商業(yè)WiFi解決方案技術(shù)建議書

目錄1概述 11.1簡介 11.2運(yùn)營問題與挑戰(zhàn) 11.3總體設(shè)計原則 22需求分析與典型場景 32.1典型場景 32.1.1多場景Wi-Fi覆蓋 32.1.2便捷的網(wǎng)絡(luò)接入認(rèn)證 42.1.3提供實(shí)時導(dǎo)航應(yīng)用 52.1.4市場推廣及精準(zhǔn)營銷 62.1.5商場運(yùn)營&安全管理 72.1.6安全合規(guī)、日志審計 92.2商超ICT建設(shè)訴求 93華為商業(yè)Wi-Fi解決方案概述 113.1方案定位 113.2方案概覽 113.3典型組網(wǎng) 124Wi-Fi覆蓋方案 154.1概述 154.1.1AC部署方式 154.1.2AP部署和選型 184.1.3IP地址規(guī)劃 184.1.4SSID規(guī)劃 194.1.5射頻管理規(guī)劃 194.1.6高密覆蓋場景 205用戶認(rèn)證管理方案 225.1用戶身份驗(yàn)證方式 225.1.1短信認(rèn)證 235.1.2Portal認(rèn)證 245.1.3微信認(rèn)證 255.1.4APP認(rèn)證 275.2用戶認(rèn)證和應(yīng)用組網(wǎng) 285.3用戶策略管理 305.4海量賬號管理 315.5分組流量控制 325.6終端的精細(xì)化管理 346網(wǎng)絡(luò)運(yùn)維方案 356.1WLAN全生命周期管理 356.2掌控網(wǎng)絡(luò)eSightMobile 366.2.1業(yè)務(wù)監(jiān)控 376.2.2區(qū)域監(jiān)控 376.2.3故障診斷 376.2.4無線網(wǎng)絡(luò)評測 386.3用戶資源管理 396.3.1用戶數(shù)據(jù)管理 396.3.2用戶數(shù)據(jù)報表 406.4第三方AP管理 416.5SAC智能應(yīng)用控制 426.6無線安全管理 436.6.1WIDS/WIPS 436.6.2頻譜分析無線干擾源 456.6.3無線釣魚與RougeAP防護(hù) 456.7用戶上網(wǎng)行為審計 477安全合規(guī)方案 497.1合規(guī)審計 497.1.1方案一：統(tǒng)一存儲管理 497.1.2方案二：本地存儲管理 517.1.3方案選取建議 517.2安全規(guī)劃 517.2.1有線安全 517.2.2無線空口安全 528eSight無線定位 558.1網(wǎng)絡(luò)側(cè)定位與終端側(cè)定位 558.1.1網(wǎng)絡(luò)側(cè)定位 558.1.2終端側(cè)的定位 558.2Wi-Fi定位 568.2.1定位原理 568.2.2組網(wǎng)架構(gòu) 578.2.3使用場景 578.2.4推薦部署 588.2.5單AP定位 598.3藍(lán)牙定位 598.3.1定位原理 598.3.2組網(wǎng)架構(gòu) 618.3.3使用場景 618.3.4推薦部署 618.4北向接口 628.4.1整體架構(gòu) 628.4.2基于eSightWI-FI定位北向接口的應(yīng)用開發(fā) 628.4.3eSight藍(lán)牙定位SDK的二次集成開發(fā) 648.5部署方式 648.5.1定位引擎與eSight服務(wù)器同機(jī)部署 648.5.2定位引擎與eSight服務(wù)器同機(jī)部署 648.5.3·定位引擎與eSight服務(wù)器分機(jī)部署 659設(shè)備介紹 669.1WLAN接入控制器 669.1.1AC6605接入控制器 669.1.2AC6005接入控制器 679.1.3AP4030DN&AP4130DN接入點(diǎn) 689.1.4AP4030DN-E接入點(diǎn) 699.1.5AP4030TN接入點(diǎn) 709.1.6AP4050DN-E接入點(diǎn) 719.1.7AP4050DN-HD接入點(diǎn) 729.1.8AP5030DN&AP5130DN接入點(diǎn) 739.1.9AP5030DN-C接入點(diǎn) 759.1.10AP5030DN-S無線接入點(diǎn) 769.1.11AP6050DN&AP6150DN接入點(diǎn) 769.1.12AP6310SN-GN接入點(diǎn) 779.1.13AP7030DE接入點(diǎn) 789.1.14AP7050DN-E接入點(diǎn) 799.1.15AP7050DE接入點(diǎn) 809.1.16AP9330DN接入點(diǎn) 819.1.17AD9430DN中心AP 829.1.18AP9131DN&AP9132DN無線接入點(diǎn) 839.2網(wǎng)管和SDN控制器 849.2.1eSight 849.2.2敏捷控制器 85概述簡介零售業(yè)正處于第三次變革時期，此次變革是基于互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)推動的全方位的零售革命，通過線上平臺，消費(fèi)者購物不受時空限制，云計算搜集消費(fèi)者線上行為并匯總到云端，大數(shù)據(jù)做深度挖掘，獲取消費(fèi)者的需求。零售商擁有精準(zhǔn)的信息后，便可組織供應(yīng)鏈資源，滿足消費(fèi)者的需求。而相對于線上，在商品展示、溝通交流、退換貨服務(wù)等方面，線下購物在體驗(yàn)有無法媲美的優(yōu)勢，消費(fèi)者線上和線下交叉互動是普遍的購物行為；對于購物中心類的零售業(yè)主，利潤來源主要來自于租賃業(yè)務(wù)。如何理解消費(fèi)者新的購物行為，幫助購物中心品牌改進(jìn)自己的溝通戰(zhàn)略，在合適的時間地點(diǎn)用對的信息與消費(fèi)者溝通，在每個觸點(diǎn),在家，在路上，在店內(nèi)，都做到令消費(fèi)者滿意的品牌，才能最終贏得消費(fèi)者；隨著移動終端的普及，購物中心越來越多通過移動營銷降低消費(fèi)者信息的獲取成本，提升消費(fèi)積極性；當(dāng)消費(fèi)者來到店內(nèi)后，為消費(fèi)者提供個性化的服務(wù)、極致的購物體驗(yàn)提升消費(fèi)者的購物黏性，進(jìn)而鼓勵和促進(jìn)消費(fèi)者進(jìn)行社交網(wǎng)絡(luò)分享，吸引更多的消費(fèi)人群，形成傳播＋消費(fèi)的良性循環(huán)，這種模式已經(jīng)成為購物中心普遍的發(fā)展趨勢；可以總結(jié)為移動營銷、線下體驗(yàn)、社交傳播的O2O（onlinetooffline）運(yùn)營模式。運(yùn)營問題與挑戰(zhàn)

購物中心商業(yè)成功的有三個關(guān)鍵因素，移動營銷、極致體驗(yàn)、高效運(yùn)營；極致體驗(yàn)決定消費(fèi)者在線下購物之后，是否會產(chǎn)生腦海里產(chǎn)生化學(xué)反應(yīng)，成功黏住消費(fèi)者；購物中心運(yùn)營方需要和消費(fèi)者各個接觸點(diǎn)形成及時和有針對性的互動，為消費(fèi)者提供個性化的體驗(yàn)，構(gòu)建有黏性的客戶關(guān)系，才能持續(xù)贏得客戶；傳統(tǒng)購物中心在購物體驗(yàn)存在的一些問題如下：導(dǎo)航：購物中心平面地形通常很復(fù)雜，以“迷宮“著稱，顧客在購物過程中尋找目的店鋪花費(fèi)較多時間，在購物后為找停車位置而煩惱；信息獲取：消費(fèi)者逛賣場時，希望快捷獲取優(yōu)惠信息，但現(xiàn)在的賣場充斥著各種各樣的信息強(qiáng)制推送給消費(fèi)者，讓消費(fèi)者有類似“垃圾短信“的厭倦感；支付：節(jié)假日、人流高峰期經(jīng)常出現(xiàn)長龍買單現(xiàn)象；休閑：消費(fèi)者在購物中心要么不能通過WIFI上網(wǎng)，要么連接WIFI上網(wǎng)后不流暢；高效運(yùn)營面向購物中心業(yè)主方，各個環(huán)節(jié)精益運(yùn)營，提升工作效率，提高作業(yè)準(zhǔn)確性，降低勞動強(qiáng)度，零售業(yè)目前面臨的一些效率問題如下：業(yè)務(wù)快速上線周期長：大型賣場的上線周期通常超過一個月；ICT運(yùn)維效率低下：ICT問題不能提前預(yù)警，需要維護(hù)人員現(xiàn)場處理，事后沒有記錄閉環(huán)等，都導(dǎo)致運(yùn)維的效率非常低下；及時準(zhǔn)確獲取客流信息，并分析顧客行為越來約關(guān)鍵；客流信息是衡量商業(yè)運(yùn)營狀況的重要指標(biāo)。通過準(zhǔn)確的人流量化數(shù)據(jù)來研究流量規(guī)律，不但可以了解相關(guān)設(shè)施在運(yùn)行中的狀況，還可以利用這些高精度的數(shù)據(jù)，進(jìn)行有效的組織運(yùn)營工作：通過深入的顧客數(shù)據(jù)研究，可以最大限度地挖掘賣場的銷售潛力，增加銷售機(jī)會；同時，對于人流密度較大的區(qū)域采取相應(yīng)的措施，還可以進(jìn)行很好的走向引導(dǎo)和安全預(yù)警；購物中心越來越希望準(zhǔn)確掌握各個商鋪的銷售情況，為租賃業(yè)務(wù)提供數(shù)據(jù)支持；對顧客購物行為跟蹤是另外一個迫切希望獲取的數(shù)據(jù)，挖掘顧客的關(guān)注點(diǎn)和潛在購買意向，為調(diào)整銷售策略提供數(shù)據(jù)支持；移動營銷旨在降低消費(fèi)者信息獲取成本，提升消費(fèi)積極性；隨著高速無線網(wǎng)絡(luò)和智能設(shè)備的普及，消費(fèi)者越來越依賴移動終端隨時隨地獲取信息，通過移動營銷縮線下門店與消費(fèi)者的距離，吸引消費(fèi)者消費(fèi)是成功的第一步；而目前上線的商城類AppS普遍存在的問題有：信息更新少慢，用戶粘度不足商戶無參與，促銷推廣受商城限制；注冊機(jī)制的濫用，不能吸引足夠的流量；缺乏會員專屬體驗(yàn)沒有打通社交傳播路徑；運(yùn)維成本高：有線、無線兩張網(wǎng)絡(luò)，網(wǎng)絡(luò)與業(yè)務(wù)信息無法實(shí)時直觀體現(xiàn)，運(yùn)維成本高?？傮w設(shè)計原則為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性和高可靠性，并且易于維護(hù)、管理和擴(kuò)展，全部網(wǎng)絡(luò)設(shè)備均嚴(yán)格執(zhí)行國際標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，以保證采用設(shè)備所建立的網(wǎng)絡(luò)是一個名副其實(shí)的開放的網(wǎng)絡(luò)系統(tǒng)，成為用戶信息交換、資源共享的標(biāo)準(zhǔn)平臺。在此基礎(chǔ)上，在方案設(shè)計上充分考慮技術(shù)發(fā)展的潮流，既兼顧了技術(shù)上的成熟性，同時保證了系統(tǒng)的先進(jìn)性?；跇?biāo)準(zhǔn)化的設(shè)計和實(shí)現(xiàn)在結(jié)構(gòu)上實(shí)現(xiàn)真正開放，基于國際開放式標(biāo)準(zhǔn)，開放的網(wǎng)絡(luò)使用戶可以自由地選擇不同廠家的產(chǎn)品，不會受到某些廠家專有標(biāo)準(zhǔn)的限制，最大程度地保護(hù)用戶的利益。