商業(yè)WiFi解決方案技術建議書

目錄1概述 11.1簡介 11.2運營問題與挑戰(zhàn) 11.3總體設計原則 22需求分析與典型場景 32.1典型場景 32.1.1多場景Wi-Fi覆蓋 32.1.2便捷的網絡接入認證 42.1.3提供實時導航應用 52.1.4市場推廣及精準營銷 62.1.5商場運營&安全管理 72.1.6安全合規(guī)、日志審計 92.2商超ICT建設訴求 93華為商業(yè)Wi-Fi解決方案概述 113.1方案定位 113.2方案概覽 113.3典型組網 124Wi-Fi覆蓋方案 154.1概述 154.1.1AC部署方式 154.1.2AP部署和選型 184.1.3IP地址規(guī)劃 184.1.4SSID規(guī)劃 194.1.5射頻管理規(guī)劃 194.1.6高密覆蓋場景 205用戶認證管理方案 225.1用戶身份驗證方式 225.1.1短信認證 235.1.2Portal認證 245.1.3微信認證 255.1.4APP認證 275.2用戶認證和應用組網 285.3用戶策略管理 305.4海量賬號管理 315.5分組流量控制 325.6終端的精細化管理 346網絡運維方案 356.1WLAN全生命周期管理 356.2掌控網絡eSightMobile 366.2.1業(yè)務監(jiān)控 376.2.2區(qū)域監(jiān)控 376.2.3故障診斷 376.2.4無線網絡評測 386.3用戶資源管理 396.3.1用戶數據管理 396.3.2用戶數據報表 406.4第三方AP管理 416.5SAC智能應用控制 426.6無線安全管理 436.6.1WIDS/WIPS 436.6.2頻譜分析無線干擾源 456.6.3無線釣魚與RougeAP防護 456.7用戶上網行為審計 477安全合規(guī)方案 497.1合規(guī)審計 497.1.1方案一：統(tǒng)一存儲管理 497.1.2方案二：本地存儲管理 517.1.3方案選取建議 517.2安全規(guī)劃 517.2.1有線安全 517.2.2無線空口安全 528eSight無線定位 558.1網絡側定位與終端側定位 558.1.1網絡側定位 558.1.2終端側的定位 558.2Wi-Fi定位 568.2.1定位原理 568.2.2組網架構 578.2.3使用場景 578.2.4推薦部署 588.2.5單AP定位 598.3藍牙定位 598.3.1定位原理 598.3.2組網架構 618.3.3使用場景 618.3.4推薦部署 618.4北向接口 628.4.1整體架構 628.4.2基于eSightWI-FI定位北向接口的應用開發(fā) 628.4.3eSight藍牙定位SDK的二次集成開發(fā) 648.5部署方式 648.5.1定位引擎與eSight服務器同機部署 648.5.2定位引擎與eSight服務器同機部署 648.5.3·定位引擎與eSight服務器分機部署 659設備介紹 669.1WLAN接入控制器 669.1.1AC6605接入控制器 669.1.2AC6005接入控制器 679.1.3AP4030DN&AP4130DN接入點 689.1.4AP4030DN-E接入點 699.1.5AP4030TN接入點 709.1.6AP4050DN-E接入點 719.1.7AP4050DN-HD接入點 729.1.8AP5030DN&AP5130DN接入點 739.1.9AP5030DN-C接入點 759.1.10AP5030DN-S無線接入點 769.1.11AP6050DN&AP6150DN接入點 769.1.12AP6310SN-GN接入點 779.1.13AP7030DE接入點 789.1.14AP7050DN-E接入點 799.1.15AP7050DE接入點 809.1.16AP9330DN接入點 819.1.17AD9430DN中心AP 829.1.18AP9131DN&AP9132DN無線接入點 839.2網管和SDN控制器 849.2.1eSight 849.2.2敏捷控制器 85概述簡介零售業(yè)正處于第三次變革時期，此次變革是基于互聯網、移動互聯網、云計算、大數據推動的全方位的零售革命，通過線上平臺，消費者購物不受時空限制，云計算搜集消費者線上行為并匯總到云端，大數據做深度挖掘，獲取消費者的需求。零售商擁有精準的信息后，便可組織供應鏈資源，滿足消費者的需求。而相對于線上，在商品展示、溝通交流、退換貨服務等方面，線下購物在體驗有無法媲美的優(yōu)勢，消費者線上和線下交叉互動是普遍的購物行為；對于購物中心類的零售業(yè)主，利潤來源主要來自于租賃業(yè)務。如何理解消費者新的購物行為，幫助購物中心品牌改進自己的溝通戰(zhàn)略，在合適的時間地點用對的信息與消費者溝通，在每個觸點,在家，在路上，在店內，都做到令消費者滿意的品牌，才能最終贏得消費者；隨著移動終端的普及，購物中心越來越多通過移動營銷降低消費者信息的獲取成本，提升消費積極性；當消費者來到店內后，為消費者提供個性化的服務、極致的購物體驗提升消費者的購物黏性，進而鼓勵和促進消費者進行社交網絡分享，吸引更多的消費人群，形成傳播＋消費的良性循環(huán)，這種模式已經成為購物中心普遍的發(fā)展趨勢；可以總結為移動營銷、線下體驗、社交傳播的O2O（onlinetooffline）運營模式。運營問題與挑戰(zhàn)

購物中心商業(yè)成功的有三個關鍵因素，移動營銷、極致體驗、高效運營；極致體驗決定消費者在線下購物之后，是否會產生腦海里產生化學反應，成功黏住消費者；購物中心運營方需要和消費者各個接觸點形成及時和有針對性的互動，為消費者提供個性化的體驗，構建有黏性的客戶關系，才能持續(xù)贏得客戶；傳統(tǒng)購物中心在購物體驗存在的一些問題如下：導航：購物中心平面地形通常很復雜，以“迷宮“著稱，顧客在購物過程中尋找目的店鋪花費較多時間，在購物后為找停車位置而煩惱；信息獲?。合M者逛賣場時，希望快捷獲取優(yōu)惠信息，但現在的賣場充斥著各種各樣的信息強制推送給消費者，讓消費者有類似“垃圾短信“的厭倦感；支付：節(jié)假日、人流高峰期經常出現長龍買單現象；休閑：消費者在購物中心要么不能通過WIFI上網，要么連接WIFI上網后不流暢；高效運營面向購物中心業(yè)主方，各個環(huán)節(jié)精益運營，提升工作效率，提高作業(yè)準確性，降低勞動強度，零售業(yè)目前面臨的一些效率問題如下：業(yè)務快速上線周期長：大型賣場的上線周期通常超過一個月；ICT運維效率低下：ICT問題不能提前預警，需要維護人員現場處理，事后沒有記錄閉環(huán)等，都導致運維的效率非常低下；及時準確獲取客流信息，并分析顧客行為越來約關鍵；客流信息是衡量商業(yè)運營狀況的重要指標。通過準確的人流量化數據來研究流量規(guī)律，不但可以了解相關設施在運行中的狀況，還可以利用這些高精度的數據，進行有效的組織運營工作：通過深入的顧客數據研究，可以最大限度地挖掘賣場的銷售潛力，增加銷售機會；同時，對于人流密度較大的區(qū)域采取相應的措施，還可以進行很好的走向引導和安全預警；購物中心越來越希望準確掌握各個商鋪的銷售情況，為租賃業(yè)務提供數據支持；對顧客購物行為跟蹤是另外一個迫切希望獲取的數據，挖掘顧客的關注點和潛在購買意向，為調整銷售策略提供數據支持；移動營銷旨在降低消費者信息獲取成本，提升消費積極性；隨著高速無線網絡和智能設備的普及，消費者越來越依賴移動終端隨時隨地獲取信息，通過移動營銷縮線下門店與消費者的距離，吸引消費者消費是成功的第一步；而目前上線的商城類AppS普遍存在的問題有：信息更新少慢，用戶粘度不足商戶無參與，促銷推廣受商城限制；注冊機制的濫用，不能吸引足夠的流量；缺乏會員專屬體驗沒有打通社交傳播路徑；運維成本高：有線、無線兩張網絡，網絡與業(yè)務信息無法實時直觀體現，運維成本高?？傮w設計原則為了保證用戶的網絡系統(tǒng)具有互操作性和高可靠性，并且易于維護、管理和擴展，全部網絡設備均嚴格執(zhí)行國際標準和業(yè)界標準，以保證采用設備所建立的網絡是一個名副其實的開放的網絡系統(tǒng)，成為用戶信息交換、資源共享的標準平臺。在此基礎上，在方案設計上充分考慮技術發(fā)展的潮流，既兼顧了技術上的成熟性，同時保證了系統(tǒng)的先進性?