)備，是在AAAserver中的擴(kuò)展功能，為了表述清晰，將其單獨提出。用戶使用體驗流程：圖3.4.2-4無感知認(rèn)證流程圖如流程圖所示，用戶在第一次連接網(wǎng)絡(luò)的時候，需要彈出portal，輸入賬號密碼，點擊確認(rèn)，認(rèn)證通過后可以網(wǎng)絡(luò)；后續(xù)上網(wǎng)，無需再彈出portal，輸入賬號名密碼等繁瑣操作，給用戶的感覺是連接wifi，就直接上網(wǎng)了；實際底層是經(jīng)過了平安身份認(rèn)證。該種方式，確保無線網(wǎng)絡(luò)的平安性，網(wǎng)絡(luò)用戶使用可追溯，保證了用戶管理的需要，又防止了網(wǎng)絡(luò)用戶的繁瑣操作，提升了用戶上網(wǎng)體驗。手機短信認(rèn)證無線上網(wǎng)用戶主要分成內(nèi)部固定用戶、外來訪客用戶兩種，在無線覆蓋環(huán)境中，由于用戶流動性強，如何有效的對外來訪客進(jìn)展管理，表達(dá)無線的便捷性及平安性，成為重中之重。對于外來訪客，為了網(wǎng)絡(luò)平安，接入企業(yè)的無線網(wǎng)自然需要經(jīng)過身份認(rèn)證，以便監(jiān)控與管理。為了提供給訪客簡單快捷的獲取上網(wǎng)賬號密碼的方式，特別是對于辦公區(qū)域面積比擬大的園區(qū)，像擁有多個辦公樓的園區(qū)，讓訪客只能在一個固定的地方且需要經(jīng)過人工辦理的方式獲取上網(wǎng)賬號密碼，既費時又占用人力，所以訪客自助獲取賬號密碼是比擬簡便快捷的方式。短信認(rèn)證是指通過短信發(fā)送密碼，由后臺效勞器通過短信貓和短信通道發(fā)送，短信貓用的最多是socket接口，短信通道一般為接口，三大運營商根本都是用接口，具體調(diào)用接口的內(nèi)容各有不同。D無線網(wǎng)絡(luò)運營方案提供多種短信認(rèn)證接口，包含通過短信貓方式、與當(dāng)?shù)剡\營商對接方式以及與短信運營公司對接方式。與當(dāng)?shù)剡\營商購置短信網(wǎng)關(guān)效勞一般在用戶當(dāng)?shù)剡\營商，都有短信網(wǎng)關(guān)效勞，無線網(wǎng)絡(luò)管理者直接跟運營商進(jìn)展短信購置即可。短信發(fā)送賬號密碼拓?fù)涫疽鈭D如下：圖3.4.2-5短信網(wǎng)關(guān)認(rèn)證流程圖如下圖，在短信網(wǎng)關(guān)使用的情況下，網(wǎng)絡(luò)架構(gòu)是無需變化調(diào)整的，只需后臺RadiusServer軟件開通短信通道接口即可。與短信運營公司對接為節(jié)省運營管理者的本錢，RadiusServer軟件的短信通道也支持與該類運營公司對接，通過運營公司的固有出口連接到移動、聯(lián)通等各大運營商網(wǎng)，實現(xiàn)短信下發(fā)到最終用戶。無線網(wǎng)的運營管理者只需與短信類運營公司進(jìn)展資費洽談以及短信量購置，該費用會低于直接與各大運營商直接購置費用，同時無需多個運營商洽談的麻煩。拓?fù)涫疽鈭D如下：圖3.4.2-6短信運營公司認(rèn)證流程圖短信貓方式。單獨購置一臺短信貓設(shè)備，通過socket接口與認(rèn)證計費系統(tǒng)對接。通常不建議用短信貓方式，短信貓相當(dāng)于一個手機，單條短信本錢高，按普通短信價格收，用戶體驗不好，且容易被運營商屏蔽。用戶短信認(rèn)證步驟：翻開手機，翻開手機，portal推送，短信申請短信獲取賬號密碼輸入后，上網(wǎng)沖浪圖3.4.2-7認(rèn)證步驟D方案同時支持終端portal頁面推送的定制，方式便捷易用。