網(wǎng)絡(luò)設(shè)備采用標(biāo)準(zhǔn)的接口和規(guī)范和協(xié)議，使不同廠家的設(shè)備可以順利地連接。高可靠性為了防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，保證把局部故障對網(wǎng)絡(luò)的影響降低到最小。高性能為了及時、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用（如：無線語音，視頻會議系統(tǒng)）對網(wǎng)絡(luò)帶寬的需求。高安全為了保護(hù)用戶在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問控制，通過使用VPN、包過濾及防火墻等技術(shù)保證數(shù)據(jù)的安全傳輸。易于安裝、操作和管理良好的組織和管理對網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡(luò)應(yīng)該能夠提供方便、靈活、有力的工具，使得無論是安裝、操作還是使用對用戶來說都輕而易舉?？蓴U(kuò)展性，具備支持目前及未來關(guān)鍵應(yīng)用的能力隨著用戶應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地擴(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證用戶現(xiàn)有的投資。資源的高效利用合理利用昂貴的廣域網(wǎng)絡(luò)資源，在有限的資源下，獲得最大化的服務(wù)質(zhì)量，同時將網(wǎng)絡(luò)的運(yùn)行成本降到最低。需求分析與典型場景典型場景多場景Wi-Fi覆蓋應(yīng)用場景由于商超存在多場景Wi-Fi覆蓋需求，不僅有單店鋪區(qū)域、走廊及電梯，還可能包含地下停車場、表演廣場等。不同場景下對無線覆蓋的需求各不相同，手工規(guī)劃難度大，難以保證部署質(zhì)量以及客戶體驗(yàn)。因此，要想保證商場Wi-Fi帶來良好的使用體驗(yàn)，無線網(wǎng)絡(luò)建設(shè)必須全方位考慮不同場景，并使用專業(yè)的規(guī)劃設(shè)計工具，以保證后期用戶網(wǎng)絡(luò)體驗(yàn)。解決方案 華為商業(yè)Wi-Fi解決方案針對單店鋪場景、室內(nèi)高密場景、室外熱點(diǎn)覆蓋場景及定位業(yè)務(wù)場景，分別提供了專業(yè)化的無線覆蓋解決方案，全方位保證商超內(nèi)流暢的Wi-Fi上網(wǎng)體驗(yàn)。eSight提供專業(yè)的網(wǎng)規(guī)工具，可快速、準(zhǔn)確實(shí)現(xiàn)AP布放規(guī)劃。便捷的網(wǎng)絡(luò)接入認(rèn)證應(yīng)用場景顧客進(jìn)入商場后，想要找到商場提供的免費(fèi)Wi-Fi網(wǎng)絡(luò)，并通過便捷的流程快速接入。解決方案Portal認(rèn)證是最基本的認(rèn)證方式之一，在眾多商業(yè)Wi-Fi場景下被廣泛的應(yīng)用。除提供傳統(tǒng)Portal認(rèn)證外，還提供微信認(rèn)證、二維碼掃描認(rèn)證、第三方賬號認(rèn)證等多種認(rèn)證方式。使得用戶在接入Wi-Fi網(wǎng)絡(luò)時，可以直接使用已有賬號來接入網(wǎng)絡(luò)，免去注冊時的繁瑣操作，大大提高接入Wi-Fi網(wǎng)絡(luò)時的易用性，同時吸納大量粉絲，增加商家和顧客之間的粘性。 提供實(shí)時導(dǎo)航應(yīng)用應(yīng)用場景 購物中心平面地形通常很復(fù)雜，以“迷宮“著稱，顧客在購物過程中尋找目的店鋪花費(fèi)較多時間；在購物后為找停車位置而煩惱。顧客常常產(chǎn)生以下疑問：哪里有空車位？我要找新開的CHANEL專賣店，該怎么走？我所喜愛的餐館在哪里？我車放在地下停車場什么位置？解決方案 eSight無線定位系統(tǒng)提供Wi-Fi定位和藍(lán)牙定位功能，并可提供北向接口API給合作伙伴進(jìn)行對接。由于實(shí)時導(dǎo)航類應(yīng)用對精度和時延有較高要求，推薦使用藍(lán)牙方案，由合作伙伴開發(fā)手機(jī)APP應(yīng)用，并集成eSight藍(lán)牙定位SDK進(jìn)行實(shí)時位置呈現(xiàn)。 市場推廣及精準(zhǔn)營銷應(yīng)用場景在百貨商場或購物超市，商家需要借助于商場手機(jī)App或微信公眾號，第一時間告訴顧客附近有哪些商品在打折，哪些商戶再搞促銷活動，哪些餐館正在發(fā)放優(yōu)惠券等。解決方案 商家通過線上和線下數(shù)據(jù)分析描繪用戶行為軌跡和屬性，有針對性的推送商家廣告信息，提交營銷效率，降低盲目營銷帶來的成本。簡單聯(lián)網(wǎng)服務(wù)中快速有效的傳達(dá)商家信息至用戶，達(dá)到智能移動端最低成本運(yùn)營和最關(guān)鍵有效的商業(yè)信息廣告投放價值。幫助行業(yè)商家快速實(shí)現(xiàn)“附近的人“轉(zhuǎn)化為“門店的人”。當(dāng)顧客進(jìn)入某設(shè)定區(qū)域時，按照顧客畫像設(shè)定推送廣告。商場運(yùn)營&安全管理應(yīng)用場景商場希望通過客流量分析、客流密度統(tǒng)計、顧客進(jìn)店統(tǒng)計等位置信息數(shù)據(jù)實(shí)時掌握商場內(nèi)運(yùn)營動態(tài)，分析顧客消費(fèi)和購物習(xí)慣、洞察銷售額變因、提升商場競爭力等。 另外，商場節(jié)假日或互動營銷時容易造成人員大規(guī)模聚集，極易引發(fā)各種公共安全事故。解決方案 用戶行為分析幫助商家量化客流情況、分析人群動線和顧客行為習(xí)慣，并據(jù)此優(yōu)化定制更多個性化服務(wù)商鋪分析幫助商場分析商鋪間關(guān)聯(lián)關(guān)系，比較商鋪間優(yōu)劣勢，分析商鋪經(jīng)營成敗，調(diào)整租金價格等經(jīng)營優(yōu)化分析分析店鋪經(jīng)營狀況，分析營銷活動價值，有利于給出提升銷售業(yè)績的科學(xué)方法節(jié)能管理根據(jù)區(qū)域人流和消費(fèi)習(xí)慣等調(diào)整人員設(shè)置、燈光強(qiáng)度、音樂類型廣告價值分析分析廣告投放最佳位置、方式和地點(diǎn)，最大化廣告覆蓋范圍公共安全監(jiān)控密切關(guān)注人流分布動向，及時采取應(yīng)對措施，避免可能的公共安全事故，打造“和諧”商場。安全合規(guī)、日志審計應(yīng)用場景根據(jù)公安部82號令，針對酒店、商場、車站等公安重點(diǎn)檢測區(qū)域，用戶上網(wǎng)信息的日志存儲留存需要至少保存60天以上。同時提供多維度的安全措施，保障用戶使用Wi-Fi網(wǎng)絡(luò)的安全。解決方案 華為商業(yè)Wi-Fi解決方案通過部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網(wǎng)提供安全保障，同時對Wi-Fi用戶的上網(wǎng)行為進(jìn)行審計，滿足公安部82號令的審查要求。上網(wǎng)行為審計具體體現(xiàn)在對Wi-Fi用戶上網(wǎng)信息的日志進(jìn)行存儲，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時間、內(nèi)外網(wǎng)地址轉(zhuǎn)換對應(yīng)關(guān)系（NAT溯源）。對于連鎖類或者網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)較多的場景，建議選擇如下方案，將日志進(jìn)行統(tǒng)一的存儲和管理。對于單個門店或者單個獨(dú)立網(wǎng)絡(luò)的場景，如果出于成本考慮可以選擇用戶的日志信息存儲在本地的方案。商超ICT建設(shè)訴求針對購物中心業(yè)務(wù)發(fā)展的核心需求，ICT建設(shè)訴求如下：購物中心無線網(wǎng)絡(luò)訴求；無論是消費(fèi)者在購物中心使用商城AppS，還是購物中心的移動運(yùn)營、移動辦公都需要部署基礎(chǔ)的WLAN網(wǎng)絡(luò)來支撐移動運(yùn)營；購物中心WLAN網(wǎng)絡(luò)部署的要求如下：無線信號賣場全覆蓋，強(qiáng)度不低于-65dB，以保證用戶可穩(wěn)定的使用移動終端聯(lián)網(wǎng)；無線網(wǎng)絡(luò)系統(tǒng)支持無縫漫游，保證無線網(wǎng)絡(luò)在覆蓋區(qū)域應(yīng)用時的數(shù)據(jù)不中斷；需要提供安全的認(rèn)證機(jī)制保證信息安全；對注冊會員要保證至少512K帶寬的接入帶寬；無線網(wǎng)絡(luò)需提供動態(tài)的基于流量和用戶數(shù)量的負(fù)載均衡機(jī)制，為用戶提供最好的網(wǎng)絡(luò)性能；中庭或表演廣場要求不少于同時接入200個移動終端；提供簡單、易用、統(tǒng)一的無線網(wǎng)絡(luò)管理平臺；導(dǎo)航服務(wù)、軌跡跟蹤訴求購物中心內(nèi)部結(jié)構(gòu)復(fù)雜，為用戶提供個性化的LBS定位導(dǎo)航服務(wù)是提升購物體驗(yàn)的重要一環(huán)，通過WIFI定位技術(shù)和智能終端的配合，可提供店鋪導(dǎo)航、尋車、定向營銷等服務(wù)；另外，顧客的運(yùn)動軌跡可以為運(yùn)營方提供區(qū)域流量、用戶偏好、旺鋪分布等數(shù)據(jù)；購物中心ICT標(biāo)準(zhǔn)化訴求：為支撐終端接入，并保證安全可靠，需要在購物中心部署多種設(shè)備：路由器：廣域網(wǎng)接入，實(shí)現(xiàn)與總部的網(wǎng)絡(luò)互通；防火墻：網(wǎng)絡(luò)攻擊防護(hù)，保障互聯(lián)網(wǎng)接入安全；上網(wǎng)行為管理網(wǎng)關(guān)：保證上網(wǎng)合規(guī)，實(shí)現(xiàn)問題回溯和審計；交換機(jī)：局域網(wǎng)有線接入；WLAN：局域網(wǎng)無線接入，支撐移動運(yùn)營；UPS：保證主要設(shè)備在停電時能繼續(xù)支持業(yè)務(wù)辦理完成；小型機(jī)柜：設(shè)備可集中放置和管理；購物中心由于沒有統(tǒng)一的建設(shè)標(biāo)準(zhǔn)，各種設(shè)備選型和規(guī)格各異，很多設(shè)備沒有管理接口或者標(biāo)準(zhǔn)不開放，由于沒有專業(yè)IT人員安裝、調(diào)試和運(yùn)維，導(dǎo)致調(diào)試效率較低，業(yè)務(wù)開通周期較長，且無法統(tǒng)一管理，運(yùn)維屬于被動救火的狀態(tài)；由于體驗(yàn)性業(yè)務(wù)的豐富，需要更穩(wěn)健的網(wǎng)絡(luò)來支撐業(yè)務(wù)，訴求如下：VPN廣域接入：支持購物中心與總部的數(shù)據(jù)中心通過IPSecVPN連接，對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密傳輸。