银行WLAN覆盖方案

苏州银行无线网络接入网项目建议书长城宽带网络服务有限公司苏州分公司20145 长城宽带网络服务有限公司苏州分公司目 录一、概述21、WLAN技术介绍22、WLAN覆盖需求2二、设计思路与依据4三、网络安全及管理需求5四、WLAN 建设方案61.建设原则62.组网方案6五、方案特点7六 设备选型及产品介绍81. 主设备AC无线控制器82. AP无线接入终端13七、设备安装171、设备安装要求原则172、防水处理17八 质量控制具体方案17九、认证和计费系统181.AC组网方案182.系统方案特点193.Wlan 3000系统特点21十、应用层功能25十一、感知层功能(需定制)27一、 概述随着无线WIFI智能终端与WLAN技术的普及，WLAN的便利性已经被大多数用户认可。为适应苏州银行业务的迅猛发展，苏州银行需要新建一张无线广域网络来承载全省多个分支机构以及营业网点日益增加的访客上网流量以及满足银行总部对全省多个分支机构实行互联网访问行为集中管控的需求。本次网络信息系统建设采用统一部署，用户统一认证方式，建设一个连接总行与营业网点的无线高效、安全的数据通信网络，通过VPN与总部、分支机构实现安全互联，满足互联网接入审计要1、 WLAN技术介绍无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到信息随身化、便利走天下的理想境界。对于局域网络管理主要工作之一，对于铺设电缆或是检查电缆是否断线这种耗时的工作，很容易令人烦躁，也不容易在短时间内找出断线所在。再者，由于配合企业及应用环境不断的更新与发展，原有的企业网络必须配合重新布局，需要重新安装网络线路，虽然电缆本身并不贵，可是请技术人员来配线的成本很高，尤其是老旧的大楼，配线工程费用就更高了。因此，架设无线局域网络就成为最佳解决方案。2、 WLAN覆盖需求1) 计划覆盖区域此次苏州银行建设WLAN覆盖工程主要建设区域为：25个自助营业网点。按照自助网点的格局，考虑推荐以室内型AP来布放终端设备。本次使用AP专为室内组网方式设计，AP本身内置功率放大器和检波反馈回路，射频接口提供500mW高精度、高质量的射频信号，与组网时不需要再增加功率放大器，很大程度地避免了由于增加放大器而造成的信号失真，为用户提供可靠的带宽保证。 2) 需求分析利用WLAN 802.11n技术实现300M无线到用户端，实现客户端全无线化，并充分考虑网络安全、支持数据、语音、视频等综合传输的高速网络。采用统一认证，数据本地转发方式，在银行中心机房布放一台AC控制器，中心与各分支营业网点建立VPN通道实现加密性的AP上下行，AC配置安全审计功能，满足公安部82号令互联网安全接入要求。集中管理，所有的AP都可以在中心控制器上进行维护管理，在所有AP上是真正的零配置，其接入到网络会自动和控制器建立连接，并且根据需要下载相关策略，真正做到即插即用；从全网集中管理方面，采用综合网络管理系统对全网所有的无线接入设备以及用户进行集中管理，提供当前和历史运行状态、性能报告、以及专家诊断和故障告警等功能。提供特定的SSID接入，此次项目主要满足营业网点VIP或访客上网需求，用户认证方式采用WEB Portal认证方式，支持终端自适应页面，支持个性化页面推送，支持手机账号+短信密码方式登录。整网可进行统一可视化管理。3) 无线局域网技术发展情况无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展： 第一代无线局域网主要是采用Fat AP，AP本身储存了大量的网络和安全的配置，包括加密的密钥，认证报文终结等，而AP又是分散在各处的，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。特别是在管理方面，每一台AP都要单独进行配置，费时、费力、费成本； 第二代无线局域网采用无线控制器（AC）和FIT AP的架构，对传统WLAN设备的功能做了重新划分，将无线网络和安全处理功能转移到集中的无线控制器中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、RF监测、无缝漫游等。这时，AP只作为无线数据的收发设备，所有对无线数据的处理都放在无线控制器中实现，这种组网模式大大简化了AP的管理和配置功能，甚至可以做到“零”配置，完全解决了第一代无线局域网AP配置和管理复杂的难题。但第二代无线局域网将所有功能都集中到无线控制器中，无线网络和有线网络在逻辑上完全是两张不同的网络，有线和无线的网管都是分离的，无法进行有线网络和无线网络的有效融合，网络管理和维护的成本依然很高。 第三代无线局域网依然采用无线控制器（AC）和FIT AP的架构，但它基于有线、无线一体化组网的理念，对第二代无线网络做了很多改进。包括统一的QoS策略部署，分布式加密，丰富的转发类型，有线、无线统一网管等功能。