山西郵儲銀行WLAN網(wǎng)絡建設方案與應用探討

1、    山西郵儲銀行wlan網(wǎng)絡建設方案與應用探討    【摘要】信息化技術的快速發(fā)展與進步不斷的推動了wlan的廣泛使用。本文以郵儲銀行wlan網(wǎng)絡建設為例，首先介紹了其wlan的建設需求，隨后從無線接入、平臺方案等方面對項目建設和應用作了簡要探討?！娟P鍵詞】郵儲銀行;waln;網(wǎng)絡建設1.項目概述隨著信息化技術的快速發(fā)展與進步，隨著越來越多的便攜式設備和智能終端都開始支持wi-fi接入，進一步推動了wlan的廣泛使用。對于銀行而言，在各分支網(wǎng)點部署wlan可方便工作人員使用無線終端進行展示、為等候區(qū)客戶提供無線上網(wǎng)服務等，能夠滿足客戶的多樣化需求，促

2、進銀行金融服務水平的提高。為了向銀行客戶提供高質量的金融服務，建議郵儲銀行山西省在轄內營業(yè)網(wǎng)點部署wlan，實現(xiàn)無線信號覆蓋，wlan覆蓋可提供安全認證、授權、管理功能。當客戶在營業(yè)廳等待期間，為客戶提供免費無線互聯(lián)網(wǎng)服務。無線信號范圍可覆蓋營業(yè)大廳、客戶等候區(qū)、vip客戶接待區(qū)等客戶活動區(qū)域。客戶可以通過自帶的筆記本電腦、智能終端等接入wlan進而享受免費互聯(lián)網(wǎng)服務。通過這種方式，銀行可向客戶介紹金融產(chǎn)品，引導客戶使用郵儲銀行網(wǎng)上銀行、手機銀行業(yè)務，全方位提升銀行服務，展示現(xiàn)代化銀行風采。2.郵儲銀行wlan項目建設的需求第一，由運營商為銀行搭建wlan環(huán)境給銀行客戶使用，銀行客戶可以使用自

3、己的移動設備，通過用戶名、密碼認證的方式接入互聯(lián)網(wǎng)。第二，個性化portal界面：要求為銀行營業(yè)網(wǎng)點上網(wǎng)的客戶提供個性化登錄頁面（portal），portal界面一般要求具備企業(yè)標識及信息發(fā)布、多終端適配頁面、動態(tài)的營銷宣傳等功能。第三，銀行客戶接入營業(yè)場所的wlan，采用web portal強制認證方式，賬號密碼的獲取方式由運營商通過手機短信方式發(fā)放給客戶，要求對三網(wǎng)客戶都開放。運營商要保留客戶上網(wǎng)的相關信息，以便對客戶上網(wǎng)行為溯源和審計。第四，計費方式：在營業(yè)場所或辦公場所上網(wǎng)的客戶上網(wǎng)費用不計入上網(wǎng)客戶的手機上，由銀行統(tǒng)一負擔。第五，網(wǎng)絡隔離：所有部署的無線設備與銀行內部網(wǎng)絡嚴格物理隔離

4、，且要統(tǒng)一管理，保障銀行網(wǎng)點無線網(wǎng)絡的穩(wěn)定。3.wlan網(wǎng)絡建設無線接入側方案無線接入側對營業(yè)廳進行全面深度wlan覆蓋，連接聯(lián)通ip城域網(wǎng);ap負責匯集用戶終端sta的無線信號，通過網(wǎng)線將數(shù)據(jù)傳輸至poe交換機;poe交換機匯集ap數(shù)據(jù)并將數(shù)據(jù)流量通過光纜傳輸至聯(lián)通寬帶ip城域網(wǎng);聯(lián)通寬帶ip城域網(wǎng)將poe數(shù)據(jù)流量匯聚并通過ac對無線接入側進行管理（如ap的自動頻點分配、統(tǒng)一配置ap數(shù)據(jù)等）并連接聯(lián)通管理、計費、認證平臺。4.wlan網(wǎng)絡建設的平臺方案平臺部分滿足用戶認證、授權計費要求并提供用戶portal網(wǎng)頁頁面及廣告（可更新）。為了能夠滿足集團客戶的個性化需求，聯(lián)通公司采用cms技術將集

5、團客戶的個性化portal頁面集成，每個客戶一套模板，每個模板映射一套自己的認證流程。認證后臺針對不同客戶的需求配置不同的個性化portal頁面和radius認證配置，真正做到從頁面到流程的完全適配，支持客戶的wlan業(yè)務需求。4.1 業(yè)務開通流程每個集團客戶企業(yè)都會將需求表通過bss系統(tǒng)開通到聯(lián)通集團客戶wlan認證管理平臺，聯(lián)通集團客戶wlan認證管理平臺存儲集團用戶的基本信息，包含管理員信息，portal功能設置，子賬號設置等內容。各配置項目的配置屬性值會通過相關接口映射到頁面管理系統(tǒng)，radius認證系統(tǒng)。最終用戶認證時，可以通過相關的配置形成用戶需要的認證流程。4.2 總體認證流程用

6、戶搜索到自己企業(yè)的ssidap建立連接，通過bras分配ip給用戶用戶隨機輸入url，被bras截獲，發(fā)現(xiàn)首次認證，強制推送portal頁面portal server收到https請求，通過url攜帶的參數(shù)，找到ssid（或brasname，bras ip）等網(wǎng)絡標識信息跳轉到portal頁面管理系統(tǒng)，該系統(tǒng)從預先配置的模板選出事先定義好的頁面返回該頁面給portal serverportal server給用戶顯示企業(yè)預定的個性化portal頁面，用戶輸入賬號和密碼;portal通過aiobs查詢用戶狀態(tài)，返回最大會話時長等信息portal向bras發(fā)起認證請求bras封裝賬號和密碼向rad