路由自動切換：出口路由器支持路由自動倒換，無需人工干預(yù);鏈路備份：與總部網(wǎng)絡(luò)可部署兩條鏈路進(jìn)行備份；上網(wǎng)行為管理：支持URL過濾和內(nèi)容過濾，支持P2P、即時通訊軟件、炒股等軟件的控制。UTM：防火墻應(yīng)具有UTM功能，可以對內(nèi)外網(wǎng)攻擊實(shí)現(xiàn)有效隔離。局域網(wǎng)接入：支持有線和WLAN無線接入，支持按VLAN進(jìn)行區(qū)域隔離。UPS需求：滿足在市電停電后，為機(jī)柜內(nèi)設(shè)備和部分重要辦公設(shè)備提供30分鐘電源供應(yīng)。華為商業(yè)Wi-Fi解決方案概述方案定位本文檔詳細(xì)介紹了商業(yè)Wi-Fi場景下，如何進(jìn)行網(wǎng)絡(luò)部署，如何提升用戶體驗(yàn)，以及如何利用Wi-Fi網(wǎng)絡(luò)來支撐運(yùn)營活動。使Wi-Fi網(wǎng)絡(luò)從傳統(tǒng)的僅用于上網(wǎng)，轉(zhuǎn)變?yōu)樽學(xué)i-Fi網(wǎng)絡(luò)在提升用戶體驗(yàn)的同時，最大程度的為Wi-Fi業(yè)主的商業(yè)運(yùn)營服務(wù)。因此，華為商業(yè)Wi-Fi解決方案有別于傳統(tǒng)的、純粹的網(wǎng)絡(luò)方案，致力于提供一整套“可運(yùn)營”的解決方案。顧名思義，本方案是商業(yè)場景下的Wi-Fi解決方案，主要面向商業(yè)消費(fèi)的場景，如商場、超市、營業(yè)廳、酒店等場所。區(qū)別于企業(yè)辦公場景，Wi-Fi用戶以訪客身份為主。華為商業(yè)Wi-Fi解決方案的定位如下圖所示，華為與合作伙伴一起來提供整體解決方案、技術(shù)和服務(wù)支撐，滿足多場景下商業(yè)Wi-Fi運(yùn)營的需要。方案概覽華為商業(yè)Wi-Fi解決方案將“提升用戶體驗(yàn)”和“運(yùn)營增值”做為Wi-Fi網(wǎng)絡(luò)建設(shè)的兩個核心目標(biāo)。圍繞這兩個核心目標(biāo)，華為商業(yè)Wi-Fi解決方案提供了一系列的子方案，詳細(xì)如下表所示：核心目標(biāo)說明目標(biāo)一：提升用戶體驗(yàn)提供多場景下的Wi-Fi覆蓋方案，滿足不同場景下的Wi-Fi覆蓋的需求，如高密需求、酒店分布式部署的需求。除提供傳統(tǒng)Portal認(rèn)證外，還提供微信認(rèn)證、二維碼掃描認(rèn)證、第三方賬號認(rèn)證等多種認(rèn)證方式。使得用戶在接入Wi-Fi網(wǎng)絡(luò)時，可以直接使用已有賬號來接入網(wǎng)絡(luò)，免去注冊時的繁瑣操作，大大提高接入Wi-Fi網(wǎng)絡(luò)時的易用性。目標(biāo)二：運(yùn)營增值提供無線定位功能，滿足客流分析、店鋪導(dǎo)航、逆向?qū)ぼ嚒⒍ㄏ驙I銷、特殊人員或貴重物品跟蹤的需要。提供用戶數(shù)據(jù)分析和精準(zhǔn)廣告營銷功能。通過線上和線下數(shù)據(jù)分析描繪用戶行為軌跡和屬性，有針對性的推送商家廣告信息，提高營銷效率，降低盲目營銷帶來的成本。1、提供合規(guī)審計方案，滿足有關(guān)部門合規(guī)審計的要求（公安部82號令）。2、提供多維度的安全措施，保障用戶接入Wi-Fi網(wǎng)絡(luò)時的安全，讓用戶放心的接入使用Wi-Fi網(wǎng)絡(luò)。說明：關(guān)于各子方案的詳細(xì)介紹，請參見后續(xù)章節(jié)。典型組網(wǎng)商業(yè)Wi-Fi場景下的典型組網(wǎng)通常分為獨(dú)立型和連鎖型，其示意圖分別如下所示。其中，服務(wù)器區(qū)用于部署運(yùn)營和管理系統(tǒng)。Wi-Fi覆蓋方案概述華為商業(yè)Wi-Fi解決方案提供多種Wi-Fi覆蓋方式，滿足多場景下的Wi-Fi覆蓋需求，實(shí)現(xiàn)無線信號全覆蓋，信號無死角。場景部署方案設(shè)備選型比較小的房間,數(shù)量較多并集中，如酒店客房、醫(yī)院病房推薦敏捷分布式部署方式，每個樓層豎井布放中心AP，每個房間放置一個入室AP。中心AP、遠(yuǎn)端射頻模塊走廊樓道A.狹長樓道用放裝式AP定向天線方式；B.短小樓道用放裝式AP全向天線，適當(dāng)調(diào)低AP功率。放裝型AP電梯間部署外置天線放裝型AP，轎廂內(nèi)人數(shù)低，單AP滿足容量需求。外置天線放裝型AP會議廳、宴會廳、大堂放裝式AP，根據(jù)面積大小決定使用AP個數(shù)。放裝型AP室外A.室外型放裝式AP，適合輻射距離遠(yuǎn)，外掛防水防雷；B.室內(nèi)放裝式AP，適合門口10米內(nèi)。室外型AP其中，敏捷分布式方案是華為最新一代分布式Wi-Fi方案，能夠有效降低部署和管理的成本，提高管理效率。除此之外華為的高密接入技術(shù)，能夠滿足商業(yè)Wi-Fi客流量較大區(qū)域的接入需求，保障用戶能夠有效的接入Wi-Fi。下文將分別對這兩種方案進(jìn)行詳細(xì)介紹。AC部署方式根據(jù)AC的部署方式，網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署。集中式AC和分布式AC部署集中式AC部署集中式AC部署是指整個網(wǎng)絡(luò)中集中部署AC設(shè)備（通常是獨(dú)立的AC設(shè)備），來控制和管理整網(wǎng)的AP設(shè)備。AC的部署可以采用直路（直接部署在AP和匯聚/核心交換機(jī)之間）或旁掛方式（旁掛在匯聚/核心交換機(jī)旁側(cè)）。分布式AC部署分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個AC設(shè)備，分別對本區(qū)域的AP設(shè)備進(jìn)行管理。對于購物中心的無線網(wǎng)絡(luò)規(guī)劃，建議采用集中式AC管理模式，通過跨廣域網(wǎng)管理AP，可最大限度節(jié)約建網(wǎng)成本；AC旁掛與AC直路AC旁掛旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）一側(cè)，實(shí)現(xiàn)對用戶網(wǎng)關(guān)設(shè)備下所有AP的管理。旁掛方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備非華為設(shè)備的場景，如購物中心僅進(jìn)行無線改造，不考慮替換原有非華為網(wǎng)關(guān)設(shè)備，則可采用旁掛方式。AC直路直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）之間，實(shí)現(xiàn)對下轄所有AP的管理。直路方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備為華為設(shè)備的場景。本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式本地轉(zhuǎn)發(fā)又稱直接轉(zhuǎn)發(fā)，是指AP上對用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層，不經(jīng)過AC處理，AC只對AP進(jìn)行管理。而AP管理流封裝在CAPWAP隧道中，到達(dá)AC終止。集中轉(zhuǎn)發(fā)也稱作隧道轉(zhuǎn)發(fā)。業(yè)務(wù)數(shù)據(jù)報文由AP統(tǒng)一封裝后到達(dá)AC實(shí)現(xiàn)轉(zhuǎn)發(fā)，AC不但進(jìn)行對AP管理，還作為AP流量的轉(zhuǎn)發(fā)中樞。即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達(dá)AC。AC雙機(jī)熱備AC1+1備份指同一業(yè)務(wù)在兩臺AC設(shè)備上相互進(jìn)行備份，AC上涉及的熱備的業(yè)務(wù)有用戶接入認(rèn)證、WLAN組件等，上線用戶的信息的任何改變，都會及時保存在兩臺AC設(shè)備上，這樣當(dāng)其中一個AC設(shè)備、或AP與AC間物理鏈路發(fā)生故障時，用戶不需要重新進(jìn)行認(rèn)證或關(guān)聯(lián)，其業(yè)務(wù)被自動切換到另一臺設(shè)備上，并在用戶可接受的時延下，迅速恢復(fù)。如上圖所示，AC1與AC2之間建立一個熱備通道。當(dāng)AC1出現(xiàn)以下情況時：AC1整機(jī)復(fù)位AC1的上行鏈路downAC1與AP間鏈路down此時可以通過雙機(jī)熱備機(jī)制，快速將用戶認(rèn)證信息、以及用戶流量切換到AC2，這樣用戶不需要重新認(rèn)證上線。AC旁掛的場景，用戶的業(yè)務(wù)不受影響；用戶業(yè)務(wù)流量經(jīng)過AC的場景，用戶的業(yè)務(wù)能夠經(jīng)過很短的時延后，迅速恢復(fù)AP部署和選型在購物中心的無線網(wǎng)絡(luò)建設(shè)中，建議采用放裝部署和室分部署兩種方式。其中放裝部署方式是將AP直接部署在覆蓋區(qū)域，適用于較大開放空間、人員密集的區(qū)域，例如像開放賣場環(huán)境；室分部署是將無線信號通過功分器設(shè)備，分為多路信號，通過室分天線進(jìn)行無線覆蓋，適用于小型場所，例如較大購物中心的辦公式環(huán)境。AP根據(jù)部署方式和雙/單頻兩個方面進(jìn)行選型：根據(jù)部署方式選擇：放裝部署方式：應(yīng)選擇內(nèi)置天線室內(nèi)型AP，例如AP5010、AP6010；室分部署方式：應(yīng)選用外置天線室內(nèi)型AP，例如AP6310；根據(jù)頻率選擇：放裝型AP：提供賣場開放區(qū)域的無線覆蓋，這類區(qū)域人員容易集中，接入數(shù)量多，終端類型多樣，有些只能支持2.4GHz頻段，有些則同時支持2.4GHz和5.8GHz，為保證無線網(wǎng)絡(luò)性能，因此宜選擇雙頻模式的無線AP，這樣可以通過ONLY模式將802.11n限定在5.8GHz頻段，其余均工作在2.4Ghz頻段；室分型AP：提供辦公區(qū)的無線覆蓋，覆蓋區(qū)域內(nèi)接入數(shù)量少，因此無需考慮是否需要采用ONLY模式，從成本角度出發(fā)，建議采用單頻AP。IP地址規(guī)劃AC的IP地址AC用于管理AP，IP地址一般通過靜態(tài)手工配置；AP的IP地址AP的IP地址分配如果采用靜態(tài)分配，由于購物中心AP數(shù)量較多，配置工作量大，且容易沖突、不易于控制，所以不建議使用，建議使用DHCP動態(tài)分配;華為的AC內(nèi)置DHCP服務(wù)功能，如購物中心網(wǎng)絡(luò)系統(tǒng)本身已部署DHCP服務(wù)器，則建議采用原有DHCP服務(wù)器做，否則建議啟用華為ACDHCP服務(wù)功能，可降低單獨(dú)部署DHCP服務(wù)器成本；無線終端/用戶的IP地址移動用戶通過DHCP動態(tài)分配IP地址，不建議靜態(tài)配置；FITAP架構(gòu)下的WLAN網(wǎng)絡(luò)中，F(xiàn)ITAP為零配置，當(dāng)FITAP部署到網(wǎng)絡(luò)的時候，AP需要去找到相應(yīng)的AC，并從AC上下載其配置。