一、項目背景

隨著企業(yè)信息化的不斷發(fā)展以及移動辦公的趨勢，很多企業(yè)正原有的有線連接上網(wǎng)的基礎上，開始增加更加方便、便捷、移動性強的無線接入網(wǎng)絡來滿足自身發(fā)展的需求。這樣企業(yè)內(nèi)部人員和訪客都可以方便的通過無線網(wǎng)絡在辦公和企業(yè)園區(qū)內(nèi)隨時地接入企業(yè)局域網(wǎng)和互聯(lián)網(wǎng)，來完成各種業(yè)務工作的處理。另外建設WLAN無線網(wǎng)絡解決以往的有線端口接入限制、硬件維護工作繁瑣、線路多、可移動性弱、訪客管理難度大等問題。
但是傳統(tǒng)的無線網(wǎng)絡的接入方式，用戶上網(wǎng)需要得知無線密碼或者不需要密碼直接接入到無線網(wǎng)絡中，不僅對企業(yè)的網(wǎng)絡安全存在一定的隱患，而且網(wǎng)絡運行也不夠穩(wěn)定更不能對接入訪客進行管理控制。更重要的是在大型企業(yè)中，并沒有通過無線網(wǎng)絡跟員工和訪客建立一種良性互動，沒有發(fā)揮其應有的作用，使無線網(wǎng)絡的效果大打折扣。因此如何部署一套可運營、可管理、可靠高效的無線網(wǎng)絡已經(jīng)成為企業(yè)的當務之急。

二、需求分析

藍海卓越針對目前企業(yè)在自身無線網(wǎng)絡建設及無線認證中存在的問題，推出適合企業(yè)的無線認證解決方案，該方案需要滿足以下需求：
1、支持多種認證方式，包括針對訪客的手機短信和二維碼認證上網(wǎng)，以及針對內(nèi)部員工的靜態(tài)用戶名密碼認證方式；
2、可以結合企業(yè)現(xiàn)有的OA/CRM等系統(tǒng)進行認證，企業(yè)員工通過現(xiàn)有的賬戶進行認證上網(wǎng)；
3、可以對認證頁面、認證成功頁面進行高度定制，支持多種網(wǎng)頁設計語言，以實現(xiàn)對認證頁面自由設計的需求；
4、企業(yè)無線網(wǎng)絡可以劃分為兩個SSID，分別為企業(yè)員工使用和訪客使用，針對不同的SSID可以推送不同的認證頁面；
5、方便管理，能夠?qū)崿F(xiàn)對接入無線網(wǎng)絡中的用戶進行上網(wǎng)時間、上傳下載速度及認證有效期等方面控制管理，不同的用戶屬性采取不同de上網(wǎng)策略；
6、認證成功后可以實現(xiàn)強制跳轉至企業(yè)官網(wǎng)或其他指定網(wǎng)站，可以有效的進行品牌宣傳和推廣；
7、支持二次開發(fā)，將來可以對接企業(yè)現(xiàn)有的OA、CRM等系統(tǒng)，在OA或其他系統(tǒng)上實現(xiàn)對訪客上網(wǎng)權限的授權管理；
8、部署方便，維護簡單，同時對整體設備需要易操作易管理，將來增加覆蓋范圍和用戶數(shù)量能夠方便的進行擴展升級。

三、方案設計原則

藍海卓越基于多年的產(chǎn)品運營經(jīng)驗及對無線認證網(wǎng)絡運營需求的深刻理解，針對企業(yè)無線認證的需求并結合現(xiàn)有產(chǎn)品推出“藍海卓越企業(yè)無線認證解決方案”，從打造可管理、可運營的無線認證網(wǎng)絡角度出發(fā)，致力于為客戶建設一個高效可靠、運營成本低的企業(yè)無線認證網(wǎng)絡，使無線網(wǎng)絡部署輕松、可靠、高效。根據(jù)用戶需求及用戶網(wǎng)絡特點，藍海卓越提供的方案設計遵循以下原則：
1、高可靠性，無線網(wǎng)絡運行的穩(wěn)定可靠是接入認證系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，合理設計網(wǎng)絡架構，適合7×24不間斷運行；
2、技術先進性和實用性，在保證滿足無線接入認證的同時，又要體現(xiàn)出接入認證系統(tǒng)的先進性，充分考慮到系統(tǒng)應用的現(xiàn)狀和未來發(fā)展趨勢，能夠方便的對功能進行擴展；
3、標準開放性，支持國際上通用標準的網(wǎng)絡協(xié)議、支持中國移動WLAN業(yè)務Portal協(xié)議規(guī)范，有利于保證與其它網(wǎng)絡及設備之間的平滑連接互通，以及將來網(wǎng)絡的擴展；
4、靈活性及可擴展性，根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡及設備可以平滑地擴容和升級，并在擴容和升級過程中最大程度的減少對網(wǎng)絡架構和現(xiàn)有設備的更換調(diào)整；
5、可管理性，對網(wǎng)絡狀況實行集中監(jiān)測、分析，具有對接入用戶、設備、網(wǎng)絡、流量等進行統(tǒng)計分析和管理的功能。

