無線網(wǎng)絡(luò)覆蓋方案

1、 . . 27/27方案總述圖3.1無線網(wǎng)絡(luò)拓?fù)涫疽鈭D增加運(yùn)維難度，影響運(yùn)維效率的因素有大量的網(wǎng)絡(luò)節(jié)點(diǎn)，復(fù)雜的網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)覆蓋的地理圍。網(wǎng)絡(luò)節(jié)點(diǎn)越多意味著網(wǎng)絡(luò)管理員要維護(hù)的設(shè)備越多，同時(shí)某一節(jié)點(diǎn)出現(xiàn)問題的概率越大，從而提升了管理員的工作量。而復(fù)雜的網(wǎng)絡(luò)拓?fù)渥尰跇I(yè)務(wù)變更的網(wǎng)絡(luò)策略調(diào)整與優(yōu)化變的復(fù)雜，網(wǎng)絡(luò)管理員不得不看 4分片分區(qū)的自下而上的逐層修改配置，由于復(fù)雜的網(wǎng)絡(luò)拓?fù)鋵?dǎo)致的錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)協(xié)議關(guān)系給問題排查帶來不小的難度。網(wǎng)絡(luò)所覆蓋的地址圍是不能人為控制的，但是從運(yùn)維的角度看，減少運(yùn)維壓力提高運(yùn)維效率就是網(wǎng)絡(luò)管理員盡量少的跑到接入端去進(jìn)行問題排查，實(shí)現(xiàn)方法就是前端設(shè)備盡量少或不需要進(jìn)行配置

2、，只要接入網(wǎng)絡(luò)就可通過網(wǎng)絡(luò)中心進(jìn)行統(tǒng)一管理，這樣當(dāng)前端接入設(shè)備出現(xiàn)故障，只需要找工程人員做簡(jiǎn)單的設(shè)備更換，而不需要管理員到現(xiàn)場(chǎng)在進(jìn)行復(fù)雜的配置，網(wǎng)絡(luò)管理運(yùn)維效率得以提升。在以上三個(gè)因素中網(wǎng)絡(luò)覆蓋的地理圍是不可改變的，而網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)和網(wǎng)絡(luò)拓?fù)涫强梢詮姆桨冈O(shè)計(jì)上進(jìn)行優(yōu)化，因此神州數(shù)碼在某市教育城域網(wǎng)網(wǎng)項(xiàng)目中在滿足教學(xué)應(yīng)用的需求下以簡(jiǎn)化后期運(yùn)維量為出發(fā)點(diǎn)，在方案設(shè)計(jì)中使用最少的設(shè)備，最簡(jiǎn)單的拓?fù)鋪頋M足應(yīng)用需求。如圖2.1所示，在某市教育無線網(wǎng)建設(shè)中神州數(shù)碼采用教育局集中管理，集中運(yùn)維的思路進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，學(xué)校只作為網(wǎng)絡(luò)前端進(jìn)行AP和PoE交換機(jī)的部署，無線控制器，實(shí)名認(rèn)證系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、安全運(yùn)維審計(jì)

3、系統(tǒng)以與無線應(yīng)用加速系統(tǒng)等網(wǎng)絡(luò)管理、運(yùn)維系統(tǒng)將統(tǒng)一部署在某市教育局，實(shí)現(xiàn)對(duì)全市無線網(wǎng)的統(tǒng)一管理，統(tǒng)一運(yùn)維。采用這種網(wǎng)絡(luò)設(shè)計(jì)當(dāng)管理員需要修改網(wǎng)絡(luò)策略對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整或優(yōu)化時(shí)，他只需要對(duì)教育局?jǐn)?shù)據(jù)中心的設(shè)備進(jìn)行調(diào)整即可全網(wǎng)生效，而不需要從接入端逐層的進(jìn)行配置修改。能實(shí)現(xiàn)如此的管理方式也得益于當(dāng)前無線網(wǎng)絡(luò)的部署架構(gòu)。當(dāng)前主流的無線網(wǎng)絡(luò)全部采用無線控制器+瘦AP的架構(gòu)，無線控制器就像無線網(wǎng)絡(luò)的大腦，它負(fù)責(zé)管理與其連接的所有AP的配置策略，而瘦AP只是運(yùn)算和執(zhí)行策略，基于此架構(gòu)，無線網(wǎng)絡(luò)可直接通過對(duì)中心端的無線控制器的配置操作達(dá)到修改接入點(diǎn)網(wǎng)絡(luò)策略的目的，從而實(shí)現(xiàn)中心的統(tǒng)一管理，統(tǒng)一運(yùn)維。無線控制器的選擇

4、與部署0無線控制器的選擇在型無線網(wǎng)絡(luò)環(huán)境中采用無線控制器+瘦AP的網(wǎng)絡(luò)架構(gòu)已經(jīng)成為不爭(zhēng)的事實(shí)。從無線控制器的形態(tài)上分類從目前市場(chǎng)上的產(chǎn)品來看可分為兩類：硬件形態(tài)的無線控制器和軟件形態(tài)的無線控制器。硬件形態(tài)的無線控制器是從無線控制器+瘦AP架構(gòu)正是發(fā)布后一直延續(xù)到現(xiàn)在的一種無線控制器物理形態(tài)，目前市場(chǎng)上主要以X86工控機(jī)或多核+交換板作為硬件架構(gòu)。這種架構(gòu)的產(chǎn)生源于第一代瘦AP架構(gòu)，第一代瘦AP的數(shù)據(jù)轉(zhuǎn)發(fā)模式采用的是集中式轉(zhuǎn)發(fā)，即無線AP所有的數(shù)據(jù)都要流經(jīng)無線控制器，再由無線控制器轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)當(dāng)中，這種模式就需要無線控制器就較好的數(shù)據(jù)轉(zhuǎn)發(fā)性能，而服務(wù)器網(wǎng)卡在數(shù)據(jù)轉(zhuǎn)發(fā)上的性能與帶有交換架構(gòu)的工控