；跇藴驶脑O計和實現在結構上實現真正開放，基于國際開放式標準，開放的網絡使用戶可以自由地選擇不同廠家的產品，不會受到某些廠家專有標準的限制，最大程度地保護用戶的利益。網絡設備采用標準的接口和規(guī)范和協議，使不同廠家的設備可以順利地連接。高可靠性為了防止局部故障引起整個網絡系統(tǒng)的癱瘓，要避免網絡出現單點失效。在網絡骨干上要提供備份鏈路，提供冗余路由。在網絡設備上要提供冗余配置，保證把局部故障對網絡的影響降低到最小。高性能為了及時、迅速地處理網絡上傳送的數據，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高吞吐能力，滿足各種應用（如：無線語音，視頻會議系統(tǒng)）對網絡帶寬的需求。高安全為了保護用戶在網絡上數據的安全可靠，必須提供多種方式和層次的訪問控制，通過使用VPN、包過濾及防火墻等技術保證數據的安全傳輸。易于安裝、操作和管理良好的組織和管理對網絡的正常運轉和高效使用有很大幫助，網絡應該能夠提供方便、靈活、有力的工具，使得無論是安裝、操作還是使用對用戶來說都輕而易舉?？蓴U展性，具備支持目前及未來關鍵應用的能力隨著用戶應用規(guī)模的不斷擴大，要求網絡可以方便地擴充容量，支持更多的用戶及應用；隨著網絡技術的不斷發(fā)展，網絡必須能夠平滑地過渡到新的技術和設備，保證用戶現有的投資。資源的高效利用合理利用昂貴的廣域網絡資源，在有限的資源下，獲得最大化的服務質量，同時將網絡的運行成本降到最低。需求分析與典型場景典型場景多場景Wi-Fi覆蓋應用場景由于商超存在多場景Wi-Fi覆蓋需求，不僅有單店鋪區(qū)域、走廊及電梯，還可能包含地下停車場、表演廣場等。不同場景下對無線覆蓋的需求各不相同，手工規(guī)劃難度大，難以保證部署質量以及客戶體驗。因此，要想保證商場Wi-Fi帶來良好的使用體驗，無線網絡建設必須全方位考慮不同場景，并使用專業(yè)的規(guī)劃設計工具，以保證后期用戶網絡體驗。解決方案 華為商業(yè)Wi-Fi解決方案針對單店鋪場景、室內高密場景、室外熱點覆蓋場景及定位業(yè)務場景，分別提供了專業(yè)化的無線覆蓋解決方案，全方位保證商超內流暢的Wi-Fi上網體驗。eSight提供專業(yè)的網規(guī)工具，可快速、準確實現AP布放規(guī)劃。便捷的網絡接入認證應用場景顧客進入商場后，想要找到商場提供的免費Wi-Fi網絡，并通過便捷的流程快速接入。解決方案Portal認證是最基本的認證方式之一，在眾多商業(yè)Wi-Fi場景下被廣泛的應用。除提供傳統(tǒng)Portal認證外，還提供微信認證、二維碼掃描認證、第三方賬號認證等多種認證方式。使得用戶在接入Wi-Fi網絡時，可以直接使用已有賬號來接入網絡，免去注冊時的繁瑣操作，大大提高接入Wi-Fi網絡時的易用性，同時吸納大量粉絲，增加商家和顧客之間的粘性。 提供實時導航應用應用場景 購物中心平面地形通常很復雜，以“迷宮“著稱，顧客在購物過程中尋找目的店鋪花費較多時間；在購物后為找停車位置而煩惱。顧客常常產生以下疑問：哪里有空車位？我要找新開的CHANEL專賣店，該怎么走？我所喜愛的餐館在哪里？我車放在地下停車場什么位置？解決方案 eSight無線定位系統(tǒng)提供Wi-Fi定位和藍牙定位功能，并可提供北向接口API給合作伙伴進行對接。由于實時導航類應用對精度和時延有較高要求，推薦使用藍牙方案，由合作伙伴開發(fā)手機APP應用，并集成eSight藍牙定位SDK進行實時位置呈現。 市場推廣及精準營銷應用場景在百貨商場或購物超市，商家需要借助于商場手機App或微信公眾號，第一時間告訴顧客附近有哪些商品在打折，哪些商戶再搞促銷活動，哪些餐館正在發(fā)放優(yōu)惠券等。解決方案 商家通過線上和線下數據分析描繪用戶行為軌跡和屬性，有針對性的推送商家廣告信息，提交營銷效率，降低盲目營銷帶來的成本。簡單聯網服務中快速有效的傳達商家信息至用戶，達到智能移動端最低成本運營和最關鍵有效的商業(yè)信息廣告投放價值。幫助行業(yè)商家快速實現“附近的人“轉化為“門店的人”。當顧客進入某設定區(qū)域時，按照顧客畫像設定推送廣告。商場運營&安全管理應用場景商場希望通過客流量分析、客流密度統(tǒng)計、顧客進店統(tǒng)計等位置信息數據實時掌握商場內運營動態(tài)，分析顧客消費和購物習慣、洞察銷售額變因、提升商場競爭力等。 另外，商場節(jié)假日或互動營銷時容易造成人員大規(guī)模聚集，極易引發(fā)各種公共安全事故。解決方案 用戶行為分析幫助商家量化客流情況、分析人群動線和顧客行為習慣，并據此優(yōu)化定制更多個性化服務商鋪分析幫助商場分析商鋪間關聯關系，比較商鋪間優(yōu)劣勢，分析商鋪經營成敗，調整租金價格等經營優(yōu)化分析分析店鋪經營狀況，分析營銷活動價值，有利于給出提升銷售業(yè)績的科學方法節(jié)能管理根據區(qū)域人流和消費習慣等調整人員設置、燈光強度、音樂類型廣告價值分析分析廣告投放最佳位置、方式和地點，最大化廣告覆蓋范圍公共安全監(jiān)控密切關注人流分布動向，及時采取應對措施，避免可能的公共安全事故，打造“和諧”商場。安全合規(guī)、日志審計應用場景根據公安部82號令，針對酒店、商場、車站等公安重點檢測區(qū)域，用戶上網信息的日志存儲留存需要至少保存60天以上。同時提供多維度的安全措施，保障用戶使用Wi-Fi網絡的安全。解決方案 華為商業(yè)Wi-Fi解決方案通過部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網提供安全保障，同時對Wi-Fi用戶的上網行為進行審計，滿足公安部82號令的審查要求。上網行為審計具體體現在對Wi-Fi用戶上網信息的日志進行存儲，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時間、內外網地址轉換對應關系（NAT溯源）。對于連鎖類或者網絡規(guī)模較大、用戶數較多的場景，建議選擇如下方案，將日志進行統(tǒng)一的存儲和管理。對于單個門店或者單個獨立網絡的場景，如果出于成本考慮可以選擇用戶的日志信息存儲在本地的方案。商超ICT建設訴求針對購物中心業(yè)務發(fā)展的核心需求，ICT建設訴求如下：購物中心無線網絡訴求；無論是消費者在購物中心使用商城AppS，還是購物中心的移動運營、移動辦公都需要部署基礎的WLAN網絡來支撐移動運營；購物中心WLAN網絡部署的要求如下：無線信號賣場全覆蓋，強度不低于-65dB，以保證用戶可穩(wěn)定的使用移動終端聯網；無線網絡系統(tǒng)支持無縫漫游，保證無線網絡在覆蓋區(qū)域應用時的數據不中斷；需要提供安全的認證機制保證信息安全；對注冊會員要保證至少512K帶寬的接入帶寬；無線網絡需提供動態(tài)的基于流量和用戶數量的負載均衡機制，為用戶提供最好的網絡性能；中庭或表演廣場要求不少于同時接入200個移動終端；提供簡單、易用、統(tǒng)一的無線網絡管理平臺；導航服務、軌跡跟蹤訴求購物中心內部結構復雜，為用戶提供個性化的LBS定位導航服務是提升購物體驗的重要一環(huán)，通過WIFI定位技術和智能終端的配合，可提供店鋪導航、尋車、定向營銷等服務；另外，顧客的運動軌跡可以為運營方提供區(qū)域流量、用戶偏好、旺鋪分布等數據；購物中心ICT標準化訴求：為支撐終端接入，并保證安全可靠，需要在購物中心部署多種設備：路由器：廣域網接入，實現與總部的網絡互通；防火墻：網絡攻擊防護，保障互聯網接入安全；上網行為管理網關：保證上網合規(guī)，實現問題回溯和審計；交換機：局域網有線接入；WLAN：局域網無線接入，支撐移動運營；UPS：保證主要設備在停電時能繼續(xù)支持業(yè)務辦理完成；小型機柜：設備可集中放置和管理；購物中心由于沒有統(tǒng)一的建設標準，各種設備選型和規(guī)格各異，很多設備沒有管理接口或者標準不開放，由于沒有專業(yè)IT人員安裝、調試和運維，導致調試效率較低，業(yè)務開通周期較長，且無法統(tǒng)一管理，運維屬于被動救火的狀態(tài)；由于體驗性業(yè)務的豐富，需要更穩(wěn)健的網絡來支撐業(yè)務，訴求如下：VPN廣域接入：支持購物中心與總部的數據中心通過IPSecVPN連接，對業(yè)務數據進行加密傳輸。路由自動切換：出口路由器支持路由自動倒換，無需人工干預;鏈路備份：與總部網絡可部署兩條鏈路進行備份；上網行為管理：支持URL過濾和內容過濾，支持P2P、即時通訊軟件、炒股等軟件的控制。