WLAN企业级Portal和认证系统解决方案

1、成果上报申请书成果名称wlan企业级portal和认证系统解决方案成果申报单位 北京 省（自治区/直辖市）公司成果承担部门/分公司数据业务部 部门 / 分公司项目负责人姓名项目负责人联系电话和email项目参与人姓名成果专业类别*数据业务所属专业部门*（按填写说明3）数据线条成果研究类别*相关网络解决方案省内评审结果*（按填写说明4）关键词索引（35个）wlan、portal、认证、计费应用投资90万元（指别的省引入应用大致需要的投资金额）产品版权归属单位中国移动北京公司对企业现有标准规范的符合度：（按填写说明5）符合集团公司wlan相关技术规范，包括中国移动wlan业务portal协议规范v

2、2.0如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：成果简介：简要描述成果目的和意义，解决的问题，取得的社会和经济效益。目的和意义：贴近市场、满足客户多样的需求，提供企业wlan接入的完整解决方案。有效提高了wlan网络的业务承载量，增加了wlan业务的收入，提高了中国移动的业务竞争能力。主要解决的问题包括：目前中国移动wlan网络已经形成规模，但是业务量和收入很小。并且越来越多的企业用户依赖其他wlan无线网络服务提供商提供的网络和服务组建自己wlan无线网络。为了走出目前的困境，在北

3、京建设一套统一的企业portal、认证中心，提供丰富灵活的企业用户解决方案，可以按照企业或不同的接入区域，甚至不同用户的进行定制的portal呈现，并使用灵活的认证和计费方式。1. portal的定制化推送和呈现： 按照ip地址，对wlan网络内不同热点推送统一的portal页面 （例如，wlan覆盖范围内，连锁企业呈现统一的企业portal页面） 按照ip地址，对同一热点内不同位置推送不同的portal页面（例如：写字楼内多家公司使用各自的portal登陆页面，或者会议中心内不同会议区推送不同会议主题的portal页面） 通过绑定mac地址+分析cookie，进行不同用户的定制页面推送 （例

4、如，vip用户、管理员登陆网络推送不同页面） 按照不同ssid推送不同portal页面 （例如，可以在公共wlan覆盖的区域如大学校园、大型活动场所，提供不同用户的用户登陆页面和计费方式）2. 灵活的认证和计费 可以提供不同的认证方式，包括web页面认证方式，短信认证方式等，结合portal推送方式，对不同的类型客户、不同区域、以及企业的不同需求，提供不同的业务流程和认证方式。方便客户使用和操作。 不仅可以对中国移动用户提供提供全网统一的wlan套餐或流量计费，也可以针对不同企业和客户提供定制的计费策略。（例如，酒店可以自己卖上网卡，可以根据酒店自己制定的计费标准，进行结算。还可以和酒店的结算

5、中心联网，在用户退房时统一出账。不需要就酒店自己建设认证和计费中心）省内试运行效果：描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。此方案在2008年北京奥运会非竞赛场馆-北京首都机场、北京国际会议中心等热点进行了使用，灵活的客户化方案大大提升了市场竞争力，推进了wlan业务量增长。文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，一、背景情况目前中国移动wlan网络已形成一定规模，但很多省市的wlan业务量并不大，同样目前在北京也存在这个问题。尤其是目前覆盖的热点和企业客户，正在从2003年刚开始接触无线局域网的被动接受方式，到逐渐有自己的需求和

6、个性化的运营模式，需要中国移动wlan网络提供更丰富灵活的portal、认证和计费，并同时留出一定的运营自主权给企业客户，从而实现中国移动和wlan企业客户的共赢。二、技术方案：概述、网络解决方案（如果涉及到网络方面的改造，信令改造，路由改造等，应有详细的描述）、设备及系统改造/建设要求、码号资源需求下面以北京首都机场的portal及认证中心为例，详细描述一下网络解决方案。1、软件部分设计1.1功能需求1.1.1. 一期功能需求1.认证系统的portal；2.北京移动wlan的认证门户；3.体验（免费账户）认证；4.认证计费；5.网页防篡改(领信web盾)1.1.2. 后续扩展功能6.系统网管

