商業(yè)WiFi解決方案技術(shù)建議書

目錄1概述 11.1簡(jiǎn)介 11.2運(yùn)營(yíng)問(wèn)題與挑戰(zhàn) 11.3總體設(shè)計(jì)原則 22需求分析與典型場(chǎng)景 32.1典型場(chǎng)景 32.1.1多場(chǎng)景Wi-Fi覆蓋 32.1.2便捷的網(wǎng)絡(luò)接入認(rèn)證 42.1.3提供實(shí)時(shí)導(dǎo)航應(yīng)用 52.1.4市場(chǎng)推廣及精準(zhǔn)營(yíng)銷 62.1.5商場(chǎng)運(yùn)營(yíng)&安全管理 72.1.6安全合規(guī)、日志審計(jì) 92.2商超ICT建設(shè)訴求 93華為商業(yè)Wi-Fi解決方案概述 113.1方案定位 113.2方案概覽 113.3典型組網(wǎng) 124Wi-Fi覆蓋方案 154.1概述 154.1.1AC部署方式 154.1.2AP部署和選型 184.1.3IP地址規(guī)劃 184.1.4SSID規(guī)劃 194.1.5射頻管理規(guī)劃 194.1.6高密覆蓋場(chǎng)景 205用戶認(rèn)證管理方案 225.1用戶身份驗(yàn)證方式 225.1.1短信認(rèn)證 235.1.2Portal認(rèn)證 245.1.3微信認(rèn)證 255.1.4APP認(rèn)證 275.2用戶認(rèn)證和應(yīng)用組網(wǎng) 285.3用戶策略管理 305.4海量賬號(hào)管理 315.5分組流量控制 325.6終端的精細(xì)化管理 346網(wǎng)絡(luò)運(yùn)維方案 356.1WLAN全生命周期管理 356.2掌控網(wǎng)絡(luò)eSightMobile 366.2.1業(yè)務(wù)監(jiān)控 376.2.2區(qū)域監(jiān)控 376.2.3故障診斷 376.2.4無(wú)線網(wǎng)絡(luò)評(píng)測(cè) 386.3用戶資源管理 396.3.1用戶數(shù)據(jù)管理 396.3.2用戶數(shù)據(jù)報(bào)表 406.4第三方AP管理 416.5SAC智能應(yīng)用控制 426.6無(wú)線安全管理 436.6.1WIDS/WIPS 436.6.2頻譜分析無(wú)線干擾源 456.6.3無(wú)線釣魚與RougeAP防護(hù) 456.7用戶上網(wǎng)行為審計(jì) 477安全合規(guī)方案 497.1合規(guī)審計(jì) 497.1.1方案一：統(tǒng)一存儲(chǔ)管理 497.1.2方案二：本地存儲(chǔ)管理 517.1.3方案選取建議 517.2安全規(guī)劃 517.2.1有線安全 517.2.2無(wú)線空口安全 528eSight無(wú)線定位 558.1網(wǎng)絡(luò)側(cè)定位與終端側(cè)定位 558.1.1網(wǎng)絡(luò)側(cè)定位 558.1.2終端側(cè)的定位 558.2Wi-Fi定位 568.2.1定位原理 568.2.2組網(wǎng)架構(gòu) 578.2.3使用場(chǎng)景 578.2.4推薦部署 588.2.5單AP定位 598.3藍(lán)牙定位 598.3.1定位原理 598.3.2組網(wǎng)架構(gòu) 618.3.3使用場(chǎng)景 618.3.4推薦部署 618.4北向接口 628.4.1整體架構(gòu) 628.4.2基于eSightWI-FI定位北向接口的應(yīng)用開(kāi)發(fā) 628.4.3eSight藍(lán)牙定位SDK的二次集成開(kāi)發(fā) 648.5部署方式 648.5.1定位引擎與eSight服務(wù)器同機(jī)部署 648.5.2定位引擎與eSight服務(wù)器同機(jī)部署 648.5.3·定位引擎與eSight服務(wù)器分機(jī)部署 659設(shè)備介紹 669.1WLAN接入控制器 669.1.1AC6605接入控制器 669.1.2AC6005接入控制器 679.1.3AP4030DN&AP4130DN接入點(diǎn) 689.1.4AP4030DN-E接入點(diǎn) 699.1.5AP4030TN接入點(diǎn) 709.1.6AP4050DN-E接入點(diǎn) 719.1.7AP4050DN-HD接入點(diǎn) 729.1.8AP5030DN&AP5130DN接入點(diǎn) 739.1.9AP5030DN-C接入點(diǎn) 759.1.10AP5030DN-S無(wú)線接入點(diǎn) 769.1.11AP6050DN&AP6150DN接入點(diǎn) 769.1.12AP6310SN-GN接入點(diǎn) 779.1.13AP7030DE接入點(diǎn) 789.1.14AP7050DN-E接入點(diǎn) 799.1.15AP7050DE接入點(diǎn) 809.1.16AP9330DN接入點(diǎn) 819.1.17AD9430DN中心AP 829.1.18AP9131DN&AP9132DN無(wú)線接入點(diǎn) 839.2網(wǎng)管和SDN控制器 849.2.1eSight 849.2.2敏捷控制器 85概述簡(jiǎn)介零售業(yè)正處于第三次變革時(shí)期，此次變革是基于互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)推動(dòng)的全方位的零售革命，通過(guò)線上平臺(tái)，消費(fèi)者購(gòu)物不受時(shí)空限制，云計(jì)算搜集消費(fèi)者線上行為并匯總到云端，大數(shù)據(jù)做深度挖掘，獲取消費(fèi)者的需求。零售商擁有精準(zhǔn)的信息后，便可組織供應(yīng)鏈資源，滿足消費(fèi)者的需求。而相對(duì)于線上，在商品展示、溝通交流、退換貨服務(wù)等方面，線下購(gòu)物在體驗(yàn)有無(wú)法媲美的優(yōu)勢(shì)，消費(fèi)者線上和線下交叉互動(dòng)是普遍的購(gòu)物行為；對(duì)于購(gòu)物中心類的零售業(yè)主，利潤(rùn)來(lái)源主要來(lái)自于租賃業(yè)務(wù)。如何理解消費(fèi)者新的購(gòu)物行為，幫助購(gòu)物中心品牌改進(jìn)自己的溝通戰(zhàn)略，在合適的時(shí)間地點(diǎn)用對(duì)的信息與消費(fèi)者溝通，在每個(gè)觸點(diǎn),在家，在路上，在店內(nèi)，都做到令消費(fèi)者滿意的品牌，才能最終贏得消費(fèi)者；隨著移動(dòng)終端的普及，購(gòu)物中心越來(lái)越多通過(guò)移動(dòng)營(yíng)銷降低消費(fèi)者信息的獲取成本，提升消費(fèi)積極性；當(dāng)消費(fèi)者來(lái)到店內(nèi)后，為消費(fèi)者提供個(gè)性化的服務(wù)、極致的購(gòu)物體驗(yàn)提升消費(fèi)者的購(gòu)物黏性，進(jìn)而鼓勵(lì)和促進(jìn)消費(fèi)者進(jìn)行社交網(wǎng)絡(luò)分享，吸引更多的消費(fèi)人群，形成傳播＋消費(fèi)的良性循環(huán)，這種模式已經(jīng)成為購(gòu)物中心普遍的發(fā)展趨勢(shì)；可以總結(jié)為移動(dòng)營(yíng)銷、線下體驗(yàn)、社交傳播的O2O（onlinetooffline）運(yùn)營(yíng)模式。運(yùn)營(yíng)問(wèn)題與挑戰(zhàn)

購(gòu)物中心商業(yè)成功的有三個(gè)關(guān)鍵因素，移動(dòng)營(yíng)銷、極致體驗(yàn)、高效運(yùn)營(yíng)；極致體驗(yàn)決定消費(fèi)者在線下購(gòu)物之后，是否會(huì)產(chǎn)生腦海里產(chǎn)生化學(xué)反應(yīng)，成功黏住消費(fèi)者；購(gòu)物中心運(yùn)營(yíng)方需要和消費(fèi)者各個(gè)接觸點(diǎn)形成及時(shí)和有針對(duì)性的互動(dòng)，為消費(fèi)者提供個(gè)性化的體驗(yàn)，構(gòu)建有黏性的客戶關(guān)系，才能持續(xù)贏得客戶；傳統(tǒng)購(gòu)物中心在購(gòu)物體驗(yàn)存在的一些問(wèn)題如下：導(dǎo)航：購(gòu)物中心平面地形通常很復(fù)雜，以“迷宮“著稱，顧客在購(gòu)物過(guò)程中尋找目的店鋪花費(fèi)較多時(shí)間，在購(gòu)物后為找停車位置而煩惱；信息獲取：消費(fèi)者逛賣場(chǎng)時(shí)，希望快捷獲取優(yōu)惠信息，但現(xiàn)在的賣場(chǎng)充斥著各種各樣的信息強(qiáng)制推送給消費(fèi)者，讓消費(fèi)者有類似“垃圾短信“的厭倦感；支付：節(jié)假日、人流高峰期經(jīng)常出現(xiàn)長(zhǎng)龍買單現(xiàn)象；休閑：消費(fèi)者在購(gòu)物中心要么不能通過(guò)WIFI上網(wǎng)，要么連接WIFI上網(wǎng)后不流暢；高效運(yùn)營(yíng)面向購(gòu)物中心業(yè)主方，各個(gè)環(huán)節(jié)精益運(yùn)營(yíng)，提升工作效率，提高作業(yè)準(zhǔn)確性，降低勞動(dòng)強(qiáng)度，零售業(yè)目前面臨的一些效率問(wèn)題如下：業(yè)務(wù)快速上線周期長(zhǎng)：大型賣場(chǎng)的上線周期通常超過(guò)一個(gè)月；ICT運(yùn)維效率低下：ICT問(wèn)題不能提前預(yù)警，需要維護(hù)人員現(xiàn)場(chǎng)處理，事后沒(méi)有記錄閉環(huán)等，都導(dǎo)致運(yùn)維的效率非常低下；及時(shí)準(zhǔn)確獲取客流信息，并分析顧客行為越來(lái)約關(guān)鍵；客流信息是衡量商業(yè)運(yùn)營(yíng)狀況的重要指標(biāo)。通過(guò)準(zhǔn)確的人流量化數(shù)據(jù)來(lái)研究流量規(guī)律，不但可以了解相關(guān)設(shè)施在運(yùn)行中的狀況，還可以利用這些高精度的數(shù)據(jù)，進(jìn)行有效的組織運(yùn)營(yíng)工作：通過(guò)深入的顧客數(shù)據(jù)研究，可以最大限度地挖掘賣場(chǎng)的銷售潛力，增加銷售機(jī)會(huì)；同時(shí)，對(duì)于人流密度較大的區(qū)域采取相應(yīng)的措施，還可以進(jìn)行很好的走向引導(dǎo)和安全預(yù)警；購(gòu)物中心越來(lái)越希望準(zhǔn)確掌握各個(gè)商鋪的銷售情況，為租賃業(yè)務(wù)提供數(shù)據(jù)支持；對(duì)顧客購(gòu)物行為跟蹤是另外一個(gè)迫切希望獲取的數(shù)據(jù)，挖掘顧客的關(guān)注點(diǎn)和潛在購(gòu)買意向，為調(diào)整銷售策略提供數(shù)據(jù)支持；移動(dòng)營(yíng)銷旨在降低消費(fèi)者信息獲取成本，提升消費(fèi)積極性；隨著高速無(wú)線網(wǎng)絡(luò)和智能設(shè)備的普及，消費(fèi)者越來(lái)越依賴移動(dòng)終端隨時(shí)隨地獲取信息，通過(guò)移動(dòng)營(yíng)銷縮線下門店與消費(fèi)者的距離，吸引消費(fèi)者消費(fèi)是成功的第一步；而目前上線的商城類AppS普遍存在的問(wèn)題有：信息更新少慢，用戶粘度不足商戶無(wú)參與，促銷推廣受商城限制；注冊(cè)機(jī)制的濫用，不能吸引足夠的流量；缺乏會(huì)員專屬體驗(yàn)沒(méi)有打通社交傳播路徑；運(yùn)維成本高：有線、無(wú)線兩張網(wǎng)絡(luò)，網(wǎng)絡(luò)與業(yè)務(wù)信息無(wú)法實(shí)時(shí)直觀體現(xiàn)，運(yùn)維成本高?？傮w設(shè)計(jì)原則為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性和高可靠性，并且易于維護(hù)、管理和擴(kuò)展，全部網(wǎng)絡(luò)設(shè)備均嚴(yán)格執(zhí)行國(guó)際標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，以保證采用設(shè)備所建立的網(wǎng)絡(luò)是一個(gè)名副其實(shí)的開(kāi)放的網(wǎng)絡(luò)系統(tǒng)，成為用戶信息交換、資源共享的標(biāo)準(zhǔn)平臺(tái)。在此基礎(chǔ)上，在方案設(shè)計(jì)上充分考慮技術(shù)發(fā)展的潮流，既兼顧了技術(shù)上的成熟性，同時(shí)保證了系統(tǒng)的先進(jìn)性?；跇?biāo)準(zhǔn)化的設(shè)計(jì)和實(shí)現(xiàn)在結(jié)構(gòu)上實(shí)現(xiàn)真正開(kāi)放，基于國(guó)際開(kāi)放式標(biāo)準(zhǔn)，開(kāi)放的網(wǎng)絡(luò)使用戶可以自由地選擇不同廠家的產(chǎn)品，不會(huì)受到某些廠家專有標(biāo)準(zhǔn)的限制，最大程度地保護(hù)用戶的利益。