四、方案說明

藍海卓越結合廣泛的無線認證市場需求，推出藍海卓越Portal無線認證系統(tǒng)及AC、AP等無線網(wǎng)絡產(chǎn)品，最大限度的滿足現(xiàn)有無線認證的市場需求。通過藍海卓越Portal系列產(chǎn)品，用戶可以方便的組建無線認證網(wǎng)絡，實現(xiàn)WEB認證、信息推送、用戶管理等多種功能。

4.1方案拓撲圖

 
藍海卓越無線認證系統(tǒng)主要由：移動終端（智能手機、平板電腦、筆記本等）、AC控制器、AP、藍海卓越Portal服務器、藍海卓越Radius服務器以及短信網(wǎng)關組成。在整體方案中，它們充當?shù)慕巧謩e如下：
1、移動終端：用戶使用手機、平板等移動終端設備連接到商場WLAN無線網(wǎng)絡中；
2、AP：無線接入點，實現(xiàn)一定區(qū)域內(nèi)無線信號的覆蓋；
3、AC控制器：集中控制管理所有AP設備，根據(jù)需求建立統(tǒng)一的SSID；
4、藍海卓越Portal服務器：同AC設備對接，實現(xiàn)Portal認證頁面的彈出和無線認證流程，認證頁面支持任意網(wǎng)頁語言進行定制設計；
5、短信網(wǎng)關：負責發(fā)送密碼短信給手機用戶，以便用戶通過輸入密碼進行無線認證上網(wǎng)；
6、藍海卓越Radius：能夠建立套餐和賬戶，實現(xiàn)對上網(wǎng)用戶的賬戶密碼信息進行認證；
7、企業(yè)AD域服務器：企業(yè)員工通過AD域賬戶進行認證，需要藍海卓越系統(tǒng)能夠?qū)崟r該域服務器數(shù)據(jù)庫中的賬戶信息。

4.2方案特點

1）有線+無線統(tǒng)一接入認證
所有的上網(wǎng)終端均可進行認證，有線和無線均采用PORTAL認證的方式，當用戶連接網(wǎng)絡時，當發(fā)起http訪問請求后會被重定向到Portal認證頁面；
2）認證頁面定制
認證頁面/認證成功頁面均可以按照自己的要求進行定制設計，支持任意網(wǎng)頁設計語言，達到良好的頁面展示效果；在認證頁面和認證成功頁面可以自由設計承載企業(yè)宣傳和通知信息；
3）基于AC設置兩個不同的SSID，企業(yè)SSID隱藏，只有員工通過AD域賬戶進行登錄認證上網(wǎng)；訪客SSID開放，企業(yè)訪客通過手機短信認證或者一鍵登錄認證進行上網(wǎng)；
4）基于AC針對不同的SSID設置不同的Portal認證頁面URL參數(shù)，實現(xiàn)向員工和和訪客推送不同的認證頁面；
5）頁面跳轉
    當訪客完成手機短信認證或者員工完成認證后，自動跳轉至企業(yè)官網(wǎng)或其他指定網(wǎng)址，實現(xiàn)對企業(yè)品牌的宣傳推廣，增強品牌知名度；
6）多種認證方式
    除手機短信認證、AD域認證之外，藍海卓越Portal系統(tǒng)還可以提供一鍵登錄、OpenID以及微信等認證方式，為企業(yè)的無線認證提供更多方式選擇；
7）上網(wǎng)策略分級
企業(yè)訪客通過手機短信的方式認證上網(wǎng)，企業(yè)員工通過輸入AD域賬戶的方式進行認證上網(wǎng)，兩類用戶分別采取不同的上網(wǎng)策略，可以在上網(wǎng)速度、上網(wǎng)時長等方面行進區(qū)分和限制；
8）用戶管理
強大的用戶管理功能，可以實現(xiàn)對手機短信認證用戶的上傳、下載速度以及在線時長等進行設置，實現(xiàn)對無線接入用戶的速度、在線用戶數(shù)、上網(wǎng)時長等管理；
9）支持訪客掃碼認證
 協(xié)助掃碼：訪客上網(wǎng)認證的最佳方式
采用訪客與被訪人一對一掃碼的方式對來訪人進行授權。適用于網(wǎng)絡安全性要求高的企業(yè)臨時性訪客使用。當訪客進入訪問網(wǎng)絡空間，需被訪人掃描二維碼并進行授權，然后訪客才可以使用網(wǎng)絡，這種一對一的訪客準入形式使得入網(wǎng)訪客有跡可循，也在最大程度上保證了網(wǎng)絡準入的安全。
此認證方式優(yōu)勢：
1、一對一認證授權加強企業(yè)對訪客及被訪人的審計追溯；
2、僅允許用戶在規(guī)定授權時間內(nèi)使用。
 
10）支持二次開發(fā)
藍海卓越Portal和Radius系統(tǒng)提供二次開發(fā)接口，可以方便的對接企業(yè)現(xiàn)有的各種系統(tǒng)和數(shù)據(jù)庫，實現(xiàn)更多業(yè)務功能。