7、；7.计费卡模式认证；8.与其他认证系统(机场认证系统)信息交换9.多热点支持1.2软件功能设计1.2.1portal设计方案首页的门户支持用户选择3种认证模式：cmcc体验机场认证。门户设计如下a) 中国移动cmcc服务b) 机场无线认证服务c) 北京移动无线免费体验服务1.2.2体验用户设计方案l 发送手机号码和认证密码给短信网关； l 短信网关吧密码发送到用户终端； l 用户通过页面提交认证； l portal服务器返回认证结果；策略:l 体验帐户名使用用户手机号码； l 体验帐户密码为6位数字； l 限制体验帐户(单一手机号)在一定时间(1小时)内多次(3次)认证1.2.3多热点支持采

8、用独立服务器，多工程的模式。2、网络部分设计2.1网络拓扑结构2.2方案说明2.2.1部署模式：在同一局点机房部署认证系统及备份系统；2.2.2系统部署系统主服务器（radius和portal服务器）均采用双机热备方式，充分保证系统运行的可靠性和稳定性，对于用户认证的负载分担，采用由2台ac设备进行配置，将用户的认证平均分配到后台2台应用服务器上，进行有效的负载分担。2.2.3安全部署在系统出口部署一对防火墙；在系统中部署ids入侵检测系统一套。2.3路由设计2.3.1全局路由设计作为全局的域内路由协议（igp），在ip城域网络中起着连通骨干、路径选择和自动路由迂回的作用。igp路由协议中，o

9、spf是基于标准的、应用于大型网络的链路状态路由协议。考虑到将支持多业务的接入层网络设备也归入全局路由中，而一般网络设备对ospf的支持更普遍，所以建议采用ospf。下面的设计是按照采用ospf路由协议进行的设计。ospf的进程号采用as号，采用基于链路的md5加密。2.3.2 ospf区域划分为减少处理开销和网络开销，可将网络的主干部分划分为ospf主干区域（区域号为0），骨干区域包括两台cisco2821路由器以及2台cisco3560交换机。2.3.3 ospf路由器id每台运行ospf路由器都以各自的回环（loopback）地址作为ospf路由器id，并加入ospf协议中。核心交换机和

10、汇聚交换机的回环地址加入到area 0 区域，接入层交换机的回环地址加入到各自的区域，保证ospf的正常运行。2.3.4其他路由设计使用静态路由，将静态路由重分布到ospf域中2.4 ip地址划分设备名称本地端口对端设备ip地址子网掩码loopbackospf areacisco2821-1f0/1cisco2821-2752/320f0/2cisco3560-1348cisco2821-2f0/1cisco2821-185219

11、/320f0/2cisco3560-2148cisco3560-1f0/1-2 vlan10cisco3560-2152/320f0/3cisco2821-1448cisco3560-2f0/1-2 vlan20cisco3560-1252/320f0/3cisco2821-2248ip地址子网掩

12、码firewall linktrust-1548firewall linktrust-2348上连设备上联vlan id上连设备地址芯跳地址浮动网关地址本机地址对外服务地址portal server-1 catalyst 3560-1catalyst 3560-21005/287/288/280/28portal server-2 6/289/28上连设备上联vlan

13、id上连设备地址芯跳地址浮动网关地址本机地址对外服务地址db server-1 catalyst 3560-1catalyst 3560-22001/283/284/286/28db server-2 2/285/28上连设备上联vlan id上连设备地址浮动网关地址本机地址ids consolecatalyst 3560-13007/289/2800/28catalyst 3560-2192.16

14、8.0.98/28ids sensor/30/302.5网络安全2.5.1设备安全管理ip网络的安全很大程度体现在网络主干设备的安全性上。如果网络设备容易遭受攻击，整个网络的安全性就无从谈起。cisco设备具有以下安全特性：1）设备交互式访问的安全管理。通过radius/tacacs+等认证系统和技术，可以对访问本设备的用户进行身份验证。cisco的设备可以指定telnet用户的ip地址，也可以关闭整个telnet端口。对于连续3次口令输入不对的用户，将拒绝其登录。正在使用的登录窗口，如果键盘没有输入时间超过规定时间，就关闭的登录进程。还可以通过编制菜单

