商业WiFi解决方案技术建议书

目录1概述 11.1简介 11.2运营问题与挑战 11.3总体设计原则 22需求分析与典型场景 32.1典型场景 32.1.1多场景Wi-Fi覆盖 32.1.2便捷的网络接入认证 42.1.3提供实时导航应用 52.1.4市场推广及精准营销 62.1.5商场运营&安全管理 72.1.6安全合规、日志审计 92.2商超ICT建设诉求 93华为商业Wi-Fi解决方案概述 113.1方案定位 113.2方案概览 113.3典型组网 124Wi-Fi覆盖方案 154.1概述 154.1.1AC部署方式 154.1.2AP部署和选型 184.1.3IP地址规划 184.1.4SSID规划 194.1.5射频管理规划 194.1.6高密覆盖场景 205用户认证管理方案 225.1用户身份验证方式 225.1.1短信认证 235.1.2Portal认证 245.1.3微信认证 255.1.4APP认证 275.2用户认证和应用组网 285.3用户策略管理 305.4海量账号管理 315.5分组流量控制 325.6终端的精细化管理 346网络运维方案 356.1WLAN全生命周期管理 356.2掌控网络eSightMobile 366.2.1业务监控 376.2.2区域监控 376.2.3故障诊断 376.2.4无线网络评测 386.3用户资源管理 396.3.1用户数据管理 396.3.2用户数据报表 406.4第三方AP管理 416.5SAC智能应用控制 426.6无线安全管理 436.6.1WIDS/WIPS 436.6.2频谱分析无线干扰源 456.6.3无线钓鱼与RougeAP防护 456.7用户上网行为审计 477安全合规方案 497.1合规审计 497.1.1方案一：统一存储管理 497.1.2方案二：本地存储管理 517.1.3方案选取建议 517.2安全规划 517.2.1有线安全 517.2.2无线空口安全 528eSight无线定位 558.1网络侧定位与终端侧定位 558.1.1网络侧定位 558.1.2终端侧的定位 558.2Wi-Fi定位 568.2.1定位原理 568.2.2组网架构 578.2.3使用场景 578.2.4推荐部署 588.2.5单AP定位 598.3蓝牙定位 598.3.1定位原理 598.3.2组网架构 618.3.3使用场景 618.3.4推荐部署 618.4北向接口 628.4.1整体架构 628.4.2基于eSightWI-FI定位北向接口的应用开发 628.4.3eSight蓝牙定位SDK的二次集成开发 648.5部署方式 648.5.1定位引擎与eSight服务器同机部署 648.5.2定位引擎与eSight服务器同机部署 648.5.3·定位引擎与eSight服务器分机部署 659设备介绍 669.1WLAN接入控制器 669.1.1AC6605接入控制器 669.1.2AC6005接入控制器 679.1.3AP4030DN&AP4130DN接入点 689.1.4AP4030DN-E接入点 699.1.5AP4030TN接入点 709.1.6AP4050DN-E接入点 719.1.7AP4050DN-HD接入点 729.1.8AP5030DN&AP5130DN接入点 739.1.9AP5030DN-C接入点 759.1.10AP5030DN-S无线接入点 769.1.11AP6050DN&AP6150DN接入点 769.1.12AP6310SN-GN接入点 779.1.13AP7030DE接入点 789.1.14AP7050DN-E接入点 799.1.15AP7050DE接入点 809.1.16AP9330DN接入点 819.1.17AD9430DN中心AP 829.1.18AP9131DN&AP9132DN无线接入点 839.2网管和SDN控制器 849.2.1eSight 849.2.2敏捷控制器 85概述简介零售业正处于第三次变革时期，此次变革是基于互联网、移动互联网、云计算、大数据推动的全方位的零售革命，通过线上平台，消费者购物不受时空限制，云计算搜集消费者线上行为并汇总到云端，大数据做深度挖掘，获取消费者的需求。零售商拥有精准的信息后，便可组织供应链资源，满足消费者的需求。而相对于线上，在商品展示、沟通交流、退换货服务等方面，线下购物在体验有无法媲美的优势，消费者线上和线下交叉互动是普遍的购物行为；对于购物中心类的零售业主，利润来源主要来自于租赁业务。如何理解消费者新的购物行为，帮助购物中心品牌改进自己的沟通战略，在合适的时间地点用对的信息与消费者沟通，在每个触点,在家，在路上，在店内，都做到令消费者满意的品牌，才能最终赢得消费者；随着移动终端的普及，购物中心越来越多通过移动营销降低消费者信息的获取成本，提升消费积极性；当消费者来到店内后，为消费者提供个性化的服务、极致的购物体验提升消费者的购物黏性，进而鼓励和促进消费者进行社交网络分享，吸引更多的消费人群，形成传播＋消费的良性循环，这种模式已经成为购物中心普遍的发展趋势；可以总结为移动营销、线下体验、社交传播的O2O（onlinetooffline）运营模式。运营问题与挑战