UTM：防火墻應具有UTM功能，可以對內外網攻擊實現有效隔離。局域網接入：支持有線和WLAN無線接入，支持按VLAN進行區(qū)域隔離。UPS需求：滿足在市電停電后，為機柜內設備和部分重要辦公設備提供30分鐘電源供應。華為商業(yè)Wi-Fi解決方案概述方案定位本文檔詳細介紹了商業(yè)Wi-Fi場景下，如何進行網絡部署，如何提升用戶體驗，以及如何利用Wi-Fi網絡來支撐運營活動。使Wi-Fi網絡從傳統(tǒng)的僅用于上網，轉變?yōu)樽學i-Fi網絡在提升用戶體驗的同時，最大程度的為Wi-Fi業(yè)主的商業(yè)運營服務。因此，華為商業(yè)Wi-Fi解決方案有別于傳統(tǒng)的、純粹的網絡方案，致力于提供一整套“可運營”的解決方案。顧名思義，本方案是商業(yè)場景下的Wi-Fi解決方案，主要面向商業(yè)消費的場景，如商場、超市、營業(yè)廳、酒店等場所。區(qū)別于企業(yè)辦公場景，Wi-Fi用戶以訪客身份為主。華為商業(yè)Wi-Fi解決方案的定位如下圖所示，華為與合作伙伴一起來提供整體解決方案、技術和服務支撐，滿足多場景下商業(yè)Wi-Fi運營的需要。方案概覽華為商業(yè)Wi-Fi解決方案將“提升用戶體驗”和“運營增值”做為Wi-Fi網絡建設的兩個核心目標。圍繞這兩個核心目標，華為商業(yè)Wi-Fi解決方案提供了一系列的子方案，詳細如下表所示：核心目標說明目標一：提升用戶體驗提供多場景下的Wi-Fi覆蓋方案，滿足不同場景下的Wi-Fi覆蓋的需求，如高密需求、酒店分布式部署的需求。除提供傳統(tǒng)Portal認證外，還提供微信認證、二維碼掃描認證、第三方賬號認證等多種認證方式。使得用戶在接入Wi-Fi網絡時，可以直接使用已有賬號來接入網絡，免去注冊時的繁瑣操作，大大提高接入Wi-Fi網絡時的易用性。目標二：運營增值提供無線定位功能，滿足客流分析、店鋪導航、逆向尋車、定向營銷、特殊人員或貴重物品跟蹤的需要。提供用戶數據分析和精準廣告營銷功能。通過線上和線下數據分析描繪用戶行為軌跡和屬性，有針對性的推送商家廣告信息，提高營銷效率，降低盲目營銷帶來的成本。1、提供合規(guī)審計方案，滿足有關部門合規(guī)審計的要求（公安部82號令）。2、提供多維度的安全措施，保障用戶接入Wi-Fi網絡時的安全，讓用戶放心的接入使用Wi-Fi網絡。說明：關于各子方案的詳細介紹，請參見后續(xù)章節(jié)。典型組網商業(yè)Wi-Fi場景下的典型組網通常分為獨立型和連鎖型，其示意圖分別如下所示。其中，服務器區(qū)用于部署運營和管理系統(tǒng)。Wi-Fi覆蓋方案概述華為商業(yè)Wi-Fi解決方案提供多種Wi-Fi覆蓋方式，滿足多場景下的Wi-Fi覆蓋需求，實現無線信號全覆蓋，信號無死角。場景部署方案設備選型比較小的房間,數量較多并集中，如酒店客房、醫(yī)院病房推薦敏捷分布式部署方式，每個樓層豎井布放中心AP，每個房間放置一個入室AP。中心AP、遠端射頻模塊走廊樓道A.狹長樓道用放裝式AP定向天線方式；B.短小樓道用放裝式AP全向天線，適當調低AP功率。放裝型AP電梯間部署外置天線放裝型AP，轎廂內人數低，單AP滿足容量需求。外置天線放裝型AP會議廳、宴會廳、大堂放裝式AP，根據面積大小決定使用AP個數。放裝型AP室外A.室外型放裝式AP，適合輻射距離遠，外掛防水防雷；B.室內放裝式AP，適合門口10米內。室外型AP其中，敏捷分布式方案是華為最新一代分布式Wi-Fi方案，能夠有效降低部署和管理的成本，提高管理效率。除此之外華為的高密接入技術，能夠滿足商業(yè)Wi-Fi客流量較大區(qū)域的接入需求，保障用戶能夠有效的接入Wi-Fi。下文將分別對這兩種方案進行詳細介紹。AC部署方式根據AC的部署方式，網絡可分為集中式AC部署和分布式AC部署。集中式AC和分布式AC部署集中式AC部署集中式AC部署是指整個網絡中集中部署AC設備（通常是獨立的AC設備），來控制和管理整網的AP設備。AC的部署可以采用直路（直接部署在AP和匯聚/核心交換機之間）或旁掛方式（旁掛在匯聚/核心交換機旁側）。分布式AC部署分布式AC部署是指網絡中分區(qū)域采用多個AC設備，分別對本區(qū)域的AP設備進行管理。對于購物中心的無線網絡規(guī)劃，建議采用集中式AC管理模式，通過跨廣域網管理AP，可最大限度節(jié)約建網成本；AC旁掛與AC直路AC旁掛旁掛方式是指將AC部署在用戶網關設備（匯聚或核心交換機）一側，實現對用戶網關設備下所有AP的管理。旁掛方式主要用于原有網絡匯聚/核心設備非華為設備的場景，如購物中心僅進行無線改造，不考慮替換原有非華為網關設備，則可采用旁掛方式。AC直路直路方式是指將AC部署在AP與用戶網關設備（匯聚或核心交換機）之間，實現對下轄所有AP的管理。直路方式主要用于原有網絡匯聚/核心設備為華為設備的場景。本地轉發(fā)與集中轉發(fā)轉發(fā)模式主要是AP針對用戶數據可以有不同的轉發(fā)處理方式本地轉發(fā)又稱直接轉發(fā)，是指AP上對用戶數據由本地轉發(fā)到網絡上層，不經過AC處理，AC只對AP進行管理。而AP管理流封裝在CAPWAP隧道中，到達AC終止。集中轉發(fā)也稱作隧道轉發(fā)。業(yè)務數據報文由AP統(tǒng)一封裝后到達AC實現轉發(fā)，AC不但進行對AP管理，還作為AP流量的轉發(fā)中樞。即AP管理流與數據流都封裝在CAPWAP隧道中到達AC。AC雙機熱備AC1+1備份指同一業(yè)務在兩臺AC設備上相互進行備份，AC上涉及的熱備的業(yè)務有用戶接入認證、WLAN組件等，上線用戶的信息的任何改變，都會及時保存在兩臺AC設備上，這樣當其中一個AC設備、或AP與AC間物理鏈路發(fā)生故障時，用戶不需要重新進行認證或關聯，其業(yè)務被自動切換到另一臺設備上，并在用戶可接受的時延下，迅速恢復。如上圖所示，AC1與AC2之間建立一個熱備通道。當AC1出現以下情況時：AC1整機復位AC1的上行鏈路downAC1與AP間鏈路down此時可以通過雙機熱備機制，快速將用戶認證信息、以及用戶流量切換到AC2，這樣用戶不需要重新認證上線。AC旁掛的場景，用戶的業(yè)務不受影響；用戶業(yè)務流量經過AC的場景，用戶的業(yè)務能夠經過很短的時延后，迅速恢復AP部署和選型在購物中心的無線網絡建設中，建議采用放裝部署和室分部署兩種方式。其中放裝部署方式是將AP直接部署在覆蓋區(qū)域，適用于較大開放空間、人員密集的區(qū)域，例如像開放賣場環(huán)境；室分部署是將無線信號通過功分器設備，分為多路信號，通過室分天線進行無線覆蓋，適用于小型場所，例如較大購物中心的辦公式環(huán)境。AP根據部署方式和雙/單頻兩個方面進行選型：根據部署方式選擇：放裝部署方式：應選擇內置天線室內型AP，例如AP5010、AP6010；室分部署方式：應選用外置天線室內型AP，例如AP6310；根據頻率選擇：放裝型AP：提供賣場開放區(qū)域的無線覆蓋，這類區(qū)域人員容易集中，接入數量多，終端類型多樣，有些只能支持2.4GHz頻段，有些則同時支持2.4GHz和5.8GHz，為保證無線網絡性能，因此宜選擇雙頻模式的無線AP，這樣可以通過ONLY模式將802.11n限定在5.8GHz頻段，其余均工作在2.4Ghz頻段；室分型AP：提供辦公區(qū)的無線覆蓋，覆蓋區(qū)域內接入數量少，因此無需考慮是否需要采用ONLY模式，從成本角度出發(fā)，建議采用單頻AP。IP地址規(guī)劃AC的IP地址AC用于管理AP，IP地址一般通過靜態(tài)手工配置；AP的IP地址AP的IP地址分配如果采用靜態(tài)分配，由于購物中心AP數量較多，配置工作量大，且容易沖突、不易于控制，所以不建議使用，建議使用DHCP動態(tài)分配;華為的AC內置DHCP服務功能，如購物中心網絡系統(tǒng)本身已部署DHCP服務器，則建議采用原有DHCP服務器做，否則建議啟用華為ACDHCP服務功能，可降低單獨部署DHCP服務器成本；無線終端/用戶的IP地址移動用戶通過DHCP動態(tài)分配IP地址，不建議靜態(tài)配置；FITAP架構下的WLAN網絡中，FITAP為零配置，當FITAP部署到網絡的時候，AP需要去找到相應的AC，并從AC上下載其配置。