一、項目背景

隨著企業(yè)信息化的不斷發(fā)展以及移動辦公的趨勢，很多企業(yè)正原有的有線連接上網的基礎上，開始增加更加方便、便捷、移動性強的無線接入網絡來滿足自身發(fā)展的需求。這樣企業(yè)內部人員和訪客都可以方便的通過無線網絡在辦公和企業(yè)園區(qū)內隨時地接入企業(yè)局域網和互聯網，來完成各種業(yè)務工作的處理。另外建設WLAN無線網絡解決以往的有線端口接入限制、硬件維護工作繁瑣、線路多、可移動性弱、訪客管理難度大等問題。
但是傳統的無線網絡的接入方式，用戶上網需要得知無線密碼或者不需要密碼直接接入到無線網絡中，不僅對企業(yè)的網絡安全存在一定的隱患，而且網絡運行也不夠穩(wěn)定更不能對接入訪客進行管理控制。更重要的是在大型企業(yè)中，并沒有通過無線網絡跟員工和訪客建立一種良性互動，沒有發(fā)揮其應有的作用，使無線網絡的效果大打折扣。因此如何部署一套可運營、可管理、可靠高效的無線網絡已經成為企業(yè)的當務之急。

二、需求分析

藍海卓越針對目前企業(yè)在自身無線網絡建設及無線認證中存在的問題，推出適合企業(yè)的無線認證解決方案，該方案需要滿足以下需求：
1、支持多種認證方式，包括針對訪客的手機短信和二維碼認證上網，以及針對內部員工的靜態(tài)用戶名密碼認證方式；
2、可以結合企業(yè)現有的OA/CRM等系統進行認證，企業(yè)員工通過現有的賬戶進行認證上網；
3、可以對認證頁面、認證成功頁面進行高度定制，支持多種網頁設計語言，以實現對認證頁面自由設計的需求；
4、企業(yè)無線網絡可以劃分為兩個SSID，分別為企業(yè)員工使用和訪客使用，針對不同的SSID可以推送不同的認證頁面；
5、方便管理，能夠實現對接入無線網絡中的用戶進行上網時間、上傳下載速度及認證有效期等方面控制管理，不同的用戶屬性采取不同de上網策略；
6、認證成功后可以實現強制跳轉至企業(yè)官網或其他指定網站，可以有效的進行品牌宣傳和推廣；
7、支持二次開發(fā)，將來可以對接企業(yè)現有的OA、CRM等系統，在OA或其他系統上實現對訪客上網權限的授權管理；
8、部署方便，維護簡單，同時對整體設備需要易操作易管理，將來增加覆蓋范圍和用戶數量能夠方便的進行擴展升級。

三、方案設計原則

藍海卓越基于多年的產品運營經驗及對無線認證網絡運營需求的深刻理解，針對企業(yè)無線認證的需求并結合現有產品推出“藍海卓越企業(yè)無線認證解決方案”，從打造可管理、可運營的無線認證網絡角度出發(fā)，致力于為客戶建設一個高效可靠、運營成本低的企業(yè)無線認證網絡，使無線網絡部署輕松、可靠、高效。根據用戶需求及用戶網絡特點，藍海卓越提供的方案設計遵循以下原則：
1、高可靠性，無線網絡運行的穩(wěn)定可靠是接入認證系統正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，合理設計網絡架構，適合7×24不間斷運行；
2、技術先進性和實用性，在保證滿足無線接入認證的同時，又要體現出接入認證系統的先進性，充分考慮到系統應用的現狀和未來發(fā)展趨勢，能夠方便的對功能進行擴展；
3、標準開放性，支持國際上通用標準的網絡協議、支持中國移動WLAN業(yè)務Portal協議規(guī)范，有利于保證與其它網絡及設備之間的平滑連接互通，以及將來網絡的擴展；
4、靈活性及可擴展性，根據未來業(yè)務的增長和變化，網絡及設備可以平滑地擴容和升級，并在擴容和升級過程中最大程度的減少對網絡架構和現有設備的更換調整；
5、可管理性，對網絡狀況實行集中監(jiān)測、分析，具有對接入用戶、設備、網絡、流量等進行統計分析和管理的功能。