通過手機申請**，便于對流動用戶的管理，對網(wǎng)絡(luò)問題可有效追查定位。用戶自助完成上網(wǎng)賬號獲取，可以節(jié)省企業(yè)管理方的人力本錢和維護(hù)本錢，下面以本系統(tǒng)在**移動無線城市的案例為例，介紹自助上網(wǎng)獲取的過程：無線用戶任意網(wǎng)址后，通過Portal強制重定向指定頁面，輸入個人手機，如下列圖：第二步：點擊獲取密碼第一步：輸入**移動本地手機號第二步：點擊獲取密碼第一步：輸入**移動本地手機號圖3.4.2-8認(rèn)證界面如果輸入手機正確，則提示動態(tài)密碼發(fā)送成功，如下列圖：圖3.4.2-9認(rèn)證密碼發(fā)送提示登錄成功后頁面如下提示：圖3.4.2-10用戶通過認(rèn)證Portal頁面可自動匹配用戶的終端類型，如手機用戶，則系統(tǒng)推送的Portal頁面如下：圖手機認(rèn)證頁面二維碼認(rèn)證二維碼認(rèn)證可以授權(quán)人可以通過手機掃描認(rèn)證系統(tǒng)為被授權(quán)人生成的二維碼來對被授權(quán)人進(jìn)展授權(quán)，當(dāng)通過授權(quán)后被授權(quán)人就可以使用自己的終端直接網(wǎng)絡(luò)。這種方式防止了管理員為來訪者逐一開戶，管理員只需要將網(wǎng)絡(luò)授權(quán)時間設(shè)定好，超時后臨時賬戶自動刪除。認(rèn)證流程如下列圖：認(rèn)證系統(tǒng)分權(quán)管理在認(rèn)證和賬戶管理上*市教育局要求進(jìn)展統(tǒng)一認(rèn)證，統(tǒng)一管理。但是使用主體是學(xué)校，學(xué)校因為一些臨時要求需要對賬戶進(jìn)展開戶，銷戶等操作，而如果每次都通過教育局管理員來操作效率低下，不能滿足需求。而DCSM校園寬帶認(rèn)證計費系統(tǒng)支持完善的角色權(quán)限管理?？梢詾閷W(xué)校管理員分配一定的賬戶權(quán)限，讓學(xué)校管理員可以針對本校需求進(jìn)展簡單的賬戶開戶，銷戶的操作。DCSM-RS可以為角色信息配置工號、、別名，可以分別用其中之一登錄系統(tǒng)?？梢耘渲孟到y(tǒng)使用者是否可以多點登錄系統(tǒng)及源地址范圍綁定等。功能權(quán)限：系統(tǒng)導(dǎo)航的每個功能點都可以在權(quán)限中進(jìn)展具體配置；內(nèi)容權(quán)限：對各種套餐組、資費組、地區(qū)組等組屬性可以具體配置各個系統(tǒng)使用者允許操作與查看的組，從而決定可以管理的用戶范圍。方便實現(xiàn)不同校區(qū)的權(quán)限管理。圖認(rèn)證系統(tǒng)分權(quán)管理界面用戶自效勞平臺自助效勞系統(tǒng)支持豐富的自助查詢與自助業(yè)務(wù)辦理功能，自助系統(tǒng)開放的功能可以在后臺管理界面上由系統(tǒng)管理員統(tǒng)一配置，比方允許開放的自助查詢業(yè)務(wù)、自助變更套餐、停/開機等。此外，還可以靈活配置允許自助維護(hù)用戶資料的選項，比方哪些用戶資料允許變更，哪些允許一次性變更等。支持界面的換膚功能，用戶可以選擇自己喜歡的界面風(fēng)格，為最終上網(wǎng)用戶提供友好的使用感受。無線管理系統(tǒng)部署神州數(shù)碼的DCLM是一套有線無線一體化的綜合網(wǎng)絡(luò)管理平臺，可從方案、實施、監(jiān)控、配置、問題處理、報告等對企業(yè)網(wǎng)絡(luò)進(jìn)展全面的管理。通過集中、直觀、易于使用的用戶管理界面顯著地降低了網(wǎng)絡(luò)運營本錢。