15、的方式来限制登录者可以进行的动作。2）分级特权登记。cisco的路由器产品可以分配15种不同的特权，每种特权有规定的命令集，这使得每个特权用户只能执行某些命令，从而提高了安全性。3）cisco的网络管理协议版本2支持网络管理主机ip地址的指定和口令指定，除community参数外更增加了额外的安全性。4）cisco的路由器产品支持基于cef的反向路径验证，可以有效地防止地址欺骗。通过访问控制列表的设定，可以防范拒绝服务攻击。5）cisco产品支持离线网管带外网管，通过关闭带内网管接口，设备只能通过专用的管理网络进行管理，从而保证了安全。2.5.2路由协议安全管理路由协议安全管理可以根据路由协议

16、的不同而设计。路由协议的加密可以防止路由协议更新包的欺骗和伪造，从而保证全网路由的可靠性。ospf可以根据每个area进行md5加密。vtp、ntp进行加密。2.5.3网络级安全防火墙系统众多不同网络之间需要采用访问控制措施来保证基础访问的安全。防火墙技术是目前最成熟、最完善的访问控制技术。防火墙是隔离在本地网络与外界网络之间的一道防御系统，是一种由安全软件、硬件平台构成的系统，用来在两个网络之间实施存取控制策略。在网络中防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。

17、防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对内部网络构成威胁的数据。防火墙的作用是防止不希望的、未授权的通信进出被保护的网络。本wireless info系统建设中，将在以下网络之间部署防火墙，保护内部网络的安全。防火墙均采用11冗余方式部署，避免单点故障。l l在wlan接入网络出口部署防火墙；l l在radius服务器和portal服务器之间部署防火墙进行隔离； 入侵检测系统适当配置的防火墙虽然可以将非预期的信息屏蔽在外，但防火墙不能检查不经过它的访问请求，比如来自内部的攻击就不能防范，据idc统计，60%左右的成功的攻

18、击来自于内部，内部如果都使用防火墙就会使得整个系统的维护管理变得异常复杂；防火墙需要开通必须的服务，内部需要收发邮件、需要访问internet、需要提供www和mail服务，在提供正常业务的同时也给了入侵者可乘之机，他可以通过邮件或web浏览攻进网络，也可以直接攻击www和mail服务器；防火墙的策略配置复杂，需要考虑各种协议、inbound和outbound、地址欺骗、先后顺序、隐藏策略、全局策略、目标对象等众多因素，稍有不慎就会出现防护漏洞；防火墙自身存在漏洞，目前最好的防火墙技术都不可避免的存在这样或那样的问题。奥运期间网络的安全性是非常重要的，因此除了防火墙之外，必须部署入侵检测系统，

19、时刻检查和解析所有的访问请求和内容，一旦发现可疑的行为，及时做出适当的响应，以保证将系统调整到“最安全”和“风险最低”的状态。本期工程将在wireless info系统中配置一套入侵检测系统。动态和主动检查和解析所有的访问请求和内容，对可疑的事件做出响应。之所以选择被动检测的ids系统，而不是选择主动防御的ips系统，一是因为奥运系统应该选用成熟的产品以保证系统的稳定性，二是因为从系统组网方式上看，ids系统是以旁路方式并联在系统中，而ips系统则需要串接在系统中工作，这样如果系统产生误报将直接影响网络的正常工作，安全产品就变成网络的故障点，而且从性能上看，ids是旁路工作，对实时性要求不高，

20、而ips串接在网络上就必须有高性能才能保证数据包的高速转发。所以从保证系统的高可用性和可靠性的角度考虑，我们采用了较为成熟的ids入侵检测系统。“成果上报申请书”的填写说明：1、“成果专业类别”指：核心网、无线、传输、ip、网管、业务支撑、管理信息系统、市场研究、通信电源、数据业务、其他。2、“成果研究类别”指：超前研究、新产品开发、相关网络解决方案、现有业务优化、其他。3、“所属专业部门”指：完成该成果的单位在省公司或地市分公司所属的专业线条部门。可填写：规划计划线条、网络线条、业务支撑线条、管理信息系统线条、数据线条、市场线条、集团客户线条、其他。4、“省内评审结果”指：优秀、通过。5、“对企业现有标准规范的符合度”指：列