建議采用如下兩種方式:通過DHCPOption43發(fā)現AC當DHCPServer配置了Option43，它給AP分配IP時，在DHCPOffer報文中同時會將此屬性告知AP；通過DNS發(fā)現AC需要在網絡中部署了DNSServer，在DHCPServer上配置DNSServerIP地址以及AC的域名。當AP通過DHCP服務器獲取IP地址時，DHCPServer會在DHCPOffer報文中將DNS服務器IP地址（Option6）和AC域名（Option15）告知AP，在AP獲取到IP地址后，則通過DNS服務器解析到AC的IP，從而實現對AC的發(fā)現和關聯；SSID規(guī)劃SSID的劃分華為單頻AP可支持16個SSID，雙頻AP可支持32個SSID。通過配置多個SSID，可以將一個AP劃分為多個VAP（VirtualAccessPoint），每一個SSID對應一個VAP，AC針對VAP進行策略下發(fā)，VAP根據策略進行終端與業(yè)務管理購物中心WLAN網絡的接入角色和業(yè)務類型，一般需要三個SSID：經營、辦公；顧客訪客，為了保證VIP客戶得到高質量的網絡服務，可劃分VIP用戶SSID；SSID映射以太網中的VLAN無線SSID與業(yè)務VLAN有如下四種映射關系：SSID:VLAN=1:1部署SSID:VLAN=1:N部署SSID:VLAN=N:1部署SSID:VLAN=N:N部署SSID需要分別與辦公和經營、顧客VLAN進行映射。射頻管理規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網絡設計中的重要一環(huán)，無線網絡必須對WLAN信道進行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網絡的帶寬、無線網絡的性能、無線網絡的擴展以及無線網絡的抗干擾能力，也必將直接影響到無線網絡的用戶體驗。射頻信道劃分WLAN系統(tǒng)主要應用于兩個頻段：2.4GHz和5.0GHz。2.4GHz頻段信道劃分：2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號1～14。HT20信道劃分：信道帶寬為20M，在該模式下，一般選取1、6、11三個不重疊信道，頻率規(guī)劃可用頻點只有3個。HT40信道劃分：信道帶寬為40M，受頻率限制，只支持一個不重疊信道。5.0GHz頻段信道劃分：5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。HT20信道劃分：不重疊信道在5.15～5.35GHz頻段有8個，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個，分別為149、153、157、161。HT40信道劃分：在該模式下，這兩段頻譜的可用信道分別為4個和2個。AP支持手動和自動兩種方式設置工作信道。設置為自動方式后，一旦檢測到信道沖突AP具有信道自動調整功能，建議AP采用自動設置工作信道方式，避免手動設置后一旦信道沖突將導致無法切換信道的問題。信道自動掃描功能：采用信道自動掃描功能，自動探測周邊的AP、使用的信道及干擾，結果上報AC，觸發(fā)信道調整。射頻信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。根據覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號相互干擾；一般情況單獨使用2.4G或5.0G的頻段，對于高密度接入的場所，可以啟用雙頻進行覆蓋，以便提供更好的接入能力。高密覆蓋場景購物中心節(jié)假日中庭或演播廳的高密人群無線信號的接入，有如下需求：至少保證500用戶都能關聯WIFI，通過DHCP獲取到IP地址；保證200個用戶并發(fā)使用WIFI網絡。帶寬要求至少保證512K/人。高密場景下的方案建議：采用雙頻AP，配置5G優(yōu)先。通常情況下，5G的性能要比2.4G好的多。在高密度用戶或者2.4G干擾較為嚴重的環(huán)境中，充分利用5G頻段可以更好的提供接入能力以及容量，并且減少干擾對用戶體驗的影響。單AP配置最大規(guī)格WIFI的并發(fā)用戶數為40，每射頻上并發(fā)用戶數為20。按照微信、微博等應用的業(yè)務帶寬為512K左右進行配置。保證充分的帶寬余量。配置AP之間的負載均衡。動態(tài)調整在線上網用戶，即當在線上網用戶一段時間內（長短可以設置）業(yè)務流量為0時，強制將其下線，允許其他有上網需求的用戶訪問網絡。中庭或表演廣場需要部署的AP數量，按照計算為：200/40*120%=6個用戶認證管理方案在商業(yè)Wi-Fi市場，大量用戶接入網絡，蘊含著大量的廣告機會。最常用的廣告方式是在用戶接入Wi-Fi網絡時的Portal認證頁面上進行廣告推送，或者讓用戶關注企業(yè)的微信公眾號達到粉絲經營、后續(xù)營銷的目的。華為商業(yè)Wi-Fi解決方案采用AgileController提供多種認證方案，滿足不同場景下的需要，包括：Portal認證、微信認證、掃描二維碼認證以及第三方賬號認證。用戶身份驗證方式WLAN無線空口認證主要方式有開放系統(tǒng)認證（Open-systemAuthentication）、WEP、WPA1/WPA2和WAPI四種。OPEN和WEP方式是簡單的物理層認證方式，安全性較差，WPA1/WPA2和WAPI方式除了物理層認證之外還增加了用戶認證的鑒定，安全性更高。開放系統(tǒng)認證是IEEE802.11標準要求必備的一種方法，是最簡單的認證算法，即不認證。如果認證類型設置為開放系統(tǒng)認證，則所有請求認證的客戶端都會通過認證。在這種方式下，所有符合802.11標準的終端都可以接入到WLAN網絡中來。開放系統(tǒng)身份驗證比較適合有眾多用戶的電信運營WLAN網絡。用戶身份認證，其通過提供有限的訪問權限來驗證用戶身份，只有確定用戶身份后才給予完整的網絡訪問權限，可有效判別用戶的合法性。WLAN的鏈路層身份驗證主要有Portal(DHCP+WEB)、MAC、802.1X、WAPI等幾種認證方式，可以根據具體情況選擇，可以配合網絡層認證使用。WLAN無線線網絡用戶認證方式通過采取以下幾種組合，具體如下表所示。認證組合應用情況Open+Portal主流應用，運營商網絡WLAN網絡Open+Portal+MAC主流應用，是Open+Portal認證的衍生方式WEP+Portal基本沒有應用，維護WEP密碼麻煩WEP+802.1X早期EAP-SIM認證方式，運營商WLAN分擔2G/3G流量場景WPA/WPA2-PSK+Portal基本沒有應用，維護WEP密碼麻煩WPA1/WPA2+802.1X主流應用，學校，企業(yè)，醫(yī)院，政府等企業(yè)網大量使用。WAPIPSK沒有使用WAPI沒有使用針對“商超”項目，面向政府或企事業(yè)單位職員的認證推薦使用WPA2+802.1X的方式，確保數據的安全和可靠；面向普通市民的認證方式推薦Open+Portal+MAC的方式，方便實現身份鑒定，方便開展增值業(yè)務。這種認證方式只需要在第一次接入WI-FI時通過Portal網頁進行認證，以后市民再連接WI-FI時就無需輸入用戶名密碼，方便快捷（免認證的時間，可以同配置）。對于臨時訪客和游客，可以采取限時訪問的方式，這種模式下用戶每次登錄只能允許有一定時間的訪問網絡權限，超時后必須重新登錄。登錄口令可以通過短信，微信，APP客戶端的方式下發(fā)（APP客戶端認證方式需要對接和開發(fā)）。短信認證短信認證是一種最常見的訪客接入認證方式。采用短信認證方案時，訪客將其手機號作為認證的賬號進行注冊，在接受到提示密碼的短信后再進行認證。短信認證流程如下圖所示：如上圖所示，短信認證的流程如下：訪客接入無線Wi-Fi后，系統(tǒng)推送Portal認證頁面。若用戶第一次接入則直接輸出其手機號，申請獲取密碼Controller服務器接收到訪客的注冊申請后，根據管理員設置的密碼策略自動隨機算出臨時密碼Controller服務器調用第三方短信網關接口，將訪客的手機號、短信認證的臨時密碼發(fā)送給短信網關第三方短信網關發(fā)送臨時密碼到訪客的手機號上訪客獲取到短信后，按照短信提示在Portal認證頁面上輸出其臨時密碼，認證通過后即可接入網絡說明，相對于傳統(tǒng)的短信貓，短信網關具有兼容性好（中國地區(qū)三家電信運營商手機能可發(fā)送短信）、短信發(fā)送速度快（100條/秒左右）、短信發(fā)送的穩(wěn)定性好、費用便宜等優(yōu)點。