第二代无线局域网采用集中式转发，所有的数据流都要经过无线控制器，这样以来AC容易成为网络瓶颈，并且AP与AC之间大量的数据流占用了宝贵的城域网带宽；第三代无线局域网提供更加丰富的转发类型，可以根据需要选择进行本地转发、集中式AC转发和跨AP转发等多种模式，AP的控制流和用户的数据流分开，极大程度的优化了带宽资源分配，减少了网络转发时延，保证了语音数据流的快速交换。 第三代无线局域网将无线网络和有线网进行无缝融合，在减少了无线网络管理和维护费用的同时更加增强了无线网络的性能，为办公提供精细的用户管理。通过有线、无线一体化的管理平台，办公可以非常清楚的看到无线网络的运营状况，无线客户的流量和用户的上网习惯，从而可以选择是否要调整热点地区的AP数量。可以说，第三代无线局域网不但满足了办公对无线网络可运营、可管理的需求，还增加了很多丰富的功能，为办公提供了更加丰富的运营模式选择，将是未来热点地区WLAN网络建设的优选方案4) AP点位统计苏州WLAN设备数量统计编号网点单位设备名称数量备注1自助网点台无线AP25每自助网点一台2中心网点台AC无线控制器1最大管理512个AP3自助网点台POE交换机25每自助网点一台，建议9口4中心网点套网管/认证系统1最大1000并发用户说明：需要根据现场情况增加或减少设备。5) AP数量统计本次苏州银行WLAN覆盖工程共设计室内型AP 25台，POE交换机25台，AC主控器1台。二、 设计思路与依据工程设计依据： 中国电信移动电话室内布线系统方案设计暂行规定； 800MHz CDMA数字蜂窝移动通信系统设备总技术规范第二部分:基站子系统(暂行规定) ，YD/T 1029-1999； 800MHz CDMA数字蜂窝移动通信系统设备总技术规范第三部分:移动台(暂行规定)，YD/T 1028-1999； CCITT和STD28标准； 电磁环境卫生按联合国世界卫生组织(WTO)与中华人民共和国国家标准GB9175-88；天线口的辐射功率15dBm。 无线WLAN通信工程设计规范； 无线WLAN通信工程施工要求及验收规范； GB/T 50311-2000建筑与建筑群综合布线系统工程设计规范； GB/T 50312-2000建筑与建筑群综合布线系统工程验收规范； 现场勘查、测试数据和资料。三、 网络安全及管理需求1）要求WLAN网络具备多个层面的安全性：设备层面、接入层面。l 要求AP支持丰富的安全特性：l 支持64、128位WEP加密，WPA， 802.11i和WAPIl 支持AP上二层转发抑制，以做用户隔离l 支持虚拟AP(多SSID)之间的隔离l 支持报文过滤l 支持802.1X认证、MAC地址认证、PPPoE认证l 支持MAC地址过滤l 要求系统能检测非法入侵的AP。苏州银行除了要对用户的身份加以认证外，还必须保证所有人的通信不会被中间人截获、窃听甚至篡改。这就要求该无线网络必须拥有较强的加密能力。本公司AP设备支持目前最先进的各种加密算法AES，并支持802.11和802.11i中规定的各种加密模式，包括WEP、TKIP和CCMP等，完全可以满足用户的安全需要。当用户使用这些加密方式时，其他人使用任何设备均不可能破解用户传输的内容。2） 网络管理需求l 要求本次WLAN设备可集中管理。l 要求支持通过标准网络管理协议SNMP对WLAN设备做管理。l 要求支持本地维护和远程维护。作为接入层网络，苏州银行的无线网络需要较多的AP，维护工作量较大，加之无线网络的灵活性和不可见性，如果对每个AP进行单独管理则会造成较高的维护开销，也给管理人员带来了一定的难度。而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。无线业务管理器应能对无线网络中的AP、AC等设备作到统一管理。无线业务管理器依托管理智能管理平台，实现有线无线一体化的管理，在系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。 四、 WLAN 建设方案1. 建设原则结合WLAN的实际应用和发展要求，WLAN系统设计主要遵循以下系统总体原则：u 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。u 安全性原则：大楼内有关数据有一定的安全需要，需要有加密和认证的机制。不能随意被外来人员接入。 u 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。u 成熟和先进性原则：由于WLAN应用于运营网络仍然属于新兴技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。u 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和移动WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。