5、機(jī)來比就要差一些，因此，無線控制器是以硬件形態(tài)出現(xiàn)的。第一代瘦AP主要采用的是IEEE 802.11g無線傳輸協(xié)議，IEEE 802.11g協(xié)議在TCP傳輸協(xié)議下的最大帶寬在25Mbps左右，第一代無線控制器采用集中式轉(zhuǎn)發(fā)模式不會(huì)產(chǎn)生網(wǎng)絡(luò)瓶頸。隨著單一項(xiàng)目的無線網(wǎng)絡(luò)規(guī)模的擴(kuò)大，雙頻雙模無線AP的出現(xiàn)以與IEEE 802.11n協(xié)議的無線AP的問世，無線AP的上行帶寬越來越高。因此，集中式轉(zhuǎn)發(fā)已經(jīng)成為數(shù)據(jù)傳輸瓶頸，為了解決這一問題，提高無線網(wǎng)絡(luò)傳輸性能，瘦AP開始采用本地轉(zhuǎn)發(fā)，集中管理的架構(gòu)，即從瘦AP上行的業(yè)務(wù)數(shù)據(jù)都有AP直接通過交換機(jī)轉(zhuǎn)發(fā)到網(wǎng)關(guān)，不在經(jīng)由無線控制器進(jìn)行轉(zhuǎn)發(fā)。只有瘦AP的管理數(shù)

6、據(jù)和是在無線控制器和AP之間交互，這種交互數(shù)據(jù)的數(shù)據(jù)流非常小，因此無線控制器開始采用單臂旁掛核心交換機(jī)的方式進(jìn)行部署，我們稱這種部署方式為旁路部署。圖3.2-1 集中轉(zhuǎn)發(fā)&本地轉(zhuǎn)發(fā)示意圖前面講到數(shù)據(jù)采用本地轉(zhuǎn)發(fā)的瘦AP與無線控制器之間的管理數(shù)據(jù)流量很小，無線控制器的數(shù)據(jù)轉(zhuǎn)發(fā)性能，隨著服務(wù)器性能的大幅提升以與虛擬化技術(shù)的完善和普與，軟件形態(tài)的無線控制器應(yīng)運(yùn)而生。很多人把簡(jiǎn)單的認(rèn)為軟件形態(tài)的無線控制器就是把硬件形態(tài)無線控制器里的系統(tǒng)抽離出來形成的，所以除了形態(tài)上的差別之外其他都是一樣的。其實(shí)這是一個(gè)簡(jiǎn)單而且錯(cuò)誤的理解，軟件形態(tài)的無線控制器的產(chǎn)生更多由于虛擬化技術(shù)和云數(shù)據(jù)中心的普與而產(chǎn)生的，因此軟件

7、形態(tài)的無線控制器自身的首要特性就是虛擬化特性，云特性。例如一臺(tái)軟件形態(tài)的無線控制器，可以根據(jù)不同用戶群定制屬于自己的虛擬化控制器，用于實(shí)現(xiàn)對(duì)自己區(qū)域的無線AP的個(gè)性化管理。我們把這種虛擬化稱為1：N虛擬化。而當(dāng)一個(gè)大型網(wǎng)絡(luò)中有多臺(tái)軟件形態(tài)的無線控制器，他們可以形成一個(gè)統(tǒng)一無線管理控制器池，任何一個(gè)控制節(jié)點(diǎn)出現(xiàn)問題都不會(huì)出現(xiàn)瘦AP脫管的現(xiàn)象，形成一個(gè)統(tǒng)一的，整體的無線網(wǎng)絡(luò)控制云平臺(tái)，我們把這種虛擬化稱為N：1虛擬化。由此我們可以看出軟件形態(tài)的無線控制器的基本特性就是支持虛擬化和云特性?；谶@些虛擬化特性我們也把軟件形態(tài)的無線控制器成為“云”無線控制器。目前采用“云”無線控制器的主要代表廠家有思科

8、和神州數(shù)碼。兩種形態(tài)的無線控制具有哪些特性差異，如表3.2.1，我們對(duì)兩種無線控制器的主要差異特性做了簡(jiǎn)單的對(duì)比。表3.2.1 無線控制器特性對(duì)比：特性硬件形態(tài)無線控制器“云”無線控制器具有虛擬化特性不具備具備管理AP數(shù)量單臺(tái)4000（主流產(chǎn)品）軟件系統(tǒng)無AP管理上限端口配置千兆電/光口4；具有萬兆端口或擴(kuò)展插槽端口依托于服務(wù)器配置的網(wǎng)卡類型AP數(shù)據(jù)轉(zhuǎn)發(fā)方式支持本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)支持本地轉(zhuǎn)發(fā)AP部署方式二層部署、三層部署二層部署、三層部署、跨NAT部署根據(jù)兩種形態(tài)的無線控制器的特性差異我們來做一個(gè)簡(jiǎn)單的綜合分析。傳統(tǒng)的硬件形態(tài)無線控制器一臺(tái)設(shè)備可管理的最大AP數(shù)量一般在4000臺(tái)左右，市場(chǎng)上目

9、前主流銷售的硬件無線控制器最大管理AP數(shù)量在2000臺(tái)以下，由此可以看出傳統(tǒng)硬件無線控制器主要用于園區(qū)無線網(wǎng)絡(luò)的部署。某市教育城域網(wǎng)項(xiàng)目的大型城域級(jí)的無線網(wǎng)絡(luò)如果采用硬件無線控制器由于管理AP數(shù)的限制，就只能采用分布式部署的方式，即以學(xué)?；蛘吒〉膮^(qū)域?yàn)閱挝唬瑢o線控制器分別部署在這些單位中，或者采用集中式分組部署，即將多臺(tái)無線控制器集中放置在區(qū)教育局中心機(jī)房，以管理地址段作為劃分手段將AP分別指不同的無線控制器來管理。以上兩種部署方法確實(shí)可以解決無線AP的管理問題，但是如前面所講，從后期管理運(yùn)維的角度考慮，這兩種部署方式在網(wǎng)絡(luò)中增加了多臺(tái)無線控制器，網(wǎng)絡(luò)拓?fù)渥兊膹?fù)雜，網(wǎng)絡(luò)管理員需要維護(hù)的設(shè)備