推薦的第三方短信網關廠家包括：浙江筑望、和佳匯智、若雅MAS、深圳嘉訊等。其他支持HTTPS、Webservice接口的短信網關原則上也能支持。Portal認證Portal認證是最基本的認證方式之一，在眾多商業(yè)Wi-Fi場景下被廣泛的應用。AgileController的Portal認證功能在提供認證的同時，主要從以下幾個方面來提升網絡維護者的工作量，提高Wi-Fi接入用戶認證時的易用性。 完善的Portal頁面定制流程，助力企業(yè)品牌提升完整的頁面流程：登錄頁面->登錄成功頁面，注冊頁面->注冊成功頁面，用戶須知頁面。Phone/PC/PAD終端自適應：自動識別終端類型，合理展示推送頁面。用戶自定義定制：提供基于HTML編輯的圖形化編輯功能，支持圖片輪播、拖拽編輯、附件下載等高級操作。內置多套系統(tǒng)模板：匿名認證模板、第三方應用模板、短信注冊模板，一鍵認證模板等，可根據場景需要自由選擇。內置多種語言：簡體中文，繁體中文，英語，德語，西班牙語，葡萄牙語，法語，可擴展支持其他語言。訪客自注冊訪客帳號支持訪客通過訪問注冊頁面，填寫注冊所需的參數，自行申請訪客帳號。支持多種訪客帳號通知方式：WEB通知、Email通知、短信通知。Portal界面靈活推送，資訊推送更加精細化可基于位置（SSID和AP）的頁面推送不同的頁面?？苫诮K端IP和終端類型的頁面推送不同的頁面?？苫跁r間段推送不同的頁面。智能終端無感知認證，實現一次認證，多次接入終端首次接入采用Portal+MAC認證，后續(xù)自動使用MAC認證。微信認證隨著移動互聯網的興起，大規(guī)模開放無線網絡中，訪客的快速認證是近年來的研究熱點?；谖⑿殴娖脚_實現無線網訪客的認證，訪客只需關注公眾賬號，即可在公眾平臺實現身份認證、獲取默認權限、訪問網絡資源；然后利用公眾平臺與Controller服務器聯動，對訪客進行角色、策略和行為審計等管理功能，拓展微信公眾平臺為訪客提供無縫的服務功能。根據客戶擁有的微信公眾賬號的類別和功能需求，可以采用不同的微信認證方案，在微信公眾平臺通過編輯模式配置實現微信認證、在微信公眾平臺通過開發(fā)者模式配置實現微信認證。兩種方案只能選擇一種，不能同時使用。模式是否需要搭建單獨的微信公眾平臺服務器安全性微信免認證取消關注強制下線微信認證綁定手機號碼編輯模式不需要低支持，但不支持取消關注后免認證失效不支持不支持開發(fā)者模式需要高，可通過認證密鑰對認證鏈接加密支持支持支持如上表所示，編輯者模式下微信公眾號雖然不需要在本地增加獨立的平臺服務器，微信認證方案的部署交付也比較簡單，但是當用戶關注微信公眾號接入往后再取消關注并不能及時強制用戶下線，也不支持綁定手機號。因此若對這些方面有要求的話，建議使用開發(fā)者模式部署微信認證方案。微信認證部署方案如下圖所示：微信認證流程：1）用戶連接SSID。2）終端自動向AC發(fā)送HTTP連接請求。3）AC發(fā)現用戶未認證，將URL地址重定向到Portal服務器。4）終端訪問重定向的URL。5）Portal服務器向終端推送Portal認證頁面。6）用戶單擊認證頁面上的“微信認證”按鈕。7）Controller的Portal服務器和微信公眾平臺之間交互微信連Wi-Fi的信息（校驗AppID和AppSecret），獲取呼起終端本地微信APP程序的ticket。8）瀏覽器自動呼起終端本地微信APP，微信公眾平臺校驗終端用戶微信連Wi-Fi注冊信息和ticket。9）校驗通過后返回給終端用戶微信連Wi-Fi頁面，攜帶用戶身份信息（OpenID）。10）用戶單擊“立即連接”，連接成功后，單擊“完成”，觸發(fā)Portal認證。11）觸發(fā)Portal認證的目的是保證用戶在Controller和AC上線，獲得上網權限，單擊“完成”按鈕相當于觸發(fā)了一個URL地址。此URL地址為微信連Wi-Fi管理員在微信連Wi-Fi助手中配置的自定義商家主頁的URL地址：http://認證后域的任意IP地址/域名?wxauth=1&wxtoken=[TOKEN]。12）AC檢測到用戶未認證，將用戶URL重定向到Portal服務器。13）用戶終端訪問重定向的URL。14）Controller服務器校驗認證URL中包含的參數[TOKEN]，與AC之間完成Portal認證和RADIUS認證的過程。15）將認證結果返回給終端用戶，認證成功后，顯示管理員定制的認證成功頁面。16）認證成功，終端用戶正常訪問網絡。APP認證APP認證是一種新的認證方式，可自己開發(fā)APP，集成廣告、新聞、多媒體、互動等應用，擴大企業(yè)影響力。為了使APP推廣更迅速，建議將APP與無線Wi-Fi的接入認證結合起來，無線接入的用戶通過APP進行認證。APP認證如下圖所示：如上圖所示，Controller提供Portal認證的對外接口，第三方APP可調用該接口進行認證，APP后臺需定時與Controller進行心跳?；睿员３謺挔顟B(tài)，超時用戶將下線。Controller提供用戶注冊管理北向接口，用戶可在APP上完成賬號注冊、用戶信息修改、密碼重置等功能。用戶認證和應用組網根據業(yè)務需求，華為無線WLAN網絡可以采取本地轉發(fā)-本地認證、集中轉發(fā)-集中認證、集中認證-本地轉發(fā)三種模式。本地轉發(fā)-本地認證模式業(yè)務流程如下圖所示。在本地轉發(fā)模式下，認證控制點在AP上行的switch設備，只有AC與AP之間的控制報文走CAPWAP隧道，STA認證報文（如802.1X、Portal認證）和認證后的STA業(yè)務數據報文經AP直接轉發(fā)，不通過隧道。在這種模式下，由于802.1X認證基于二層應用EAP協議，無法穿越三層，因此STA與認證控制點之間必須是二層網絡。這種模式，由于控制點不集中導致設備成本高，管理維護復雜，且AC無法實現對無線接入用戶的集中控制（例如訪問資源的權限、隔離、限速等）。這種方式，通常應用在，不需要區(qū)分無線用戶和有線用戶，無線網絡就是有線網絡延伸的場景。例如：園區(qū)總部，部分交換機下接AP，解決交換機端口過少且只能連接有線用戶的問題。集中轉發(fā)-集中認證模式業(yè)務流程如下圖所示。在集中轉發(fā)模式下，認證控制點在AC設備，AC與AP之間的控制報文、STA認證報文（如802.1X、Portal認證）、認證后的STA業(yè)務數據報文全部走CAPWAP隧道。在這種模式下，所有數據都走隧道，安全性相對較高，AC可以對無線用戶的集中控制，無線網絡部署時不需要考慮有線網絡的結構，無線網絡單獨規(guī)劃VLAN，運維便捷。這種模式主要應用，總部園區(qū)有線網的基礎上，新建一張無線網絡，有線用戶和無線用戶要求區(qū)別對待。集中認證-本地轉發(fā)模式業(yè)務流程如下圖所示。認證控制點在AC設備，通過配置抓取STA認證報文（如802.1X、Portal認證）進入CAPWAP隧道，上送到AC設備，完成認證過程。認證后的STA業(yè)務數據報文不通過隧道，經AP直接轉發(fā)。在這種模式下，能夠實現在AC上對無線用戶的集中接入控制功能，并且通過控制隧道，將Radius授權下發(fā)到各AP設備，提升網絡安全性。這種認證方式主要應用在AC部署在總部，AP放在各個分支的場景。針對“商超”項目，市政府集中辦公區(qū)、機場、火車站、圖書館、醫(yī)院等AP規(guī)模較大的場景，推薦集中認證-集中轉發(fā)模式；公交站臺、獨立商戶等AP規(guī)模較小的分支場景，推薦使用集中認證-本地轉發(fā)。這里所講的“集中認證”指的是無線用戶的認證網關集中到AC上認證，不是AAA系統(tǒng)。用戶策略管理用戶策略是指用戶認證通過后，基于用戶角色對可訪問網絡資源進行的安全控制。通過AAA服務器下發(fā)的用戶策略稱為動態(tài)授權，從授權維度來看，動態(tài)授權主要有三種類型：動態(tài)VLAN、動態(tài)ACL和動態(tài)用戶組授權。動態(tài)VLAN授權：動態(tài)VLAN授權通過切換VLAN的方式改變用戶的權限，不同VLAN的權限控制可通過在認證網關設備上部署ACL實現。動態(tài)VLAN授權方式部署簡單，維護成本也較低，但相對而言，其控制粒度在VLAN層面，適用于在同一辦公室或同一部門所有人員權限相同的場景。