網(wǎng)絡(luò)設(shè)備采用標(biāo)準(zhǔn)的接口和規(guī)范和協(xié)議，使不同廠家的設(shè)備可以順利地連接。高可靠性為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，保證把局部故障對(duì)網(wǎng)絡(luò)的影響降低到最小。高性能為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用（如：無(wú)線語(yǔ)音，視頻會(huì)議系統(tǒng)）對(duì)網(wǎng)絡(luò)帶寬的需求。高安全為了保護(hù)用戶在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問(wèn)控制，通過(guò)使用VPN、包過(guò)濾及防火墻等技術(shù)保證數(shù)據(jù)的安全傳輸。易于安裝、操作和管理良好的組織和管理對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡(luò)應(yīng)該能夠提供方便、靈活、有力的工具，使得無(wú)論是安裝、操作還是使用對(duì)用戶來(lái)說(shuō)都輕而易舉?？蓴U(kuò)展性，具備支持目前及未來(lái)關(guān)鍵應(yīng)用的能力隨著用戶應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過(guò)渡到新的技術(shù)和設(shè)備，保證用戶現(xiàn)有的投資。資源的高效利用合理利用昂貴的廣域網(wǎng)絡(luò)資源，在有限的資源下，獲得最大化的服務(wù)質(zhì)量，同時(shí)將網(wǎng)絡(luò)的運(yùn)行成本降到最低。需求分析與典型場(chǎng)景典型場(chǎng)景多場(chǎng)景Wi-Fi覆蓋應(yīng)用場(chǎng)景由于商超存在多場(chǎng)景Wi-Fi覆蓋需求，不僅有單店鋪區(qū)域、走廊及電梯，還可能包含地下停車場(chǎng)、表演廣場(chǎng)等。不同場(chǎng)景下對(duì)無(wú)線覆蓋的需求各不相同，手工規(guī)劃難度大，難以保證部署質(zhì)量以及客戶體驗(yàn)。因此，要想保證商場(chǎng)Wi-Fi帶來(lái)良好的使用體驗(yàn)，無(wú)線網(wǎng)絡(luò)建設(shè)必須全方位考慮不同場(chǎng)景，并使用專業(yè)的規(guī)劃設(shè)計(jì)工具，以保證后期用戶網(wǎng)絡(luò)體驗(yàn)。解決方案 華為商業(yè)Wi-Fi解決方案針對(duì)單店鋪場(chǎng)景、室內(nèi)高密場(chǎng)景、室外熱點(diǎn)覆蓋場(chǎng)景及定位業(yè)務(wù)場(chǎng)景，分別提供了專業(yè)化的無(wú)線覆蓋解決方案，全方位保證商超內(nèi)流暢的Wi-Fi上網(wǎng)體驗(yàn)。eSight提供專業(yè)的網(wǎng)規(guī)工具，可快速、準(zhǔn)確實(shí)現(xiàn)AP布放規(guī)劃。便捷的網(wǎng)絡(luò)接入認(rèn)證應(yīng)用場(chǎng)景顧客進(jìn)入商場(chǎng)后，想要找到商場(chǎng)提供的免費(fèi)Wi-Fi網(wǎng)絡(luò)，并通過(guò)便捷的流程快速接入。解決方案Portal認(rèn)證是最基本的認(rèn)證方式之一，在眾多商業(yè)Wi-Fi場(chǎng)景下被廣泛的應(yīng)用。除提供傳統(tǒng)Portal認(rèn)證外，還提供微信認(rèn)證、二維碼掃描認(rèn)證、第三方賬號(hào)認(rèn)證等多種認(rèn)證方式。使得用戶在接入Wi-Fi網(wǎng)絡(luò)時(shí)，可以直接使用已有賬號(hào)來(lái)接入網(wǎng)絡(luò)，免去注冊(cè)時(shí)的繁瑣操作，大大提高接入Wi-Fi網(wǎng)絡(luò)時(shí)的易用性，同時(shí)吸納大量粉絲，增加商家和顧客之間的粘性。 提供實(shí)時(shí)導(dǎo)航應(yīng)用應(yīng)用場(chǎng)景 購(gòu)物中心平面地形通常很復(fù)雜，以“迷宮“著稱，顧客在購(gòu)物過(guò)程中尋找目的店鋪花費(fèi)較多時(shí)間；在購(gòu)物后為找停車位置而煩惱。顧客常常產(chǎn)生以下疑問(wèn)：哪里有空車位？我要找新開(kāi)的CHANEL專賣店，該怎么走？我所喜愛(ài)的餐館在哪里？我車放在地下停車場(chǎng)什么位置？解決方案 eSight無(wú)線定位系統(tǒng)提供Wi-Fi定位和藍(lán)牙定位功能，并可提供北向接口API給合作伙伴進(jìn)行對(duì)接。由于實(shí)時(shí)導(dǎo)航類應(yīng)用對(duì)精度和時(shí)延有較高要求，推薦使用藍(lán)牙方案，由合作伙伴開(kāi)發(fā)手機(jī)APP應(yīng)用，并集成eSight藍(lán)牙定位SDK進(jìn)行實(shí)時(shí)位置呈現(xiàn)。 市場(chǎng)推廣及精準(zhǔn)營(yíng)銷應(yīng)用場(chǎng)景在百貨商場(chǎng)或購(gòu)物超市，商家需要借助于商場(chǎng)手機(jī)App或微信公眾號(hào)，第一時(shí)間告訴顧客附近有哪些商品在打折，哪些商戶再搞促銷活動(dòng)，哪些餐館正在發(fā)放優(yōu)惠券等。解決方案 商家通過(guò)線上和線下數(shù)據(jù)分析描繪用戶行為軌跡和屬性，有針對(duì)性的推送商家廣告信息，提交營(yíng)銷效率，降低盲目營(yíng)銷帶來(lái)的成本。簡(jiǎn)單聯(lián)網(wǎng)服務(wù)中快速有效的傳達(dá)商家信息至用戶，達(dá)到智能移動(dòng)端最低成本運(yùn)營(yíng)和最關(guān)鍵有效的商業(yè)信息廣告投放價(jià)值。幫助行業(yè)商家快速實(shí)現(xiàn)“附近的人“轉(zhuǎn)化為“門店的人”。當(dāng)顧客進(jìn)入某設(shè)定區(qū)域時(shí)，按照顧客畫像設(shè)定推送廣告。商場(chǎng)運(yùn)營(yíng)&安全管理應(yīng)用場(chǎng)景商場(chǎng)希望通過(guò)客流量分析、客流密度統(tǒng)計(jì)、顧客進(jìn)店統(tǒng)計(jì)等位置信息數(shù)據(jù)實(shí)時(shí)掌握商場(chǎng)內(nèi)運(yùn)營(yíng)動(dòng)態(tài)，分析顧客消費(fèi)和購(gòu)物習(xí)慣、洞察銷售額變因、提升商場(chǎng)競(jìng)爭(zhēng)力等。 另外，商場(chǎng)節(jié)假日或互動(dòng)營(yíng)銷時(shí)容易造成人員大規(guī)模聚集，極易引發(fā)各種公共安全事故。解決方案 用戶行為分析幫助商家量化客流情況、分析人群動(dòng)線和顧客行為習(xí)慣，并據(jù)此優(yōu)化定制更多個(gè)性化服務(wù)商鋪分析幫助商場(chǎng)分析商鋪間關(guān)聯(lián)關(guān)系，比較商鋪間優(yōu)劣勢(shì)，分析商鋪經(jīng)營(yíng)成敗，調(diào)整租金價(jià)格等經(jīng)營(yíng)優(yōu)化分析分析店鋪經(jīng)營(yíng)狀況，分析營(yíng)銷活動(dòng)價(jià)值，有利于給出提升銷售業(yè)績(jī)的科學(xué)方法節(jié)能管理根據(jù)區(qū)域人流和消費(fèi)習(xí)慣等調(diào)整人員設(shè)置、燈光強(qiáng)度、音樂(lè)類型廣告價(jià)值分析分析廣告投放最佳位置、方式和地點(diǎn)，最大化廣告覆蓋范圍公共安全監(jiān)控密切關(guān)注人流分布動(dòng)向，及時(shí)采取應(yīng)對(duì)措施，避免可能的公共安全事故，打造“和諧”商場(chǎng)。安全合規(guī)、日志審計(jì)應(yīng)用場(chǎng)景根據(jù)公安部82號(hào)令，針對(duì)酒店、商場(chǎng)、車站等公安重點(diǎn)檢測(cè)區(qū)域，用戶上網(wǎng)信息的日志存儲(chǔ)留存需要至少保存60天以上。同時(shí)提供多維度的安全措施，保障用戶使用Wi-Fi網(wǎng)絡(luò)的安全。解決方案 華為商業(yè)Wi-Fi解決方案通過(guò)部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網(wǎng)提供安全保障，同時(shí)對(duì)Wi-Fi用戶的上網(wǎng)行為進(jìn)行審計(jì)，滿足公安部82號(hào)令的審查要求。上網(wǎng)行為審計(jì)具體體現(xiàn)在對(duì)Wi-Fi用戶上網(wǎng)信息的日志進(jìn)行存儲(chǔ)，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時(shí)間、內(nèi)外網(wǎng)地址轉(zhuǎn)換對(duì)應(yīng)關(guān)系（NAT溯源）。對(duì)于連鎖類或者網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)較多的場(chǎng)景，建議選擇如下方案，將日志進(jìn)行統(tǒng)一的存儲(chǔ)和管理。對(duì)于單個(gè)門店或者單個(gè)獨(dú)立網(wǎng)絡(luò)的場(chǎng)景，如果出于成本考慮可以選擇用戶的日志信息存儲(chǔ)在本地的方案。商超ICT建設(shè)訴求針對(duì)購(gòu)物中心業(yè)務(wù)發(fā)展的核心需求，ICT建設(shè)訴求如下：購(gòu)物中心無(wú)線網(wǎng)絡(luò)訴求；無(wú)論是消費(fèi)者在購(gòu)物中心使用商城AppS，還是購(gòu)物中心的移動(dòng)運(yùn)營(yíng)、移動(dòng)辦公都需要部署基礎(chǔ)的WLAN網(wǎng)絡(luò)來(lái)支撐移動(dòng)運(yùn)營(yíng)；購(gòu)物中心WLAN網(wǎng)絡(luò)部署的要求如下：無(wú)線信號(hào)賣場(chǎng)全覆蓋，強(qiáng)度不低于-65dB，以保證用戶可穩(wěn)定的使用移動(dòng)終端聯(lián)網(wǎng)；無(wú)線網(wǎng)絡(luò)系統(tǒng)支持無(wú)縫漫游，保證無(wú)線網(wǎng)絡(luò)在覆蓋區(qū)域應(yīng)用時(shí)的數(shù)據(jù)不中斷；需要提供安全的認(rèn)證機(jī)制保證信息安全；對(duì)注冊(cè)會(huì)員要保證至少512K帶寬的接入帶寬；無(wú)線網(wǎng)絡(luò)需提供動(dòng)態(tài)的基于流量和用戶數(shù)量的負(fù)載均衡機(jī)制，為用戶提供最好的網(wǎng)絡(luò)性能；中庭或表演廣場(chǎng)要求不少于同時(shí)接入200個(gè)移動(dòng)終端；提供簡(jiǎn)單、易用、統(tǒng)一的無(wú)線網(wǎng)絡(luò)管理平臺(tái)；導(dǎo)航服務(wù)、軌跡跟蹤訴求購(gòu)物中心內(nèi)部結(jié)構(gòu)復(fù)雜，為用戶提供個(gè)性化的LBS定位導(dǎo)航服務(wù)是提升購(gòu)物體驗(yàn)的重要一環(huán)，通過(guò)WIFI定位技術(shù)和智能終端的配合，可提供店鋪導(dǎo)航、尋車、定向營(yíng)銷等服務(wù)；另外，顧客的運(yùn)動(dòng)軌跡可以為運(yùn)營(yíng)方提供區(qū)域流量、用戶偏好、旺鋪分布等數(shù)據(jù)；購(gòu)物中心ICT標(biāo)準(zhǔn)化訴求：為支撐終端接入，并保證安全可靠，需要在購(gòu)物中心部署多種設(shè)備：路由器：廣域網(wǎng)接入，實(shí)現(xiàn)與總部的網(wǎng)絡(luò)互通；防火墻：網(wǎng)絡(luò)攻擊防護(hù)，保障互聯(lián)網(wǎng)接入安全；上網(wǎng)行為管理網(wǎng)關(guān)：保證上網(wǎng)合規(guī)，實(shí)現(xiàn)問(wèn)題回溯和審計(jì)；交換機(jī)：局域網(wǎng)有線接入；WLAN：局域網(wǎng)無(wú)線接入，支撐移動(dòng)運(yùn)營(yíng)；UPS：保證主要設(shè)備在停電時(shí)能繼續(xù)支持業(yè)務(wù)辦理完成；小型機(jī)柜：設(shè)備可集中放置和管理；購(gòu)物中心由于沒(méi)有統(tǒng)一的建設(shè)標(biāo)準(zhǔn)，各種設(shè)備選型和規(guī)格各異，很多設(shè)備沒(méi)有管理接口或者標(biāo)準(zhǔn)不開(kāi)放，由于沒(méi)有專業(yè)IT人員安裝、調(diào)試和運(yùn)維，導(dǎo)致調(diào)試效率較低，業(yè)務(wù)開(kāi)通周期較長(zhǎng)，且無(wú)法統(tǒng)一管理，運(yùn)維屬于被動(dòng)救火的狀態(tài)；由于體驗(yàn)性業(yè)務(wù)的豐富，需要更穩(wěn)健的網(wǎng)絡(luò)來(lái)支撐業(yè)務(wù)，訴求如下：VPN廣域接入：支持購(gòu)物中心與總部的數(shù)據(jù)中心通過(guò)IPSecVPN連接，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密傳輸。