u 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。u 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。u 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。2. 组网方案根据上述苏州银行WLAN网络建设的各项需求，这里采用FIT AP室内覆盖式组网模式：（1） 在上述要求的各网点部署AP，实现用户移动端的无线接入；（2） 所有AP统一采用PoE方式供电；楼PoE交换机负责AP的接入和供电。所有POE交换机通过上行电口接入到运营商在苏州银行已经布放的链路上。（3） Internet链路接入，由根据现有情况考虑增加现有30M长城宽带出口；（4） AC无线控制器作为苏州银行WLAN网络的核心，负责所有AP的集中管理、数据交换、安全加密等功能。苏州银行WLAN组网示意图 (5) 室内系统之间的干扰问题由于WLAN信道有限为113 ，为解决相邻信道频率之间的干扰，在AP点信道使用时取1、6、11进行重复使用。 五、方案特点 全面的WLAN覆盖效果，确保苏州银行WLAN服务质量 集中统一的WLAN网络管理，便于维护 企业级的WLAN设备，具备可靠性，确保WLAN网络的稳定性 FIT AP组网方案，具备非常丰富的智能特性，如智能负载均衡、智能射频管理等 层次化的WLAN安全部署（设备具备丰富的安全特性、用户通过认证才能接入），确保WLAN网络的高安全 WLAN整体优势：强大的研发团队，自主知识产权，快速响应客户需求；完善的服务体系，本地化的售后服务和备件库。六 设备选型及产品介绍1. 主设备AC无线控制器1) 产品外观正面视图：2) 产品（220V AC）外观背面视图：3) 产品接口如下图所示：1) AC产品概述128盒式AC（AC，Access Controller，接入控制器）是本公司自主开发的高可靠、高性能的无线接入控制器产品，具备功能全面、性能稳定、业务丰富等特点，提供强大的WLAN接入管理与控制能力，提供VLAN、QoS、DHCP等业务支持能力，提供用户接入管理与控制能力，支持用户漫游及切换等功能，支持鉴权与计费接口。采用了集成的软硬件一体化设计，与本公司的系列无线接入点设备（AP，Access Point）产品配套使用，支持最多512线AP接入与管理，支持8K个用户接入网络，支持最大4GMbps的CAPWAP数据吞吐量。2) 产品规格描述类别规格项规格描述系统容量主要容量参数 AP数目：512 用户数目：8K 吞吐量：4Gbps其他参数 VLAN数目：4094 ACL规则数目：20*64 MAC表容量：2K 路由表容量：32K 时延：60120us 时延抖动：30us通信协议物理层MAC层协议802.1d、802.1s、802.1p、802.1q、802.1w、802.3、802.3ab、802.3u、802.3x、802.3z、ARP、Reverse ARP、multi-LAN ARP/Proxy ARP802.11系协议802.11n、802.11b、802.11a、802.11g、802.11d、802.11h、802.11i、802.11eIP层及上层协议RFC768 UDP、RFC791 IP、RFC792 ICMP、RFC793 TCP、RFC854 Telnet、RFC1191 Path MTU Discovery、RFC1542 BOOTP、RFC1519 Classless Inter-Domain Routing（CIDR）、RFC1812 IP router requirements、RFC2236 IGMP&IGMPv2接入控制与安全无线接入安全 开放系统 支持WEP 支持WPA/WPA2 PSK 支持802.1x 支持802.11i 支持WAPI认证计费 支持PPPoE认证 支持Portal认证 支持AAA计费网络安全 支持DDOS预防 支持ACL 支持无线IPS/IDS，包括非法AP检测、非法终端检测AAA RADIUS Client 支持认证服务器多域配置 支持认证/记费服务器主备连 支持认证和计费服务器分离业务安全 用户业务隔离 支持白名单 支持静态/动态黑名单网络功能IP路由相关功能 DHCP Server/Client/Relay NTP Server、FTP Server IP静态路由 RIPv1、RIPv2功能； NAT/NPATAP/AC之间组网 AP/AC之间通过三层安全隧道进行连接 二层业务的集中交换、分布式交换和混合交换漫游 支持AC内、跨AC漫游能力外部网络互联 AC与外部网络之间采用二层转发或三层转发 二层转发支持STP协议，支持802.1Q 三层转发支持RIP2/OSPF协议转发模式 支持集中转发，所有业务集中到AC上进行转发 支持分布式转发，部分AP或SSID的业务在瘦AP本地转发设备管理网管通道 支持基于WEB/SSH的本地关联 支持通过SNMP接入远程管理 支持通过OMC进行全网的统一管理网管功能 通过AC集中对AP进行配置，AP零配置运行。 