動態(tài)ACL授權：動態(tài)ACL授權需要AAA服務器下發(fā)ACL給認證網關設備，實現對用戶訪問權限的控制。動態(tài)ACL授權方式能做到最大程度的權限控制，可以分別對每個用戶權限精細控制。由于受設備ACL規(guī)格的限制，這種方式只能適應于少量人員，無法實現大范圍的部署，例如部門經理或者領導等。動態(tài)用戶組授權：用戶組是用戶的策略屬性，動態(tài)用戶組授權需要AAA服務器指定每個用戶對應的用戶組名稱，實現基于用戶組的策略控制。當用戶上線時，AAA服務器可直接下發(fā)用戶組名稱到準入設備上，準入設備基于配置的用戶組策略屬性，下發(fā)安全策略。通過用戶組對用戶實施端到端的策略管理，授權用戶組取代傳統(tǒng)授權VLAN或者ACL等模式，在用戶上線時，服務器只需下發(fā)用戶組名稱，方便網絡部署；多用戶基于用戶組共享資源，在網關設備上，ACL規(guī)格不會成為用戶管理瓶頸。用戶在線CoA授權：CoA授權是指用戶在線情況下，在AAA服務器上重新設置用戶帶寬等策略屬性值，AAA服務器通過RADIUS報文下發(fā)給認證網關，認證網關設備實時更新在線用戶的授權信息。所以，在“商超”實際網絡規(guī)劃中，推薦使用基于動態(tài)用戶組+COA授權方式，快速便捷的管理無線用戶。為了滿足不管用戶身處何地、使用哪個IP地址，都可以保證該用戶獲得相同的網絡訪問策略，華為在敏捷網絡解決方案中推出了業(yè)務隨行特性，該特性非常適合“商超”場景，具體如下圖所示。1、管理員在控制器中創(chuàng)建用戶賬號、用戶組，同時將用戶賬號加入其所屬的用戶組，然后為用戶統(tǒng)一定義基于用戶組的網絡訪問策略（即用戶組策略）。2、敏捷交換機（自帶隨板AC）作為策略執(zhí)行點和準入認證點設備，和Controller建立關聯后，控制器將管理員配置的網絡訪問策略下發(fā)給所有關聯的設備上，在執(zhí)行策略的設備上生成基于用戶組的業(yè)務模板。3、用戶啟動認證，在認證過程中，控制器根據用戶的登錄信息，將其與用戶組關聯。認證成功后，控制器將該用戶所屬用戶組下發(fā)給敏捷交換機。4、在敏捷交換機上，基于AgileController下發(fā)的用戶組信息，實施UCL策略控制，限制訪問資源權限、用戶帶寬等策略。5、用戶在“商超”的任何地方登陸，由于準入設備（PEP）都預置了業(yè)務策略，用戶重新認證上線后，可具有一致的網絡訪問策略，實現業(yè)務隨行。海量賬號管理華為AgileController系統(tǒng)提供訪客賬號的全生命周期管理功能，對于商超中的海量用戶，可作為訪客來進行管理。用戶可自助注冊賬號，賬號密碼第一時間短信下發(fā)，并可定期自動清理僵尸賬號，簡化了海量用戶管理的復雜度，提升管理效率。同時，AgileController系統(tǒng)還提供多種賬號管理方式，供運維人員靈活選擇。分組流量控制購物中心針對VIP客戶、普通客戶、商鋪以及業(yè)主辦公有分組流量控制的需求，通過控制不同帶寬來滿足高端用戶(如VIP、員工)的需求。比如：經營、辦公用戶接入至少2M帶寬；普通顧客512K帶寬（可滿足微博、微信、QQ等業(yè)務需要）；VIP用戶3M帶寬。具體設計點：建立分組流量模型，舉例如下SSID群組流量Retailer_SSIDV12MOffice_SSIDV22MGuest_SSIDP512KGuest_SSIDV33M建立用戶組和流量組之間關系：如果需要對VIP客戶進行區(qū)分，需要連鎖企業(yè)的CRM系統(tǒng)和PolicyCenter的RaduisServer進行對接，同步用戶組，建立實際用戶組和流量群組的關系；RaduisServer群組信息，選擇流控組，向AC下發(fā)號碼流控組，由AC控制對應的流量模型。終端的精細化管理終端類型識別是指AC通過對用戶發(fā)送的報文中的字段的特征進行分析，包括MAC、用戶代理UA（UserAgent）和DHCPOption信息，識別出終端類型。AC可以識別出用戶接入內部網絡的設備類型，以控制某些指定移動設備的接入，實現基于用戶、設備類型、接入時間、接入地點、設備環(huán)境的認證和授權，實現精細化的管控。具體原理如下圖所示。網絡運維方案隨著網絡規(guī)模的不斷增長、網絡應用的不斷推廣，大量的多業(yè)務路由器、網關、WLANAP等終端接入設備被廣泛的應用于網絡。帶來IT&IP設備日益增多，業(yè)務越來越多樣化，用戶面對網絡管理和運維中遇到的問題和挑戰(zhàn)，需要一套高效、統(tǒng)一的網管進行支撐。eSight是華為面向企業(yè)網管理推出的新一代面向企業(yè)園區(qū)和分支網絡管理系統(tǒng)，實現對企業(yè)資源、業(yè)務、用戶的統(tǒng)一管理以及智能聯動。eSight支持對IT&IP，以及第三方設備的統(tǒng)一管理，同時提供靈活的開放平臺，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎。WLAN全生命周期管理“商超”網絡中，AC、AP部署分散，尤其AP數目眾多，運維成本高、難度大。為了解決對WLAN網絡中設備集中管理和對WLAN網絡的可視化監(jiān)控，eSight推出WLAN管理組件解決這一運維難題。eSightWLAN管理在網絡規(guī)劃中提供一鍵式導入完成AP規(guī)劃至監(jiān)控的轉化，極大提升了效率。在配置部署中提供簡潔的矩陣配置幫助用戶端到端、批量、有序、快速完成業(yè)務部署。在區(qū)域監(jiān)控中提供整體到局部的用戶體驗監(jiān)控，在底層拓撲查看射頻信號覆蓋情況。在故障診斷中提供故障通知、故障排查、故障處理的有效手段，幫助快速有效的發(fā)現問題、解決問題。WLAN網絡管理特點：簡單快速的業(yè)務部署向導式配置的業(yè)務部署以及基于表單AP導入，可加速WLAN的業(yè)務部署。通過對華為AC設備的管理，實現對WLAN業(yè)務的配置功能。AP的信息都配置在AC上，當AP上線建立隧道后從AC獲取信息。業(yè)務拓撲和位置拓撲，方便用戶對WLAN網絡中設備進行可視化監(jiān)控和集中管理業(yè)務拓撲：展現AC、AP、STA之間連接關系查看，并示意RogueAP的存在；支持AP、AC、STA、RogueAP詳細信息查看；并提供無線業(yè)務的故障診斷能力。位置拓撲：查看當前熱點位置及射頻信號覆蓋范圍并在視圖上標識當前非法AP位置及沖突域。顏色表示不同的頻段，深淺表示信號的范圍，紅色顯示沖突域。AP故障快速恢復能力，提供批量恢復AP的出廠設置、批量重啟AP以及AP替換的功能AP出現異常或在WLAN網絡的調試過程中，用戶可以通過網管遠程批量恢復AP的出廠設置。AP升級完成后或在WLAN網絡的調試過程中，用戶可以通過網管遠程批量重啟AP。AP出現硬件故障需要替換時，用戶可以通過網管替換新AP，快速保證AP替換后業(yè)務不變。多樣式資源統(tǒng)計，滿足運維需求全網資源統(tǒng)計：全網用戶在線趨勢圖、TOP5用戶接入FitAP、TOP5用戶接入SSID、TOP5重點關注的設備告警列表、全網物理資源統(tǒng)計?；贏C資源統(tǒng)計：根據AC統(tǒng)計用戶在線趨勢圖、AP信息、域信息、ACTOP5告警?；贏P資源統(tǒng)計：根據AP統(tǒng)計TOP5告警、當前AP性能KPI（AP關聯終端數、AP物理屬性、AP流量、射頻流量等）?；赟SID資源統(tǒng)計：根據SSID統(tǒng)計AP、VAP、接入終端數?；趨^(qū)域與位置資源統(tǒng)計：根據區(qū)域與位置統(tǒng)計AP總數、AP在線總數、STA在線總線。掌控網絡eSightMobileeSightMobile移動網管系統(tǒng)主要滿足“商超”的網絡運維人員基于手機管理WLAN網絡，對巡檢片區(qū)的WLAN網絡健康度關鍵指標進行排查，如用戶掉線或接入異?，F場周邊AP的信道分布、接入用戶數、5G占比、同頻干擾、終端接入信號強度和信噪比分析；或運維人員不在eSight旁邊時能隨時查看“商超”中WLAN網絡狀態(tài)。即實現WLAN網絡設備健康度監(jiān)控，支持運維人員隨時隨地獲悉網絡的健康度、診斷用戶問題。手機口袋網管，幫助“商超”中網絡運維人員隨時隨地的掌控網絡。業(yè)務監(jiān)控移動App讓“商超”中網絡管理員隨時隨地監(jiān)控網絡，無需總帶著便攜或者坐到辦公位，極大地提升了運維效率。