路由自動(dòng)切換：出口路由器支持路由自動(dòng)倒換，無(wú)需人工干預(yù);鏈路備份：與總部網(wǎng)絡(luò)可部署兩條鏈路進(jìn)行備份；上網(wǎng)行為管理：支持URL過(guò)濾和內(nèi)容過(guò)濾，支持P2P、即時(shí)通訊軟件、炒股等軟件的控制。UTM：防火墻應(yīng)具有UTM功能，可以對(duì)內(nèi)外網(wǎng)攻擊實(shí)現(xiàn)有效隔離。局域網(wǎng)接入：支持有線和WLAN無(wú)線接入，支持按VLAN進(jìn)行區(qū)域隔離。UPS需求：滿足在市電停電后，為機(jī)柜內(nèi)設(shè)備和部分重要辦公設(shè)備提供30分鐘電源供應(yīng)。華為商業(yè)Wi-Fi解決方案概述方案定位本文檔詳細(xì)介紹了商業(yè)Wi-Fi場(chǎng)景下，如何進(jìn)行網(wǎng)絡(luò)部署，如何提升用戶體驗(yàn)，以及如何利用Wi-Fi網(wǎng)絡(luò)來(lái)支撐運(yùn)營(yíng)活動(dòng)。使Wi-Fi網(wǎng)絡(luò)從傳統(tǒng)的僅用于上網(wǎng)，轉(zhuǎn)變?yōu)樽學(xué)i-Fi網(wǎng)絡(luò)在提升用戶體驗(yàn)的同時(shí)，最大程度的為Wi-Fi業(yè)主的商業(yè)運(yùn)營(yíng)服務(wù)。因此，華為商業(yè)Wi-Fi解決方案有別于傳統(tǒng)的、純粹的網(wǎng)絡(luò)方案，致力于提供一整套“可運(yùn)營(yíng)”的解決方案。顧名思義，本方案是商業(yè)場(chǎng)景下的Wi-Fi解決方案，主要面向商業(yè)消費(fèi)的場(chǎng)景，如商場(chǎng)、超市、營(yíng)業(yè)廳、酒店等場(chǎng)所。區(qū)別于企業(yè)辦公場(chǎng)景，Wi-Fi用戶以訪客身份為主。華為商業(yè)Wi-Fi解決方案的定位如下圖所示，華為與合作伙伴一起來(lái)提供整體解決方案、技術(shù)和服務(wù)支撐，滿足多場(chǎng)景下商業(yè)Wi-Fi運(yùn)營(yíng)的需要。方案概覽華為商業(yè)Wi-Fi解決方案將“提升用戶體驗(yàn)”和“運(yùn)營(yíng)增值”做為Wi-Fi網(wǎng)絡(luò)建設(shè)的兩個(gè)核心目標(biāo)。圍繞這兩個(gè)核心目標(biāo)，華為商業(yè)Wi-Fi解決方案提供了一系列的子方案，詳細(xì)如下表所示：核心目標(biāo)說(shuō)明目標(biāo)一：提升用戶體驗(yàn)提供多場(chǎng)景下的Wi-Fi覆蓋方案，滿足不同場(chǎng)景下的Wi-Fi覆蓋的需求，如高密需求、酒店分布式部署的需求。除提供傳統(tǒng)Portal認(rèn)證外，還提供微信認(rèn)證、二維碼掃描認(rèn)證、第三方賬號(hào)認(rèn)證等多種認(rèn)證方式。使得用戶在接入Wi-Fi網(wǎng)絡(luò)時(shí)，可以直接使用已有賬號(hào)來(lái)接入網(wǎng)絡(luò)，免去注冊(cè)時(shí)的繁瑣操作，大大提高接入Wi-Fi網(wǎng)絡(luò)時(shí)的易用性。目標(biāo)二：運(yùn)營(yíng)增值提供無(wú)線定位功能，滿足客流分析、店鋪導(dǎo)航、逆向?qū)ぼ?、定向營(yíng)銷、特殊人員或貴重物品跟蹤的需要。提供用戶數(shù)據(jù)分析和精準(zhǔn)廣告營(yíng)銷功能。通過(guò)線上和線下數(shù)據(jù)分析描繪用戶行為軌跡和屬性，有針對(duì)性的推送商家廣告信息，提高營(yíng)銷效率，降低盲目營(yíng)銷帶來(lái)的成本。1、提供合規(guī)審計(jì)方案，滿足有關(guān)部門合規(guī)審計(jì)的要求（公安部82號(hào)令）。2、提供多維度的安全措施，保障用戶接入Wi-Fi網(wǎng)絡(luò)時(shí)的安全，讓用戶放心的接入使用Wi-Fi網(wǎng)絡(luò)。說(shuō)明：關(guān)于各子方案的詳細(xì)介紹，請(qǐng)參見(jiàn)后續(xù)章節(jié)。典型組網(wǎng)商業(yè)Wi-Fi場(chǎng)景下的典型組網(wǎng)通常分為獨(dú)立型和連鎖型，其示意圖分別如下所示。其中，服務(wù)器區(qū)用于部署運(yùn)營(yíng)和管理系統(tǒng)。Wi-Fi覆蓋方案概述華為商業(yè)Wi-Fi解決方案提供多種Wi-Fi覆蓋方式，滿足多場(chǎng)景下的Wi-Fi覆蓋需求，實(shí)現(xiàn)無(wú)線信號(hào)全覆蓋，信號(hào)無(wú)死角。場(chǎng)景部署方案設(shè)備選型比較小的房間,數(shù)量較多并集中，如酒店客房、醫(yī)院病房推薦敏捷分布式部署方式，每個(gè)樓層豎井布放中心AP，每個(gè)房間放置一個(gè)入室AP。中心AP、遠(yuǎn)端射頻模塊走廊樓道A.狹長(zhǎng)樓道用放裝式AP定向天線方式；B.短小樓道用放裝式AP全向天線，適當(dāng)調(diào)低AP功率。放裝型AP電梯間部署外置天線放裝型AP，轎廂內(nèi)人數(shù)低，單AP滿足容量需求。外置天線放裝型AP會(huì)議廳、宴會(huì)廳、大堂放裝式AP，根據(jù)面積大小決定使用AP個(gè)數(shù)。放裝型AP室外A.室外型放裝式AP，適合輻射距離遠(yuǎn)，外掛防水防雷；B.室內(nèi)放裝式AP，適合門口10米內(nèi)。室外型AP其中，敏捷分布式方案是華為最新一代分布式Wi-Fi方案，能夠有效降低部署和管理的成本，提高管理效率。除此之外華為的高密接入技術(shù)，能夠滿足商業(yè)Wi-Fi客流量較大區(qū)域的接入需求，保障用戶能夠有效的接入Wi-Fi。下文將分別對(duì)這兩種方案進(jìn)行詳細(xì)介紹。AC部署方式根據(jù)AC的部署方式，網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署。集中式AC和分布式AC部署集中式AC部署集中式AC部署是指整個(gè)網(wǎng)絡(luò)中集中部署AC設(shè)備（通常是獨(dú)立的AC設(shè)備），來(lái)控制和管理整網(wǎng)的AP設(shè)備。AC的部署可以采用直路（直接部署在AP和匯聚/核心交換機(jī)之間）或旁掛方式（旁掛在匯聚/核心交換機(jī)旁側(cè)）。分布式AC部署分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個(gè)AC設(shè)備，分別對(duì)本區(qū)域的AP設(shè)備進(jìn)行管理。對(duì)于購(gòu)物中心的無(wú)線網(wǎng)絡(luò)規(guī)劃，建議采用集中式AC管理模式，通過(guò)跨廣域網(wǎng)管理AP，可最大限度節(jié)約建網(wǎng)成本；AC旁掛與AC直路AC旁掛旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）一側(cè)，實(shí)現(xiàn)對(duì)用戶網(wǎng)關(guān)設(shè)備下所有AP的管理。旁掛方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備非華為設(shè)備的場(chǎng)景，如購(gòu)物中心僅進(jìn)行無(wú)線改造，不考慮替換原有非華為網(wǎng)關(guān)設(shè)備，則可采用旁掛方式。AC直路直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）之間，實(shí)現(xiàn)對(duì)下轄所有AP的管理。直路方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備為華為設(shè)備的場(chǎng)景。本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對(duì)用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式本地轉(zhuǎn)發(fā)又稱直接轉(zhuǎn)發(fā)，是指AP上對(duì)用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層，不經(jīng)過(guò)AC處理，AC只對(duì)AP進(jìn)行管理。而AP管理流封裝在CAPWAP隧道中，到達(dá)AC終止。集中轉(zhuǎn)發(fā)也稱作隧道轉(zhuǎn)發(fā)。業(yè)務(wù)數(shù)據(jù)報(bào)文由AP統(tǒng)一封裝后到達(dá)AC實(shí)現(xiàn)轉(zhuǎn)發(fā)，AC不但進(jìn)行對(duì)AP管理，還作為AP流量的轉(zhuǎn)發(fā)中樞。即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達(dá)AC。AC雙機(jī)熱備AC1+1備份指同一業(yè)務(wù)在兩臺(tái)AC設(shè)備上相互進(jìn)行備份，AC上涉及的熱備的業(yè)務(wù)有用戶接入認(rèn)證、WLAN組件等，上線用戶的信息的任何改變，都會(huì)及時(shí)保存在兩臺(tái)AC設(shè)備上，這樣當(dāng)其中一個(gè)AC設(shè)備、或AP與AC間物理鏈路發(fā)生故障時(shí)，用戶不需要重新進(jìn)行認(rèn)證或關(guān)聯(lián)，其業(yè)務(wù)被自動(dòng)切換到另一臺(tái)設(shè)備上，并在用戶可接受的時(shí)延下，迅速恢復(fù)。如上圖所示，AC1與AC2之間建立一個(gè)熱備通道。當(dāng)AC1出現(xiàn)以下情況時(shí)：AC1整機(jī)復(fù)位AC1的上行鏈路downAC1與AP間鏈路down此時(shí)可以通過(guò)雙機(jī)熱備機(jī)制，快速將用戶認(rèn)證信息、以及用戶流量切換到AC2，這樣用戶不需要重新認(rèn)證上線。AC旁掛的場(chǎng)景，用戶的業(yè)務(wù)不受影響；用戶業(yè)務(wù)流量經(jīng)過(guò)AC的場(chǎng)景，用戶的業(yè)務(wù)能夠經(jīng)過(guò)很短的時(shí)延后，迅速恢復(fù)AP部署和選型在購(gòu)物中心的無(wú)線網(wǎng)絡(luò)建設(shè)中，建議采用放裝部署和室分部署兩種方式。其中放裝部署方式是將AP直接部署在覆蓋區(qū)域，適用于較大開(kāi)放空間、人員密集的區(qū)域，例如像開(kāi)放賣場(chǎng)環(huán)境；室分部署是將無(wú)線信號(hào)通過(guò)功分器設(shè)備，分為多路信號(hào)，通過(guò)室分天線進(jìn)行無(wú)線覆蓋，適用于小型場(chǎng)所，例如較大購(gòu)物中心的辦公式環(huán)境。AP根據(jù)部署方式和雙/單頻兩個(gè)方面進(jìn)行選型：根據(jù)部署方式選擇：放裝部署方式：應(yīng)選擇內(nèi)置天線室內(nèi)型AP，例如AP5010、AP6010；室分部署方式：應(yīng)選用外置天線室內(nèi)型AP，例如AP6310；根據(jù)頻率選擇：放裝型AP：提供賣場(chǎng)開(kāi)放區(qū)域的無(wú)線覆蓋，這類區(qū)域人員容易集中，接入數(shù)量多，終端類型多樣，有些只能支持2.4GHz頻段，有些則同時(shí)支持2.4GHz和5.8GHz，為保證無(wú)線網(wǎng)絡(luò)性能，因此宜選擇雙頻模式的無(wú)線AP，這樣可以通過(guò)ONLY模式將802.11n限定在5.8GHz頻段，其余均工作在2.4Ghz頻段；室分型AP：提供辦公區(qū)的無(wú)線覆蓋，覆蓋區(qū)域內(nèi)接入數(shù)量少，因此無(wú)需考慮是否需要采用ONLY模式，從成本角度出發(fā)，建議采用單頻AP。IP地址規(guī)劃AC的IP地址AC用于管理AP，IP地址一般通過(guò)靜態(tài)手工配置；AP的IP地址AP的IP地址分配如果采用靜態(tài)分配，由于購(gòu)物中心AP數(shù)量較多，配置工作量大，且容易沖突、不易于控制，所以不建議使用，建議使用DHCP動(dòng)態(tài)分配;華為的AC內(nèi)置DHCP服務(wù)功能，如購(gòu)物中心網(wǎng)絡(luò)系統(tǒng)本身已部署DHCP服務(wù)器，則建議采用原有DHCP服務(wù)器做，否則建議啟用華為ACDHCP服務(wù)功能，可降低單獨(dú)部署DHCP服務(wù)器成本；無(wú)線終端/用戶的IP地址移動(dòng)用戶通過(guò)DHCP動(dòng)態(tài)分配IP地址，不建議靜態(tài)配置；FITAP架構(gòu)下的WLAN網(wǎng)絡(luò)中，F(xiàn)ITAP為零配置，當(dāng)FITAP部署到網(wǎng)絡(luò)的時(shí)候，AP需要去找到相應(yīng)的AC，并從AC上下載其配置。