7、ius發(fā)起認證radius認證通過后，向bras返回授權屬性bras通知最終用戶認證通過，可以接入互聯(lián)網(wǎng)。4.3 wlan集團客戶管理子系統(tǒng)管理員帳戶分為超級管理員和企業(yè)管理員。企業(yè)管理員為集團用戶管理員，權限僅為本企業(yè)。超級管理員為我公司維護人員，權限可管理所有用戶。當新增一個集團客戶時，需要初始化一個該集團客戶的企業(yè)管理員，系統(tǒng)限定該管理員只可在該熱點下登錄。4.4 wlan集團客戶portal管理子系統(tǒng)該portal頁面信息管理系統(tǒng)提供了頁面管理功能，該平臺能根據(jù)不同企業(yè)的用戶顯示不同的portal頁面，允許本地維護管理人員對用戶portal定制界面的圖片、鏈接進行定制，自行上傳并發(fā)布新

8、的用戶公告。主要功能是實現(xiàn)編輯/審核管理員對定制方案頁面信息的管理，方便管理員對定制頁面進行維護。4.5 wlan集團客戶認證管理子系統(tǒng)（1）開通子系統(tǒng)集團客戶開通業(yè)務受理由crm自動將信息同步到portal，完成自動開通。crm將用戶信息傳遞給portal，同步開通業(yè)務。傳遞的信息除企業(yè)的基本信息外，還需要同步傳遞開通賬戶的信息（賬戶種類及數(shù)量）。portal根據(jù)傳遞的信息，給企業(yè)管理員開通相關賬戶的權限。企業(yè)管理員根據(jù)開戶信息，為用戶生成相關帳號。業(yè)務開通后，系統(tǒng)下發(fā)郵件告知企業(yè)管理員登錄帳號及密碼。業(yè)務受理成功后，portal自動下發(fā)郵件通知企業(yè)管理員登錄帳號及密碼。超級管理員可登錄管理

9、各企業(yè)。（2）業(yè)務認證子系統(tǒng)支持靜態(tài)密碼認證、動態(tài)密碼認證以及統(tǒng)一帳號認證。靜態(tài)密碼認證主要針對企業(yè)固定用戶，動態(tài)密碼支持企業(yè)臨時用戶。靜態(tài)密碼認證區(qū)：當采用基于web的靜態(tài)密碼認證方式時，portal服務器接收用戶認證請求信息后，向radius發(fā)起密碼認證過程，由radius驗證用戶密碼、查詢用戶信息;認證結束后，portal 服務器將認證結果通知給用戶。動態(tài)密碼認證區(qū)：用戶可以輸入手機號和驗證碼獲取動態(tài)密碼，然后用戶填寫動態(tài)密碼，登錄系統(tǒng)。下線通知：portal應提供主動下線的按鈕或者鏈接。用戶上網(wǎng)結束后，可以通過點擊下線按鈕或鏈接進行下線;portal收到用戶下線請求后應通知bras進行

10、下線處理，并給用戶提示下線操作結果。（3）采集子系統(tǒng)通過對radius的idr日志進行預處理采集然后進行話單入庫。（4）話單接口子系統(tǒng)對相關話單進行預處理，提供bss采集的相關目錄。（5）自服務子系統(tǒng)固定賬戶可以通過輸入賬戶名和密碼登錄系統(tǒng)。系統(tǒng)自動生成賬戶和動態(tài)密碼賬戶無法登錄自服務系統(tǒng)。（6）統(tǒng)計分析子系統(tǒng)根據(jù)用戶提供的時間范圍，顯示wlan認證系統(tǒng)在該時間范圍的上網(wǎng)統(tǒng)計信息。該時間范圍控制在3個月以內，精確度到天。已銷戶用戶統(tǒng)計也可以進行查詢。統(tǒng)計的信息包括：流量統(tǒng)計，用戶登錄數(shù)量統(tǒng)計，獨立用戶數(shù)量，用戶使用時長統(tǒng)計。能夠將上述詳單導出到excel。（7）外部接口子系統(tǒng)crm開戶接口：通

11、過接口規(guī)范，對集團客戶和集團最終用戶進行開銷戶處理。與短信系統(tǒng)接口：通過和短信網(wǎng)關對接，方便radius側進行短信密碼下發(fā)。（8）內部接口子系統(tǒng)portal server和portal門戶子系統(tǒng)： portal server需要根據(jù)網(wǎng)絡標識，熱點等信息調用portal頁面管理系統(tǒng)，因此需要定義參數(shù)傳遞方法，加密規(guī)則，接口協(xié)議等。聯(lián)通集團客戶wlan認證平臺和portal門戶子系統(tǒng)：聯(lián)通集團客戶wlan認證平臺需要將集團客戶屬性信息傳遞到portal頁面管理系統(tǒng)進行配置。5.建設規(guī)模無線部分：預計在山西郵儲銀行350個營業(yè)廳新建ap設備1050個（根據(jù)實際情況調整），poe交換機350個，poe交換機采用光纜連接至聯(lián)通寬帶城域網(wǎng)，ac、bas可利用聯(lián)通已有設備。平臺部分：平臺側采用2臺認證、管理服務器互為備份;通過磁盤陣列存儲數(shù)據(jù)并實現(xiàn)雙機