通过AC集中获得设备运行状态和告警信息。 通过AC集中对网络性能参数进行测量。 通过AC检测网络拓扑（包括MESH拓扑），上报到网管中心。 通过AC集中对软件版本进行管理 通过AC支持远程版本升级、批量版本升级、定时版本升级 支持自动版本升级日志管理 设备运行日志管理 设备操作日志管理SNMP协议支持SNMP v2/v3协议，支持以下标准MIB： 基于TCP/IP 的互联网管理信息库MIB-II（RFC1213）协议 MIB-II接口组的发展（RFC1573）协议 类似以太网接口类型的管理对象定义（RFC1643）协议 ISO/IEC 8802-11:1999、IEEE802.11b、ISO/IEC 8802-11:1999/Amd 1:2000、IEEE 802.11g 和IEEE 802.11i 定义的MIBQoS管理用户流量控制 支持基于域的用户流量控制（以VLAN、SSID作为配置域） 支持用户级流量控制，根据Radius服务器的签约信息进行流控业务优先级 支持802.11e，对不同优先级的业务提供不同的服务 支持根据SSID映射用户QOS等级 支持802.1p，二层报文的优先级映射负荷均衡控制 支持基于优先级和负荷的AP/AC关联 支持相邻AP之间基于用户数和流量的负荷均衡智能射频管理自动信道 支持静态信道配置 支持AP上电时的自动信道配置 支持AP运行过程中的自动信道配置 可配置自动信道选择列表自动发射功率 静态发射功率设置 支持自动发射功率，以进行覆盖补偿 支持基于STA的自动发射功率，以提高系统吞吐量自动速率 基于STA的自动速率选择 支持最大发射速率限制功能可靠性AC冗余 基于负荷分担的N1备份 正常情况下，各AC采用负荷分担策略 AC故障状态时，负荷切换到其他AC,切换策略可配置 端口冗余：支持多端口捆绑功能 集中的无线网络管理AC可以根据容量需求独立部署，也可以与WLAN3000认证和计费平台配套部署，提供电信级的网络管理，可以对AP进行管理，也可以对用户进行管理，简化了运营网络的部署和维护。 集中的无线网络安全无线网络安全支持WEP/WPA/WPA2/802.1x方式，支持无线IPS/IDS，支持二层用户的隔离，支持集中的ACL控制。支持多种认证方式：支持802.1x认证，支持MAC地址认证，Portal认证，PPPoE认证与WAPI方式认证。支持非法AP检测及后续处理，支持无线攻击防御，支持静态黑白名单，减少非法用户对无线网络冲击。 运营级无线用户管理以用户为颗粒度，实现用户鉴权、接入与计费等，支持用户的地理定位能力，支持用户QoS流量控制能力，支持基于MAC的接入控制，支持基于MAC的VLAN控制，满足无线网络运营的需求。支持用户漫游、切换能力，支持层3与层2漫游与切换能力，实现在漫游切换场景下统一计费能力。 灵活的业务流交换方式GB系列AC与AP支持二层和三层的路由组网，支持集中交换、分布式交换、混合交换等交换方式，满足运营网络的多种组网需求。 智能无线资源管理支持无线信道频点、功率、速率与无线高级参数配置的管理，支持无线信道智能切换，支持无线功能智能调整，支持用户负荷分担，最大程度提高无线资源使用效率。 全面的业务QoS保证支持报文分类和流量控制，支持DSCP流量调度，支持端到端的QoS映射，支持802.11e，支持负荷均衡和接纳控制。 系统冗余备份功能GB系列AC支持1+1方式热备份能力，支持N+1方式的冗余备份功能，提高系统的高可靠性。 硬件特性符合EIA RS-310C上架标准，1U高，可安装在19英寸标准机架上。工业级硬件设计，全钢结构设计，满足高可靠性和大容量处理要求。网络接口，4个千兆电口（RJ45）。220V AC供电。2. AP无线接入终端产品前视图产品后视图1) 概述无线接入点是本公司为室内无线应用环境设计的单频11无线接入点。GB产品形态丰富多样，满足用户在各种室内应用环境下对无线接入的需求。另外，产品还具备丰富的移动、安全和管理特性，通过配合无线控制器设备可为用户提供基于零配置的安全移动网络。