建議采用如下兩種方式:通過(guò)DHCPOption43發(fā)現(xiàn)AC當(dāng)DHCPServer配置了Option43，它給AP分配IP時(shí)，在DHCPOffer報(bào)文中同時(shí)會(huì)將此屬性告知AP；通過(guò)DNS發(fā)現(xiàn)AC需要在網(wǎng)絡(luò)中部署了DNSServer，在DHCPServer上配置DNSServerIP地址以及AC的域名。當(dāng)AP通過(guò)DHCP服務(wù)器獲取IP地址時(shí)，DHCPServer會(huì)在DHCPOffer報(bào)文中將DNS服務(wù)器IP地址（Option6）和AC域名（Option15）告知AP，在AP獲取到IP地址后，則通過(guò)DNS服務(wù)器解析到AC的IP，從而實(shí)現(xiàn)對(duì)AC的發(fā)現(xiàn)和關(guān)聯(lián)；SSID規(guī)劃SSID的劃分華為單頻AP可支持16個(gè)SSID，雙頻AP可支持32個(gè)SSID。通過(guò)配置多個(gè)SSID，可以將一個(gè)AP劃分為多個(gè)VAP（VirtualAccessPoint），每一個(gè)SSID對(duì)應(yīng)一個(gè)VAP，AC針對(duì)VAP進(jìn)行策略下發(fā)，VAP根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理購(gòu)物中心WLAN網(wǎng)絡(luò)的接入角色和業(yè)務(wù)類型，一般需要三個(gè)SSID：經(jīng)營(yíng)、辦公；顧客訪客，為了保證VIP客戶得到高質(zhì)量的網(wǎng)絡(luò)服務(wù)，可劃分VIP用戶SSID；SSID映射以太網(wǎng)中的VLAN無(wú)線SSID與業(yè)務(wù)VLAN有如下四種映射關(guān)系：SSID:VLAN=1:1部署SSID:VLAN=1:N部署SSID:VLAN=N:1部署SSID:VLAN=N:N部署SSID需要分別與辦公和經(jīng)營(yíng)、顧客VLAN進(jìn)行映射。射頻管理規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，無(wú)線網(wǎng)絡(luò)必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無(wú)線網(wǎng)絡(luò)的帶寬、無(wú)線網(wǎng)絡(luò)的性能、無(wú)線網(wǎng)絡(luò)的擴(kuò)展以及無(wú)線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無(wú)線網(wǎng)絡(luò)的用戶體驗(yàn)。射頻信道劃分WLAN系統(tǒng)主要應(yīng)用于兩個(gè)頻段：2.4GHz和5.0GHz。2.4GHz頻段信道劃分：2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號(hào)1～14。HT20信道劃分：信道帶寬為20M，在該模式下，一般選取1、6、11三個(gè)不重疊信道，頻率規(guī)劃可用頻點(diǎn)只有3個(gè)。HT40信道劃分：信道帶寬為40M，受頻率限制，只支持一個(gè)不重疊信道。5.0GHz頻段信道劃分：5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。HT20信道劃分：不重疊信道在5.15～5.35GHz頻段有8個(gè)，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個(gè)，分別為149、153、157、161。HT40信道劃分：在該模式下，這兩段頻譜的可用信道分別為4個(gè)和2個(gè)。AP支持手動(dòng)和自動(dòng)兩種方式設(shè)置工作信道。設(shè)置為自動(dòng)方式后，一旦檢測(cè)到信道沖突AP具有信道自動(dòng)調(diào)整功能，建議AP采用自動(dòng)設(shè)置工作信道方式，避免手動(dòng)設(shè)置后一旦信道沖突將導(dǎo)致無(wú)法切換信道的問(wèn)題。信道自動(dòng)掃描功能：采用信道自動(dòng)掃描功能，自動(dòng)探測(cè)周邊的AP、使用的信道及干擾，結(jié)果上報(bào)AC，觸發(fā)信道調(diào)整。射頻信道覆蓋WLAN信道規(guī)劃需遵循兩個(gè)原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號(hào)相互干擾；一般情況單獨(dú)使用2.4G或5.0G的頻段，對(duì)于高密度接入的場(chǎng)所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。高密覆蓋場(chǎng)景購(gòu)物中心節(jié)假日中庭或演播廳的高密人群無(wú)線信號(hào)的接入，有如下需求：至少保證500用戶都能關(guān)聯(lián)WIFI，通過(guò)DHCP獲取到IP地址；保證200個(gè)用戶并發(fā)使用WIFI網(wǎng)絡(luò)。帶寬要求至少保證512K/人。高密場(chǎng)景下的方案建議：采用雙頻AP，配置5G優(yōu)先。通常情況下，5G的性能要比2.4G好的多。在高密度用戶或者2.4G干擾較為嚴(yán)重的環(huán)境中，充分利用5G頻段可以更好的提供接入能力以及容量，并且減少干擾對(duì)用戶體驗(yàn)的影響。單AP配置最大規(guī)格WIFI的并發(fā)用戶數(shù)為40，每射頻上并發(fā)用戶數(shù)為20。按照微信、微博等應(yīng)用的業(yè)務(wù)帶寬為512K左右進(jìn)行配置。保證充分的帶寬余量。配置AP之間的負(fù)載均衡。動(dòng)態(tài)調(diào)整在線上網(wǎng)用戶，即當(dāng)在線上網(wǎng)用戶一段時(shí)間內(nèi)（長(zhǎng)短可以設(shè)置）業(yè)務(wù)流量為0時(shí)，強(qiáng)制將其下線，允許其他有上網(wǎng)需求的用戶訪問(wèn)網(wǎng)絡(luò)。中庭或表演廣場(chǎng)需要部署的AP數(shù)量，按照計(jì)算為：200/40*120%=6個(gè)用戶認(rèn)證管理方案在商業(yè)Wi-Fi市場(chǎng)，大量用戶接入網(wǎng)絡(luò)，蘊(yùn)含著大量的廣告機(jī)會(huì)。最常用的廣告方式是在用戶接入Wi-Fi網(wǎng)絡(luò)時(shí)的Portal認(rèn)證頁(yè)面上進(jìn)行廣告推送，或者讓用戶關(guān)注企業(yè)的微信公眾號(hào)達(dá)到粉絲經(jīng)營(yíng)、后續(xù)營(yíng)銷的目的。華為商業(yè)Wi-Fi解決方案采用AgileController提供多種認(rèn)證方案，滿足不同場(chǎng)景下的需要，包括：Portal認(rèn)證、微信認(rèn)證、掃描二維碼認(rèn)證以及第三方賬號(hào)認(rèn)證。用戶身份驗(yàn)證方式WLAN無(wú)線空口認(rèn)證主要方式有開(kāi)放系統(tǒng)認(rèn)證（Open-systemAuthentication）、WEP、WPA1/WPA2和WAPI四種。OPEN和WEP方式是簡(jiǎn)單的物理層認(rèn)證方式，安全性較差，WPA1/WPA2和WAPI方式除了物理層認(rèn)證之外還增加了用戶認(rèn)證的鑒定，安全性更高。開(kāi)放系統(tǒng)認(rèn)證是IEEE802.11標(biāo)準(zhǔn)要求必備的一種方法，是最簡(jiǎn)單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開(kāi)放系統(tǒng)認(rèn)證，則所有請(qǐng)求認(rèn)證的客戶端都會(huì)通過(guò)認(rèn)證。在這種方式下，所有符合802.11標(biāo)準(zhǔn)的終端都可以接入到WLAN網(wǎng)絡(luò)中來(lái)。開(kāi)放系統(tǒng)身份驗(yàn)證比較適合有眾多用戶的電信運(yùn)營(yíng)WLAN網(wǎng)絡(luò)。用戶身份認(rèn)證，其通過(guò)提供有限的訪問(wèn)權(quán)限來(lái)驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問(wèn)權(quán)限，可有效判別用戶的合法性。WLAN的鏈路層身份驗(yàn)證主要有Portal(DHCP+WEB)、MAC、802.1X、WAPI等幾種認(rèn)證方式，可以根據(jù)具體情況選擇，可以配合網(wǎng)絡(luò)層認(rèn)證使用。WLAN無(wú)線線網(wǎng)絡(luò)用戶認(rèn)證方式通過(guò)采取以下幾種組合，具體如下表所示。認(rèn)證組合應(yīng)用情況Open+Portal主流應(yīng)用，運(yùn)營(yíng)商網(wǎng)絡(luò)WLAN網(wǎng)絡(luò)Open+Portal+MAC主流應(yīng)用，是Open+Portal認(rèn)證的衍生方式WEP+Portal基本沒(méi)有應(yīng)用，維護(hù)WEP密碼麻煩WEP+802.1X早期EAP-SIM認(rèn)證方式，運(yùn)營(yíng)商WLAN分擔(dān)2G/3G流量場(chǎng)景WPA/WPA2-PSK+Portal基本沒(méi)有應(yīng)用，維護(hù)WEP密碼麻煩WPA1/WPA2+802.1X主流應(yīng)用，學(xué)校，企業(yè)，醫(yī)院，政府等企業(yè)網(wǎng)大量使用。WAPIPSK沒(méi)有使用WAPI沒(méi)有使用針對(duì)“商超”項(xiàng)目，面向政府或企事業(yè)單位職員的認(rèn)證推薦使用WPA2+802.1X的方式，確保數(shù)據(jù)的安全和可靠；面向普通市民的認(rèn)證方式推薦Open+Portal+MAC的方式，方便實(shí)現(xiàn)身份鑒定，方便開(kāi)展增值業(yè)務(wù)。這種認(rèn)證方式只需要在第一次接入WI-FI時(shí)通過(guò)Portal網(wǎng)頁(yè)進(jìn)行認(rèn)證，以后市民再連接WI-FI時(shí)就無(wú)需輸入用戶名密碼，方便快捷（免認(rèn)證的時(shí)間，可以同配置）。對(duì)于臨時(shí)訪客和游客，可以采取限時(shí)訪問(wèn)的方式，這種模式下用戶每次登錄只能允許有一定時(shí)間的訪問(wèn)網(wǎng)絡(luò)權(quán)限，超時(shí)后必須重新登錄。登錄口令可以通過(guò)短信，微信，APP客戶端的方式下發(fā)（APP客戶端認(rèn)證方式需要對(duì)接和開(kāi)發(fā)）。短信認(rèn)證短信認(rèn)證是一種最常見(jiàn)的訪客接入認(rèn)證方式。采用短信認(rèn)證方案時(shí)，訪客將其手機(jī)號(hào)作為認(rèn)證的賬號(hào)進(jìn)行注冊(cè)，在接受到提示密碼的短信后再進(jìn)行認(rèn)證。短信認(rèn)證流程如下圖所示：如上圖所示，短信認(rèn)證的流程如下：訪客接入無(wú)線Wi-Fi后，系統(tǒng)推送Portal認(rèn)證頁(yè)面。若用戶第一次接入則直接輸出其手機(jī)號(hào)，申請(qǐng)獲取密碼Controller服務(wù)器接收到訪客的注冊(cè)申請(qǐng)后，根據(jù)管理員設(shè)置的密碼策略自動(dòng)隨機(jī)算出臨時(shí)密碼Controller服務(wù)器調(diào)用第三方短信網(wǎng)關(guān)接口，將訪客的手機(jī)號(hào)、短信認(rèn)證的臨時(shí)密碼發(fā)送給短信網(wǎng)關(guān)第三方短信網(wǎng)關(guān)發(fā)送臨時(shí)密碼到訪客的手機(jī)號(hào)上訪客獲取到短信后，按照短信提示在Portal認(rèn)證頁(yè)面上輸出其臨時(shí)密碼，認(rèn)證通過(guò)后即可接入網(wǎng)絡(luò)說(shuō)明，相對(duì)于傳統(tǒng)的短信貓，短信網(wǎng)關(guān)具有兼容性好（中國(guó)地區(qū)三家電信運(yùn)營(yíng)商手機(jī)能可發(fā)送短信）、短信發(fā)送速度快（100條/秒左右）、短信發(fā)送的穩(wěn)定性好、費(fèi)用便宜等優(yōu)點(diǎn)。推薦的第三方短信網(wǎng)關(guān)廠家包括：浙江筑望、和佳匯智、若雅MAS、深圳嘉訊等。其他支持HTTPS、Webservice接口的短信網(wǎng)關(guān)原則上也能支持。Portal認(rèn)證Portal認(rèn)證是最基本的認(rèn)證方式之一，在眾多商業(yè)Wi-Fi場(chǎng)景下被廣泛的應(yīng)用。