购物中心商业成功的有三个关键因素，移动营销、极致体验、高效运营；极致体验决定消费者在线下购物之后，是否会产生脑海里产生化学反应，成功黏住消费者；购物中心运营方需要和消费者各个接触点形成及时和有针对性的互动，为消费者提供个性化的体验，构建有黏性的客户关系，才能持续赢得客户；传统购物中心在购物体验存在的一些问题如下：导航：购物中心平面地形通常很复杂，以“迷宫“著称，顾客在购物过程中寻找目的店铺花费较多时间，在购物后为找停车位置而烦恼；信息获取：消费者逛卖场时，希望快捷获取优惠信息，但现在的卖场充斥着各种各样的信息强制推送给消费者，让消费者有类似“垃圾短信“的厌倦感；支付：节假日、人流高峰期经常出现长龙买单现象；休闲：消费者在购物中心要么不能通过WIFI上网，要么连接WIFI上网后不流畅；高效运营面向购物中心业主方，各个环节精益运营，提升工作效率，提高作业准确性，降低劳动强度，零售业目前面临的一些效率问题如下：业务快速上线周期长：大型卖场的上线周期通常超过一个月；ICT运维效率低下：ICT问题不能提前预警，需要维护人员现场处理，事后没有记录闭环等，都导致运维的效率非常低下；及时准确获取客流信息，并分析顾客行为越来约关键；客流信息是衡量商业运营状况的重要指标。通过准确的人流量化数据来研究流量规律，不但可以了解相关设施在运行中的状况，还可以利用这些高精度的数据，进行有效的组织运营工作：通过深入的顾客数据研究，可以最大限度地挖掘卖场的销售潜力，增加销售机会；同时，对于人流密度较大的区域采取相应的措施，还可以进行很好的走向引导和安全预警；购物中心越来越希望准确掌握各个商铺的销售情况，为租赁业务提供数据支持；对顾客购物行为跟踪是另外一个迫切希望获取的数据，挖掘顾客的关注点和潜在购买意向，为调整销售策略提供数据支持；移动营销旨在降低消费者信息获取成本，提升消费积极性；随着高速无线网络和智能设备的普及，消费者越来越依赖移动终端随时随地获取信息，通过移动营销缩线下门店与消费者的距离，吸引消费者消费是成功的第一步；而目前上线的商城类AppS普遍存在的问题有：信息更新少慢，用户粘度不足商户无参与，促销推广受商城限制；注册机制的滥用，不能吸引足够的流量；缺乏会员专属体验没有打通社交传播路径；运维成本高：有线、无线两张网络，网络与业务信息无法实时直观体现，运维成本高。总体设计原则为了保证用户的网络系统具有互操作性和高可靠性，并且易于维护、管理和扩展，全部网络设备均严格执行国际标准和业界标准，以保证采用设备所建立的网络是一个名副其实的开放的网络系统，成为用户信息交换、资源共享的标准平台。在此基础上，在方案设计上充分考虑技术发展的潮流，既兼顾了技术上的成熟性，同时保证了系统的先进性。基于标准化的设计和实现在结构上实现真正开放，基于国际开放式标准，开放的网络使用户可以自由地选择不同厂家的产品，不会受到某些厂家专有标准的限制，最大程度地保护用户的利益。网络设备采用标准的接口和规范和协议，使不同厂家的设备可以顺利地连接。高可靠性为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，保证把局部故障对网络的影响降低到最小。高性能为了及时、迅速地处理网络上传送的数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用（如：无线语音，视频会议系统）对网络带宽的需求。高安全为了保护用户在网络上数据的安全可靠，必须提供多种方式和层次的访问控制，通过使用VPN、包过滤及防火墙等技术保证数据的安全传输。易于安装、操作和管理良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、灵活、有力的工具，使得无论是安装、操作还是使用对用户来说都轻而易举。可扩展性，具备支持目前及未来关键应用的能力随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。资源的高效利用合理利用昂贵的广域网络资源，在有限的资源下，获得最大化的服务质量，同时将网络的运行成本降到最低。需求分析与典型场景典型场景多场景Wi-Fi覆盖应用场景由于商超存在多场景Wi-Fi覆盖需求，不仅有单店铺区域、走廊及电梯，还可能包含地下停车场、表演广场等。不同场景下对无线覆盖的需求各不相同，手工规划难度大，难以保证部署质量以及客户体验。因此，要想保证商场Wi-Fi带来良好的使用体验，无线网络建设必须全方位考虑不同场景，并使用专业的规划设计工具，以保证后期用户网络体验。解决方案 华为商业Wi-Fi解决方案针对单店铺场景、室内高密场景、室外热点覆盖场景及定位业务场景，分别提供了专业化的无线覆盖解决方案，全方位保证商超内流畅的Wi-Fi上网体验。eSight提供专业的网规工具，可快速、准确实现AP布放规划。便捷的网络接入认证应用场景顾客进入商场后，想要找到商场提供的免费Wi-Fi网络，并通过便捷的流程快速接入。解决方案Portal认证是最基本的认证方式之一，在众多商业Wi-Fi场景下被广泛的应用。除提供传统Portal认证外，还提供微信认证、二维码扫描认证、第三方账号认证等多种认证方式。使得用户在接入Wi-Fi网络时，可以直接使用已有账号来接入网络，免去注册时的繁琐操作，大大提高接入Wi-Fi网络时的易用性，同时吸纳大量粉丝，增加商家和顾客之间的粘性。 提供实时导航应用应用场景 购物中心平面地形通常很复杂，以“迷宫“著称，顾客在购物过程中寻找目的店铺花费较多时间；在购物后为找停车位置而烦恼。顾客常常产生以下疑问：哪里有空车位？我要找新开的CHANEL专卖店，该怎么走？我所喜爱的餐馆在哪里？我车放在地下停车场什么位置？解决方案 eSight无线定位系统提供Wi-Fi定位和蓝牙定位功能，并可提供北向接口API给合作伙伴进行对接。由于实时导航类应用对精度和时延有较高要求，推荐使用蓝牙方案，由合作伙伴开发手机APP应用，并集成eSight蓝牙定位SDK进行实时位置呈现。 市场推广及精准营销应用场景在百货商场或购物超市，商家需要借助于商场手机App或微信公众号，第一时间告诉顾客附近有哪些商品在打折，哪些商户再搞促销活动，哪些餐馆正在发放优惠券等。解决方案 商家通过线上和线下数据分析描绘用户行为轨迹和属性，有针对性的推送商家广告信息，提交营销效率，降低盲目营销带来的成本。简单联网服务中快速有效的传达商家信息至用户，达到智能移动端最低成本运营和最关键有效的商业信息广告投放价值。帮助行业商家快速实现“附近的人“转化为“门店的人”。