产品特点类别规格项规格描述无线特性无线模块模块1：802.11 b/g/n SISO 11工作频段802.11 b/g/n：2.4122.472 GHz, 13个信道（3个非重叠信道）调制速率802.11b：11,5.5,2,1Mbps, DSSS；802.11g：54,48,36,24,18,14,9,6 Mbps,OFDM；802.11n：MCS0MCS15,OFDM；最大发射功率2.4G: 27dBm接收灵敏度802.11b-93dBm1Mbps-91dBm2Mbps-90dBm5.5Mbps-87dBm11Mbps802.11g-91dBm6Mbps-90dBm9Mbps-87dBm12Mbps-85dBm18Mbps-82dBm24Mbps-78dBm36Mbps-73dBm48Mbps-72dBm54Mbps802.11n2.4GHT20-85dBmMCS0/MCS8-82dBmMCS1/MCS9-80dBmMCS2/MCS10-77dBmMCS3/MCS11-73dBmMCS4/MCS12-69dBmMCS5/MCS13-68dBmMCS6/MCS14-67dBmMCS7/MCS15HT40-82dBmMCS0/MCS8-79dBmMCS1/MCS9-77dBmMCS2/MCS10-74dBmMCS3/MCS11-73dBmMCS4/MCS12-70dBmMCS5/MCS13-66dBmMCS6/MCS14-64dBmMCS7/MCS15组网多SSID最大支持16个SSID组网方式多种方式灵活组网：胖AP：各自独立工作瘦AP：与AC协调工作QoSQoS支持802.11e支持TOS映射支持流量控制安全无线安全接入控制列表Open SystemWEP 64/128 BITSWPA、WPA2802.1xWAPIMAC地址过滤支持基于协议、IP地址、协议端口的过滤VLAN802.1Q管理内置WEB服务器使用直接方便SNMP协议支持SNMP v2c/v3接口空口接入管理可以通过空中接口进行管理网络级管理通过网络管理系统，对多个AP进行全网管理u 严格的安全性(11N)室内无线接入点完全遵循业界安全标准进行设计，提供包括WEP、WPA、WPA2、802.11i 在内的数据认证加密标准。并提供MAC、WEB、802.1x认证和非法AP检测、无线用户隔离、无线用户黑白名单等安全特性，为用户提供稳定的无线安全应用环境。u 即插即用的零配置部署(11N)室内无线接入点支持即插即用的零配置部署特性。利用该特性，网络管理员可通过无线控制器对网络中的GB(11N)设备进行集中化统一管理，实现设备软件版本的自动升级、配置数据的自动下发、射频参数的自动调整，极大减轻网络的建设和运维成本。u 室内化的FIT AP模式(11N)室内无线接入点根据应用需求可以通过软件配置为胖AP模式单独工作或配置为瘦AP模式与无线控制器协同工作。当工作在瘦AP模式时，还可以根据接入用户的角色来决策数据的转发策略，为用户数据提供优化的转发路径。u 简洁美观的工业设计(11N)室内无线接入点外形简洁美观，方便与各种室内环境搭配放置。提供壁挂和桌面放装两种安装方式，满足各种使用环境的部署需求。还具备POE远程受电能力，避免由电源线所带来的麻烦。u 硬件特性 GB(11N) 系列室内型AP设备有如下功能特点： 无线模块支持GB15629.11-2003 GB15629.1102-2003,GB15629.1104-2006 等WAPI功能。 同时支持16个SSID。 支持网络管理系统集中管理。 供电方式：POE（802.3at），48V DC，+/-10。 外观尺寸为： 195(宽)mm40(高)mm105mm(深) 采用国际流行室内型设备色系，设备庄重整洁。 整机具有良好的电磁兼容性能，EMC等级达到Class B。 整机安全防护等级达到IP31。 设备采用自然散热方式，可靠性高，维护方便。 最大接入用户数量128个。七、设备安装1、设备安装要求原则本说明只针对该系统室内及系统设计方案的安装，不涉及基站设备安装； 根据本系统设备安装图和相关通信施工规范安装本期工程设备； 安装设备的位置周边附近不应有强电、强磁和强腐蚀的设备及干扰源存在； 设备的安装位置应便于维修、检测和散热的需要以确保有源设备的安全工作； 设备的安装必须牢固可靠； 供电条件稳定可靠，具备良好的接地性能。 根据设计文件贴上标签表示注明设备的名称、编号；2、防水处理分布系统的所有器件均安装于室内干燥地方，连接口处应采用专用防水胶（布）进行处理。八 质量控制具体方案为保证工程质量，我们制定了一系列的规程并严格按照这些规程操作，它们主要包括：a） 设立专门的器材员，对各类设备质量严格把关，并实行采购、器材员、工程人员、主管一票否决制。b） 设计人员由公司的经验丰富的工程师直接负责，并严格按照现场测试、设计预案、现场模拟、方案调整、现场施工的顺序进行。c） 现场施工由公司的工程师完成，他们都拥有助理工程师以上的职称，经验丰富。d） 和客户一起进行严格的初验和终验。九、 认证和计费系统1. AC组网方案1) 系统部署概述整个系统使用多台AC实现AP的管理和用户接入控制，双Radius Server ，双Portal Server冗余设计、旁路部署、远程自动备份设计，能够满足大容量用户认证需求，设计用户容量为50万用户，同时在线人数为用户，用户认证报文处理能力3000个/秒。