10、數(shù)量增加。網(wǎng)路認(rèn)證策略，QoS策略需要在每臺(tái)控制器上配置一次，在網(wǎng)絡(luò)出現(xiàn)問題時(shí)，需要做大量的數(shù)據(jù)檢測(cè)和排除工作，運(yùn)維效率降低?！霸啤睙o線控制器從功能設(shè)計(jì)上并沒有AP管理上限。AP管理上限取決于承載“云”無線控制器的服務(wù)器硬件性能。而“云”無線控制器的虛擬化特性允許采用服務(wù)器橫向擴(kuò)展（Scale out）的方式來提升管理性能，同時(shí)還實(shí)現(xiàn)了冗余。由于“云”無線控制器的虛擬化特性，即使服務(wù)器采用橫向擴(kuò)展方式進(jìn)行擴(kuò)容，它從管理運(yùn)維的角度看只是一個(gè)管理節(jié)點(diǎn)，網(wǎng)絡(luò)管理員看到的管到的始終是一臺(tái)無線控制器，不需要為學(xué)校的AP歸哪個(gè)控制器管而劃分群組。從端口配置上看，某市教育城域網(wǎng)這種大型的無線網(wǎng)絡(luò)部署無線控制

11、器都會(huì)采用旁路部署，無線AP采用本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)的方式，這種方式無線AP與無線控制器之間之交互管理數(shù)據(jù)，數(shù)據(jù)流量小，只需要1到2個(gè)萬兆接口接入核心交換就可以完成鏈路部署。因此硬件控制器上所配置的豐富的接口和高速的數(shù)據(jù)轉(zhuǎn)發(fā)性能都起不到什么作用?；谝陨戏治隹梢钥闯?，在某市教育城域網(wǎng)項(xiàng)目中，使用“云”無線控制器具有擴(kuò)容更容易，拓?fù)涓?jiǎn)單的特點(diǎn)，更易于后期的網(wǎng)絡(luò)維護(hù)。無線控制器的部署某市教育城域網(wǎng)骨干圖3.2.2-1 “云”無線控制器部署示意圖如圖3.2.2-1所示，“云“無線控制器只需要部署在教育局網(wǎng)絡(luò)中心的運(yùn)維管理區(qū)。建議配置兩臺(tái)服務(wù)器運(yùn)行“云”無線控制器，服務(wù)器前端配合一臺(tái)鏈路負(fù)載均衡，兩臺(tái)服務(wù)器

12、對(duì)AP管理實(shí)現(xiàn)負(fù)載均衡，并且避免單點(diǎn)故障引起網(wǎng)絡(luò)問題。無線AP的選擇與部署無線AP首先要滿足某市教育局無線控制器管理要求，能通過CAPWAP協(xié)議與某市教育局的無線控制器進(jìn)行對(duì)接。AP需要滿足50人同時(shí)接入，因此無線AP要采用IEEE802.11n/IEEE 802.11ac協(xié)議的無線AP，并且支持2.4GHz和5.8GHz雙頻雙模，AP要采用2x2：2或以上MIMO架構(gòu)。無線AP支持IEEE 802.3af或IEEE802.3at供電協(xié)議，通過PoE方式供電。由于無線AP的最大傳輸帶寬已經(jīng)超過百兆，所以上行PoE交換機(jī)建議采用千兆PoE交換機(jī)。交換機(jī)要支持至少370W的PoE功率輸出，并且支持

13、IEEE 802.3af和IEEE 802.3at協(xié)議。在本項(xiàng)目中推薦采用神州數(shù)碼的DCWL-8200系列AP和S5750E系列PoE交換機(jī)。實(shí)名認(rèn)證系統(tǒng)部署要滿足全市賬戶漫游，就需要一個(gè)統(tǒng)一的實(shí)名認(rèn)證系統(tǒng)對(duì)某市所轄學(xué)校所有網(wǎng)絡(luò)賬戶進(jìn)行統(tǒng)一管理和統(tǒng)一認(rèn)證，網(wǎng)絡(luò)用戶不管身處哪所學(xué)校都可以使用自己的賬戶登陸網(wǎng)絡(luò)?，F(xiàn)在主流的認(rèn)證系統(tǒng)一般分為兩類，一類是網(wǎng)關(guān)型認(rèn)證系統(tǒng)，以硬件形態(tài)為主，一般串行在網(wǎng)絡(luò)出口。第二類是軟件型認(rèn)證系統(tǒng)，一般部署在網(wǎng)絡(luò)中心機(jī)房的管理區(qū)，通過與作為認(rèn)證發(fā)起設(shè)備的聯(lián)動(dòng)實(shí)現(xiàn)認(rèn)證。某市信息化教學(xué)應(yīng)用非常豐富，干網(wǎng)帶寬已經(jīng)達(dá)到萬兆，如果采用網(wǎng)關(guān)型認(rèn)證系統(tǒng)可能會(huì)產(chǎn)生網(wǎng)絡(luò)瓶頸，鑒于此，本項(xiàng)目