AgileController的Portal認(rèn)證功能在提供認(rèn)證的同時(shí)，主要從以下幾個(gè)方面來(lái)提升網(wǎng)絡(luò)維護(hù)者的工作量，提高Wi-Fi接入用戶認(rèn)證時(shí)的易用性。 完善的Portal頁(yè)面定制流程，助力企業(yè)品牌提升完整的頁(yè)面流程：登錄頁(yè)面->登錄成功頁(yè)面，注冊(cè)頁(yè)面->注冊(cè)成功頁(yè)面，用戶須知頁(yè)面。Phone/PC/PAD終端自適應(yīng)：自動(dòng)識(shí)別終端類型，合理展示推送頁(yè)面。用戶自定義定制：提供基于HTML編輯的圖形化編輯功能，支持圖片輪播、拖拽編輯、附件下載等高級(jí)操作。內(nèi)置多套系統(tǒng)模板：匿名認(rèn)證模板、第三方應(yīng)用模板、短信注冊(cè)模板，一鍵認(rèn)證模板等，可根據(jù)場(chǎng)景需要自由選擇。內(nèi)置多種語(yǔ)言：簡(jiǎn)體中文，繁體中文，英語(yǔ)，德語(yǔ)，西班牙語(yǔ)，葡萄牙語(yǔ)，法語(yǔ)，可擴(kuò)展支持其他語(yǔ)言。訪客自注冊(cè)訪客帳號(hào)支持訪客通過(guò)訪問(wèn)注冊(cè)頁(yè)面，填寫注冊(cè)所需的參數(shù)，自行申請(qǐng)?jiān)L客帳號(hào)。支持多種訪客帳號(hào)通知方式：WEB通知、Email通知、短信通知。Portal界面靈活推送，資訊推送更加精細(xì)化可基于位置（SSID和AP）的頁(yè)面推送不同的頁(yè)面?？苫诮K端IP和終端類型的頁(yè)面推送不同的頁(yè)面?？苫跁r(shí)間段推送不同的頁(yè)面。智能終端無(wú)感知認(rèn)證，實(shí)現(xiàn)一次認(rèn)證，多次接入終端首次接入采用Portal+MAC認(rèn)證，后續(xù)自動(dòng)使用MAC認(rèn)證。微信認(rèn)證隨著移動(dòng)互聯(lián)網(wǎng)的興起，大規(guī)模開(kāi)放無(wú)線網(wǎng)絡(luò)中，訪客的快速認(rèn)證是近年來(lái)的研究熱點(diǎn)?；谖⑿殴娖脚_(tái)實(shí)現(xiàn)無(wú)線網(wǎng)訪客的認(rèn)證，訪客只需關(guān)注公眾賬號(hào)，即可在公眾平臺(tái)實(shí)現(xiàn)身份認(rèn)證、獲取默認(rèn)權(quán)限、訪問(wèn)網(wǎng)絡(luò)資源；然后利用公眾平臺(tái)與Controller服務(wù)器聯(lián)動(dòng)，對(duì)訪客進(jìn)行角色、策略和行為審計(jì)等管理功能，拓展微信公眾平臺(tái)為訪客提供無(wú)縫的服務(wù)功能。根據(jù)客戶擁有的微信公眾賬號(hào)的類別和功能需求，可以采用不同的微信認(rèn)證方案，在微信公眾平臺(tái)通過(guò)編輯模式配置實(shí)現(xiàn)微信認(rèn)證、在微信公眾平臺(tái)通過(guò)開(kāi)發(fā)者模式配置實(shí)現(xiàn)微信認(rèn)證。兩種方案只能選擇一種，不能同時(shí)使用。模式是否需要搭建單獨(dú)的微信公眾平臺(tái)服務(wù)器安全性微信免認(rèn)證取消關(guān)注強(qiáng)制下線微信認(rèn)證綁定手機(jī)號(hào)碼編輯模式不需要低支持，但不支持取消關(guān)注后免認(rèn)證失效不支持不支持開(kāi)發(fā)者模式需要高，可通過(guò)認(rèn)證密鑰對(duì)認(rèn)證鏈接加密支持支持支持如上表所示，編輯者模式下微信公眾號(hào)雖然不需要在本地增加獨(dú)立的平臺(tái)服務(wù)器，微信認(rèn)證方案的部署交付也比較簡(jiǎn)單，但是當(dāng)用戶關(guān)注微信公眾號(hào)接入往后再取消關(guān)注并不能及時(shí)強(qiáng)制用戶下線，也不支持綁定手機(jī)號(hào)。因此若對(duì)這些方面有要求的話，建議使用開(kāi)發(fā)者模式部署微信認(rèn)證方案。微信認(rèn)證部署方案如下圖所示：微信認(rèn)證流程：1）用戶連接SSID。2）終端自動(dòng)向AC發(fā)送HTTP連接請(qǐng)求。3）AC發(fā)現(xiàn)用戶未認(rèn)證，將URL地址重定向到Portal服務(wù)器。4）終端訪問(wèn)重定向的URL。5）Portal服務(wù)器向終端推送Portal認(rèn)證頁(yè)面。6）用戶單擊認(rèn)證頁(yè)面上的“微信認(rèn)證”按鈕。7）Controller的Portal服務(wù)器和微信公眾平臺(tái)之間交互微信連Wi-Fi的信息（校驗(yàn)AppID和AppSecret），獲取呼起終端本地微信APP程序的ticket。8）瀏覽器自動(dòng)呼起終端本地微信APP，微信公眾平臺(tái)校驗(yàn)終端用戶微信連Wi-Fi注冊(cè)信息和ticket。9）校驗(yàn)通過(guò)后返回給終端用戶微信連Wi-Fi頁(yè)面，攜帶用戶身份信息（OpenID）。10）用戶單擊“立即連接”，連接成功后，單擊“完成”，觸發(fā)Portal認(rèn)證。11）觸發(fā)Portal認(rèn)證的目的是保證用戶在Controller和AC上線，獲得上網(wǎng)權(quán)限，單擊“完成”按鈕相當(dāng)于觸發(fā)了一個(gè)URL地址。此URL地址為微信連Wi-Fi管理員在微信連Wi-Fi助手中配置的自定義商家主頁(yè)的URL地址：http://認(rèn)證后域的任意IP地址/域名?wxauth=1&wxtoken=[TOKEN]。12）AC檢測(cè)到用戶未認(rèn)證，將用戶URL重定向到Portal服務(wù)器。13）用戶終端訪問(wèn)重定向的URL。14）Controller服務(wù)器校驗(yàn)認(rèn)證URL中包含的參數(shù)[TOKEN]，與AC之間完成Portal認(rèn)證和RADIUS認(rèn)證的過(guò)程。15）將認(rèn)證結(jié)果返回給終端用戶，認(rèn)證成功后，顯示管理員定制的認(rèn)證成功頁(yè)面。16）認(rèn)證成功，終端用戶正常訪問(wèn)網(wǎng)絡(luò)。APP認(rèn)證APP認(rèn)證是一種新的認(rèn)證方式，可自己開(kāi)發(fā)APP，集成廣告、新聞、多媒體、互動(dòng)等應(yīng)用，擴(kuò)大企業(yè)影響力。為了使APP推廣更迅速，建議將APP與無(wú)線Wi-Fi的接入認(rèn)證結(jié)合起來(lái)，無(wú)線接入的用戶通過(guò)APP進(jìn)行認(rèn)證。APP認(rèn)證如下圖所示：如上圖所示，Controller提供Portal認(rèn)證的對(duì)外接口，第三方APP可調(diào)用該接口進(jìn)行認(rèn)證，APP后臺(tái)需定時(shí)與Controller進(jìn)行心跳?；?，以保持會(huì)話狀態(tài)，超時(shí)用戶將下線。Controller提供用戶注冊(cè)管理北向接口，用戶可在APP上完成賬號(hào)注冊(cè)、用戶信息修改、密碼重置等功能。用戶認(rèn)證和應(yīng)用組網(wǎng)根據(jù)業(yè)務(wù)需求，華為無(wú)線WLAN網(wǎng)絡(luò)可以采取本地轉(zhuǎn)發(fā)-本地認(rèn)證、集中轉(zhuǎn)發(fā)-集中認(rèn)證、集中認(rèn)證-本地轉(zhuǎn)發(fā)三種模式。本地轉(zhuǎn)發(fā)-本地認(rèn)證模式業(yè)務(wù)流程如下圖所示。在本地轉(zhuǎn)發(fā)模式下，認(rèn)證控制點(diǎn)在AP上行的switch設(shè)備，只有AC與AP之間的控制報(bào)文走CAPWAP隧道，STA認(rèn)證報(bào)文（如802.1X、Portal認(rèn)證）和認(rèn)證后的STA業(yè)務(wù)數(shù)據(jù)報(bào)文經(jīng)AP直接轉(zhuǎn)發(fā)，不通過(guò)隧道。在這種模式下，由于802.1X認(rèn)證基于二層應(yīng)用EAP協(xié)議，無(wú)法穿越三層，因此STA與認(rèn)證控制點(diǎn)之間必須是二層網(wǎng)絡(luò)。這種模式，由于控制點(diǎn)不集中導(dǎo)致設(shè)備成本高，管理維護(hù)復(fù)雜，且AC無(wú)法實(shí)現(xiàn)對(duì)無(wú)線接入用戶的集中控制（例如訪問(wèn)資源的權(quán)限、隔離、限速等）。這種方式，通常應(yīng)用在，不需要區(qū)分無(wú)線用戶和有線用戶，無(wú)線網(wǎng)絡(luò)就是有線網(wǎng)絡(luò)延伸的場(chǎng)景。例如：園區(qū)總部，部分交換機(jī)下接AP，解決交換機(jī)端口過(guò)少且只能連接有線用戶的問(wèn)題。集中轉(zhuǎn)發(fā)-集中認(rèn)證模式業(yè)務(wù)流程如下圖所示。在集中轉(zhuǎn)發(fā)模式下，認(rèn)證控制點(diǎn)在AC設(shè)備，AC與AP之間的控制報(bào)文、STA認(rèn)證報(bào)文（如802.1X、Portal認(rèn)證）、認(rèn)證后的STA業(yè)務(wù)數(shù)據(jù)報(bào)文全部走CAPWAP隧道。在這種模式下，所有數(shù)據(jù)都走隧道，安全性相對(duì)較高，AC可以對(duì)無(wú)線用戶的集中控制，無(wú)線網(wǎng)絡(luò)部署時(shí)不需要考慮有線網(wǎng)絡(luò)的結(jié)構(gòu)，無(wú)線網(wǎng)絡(luò)單獨(dú)規(guī)劃VLAN，運(yùn)維便捷。這種模式主要應(yīng)用，總部園區(qū)有線網(wǎng)的基礎(chǔ)上，新建一張無(wú)線網(wǎng)絡(luò)，有線用戶和無(wú)線用戶要求區(qū)別對(duì)待。集中認(rèn)證-本地轉(zhuǎn)發(fā)模式業(yè)務(wù)流程如下圖所示。認(rèn)證控制點(diǎn)在AC設(shè)備，通過(guò)配置抓取STA認(rèn)證報(bào)文（如802.1X、Portal認(rèn)證）進(jìn)入CAPWAP隧道，上送到AC設(shè)備，完成認(rèn)證過(guò)程。認(rèn)證后的STA業(yè)務(wù)數(shù)據(jù)報(bào)文不通過(guò)隧道，經(jīng)AP直接轉(zhuǎn)發(fā)。在這種模式下，能夠?qū)崿F(xiàn)在AC上對(duì)無(wú)線用戶的集中接入控制功能，并且通過(guò)控制隧道，將Radius授權(quán)下發(fā)到各AP設(shè)備，提升網(wǎng)絡(luò)安全性。這種認(rèn)證方式主要應(yīng)用在AC部署在總部，AP放在各個(gè)分支的場(chǎng)景。針對(duì)“商超”項(xiàng)目，市政府集中辦公區(qū)、機(jī)場(chǎng)、火車站、圖書館、醫(yī)院等AP規(guī)模較大的場(chǎng)景，推薦集中認(rèn)證-集中轉(zhuǎn)發(fā)模式；公交站臺(tái)、獨(dú)立商戶等AP規(guī)模較小的分支場(chǎng)景，推薦使用集中認(rèn)證-本地轉(zhuǎn)發(fā)。這里所講的“集中認(rèn)證”指的是無(wú)線用戶的認(rèn)證網(wǎng)關(guān)集中到AC上認(rèn)證，不是AAA系統(tǒng)。用戶策略管理用戶策略是指用戶認(rèn)證通過(guò)后，基于用戶角色對(duì)可訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行的安全控制。通過(guò)AAA服務(wù)器下發(fā)的用戶策略稱為動(dòng)態(tài)授權(quán)，從授權(quán)維度來(lái)看，動(dòng)態(tài)授權(quán)主要有三種類型：動(dòng)態(tài)VLAN、動(dòng)態(tài)ACL和動(dòng)態(tài)用戶組授權(quán)。動(dòng)態(tài)VLAN授權(quán)：動(dòng)態(tài)VLAN授權(quán)通過(guò)切換VLAN的方式改變用戶的權(quán)限，不同VLAN的權(quán)限控制可通過(guò)在認(rèn)證網(wǎng)關(guān)設(shè)備上部署ACL實(shí)現(xiàn)。動(dòng)態(tài)VLAN授權(quán)方式部署簡(jiǎn)單，維護(hù)成本也較低，但相對(duì)而言，其控制粒度在VLAN層面，適用于在同一辦公室或同一部門所有人員權(quán)限相同的場(chǎng)景。動(dòng)態(tài)ACL授權(quán)：動(dòng)態(tài)ACL授權(quán)需要AAA服務(wù)器下發(fā)ACL給認(rèn)證網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)對(duì)用戶訪問(wèn)權(quán)限的控制。動(dòng)態(tài)ACL授權(quán)方式能做到最大程度的權(quán)限控制，可以分別對(duì)每個(gè)用戶權(quán)限精細(xì)控制。