当顾客进入某设定区域时，按照顾客画像设定推送广告。商场运营&安全管理应用场景商场希望通过客流量分析、客流密度统计、顾客进店统计等位置信息数据实时掌握商场内运营动态，分析顾客消费和购物习惯、洞察销售额变因、提升商场竞争力等。 另外，商场节假日或互动营销时容易造成人员大规模聚集，极易引发各种公共安全事故。解决方案 用户行为分析帮助商家量化客流情况、分析人群动线和顾客行为习惯，并据此优化定制更多个性化服务商铺分析帮助商场分析商铺间关联关系，比较商铺间优劣势，分析商铺经营成败，调整租金价格等经营优化分析分析店铺经营状况，分析营销活动价值，有利于给出提升销售业绩的科学方法节能管理根据区域人流和消费习惯等调整人员设置、灯光强度、音乐类型广告价值分析分析广告投放最佳位置、方式和地点，最大化广告覆盖范围公共安全监控密切关注人流分布动向，及时采取应对措施，避免可能的公共安全事故，打造“和谐”商场。安全合规、日志审计应用场景根据公安部82号令，针对酒店、商场、车站等公安重点检测区域，用户上网信息的日志存储留存需要至少保存60天以上。同时提供多维度的安全措施，保障用户使用Wi-Fi网络的安全。解决方案 华为商业Wi-Fi解决方案通过部署华为下一代防火墙和logCenter，为Wi-Fi用户上网提供安全保障，同时对Wi-Fi用户的上网行为进行审计，满足公安部82号令的审查要求。上网行为审计具体体现在对Wi-Fi用户上网信息的日志进行存储，并保存至少60天以上。这些日志包括：用户账户、IP地址、上下线时间、内外网地址转换对应关系（NAT溯源）。对于连锁类或者网络规模较大、用户数较多的场景，建议选择如下方案，将日志进行统一的存储和管理。对于单个门店或者单个独立网络的场景，如果出于成本考虑可以选择用户的日志信息存储在本地的方案。商超ICT建设诉求针对购物中心业务发展的核心需求，ICT建设诉求如下：购物中心无线网络诉求；无论是消费者在购物中心使用商城AppS，还是购物中心的移动运营、移动办公都需要部署基础的WLAN网络来支撑移动运营；购物中心WLAN网络部署的要求如下：无线信号卖场全覆盖，强度不低于-65dB，以保证用户可稳定的使用移动终端联网；无线网络系统支持无缝漫游，保证无线网络在覆盖区域应用时的数据不中断；需要提供安全的认证机制保证信息安全；对注册会员要保证至少512K带宽的接入带宽；无线网络需提供动态的基于流量和用户数量的负载均衡机制，为用户提供最好的网络性能；中庭或表演广场要求不少于同时接入200个移动终端；提供简单、易用、统一的无线网络管理平台；导航服务、轨迹跟踪诉求购物中心内部结构复杂，为用户提供个性化的LBS定位导航服务是提升购物体验的重要一环，通过WIFI定位技术和智能终端的配合，可提供店铺导航、寻车、定向营销等服务；另外，顾客的运动轨迹可以为运营方提供区域流量、用户偏好、旺铺分布等数据；购物中心ICT标准化诉求：为支撑终端接入，并保证安全可靠，需要在购物中心部署多种设备：路由器：广域网接入，实现与总部的网络互通；防火墙：网络攻击防护，保障互联网接入安全；上网行为管理网关：保证上网合规，实现问题回溯和审计；交换机：局域网有线接入；WLAN：局域网无线接入，支撑移动运营；UPS：保证主要设备在停电时能继续支持业务办理完成；小型机柜：设备可集中放置和管理；购物中心由于没有统一的建设标准，各种设备选型和规格各异，很多设备没有管理接口或者标准不开放，由于没有专业IT人员安装、调试和运维，导致调试效率较低，业务开通周期较长，且无法统一管理，运维属于被动救火的状态；由于体验性业务的丰富，需要更稳健的网络来支撑业务，诉求如下：VPN广域接入：支持购物中心与总部的数据中心通过IPSecVPN连接，对业务数据进行加密传输。路由自动切换：出口路由器支持路由自动倒换，无需人工干预;链路备份：与总部网络可部署两条链路进行备份；上网行为管理：支持URL过滤和内容过滤，支持P2P、即时通讯软件、炒股等软件的控制。UTM：防火墙应具有UTM功能，可以对内外网攻击实现有效隔离。局域网接入：支持有线和WLAN无线接入，支持按VLAN进行区域隔离。UPS需求：满足在市电停电后，为机柜内设备和部分重要办公设备提供30分钟电源供应。华为商业Wi-Fi解决方案概述方案定位本文档详细介绍了商业Wi-Fi场景下，如何进行网络部署，如何提升用户体验，以及如何利用Wi-Fi网络来支撑运营活动。使Wi-Fi网络从传统的仅用于上网，转变为让Wi-Fi网络在提升用户体验的同时，最大程度的为Wi-Fi业主的商业运营服务。因此，华为商业Wi-Fi解决方案有别于传统的、纯粹的网络方案，致力于提供一整套“可运营”的解决方案。顾名思义，本方案是商业场景下的Wi-Fi解决方案，主要面向商业消费的场景，如商场、超市、营业厅、酒店等场所。区别于企业办公场景，Wi-Fi用户以访客身份为主。华为商业Wi-Fi解决方案的定位如下图所示，华为与合作伙伴一起来提供整体解决方案、技术和服务支撑，满足多场景下商业Wi-Fi运营的需要。方案概览华为商业Wi-Fi解决方案将“提升用户体验”和“运营增值”做为Wi-Fi网络建设的两个核心目标。围绕这两个核心目标，华为商业Wi-Fi解决方案提供了一系列的子方案，详细如下表所示：核心目标说明目标一：提升用户体验提供多场景下的Wi-Fi覆盖方案，满足不同场景下的Wi-Fi覆盖的需求，如高密需求、酒店分布式部署的需求。除提供传统Portal认证外，还提供微信认证、二维码扫描认证、第三方账号认证等多种认证方式。使得用户在接入Wi-Fi网络时，可以直接使用已有账号来接入网络，免去注册时的繁琐操作，大大提高接入Wi-Fi网络时的易用性。目标二：运营增值提供无线定位功能，满足客流分析、店铺导航、逆向寻车、定向营销、特殊人员或贵重物品跟踪的需要。提供用户数据分析和精准广告营销功能。