14、中推薦使用軟件型認(rèn)證計(jì)費(fèi)系統(tǒng)。神州數(shù)碼的軟件計(jì)費(fèi)系統(tǒng)是有DCSM-RS 認(rèn)證服務(wù)平臺(tái)和DCSM-BW綜合業(yè)務(wù)管理平臺(tái)兩部分組成。DCSM-RS提供集中的寬帶網(wǎng)絡(luò)用戶認(rèn)證，授權(quán)和計(jì)費(fèi)，與接入策略管理，為電信運(yùn)營商和大中型園區(qū)網(wǎng)提供類型豐富、配置靈活的寬帶運(yùn)營業(yè)務(wù)模式，如集中認(rèn)證、漫游認(rèn)證、外網(wǎng)準(zhǔn)入準(zhǔn)出認(rèn)證、Portal認(rèn)證、免認(rèn)證Portal推送、無感知認(rèn)證等，以與WLAN、遠(yuǎn)程/VPN、PPPoE撥號(hào)、IPoE、802.1x等各種基于身份的認(rèn)證支持。DCSM-BW是作為DCSM-RS配套使用的綜合業(yè)務(wù)管理后臺(tái)軟件，實(shí)現(xiàn)寬帶運(yùn)營中的策略配置、用戶管理、用戶業(yè)務(wù)辦理、賬務(wù)處理、統(tǒng)計(jì)輸出等綜合業(yè)務(wù)功

15、能，是用戶對(duì)寬帶運(yùn)營管理的統(tǒng)一操作界面。DCSM-RS實(shí)名認(rèn)證系統(tǒng)部署方式：圖3.4.1-1 實(shí)名認(rèn)證系統(tǒng)部署示意圖DCSM-RS Radius平臺(tái)一般與DCSM-BW寬帶業(yè)務(wù)管理平臺(tái)同時(shí)部署，DCSM-RS Radius平臺(tái)負(fù)責(zé)用戶實(shí)時(shí)認(rèn)證、計(jì)費(fèi)、控制策略下發(fā)以與Portal頁面推送，DCSM-BW寬帶業(yè)務(wù)管理平臺(tái)則負(fù)責(zé)用戶管理、業(yè)務(wù)策略配置、賬務(wù)處理、統(tǒng)計(jì)報(bào)表輸出、自助服務(wù)、數(shù)據(jù)維護(hù)等后臺(tái)業(yè)務(wù)功能。DCSM-RS與DCSM-BW服務(wù)器均需旁路部署在受防火墻等網(wǎng)絡(luò)安全設(shè)備保護(hù)的數(shù)據(jù)中心中，原網(wǎng)絡(luò)的部署與結(jié)構(gòu)無需調(diào)整，只需接入控制層的網(wǎng)絡(luò)設(shè)備支持相關(guān)的Radius和Portal協(xié)議，另外防火墻

16、等網(wǎng)絡(luò)安全設(shè)備須允許RADIUS、PORTAL報(bào)文通信。網(wǎng)絡(luò)認(rèn)證方式主流的認(rèn)證方式有802.1x認(rèn)證，Portal認(rèn)證，無感知認(rèn)證，PPPOE認(rèn)證，手機(jī)短信認(rèn)證，二維碼認(rèn)證。802.1x認(rèn)證一般需要采用客戶端或者配置啟用終端系統(tǒng)自帶的802.1x客戶端來進(jìn)行認(rèn)證，對(duì)終端用戶的技術(shù)要求較高，多系統(tǒng)平臺(tái)的兼容性較低，管理員維護(hù)工作量增加。因此在本項(xiàng)目中不建議采用。Poral認(rèn)證采用WEB頁面重定向方式用瀏覽器為用戶推送認(rèn)證頁面，用戶終端不需要其他第三方軟件就可實(shí)現(xiàn)認(rèn)證。市場(chǎng)上主流的視窗類系統(tǒng)都支持，兼容性高。由于認(rèn)證時(shí)通過用戶常用瀏覽器進(jìn)行認(rèn)證，對(duì)用戶的技術(shù)要求低，管理員維護(hù)工作量很小。在保證網(wǎng)絡(luò)

17、安全認(rèn)證的同時(shí)，用戶要求簡(jiǎn)化認(rèn)證流程，因此神州數(shù)碼推出了無感知認(rèn)證，用戶在第一次通過Protal認(rèn)證之后，再次連接網(wǎng)絡(luò)就不需要在進(jìn)行認(rèn)證，直接就可以接入網(wǎng)絡(luò)，大幅簡(jiǎn)化認(rèn)證流程。是本項(xiàng)目中作為首選的認(rèn)證方式。PPPOE認(rèn)證同樣需要使用客戶端進(jìn)行撥號(hào)上網(wǎng)，對(duì)于移動(dòng)終端系統(tǒng)的兼容性低，后期維護(hù)工作量大。手機(jī)短信認(rèn)證主要用于外來訪客的上網(wǎng)認(rèn)證需求。例如，學(xué)生家長(zhǎng)，其他地區(qū)的參觀團(tuán)，當(dāng)這些用戶有接入網(wǎng)絡(luò)需求，如果通過管理員一個(gè)一個(gè)的開通賬戶效率低，工作量大。采用手機(jī)短信認(rèn)證的方式，用戶通過自己的手機(jī)按需開通賬戶，管理員只需要預(yù)設(shè)好賬戶有效時(shí)間，賬戶到期后會(huì)自動(dòng)銷戶。不需要管理員花時(shí)間精力去管理這些賬戶