建議采用如下兩種方式:通過DHCPOption43發(fā)現(xiàn)AC當(dāng)DHCPServer配置了Option43，它給AP分配IP時，在DHCPOffer報文中同時會將此屬性告知AP；通過DNS發(fā)現(xiàn)AC需要在網(wǎng)絡(luò)中部署了DNSServer，在DHCPServer上配置DNSServerIP地址以及AC的域名。當(dāng)AP通過DHCP服務(wù)器獲取IP地址時，DHCPServer會在DHCPOffer報文中將DNS服務(wù)器IP地址（Option6）和AC域名（Option15）告知AP，在AP獲取到IP地址后，則通過DNS服務(wù)器解析到AC的IP，從而實(shí)現(xiàn)對AC的發(fā)現(xiàn)和關(guān)聯(lián)；SSID規(guī)劃SSID的劃分華為單頻AP可支持16個SSID，雙頻AP可支持32個SSID。通過配置多個SSID，可以將一個AP劃分為多個VAP（VirtualAccessPoint），每一個SSID對應(yīng)一個VAP，AC針對VAP進(jìn)行策略下發(fā)，VAP根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理購物中心WLAN網(wǎng)絡(luò)的接入角色和業(yè)務(wù)類型，一般需要三個SSID：經(jīng)營、辦公；顧客訪客，為了保證VIP客戶得到高質(zhì)量的網(wǎng)絡(luò)服務(wù)，可劃分VIP用戶SSID；SSID映射以太網(wǎng)中的VLAN無線SSID與業(yè)務(wù)VLAN有如下四種映射關(guān)系：SSID:VLAN=1:1部署SSID:VLAN=1:N部署SSID:VLAN=N:1部署SSID:VLAN=N:N部署SSID需要分別與辦公和經(jīng)營、顧客VLAN進(jìn)行映射。射頻管理規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，無線網(wǎng)絡(luò)必須對WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴(kuò)展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗(yàn)。射頻信道劃分WLAN系統(tǒng)主要應(yīng)用于兩個頻段：2.4GHz和5.0GHz。2.4GHz頻段信道劃分：2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號1～14。HT20信道劃分：信道帶寬為20M，在該模式下，一般選取1、6、11三個不重疊信道，頻率規(guī)劃可用頻點(diǎn)只有3個。HT40信道劃分：信道帶寬為40M，受頻率限制，只支持一個不重疊信道。5.0GHz頻段信道劃分：5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。HT20信道劃分：不重疊信道在5.15～5.35GHz頻段有8個，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個，分別為149、153、157、161。HT40信道劃分：在該模式下，這兩段頻譜的可用信道分別為4個和2個。AP支持手動和自動兩種方式設(shè)置工作信道。設(shè)置為自動方式后，一旦檢測到信道沖突AP具有信道自動調(diào)整功能，建議AP采用自動設(shè)置工作信道方式，避免手動設(shè)置后一旦信道沖突將導(dǎo)致無法切換信道的問題。信道自動掃描功能：采用信道自動掃描功能，自動探測周邊的AP、使用的信道及干擾，結(jié)果上報AC，觸發(fā)信道調(diào)整。射頻信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號相互干擾；一般情況單獨(dú)使用2.4G或5.0G的頻段，對于高密度接入的場所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。高密覆蓋場景購物中心節(jié)假日中庭或演播廳的高密人群無線信號的接入，有如下需求：至少保證500用戶都能關(guān)聯(lián)WIFI，通過DHCP獲取到IP地址；保證200個用戶并發(fā)使用WIFI網(wǎng)絡(luò)。帶寬要求至少保證512K/人。高密場景下的方案建議：采用雙頻AP，配置5G優(yōu)先。通常情況下，5G的性能要比2.4G好的多。在高密度用戶或者2.4G干擾較為嚴(yán)重的環(huán)境中，充分利用5G頻段可以更好的提供接入能力以及容量，并且減少干擾對用戶體驗(yàn)的影響。單AP配置最大規(guī)格WIFI的并發(fā)用戶數(shù)為40，每射頻上并發(fā)用戶數(shù)為20。按照微信、微博等應(yīng)用的業(yè)務(wù)帶寬為512K左右進(jìn)行配置。保證充分的帶寬余量。配置AP之間的負(fù)載均衡。動態(tài)調(diào)整在線上網(wǎng)用戶，即當(dāng)在線上網(wǎng)用戶一段時間內(nèi)（長短可以設(shè)置）業(yè)務(wù)流量為0時，強(qiáng)制將其下線，允許其他有上網(wǎng)需求的用戶訪問網(wǎng)絡(luò)。中庭或表演廣場需要部署的AP數(shù)量，按照計算為：200/40*120%=6個用戶認(rèn)證管理方案在商業(yè)Wi-Fi市場，大量用戶接入網(wǎng)絡(luò)，蘊(yùn)含著大量的廣告機(jī)會。最常用的廣告方式是在用戶接入Wi-Fi網(wǎng)絡(luò)時的Portal認(rèn)證頁面上進(jìn)行廣告推送，或者讓用戶關(guān)注企業(yè)的微信公眾號達(dá)到粉絲經(jīng)營、后續(xù)營銷的目的。華為商業(yè)Wi-Fi解決方案采用AgileController提供多種認(rèn)證方案，滿足不同場景下的需要，包括：Portal認(rèn)證、微信認(rèn)證、掃描二維碼認(rèn)證以及第三方賬號認(rèn)證。用戶身份驗(yàn)證方式WLAN無線空口認(rèn)證主要方式有開放系統(tǒng)認(rèn)證（Open-systemAuthentication）、WEP、WPA1/WPA2和WAPI四種。OPEN和WEP方式是簡單的物理層認(rèn)證方式，安全性較差，WPA1/WPA2和WAPI方式除了物理層認(rèn)證之外還增加了用戶認(rèn)證的鑒定，安全性更高。開放系統(tǒng)認(rèn)證是IEEE802.11標(biāo)準(zhǔn)要求必備的一種方法，是最簡單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則所有請求認(rèn)證的客戶端都會通過認(rèn)證。在這種方式下，所有符合802.11標(biāo)準(zhǔn)的終端都可以接入到WLAN網(wǎng)絡(luò)中來。開放系統(tǒng)身份驗(yàn)證比較適合有眾多用戶的電信運(yùn)營WLAN網(wǎng)絡(luò)。用戶身份認(rèn)證，其通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。WLAN的鏈路層身份驗(yàn)證主要有Portal(DHCP+WEB)、MAC、802.1X、WAPI等幾種認(rèn)證方式，可以根據(jù)具體情況選擇，可以配合網(wǎng)絡(luò)層認(rèn)證使用。WLAN無線線網(wǎng)絡(luò)用戶認(rèn)證方式通過采取以下幾種組合，具體如下表所示。認(rèn)證組合應(yīng)用情況Open+Portal主流應(yīng)用，運(yùn)營商網(wǎng)絡(luò)WLAN網(wǎng)絡(luò)Open+Portal+MAC主流應(yīng)用，是Open+Portal認(rèn)證的衍生方式WEP+Portal基本沒有應(yīng)用，維護(hù)WEP密碼麻煩WEP+802.1X早期EAP-SIM認(rèn)證方式，運(yùn)營商WLAN分擔(dān)2G/3G流量場景WPA/WPA2-PSK+Portal基本沒有應(yīng)用，維護(hù)WEP密碼麻煩WPA1/WPA2+802.1X主流應(yīng)用，學(xué)校，企業(yè)，醫(yī)院，政府等企業(yè)網(wǎng)大量使用。WAPIPSK沒有使用WAPI沒有使用針對“商超”項(xiàng)目，面向政府或企事業(yè)單位職員的認(rèn)證推薦使用WPA2+802.1X的方式，確保數(shù)據(jù)的安全和可靠；面向普通市民的認(rèn)證方式推薦Open+Portal+MAC的方式，方便實(shí)現(xiàn)身份鑒定，方便開展增值業(yè)務(wù)。這種認(rèn)證方式只需要在第一次接入WI-FI時通過Portal網(wǎng)頁進(jìn)行認(rèn)證，以后市民再連接WI-FI時就無需輸入用戶名密碼，方便快捷（免認(rèn)證的時間，可以同配置）。對于臨時訪客和游客，可以采取限時訪問的方式，這種模式下用戶每次登錄只能允許有一定時間的訪問網(wǎng)絡(luò)權(quán)限，超時后必須重新登錄。登錄口令可以通過短信，微信，APP客戶端的方式下發(fā)（APP客戶端認(rèn)證方式需要對接和開發(fā)）。短信認(rèn)證短信認(rèn)證是一種最常見的訪客接入認(rèn)證方式。采用短信認(rèn)證方案時，訪客將其手機(jī)號作為認(rèn)證的賬號進(jìn)行注冊，在接受到提示密碼的短信后再進(jìn)行認(rèn)證。短信認(rèn)證流程如下圖所示：如上圖所示，短信認(rèn)證的流程如下：訪客接入無線Wi-Fi后，系統(tǒng)推送Portal認(rèn)證頁面。若用戶第一次接入則直接輸出其手機(jī)號，申請獲取密碼Controller服務(wù)器接收到訪客的注冊申請后，根據(jù)管理員設(shè)置的密碼策略自動隨機(jī)算出臨時密碼Controller服務(wù)器調(diào)用第三方短信網(wǎng)關(guān)接口，將訪客的手機(jī)號、短信認(rèn)證的臨時密碼發(fā)送給短信網(wǎng)關(guān)第三方短信網(wǎng)關(guān)發(fā)送臨時密碼到訪客的手機(jī)號上訪客獲取到短信后，按照短信提示在Portal認(rèn)證頁面上輸出其臨時密碼，認(rèn)證通過后即可接入網(wǎng)絡(luò)說明，相對于傳統(tǒng)的短信貓，短信網(wǎng)關(guān)具有兼容性好（中國地區(qū)三家電信運(yùn)營商手機(jī)能可發(fā)送短信）、短信發(fā)送速度快（100條/秒左右）、短信發(fā)送的穩(wěn)定性好、費(fèi)用便宜等優(yōu)點(diǎn)。推薦的第三方短信網(wǎng)關(guān)廠家包括：浙江筑望、和佳匯智、若雅MAS、深圳嘉訊等。其他支持HTTPS、Webservice接口的短信網(wǎng)關(guān)原則上也能支持。Portal認(rèn)證Portal認(rèn)證是最基本的認(rèn)證方式之一，在眾多商業(yè)Wi-Fi場景下被廣泛的應(yīng)用。AgileController的Portal認(rèn)證功能在提供認(rèn)證的同時，主要從以下幾個方面來提升網(wǎng)絡(luò)維護(hù)者的工作量，提高Wi-Fi接入用戶認(rèn)證時的易用性。 完善的Portal頁面定制流程，助力企業(yè)品牌提升完整的頁面流程：登錄頁面->登錄成功頁面，注冊頁面->注冊成功頁面，用戶須知頁面。