通过线上和线下数据分析描绘用户行为轨迹和属性，有针对性的推送商家广告信息，提高营销效率，降低盲目营销带来的成本。1、提供合规审计方案，满足有关部门合规审计的要求（公安部82号令）。2、提供多维度的安全措施，保障用户接入Wi-Fi网络时的安全，让用户放心的接入使用Wi-Fi网络。说明：关于各子方案的详细介绍，请参见后续章节。典型组网商业Wi-Fi场景下的典型组网通常分为独立型和连锁型，其示意图分别如下所示。其中，服务器区用于部署运营和管理系统。Wi-Fi覆盖方案概述华为商业Wi-Fi解决方案提供多种Wi-Fi覆盖方式，满足多场景下的Wi-Fi覆盖需求，实现无线信号全覆盖，信号无死角。场景部署方案设备选型比较小的房间,数量较多并集中，如酒店客房、医院病房推荐敏捷分布式部署方式，每个楼层竖井布放中心AP，每个房间放置一个入室AP。中心AP、远端射频模块走廊楼道A.狭长楼道用放装式AP定向天线方式；B.短小楼道用放装式AP全向天线，适当调低AP功率。放装型AP电梯间部署外置天线放装型AP，轿厢内人数低，单AP满足容量需求。外置天线放装型AP会议厅、宴会厅、大堂放装式AP，根据面积大小决定使用AP个数。放装型AP室外A.室外型放装式AP，适合辐射距离远，外挂防水防雷；B.室内放装式AP，适合门口10米内。室外型AP其中，敏捷分布式方案是华为最新一代分布式Wi-Fi方案，能够有效降低部署和管理的成本，提高管理效率。除此之外华为的高密接入技术，能够满足商业Wi-Fi客流量较大区域的接入需求，保障用户能够有效的接入Wi-Fi。下文将分别对这两种方案进行详细介绍。AC部署方式根据AC的部署方式，网络可分为集中式AC部署和分布式AC部署。集中式AC和分布式AC部署集中式AC部署集中式AC部署是指整个网络中集中部署AC设备（通常是独立的AC设备），来控制和管理整网的AP设备。AC的部署可以采用直路（直接部署在AP和汇聚/核心交换机之间）或旁挂方式（旁挂在汇聚/核心交换机旁侧）。分布式AC部署分布式AC部署是指网络中分区域采用多个AC设备，分别对本区域的AP设备进行管理。对于购物中心的无线网络规划，建议采用集中式AC管理模式，通过跨广域网管理AP，可最大限度节约建网成本；AC旁挂与AC直路AC旁挂旁挂方式是指将AC部署在用户网关设备（汇聚或核心交换机）一侧，实现对用户网关设备下所有AP的管理。旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景，如购物中心仅进行无线改造，不考虑替换原有非华为网关设备，则可采用旁挂方式。AC直路直路方式是指将AC部署在AP与用户网关设备（汇聚或核心交换机）之间，实现对下辖所有AP的管理。直路方式主要用于原有网络汇聚/核心设备为华为设备的场景。本地转发与集中转发转发模式主要是AP针对用户数据可以有不同的转发处理方式本地转发又称直接转发，是指AP上对用户数据由本地转发到网络上层，不经过AC处理，AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中，到达AC终止。集中转发也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。AC双机热备AC1+1备份指同一业务在两台AC设备上相互进行备份，AC上涉及的热备的业务有用户接入认证、WLAN组件等，上线用户的信息的任何改变，都会及时保存在两台AC设备上，这样当其中一个AC设备、或AP与AC间物理链路发生故障时，用户不需要重新进行认证或关联，其业务被自动切换到另一台设备上，并在用户可接受的时延下，迅速恢复。如上图所示，AC1与AC2之间建立一个热备通道。当AC1出现以下情况时：AC1整机复位AC1的上行链路downAC1与AP间链路down此时可以通过双机热备机制，快速将用户认证信息、以及用户流量切换到AC2，这样用户不需要重新认证上线。AC旁挂的场景，用户的业务不受影响；用户业务流量经过AC的场景，用户的业务能够经过很短的时延后，迅速恢复AP部署和选型在购物中心的无线网络建设中，建议采用放装部署和室分部署两种方式。其中放装部署方式是将AP直接部署在覆盖区域，适用于较大开放空间、人员密集的区域，例如像开放卖场环境；室分部署是将无线信号通过功分器设备，分为多路信号，通过室分天线进行无线覆盖，适用于小型场所，例如较大购物中心的办公式环境。AP根据部署方式和双/单频两个方面进行选型：根据部署方式选择：放装部署方式：应选择内置天线室内型AP，例如AP5010、AP6010；室分部署方式：应选用外置天线室内型AP，例如AP6310；根据频率选择：放装型AP：提供卖场开放区域的无线覆盖，这类区域人员容易集中，接入数量多，终端类型多样，有些只能支持2.4GHz频段，有些则同时支持2.4GHz和5.8GHz，为保证无线网络性能，因此宜选择双频模式的无线AP，这样可以通过ONLY模式将802.11n限定在5.8GHz频段，其余均工作在2.4Ghz频段；室分型AP：提供办公区的无线覆盖，覆盖区域内接入数量少，因此无需考虑是否需要采用ONLY模式，从成本角度出发，建议采用单频AP。IP地址规划AC的IP地址AC用于管理AP，IP地址一般通过静态手工配置；AP的IP地址AP的IP地址分配如果采用静态分配，由于购物中心AP数量较多，配置工作量大，且容易冲突、不易于控制，所以不建议使用，建议使用DHCP动态分配;华为的AC内置DHCP服务功能，如购物中心网络系统本身已部署DHCP服务器，则建议采用原有DHCP服务器做，否则建议启用华为ACDHCP服务功能，可降低单独部署DHCP服务器成本；无线终端/用户的IP地址移动用户通过DHCP动态分配IP地址，不建议静态配置；FITAP架构下的WLAN网络中，FITAP为零配置，当FITAP部署到网络的时候，AP需要去找到相应的AC，并从AC上下载其配置。