支持标准radius协议，支持Huawei,H3C ,Juniper,CISCO,Ruije,神码私有属性下发，支持RFC2865/2866协议。 2) 临时访客和办公区用户分离存放，集中认证。单SSID部署。系统架构组成多AC群：负责AP的参数下发，管理，对用户的接入控制部分，能够对用户的上下线时间、访问的所有流量进行准确统计和分析，便于运营商采用任何方案的计费策略。借助于AC的时间ACL、目的访问ACL，带宽策略下发，能够灵活的对用户的上网时间及访问流量，使用带宽进行有效控制。wlan 3000 Radius Proxy：提供对Radius 报文的分析，处理，加工，并配合wlan3000 专用防代理，防私接系统，支持多种AC，能够提供了专门的属性扩展，并提供COA技术，实现由Radius Server 端发起用户的下线，授权变更，对用户的上网做完整的控制，wlan3000 Radius 采用内存处理技术，内部可以最多存放10万条明细，支持在链路中断的情况下独立运行，同时配合NAS 支持主备Raidus平滑切换。 Wlan 3000 Portal Server: 通过AC转发WiFi无线终端上线、下线信息、其它通知信息，提供强制PORTAL、认证页面推送、用户认证、静态密码认证、动态密码认证和用户服务等功能。支持用户自定义广告推送，短信密码获取，重要通知发送。 Wlan3000 用户管理系统：存储访客用户信息，提供营业厅访客数据的临时存放，提供访问策略的制定，用户URL分析，用户带宽策略制定下发，统计报表，上网分布，用户在线情况监控等功能。备份服务器：用户备份用户数据、可以是数据库备份服务器、用户自助服务备份服务器、支持远程备份及虚拟化技术。3) 集团公众用户（SSID-CMCC）业务处理流程：a) 用户使用STA浏览器发起访问请求，AC 对用户的访问页面做重定向处理，用户访问Portal Server ，输入用户名密码后，Portal Server 通过Portal 协议将用户名密码提交给AC，由AC向AAA 服务器发出认证请求。b) wlan3000 Radius Proxy 得到AC发送的Radius 认证报文，如果是本地用户，就做本地用户认证，如果是漫游用户提交中心的AAA做认证处理。2. 系统方案特点1) 强制PORTAL用户通过WEB浏览器发起首次Internet访问请求后，AC可以将该请求强制转发到PORTAL服务系统，PORTAL接收请求后，基于特定策略，向用户推送不同的WEB认证页面2) 认证页面推送l PORTAL认证页面接收到用户页面请求时，向用户推送统一定制的认证页面；l 认证页面应同时提供“静态密码登录”和“动态密码登录”两种选择；短信猫,短信接口，令牌方式获取密码。l 用户使用预定免费时间后，自动下线，重新申请密码后可以登录上网3) WEB PORTAL静态密码认证当采用WEB PORTAL静态密码认证方式时，PORTAL服务系统接收到用户认证请求信息后，向RADIUS服务器发起密码认证过程，认证结束后，PORTAL服务系统将认证结果返回给用户。如果用户未开通业务，需页面提示开户方法。4) WEB PORTAL的MAC认证l 当用户第一次通过WEB PORTAL认证方式成功认证后，PORTAL服务系统都将推送用户是否希望绑定MAC地址作为以后登录的认证方式；l 若用户选择绑定MAC地址认证，PORTAL将通知RADIUS为该MAC地址生成一个与该用户WEB PORTAL账号相关的全新账号和随机密码，即下次用户连接上WiFi网络无线信号时，只要打开网页，Radius即可以通过获取的WiFi终端MAC地址进行认证，并通过认证流程后正常上网；l 若用户不选择绑定MAC地址认证，即下次用户连接上WiFi网络时，仍需通过WEB PORTAL认证过程才能正常上网；l 用户可以通过PORTAL自服务网站取消MAC地址绑定；l PORTAL服务系统可以设置特定WEB PORTAL用户账号才会启用MAC绑定页面推送；l PORTAL服务系统可以设置开启或关断MAC绑定认证功能。5) WiFi终端PORTAl页面UA自适应l PORTAL服务系统支持WiFi终端UA信息适配功能，为不同类型的WiFi终端（包括IPHONE、IPAD、Andriod手机、笔记本）推送适合不同终端的定制PORTAL页面和认证功能。l PORTAL服务系统根据WiFi终端发起的HTTP请求所携带的UA（User Agent）信息中的终端型号字段，为终端推送适配其屏幕规格的PORTAL页面，页面尺寸、字体大小、图片尺寸等均需适配相应终端，并可以为不同终端推送不同页面内容的PORTAL页面。6) 支持不同SSID的不同PORTAL页面 根据用户接入的不同SSID，为用户推送不同定制PORTAL页面7) 基于不同SSID和不同AP的PORTAL页面功能PORTAL服务系统配合AC完成强制PORTAL功能时，AC会根据不同的用户位置、不同AP、不同SSID向PORTAL服务系统发送相关信息，由PORTAL向用户推送具有个性化的PORTAL页面，以便开展与位置相关或企业用户相关的广告业务。