Phone/PC/PAD終端自適應(yīng)：自動識別終端類型，合理展示推送頁面。用戶自定義定制：提供基于HTML編輯的圖形化編輯功能，支持圖片輪播、拖拽編輯、附件下載等高級操作。內(nèi)置多套系統(tǒng)模板：匿名認(rèn)證模板、第三方應(yīng)用模板、短信注冊模板，一鍵認(rèn)證模板等，可根據(jù)場景需要自由選擇。內(nèi)置多種語言：簡體中文，繁體中文，英語，德語，西班牙語，葡萄牙語，法語，可擴(kuò)展支持其他語言。訪客自注冊訪客帳號支持訪客通過訪問注冊頁面，填寫注冊所需的參數(shù)，自行申請?jiān)L客帳號。支持多種訪客帳號通知方式：WEB通知、Email通知、短信通知。Portal界面靈活推送，資訊推送更加精細(xì)化可基于位置（SSID和AP）的頁面推送不同的頁面?？苫诮K端IP和終端類型的頁面推送不同的頁面。可基于時間段推送不同的頁面。智能終端無感知認(rèn)證，實(shí)現(xiàn)一次認(rèn)證，多次接入終端首次接入采用Portal+MAC認(rèn)證，后續(xù)自動使用MAC認(rèn)證。微信認(rèn)證隨著移動互聯(lián)網(wǎng)的興起，大規(guī)模開放無線網(wǎng)絡(luò)中，訪客的快速認(rèn)證是近年來的研究熱點(diǎn)?；谖⑿殴娖脚_實(shí)現(xiàn)無線網(wǎng)訪客的認(rèn)證，訪客只需關(guān)注公眾賬號，即可在公眾平臺實(shí)現(xiàn)身份認(rèn)證、獲取默認(rèn)權(quán)限、訪問網(wǎng)絡(luò)資源；然后利用公眾平臺與Controller服務(wù)器聯(lián)動，對訪客進(jìn)行角色、策略和行為審計等管理功能，拓展微信公眾平臺為訪客提供無縫的服務(wù)功能。根據(jù)客戶擁有的微信公眾賬號的類別和功能需求，可以采用不同的微信認(rèn)證方案，在微信公眾平臺通過編輯模式配置實(shí)現(xiàn)微信認(rèn)證、在微信公眾平臺通過開發(fā)者模式配置實(shí)現(xiàn)微信認(rèn)證。兩種方案只能選擇一種，不能同時使用。模式是否需要搭建單獨(dú)的微信公眾平臺服務(wù)器安全性微信免認(rèn)證取消關(guān)注強(qiáng)制下線微信認(rèn)證綁定手機(jī)號碼編輯模式不需要低支持，但不支持取消關(guān)注后免認(rèn)證失效不支持不支持開發(fā)者模式需要高，可通過認(rèn)證密鑰對認(rèn)證鏈接加密支持支持支持如上表所示，編輯者模式下微信公眾號雖然不需要在本地增加獨(dú)立的平臺服務(wù)器，微信認(rèn)證方案的部署交付也比較簡單，但是當(dāng)用戶關(guān)注微信公眾號接入往后再取消關(guān)注并不能及時強(qiáng)制用戶下線，也不支持綁定手機(jī)號。因此若對這些方面有要求的話，建議使用開發(fā)者模式部署微信認(rèn)證方案。微信認(rèn)證部署方案如下圖所示：微信認(rèn)證流程：1）用戶連接SSID。2）終端自動向AC發(fā)送HTTP連接請求。3）AC發(fā)現(xiàn)用戶未認(rèn)證，將URL地址重定向到Portal服務(wù)器。4）終端訪問重定向的URL。5）Portal服務(wù)器向終端推送Portal認(rèn)證頁面。6）用戶單擊認(rèn)證頁面上的“微信認(rèn)證”按鈕。7）Controller的Portal服務(wù)器和微信公眾平臺之間交互微信連Wi-Fi的信息（校驗(yàn)AppID和AppSecret），獲取呼起終端本地微信APP程序的ticket。8）瀏覽器自動呼起終端本地微信APP，微信公眾平臺校驗(yàn)終端用戶微信連Wi-Fi注冊信息和ticket。9）校驗(yàn)通過后返回給終端用戶微信連Wi-Fi頁面，攜帶用戶身份信息（OpenID）。10）用戶單擊“立即連接”，連接成功后，單擊“完成”，觸發(fā)Portal認(rèn)證。11）觸發(fā)Portal認(rèn)證的目的是保證用戶在Controller和AC上線，獲得上網(wǎng)權(quán)限，單擊“完成”按鈕相當(dāng)于觸發(fā)了一個URL地址。此URL地址為微信連Wi-Fi管理員在微信連Wi-Fi助手中配置的自定義商家主頁的URL地址：http://認(rèn)證后域的任意IP地址/域名?wxauth=1&wxtoken=[TOKEN]。12）AC檢測到用戶未認(rèn)證，將用戶URL重定向到Portal服務(wù)器。13）用戶終端訪問重定向的URL。14）Controller服務(wù)器校驗(yàn)認(rèn)證URL中包含的參數(shù)[TOKEN]，與AC之間完成Portal認(rèn)證和RADIUS認(rèn)證的過程。15）將認(rèn)證結(jié)果返回給終端用戶，認(rèn)證成功后，顯示管理員定制的認(rèn)證成功頁面。16）認(rèn)證成功，終端用戶正常訪問網(wǎng)絡(luò)。APP認(rèn)證APP認(rèn)證是一種新的認(rèn)證方式，可自己開發(fā)APP，集成廣告、新聞、多媒體、互動等應(yīng)用，擴(kuò)大企業(yè)影響力。為了使APP推廣更迅速，建議將APP與無線Wi-Fi的接入認(rèn)證結(jié)合起來，無線接入的用戶通過APP進(jìn)行認(rèn)證。APP認(rèn)證如下圖所示：如上圖所示，Controller提供Portal認(rèn)證的對外接口，第三方APP可調(diào)用該接口進(jìn)行認(rèn)證，APP后臺需定時與Controller進(jìn)行心跳?；?，以保持會話狀態(tài)，超時用戶將下線。Controller提供用戶注冊管理北向接口，用戶可在APP上完成賬號注冊、用戶信息修改、密碼重置等功能。用戶認(rèn)證和應(yīng)用組網(wǎng)根據(jù)業(yè)務(wù)需求，華為無線WLAN網(wǎng)絡(luò)可以采取本地轉(zhuǎn)發(fā)-本地認(rèn)證、集中轉(zhuǎn)發(fā)-集中認(rèn)證、集中認(rèn)證-本地轉(zhuǎn)發(fā)三種模式。本地轉(zhuǎn)發(fā)-本地認(rèn)證模式業(yè)務(wù)流程如下圖所示。在本地轉(zhuǎn)發(fā)模式下，認(rèn)證控制點(diǎn)在AP上行的switch設(shè)備，只有AC與AP之間的控制報文走CAPWAP隧道，STA認(rèn)證報文（如802.1X、Portal認(rèn)證）和認(rèn)證后的STA業(yè)務(wù)數(shù)據(jù)報文經(jīng)AP直接轉(zhuǎn)發(fā)，不通過隧道。在這種模式下，由于802.1X認(rèn)證基于二層應(yīng)用EAP協(xié)議，無法穿越三層，因此STA與認(rèn)證控制點(diǎn)之間必須是二層網(wǎng)絡(luò)。這種模式，由于控制點(diǎn)不集中導(dǎo)致設(shè)備成本高，管理維護(hù)復(fù)雜，且AC無法實(shí)現(xiàn)對無線接入用戶的集中控制（例如訪問資源的權(quán)限、隔離、限速等）。這種方式，通常應(yīng)用在，不需要區(qū)分無線用戶和有線用戶，無線網(wǎng)絡(luò)就是有線網(wǎng)絡(luò)延伸的場景。例如：園區(qū)總部，部分交換機(jī)下接AP，解決交換機(jī)端口過少且只能連接有線用戶的問題。集中轉(zhuǎn)發(fā)-集中認(rèn)證模式業(yè)務(wù)流程如下圖所示。在集中轉(zhuǎn)發(fā)模式下，認(rèn)證控制點(diǎn)在AC設(shè)備，AC與AP之間的控制報文、STA認(rèn)證報文（如802.1X、Portal認(rèn)證）、認(rèn)證后的STA業(yè)務(wù)數(shù)據(jù)報文全部走CAPWAP隧道。在這種模式下，所有數(shù)據(jù)都走隧道，安全性相對較高，AC可以對無線用戶的集中控制，無線網(wǎng)絡(luò)部署時不需要考慮有線網(wǎng)絡(luò)的結(jié)構(gòu)，無線網(wǎng)絡(luò)單獨(dú)規(guī)劃VLAN，運(yùn)維便捷。這種模式主要應(yīng)用，總部園區(qū)有線網(wǎng)的基礎(chǔ)上，新建一張無線網(wǎng)絡(luò)，有線用戶和無線用戶要求區(qū)別對待。集中認(rèn)證-本地轉(zhuǎn)發(fā)模式業(yè)務(wù)流程如下圖所示。認(rèn)證控制點(diǎn)在AC設(shè)備，通過配置抓取STA認(rèn)證報文（如802.1X、Portal認(rèn)證）進(jìn)入CAPWAP隧道，上送到AC設(shè)備，完成認(rèn)證過程。認(rèn)證后的STA業(yè)務(wù)數(shù)據(jù)報文不通過隧道，經(jīng)AP直接轉(zhuǎn)發(fā)。在這種模式下，能夠?qū)崿F(xiàn)在AC上對無線用戶的集中接入控制功能，并且通過控制隧道，將Radius授權(quán)下發(fā)到各AP設(shè)備，提升網(wǎng)絡(luò)安全性。這種認(rèn)證方式主要應(yīng)用在AC部署在總部，AP放在各個分支的場景。針對“商超”項(xiàng)目，市政府集中辦公區(qū)、機(jī)場、火車站、圖書館、醫(yī)院等AP規(guī)模較大的場景，推薦集中認(rèn)證-集中轉(zhuǎn)發(fā)模式；公交站臺、獨(dú)立商戶等AP規(guī)模較小的分支場景，推薦使用集中認(rèn)證-本地轉(zhuǎn)發(fā)。這里所講的“集中認(rèn)證”指的是無線用戶的認(rèn)證網(wǎng)關(guān)集中到AC上認(rèn)證，不是AAA系統(tǒng)。用戶策略管理用戶策略是指用戶認(rèn)證通過后，基于用戶角色對可訪問網(wǎng)絡(luò)資源進(jìn)行的安全控制。通過AAA服務(wù)器下發(fā)的用戶策略稱為動態(tài)授權(quán)，從授權(quán)維度來看，動態(tài)授權(quán)主要有三種類型：動態(tài)VLAN、動態(tài)ACL和動態(tài)用戶組授權(quán)。動態(tài)VLAN授權(quán)：動態(tài)VLAN授權(quán)通過切換VLAN的方式改變用戶的權(quán)限，不同VLAN的權(quán)限控制可通過在認(rèn)證網(wǎng)關(guān)設(shè)備上部署ACL實(shí)現(xiàn)。動態(tài)VLAN授權(quán)方式部署簡單，維護(hù)成本也較低，但相對而言，其控制粒度在VLAN層面，適用于在同一辦公室或同一部門所有人員權(quán)限相同的場景。動態(tài)ACL授權(quán)：動態(tài)ACL授權(quán)需要AAA服務(wù)器下發(fā)ACL給認(rèn)證網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)對用戶訪問權(quán)限的控制。動態(tài)ACL授權(quán)方式能做到最大程度的權(quán)限控制，可以分別對每個用戶權(quán)限精細(xì)控制。由于受設(shè)備ACL規(guī)格的限制，這種方式只能適應(yīng)于少量人員，無法實(shí)現(xiàn)大范圍的部署，例如部門經(jīng)理或者領(lǐng)導(dǎo)等。動態(tài)用戶組授權(quán)：用戶組是用戶的策略屬性，動態(tài)用戶組授權(quán)需要AAA服務(wù)器指定每個用戶對應(yīng)的用戶組名稱，實(shí)現(xiàn)基于用戶組的策略控制。