建议采用如下两种方式:通过DHCPOption43发现AC当DHCPServer配置了Option43，它给AP分配IP时，在DHCPOffer报文中同时会将此属性告知AP；通过DNS发现AC需要在网络中部署了DNSServer，在DHCPServer上配置DNSServerIP地址以及AC的域名。当AP通过DHCP服务器获取IP地址时，DHCPServer会在DHCPOffer报文中将DNS服务器IP地址（Option6）和AC域名（Option15）告知AP，在AP获取到IP地址后，则通过DNS服务器解析到AC的IP，从而实现对AC的发现和关联；SSID规划SSID的划分华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，可以将一个AP划分为多个VAP（VirtualAccessPoint），每一个SSID对应一个VAP，AC针对VAP进行策略下发，VAP根据策略进行终端与业务管理购物中心WLAN网络的接入角色和业务类型，一般需要三个SSID：经营、办公；顾客访客，为了保证VIP客户得到高质量的网络服务，可划分VIP用户SSID；SSID映射以太网中的VLAN无线SSID与业务VLAN有如下四种映射关系：SSID:VLAN=1:1部署SSID:VLAN=1:N部署SSID:VLAN=N:1部署SSID:VLAN=N:N部署SSID需要分别与办公和经营、顾客VLAN进行映射。射频管理规划与IP地址规划一样，WLAN信道是WLAN网络设计中的重要一环，无线网络必须对WLAN信道进行统一规划。WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。射频信道划分WLAN系统主要应用于两个频段：2.4GHz和5.0GHz。2.4GHz频段信道划分：2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14。HT20信道划分：信道带宽为20M，在该模式下，一般选取1、6、11三个不重叠信道，频率规划可用频点只有3个。HT40信道划分：信道带宽为40M，受频率限制，只支持一个不重叠信道。5.0GHz频段信道划分：5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。HT20信道划分：不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161。HT40信道划分：在该模式下，这两段频谱的可用信道分别为4个和2个。AP支持手动和自动两种方式设置工作信道。设置为自动方式后，一旦检测到信道冲突AP具有信道自动调整功能，建议AP采用自动设置工作信道方式，避免手动设置后一旦信道冲突将导致无法切换信道的问题。信道自动扫描功能：采用信道自动扫描功能，自动探测周边的AP、使用的信道及干扰，结果上报AC，触发信道调整。射频信道覆盖WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于高密度接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。高密覆盖场景购物中心节假日中庭或演播厅的高密人群无线信号的接入，有如下需求：至少保证500用户都能关联WIFI，通过DHCP获取到IP地址；保证200个用户并发使用WIFI网络。带宽要求至少保证512K/人。高密场景下的方案建议：采用双频AP，配置5G优先。通常情况下，5G的性能要比2.4G好的多。在高密度用户或者2.4G干扰较为严重的环境中，充分利用5G频段可以更好的提供接入能力以及容量，并且减少干扰对用户体验的影响。单AP配置最大规格WIFI的并发用户数为40，每射频上并发用户数为20。按照微信、微博等应用的业务带宽为512K左右进行配置。保证充分的带宽余量。配置AP之间的负载均衡。动态调整在线上网用户，即当在线上网用户一段时间内（长短可以设置）业务流量为0时，强制将其下线，允许其他有上网需求的用户访问网络。中庭或表演广场需要部署的AP数量，按照计算为：200/40*120%=6个用户认证管理方案在商业Wi-Fi市场，大量用户接入网络，蕴含着大量的广告机会。最常用的广告方式是在用户接入Wi-Fi网络时的Portal认证页面上进行广告推送，或者让用户关注企业的微信公众号达到粉丝经营、后续营销的目的。华为商业Wi-Fi解决方案采用AgileController提供多种认证方案，满足不同场景下的需要，包括：Portal认证、微信认证、扫描二维码认证以及第三方账号认证。用户身份验证方式WLAN无线空口认证主要方式有开放系统认证（Open-systemAuthentication）、WEP、WPA1/WPA2和WAPI四种。OPEN和WEP方式是简单的物理层认证方式，安全性较差，WPA1/WPA2和WAPI方式除了物理层认证之外还增加了用户认证的鉴定，安全性更高。开放系统认证是IEEE802.11标准要求必备的一种方法，是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。在这种方式下，所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。用户身份认证，其通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。WLAN的链路层身份验证主要有Portal(DHCP+WEB)、MAC、802.1X、WAPI等几种认证方式，可以根据具体情况选择，可以配合网络层认证使用。WLAN无线线网络用户认证方式通过采取以下几种组合，具体如下表所示。