由于受設(shè)備ACL規(guī)格的限制，這種方式只能適應(yīng)于少量人員，無(wú)法實(shí)現(xiàn)大范圍的部署，例如部門經(jīng)理或者領(lǐng)導(dǎo)等。動(dòng)態(tài)用戶組授權(quán)：用戶組是用戶的策略屬性，動(dòng)態(tài)用戶組授權(quán)需要AAA服務(wù)器指定每個(gè)用戶對(duì)應(yīng)的用戶組名稱，實(shí)現(xiàn)基于用戶組的策略控制。當(dāng)用戶上線時(shí)，AAA服務(wù)器可直接下發(fā)用戶組名稱到準(zhǔn)入設(shè)備上，準(zhǔn)入設(shè)備基于配置的用戶組策略屬性，下發(fā)安全策略。通過(guò)用戶組對(duì)用戶實(shí)施端到端的策略管理，授權(quán)用戶組取代傳統(tǒng)授權(quán)VLAN或者ACL等模式，在用戶上線時(shí)，服務(wù)器只需下發(fā)用戶組名稱，方便網(wǎng)絡(luò)部署；多用戶基于用戶組共享資源，在網(wǎng)關(guān)設(shè)備上，ACL規(guī)格不會(huì)成為用戶管理瓶頸。用戶在線CoA授權(quán)：CoA授權(quán)是指用戶在線情況下，在AAA服務(wù)器上重新設(shè)置用戶帶寬等策略屬性值，AAA服務(wù)器通過(guò)RADIUS報(bào)文下發(fā)給認(rèn)證網(wǎng)關(guān)，認(rèn)證網(wǎng)關(guān)設(shè)備實(shí)時(shí)更新在線用戶的授權(quán)信息。所以，在“商超”實(shí)際網(wǎng)絡(luò)規(guī)劃中，推薦使用基于動(dòng)態(tài)用戶組+COA授權(quán)方式，快速便捷的管理無(wú)線用戶。為了滿足不管用戶身處何地、使用哪個(gè)IP地址，都可以保證該用戶獲得相同的網(wǎng)絡(luò)訪問(wèn)策略，華為在敏捷網(wǎng)絡(luò)解決方案中推出了業(yè)務(wù)隨行特性，該特性非常適合“商超”場(chǎng)景，具體如下圖所示。1、管理員在控制器中創(chuàng)建用戶賬號(hào)、用戶組，同時(shí)將用戶賬號(hào)加入其所屬的用戶組，然后為用戶統(tǒng)一定義基于用戶組的網(wǎng)絡(luò)訪問(wèn)策略（即用戶組策略）。2、敏捷交換機(jī)（自帶隨板AC）作為策略執(zhí)行點(diǎn)和準(zhǔn)入認(rèn)證點(diǎn)設(shè)備，和Controller建立關(guān)聯(lián)后，控制器將管理員配置的網(wǎng)絡(luò)訪問(wèn)策略下發(fā)給所有關(guān)聯(lián)的設(shè)備上，在執(zhí)行策略的設(shè)備上生成基于用戶組的業(yè)務(wù)模板。3、用戶啟動(dòng)認(rèn)證，在認(rèn)證過(guò)程中，控制器根據(jù)用戶的登錄信息，將其與用戶組關(guān)聯(lián)。認(rèn)證成功后，控制器將該用戶所屬用戶組下發(fā)給敏捷交換機(jī)。4、在敏捷交換機(jī)上，基于AgileController下發(fā)的用戶組信息，實(shí)施UCL策略控制，限制訪問(wèn)資源權(quán)限、用戶帶寬等策略。5、用戶在“商超”的任何地方登陸，由于準(zhǔn)入設(shè)備（PEP）都預(yù)置了業(yè)務(wù)策略，用戶重新認(rèn)證上線后，可具有一致的網(wǎng)絡(luò)訪問(wèn)策略，實(shí)現(xiàn)業(yè)務(wù)隨行。海量賬號(hào)管理華為AgileController系統(tǒng)提供訪客賬號(hào)的全生命周期管理功能，對(duì)于商超中的海量用戶，可作為訪客來(lái)進(jìn)行管理。用戶可自助注冊(cè)賬號(hào)，賬號(hào)密碼第一時(shí)間短信下發(fā)，并可定期自動(dòng)清理僵尸賬號(hào)，簡(jiǎn)化了海量用戶管理的復(fù)雜度，提升管理效率。同時(shí)，AgileController系統(tǒng)還提供多種賬號(hào)管理方式，供運(yùn)維人員靈活選擇。分組流量控制購(gòu)物中心針對(duì)VIP客戶、普通客戶、商鋪以及業(yè)主辦公有分組流量控制的需求，通過(guò)控制不同帶寬來(lái)滿足高端用戶(如VIP、員工)的需求。比如：經(jīng)營(yíng)、辦公用戶接入至少2M帶寬；普通顧客512K帶寬（可滿足微博、微信、QQ等業(yè)務(wù)需要）；VIP用戶3M帶寬。具體設(shè)計(jì)點(diǎn)：建立分組流量模型，舉例如下SSID群組流量Retailer_SSIDV12MOffice_SSIDV22MGuest_SSIDP512KGuest_SSIDV33M建立用戶組和流量組之間關(guān)系：如果需要對(duì)VIP客戶進(jìn)行區(qū)分，需要連鎖企業(yè)的CRM系統(tǒng)和PolicyCenter的RaduisServer進(jìn)行對(duì)接，同步用戶組，建立實(shí)際用戶組和流量群組的關(guān)系；RaduisServer群組信息，選擇流控組，向AC下發(fā)號(hào)碼流控組，由AC控制對(duì)應(yīng)的流量模型。終端的精細(xì)化管理終端類型識(shí)別是指AC通過(guò)對(duì)用戶發(fā)送的報(bào)文中的字段的特征進(jìn)行分析，包括MAC、用戶代理UA（UserAgent）和DHCPOption信息，識(shí)別出終端類型。AC可以識(shí)別出用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型，以控制某些指定移動(dòng)設(shè)備的接入，實(shí)現(xiàn)基于用戶、設(shè)備類型、接入時(shí)間、接入地點(diǎn)、設(shè)備環(huán)境的認(rèn)證和授權(quán)，實(shí)現(xiàn)精細(xì)化的管控。具體原理如下圖所示。網(wǎng)絡(luò)運(yùn)維方案隨著網(wǎng)絡(luò)規(guī)模的不斷增長(zhǎng)、網(wǎng)絡(luò)應(yīng)用的不斷推廣，大量的多業(yè)務(wù)路由器、網(wǎng)關(guān)、WLANAP等終端接入設(shè)備被廣泛的應(yīng)用于網(wǎng)絡(luò)。帶來(lái)IT&IP設(shè)備日益增多，業(yè)務(wù)越來(lái)越多樣化，用戶面對(duì)網(wǎng)絡(luò)管理和運(yùn)維中遇到的問(wèn)題和挑戰(zhàn)，需要一套高效、統(tǒng)一的網(wǎng)管進(jìn)行支撐。eSight是華為面向企業(yè)網(wǎng)管理推出的新一代面向企業(yè)園區(qū)和分支網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)資源、業(yè)務(wù)、用戶的統(tǒng)一管理以及智能聯(lián)動(dòng)。eSight支持對(duì)IT&IP，以及第三方設(shè)備的統(tǒng)一管理，同時(shí)提供靈活的開(kāi)放平臺(tái)，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。WLAN全生命周期管理“商超”網(wǎng)絡(luò)中，AC、AP部署分散，尤其AP數(shù)目眾多，運(yùn)維成本高、難度大。為了解決對(duì)WLAN網(wǎng)絡(luò)中設(shè)備集中管理和對(duì)WLAN網(wǎng)絡(luò)的可視化監(jiān)控，eSight推出WLAN管理組件解決這一運(yùn)維難題。eSightWLAN管理在網(wǎng)絡(luò)規(guī)劃中提供一鍵式導(dǎo)入完成AP規(guī)劃至監(jiān)控的轉(zhuǎn)化，極大提升了效率。在配置部署中提供簡(jiǎn)潔的矩陣配置幫助用戶端到端、批量、有序、快速完成業(yè)務(wù)部署。在區(qū)域監(jiān)控中提供整體到局部的用戶體驗(yàn)監(jiān)控，在底層拓?fù)洳榭瓷漕l信號(hào)覆蓋情況。在故障診斷中提供故障通知、故障排查、故障處理的有效手段，幫助快速有效的發(fā)現(xiàn)問(wèn)題、解決問(wèn)題。WLAN網(wǎng)絡(luò)管理特點(diǎn)：簡(jiǎn)單快速的業(yè)務(wù)部署向?qū)脚渲玫臉I(yè)務(wù)部署以及基于表單AP導(dǎo)入，可加速WLAN的業(yè)務(wù)部署。通過(guò)對(duì)華為AC設(shè)備的管理，實(shí)現(xiàn)對(duì)WLAN業(yè)務(wù)的配置功能。AP的信息都配置在AC上，當(dāng)AP上線建立隧道后從AC獲取信息。業(yè)務(wù)拓?fù)浜臀恢猛負(fù)?，方便用戶?duì)WLAN網(wǎng)絡(luò)中設(shè)備進(jìn)行可視化監(jiān)控和集中管理業(yè)務(wù)拓?fù)洌赫宫F(xiàn)AC、AP、STA之間連接關(guān)系查看，并示意RogueAP的存在；支持AP、AC、STA、RogueAP詳細(xì)信息查看；并提供無(wú)線業(yè)務(wù)的故障診斷能力。位置拓?fù)洌翰榭串?dāng)前熱點(diǎn)位置及射頻信號(hào)覆蓋范圍并在視圖上標(biāo)識(shí)當(dāng)前非法AP位置及沖突域。顏色表示不同的頻段，深淺表示信號(hào)的范圍，紅色顯示沖突域。AP故障快速恢復(fù)能力，提供批量恢復(fù)AP的出廠設(shè)置、批量重啟AP以及AP替換的功能AP出現(xiàn)異?；蛟赪LAN網(wǎng)絡(luò)的調(diào)試過(guò)程中，用戶可以通過(guò)網(wǎng)管遠(yuǎn)程批量恢復(fù)AP的出廠設(shè)置。AP升級(jí)完成后或在WLAN網(wǎng)絡(luò)的調(diào)試過(guò)程中，用戶可以通過(guò)網(wǎng)管遠(yuǎn)程批量重啟AP。AP出現(xiàn)硬件故障需要替換時(shí)，用戶可以通過(guò)網(wǎng)管替換新AP，快速保證AP替換后業(yè)務(wù)不變。多樣式資源統(tǒng)計(jì)，滿足運(yùn)維需求全網(wǎng)資源統(tǒng)計(jì)：全網(wǎng)用戶在線趨勢(shì)圖、TOP5用戶接入FitAP、TOP5用戶接入SSID、TOP5重點(diǎn)關(guān)注的設(shè)備告警列表、全網(wǎng)物理資源統(tǒng)計(jì)。基于AC資源統(tǒng)計(jì)：根據(jù)AC統(tǒng)計(jì)用戶在線趨勢(shì)圖、AP信息、域信息、ACTOP5告警?；贏P資源統(tǒng)計(jì)：根據(jù)AP統(tǒng)計(jì)TOP5告警、當(dāng)前AP性能KPI（AP關(guān)聯(lián)終端數(shù)、AP物理屬性、AP流量、射頻流量等）?；赟SID資源統(tǒng)計(jì)：根據(jù)SSID統(tǒng)計(jì)AP、VAP、接入終端數(shù)。基于區(qū)域與位置資源統(tǒng)計(jì)：根據(jù)區(qū)域與位置統(tǒng)計(jì)AP總數(shù)、AP在線總數(shù)、STA在線總線。掌控網(wǎng)絡(luò)eSightMobileeSightMobile移動(dòng)網(wǎng)管系統(tǒng)主要滿足“商超”的網(wǎng)絡(luò)運(yùn)維人員基于手機(jī)管理WLAN網(wǎng)絡(luò)，對(duì)巡檢片區(qū)的WLAN網(wǎng)絡(luò)健康度關(guān)鍵指標(biāo)進(jìn)行排查，如用戶掉線或接入異?，F(xiàn)場(chǎng)周邊AP的信道分布、接入用戶數(shù)、5G占比、同頻干擾、終端接入信號(hào)強(qiáng)度和信噪比分析；或運(yùn)維人員不在eSight旁邊時(shí)能隨時(shí)查看“商超”中WLAN網(wǎng)絡(luò)狀態(tài)。即實(shí)現(xiàn)WLAN網(wǎng)絡(luò)設(shè)備健康度監(jiān)控，支持運(yùn)維人員隨時(shí)隨地獲悉網(wǎng)絡(luò)的健康度、診斷用戶問(wèn)題。手機(jī)口袋網(wǎng)管，幫助“商超”中網(wǎng)絡(luò)運(yùn)維人員隨時(shí)隨地的掌控網(wǎng)絡(luò)。業(yè)務(wù)監(jiān)控移動(dòng)App讓“商超”中網(wǎng)絡(luò)管理員隨時(shí)隨地監(jiān)控網(wǎng)絡(luò)，無(wú)需總帶著便攜或者坐到辦公位，極大地提升了運(yùn)維效率。區(qū)域監(jiān)控移動(dòng)App讓“商超”中網(wǎng)絡(luò)管理員隨時(shí)隨地對(duì)自己關(guān)注的區(qū)域網(wǎng)絡(luò)進(jìn)行監(jiān)控，極大地提升了運(yùn)維效率。故障診斷“商超”中網(wǎng)絡(luò)管理員接到用戶報(bào)障電話后，只須在故障診斷App中搜索該用戶進(jìn)行診斷即可獲取到用戶故障的相關(guān)信息并給出解決建議。無(wú)線網(wǎng)絡(luò)評(píng)測(cè)利用eSightMobile的無(wú)線網(wǎng)絡(luò)評(píng)測(cè)功能，可以用于進(jìn)行對(duì)當(dāng)前終端連接的無(wú)線網(wǎng)絡(luò)狀況的評(píng)測(cè)?？