區(qū)域監(jiān)控移動App讓“商超”中網絡管理員隨時隨地對自己關注的區(qū)域網絡進行監(jiān)控，極大地提升了運維效率。故障診斷“商超”中網絡管理員接到用戶報障電話后，只須在故障診斷App中搜索該用戶進行診斷即可獲取到用戶故障的相關信息并給出解決建議。無線網絡評測利用eSightMobile的無線網絡評測功能，可以用于進行對當前終端連接的無線網絡狀況的評測。快速檢測功能，會對網絡整體狀況進行評分，網絡管理員也可以進行深度檢測，查看網絡各個指標的詳細數據，同時，可以查看保存的檢測記錄，導出檢測記錄等功能。用于指導網絡管理員進行網絡調優(yōu)深度檢測查看各指標詳細數據深度檢測查看各指標詳細數據指標設置檢測記錄的查看和導出指標設置檢測記錄的查看和導出導出報告導出報告用戶資源管理用戶資源是“商超”中最重要的資源，如何管理整個商超中的用戶資源是一個極具挑戰(zhàn)的工作，因為商超中的用戶數量、信息量巨大，要詳細了解接入用戶的信息很困難。用戶的上網質量是整個商超的根基，如何了解用戶的上網質量也是商超運維管理中很重要的信息。通過eSight網管去監(jiān)控和管理“商超”中的用戶資源是極其重要的。用戶數據管理支持無線用戶管理，顯示用戶的詳細信息和統(tǒng)計信息。與華為eSDK（華為面向開發(fā)者提供的開放平臺）對接后，可顯示用戶的設備類型、操作系統(tǒng)、廠商、角色信息，查看到用戶的重要信息：點擊系統(tǒng)菜單下的eSDK服務器設置子菜單，可對eSDK服務器進行設置。用戶數據報表提供在線用戶明細報表，統(tǒng)計商超中無線用戶數據。提供用戶明細報表，統(tǒng)計商超中用戶明細數據。提供用戶會話明細報表，統(tǒng)計商超中用戶會話明細數據。第三方AP管理隨著AP在商超中的不斷部署，網絡不斷擴大，網管系統(tǒng)成為設備監(jiān)控的唯一手段，但不同設備廠商的網管系統(tǒng)不兼容成為商超營運選擇WLAN設備廠商的瓶徑，有效利用現有網管系統(tǒng)對不同設備廠商的網絡設備進行監(jiān)控成為廠商選擇的關鍵。CAPWAP是國際標準的通信協議，并且龐大而復雜，各廠家在使用該協議做為自身AC、AP通信的協議標準，但是各廠家在參數定義、類型、字段、加密等方式上各有區(qū)別，所以不可能實現不同廠家的AC/AP互聯。eSight管理平臺對主流廠商的無線設備做了大量的分析工作，在此基礎上實現了對第三方廠商AP的管理能力，通過對第三方廠商的AP進行精確適配。創(chuàng)新性的支持對第三方廠商AP管理，解決了商超中多廠商AP融合統(tǒng)一管理的問題。eSight支持H3C、Cisco、Aruba三個廠商的AC、AP資源（AC、AP、射頻、接口、SSID、VAP）管理、性能管理和告警管理。SAC智能應用控制隨著“商超”網絡技術和多媒體技術的快速發(fā)展，網絡應用越來越豐富，使得帶寬資源日趨緊張。其中影響比較突出的是P2P技術，P2P應用類型也已從文件共享擴展到語音、視頻等應用領域，P2P網絡的用戶規(guī)模和流量均呈爆發(fā)式增長。甚至很多P2P應用往往是對網絡資源進行的“惡意”占用，導致網絡出現不同程度的擁塞。這些流量與關鍵應用混雜在一起，導致非關鍵業(yè)務肆虐，核心業(yè)務丟包，時延抖動不可控，服務質量無法保障。用戶急需對這些“非法”的網絡應用進行控制，于是產生了業(yè)務感知技術。智能應用控制SAC（SmartApplicationControl）作為一種新的業(yè)務感知技術，在分析報文頭的基礎上，增加了對應用層的分析，是一種基于應用層的流量檢測和控制技術。通過對各類應用進行智能分類，識別關鍵業(yè)務，保證其帶寬，對非關鍵業(yè)務流量進行限制，實施精細化QoS策略控制，從而保證關鍵業(yè)務平穩(wěn)、高效運轉。

借助于eSight網流分析能夠顯示無線網絡區(qū)域的應用分布，并且用戶可以對區(qū)域對應的AP組進行應用帶寬丟棄、限速、調整優(yōu)先級。智能應用控制對非關鍵業(yè)務流量進行限制，實施精細化QoS策略控制，從而保證關鍵業(yè)務平穩(wěn)、高效運轉。無線安全管理網絡的安全性也是每一張網絡都重點關注的事情之一。WLAN無線網絡信號存在與空氣中，任何人都可以接收到，很容易受到外界干擾和威脅的影響，如WIDS/WIPS，周邊射頻信號的干擾，非法設備的檢測和反制等。WIDS/WIPS為了方便實現非法設備的檢測和反制，同時又不增加設備，建議AP支持混合模式傳輸模式，即單個AP可以監(jiān)測無線網絡中設備，也可以同時傳輸WLAN數據。同時，WIDS還應支持攻擊檢測功能，可以檢測泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預共享密鑰和WEP的共享密鑰，及時發(fā)現網絡的不安全因素，及時反制并通過日志，統(tǒng)計信息以及告警方式及時通知網絡管理員。無線空口安全WIDS/WIPS的示意圖如下圖所示。借助于eSight網絡管理平臺上面開啟攻擊檢測，將檢測結果呈現在eSight中，并將有攻擊行為的設備添加到黑名單中，防止攻擊設備對網絡造成沖擊。頻譜分析無線干擾源由于WLAN的工作頻段為ISM頻段，隨著藍牙、紅外、微波爐等無線應用的增加，非WLAN設備對WLAN網絡的干擾問題日益突出。頻譜分析是指通過頻譜分析服務器對采集到的無線信號進行特征分析，識別出Non-Wi-Fi干擾設備，進而對干擾設備進行定位，實現對WLAN網絡的調優(yōu)。通過配置頻譜分析功能，及時、全面的檢測出WLAN網絡中的非WLAN干擾，提升用戶的體驗。通過頻譜掃描發(fā)現未管理無線源，快速識別網絡安全隱患，保障網絡健康。通過eSight對干擾設備進行定位，實現對WLAN網絡的調優(yōu)，合理規(guī)避干擾設備的影響。無線釣魚與RougeAP防護無線釣魚是將有線網絡中的釣魚攻擊方法應用到無線領域，但由于網絡傳輸協議不同，用的方式當然也不同，常見的無線釣魚方式是基于偽造AP使得無線客戶端訪問虛假的AP，從而釣魚得到客戶端信息。針對非法瘦AP接入有線網絡后無線釣魚的場景防護手段依靠AC對AP接入的安全控制可以進行防護。華為WLAN支持針對非法AP的無線釣魚防護，支持RougeAP檢測和隔離。eSight開啟RougeAP的檢測功能，將檢測到的RougeAP呈現出來，并對這些RougeAP、RougeClient、AdHoc開啟反制。用戶上網行為審計“商超”在給市民提供上網業(yè)務的同時，也要解決市民濫用網絡帶寬、散布惡意軟件、泄漏國家信息以及發(fā)布違反法律法規(guī)的不良言論等問題，也要避免用戶信息面臨的各種安全威脅，如釣魚網站、網頁木馬、文件病毒、黑客攻擊等。日志審計系統(tǒng)：為滿足公安部82號令，可監(jiān)測用戶上網行為和進行安全審計，供公安部門審計。必須將所有接入點的NAT日志信息進行集中匯總及保存，并可進行查詢和統(tǒng)計等審計功能。需要審計用戶的網絡行為杜絕用戶瀏覽和發(fā)布不良信息。如何限制一般用戶對帶寬資源的濫用，如何保證VIP用戶帶寬。在“商超”網絡中，在每個獨立的互聯網出口推薦部署一臺ASG（已經部署防火墻和上網行為管理的不需要重復部署）。華為ASG上網行為管理，可以識別超過1200種的應用識別，超過6500萬條的海量URL庫；可以全面的內容控制和審計，有效防止信息外泄和協助法規(guī)遵從；可以全方位保護上網用戶，惡意軟件無所遁形，并提供專業(yè)報表針對性強，助力治理“商超”的網絡。具體組網方式，如下圖所示。在總部ASG上配置相關上網行為管控和審計策略，并同步到全網所有分支的ASG用戶上線，通過AgileController認證系統(tǒng)，進行身份認證認證通過后，AgileController系統(tǒng)將上線的用戶信息（IP、用戶名、組名、MAC、AP信息、AC信息等）隨同用戶的上線信息一起同步給各ASG用戶開始訪問Internet時，ASG進行用戶的行為管控和日志審計，用戶的信息和上網行為審計日志保存在ASG設備本身ASG定期將訪客信息和日志上傳到總部ASGManager(LogCenter)統(tǒng)一存儲，以便統(tǒng)一審計LogCenter高效地采集日志源的日志，向用戶及時展示華為安全日志源的業(yè)務情況，幫助用戶了解網絡用戶的行為，輔助用戶迅速識別并消除安全威脅。