认证组合应用情况Open+Portal主流应用，运营商网络WLAN网络Open+Portal+MAC主流应用，是Open+Portal认证的衍生方式WEP+Portal基本没有应用，维护WEP密码麻烦WEP+802.1X早期EAP-SIM认证方式，运营商WLAN分担2G/3G流量场景WPA/WPA2-PSK+Portal基本没有应用，维护WEP密码麻烦WPA1/WPA2+802.1X主流应用，学校，企业，医院，政府等企业网大量使用。WAPIPSK没有使用WAPI没有使用针对“商超”项目，面向政府或企事业单位职员的认证推荐使用WPA2+802.1X的方式，确保数据的安全和可靠；面向普通市民的认证方式推荐Open+Portal+MAC的方式，方便实现身份鉴定，方便开展增值业务。这种认证方式只需要在第一次接入WI-FI时通过Portal网页进行认证，以后市民再连接WI-FI时就无需输入用户名密码，方便快捷（免认证的时间，可以同配置）。对于临时访客和游客，可以采取限时访问的方式，这种模式下用户每次登录只能允许有一定时间的访问网络权限，超时后必须重新登录。登录口令可以通过短信，微信，APP客户端的方式下发（APP客户端认证方式需要对接和开发）。短信认证短信认证是一种最常见的访客接入认证方式。采用短信认证方案时，访客将其手机号作为认证的账号进行注册，在接受到提示密码的短信后再进行认证。短信认证流程如下图所示：如上图所示，短信认证的流程如下：访客接入无线Wi-Fi后，系统推送Portal认证页面。若用户第一次接入则直接输出其手机号，申请获取密码Controller服务器接收到访客的注册申请后，根据管理员设置的密码策略自动随机算出临时密码Controller服务器调用第三方短信网关接口，将访客的手机号、短信认证的临时密码发送给短信网关第三方短信网关发送临时密码到访客的手机号上访客获取到短信后，按照短信提示在Portal认证页面上输出其临时密码，认证通过后即可接入网络说明，相对于传统的短信猫，短信网关具有兼容性好（中国地区三家电信运营商手机能可发送短信）、短信发送速度快（100条/秒左右）、短信发送的稳定性好、费用便宜等优点。推荐的第三方短信网关厂家包括：浙江筑望、和佳汇智、若雅MAS、深圳嘉讯等。其他支持HTTPS、Webservice接口的短信网关原则上也能支持。Portal认证Portal认证是最基本的认证方式之一，在众多商业Wi-Fi场景下被广泛的应用。AgileController的Portal认证功能在提供认证的同时，主要从以下几个方面来提升网络维护者的工作量，提高Wi-Fi接入用户认证时的易用性。 完善的Portal页面定制流程，助力企业品牌提升完整的页面流程：登录页面->登录成功页面，注册页面->注册成功页面，用户须知页面。Phone/PC/PAD终端自适应：自动识别终端类型，合理展示推送页面。用户自定义定制：提供基于HTML编辑的图形化编辑功能，支持图片轮播、拖拽编辑、附件下载等高级操作。内置多套系统模板：匿名认证模板、第三方应用模板、短信注册模板，一键认证模板等，可根据场景需要自由选择。内置多种语言：简体中文，繁体中文，英语，德语，西班牙语，葡萄牙语，法语，可扩展支持其他语言。访客自注册访客帐号支持访客通过访问注册页面，填写注册所需的参数，自行申请访客帐号。支持多种访客帐号通知方式：WEB通知、Email通知、短信通知。Portal界面灵活推送，资讯推送更加精细化可基于位置（SSID和AP）的页面推送不同的页面。可基于终端IP和终端类型的页面推送不同的页面。可基于时间段推送不同的页面。智能终端无感知认证，实现一次认证，多次接入终端首次接入采用Portal+MAC认证，后续自动使用MAC认证。微信认证随着移动互联网的兴起，大规模开放无线网络中，访客的快速认证是近年来的研究热点。基于微信公众平台实现无线网访客的认证，访客只需关注公众账号，即可在公众平台实现身份认证、获取默认权限、访问网络资源；然后利用公众平台与Controller服务器联动，对访客进行角色、策略和行为审计等管理功能，拓展微信公众平台为访客提供无缝的服务功能。根据客户拥有的微信公众账号的类别和功能需求，可以采用不同的微信认证方案，在微信公众平台通过编辑模式配置实现微信认证、在微信公众平台通过开发者模式配置实现微信认证。两种方案只能选择一种，不能同时使用。模式是否需要搭建单独的微信公众平台服务器安全性微信免认证取消关注强制下线微信认证绑定手机号码编辑模式不需要低支持，但不支持取消关注后免认证失效不支持不支持开发者模式需要高，可通过认证密钥对认证链接加密支持支持支持如上表所示，编辑者模式下微信公众号虽然不需要在本地增加独立的平台服务器，微信认证方案的部署交付也比较简单，但是当用户关注微信公众号接入往后再取消关注并不能及时强制用户下线，也不支持绑定手机号。因此若对这些方面有要求的话，建议使用开发者模式部署微信认证方案。微信认证部署方案如下图所示：微信认证流程：1）用户连接SSID。2）终端自动向AC发送HTTP连接请求。3）AC发现用户未认证，将URL地址重定向到Portal服务器。4）终端访问重定向的URL。5）Portal服务器向终端推送Portal认证页面。6）用户单击认证页面上的“微信认证”按钮。7）Controller的Portal服务器和微信公众平台之间交互微信连Wi-Fi的信息（校验AppID和AppSecret），获取呼起终端本地微信APP程序的ticket。8）浏览器自动呼起终端本地微信APP，微信公众平台校验终端用户微信连Wi-Fi注册信息和ticket。9）校验通过后返回给终端用户微信连Wi-Fi页面，携带用户身份信息（OpenID）。10）用户单击“立即连接”，连接成功后，单击“完成”，触发Portal认证。11）触发Portal认证的目的是保证用户在Controller和AC上线，获得上网权限，单击“完成”按钮相当于触发了一个URL地址。