焖贆z測(cè)功能，會(huì)對(duì)網(wǎng)絡(luò)整體狀況進(jìn)行評(píng)分，網(wǎng)絡(luò)管理員也可以進(jìn)行深度檢測(cè)，查看網(wǎng)絡(luò)各個(gè)指標(biāo)的詳細(xì)數(shù)據(jù)，同時(shí)，可以查看保存的檢測(cè)記錄，導(dǎo)出檢測(cè)記錄等功能。用于指導(dǎo)網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)調(diào)優(yōu)深度檢測(cè)查看各指標(biāo)詳細(xì)數(shù)據(jù)深度檢測(cè)查看各指標(biāo)詳細(xì)數(shù)據(jù)指標(biāo)設(shè)置檢測(cè)記錄的查看和導(dǎo)出指標(biāo)設(shè)置檢測(cè)記錄的查看和導(dǎo)出導(dǎo)出報(bào)告導(dǎo)出報(bào)告用戶資源管理用戶資源是“商超”中最重要的資源，如何管理整個(gè)商超中的用戶資源是一個(gè)極具挑戰(zhàn)的工作，因?yàn)樯坛械挠脩魯?shù)量、信息量巨大，要詳細(xì)了解接入用戶的信息很困難。用戶的上網(wǎng)質(zhì)量是整個(gè)商超的根基，如何了解用戶的上網(wǎng)質(zhì)量也是商超運(yùn)維管理中很重要的信息。通過(guò)eSight網(wǎng)管去監(jiān)控和管理“商超”中的用戶資源是極其重要的。用戶數(shù)據(jù)管理支持無(wú)線用戶管理，顯示用戶的詳細(xì)信息和統(tǒng)計(jì)信息。與華為eSDK（華為面向開(kāi)發(fā)者提供的開(kāi)放平臺(tái)）對(duì)接后，可顯示用戶的設(shè)備類型、操作系統(tǒng)、廠商、角色信息，查看到用戶的重要信息：點(diǎn)擊系統(tǒng)菜單下的eSDK服務(wù)器設(shè)置子菜單，可對(duì)eSDK服務(wù)器進(jìn)行設(shè)置。用戶數(shù)據(jù)報(bào)表提供在線用戶明細(xì)報(bào)表，統(tǒng)計(jì)商超中無(wú)線用戶數(shù)據(jù)。提供用戶明細(xì)報(bào)表，統(tǒng)計(jì)商超中用戶明細(xì)數(shù)據(jù)。提供用戶會(huì)話明細(xì)報(bào)表，統(tǒng)計(jì)商超中用戶會(huì)話明細(xì)數(shù)據(jù)。第三方AP管理隨著AP在商超中的不斷部署，網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)管系統(tǒng)成為設(shè)備監(jiān)控的唯一手段，但不同設(shè)備廠商的網(wǎng)管系統(tǒng)不兼容成為商超營(yíng)運(yùn)選擇WLAN設(shè)備廠商的瓶徑，有效利用現(xiàn)有網(wǎng)管系統(tǒng)對(duì)不同設(shè)備廠商的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控成為廠商選擇的關(guān)鍵。CAPWAP是國(guó)際標(biāo)準(zhǔn)的通信協(xié)議，并且龐大而復(fù)雜，各廠家在使用該協(xié)議做為自身AC、AP通信的協(xié)議標(biāo)準(zhǔn)，但是各廠家在參數(shù)定義、類型、字段、加密等方式上各有區(qū)別，所以不可能實(shí)現(xiàn)不同廠家的AC/AP互聯(lián)。eSight管理平臺(tái)對(duì)主流廠商的無(wú)線設(shè)備做了大量的分析工作，在此基礎(chǔ)上實(shí)現(xiàn)了對(duì)第三方廠商AP的管理能力，通過(guò)對(duì)第三方廠商的AP進(jìn)行精確適配。創(chuàng)新性的支持對(duì)第三方廠商AP管理，解決了商超中多廠商AP融合統(tǒng)一管理的問(wèn)題。eSight支持H3C、Cisco、Aruba三個(gè)廠商的AC、AP資源（AC、AP、射頻、接口、SSID、VAP）管理、性能管理和告警管理。SAC智能應(yīng)用控制隨著“商超”網(wǎng)絡(luò)技術(shù)和多媒體技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富，使得帶寬資源日趨緊張。其中影響比較突出的是P2P技術(shù)，P2P應(yīng)用類型也已從文件共享擴(kuò)展到語(yǔ)音、視頻等應(yīng)用領(lǐng)域，P2P網(wǎng)絡(luò)的用戶規(guī)模和流量均呈爆發(fā)式增長(zhǎng)。甚至很多P2P應(yīng)用往往是對(duì)網(wǎng)絡(luò)資源進(jìn)行的“惡意”占用，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)不同程度的擁塞。這些流量與關(guān)鍵應(yīng)用混雜在一起，導(dǎo)致非關(guān)鍵業(yè)務(wù)肆虐，核心業(yè)務(wù)丟包，時(shí)延抖動(dòng)不可控，服務(wù)質(zhì)量無(wú)法保障。用戶急需對(duì)這些“非法”的網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，于是產(chǎn)生了業(yè)務(wù)感知技術(shù)。智能應(yīng)用控制SAC（SmartApplicationControl）作為一種新的業(yè)務(wù)感知技術(shù)，在分析報(bào)文頭的基礎(chǔ)上，增加了對(duì)應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)。通過(guò)對(duì)各類應(yīng)用進(jìn)行智能分類，識(shí)別關(guān)鍵業(yè)務(wù)，保證其帶寬，對(duì)非關(guān)鍵業(yè)務(wù)流量進(jìn)行限制，實(shí)施精細(xì)化QoS策略控制，從而保證關(guān)鍵業(yè)務(wù)平穩(wěn)、高效運(yùn)轉(zhuǎn)。

借助于eSight網(wǎng)流分析能夠顯示無(wú)線網(wǎng)絡(luò)區(qū)域的應(yīng)用分布，并且用戶可以對(duì)區(qū)域?qū)?yīng)的AP組進(jìn)行應(yīng)用帶寬丟棄、限速、調(diào)整優(yōu)先級(jí)。智能應(yīng)用控制對(duì)非關(guān)鍵業(yè)務(wù)流量進(jìn)行限制，實(shí)施精細(xì)化QoS策略控制，從而保證關(guān)鍵業(yè)務(wù)平穩(wěn)、高效運(yùn)轉(zhuǎn)。無(wú)線安全管理網(wǎng)絡(luò)的安全性也是每一張網(wǎng)絡(luò)都重點(diǎn)關(guān)注的事情之一。WLAN無(wú)線網(wǎng)絡(luò)信號(hào)存在與空氣中，任何人都可以接收到，很容易受到外界干擾和威脅的影響，如WIDS/WIPS，周邊射頻信號(hào)的干擾，非法設(shè)備的檢測(cè)和反制等。WIDS/WIPS為了方便實(shí)現(xiàn)非法設(shè)備的檢測(cè)和反制，同時(shí)又不增加設(shè)備，建議AP支持混合模式傳輸模式，即單個(gè)AP可以監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)中設(shè)備，也可以同時(shí)傳輸WLAN數(shù)據(jù)。同時(shí)，WIDS還應(yīng)支持攻擊檢測(cè)功能，可以檢測(cè)泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預(yù)共享密鑰和WEP的共享密鑰，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，及時(shí)反制并通過(guò)日志，統(tǒng)計(jì)信息以及告警方式及時(shí)通知網(wǎng)絡(luò)管理員。無(wú)線空口安全WIDS/WIPS的示意圖如下圖所示。借助于eSight網(wǎng)絡(luò)管理平臺(tái)上面開(kāi)啟攻擊檢測(cè)，將檢測(cè)結(jié)果呈現(xiàn)在eSight中，并將有攻擊行為的設(shè)備添加到黑名單中，防止攻擊設(shè)備對(duì)網(wǎng)絡(luò)造成沖擊。頻譜分析無(wú)線干擾源由于WLAN的工作頻段為ISM頻段，隨著藍(lán)牙、紅外、微波爐等無(wú)線應(yīng)用的增加，非WLAN設(shè)備對(duì)WLAN網(wǎng)絡(luò)的干擾問(wèn)題日益突出。頻譜分析是指通過(guò)頻譜分析服務(wù)器對(duì)采集到的無(wú)線信號(hào)進(jìn)行特征分析，識(shí)別出Non-Wi-Fi干擾設(shè)備，進(jìn)而對(duì)干擾設(shè)備進(jìn)行定位，實(shí)現(xiàn)對(duì)WLAN網(wǎng)絡(luò)的調(diào)優(yōu)。通過(guò)配置頻譜分析功能，及時(shí)、全面的檢測(cè)出WLAN網(wǎng)絡(luò)中的非WLAN干擾，提升用戶的體驗(yàn)。通過(guò)頻譜掃描發(fā)現(xiàn)未管理無(wú)線源，快速識(shí)別網(wǎng)絡(luò)安全隱患，保障網(wǎng)絡(luò)健康。通過(guò)eSight對(duì)干擾設(shè)備進(jìn)行定位，實(shí)現(xiàn)對(duì)WLAN網(wǎng)絡(luò)的調(diào)優(yōu)，合理規(guī)避干擾設(shè)備的影響。無(wú)線釣魚與RougeAP防護(hù)無(wú)線釣魚是將有線網(wǎng)絡(luò)中的釣魚攻擊方法應(yīng)用到無(wú)線領(lǐng)域，但由于網(wǎng)絡(luò)傳輸協(xié)議不同，用的方式當(dāng)然也不同，常見(jiàn)的無(wú)線釣魚方式是基于偽造AP使得無(wú)線客戶端訪問(wèn)虛假的AP，從而釣魚得到客戶端信息。針對(duì)非法瘦AP接入有線網(wǎng)絡(luò)后無(wú)線釣魚的場(chǎng)景防護(hù)手段依靠AC對(duì)AP接入的安全控制可以進(jìn)行防護(hù)。華為WLAN支持針對(duì)非法AP的無(wú)線釣魚防護(hù)，支持RougeAP檢測(cè)和隔離。eSight開(kāi)啟RougeAP的檢測(cè)功能，將檢測(cè)到的RougeAP呈現(xiàn)出來(lái)，并對(duì)這些RougeAP、RougeClient、AdHoc開(kāi)啟反制。用戶上網(wǎng)行為審計(jì)“商超”在給市民提供上網(wǎng)業(yè)務(wù)的同時(shí)，也要解決市民濫用網(wǎng)絡(luò)帶寬、散布惡意軟件、泄漏國(guó)家信息以及發(fā)布違反法律法規(guī)的不良言論等問(wèn)題，也要避免用戶信息面臨的各種安全威脅，如釣魚網(wǎng)站、網(wǎng)頁(yè)木馬、文件病毒、黑客攻擊等。日志審計(jì)系統(tǒng)：為滿足公安部82號(hào)令，可監(jiān)測(cè)用戶上網(wǎng)行為和進(jìn)行安全審計(jì)，供公安部門審計(jì)。必須將所有接入點(diǎn)的NAT日志信息進(jìn)行集中匯總及保存，并可進(jìn)行查詢和統(tǒng)計(jì)等審計(jì)功能。需要審計(jì)用戶的網(wǎng)絡(luò)行為杜絕用戶瀏覽和發(fā)布不良信息。如何限制一般用戶對(duì)帶寬資源的濫用，如何保證VIP用戶帶寬。在“商超”網(wǎng)絡(luò)中，在每個(gè)獨(dú)立的互聯(lián)網(wǎng)出口推薦部署一臺(tái)ASG（已經(jīng)部署防火墻和上網(wǎng)行為管理的不需要重復(fù)部署）。華為ASG上網(wǎng)行為管理，可以識(shí)別超過(guò)1200種的應(yīng)用識(shí)別，超過(guò)6500萬(wàn)條的海量URL庫(kù)；可以全面的內(nèi)容控制和審計(jì)，有效防止信息外泄和協(xié)助法規(guī)遵從；可以全方位保護(hù)上網(wǎng)用戶，惡意軟件無(wú)所遁形，并提供專業(yè)報(bào)表針對(duì)性強(qiáng)，助力治理“商超”的網(wǎng)絡(luò)。具體組網(wǎng)方式，如下圖所示。在總部ASG上配置相關(guān)上網(wǎng)行為管控和審計(jì)策略，并同步到全網(wǎng)所有分支的ASG用戶上線，通過(guò)AgileController認(rèn)證系統(tǒng)，進(jìn)行身份認(rèn)證認(rèn)證通過(guò)后，AgileController系統(tǒng)將上線的用戶信息（IP、用戶名、組名、MAC、AP信息、AC信息等）隨同用戶的上線信息一起同步給各ASG用戶開(kāi)始訪問(wèn)Internet時(shí)，ASG進(jìn)行用戶的行為管控和日志審計(jì)，用戶的信息和上網(wǎng)行為審計(jì)日志保存在ASG設(shè)備本身ASG定期將訪客信息和日志上傳到總部ASGManager(LogCenter)統(tǒng)一存儲(chǔ)，以便統(tǒng)一審計(jì)LogCenter高效地采集日志源的日志，向用戶及時(shí)展示華為安全日志源的業(yè)務(wù)情況，幫助用戶了解網(wǎng)絡(luò)用戶的行為，輔助用戶迅速識(shí)別并消除安全威脅。