通過對華為防火墻設備用戶上網行為日志進行采集和分析，LogCenter可以追蹤用戶的上網行為（如使用P2P、email、HTTP、MSN、QQ等業(yè)務），并輔助管理員分析內網用戶上網行為以及應用時長和流量，進而對內網用戶的上網行為進行管理，可以在線查看用戶狀態(tài)及其所連接的網絡設備信息，對非法用戶可以執(zhí)行發(fā)送消息、在線檢查、強制下線、關閉端口等操作。安全合規(guī)方案華為商業(yè)Wi-Fi解決方案提供合規(guī)安全子方案，一方面滿足有關部門合規(guī)審計的要求（公安部82號令），另一方面來保障用戶接入Wi-Fi網絡時的安全，讓用戶放心的接入使用Wi-Fi網絡。合規(guī)審計華為商業(yè)Wi-Fi解決方案通過部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網提供安全保障，同時對Wi-Fi用戶的上網行為進行審計，滿足公安部82號令的審查要求。上網行為審計具體體現在對Wi-Fi用戶上網信息的日志進行存儲，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時間、內外網地址轉換對應關系（NAT溯源）。在實際部署時可根據網絡的規(guī)模以及Wi-Fi用戶量的大小選擇如下兩種日志存儲管理方案。方案一：統(tǒng)一存儲管理認證系統(tǒng)和NGFW各自存儲一部分日志信息。其中，認證系統(tǒng)可提供用戶上下線日志的存儲和查詢。NGFW可提供用戶內外網IP地址NAT日志信息，先在本地進行存儲，選擇網絡閑時發(fā)送至總部logcenter進行統(tǒng)一存儲和管理。Logcenter統(tǒng)一接收并存儲認證系統(tǒng)和NGFW的日志信息后，可進行日志信息的統(tǒng)一管理和查看。在該應用場景下，LogCenter對下一代防火墻等安全網元的會話日志進行采集和分析，獲取NAT信息（包括目的IP地址、目的端口、NAT前源IP地址和協議等），結合身份關聯數據源（如認證服務器），從而追蹤NAT用戶的上網行為。方案二：本地存儲管理日志本地存儲管理是指認證系統(tǒng)和NGFW將用戶的日志信息存儲在本地?？紤]到日志信息的存儲量較大，建議NGFW通過外掛硬盤或者內置CF卡的方式來進行日志的存儲。NGFW提供審計策略功能，通過配置審計功能后，用戶的上網行為會被記錄日志。管理員通過查看各種報表以及審計日志、用戶活動日志等信息審查和分析用戶的上網行為，識別出威脅網絡安全的用戶和上網行為，為后續(xù)制定高效和精細化的安全策略提供基礎。NGFW上的審計處理流程如下圖所示：流量通過NGFW時，審計處理流程如下：1、NGFW會對收到的流量進行識別，識別出流量的屬性，包括：用戶（包括用戶組和安全組）、源安全區(qū)域、目的安全區(qū)域、源地址、目的地址、服務（源端口、目的端口、協議類型）和時間段。2、NGFW將流量的屬性與審計策略的條件進行匹配。如果所有條件都匹配，則此流量成功匹配審計策略。如果其中有一個條件不匹配，則繼續(xù)匹配下一條審計策略。以此類推，如果所有審計策略都不匹配，則流量不進行審計功能處理。3、如果流量成功匹配一條審計策略，NGFW將會執(zhí)行此審計策略的動作。如果動作為不審計，則流量不進行審計功能處理。如果動作為審計，則NGFW會根據審計策略引用的審計配置文件中定義的內容，記錄用戶的上網行為。方案選取建議對于連鎖類或者網絡規(guī)模較大、用戶數較多的場景，建議選擇方案一，將日志進行統(tǒng)一的存儲和管理。對于單個門店或者單個獨立網絡的場景，如果出于成本考慮可以選擇方案二。安全規(guī)劃華為商業(yè)Wi-Fi解決方案從有線安全和無線空口安全兩個維度來保障Wi-Fi網絡的安全，讓用戶能夠放心的接入和使用Wi-Fi網絡。有線安全有線側，通過在局域網出口處以及數據中心入口處部署下一代防火墻NGFW來抵御來自Interntet的威脅。NGFW集防火墻、IPS、DDOS等眾多功能于一身，能夠有效保障局域網和數據中心的安全。無線空口安全無線空口側主要存在三個方面的安全：非法rogue設備、惡意攻擊和空口監(jiān)聽，如下圖所示。Rogue設備商業(yè)Wi-Fi環(huán)境中可能出現的Rogue設備包括RogueAP，RogueClient，Ad-hoc設備，這些設備對運維的WLAN網絡會帶來諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLANWIDS方案支持對網絡中的Rogue設備（包括AP，Client，Ad-hoc）的進行檢測、識別以及反制功能。下面分別從非法設備的監(jiān)聽，識別，判斷以及反制四個方面詳細闡述，華為WLAN對非法設備安全的防護。偵聽周邊設備AP有三種工作模式：接入模式，監(jiān)聽模式和混合模式。接入模式只提供覆蓋功能，不提供非法設備監(jiān)聽功能；監(jiān)聽模式只監(jiān)聽，不能接入業(yè)務；而混合模式可以在接入業(yè)務的同時進行監(jiān)聽。推薦AP工作在混合模式，在接入業(yè)務的同時監(jiān)聽周邊設備，低成本部署。設備類型識別AP通過監(jiān)聽Beacon，AssociatonRequest，AssociationResponse協議報文和數據報文報文來識別Rogue設備是哪種設備（AP/Adhoc/Client）。監(jiān)控AP搜集到無線設備后，維護一個無線設備信息列表，并把這些信息上報給AC，在AC上根據一定的規(guī)則進行Rogue設備判斷。Rogue設備判斷當AP設備工作在混合模式或者監(jiān)聽模式時可以實現對整個網絡的監(jiān)控，監(jiān)控設備包括AP、Client、Adhoc終端、無線網橋等。Rogue設備反制檢測到Rogue設備后，可以使能防范、反制功能。反制功能，根據反制的模式，監(jiān)測模式AP從無線控制器下載攻擊列表，并對Rogue設備采取措施，阻止其工作。對RogueAP的反制：監(jiān)測AP通過使用RogueAP設備的地址發(fā)送假的廣播解除認證幀來對RogueAP設備進行反制，抑制無線用戶和非法AP建立鏈接。對RogueClient、Adhoc設備的反制：監(jiān)測AP通過使用RogueClient、Adhoc設備的BSSID、MAC地址發(fā)送假的單播解除認證幀，對指定非法Client的進行反制。Rogue設備管理可以與定位功能集合，如在地圖上可以查詢或者實時顯示Rogue設備的位置，為網管人員對網絡監(jiān)管和排障定位提供便捷。惡意攻擊針對惡意攻擊，華為WLAN擁有多種方式。下面針對最常用的flood攻擊，WeakIV攻擊，Spoof攻擊方式，介紹華為的防御規(guī)劃和措施。Flood攻擊檢測：當“惡意用戶”發(fā)送大量的“連接請求報文”至AP時，這些報文會被AP轉發(fā)到AC設備上進行處理，這樣會對內部網絡造成沖擊。啟動Floodattack檢測，AC會檢測到來自于該惡意用戶的Flood攻擊，AP會將來自于該用戶的報文將全部被丟棄，從而實現了對于網絡的安全防御。WeakIV攻擊檢測：對于Client的數據報文，如果該報文使用了WEP加密算法，需要啟動IV檢測；AC根據IV的安全性策略判斷是否存在WeakIV攻擊。Spoof攻擊檢測：這種攻擊的潛在攻擊者將以其他設備的名義發(fā)送攻擊報文。惡意AP或者惡意用戶發(fā)送一個欺騙的解除認證報文會導致無線客戶端下線。AC接受到這種報文時將立刻被定義為欺騙攻擊，并阻止該用戶?？湛诟`聽華為WLAN提供多種空口加密方式，以避免空口被竊聽。如WEP、WPA/WPA2、WAPI等。eSight無線定位華為商業(yè)Wi-Fi解決方案提供無線定位功能，滿足大型商場、購物中心、游樂景區(qū)等多種場合下的定位需求。從用途來看，無線定位可用于以下場景?？土鞣治鰹樯虉鲞\營方提供基于大數據分析的報告，分析單客戶或者總體客戶的運動軌跡、區(qū)域密度等。用于提高店面經營效率，經營數字化信息化，為經營決策提供數據支撐。具體表現在通過掌握客流峰谷時段來安排更合理的市場活動；掌握熱點區(qū)域調整租金水平，提高管理效率降低成本。店鋪導航顧客點擊商鋪具體位置，進行線路規(guī)劃，指引顧客到達店鋪，參與活動。逆向尋車顧客停車后，在手機終端App軟件設定當前停車位置；購物完畢，在停車場所在樓層，點擊手機終端App“逆向尋車”按鈕，實