當(dāng)用戶上線時，AAA服務(wù)器可直接下發(fā)用戶組名稱到準(zhǔn)入設(shè)備上，準(zhǔn)入設(shè)備基于配置的用戶組策略屬性，下發(fā)安全策略。通過用戶組對用戶實(shí)施端到端的策略管理，授權(quán)用戶組取代傳統(tǒng)授權(quán)VLAN或者ACL等模式，在用戶上線時，服務(wù)器只需下發(fā)用戶組名稱，方便網(wǎng)絡(luò)部署；多用戶基于用戶組共享資源，在網(wǎng)關(guān)設(shè)備上，ACL規(guī)格不會成為用戶管理瓶頸。用戶在線CoA授權(quán)：CoA授權(quán)是指用戶在線情況下，在AAA服務(wù)器上重新設(shè)置用戶帶寬等策略屬性值，AAA服務(wù)器通過RADIUS報文下發(fā)給認(rèn)證網(wǎng)關(guān)，認(rèn)證網(wǎng)關(guān)設(shè)備實(shí)時更新在線用戶的授權(quán)信息。所以，在“商超”實(shí)際網(wǎng)絡(luò)規(guī)劃中，推薦使用基于動態(tài)用戶組+COA授權(quán)方式，快速便捷的管理無線用戶。為了滿足不管用戶身處何地、使用哪個IP地址，都可以保證該用戶獲得相同的網(wǎng)絡(luò)訪問策略，華為在敏捷網(wǎng)絡(luò)解決方案中推出了業(yè)務(wù)隨行特性，該特性非常適合“商超”場景，具體如下圖所示。1、管理員在控制器中創(chuàng)建用戶賬號、用戶組，同時將用戶賬號加入其所屬的用戶組，然后為用戶統(tǒng)一定義基于用戶組的網(wǎng)絡(luò)訪問策略（即用戶組策略）。2、敏捷交換機(jī)（自帶隨板AC）作為策略執(zhí)行點(diǎn)和準(zhǔn)入認(rèn)證點(diǎn)設(shè)備，和Controller建立關(guān)聯(lián)后，控制器將管理員配置的網(wǎng)絡(luò)訪問策略下發(fā)給所有關(guān)聯(lián)的設(shè)備上，在執(zhí)行策略的設(shè)備上生成基于用戶組的業(yè)務(wù)模板。3、用戶啟動認(rèn)證，在認(rèn)證過程中，控制器根據(jù)用戶的登錄信息，將其與用戶組關(guān)聯(lián)。認(rèn)證成功后，控制器將該用戶所屬用戶組下發(fā)給敏捷交換機(jī)。4、在敏捷交換機(jī)上，基于AgileController下發(fā)的用戶組信息，實(shí)施UCL策略控制，限制訪問資源權(quán)限、用戶帶寬等策略。5、用戶在“商超”的任何地方登陸，由于準(zhǔn)入設(shè)備（PEP）都預(yù)置了業(yè)務(wù)策略，用戶重新認(rèn)證上線后，可具有一致的網(wǎng)絡(luò)訪問策略，實(shí)現(xiàn)業(yè)務(wù)隨行。海量賬號管理華為AgileController系統(tǒng)提供訪客賬號的全生命周期管理功能，對于商超中的海量用戶，可作為訪客來進(jìn)行管理。用戶可自助注冊賬號，賬號密碼第一時間短信下發(fā)，并可定期自動清理僵尸賬號，簡化了海量用戶管理的復(fù)雜度，提升管理效率。同時，AgileController系統(tǒng)還提供多種賬號管理方式，供運(yùn)維人員靈活選擇。分組流量控制購物中心針對VIP客戶、普通客戶、商鋪以及業(yè)主辦公有分組流量控制的需求，通過控制不同帶寬來滿足高端用戶(如VIP、員工)的需求。比如：經(jīng)營、辦公用戶接入至少2M帶寬；普通顧客512K帶寬（可滿足微博、微信、QQ等業(yè)務(wù)需要）；VIP用戶3M帶寬。具體設(shè)計點(diǎn)：建立分組流量模型，舉例如下SSID群組流量Retailer_SSIDV12MOffice_SSIDV22MGuest_SSIDP512KGuest_SSIDV33M建立用戶組和流量組之間關(guān)系：如果需要對VIP客戶進(jìn)行區(qū)分，需要連鎖企業(yè)的CRM系統(tǒng)和PolicyCenter的RaduisServer進(jìn)行對接，同步用戶組，建立實(shí)際用戶組和流量群組的關(guān)系；RaduisServer群組信息，選擇流控組，向AC下發(fā)號碼流控組，由AC控制對應(yīng)的流量模型。終端的精細(xì)化管理終端類型識別是指AC通過對用戶發(fā)送的報文中的字段的特征進(jìn)行分析，包括MAC、用戶代理UA（UserAgent）和DHCPOption信息，識別出終端類型。AC可以識別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動設(shè)備的接入，實(shí)現(xiàn)基于用戶、設(shè)備類型、接入時間、接入地點(diǎn)、設(shè)備環(huán)境的認(rèn)證和授權(quán)，實(shí)現(xiàn)精細(xì)化的管控。具體原理如下圖所示。網(wǎng)絡(luò)運(yùn)維方案隨著網(wǎng)絡(luò)規(guī)模的不斷增長、網(wǎng)絡(luò)應(yīng)用的不斷推廣，大量的多業(yè)務(wù)路由器、網(wǎng)關(guān)、WLANAP等終端接入設(shè)備被廣泛的應(yīng)用于網(wǎng)絡(luò)。帶來IT&IP設(shè)備日益增多，業(yè)務(wù)越來越多樣化，用戶面對網(wǎng)絡(luò)管理和運(yùn)維中遇到的問題和挑戰(zhàn)，需要一套高效、統(tǒng)一的網(wǎng)管進(jìn)行支撐。eSight是華為面向企業(yè)網(wǎng)管理推出的新一代面向企業(yè)園區(qū)和分支網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對企業(yè)資源、業(yè)務(wù)、用戶的統(tǒng)一管理以及智能聯(lián)動。eSight支持對IT&IP，以及第三方設(shè)備的統(tǒng)一管理，同時提供靈活的開放平臺，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。WLAN全生命周期管理“商超”網(wǎng)絡(luò)中，AC、AP部署分散，尤其AP數(shù)目眾多，運(yùn)維成本高、難度大。為了解決對WLAN網(wǎng)絡(luò)中設(shè)備集中管理和對WLAN網(wǎng)絡(luò)的可視化監(jiān)控，eSight推出WLAN管理組件解決這一運(yùn)維難題。eSightWLAN管理在網(wǎng)絡(luò)規(guī)劃中提供一鍵式導(dǎo)入完成AP規(guī)劃至監(jiān)控的轉(zhuǎn)化，極大提升了效率。在配置部署中提供簡潔的矩陣配置幫助用戶端到端、批量、有序、快速完成業(yè)務(wù)部署。在區(qū)域監(jiān)控中提供整體到局部的用戶體驗(yàn)監(jiān)控，在底層拓?fù)洳榭瓷漕l信號覆蓋情況。在故障診斷中提供故障通知、故障排查、故障處理的有效手段，幫助快速有效的發(fā)現(xiàn)問題、解決問題。WLAN網(wǎng)絡(luò)管理特點(diǎn)：簡單快速的業(yè)務(wù)部署向?qū)脚渲玫臉I(yè)務(wù)部署以及基于表單AP導(dǎo)入，可加速WLAN的業(yè)務(wù)部署。通過對華為AC設(shè)備的管理，實(shí)現(xiàn)對WLAN業(yè)務(wù)的配置功能。AP的信息都配置在AC上，當(dāng)AP上線建立隧道后從AC獲取信息。業(yè)務(wù)拓?fù)浜臀恢猛負(fù)?，方便用戶對WLAN網(wǎng)絡(luò)中設(shè)備進(jìn)行可視化監(jiān)控和集中管理業(yè)務(wù)拓?fù)洌赫宫F(xiàn)AC、AP、STA之間連接關(guān)系查看，并示意RogueAP的存在；支持AP、AC、STA、RogueAP詳細(xì)信息查看；并提供無線業(yè)務(wù)的故障診斷能力。位置拓?fù)洌翰榭串?dāng)前熱點(diǎn)位置及射頻信號覆蓋范圍并在視圖上標(biāo)識當(dāng)前非法AP位置及沖突域。顏色表示不同的頻段，深淺表示信號的范圍，紅色顯示沖突域。AP故障快速恢復(fù)能力，提供批量恢復(fù)AP的出廠設(shè)置、批量重啟AP以及AP替換的功能AP出現(xiàn)異常或在WLAN網(wǎng)絡(luò)的調(diào)試過程中，用戶可以通過網(wǎng)管遠(yuǎn)程批量恢復(fù)AP的出廠設(shè)置。AP升級完成后或在WLAN網(wǎng)絡(luò)的調(diào)試過程中，用戶可以通過網(wǎng)管遠(yuǎn)程批量重啟AP。AP出現(xiàn)硬件故障需要替換時，用戶可以通過網(wǎng)管替換新AP，快速保證AP替換后業(yè)務(wù)不變。多樣式資源統(tǒng)計，滿足運(yùn)維需求全網(wǎng)資源統(tǒng)計：全網(wǎng)用戶在線趨勢圖、TOP5用戶接入FitAP、TOP5用戶接入SSID、TOP5重點(diǎn)關(guān)注的設(shè)備告警列表、全網(wǎng)物理資源統(tǒng)計?；贏C資源統(tǒng)計：根據(jù)AC統(tǒng)計用戶在線趨勢圖、AP信息、域信息、ACTOP5告警。基于AP資源統(tǒng)計：根據(jù)AP統(tǒng)計TOP5告警、當(dāng)前AP性能KPI（AP關(guān)聯(lián)終端數(shù)、AP物理屬性、AP流量、射頻流量等）?；赟SID資源統(tǒng)計：根據(jù)SSID統(tǒng)計AP、VAP、接入終端數(shù)?；趨^(qū)域與位置資源統(tǒng)計：根據(jù)區(qū)域與位置統(tǒng)計AP總數(shù)、AP在線總數(shù)、STA在線總線。掌控網(wǎng)絡(luò)eSightMobileeSightMobile移動網(wǎng)管系統(tǒng)主要滿足“商超”的網(wǎng)絡(luò)運(yùn)維人員基于手機(jī)管理WLAN網(wǎng)絡(luò)，對巡檢片區(qū)的WLAN網(wǎng)絡(luò)健康度關(guān)鍵指標(biāo)進(jìn)行排查，如用戶掉線或接入異?，F(xiàn)場周邊AP的信道分布、接入用戶數(shù)、5G占比、同頻干擾、終端接入信號強(qiáng)度和信噪比分析；或運(yùn)維人員不在eSight旁邊時能隨時查看“商超”中WLAN網(wǎng)絡(luò)狀態(tài)。即實(shí)現(xiàn)WLAN網(wǎng)絡(luò)設(shè)備健康度監(jiān)控，支持運(yùn)維人員隨時隨地獲悉網(wǎng)絡(luò)的健康度、診斷用戶問題。手機(jī)口袋網(wǎng)管，幫助“商超”中網(wǎng)絡(luò)運(yùn)維人員隨時隨地的掌控網(wǎng)絡(luò)。業(yè)務(wù)監(jiān)控移動App讓“商超”中網(wǎng)絡(luò)管理員隨時隨地監(jiān)控網(wǎng)絡(luò)，無需總帶著便攜或者坐到辦公位，極大地提升了運(yùn)維效率。區(qū)域監(jiān)控移動App讓“商超”中網(wǎng)絡(luò)管理員隨時隨地對自己關(guān)注的區(qū)域網(wǎng)絡(luò)進(jìn)行監(jiān)控，極大地提升了運(yùn)維效率。故障診斷“商超”中網(wǎng)絡(luò)管理員接到用戶報障電話后，只須在故障診斷App中搜索該用戶進(jìn)行診斷即可獲取到用戶故障的相關(guān)信息并給出解決建議。