四、方案說明

藍海卓越結合廣泛的無線認證市場需求，推出藍海卓越Portal無線認證系統及AC、AP等無線網絡產品，最大限度的滿足現有無線認證的市場需求。通過藍海卓越Portal系列產品，用戶可以方便的組建無線認證網絡，實現WEB認證、信息推送、用戶管理等多種功能。

4.1方案拓撲圖

 
藍海卓越無線認證系統主要由：移動終端（智能手機、平板電腦、筆記本等）、AC控制器、AP、藍海卓越Portal服務器、藍海卓越Radius服務器以及短信網關組成。在整體方案中，它們充當的角色分別如下：
1、移動終端：用戶使用手機、平板等移動終端設備連接到商場WLAN無線網絡中；
2、AP：無線接入點，實現一定區(qū)域內無線信號的覆蓋；
3、AC控制器：集中控制管理所有AP設備，根據需求建立統一的SSID；
4、藍海卓越Portal服務器：同AC設備對接，實現Portal認證頁面的彈出和無線認證流程，認證頁面支持任意網頁語言進行定制設計；
5、短信網關：負責發(fā)送密碼短信給手機用戶，以便用戶通過輸入密碼進行無線認證上網；
6、藍海卓越Radius：能夠建立套餐和賬戶，實現對上網用戶的賬戶密碼信息進行認證；
7、企業(yè)AD域服務器：企業(yè)員工通過AD域賬戶進行認證，需要藍海卓越系統能夠實時該域服務器數據庫中的賬戶信息。

4.2方案特點

1）有線+無線統一接入認證
所有的上網終端均可進行認證，有線和無線均采用PORTAL認證的方式，當用戶連接網絡時，當發(fā)起http訪問請求后會被重定向到Portal認證頁面；
2）認證頁面定制
認證頁面/認證成功頁面均可以按照自己的要求進行定制設計，支持任意網頁設計語言，達到良好的頁面展示效果；在認證頁面和認證成功頁面可以自由設計承載企業(yè)宣傳和通知信息；
3）基于AC設置兩個不同的SSID，企業(yè)SSID隱藏，只有員工通過AD域賬戶進行登錄認證上網；訪客SSID開放，企業(yè)訪客通過手機短信認證或者一鍵登錄認證進行上網；
4）基于AC針對不同的SSID設置不同的Portal認證頁面URL參數，實現向員工和和訪客推送不同的認證頁面；
5）頁面跳轉
    當訪客完成手機短信認證或者員工完成認證后，自動跳轉至企業(yè)官網或其他指定網址，實現對企業(yè)品牌的宣傳推廣，增強品牌知名度；
6）多種認證方式
    除手機短信認證、AD域認證之外，藍海卓越Portal系統還可以提供一鍵登錄、OpenID以及微信等認證方式，為企業(yè)的無線認證提供更多方式選擇；
7）上網策略分級
企業(yè)訪客通過手機短信的方式認證上網，企業(yè)員工通過輸入AD域賬戶的方式進行認證上網，兩類用戶分別采取不同的上網策略，可以在上網速度、上網時長等方面行進區(qū)分和限制；
8）用戶管理
強大的用戶管理功能，可以實現對手機短信認證用戶的上傳、下載速度以及在線時長等進行設置，實現對無線接入用戶的速度、在線用戶數、上網時長等管理；
9）支持訪客掃碼認證
 協助掃碼：訪客上網認證的最佳方式
采用訪客與被訪人一對一掃碼的方式對來訪人進行授權。適用于網絡安全性要求高的企業(yè)臨時性訪客使用。當訪客進入訪問網絡空間，需被訪人掃描二維碼并進行授權，然后訪客才可以使用網絡，這種一對一的訪客準入形式使得入網訪客有跡可循，也在最大程度上保證了網絡準入的安全。
此認證方式優(yōu)勢：
1、一對一認證授權加強企業(yè)對訪客及被訪人的審計追溯；
2、僅允許用戶在規(guī)定授權時間內使用。
 
10）支持二次開發(fā)
藍海卓越Portal和Radius系統提供二次開發(fā)接口，可以方便的對接企業(yè)現有的各種系統和數據庫，實現更多業(yè)務功能。