18、。管理員可根據(jù)實(shí)際情況隨時(shí)打開或關(guān)閉短信認(rèn)證方式。二維碼認(rèn)證是目前基于移動(dòng)終端應(yīng)用的一種認(rèn)證方式，系統(tǒng)將訪客終端的MAC地址信息以二維碼的方式表現(xiàn)出來，網(wǎng)絡(luò)授權(quán)由用戶通過手機(jī)掃描二維碼的方式進(jìn)行授權(quán)。下面對(duì)Portal認(rèn)證，二維碼認(rèn)證，手機(jī)短信認(rèn)證和二維碼認(rèn)證做一個(gè)講解。Portal認(rèn)證Portal認(rèn)證是通過瀏覽器重定向用戶訪問頁面，將通過網(wǎng)頁瀏覽的方式進(jìn)行用戶認(rèn)證的方式。用戶上線認(rèn)證方式有兩種：CHAP和PAP，其中CHAP方式為必選功能，PAP方式為可選功能。PAP是明文認(rèn)證方式，所以一般建議采用CHAP加密認(rèn)證方式。以Chap為例的用戶上線認(rèn)證流程，如下圖所示：圖 3.4.2-1 認(rèn)證流

19、程示意圖用戶訪問，經(jīng)過AC重定向到DCSM-RS，DCSM-RS推送認(rèn)證頁面；用戶填入用戶名、密碼，提交頁面，向DCSM-RS發(fā)起連接請(qǐng)求；DCSM-RS向AC請(qǐng)求Challenge；AC分配Challenge給DCSM-RS；DCSM-RS向AC發(fā)起認(rèn)證請(qǐng)求；而后AC進(jìn)行RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；AC向DCSM-RS送認(rèn)證結(jié)果；DCSM-RS將認(rèn)證結(jié)果填入頁面，和門戶一起推送給客戶；DCSM-RS回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文。DCSM-RS集成功能完整的Portal門戶推送平臺(tái)，支持運(yùn)營商與廠家接入設(shè)備Portal協(xié)議，可基于位置（VLAN/IP）和終端類型推送指定的頁面，使

20、之成為運(yùn)營商優(yōu)異的基于Portal門戶頁面的廣告運(yùn)營、業(yè)務(wù)推廣等增值業(yè)務(wù)平臺(tái)。DCSM-RS Portal功能特性：快捷便利的Portal頁面編輯置Portal頁面編輯工具，可針對(duì)不同網(wǎng)絡(luò)位置或商戶選擇或編輯Portal，實(shí)時(shí)動(dòng)態(tài)定義頁面風(fēng)格、樣式、容與使用方式等等，充分展現(xiàn)用戶的個(gè)性，使運(yùn)營商能夠快速更新門戶信息， 快速響應(yīng)市場(chǎng)與合作商的需求，同時(shí)也促使終端用戶感受有效的信息體驗(yàn)，增加用戶對(duì)Portal門戶的粘度。WEB Portal認(rèn)證和兼容性支持行業(yè)標(biāo)準(zhǔn)的Portal通訊協(xié)議和漫游認(rèn)證協(xié)議規(guī)。遵循中國移動(dòng)WLAN業(yè)務(wù)PORTAL協(xié)議規(guī)、中國移動(dòng)WLAN Portal設(shè)備規(guī)、中國電信WLA

21、N漫游認(rèn)證WISPr協(xié)議規(guī)支持Cisco、Aruba、華三等主流無線設(shè)備廠家Portal協(xié)議基于終端類型的頁面推送自動(dòng)匹配用戶終端類型的頁面推送，如智能手機(jī)、平板電腦、筆記本電腦等，為用戶提供優(yōu)質(zhì)便利的接入體驗(yàn)?；谖恢玫娜萃扑透鶕?jù)用戶的位置（VLAN/IP段）推送不同的容，為場(chǎng)地運(yùn)營者（如公共區(qū)域的不同商戶、企業(yè)等）提供個(gè)性化的網(wǎng)絡(luò)門戶，實(shí)現(xiàn)廣告運(yùn)營、消費(fèi)者互動(dòng)等增值業(yè)務(wù)和商業(yè)模式。無感知認(rèn)證用戶無感知認(rèn)證方式，解決用戶需要提升使用者體驗(yàn)的同時(shí)，又保證了網(wǎng)絡(luò)使用的安全性。用戶無感知認(rèn)證，用戶在第一次portal認(rèn)證后，后續(xù)上網(wǎng)行為無需再輸入賬號(hào)密碼，在用戶無感知的情況下認(rèn)證通過上網(wǎng)，保證安全

22、性的同時(shí)提升了用戶體驗(yàn)。具體實(shí)現(xiàn)設(shè)計(jì)如下圖所示：圖3.4.2-2用戶首次認(rèn)證示意圖圖3.4.2-3用戶再次上線認(rèn)證示意圖注意：圖中的MAC綁定服務(wù)器并不是單獨(dú)的一個(gè)設(shè)備，是在AAA server中的擴(kuò)展功能，為了表述清晰，將其單獨(dú)提出。用戶使用體驗(yàn)流程：圖3.4.2-4 無感知認(rèn)證流程圖如流程圖所示，用戶在第一次連接網(wǎng)絡(luò)的時(shí)候，需要彈出portal，輸入賬號(hào)密碼，點(diǎn)擊確認(rèn)，認(rèn)證通過后可以訪問網(wǎng)絡(luò)；后續(xù)上網(wǎng)，無需再彈出portal，輸入賬號(hào)名密碼等繁瑣操作，給用戶的感覺是連接wifi，就直接上網(wǎng)了；實(shí)際底層是經(jīng)過了安全身份認(rèn)證。該種方式，確保無線網(wǎng)絡(luò)的安全性，網(wǎng)絡(luò)用戶使用可追溯，保證了用戶管理的