提供清晰的網(wǎng)絡(luò)管理和控制平臺，無線管理組件DCLM-Wlan，支持包括AC、AP和移動客戶端的位置的實時監(jiān)控，wlan平安實施和防御的網(wǎng)絡(luò)實時監(jiān)控，網(wǎng)絡(luò)自動化和調(diào)度范圍內(nèi)的配置，快速、高效的故障排除。支持發(fā)現(xiàn)并管理有線設(shè)備,DCLM-Lan組件提供有線效勞，包含設(shè)備的狀態(tài)、設(shè)備名稱、設(shè)備組、IP地址、MAC地址、位置、聯(lián)系人、設(shè)備類型、供給商、型號、軟件版本、硬件版本、固件版本、配置版本、設(shè)備序列號、TOP10告警信息、CPU和內(nèi)存使用率、響應(yīng)時間和丟包率、交換機的所有的接口信息等等功能。倘假設(shè)當(dāng)前交換機是POE設(shè)備，還可以對接口進(jìn)展開關(guān)設(shè)置。支持位置效勞功能，其DCLM-Location組件支持在熱點地圖上定位客戶端、流氓客戶端或流氓AP的位置等功能。圖3.5-1無線終端定位支持無線規(guī)劃功能：DCLM-Planner組件能夠幫助用戶在地圖上手動或自動的規(guī)劃AP的位置，保證滿足熱點覆蓋率。DCLM產(chǎn)品主要配合神州數(shù)碼設(shè)備使用，提供簡易的圖形化的配置界面，實現(xiàn)通過智能的按時按需方式對單個或批量設(shè)備進(jìn)展配置修改,配置文件備份/恢復(fù),和固件升級，從而大大降低管理員的維護(hù)強度和難度?？梢詽M足從小型，中型，大型wlan和lan部署多達(dá)數(shù)萬的網(wǎng)絡(luò)設(shè)備的需求，支持神州數(shù)碼全系列無線AC和AP產(chǎn)品,以及全系列路由和交換產(chǎn)品，并支持第三方網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn),拓?fù)浜徒y(tǒng)一監(jiān)控。平安運維審計部署由于信息系統(tǒng)的脆弱性、技術(shù)的復(fù)雜性、操作的人為因素，在設(shè)計以預(yù)防、減少或消除潛在的風(fēng)險或風(fēng)險暴露的平安控制時，還應(yīng)考慮運維管理與操作監(jiān)控機制以預(yù)防、發(fā)現(xiàn)錯誤或違規(guī)事件，對IT風(fēng)險進(jìn)展事前防范、事中控制、事后監(jiān)視和糾正的組合控制。IT運維審計作為預(yù)防性控制的有效補充，并檢查、監(jiān)控控制的適當(dāng)性與充分性，在信息科技風(fēng)險管理中發(fā)揮極重要作用。對IT系統(tǒng)運維進(jìn)展審計，是控制內(nèi)部風(fēng)險的一個重要手段，但大型機構(gòu)的IT系統(tǒng)構(gòu)成復(fù)雜，操作人員眾多，如何有效地執(zhí)行審計工作，是長期困擾各組織信息科技和風(fēng)險稽核部門的一個重大課題。對任意組織而言，采用基于計算機的審計技術(shù)或工具〔CAATs,puterAssistedAuditTechniques/Tools〕無疑是實現(xiàn)監(jiān)管信息化、提升工作績效的重要途徑。但首先需要解決的問題是：組織需要關(guān)心哪些類型的審計信息？哪些信息或行為對組織尤為關(guān)鍵？目前通用的審計工具大多從網(wǎng)絡(luò)層面或效勞器日志層面獲取較為龐雜的信息，往往會導(dǎo)致關(guān)鍵的管理信息或敏感操作淹沒于日常業(yè)務(wù)數(shù)據(jù)中，或無法追溯操作行為軌跡、了解操作行為意圖，可能影響審計的有效性或效率。