通過(guò)對(duì)華為防火墻設(shè)備用戶上網(wǎng)行為日志進(jìn)行采集和分析，LogCenter可以追蹤用戶的上網(wǎng)行為（如使用P2P、email、HTTP、MSN、QQ等業(yè)務(wù)），并輔助管理員分析內(nèi)網(wǎng)用戶上網(wǎng)行為以及應(yīng)用時(shí)長(zhǎng)和流量，進(jìn)而對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管理，可以在線查看用戶狀態(tài)及其所連接的網(wǎng)絡(luò)設(shè)備信息，對(duì)非法用戶可以執(zhí)行發(fā)送消息、在線檢查、強(qiáng)制下線、關(guān)閉端口等操作。安全合規(guī)方案華為商業(yè)Wi-Fi解決方案提供合規(guī)安全子方案，一方面滿足有關(guān)部門合規(guī)審計(jì)的要求（公安部82號(hào)令），另一方面來(lái)保障用戶接入Wi-Fi網(wǎng)絡(luò)時(shí)的安全，讓用戶放心的接入使用Wi-Fi網(wǎng)絡(luò)。合規(guī)審計(jì)華為商業(yè)Wi-Fi解決方案通過(guò)部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網(wǎng)提供安全保障，同時(shí)對(duì)Wi-Fi用戶的上網(wǎng)行為進(jìn)行審計(jì)，滿足公安部82號(hào)令的審查要求。上網(wǎng)行為審計(jì)具體體現(xiàn)在對(duì)Wi-Fi用戶上網(wǎng)信息的日志進(jìn)行存儲(chǔ)，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時(shí)間、內(nèi)外網(wǎng)地址轉(zhuǎn)換對(duì)應(yīng)關(guān)系（NAT溯源）。在實(shí)際部署時(shí)可根據(jù)網(wǎng)絡(luò)的規(guī)模以及Wi-Fi用戶量的大小選擇如下兩種日志存儲(chǔ)管理方案。方案一：統(tǒng)一存儲(chǔ)管理認(rèn)證系統(tǒng)和NGFW各自存儲(chǔ)一部分日志信息。其中，認(rèn)證系統(tǒng)可提供用戶上下線日志的存儲(chǔ)和查詢。NGFW可提供用戶內(nèi)外網(wǎng)IP地址NAT日志信息，先在本地進(jìn)行存儲(chǔ)，選擇網(wǎng)絡(luò)閑時(shí)發(fā)送至總部logcenter進(jìn)行統(tǒng)一存儲(chǔ)和管理。Logcenter統(tǒng)一接收并存儲(chǔ)認(rèn)證系統(tǒng)和NGFW的日志信息后，可進(jìn)行日志信息的統(tǒng)一管理和查看。在該應(yīng)用場(chǎng)景下，LogCenter對(duì)下一代防火墻等安全網(wǎng)元的會(huì)話日志進(jìn)行采集和分析，獲取NAT信息（包括目的IP地址、目的端口、NAT前源IP地址和協(xié)議等），結(jié)合身份關(guān)聯(lián)數(shù)據(jù)源（如認(rèn)證服務(wù)器），從而追蹤NAT用戶的上網(wǎng)行為。方案二：本地存儲(chǔ)管理日志本地存儲(chǔ)管理是指認(rèn)證系統(tǒng)和NGFW將用戶的日志信息存儲(chǔ)在本地?？紤]到日志信息的存儲(chǔ)量較大，建議NGFW通過(guò)外掛硬盤或者內(nèi)置CF卡的方式來(lái)進(jìn)行日志的存儲(chǔ)。NGFW提供審計(jì)策略功能，通過(guò)配置審計(jì)功能后，用戶的上網(wǎng)行為會(huì)被記錄日志。管理員通過(guò)查看各種報(bào)表以及審計(jì)日志、用戶活動(dòng)日志等信息審查和分析用戶的上網(wǎng)行為，識(shí)別出威脅網(wǎng)絡(luò)安全的用戶和上網(wǎng)行為，為后續(xù)制定高效和精細(xì)化的安全策略提供基礎(chǔ)。NGFW上的審計(jì)處理流程如下圖所示：流量通過(guò)NGFW時(shí)，審計(jì)處理流程如下：1、NGFW會(huì)對(duì)收到的流量進(jìn)行識(shí)別，識(shí)別出流量的屬性，包括：用戶（包括用戶組和安全組）、源安全區(qū)域、目的安全區(qū)域、源地址、目的地址、服務(wù)（源端口、目的端口、協(xié)議類型）和時(shí)間段。2、NGFW將流量的屬性與審計(jì)策略的條件進(jìn)行匹配。如果所有條件都匹配，則此流量成功匹配審計(jì)策略。如果其中有一個(gè)條件不匹配，則繼續(xù)匹配下一條審計(jì)策略。以此類推，如果所有審計(jì)策略都不匹配，則流量不進(jìn)行審計(jì)功能處理。3、如果流量成功匹配一條審計(jì)策略，NGFW將會(huì)執(zhí)行此審計(jì)策略的動(dòng)作。如果動(dòng)作為不審計(jì)，則流量不進(jìn)行審計(jì)功能處理。如果動(dòng)作為審計(jì)，則NGFW會(huì)根據(jù)審計(jì)策略引用的審計(jì)配置文件中定義的內(nèi)容，記錄用戶的上網(wǎng)行為。方案選取建議對(duì)于連鎖類或者網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)較多的場(chǎng)景，建議選擇方案一，將日志進(jìn)行統(tǒng)一的存儲(chǔ)和管理。對(duì)于單個(gè)門店或者單個(gè)獨(dú)立網(wǎng)絡(luò)的場(chǎng)景，如果出于成本考慮可以選擇方案二。安全規(guī)劃華為商業(yè)Wi-Fi解決方案從有線安全和無(wú)線空口安全兩個(gè)維度來(lái)保障Wi-Fi網(wǎng)絡(luò)的安全，讓用戶能夠放心的接入和使用Wi-Fi網(wǎng)絡(luò)。有線安全有線側(cè)，通過(guò)在局域網(wǎng)出口處以及數(shù)據(jù)中心入口處部署下一代防火墻NGFW來(lái)抵御來(lái)自Interntet的威脅。NGFW集防火墻、IPS、DDOS等眾多功能于一身，能夠有效保障局域網(wǎng)和數(shù)據(jù)中心的安全。無(wú)線空口安全無(wú)線空口側(cè)主要存在三個(gè)方面的安全：非法rogue設(shè)備、惡意攻擊和空口監(jiān)聽(tīng)，如下圖所示。Rogue設(shè)備商業(yè)Wi-Fi環(huán)境中可能出現(xiàn)的Rogue設(shè)備包括RogueAP，RogueClient，Ad-hoc設(shè)備，這些設(shè)備對(duì)運(yùn)維的WLAN網(wǎng)絡(luò)會(huì)帶來(lái)諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLANWIDS方案支持對(duì)網(wǎng)絡(luò)中的Rogue設(shè)備（包括AP，Client，Ad-hoc）的進(jìn)行檢測(cè)、識(shí)別以及反制功能。下面分別從非法設(shè)備的監(jiān)聽(tīng)，識(shí)別，判斷以及反制四個(gè)方面詳細(xì)闡述，華為WLAN對(duì)非法設(shè)備安全的防護(hù)。偵聽(tīng)周邊設(shè)備AP有三種工作模式：接入模式，監(jiān)聽(tīng)模式和混合模式。接入模式只提供覆蓋功能，不提供非法設(shè)備監(jiān)聽(tīng)功能；監(jiān)聽(tīng)模式只監(jiān)聽(tīng)，不能接入業(yè)務(wù)；而混合模式可以在接入業(yè)務(wù)的同時(shí)進(jìn)行監(jiān)聽(tīng)。推薦AP工作在混合模式，在接入業(yè)務(wù)的同時(shí)監(jiān)聽(tīng)周邊設(shè)備，低成本部署。設(shè)備類型識(shí)別AP通過(guò)監(jiān)聽(tīng)Beacon，AssociatonRequest，AssociationResponse協(xié)議報(bào)文和數(shù)據(jù)報(bào)文報(bào)文來(lái)識(shí)別Rogue設(shè)備是哪種設(shè)備（AP/Adhoc/Client）。監(jiān)控AP搜集到無(wú)線設(shè)備后，維護(hù)一個(gè)無(wú)線設(shè)備信息列表，并把這些信息上報(bào)給AC，在AC上根據(jù)一定的規(guī)則進(jìn)行Rogue設(shè)備判斷。Rogue設(shè)備判斷當(dāng)AP設(shè)備工作在混合模式或者監(jiān)聽(tīng)模式時(shí)可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)控，監(jiān)控設(shè)備包括AP、Client、Adhoc終端、無(wú)線網(wǎng)橋等。Rogue設(shè)備反制檢測(cè)到Rogue設(shè)備后，可以使能防范、反制功能。反制功能，根據(jù)反制的模式，監(jiān)測(cè)模式AP從無(wú)線控制器下載攻擊列表，并對(duì)Rogue設(shè)備采取措施，阻止其工作。對(duì)RogueAP的反制：監(jiān)測(cè)AP通過(guò)使用RogueAP設(shè)備的地址發(fā)送假的廣播解除認(rèn)證幀來(lái)對(duì)RogueAP設(shè)備進(jìn)行反制，抑制無(wú)線用戶和非法AP建立鏈接。對(duì)RogueClient、Adhoc設(shè)備的反制：監(jiān)測(cè)AP通過(guò)使用RogueClient、Adhoc設(shè)備的BSSID、MAC地址發(fā)送假的單播解除認(rèn)證幀，對(duì)指定非法Client的進(jìn)行反制。Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實(shí)時(shí)顯示Rogue設(shè)備的位置，為網(wǎng)管人員對(duì)網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。惡意攻擊針對(duì)惡意攻擊，華為WLAN擁有多種方式。下面針對(duì)最常用的flood攻擊，WeakIV攻擊，Spoof攻擊方式，介紹華為的防御規(guī)劃和措施。Flood攻擊檢測(cè)：當(dāng)“惡意用戶”發(fā)送大量的“連接請(qǐng)求報(bào)文”至AP時(shí)，這些報(bào)文會(huì)被AP轉(zhuǎn)發(fā)到AC設(shè)備上進(jìn)行處理，這樣會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)造成沖擊。啟動(dòng)Floodattack檢測(cè)，AC會(huì)檢測(cè)到來(lái)自于該惡意用戶的Flood攻擊，AP會(huì)將來(lái)自于該用戶的報(bào)文將全部被丟棄，從而實(shí)現(xiàn)了對(duì)于網(wǎng)絡(luò)的安全防御。WeakIV攻擊檢測(cè)：對(duì)于Client的數(shù)據(jù)報(bào)文，如果該報(bào)文使用了WEP加密算法，需要啟動(dòng)IV檢測(cè)；AC根據(jù)IV的安全性策略判斷是否存在WeakIV攻擊。Spoof攻擊檢測(cè)：這種攻擊的潛在攻擊者將以其他設(shè)備的名義發(fā)送攻擊報(bào)文。惡意AP或者惡意用戶發(fā)送一個(gè)欺騙的解除認(rèn)證報(bào)文會(huì)導(dǎo)致無(wú)線客戶端下線。AC接受到這種報(bào)文時(shí)將立刻被定義為欺騙攻擊，并阻止該用戶?？湛诟`聽(tīng)華為WLAN提供多種空口加密方式，以避免空口被竊聽(tīng)。如WEP、WPA/WPA2、WAPI等。eSight無(wú)線定位華為商業(yè)Wi-Fi解決方案提供無(wú)線定位功能，滿足大型商場(chǎng)、購(gòu)物中心、游樂(lè)景區(qū)等多種場(chǎng)合下的定位需求。從用途來(lái)看，無(wú)線定位可用于以下場(chǎng)景。客流分析為商場(chǎng)運(yùn)營(yíng)方提供基于大數(shù)據(jù)分析的報(bào)告，分析單客戶或者總體客戶的運(yùn)動(dòng)軌跡、區(qū)域密度等。用于提高店面經(jīng)營(yíng)效率，經(jīng)營(yíng)數(shù)字化信息化，為經(jīng)營(yíng)決策提供數(shù)據(jù)支撐。具體表現(xiàn)在通過(guò)掌握客流峰谷時(shí)段來(lái)安排更合理的市場(chǎng)活動(dòng)；掌握熱點(diǎn)區(qū)域調(diào)整租金水平，提高管理效率降低成本。店鋪導(dǎo)航顧客點(diǎn)擊商鋪具體位置，進(jìn)行線路規(guī)劃，指引顧客到達(dá)店鋪，參與活動(dòng)。逆向?qū)ぼ囶櫩屯＼嚭螅谑謾C(jī)終端App軟件設(shè)定當(dāng)前停車位置；購(gòu)物完畢，在停車場(chǎng)所在樓層，點(diǎn)擊手機(jī)終端App“逆向?qū)ぼ嚒卑粹o，實(shí)