23、需要，又避免了網(wǎng)絡(luò)用戶的繁瑣操作，提升了用戶上網(wǎng)體驗(yàn)。手機(jī)短信認(rèn)證無線上網(wǎng)用戶主要分成部固定用戶、外來訪客用戶兩種，在無線覆蓋環(huán)境中，由于用戶流動(dòng)性強(qiáng)，如何有效的對(duì)外來訪客進(jìn)行管理，體現(xiàn)無線的便捷性與安全性，成為重中之重。對(duì)于外來訪客，為了網(wǎng)絡(luò)安全，接入企業(yè)的無線網(wǎng)自然需要經(jīng)過身份認(rèn)證，以便監(jiān)控與管理。為了提供給訪客簡(jiǎn)單快捷的獲取上網(wǎng)賬號(hào)密碼的方式，特別是對(duì)于辦公區(qū)域面積比較大的園區(qū)，像擁有多個(gè)辦公樓的園區(qū)，讓訪客只能在一個(gè)固定的地方且需要經(jīng)過人工辦理的方式獲取上網(wǎng)賬號(hào)密碼，既費(fèi)時(shí)又占用人力，所以訪客自助獲取賬號(hào)密碼是比較簡(jiǎn)便快捷的方式。短信認(rèn)證是指通過短信發(fā)送密碼，由后臺(tái)服務(wù)器通過短信貓和短

24、信通道發(fā)送，短信貓用的最多是socket接口，短信通道一般為 接口，三大運(yùn)營商基本都是用 接口，具體調(diào)用接口的容各有不同。DCN無線網(wǎng)絡(luò)運(yùn)營方案提供多種短信認(rèn)證接口，包含通過短信貓方式、與當(dāng)?shù)剡\(yùn)營商對(duì)接方式以與與短信運(yùn)營公司對(duì)接方式。與當(dāng)?shù)剡\(yùn)營商購買短信網(wǎng)關(guān)服務(wù)一般在用戶當(dāng)?shù)剡\(yùn)營商，都有短信網(wǎng)關(guān)服務(wù)，無線網(wǎng)絡(luò)管理者直接跟運(yùn)營商進(jìn)行短信購買即可。短信發(fā)送賬號(hào)密碼拓?fù)涫疽鈭D如下：圖3.4.2-5 短信網(wǎng)關(guān)認(rèn)證流程圖如圖所示，在短信網(wǎng)關(guān)使用的情況下，網(wǎng)絡(luò)架構(gòu)是無需變化調(diào)整的，只需后臺(tái)Radius Server軟件開通短信通道接口即可。與短信運(yùn)營公司對(duì)接為節(jié)省運(yùn)營管理者的成本，Radius Serve

25、r軟件的短信通道也支持與該類運(yùn)營公司對(duì)接，通過運(yùn)營公司的固有出口連接到移動(dòng)、聯(lián)通等各大運(yùn)營商網(wǎng)，實(shí)現(xiàn)短信下發(fā)到最終用戶。無線網(wǎng)的運(yùn)營管理者只需與短信類運(yùn)營公司進(jìn)行資費(fèi)洽談以與短信量購買，該費(fèi)用會(huì)低于直接與各大運(yùn)營商直接購買費(fèi)用，同時(shí)無需多個(gè)運(yùn)營商洽談的麻煩。拓?fù)涫疽鈭D如下：圖3.4.2-6 短信運(yùn)營公司認(rèn)證流程圖短信貓方式。單獨(dú)購買一臺(tái)短信貓?jiān)O(shè)備，通過socket接口與認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接。通常不建議用短信貓方式，短信貓相當(dāng)于一個(gè)手機(jī)，單條短信成本高，按普通短信價(jià)格收，用戶體驗(yàn)不好，且容易被運(yùn)營商屏蔽。用戶短信認(rèn)證步驟：打開手機(jī)，portal推送，短信申請(qǐng)短信獲取賬號(hào)密碼輸入后，上網(wǎng)沖浪圖3.4.

26、2-7 認(rèn)證步驟DCN方案同時(shí)支持終端portal頁面推送的定制，方式便捷易用。通過手機(jī)申請(qǐng)，便于對(duì)流動(dòng)用戶的管理，對(duì)網(wǎng)絡(luò)訪問問題可有效追查定位。用戶自助完成上網(wǎng)賬號(hào)獲取，可以節(jié)省企業(yè)管理方的人力成本和維護(hù)成本，下面以本系統(tǒng)在移動(dòng)無線城市的案例為例，介紹自助上網(wǎng)獲取的過程：無線用戶訪問任意網(wǎng)址后，通過Portal強(qiáng)制重定向指定頁面，輸入個(gè)人手機(jī)，如下圖：第二步：點(diǎn)擊獲取密碼第一步：輸入珠海移動(dòng)本地手機(jī)號(hào)圖3.4.2-8 認(rèn)證界面如果輸入手機(jī)正確，則提示動(dòng)態(tài)密碼發(fā)送成功，如下圖：圖3.4.2-9 認(rèn)證密碼發(fā)送提示登錄成功后頁面如下提示：圖3.4.2-10 用戶通過認(rèn)證Portal頁面可自動(dòng)匹配用

27、戶的終端類型，如手機(jī)用戶，則系統(tǒng)推送的Portal頁面如下：圖3.4.2-11手機(jī)認(rèn)證頁面二維碼認(rèn)證二維碼認(rèn)證可以授權(quán)人可以通過手機(jī)掃描認(rèn)證系統(tǒng)為被授權(quán)人生成的二維碼來對(duì)被授權(quán)人進(jìn)行授權(quán)，當(dāng)通過授權(quán)后被授權(quán)人就可以使用自己的終端直接訪問網(wǎng)絡(luò)。這種方式避免了管理員為來訪者逐一開戶，管理員只需要將網(wǎng)絡(luò)授權(quán)時(shí)間設(shè)定好，超時(shí)后臨時(shí)賬戶自動(dòng)刪除。認(rèn)證流程如下圖：認(rèn)證系統(tǒng)分權(quán)管理在認(rèn)證和賬戶管理上某市教育局要求進(jìn)行統(tǒng)一認(rèn)證，統(tǒng)一管理。但是使用主體是學(xué)校，學(xué)校因?yàn)橐恍┡R時(shí)要求需要對(duì)賬戶進(jìn)行開戶，銷戶等操作，而如果每次都通過教育局管理員來操作效率低下，不能滿足需求。而DCSM校園寬帶認(rèn)證計(jì)費(fèi)系統(tǒng)支持完善的角色