我們因應(yīng)市場對IT運維審計的需求，集其多年信息平安領(lǐng)域運維管理與平安效勞的經(jīng)歷，結(jié)合行業(yè)最正確實踐與合規(guī)性要求，率先推出基于硬件效勞器平臺的"平安審計系統(tǒng)〔DCSAS〕〞，針對于核心資產(chǎn)的運維管理，再現(xiàn)關(guān)鍵行為軌跡，探索操作意圖，集全局實時監(jiān)控與敏感過程回放等功能特點，有效解決了信息化監(jiān)管中的一個核心問題。"平安審計系統(tǒng)〔DCSAS〕〞目標(biāo)是為組織IT系統(tǒng)核心效勞器的運維操作提供強有力的監(jiān)控、審計手段，使其切實滿足內(nèi)控管理中的合規(guī)性要求。平安審計系統(tǒng)〔DCSAS〕可對主機、效勞器、網(wǎng)絡(luò)設(shè)備、平安設(shè)備等的管理維護(hù)進(jìn)展平安、有效、直觀的操作審計，對策略配置、系統(tǒng)維護(hù)、內(nèi)部等進(jìn)展詳細(xì)的記錄，提供細(xì)粒度的審計，并支持操作過程的全程回放。平安審計系統(tǒng)〔DCSAS〕彌補了傳統(tǒng)審計系統(tǒng)的缺乏，將運維審計由事件審計提升為內(nèi)容審計，并將身份認(rèn)證、授權(quán)、管理、審計有機地結(jié)合，保證只有合法用戶才能使用其擁有運維權(quán)限的關(guān)鍵資源。平安審計系統(tǒng)〔DCSAS〕為組織在IT操作風(fēng)險控制、內(nèi)控平安和合規(guī)性等方面提供一套完善、有效的審計手段。鑒于網(wǎng)絡(luò)及管理架構(gòu)的復(fù)雜性，平安審計系統(tǒng)〔DCSAS〕系統(tǒng)提供了靈活的部署方式，既可以采取串連模式，也可以采用單臂模式接入到企業(yè)內(nèi)部網(wǎng)絡(luò)中。采用串連模式部署時，平安審計系統(tǒng)〔DCSAS〕具備一定程度上的網(wǎng)絡(luò)控制的功能，可提高核心效勞器的平安性；采用單臂模式部署時，不改變網(wǎng)絡(luò)拓?fù)?，安裝調(diào)試過程簡單，可按照網(wǎng)絡(luò)架構(gòu)的實際情況靈活接入。圖3.6-1：單臂模式接入圖3.6-2：串聯(lián)模式接入無論串連模式還是在單臂模式，通過平安審計系統(tǒng)〔DCSAS〕IT根底效勞資源的操作都將被詳細(xì)的記錄和存儲下來，作為審計的根底數(shù)據(jù)。平安審計系統(tǒng)〔DCSAS〕的部署不會對業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)中的數(shù)據(jù)流向、帶寬等重要指標(biāo)產(chǎn)生負(fù)面影響，無需在核心效勞器上安裝任何軟硬件系統(tǒng)。系統(tǒng)特性：完整的身份管理和認(rèn)證為了確保合法用戶才能其擁有權(quán)限的后臺資源，解決IT系統(tǒng)中普遍存在的穿插運維而無法定位到具體人的問題，滿足審計系統(tǒng)"誰做的〞要求，系統(tǒng)提供一套完整的身份管理和認(rèn)證功能。支持靜態(tài)口令、動態(tài)口令、LDAP、AD域認(rèn)證方式；支持密碼強度、密碼效期、口令嘗試死鎖、用戶激活等平安管理功能；支持用戶分組管理；支持用戶信息導(dǎo)入導(dǎo)出，方便批量處理。靈活、細(xì)粒度的授權(quán)系統(tǒng)提供基于用戶、運維協(xié)議、目標(biāo)主機、運維時間段〔年、月、日、周、時間〕、會