無線網(wǎng)絡(luò)評測利用eSightMobile的無線網(wǎng)絡(luò)評測功能，可以用于進(jìn)行對當(dāng)前終端連接的無線網(wǎng)絡(luò)狀況的評測?？焖贆z測功能，會對網(wǎng)絡(luò)整體狀況進(jìn)行評分，網(wǎng)絡(luò)管理員也可以進(jìn)行深度檢測，查看網(wǎng)絡(luò)各個指標(biāo)的詳細(xì)數(shù)據(jù)，同時，可以查看保存的檢測記錄，導(dǎo)出檢測記錄等功能。用于指導(dǎo)網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)調(diào)優(yōu)深度檢測查看各指標(biāo)詳細(xì)數(shù)據(jù)深度檢測查看各指標(biāo)詳細(xì)數(shù)據(jù)指標(biāo)設(shè)置檢測記錄的查看和導(dǎo)出指標(biāo)設(shè)置檢測記錄的查看和導(dǎo)出導(dǎo)出報告導(dǎo)出報告用戶資源管理用戶資源是“商超”中最重要的資源，如何管理整個商超中的用戶資源是一個極具挑戰(zhàn)的工作，因?yàn)樯坛械挠脩魯?shù)量、信息量巨大，要詳細(xì)了解接入用戶的信息很困難。用戶的上網(wǎng)質(zhì)量是整個商超的根基，如何了解用戶的上網(wǎng)質(zhì)量也是商超運(yùn)維管理中很重要的信息。通過eSight網(wǎng)管去監(jiān)控和管理“商超”中的用戶資源是極其重要的。用戶數(shù)據(jù)管理支持無線用戶管理，顯示用戶的詳細(xì)信息和統(tǒng)計信息。與華為eSDK（華為面向開發(fā)者提供的開放平臺）對接后，可顯示用戶的設(shè)備類型、操作系統(tǒng)、廠商、角色信息，查看到用戶的重要信息：點(diǎn)擊系統(tǒng)菜單下的eSDK服務(wù)器設(shè)置子菜單，可對eSDK服務(wù)器進(jìn)行設(shè)置。用戶數(shù)據(jù)報表提供在線用戶明細(xì)報表，統(tǒng)計商超中無線用戶數(shù)據(jù)。提供用戶明細(xì)報表，統(tǒng)計商超中用戶明細(xì)數(shù)據(jù)。提供用戶會話明細(xì)報表，統(tǒng)計商超中用戶會話明細(xì)數(shù)據(jù)。第三方AP管理隨著AP在商超中的不斷部署，網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)管系統(tǒng)成為設(shè)備監(jiān)控的唯一手段，但不同設(shè)備廠商的網(wǎng)管系統(tǒng)不兼容成為商超營運(yùn)選擇WLAN設(shè)備廠商的瓶徑，有效利用現(xiàn)有網(wǎng)管系統(tǒng)對不同設(shè)備廠商的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控成為廠商選擇的關(guān)鍵。CAPWAP是國際標(biāo)準(zhǔn)的通信協(xié)議，并且龐大而復(fù)雜，各廠家在使用該協(xié)議做為自身AC、AP通信的協(xié)議標(biāo)準(zhǔn)，但是各廠家在參數(shù)定義、類型、字段、加密等方式上各有區(qū)別，所以不可能實(shí)現(xiàn)不同廠家的AC/AP互聯(lián)。eSight管理平臺對主流廠商的無線設(shè)備做了大量的分析工作，在此基礎(chǔ)上實(shí)現(xiàn)了對第三方廠商AP的管理能力，通過對第三方廠商的AP進(jìn)行精確適配。創(chuàng)新性的支持對第三方廠商AP管理，解決了商超中多廠商AP融合統(tǒng)一管理的問題。eSight支持H3C、Cisco、Aruba三個廠商的AC、AP資源（AC、AP、射頻、接口、SSID、VAP）管理、性能管理和告警管理。SAC智能應(yīng)用控制隨著“商超”網(wǎng)絡(luò)技術(shù)和多媒體技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用越來越豐富，使得帶寬資源日趨緊張。其中影響比較突出的是P2P技術(shù)，P2P應(yīng)用類型也已從文件共享擴(kuò)展到語音、視頻等應(yīng)用領(lǐng)域，P2P網(wǎng)絡(luò)的用戶規(guī)模和流量均呈爆發(fā)式增長。甚至很多P2P應(yīng)用往往是對網(wǎng)絡(luò)資源進(jìn)行的“惡意”占用，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)不同程度的擁塞。這些流量與關(guān)鍵應(yīng)用混雜在一起，導(dǎo)致非關(guān)鍵業(yè)務(wù)肆虐，核心業(yè)務(wù)丟包，時延抖動不可控，服務(wù)質(zhì)量無法保障。用戶急需對這些“非法”的網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，于是產(chǎn)生了業(yè)務(wù)感知技術(shù)。智能應(yīng)用控制SAC（SmartApplicationControl）作為一種新的業(yè)務(wù)感知技術(shù)，在分析報文頭的基礎(chǔ)上，增加了對應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測和控制技術(shù)。通過對各類應(yīng)用進(jìn)行智能分類，識別關(guān)鍵業(yè)務(wù)，保證其帶寬，對非關(guān)鍵業(yè)務(wù)流量進(jìn)行限制，實(shí)施精細(xì)化QoS策略控制，從而保證關(guān)鍵業(yè)務(wù)平穩(wěn)、高效運(yùn)轉(zhuǎn)。

借助于eSight網(wǎng)流分析能夠顯示無線網(wǎng)絡(luò)區(qū)域的應(yīng)用分布，并且用戶可以對區(qū)域?qū)?yīng)的AP組進(jìn)行應(yīng)用帶寬丟棄、限速、調(diào)整優(yōu)先級。智能應(yīng)用控制對非關(guān)鍵業(yè)務(wù)流量進(jìn)行限制，實(shí)施精細(xì)化QoS策略控制，從而保證關(guān)鍵業(yè)務(wù)平穩(wěn)、高效運(yùn)轉(zhuǎn)。無線安全管理網(wǎng)絡(luò)的安全性也是每一張網(wǎng)絡(luò)都重點(diǎn)關(guān)注的事情之一。WLAN無線網(wǎng)絡(luò)信號存在與空氣中，任何人都可以接收到，很容易受到外界干擾和威脅的影響，如WIDS/WIPS，周邊射頻信號的干擾，非法設(shè)備的檢測和反制等。WIDS/WIPS為了方便實(shí)現(xiàn)非法設(shè)備的檢測和反制，同時又不增加設(shè)備，建議AP支持混合模式傳輸模式，即單個AP可以監(jiān)測無線網(wǎng)絡(luò)中設(shè)備，也可以同時傳輸WLAN數(shù)據(jù)。同時，WIDS還應(yīng)支持攻擊檢測功能，可以檢測泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預(yù)共享密鑰和WEP的共享密鑰，及時發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，及時反制并通過日志，統(tǒng)計信息以及告警方式及時通知網(wǎng)絡(luò)管理員。無線空口安全WIDS/WIPS的示意圖如下圖所示。借助于eSight網(wǎng)絡(luò)管理平臺上面開啟攻擊檢測，將檢測結(jié)果呈現(xiàn)在eSight中，并將有攻擊行為的設(shè)備添加到黑名單中，防止攻擊設(shè)備對網(wǎng)絡(luò)造成沖擊。頻譜分析無線干擾源由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無線應(yīng)用的增加，非WLAN設(shè)備對WLAN網(wǎng)絡(luò)的干擾問題日益突出。頻譜分析是指通過頻譜分析服務(wù)器對采集到的無線信號進(jìn)行特征分析，識別出Non-Wi-Fi干擾設(shè)備，進(jìn)而對干擾設(shè)備進(jìn)行定位，實(shí)現(xiàn)對WLAN網(wǎng)絡(luò)的調(diào)優(yōu)。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗(yàn)。通過頻譜掃描發(fā)現(xiàn)未管理無線源，快速識別網(wǎng)絡(luò)安全隱患，保障網(wǎng)絡(luò)健康。通過eSight對干擾設(shè)備進(jìn)行定位，實(shí)現(xiàn)對WLAN網(wǎng)絡(luò)的調(diào)優(yōu)，合理規(guī)避干擾設(shè)備的影響。無線釣魚與RougeAP防護(hù)無線釣魚是將有線網(wǎng)絡(luò)中的釣魚攻擊方法應(yīng)用到無線領(lǐng)域，但由于網(wǎng)絡(luò)傳輸協(xié)議不同，用的方式當(dāng)然也不同，常見的無線釣魚方式是基于偽造AP使得無線客戶端訪問虛假的AP，從而釣魚得到客戶端信息。針對非法瘦AP接入有線網(wǎng)絡(luò)后無線釣魚的場景防護(hù)手段依靠AC對AP接入的安全控制可以進(jìn)行防護(hù)。華為WLAN支持針對非法AP的無線釣魚防護(hù)，支持RougeAP檢測和隔離。eSight開啟RougeAP的檢測功能，將檢測到的RougeAP呈現(xiàn)出來，并對這些RougeAP、RougeClient、AdHoc開啟反制。用戶上網(wǎng)行為審計“商超”在給市民提供上網(wǎng)業(yè)務(wù)的同時，也要解決市民濫用網(wǎng)絡(luò)帶寬、散布惡意軟件、泄漏國家信息以及發(fā)布違反法律法規(guī)的不良言論等問題，也要避免用戶信息面臨的各種安全威脅，如釣魚網(wǎng)站、網(wǎng)頁木馬、文件病毒、黑客攻擊等。日志審計系統(tǒng)：為滿足公安部82號令，可監(jiān)測用戶上網(wǎng)行為和進(jìn)行安全審計，供公安部門審計。必須將所有接入點(diǎn)的NAT日志信息進(jìn)行集中匯總及保存，并可進(jìn)行查詢和統(tǒng)計等審計功能。需要審計用戶的網(wǎng)絡(luò)行為杜絕用戶瀏覽和發(fā)布不良信息。如何限制一般用戶對帶寬資源的濫用，如何保證VIP用戶帶寬。在“商超”網(wǎng)絡(luò)中，在每個獨(dú)立的互聯(lián)網(wǎng)出口推薦部署一臺ASG（已經(jīng)部署防火墻和上網(wǎng)行為管理的不需要重復(fù)部署）。華為ASG上網(wǎng)行為管理，可以識別超過1200種的應(yīng)用識別，超過6500萬條的海量URL庫；可以全面的內(nèi)容控制和審計，有效防止信息外泄和協(xié)助法規(guī)遵從；可以全方位保護(hù)上網(wǎng)用戶，惡意軟件無所遁形，并提供專業(yè)報表針對性強(qiáng)，助力治理“商超”的網(wǎng)絡(luò)。具體組網(wǎng)方式，如下圖所示。