28、權(quán)限管理?？梢詾閷W(xué)校管理員分配一定的賬戶權(quán)限，讓學(xué)校管理員可以針對(duì)本校需求進(jìn)行簡(jiǎn)單的賬戶開戶，銷戶的操作。DCSM-RS可以為角色信息配置工號(hào)、別名，可以分別用其中之一登錄系統(tǒng)?？梢耘渲孟到y(tǒng)使用者是否可以多點(diǎn)登錄系統(tǒng)與源地址圍綁定等。功能權(quán)限：系統(tǒng)導(dǎo)航的每個(gè)功能點(diǎn)都可以在權(quán)限中進(jìn)行具體配置；容權(quán)限：對(duì)各種套餐組、資費(fèi)組、地區(qū)組等組屬性可以具體配置各個(gè)系統(tǒng)使用者允許操作與查看的組，從而決定可以管理的用戶圍。方便實(shí)現(xiàn)不同校區(qū)的權(quán)限管理。圖 認(rèn)證系統(tǒng)分權(quán)管理界面用戶自服務(wù)平臺(tái)自助服務(wù)系統(tǒng)支持豐富的自助查詢與自助業(yè)務(wù)辦理功能，自助系統(tǒng)開放的功能可以在后臺(tái)管理界面上由系統(tǒng)管理員統(tǒng)一配置，比如允許開放的自

29、助查詢業(yè)務(wù)、自助變更套餐、停/開機(jī)等。此外，還可以靈活配置允許自助維護(hù)用戶資料的選項(xiàng)，比如哪些用戶資料允許變更，哪些允許一次性變更等。支持界面的換膚功能，用戶可以選擇自己喜歡的界面風(fēng)格，為最終上網(wǎng)用戶提供友好的使用感受。無線管理系統(tǒng)部署神州數(shù)碼的DCLM是一套有線無線一體化的綜合網(wǎng)絡(luò)管理平臺(tái)，可從計(jì)劃、實(shí)施、監(jiān)控、配置、問題處理、報(bào)告等對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行全面的管理。通過集中、直觀、易于使用的用戶管理界面顯著地降低了網(wǎng)絡(luò)運(yùn)營成本。提供清晰的網(wǎng)絡(luò)管理和控制平臺(tái)，無線管理組件DCLM-Wlan，支持包括AC、AP和移動(dòng)客戶端的位置的實(shí)時(shí)監(jiān)控，wlan安全實(shí)施和防御的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控，網(wǎng)絡(luò)自動(dòng)化和調(diào)度圍的配置

30、，快速、高效的故障排除。支持發(fā)現(xiàn)并管理有線設(shè)備,DCLM-Lan組件提供有線服務(wù)，包含設(shè)備的狀態(tài)、設(shè)備名稱、設(shè)備組、IP地址、MAC地址、位置、聯(lián)系人、設(shè)備類型、供應(yīng)商、型號(hào)、軟件版本、硬件版本、固件版本、配置版本、設(shè)備序列號(hào)、TOP10告警信息、CPU和存使用率、響應(yīng)時(shí)間和丟包率、交換機(jī)的所有的接口信息等等功能。倘若當(dāng)前交換機(jī)是POE設(shè)備，還可以對(duì)接口進(jìn)行開關(guān)設(shè)置。支持位置服務(wù)功能，其DCLM-Location組件支持在熱點(diǎn)地圖上定位客戶端、流氓客戶端或流氓AP的位置等功能。圖3.5-1 無線終端定位支持無線規(guī)劃功能：DCLM-Planner組件能夠幫助用戶在地圖上手動(dòng)或自動(dòng)的規(guī)劃AP的位置

31、，保證滿足熱點(diǎn)覆蓋率。DCLM產(chǎn)品主要配合神州數(shù)碼設(shè)備使用，提供簡(jiǎn)易的圖形化的配置界面，實(shí)現(xiàn)通過智能的按時(shí)按需方式對(duì)單個(gè)或批量設(shè)備進(jìn)行配置修改, 配置文件備份/恢復(fù), 和固件升級(jí)，從而大大降低管理員的維護(hù)強(qiáng)度和難度?？梢詽M足從小型，中型，大型wlan和lan部署多達(dá)數(shù)萬的網(wǎng)絡(luò)設(shè)備的需求，支持神州數(shù)碼全系列無線AC和AP產(chǎn)品, 以與全系列路由和交換產(chǎn)品，并支持第三方網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn), 拓?fù)浜徒y(tǒng)一監(jiān)控。安全運(yùn)維審計(jì)部署由于信息系統(tǒng)的脆弱性、技術(shù)的復(fù)雜性、操作的人為因素，在設(shè)計(jì)以預(yù)防、減少或消除潛在的風(fēng)險(xiǎn)或風(fēng)險(xiǎn)暴露的安全控制時(shí)，還應(yīng)考慮運(yùn)維管理與操作監(jiān)控機(jī)制以預(yù)防、發(fā)現(xiàn)錯(cuò)誤或違規(guī)事件，對(duì)IT風(fēng)險(xiǎn)進(jìn)行事