此URL地址为微信连Wi-Fi管理员在微信连Wi-Fi助手中配置的自定义商家主页的URL地址：http://认证后域的任意IP地址/域名?wxauth=1&wxtoken=[TOKEN]。12）AC检测到用户未认证，将用户URL重定向到Portal服务器。13）用户终端访问重定向的URL。14）Controller服务器校验认证URL中包含的参数[TOKEN]，与AC之间完成Portal认证和RADIUS认证的过程。15）将认证结果返回给终端用户，认证成功后，显示管理员定制的认证成功页面。16）认证成功，终端用户正常访问网络。APP认证APP认证是一种新的认证方式，可自己开发APP，集成广告、新闻、多媒体、互动等应用，扩大企业影响力。为了使APP推广更迅速，建议将APP与无线Wi-Fi的接入认证结合起来，无线接入的用户通过APP进行认证。APP认证如下图所示：如上图所示，Controller提供Portal认证的对外接口，第三方APP可调用该接口进行认证，APP后台需定时与Controller进行心跳保活，以保持会话状态，超时用户将下线。Controller提供用户注册管理北向接口，用户可在APP上完成账号注册、用户信息修改、密码重置等功能。用户认证和应用组网根据业务需求，华为无线WLAN网络可以采取本地转发-本地认证、集中转发-集中认证、集中认证-本地转发三种模式。本地转发-本地认证模式业务流程如下图所示。在本地转发模式下，认证控制点在AP上行的switch设备，只有AC与AP之间的控制报文走CAPWAP隧道，STA认证报文（如802.1X、Portal认证）和认证后的STA业务数据报文经AP直接转发，不通过隧道。在这种模式下，由于802.1X认证基于二层应用EAP协议，无法穿越三层，因此STA与认证控制点之间必须是二层网络。这种模式，由于控制点不集中导致设备成本高，管理维护复杂，且AC无法实现对无线接入用户的集中控制（例如访问资源的权限、隔离、限速等）。这种方式，通常应用在，不需要区分无线用户和有线用户，无线网络就是有线网络延伸的场景。例如：园区总部，部分交换机下接AP，解决交换机端口过少且只能连接有线用户的问题。集中转发-集中认证模式业务流程如下图所示。在集中转发模式下，认证控制点在AC设备，AC与AP之间的控制报文、STA认证报文（如802.1X、Portal认证）、认证后的STA业务数据报文全部走CAPWAP隧道。在这种模式下，所有数据都走隧道，安全性相对较高，AC可以对无线用户的集中控制，无线网络部署时不需要考虑有线网络的结构，无线网络单独规划VLAN，运维便捷。这种模式主要应用，总部园区有线网的基础上，新建一张无线网络，有线用户和无线用户要求区别对待。集中认证-本地转发模式业务流程如下图所示。认证控制点在AC设备，通过配置抓取STA认证报文（如802.1X、Portal认证）进入CAPWAP隧道，上送到AC设备，完成认证过程。认证后的STA业务数据报文不通过隧道，经AP直接转发。在这种模式下，能够实现在AC上对无线用户的集中接入控制功能，并且通过控制隧道，将Radius授权下发到各AP设备，提升网络安全性。这种认证方式主要应用在AC部署在总部，AP放在各个分支的场景。针对“商超”项目，市政府集中办公区、机场、火车站、图书馆、医院等AP规模较大的场景，推荐集中认证-集中转发模式；公交站台、独立商户等AP规模较小的分支场景，推荐使用集中认证-本地转发。这里所讲的“集中认证”指的是无线用户的认证网关集中到AC上认证，不是AAA系统。用户策略管理用户策略是指用户认证通过后，基于用户角色对可访问网络资源进行的安全控制。通过AAA服务器下发的用户策略称为动态授权，从授权维度来看，动态授权主要有三种类型：动态VLAN、动态ACL和动态用户组授权。动态VLAN授权：动态VLAN授权通过切换VLAN的方式改变用户的权限，不同VLAN的权限控制可通过在认证网关设备上部署ACL实现。动态VLAN授权方式部署简单，维护成本也较低，但相对而言，其控制粒度在VLAN层面，适用于在同一办公室或同一部门所有人员权限相同的场景。动态ACL授权：动态ACL授权需要AAA服务器下发ACL给认证网关设备，实现对用户访问权限的控制。动态ACL授权方式能做到最大程度的权限控制，可以分别对每个用户权限精细控制。由于受设备ACL规格的限制，这种方式只能适应于少量人员，无法实现大范围的部署，例如部门经理或者领导等。动态用户组授权：用户组是用户的策略属性，动态用户组授权需要AAA服务器指定每个用户对应的用户组名称，实现基于用户组的策略控制。当用户上线时，AAA服务器可直接下发用户组名称到准入设备上，准入设备基于配置的用户组策略属性，下发安全策略。通过用户组对用户实施端到端的策略管理，授权用户组取代传统授权VLAN或者ACL等模式，在用户上线时，服务器只需下发用户组名称，方便网络部署；多用户基于用户组共享资源，在网关设备上，ACL规格不会成为用户管理瓶颈。用户在线CoA授权：CoA授权是指用户在线情况下，在AAA服务器上重新设置用户带宽等策略属性值，AAA服务器通过RADIUS报文下发给认证网关，认证网关设备实时更新在线用户的授权信息。所以，在“商超”实际网络规划中，推荐使用基于动态用户组+COA授权方式，快速便捷的管理无线用户。为了满足不管用户身处何地、使用哪个IP地址，都可以保证该用户获得相同的网络访问策略，华为在敏捷网络解决方案中推出了业务随行特性，该特性非常适合“商超”场景，具体如下图所示。1、管理员在控制器中创建用户账号、用户组，同时将用户账号加入其所属的用户组，然后为用户统一定义基于用户组的网络访问策略（即用户组策略）。2、敏捷交换机（自带随板AC）作为策略执行点和准入认证点设备，和Controller建立关联后，控制器将管理员配置的网络访问策略下发给所有关联的设备上，在执行策略的设备上生成基于用户组的业务模板。3、用户启动认证，在认证过程中，控制器根据用户的登录信息，将其与用户组关联。