在總部ASG上配置相關(guān)上網(wǎng)行為管控和審計策略，并同步到全網(wǎng)所有分支的ASG用戶上線，通過AgileController認(rèn)證系統(tǒng)，進(jìn)行身份認(rèn)證認(rèn)證通過后，AgileController系統(tǒng)將上線的用戶信息（IP、用戶名、組名、MAC、AP信息、AC信息等）隨同用戶的上線信息一起同步給各ASG用戶開始訪問Internet時，ASG進(jìn)行用戶的行為管控和日志審計，用戶的信息和上網(wǎng)行為審計日志保存在ASG設(shè)備本身ASG定期將訪客信息和日志上傳到總部ASGManager(LogCenter)統(tǒng)一存儲，以便統(tǒng)一審計LogCenter高效地采集日志源的日志，向用戶及時展示華為安全日志源的業(yè)務(wù)情況，幫助用戶了解網(wǎng)絡(luò)用戶的行為，輔助用戶迅速識別并消除安全威脅。通過對華為防火墻設(shè)備用戶上網(wǎng)行為日志進(jìn)行采集和分析，LogCenter可以追蹤用戶的上網(wǎng)行為（如使用P2P、email、HTTP、MSN、QQ等業(yè)務(wù)），并輔助管理員分析內(nèi)網(wǎng)用戶上網(wǎng)行為以及應(yīng)用時長和流量，進(jìn)而對內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管理，可以在線查看用戶狀態(tài)及其所連接的網(wǎng)絡(luò)設(shè)備信息，對非法用戶可以執(zhí)行發(fā)送消息、在線檢查、強(qiáng)制下線、關(guān)閉端口等操作。安全合規(guī)方案華為商業(yè)Wi-Fi解決方案提供合規(guī)安全子方案，一方面滿足有關(guān)部門合規(guī)審計的要求（公安部82號令），另一方面來保障用戶接入Wi-Fi網(wǎng)絡(luò)時的安全，讓用戶放心的接入使用Wi-Fi網(wǎng)絡(luò)。合規(guī)審計華為商業(yè)Wi-Fi解決方案通過部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網(wǎng)提供安全保障，同時對Wi-Fi用戶的上網(wǎng)行為進(jìn)行審計，滿足公安部82號令的審查要求。上網(wǎng)行為審計具體體現(xiàn)在對Wi-Fi用戶上網(wǎng)信息的日志進(jìn)行存儲，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時間、內(nèi)外網(wǎng)地址轉(zhuǎn)換對應(yīng)關(guān)系（NAT溯源）。在實(shí)際部署時可根據(jù)網(wǎng)絡(luò)的規(guī)模以及Wi-Fi用戶量的大小選擇如下兩種日志存儲管理方案。方案一：統(tǒng)一存儲管理認(rèn)證系統(tǒng)和NGFW各自存儲一部分日志信息。其中，認(rèn)證系統(tǒng)可提供用戶上下線日志的存儲和查詢。NGFW可提供用戶內(nèi)外網(wǎng)IP地址NAT日志信息，先在本地進(jìn)行存儲，選擇網(wǎng)絡(luò)閑時發(fā)送至總部logcenter進(jìn)行統(tǒng)一存儲和管理。Logcenter統(tǒng)一接收并存儲認(rèn)證系統(tǒng)和NGFW的日志信息后，可進(jìn)行日志信息的統(tǒng)一管理和查看。在該應(yīng)用場景下，LogCenter對下一代防火墻等安全網(wǎng)元的會話日志進(jìn)行采集和分析，獲取NAT信息（包括目的IP地址、目的端口、NAT前源IP地址和協(xié)議等），結(jié)合身份關(guān)聯(lián)數(shù)據(jù)源（如認(rèn)證服務(wù)器），從而追蹤NAT用戶的上網(wǎng)行為。方案二：本地存儲管理日志本地存儲管理是指認(rèn)證系統(tǒng)和NGFW將用戶的日志信息存儲在本地?？紤]到日志信息的存儲量較大，建議NGFW通過外掛硬盤或者內(nèi)置CF卡的方式來進(jìn)行日志的存儲。NGFW提供審計策略功能，通過配置審計功能后，用戶的上網(wǎng)行為會被記錄日志。管理員通過查看各種報表以及審計日志、用戶活動日志等信息審查和分析用戶的上網(wǎng)行為，識別出威脅網(wǎng)絡(luò)安全的用戶和上網(wǎng)行為，為后續(xù)制定高效和精細(xì)化的安全策略提供基礎(chǔ)。NGFW上的審計處理流程如下圖所示：流量通過NGFW時，審計處理流程如下：1、NGFW會對收到的流量進(jìn)行識別，識別出流量的屬性，包括：用戶（包括用戶組和安全組）、源安全區(qū)域、目的安全區(qū)域、源地址、目的地址、服務(wù)（源端口、目的端口、協(xié)議類型）和時間段。2、NGFW將流量的屬性與審計策略的條件進(jìn)行匹配。如果所有條件都匹配，則此流量成功匹配審計策略。如果其中有一個條件不匹配，則繼續(xù)匹配下一條審計策略。以此類推，如果所有審計策略都不匹配，則流量不進(jìn)行審計功能處理。3、如果流量成功匹配一條審計策略，NGFW將會執(zhí)行此審計策略的動作。如果動作為不審計，則流量不進(jìn)行審計功能處理。如果動作為審計，則NGFW會根據(jù)審計策略引用的審計配置文件中定義的內(nèi)容，記錄用戶的上網(wǎng)行為。方案選取建議對于連鎖類或者網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)較多的場景，建議選擇方案一，將日志進(jìn)行統(tǒng)一的存儲和管理。對于單個門店或者單個獨(dú)立網(wǎng)絡(luò)的場景，如果出于成本考慮可以選擇方案二。安全規(guī)劃華為商業(yè)Wi-Fi解決方案從有線安全和無線空口安全兩個維度來保障Wi-Fi網(wǎng)絡(luò)的安全，讓用戶能夠放心的接入和使用Wi-Fi網(wǎng)絡(luò)。有線安全有線側(cè)，通過在局域網(wǎng)出口處以及數(shù)據(jù)中心入口處部署下一代防火墻NGFW來抵御來自Interntet的威脅。NGFW集防火墻、IPS、DDOS等眾多功能于一身，能夠有效保障局域網(wǎng)和數(shù)據(jù)中心的安全。無線空口安全無線空口側(cè)主要存在三個方面的安全：非法rogue設(shè)備、惡意攻擊和空口監(jiān)聽，如下圖所示。Rogue設(shè)備商業(yè)Wi-Fi環(huán)境中可能出現(xiàn)的Rogue設(shè)備包括RogueAP，RogueClient，Ad-hoc設(shè)備，這些設(shè)備對運(yùn)維的WLAN網(wǎng)絡(luò)會帶來諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLANWIDS方案支持對網(wǎng)絡(luò)中的Rogue設(shè)備（包括AP，Client，Ad-hoc）的進(jìn)行檢測、識別以及反制功能。下面分別從非法設(shè)備的監(jiān)聽，識別，判斷以及反制四個方面詳細(xì)闡述，華為WLAN對非法設(shè)備安全的防護(hù)。偵聽周邊設(shè)備AP有三種工作模式：接入模式，監(jiān)聽模式和混合模式。接入模式只提供覆蓋功能，不提供非法設(shè)備監(jiān)聽功能；監(jiān)聽模式只監(jiān)聽，不能接入業(yè)務(wù)；而混合模式可以在接入業(yè)務(wù)的同時進(jìn)行監(jiān)聽。推薦AP工作在混合模式，在接入業(yè)務(wù)的同時監(jiān)聽周邊設(shè)備，低成本部署。設(shè)備類型識別AP通過監(jiān)聽Beacon，AssociatonRequest，AssociationResponse協(xié)議報文和數(shù)據(jù)報文報文來識別Rogue設(shè)備是哪種設(shè)備（AP/Adhoc/Client）。監(jiān)控AP搜集到無線設(shè)備后，維護(hù)一個無線設(shè)備信息列表，并把這些信息上報給AC，在AC上根據(jù)一定的規(guī)則進(jìn)行Rogue設(shè)備判斷。Rogue設(shè)備判斷當(dāng)AP設(shè)備工作在混合模式或者監(jiān)聽模式時可以實(shí)現(xiàn)對整個網(wǎng)絡(luò)的監(jiān)控，監(jiān)控設(shè)備包括AP、Client、Adhoc終端、無線網(wǎng)橋等。Rogue設(shè)備反制檢測到Rogue設(shè)備后，可以使能防范、反制功能。反制功能，根據(jù)反制的模式，監(jiān)測模式AP從無線控制器下載攻擊列表，并對Rogue設(shè)備采取措施，阻止其工作。對RogueAP的反制：監(jiān)測AP通過使用RogueAP設(shè)備的地址發(fā)送假的廣播解除認(rèn)證幀來對RogueAP設(shè)備進(jìn)行反制，抑制無線用戶和非法AP建立鏈接。對RogueClient、Adhoc設(shè)備的反制：監(jiān)測AP通過使用RogueClient、Adhoc設(shè)備的BSSID、MAC地址發(fā)送假的單播解除認(rèn)證幀，對指定非法Client的進(jìn)行反制。Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實(shí)時顯示Rogue設(shè)備的位置，為網(wǎng)管人員對網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。惡意攻擊針對惡意攻擊，華為WLAN擁有多種方式。下面針對最常用的flood攻擊，WeakIV攻擊，Spoof攻擊方式，介紹華為的防御規(guī)劃和措施。Flood攻擊檢測：當(dāng)“惡意用戶”發(fā)送大量的“連接請求報文”至AP時，這些報文會被AP轉(zhuǎn)發(fā)到AC設(shè)備上進(jìn)行處理，這樣會對內(nèi)部網(wǎng)絡(luò)造成沖擊。啟動Floodattack檢測，AC會檢測到來自于該惡意用戶的Flood攻擊，AP會將來自于該用戶的報文將全部被丟棄，從而實(shí)現(xiàn)了對于網(wǎng)絡(luò)的安全防御。WeakIV攻擊檢測：對于Client的數(shù)據(jù)報文，如果該報文使用了WEP加密算法，需要啟動IV檢測；AC根據(jù)IV的安全性策略判斷是否存在WeakIV攻擊。Spoof攻擊檢測：這種攻擊的潛在攻擊者將以其他設(shè)備的名義發(fā)送攻擊報文。惡意AP或者惡意用戶發(fā)送一個欺騙的解除認(rèn)證報文會導(dǎo)致無線客戶端下線。AC接受到這種報文時將立刻被定義為欺騙攻擊，并阻止該用戶。空口竊聽華為WLAN提供多種空口加密方式，以避免空口被竊聽。如WEP、WPA/WPA2、WAPI等。eSight無線定位華為商業(yè)Wi-Fi解決方案提供無線定位功能，滿足大型商場、購物中心、游樂景區(qū)等多種場合下的定位需求。從用途來看，無線定位可用于以下場景。客流分析為商場運(yùn)營方提供基于大數(shù)據(jù)分析的報告，分析單客戶或者總體客戶的運(yùn)動軌跡、區(qū)域密度等。用于提高店面經(jīng)營效率，經(jīng)營數(shù)字化信息化，為經(jīng)營決策提供數(shù)據(jù)支撐。具體表現(xiàn)在通過掌握客流峰谷時段來安排更合理的市場活動；掌握熱點(diǎn)區(qū)域調(diào)整租金水平，提高管理效率降低成本。店鋪導(dǎo)航顧客點(diǎn)擊商鋪具體位置，進(jìn)行線路規(guī)劃，指引顧客到達(dá)店鋪，參與活動。逆向?qū)ぼ囶櫩屯＼嚭螅谑謾C(jī)終端App軟件設(shè)定當(dāng)前停車位置；購物完畢，在停車場所在樓層，點(diǎn)擊手機(jī)終端App“逆向?qū)ぼ嚒卑粹o，實(shí)