8) 认证成功后的页面推送WiFi用户认证成功后，由PORTAL服务系统向用户推送门户网站，用户通过门户网站可以查看广告以及办理银行提供的其它服务。9) PORTAL服务系统网站管理功能a) PORTAL管理员权限分级设置对管理员进行权限分级，不同权限对不同PORTAL页面和推送页面有不同的操作权限；b) 接入AC管理管理各个接入PORTAL服务系统的AC。可以根据不同型号、不同地区的AC，设置它与PORTAL服务系统通信的细节，例如双方通信时使用的密码、使用协议、额外的协议属性、接入服务器本地通信端口等，为双方进行数据交换所需信息；c) PORTAL服务系统支持各种PORTAL认证页面和推送页面的设置和管理；d) 支持页面的预览、生效和回滚功能；e) 支持页面文字、链接的更新；f) 日志管理记录PORTAL服务系统的运行情况，方便管理员及时发现服务器存在的问题。同时还会记录各管理人员修改各种设置的记录。3.Wlan 3000系统特点wlan 3000 安全认证网络管理系统作为电信级的数据接入业务的综合认证与计费及其管理系统，在设计与开发时将充分考虑性能方面的要求，从而提供良好的性能。在认证方面，系统在提供完整而复杂的认证功能时，仍然能够提供优良的认证性能，能够满足数据接入服务运营商的大用户量、认证需求多的业务情况。在系统管理方面，系统提供友好的Web界面，并且大多数操作能够在1秒钟之内完成，能够保证正常的业务生产。在安全性方面，系统提供主备Portal和主备Radius server 的方式，使得用户的认证在任何时刻得到保证，同时数据的备份也每天提供全库，本地异地同时备份，保证用户数据的安全。1) 性能优势经过多年的发展，深澜软件的认证网关依然保持着业内性能最高的认证网关，其第三代产品wlan 3000安全认证网络管理计费系统，实现了多进多出全千兆（多链路聚合技术），采用多路4核至强CPU，内核级别操作系统的方式，继承了Red Hat Linux系统优异的稳定和高性能的优点，采用了开放的Linux操作系统作为应用开发平台，全WEB管理模式、支持IPv4/v6双栈技术，实现了全千兆全线速转发能力，链路聚合模式下，可以支持6G级别的全速转发能力，支持万兆，在万兆模式下，性能达到双向15G的速转发能力。很多高带宽的211院校，比如，清华大学（出口10G），北京师范大学（出口1.45G）北京理工大学（出口1.35G）北京航空航天大学（出口1.45G）西安交通大学（学生区1G），浙江大学（出口4G）等等都证明了wlan 3000卓越的性能。同时2011年，wlan 3000推出了第四代网关技术的认证计费系统，使用最新的采用MIPS架构，可以实现64字节包10G全线速的转发能力，支持双万兆链路的聚合技术。2) 多认证模式统一部署及可伸缩性系统设计采用了多体系模块化设计，管理功能模块既可以分散部署，也可以集中部署，根据可靠性、安全性、预算，用户可以很灵活的进行部署，并具有完善的无缝结合功能，即可以将Radius Server、数据库、用户自助服务系统、策略管理平台融合在一台服务器上，也可以将Radius Server、数据库、用户自助服务系统、策略管理平台分别部署在不同的服务器上。wlan 3000支持多种接入认证模式：WEB、DHCP+、VLAN ID、802.1x，专用客户端、pppoe、L2TP等，支持无线网络的统一认证wlan 3000内置Radius 服务器，支持所有的RADIUS RFCs (rfc1157 rfc1227 rfc1448 rfc1901 rfc1905 rfc2243 rfc2289 rfc2433 rfc2548 rfc2607 rfc2618 rfc2619 rfc2620 rfc2621 rfc2716 rfc2759 rfc2809 rfc2865 rfc2866 rfc2867 rfc2868 rfc2869 rfc2882 rfc2924 rfc3162 rfc3575 rfc3576 rfc3579 rfc3580 rfc3748 rfc4372 rfc4675 rfc4679 rfc4818 rfc4849 rfc5080.)支持 PAP, CHAP, MS-CHAP, MS-CHAPv2, SIP Digest、PEAP、EAP-MD5, LEAP, TLS, TTLS, PEAP-GTC, PEAP-MSCHAPv2. EAP-SIM and EAP-AKA optional.。3) 灵活性上的优势 我们在设计wlan 3000 安全认证网络管理计费系列解决方案时，充分考虑了一个主要考虑因素：如何才能将解决方案有效便利的部署在网络运营环境中。分阶段的部署接入认证计费解决方案适用于大多数管理这，允许循序渐进地部署控制管理功能。