32、前防、事中控制、事后監(jiān)督和糾正的組合控制。IT運(yùn)維審計(jì)作為預(yù)防性控制的有效補(bǔ)充，并檢查、監(jiān)控控制的適當(dāng)性與充分性，在信息科技風(fēng)險(xiǎn)管理中發(fā)揮極重要作用。對(duì)IT系統(tǒng)運(yùn)維進(jìn)行審計(jì)，是控制部風(fēng)險(xiǎn)的一個(gè)重要手段，但大型機(jī)構(gòu)的IT系統(tǒng)構(gòu)成復(fù)雜，操作人員眾多，如何有效地執(zhí)行審計(jì)工作，是長(zhǎng)期困擾各組織信息科技和風(fēng)險(xiǎn)稽核部門的一個(gè)重大課題。對(duì)任意組織而言，采用基于計(jì)算機(jī)的審計(jì)技術(shù)或工具（CAATs, Computer Assisted Audit Techniques/Tools）無疑是實(shí)現(xiàn)監(jiān)管信息化、提升工作績(jī)效的重要途徑。但首先需要解決的問題是：組織需要關(guān)心哪些類型的審計(jì)信息？哪些信息或行為對(duì)組織尤為關(guān)鍵？

33、目前通用的審計(jì)工具大多從網(wǎng)絡(luò)層面或服務(wù)器日志層面獲取較為龐雜的信息，往往會(huì)導(dǎo)致關(guān)鍵的管理信息或敏感操作淹沒于日常業(yè)務(wù)數(shù)據(jù)中，或無法追溯操作行為軌跡、了解操作行為意圖，可能影響審計(jì)的有效性或效率。我們因應(yīng)市場(chǎng)對(duì)IT運(yùn)維審計(jì)的需求，集其多年信息安全領(lǐng)域運(yùn)維管理與安全服務(wù)的經(jīng)驗(yàn)，結(jié)合行業(yè)最佳實(shí)踐與合規(guī)性要求，率先推出基于硬件服務(wù)器平臺(tái)的“安全審計(jì)系統(tǒng)（DCSAS）”，針對(duì)于核心資產(chǎn)的運(yùn)維管理，再現(xiàn)關(guān)鍵行為軌跡，探索操作意圖，集全局實(shí)時(shí)監(jiān)控與敏感過程回放等功能特點(diǎn)，有效解決了信息化監(jiān)管中的一個(gè)核心問題?！鞍踩珜徲?jì)系統(tǒng)（DCSAS）” 目標(biāo)是為組織IT系統(tǒng)核心服務(wù)器的運(yùn)維操作提供強(qiáng)有力的監(jiān)控、審計(jì)手段，

34、使其切實(shí)滿足控管理中的合規(guī)性要求。安全審計(jì)系統(tǒng)（DCSAS）可對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理維護(hù)進(jìn)行安全、有效、直觀的操作審計(jì)，對(duì)策略配置、系統(tǒng)維護(hù)、部訪問等進(jìn)行詳細(xì)的記錄，提供細(xì)粒度的審計(jì)，并支持操作過程的全程回放。安全審計(jì)系統(tǒng)（DCSAS）彌補(bǔ)了傳統(tǒng)審計(jì)系統(tǒng)的不足，將運(yùn)維審計(jì)由事件審計(jì)提升為容審計(jì)，并將身份認(rèn)證、授權(quán)、管理、審計(jì)有機(jī)地結(jié)合，保證只有合法用戶才能使用其擁有運(yùn)維權(quán)限的關(guān)鍵資源。安全審計(jì)系統(tǒng)（DCSAS）為組織在IT操作風(fēng)險(xiǎn)控制、控安全和合規(guī)性等方面提供一套完善、有效的審計(jì)手段。鑒于網(wǎng)絡(luò)與管理架構(gòu)的復(fù)雜性，安全審計(jì)系統(tǒng)（DCSAS）系統(tǒng)提供了靈活的部署方式，既可以采取

35、串連模式，也可以采用單臂模式接入到企業(yè)部網(wǎng)絡(luò)中。采用串連模式部署時(shí)，安全審計(jì)系統(tǒng)（DCSAS）具備一定程度上的網(wǎng)絡(luò)控制的功能，可提高核心服務(wù)器訪問的安全性；采用單臂模式部署時(shí)，不改變網(wǎng)絡(luò)拓?fù)洌惭b調(diào)試過程簡(jiǎn)單，可按照網(wǎng)絡(luò)架構(gòu)的實(shí)際情況靈活接入。圖3.6-1：?jiǎn)伪勰Ｊ浇尤雸D3.6-2：串聯(lián)模式接入無論串連模式還是在單臂模式，通過安全審計(jì)系統(tǒng)（DCSAS）訪問IT基礎(chǔ)服務(wù)資源的操作都將被詳細(xì)的記錄和存儲(chǔ)下來，作為審計(jì)的基礎(chǔ)數(shù)據(jù)。安全審計(jì)系統(tǒng)（DCSAS）的部署不會(huì)對(duì)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)中的數(shù)據(jù)流向、帶寬等重要指標(biāo)產(chǎn)生負(fù)面影響，無需在核心服務(wù)器上安裝任何軟硬件系統(tǒng)。系統(tǒng)特性：完整的身份管理和認(rèn)證為了確保合法用戶才能訪問其擁有權(quán)限的后臺(tái)資源，解決IT系統(tǒng)中普遍存在的交叉運(yùn)維而無法定位到具體人的問題，滿足審計(jì)系統(tǒng)“誰做的”要求，系統(tǒng)提供一套完整的身份管理和認(rèn)證功能。支持靜態(tài)口令、動(dòng)態(tài)口令、LDAP、AD域認(rèn)證方式；支持密碼強(qiáng)度、密碼效期、口令嘗試死鎖、用戶激活等安全管理功能；支持用戶分組管理；支持用戶信息導(dǎo)入導(dǎo)出，方便批量處理。靈活、細(xì)粒度的授權(quán) 系統(tǒng)提供基于用戶、運(yùn)維協(xié)議、目標(biāo)主機(jī)、運(yùn)維時(shí)間段（年、月、日、周、時(shí)間）、會(huì)話時(shí)長(zhǎng)、運(yùn)維客戶端IP等組合的授權(quán)功能，實(shí)現(xiàn)細(xì)粒度授權(quán)功能，滿足用戶實(shí)際授權(quán)的需求。