实际上，并非所有的用户需求都是相同的，虽然某些用户需求可能只需某个级别的接入控制，但其他用户需求则可能需要完整的解决方案来满足运营规章制度。而wlan 3000的解决方案支持多种实施方法，并能够将现有基础设施作为组件给予最充分的利用。灵活的接入认证计费管理是运营部门另外考虑的一个重点。网络是动态的，不是静态的，用户也是动态的，不是静态的，wlan 3000系列解决方案能够与网络及用户保持同步变化。这也是支持多种部署方式的wlan 3000 受到普遍欢迎的原因之一。它允许您随时利用特定的高级技术，并尽量使用常见设备。不管选择何种部署方式，您都可以添加另一个执行方法，无需大幅度改造或替换现有部署。基于开放规范和标准的解决方案是确保此类互操作性的最佳方法之一，也是wlan 3000系列产品的特点之一。某些认证产品，包括声称提供“协作”功能或支持“整个行业”标准的解决方案，实际上只依赖一家供应商的专用产品或协议（如专有的硬件环境，不可剥离的管理方式等）。wlan 3000 通过和多家合作伙伴的合作，充分的考虑到客户的投资资产，它能够保护现有投资包括不同的端点供应商安全解决方案、不同的审计日志记录解决方案、不同的网络基础设施（如交换机或路由器）以及不同的授权协议等，而且不会使您的网络被锁定在单一供应商的解决方案中。4) 安全性优势接入认证计费系统最终是为了有效的管理用户和控制网络，作为核心应用和产生费用状态，必须确保安全性。wlan 3000 系列产品在网络中执行策略，意味着恶意用户无法逃避安全检查，并允许在加密的通道上评估并执行策略。wlan 3000 可以兼容任何平台的专用客户端来确保在批准接入网络资源之前验证端点用户的身份以及用户流量的真实性。管理人员可以让用户使用wlan 3000 专用客户端使用动态加密方式，虽然这种做法有点过火，但却非常有用。wlan 3000 使用多种属性的绑定技术来有效的管理用户，但同时又可以提供基于策略的漫游技术来保证灵活性。wlan 3000 的后台管理系统是安全可靠的，其通过加固后的服务来抵御已知安全漏洞和攻击向量。此外，wlan 3000 后台管理系统是加密的，并且可以通过磁盘加密方法来保护机密数据。wlan 3000的数据库系统使用镜像技术，可以采用多种容灾方式，如异地容灾，远程数据库备份，HA高可靠性技术等。5) 高可用性设计wlan 3000 安全认证网络管理计费系统负责用户的接入、认证、计费控制的主要系统，是整个系统中最重要的部分，因此wlan 3000 安全认证计费系统具有自带的数据保护技术，支持数据库故障和认证网关故障的数据安全，其高可用性通过以下两方面实现：后台的数据库故障： wlan 3000 Radius保存有数据库故障前的所有用户资料，因此wlan 3000可以独立运行完成用户的认证请求，wlan 3000认证网关利用内置的数据保护系统可以存储多达20万用户的用户完整信息、用户状态、可以存储200万条用户明细记录和登陆记录，由于wlan 3000 具有完整的用户信息，包括用户余额，结合设置的计费策略，wlan 3000可以实时依据余额判断用户可用时长及流量并根据用户的使用情况进行实施控制，避免用户产生欠费。待后台数据库恢复后，可以将wlan 3000的信息恢复到数据库中。由于wlan 3000支持标准的PC服务器架构，用户只需要将备份系统安装在PC服务器中即可，大量的节约了用户的成本和提高了工作效率，支持任何X86架构服务器及Power服务器。6) 详尽用户上网访问日志wlan 3000 认证网关在对于用户访问记录的记录方面是非常完善的，可为访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时，自动分配一个新的访问记录文件，可以通过写文件或者写数据库的形式保存访问记录，保证了访问记录的完整性和灵活性。访问日志是通过写文件的形式存储到数据库服务器硬盘里面的，存储时间的长短，取决于硬盘空间的大小。只要硬盘空间足够大，就可以存储相当的日志文件，并且保证数据不会丢失。在访问记录中您可以随时查询到：账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为等等。另外可根据需要增加所需字段，如用户操作系统标志、交换机标记、楼层标记等字段等。7) 用户在线监控管理wlan 3000 安全认证网络管理计费系统提供完整的在线用户监控子系统，能够实时监控用户的上网状态，包括当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、TCP连接数、源IP、源MAC等详细信息，如下图：无线用户配合AC WLAN认证在线wlan 3000 用户在线监控管理系统可以与IDS、防火墙、信息安全审计系统等实现对接,将以上系统采集的检测信息与wlan 3000 安全认证网络管理计费系统的用户