认证成功后，控制器将该用户所属用户组下发给敏捷交换机。4、在敏捷交换机上，基于AgileController下发的用户组信息，实施UCL策略控制，限制访问资源权限、用户带宽等策略。5、用户在“商超”的任何地方登陆，由于准入设备（PEP）都预置了业务策略，用户重新认证上线后，可具有一致的网络访问策略，实现业务随行。海量账号管理华为AgileController系统提供访客账号的全生命周期管理功能，对于商超中的海量用户，可作为访客来进行管理。用户可自助注册账号，账号密码第一时间短信下发，并可定期自动清理僵尸账号，简化了海量用户管理的复杂度，提升管理效率。同时，AgileController系统还提供多种账号管理方式，供运维人员灵活选择。分组流量控制购物中心针对VIP客户、普通客户、商铺以及业主办公有分组流量控制的需求，通过控制不同带宽来满足高端用户(如VIP、员工)的需求。比如：经营、办公用户接入至少2M带宽；普通顾客512K带宽（可满足微博、微信、QQ等业务需要）；VIP用户3M带宽。具体设计点：建立分组流量模型，举例如下SSID群组流量Retailer_SSIDV12MOffice_SSIDV22MGuest_SSIDP512KGuest_SSIDV33M建立用户组和流量组之间关系：如果需要对VIP客户进行区分，需要连锁企业的CRM系统和PolicyCenter的RaduisServer进行对接，同步用户组，建立实际用户组和流量群组的关系；RaduisServer群组信息，选择流控组，向AC下发号码流控组，由AC控制对应的流量模型。终端的精细化管理终端类型识别是指AC通过对用户发送的报文中的字段的特征进行分析，包括MAC、用户代理UA（UserAgent）和DHCPOption信息，识别出终端类型。AC可以识别出用户接入内部网络的设备类型，以控制某些指定移动设备的接入，实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权，实现精细化的管控。具体原理如下图所示。网络运维方案随着网络规模的不断增长、网络应用的不断推广，大量的多业务路由器、网关、WLANAP等终端接入设备被广泛的应用于网络。带来IT&IP设备日益增多，业务越来越多样化，用户面对网络管理和运维中遇到的问题和挑战，需要一套高效、统一的网管进行支撑。eSight是华为面向企业网管理推出的新一代面向企业园区和分支网络管理系统，实现对企业资源、业务、用户的统一管理以及智能联动。eSight支持对IT&IP，以及第三方设备的统一管理，同时提供灵活的开放平台，为企业量身打造自己的智能管理系统提供基础。WLAN全生命周期管理“商超”网络中，AC、AP部署分散，尤其AP数目众多，运维成本高、难度大。为了解决对WLAN网络中设备集中管理和对WLAN网络的可视化监控，eSight推出WLAN管理组件解决这一运维难题。eSightWLAN管理在网络规划中提供一键式导入完成AP规划至监控的转化，极大提升了效率。在配置部署中提供简洁的矩阵配置帮助用户端到端、批量、有序、快速完成业务部署。在区域监控中提供整体到局部的用户体验监控，在底层拓扑查看射频信号覆盖情况。在故障诊断中提供故障通知、故障排查、故障处理的有效手段，帮助快速有效的发现问题、解决问题。WLAN网络管理特点：简单快速的业务部署向导式配置的业务部署以及基于表单AP导入，可加速WLAN的业务部署。通过对华为AC设备的管理，实现对WLAN业务的配置功能。AP的信息都配置在AC上，当AP上线建立隧道后从AC获取信息。业务拓扑和位置拓扑，方便用户对WLAN网络中设备进行可视化监控和集中管理业务拓扑：展现AC、AP、STA之间连接关系查看，并示意RogueAP的存在；支持AP、AC、STA、RogueAP详细信息查看；并提供无线业务的故障诊断能力。位置拓扑：查看当前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置及冲突域。颜色表示不同的频段，深浅表示信号的范围，红色显示冲突域。AP故障快速恢复能力，提供批量恢复AP的出厂设置、批量重启AP以及AP替换的功能AP出现异常或在WLAN网络的调试过程中，用户可以通过网管远程批量恢复AP的出厂设置。AP升级完成后或在WLAN网络的调试过程中，用户可以通过网管远程批量重启AP。AP出现硬件故障需要替换时，用户可以通过网管替换新AP，快速保证AP替换后业务不变。多样式资源统计，满足运维需求全网资源统计：全网用户在线趋势图、TOP5用户接入FitAP、TOP5用户接入SSID、TOP5重点关注的设备告警列表、全网物理资源统计。基于AC资源统计：根据AC统计用户在线趋势图、AP信息、域信息、ACTOP5告警。基于AP资源统计：根据AP统计TOP5告警、当前AP性能KPI（AP关联终端数、AP物理属性、AP流量、射频流量等）。基于SSID资源统计：根据SSID统计AP、VAP、接入终端数。基于区域与位置资源统计：根据区域与位置统计AP总数、AP在线总数、STA在线总线。掌控网络eSightMobileeSightMobile移动网管系统主要满足“商超”的网络运维人员基于手机管理WLAN网络，对巡检片区的WLAN网络健康度关键指标进行排查，如用户掉线或接入异常现场周边AP的信道分布、接入用户数、5G占比、同频干扰、终端接入信号强度和信噪比分析；或运维人员不在eSight旁边时能随时查看“商超”中WLAN网络状态。即实现WLAN网络设备健康度监控，支持运维人员随时随地获悉网络的健康度、诊断用户问题。手机口袋网管，帮助“商超”中网络运维人员随时随地的掌控网络。业务监控移动App让“商超”中网络管理员随时随地监控网络，无需总带着便携或者坐到办公位，极大地提升了运维效率。区域监控移动App让“商超”中网络管理员随时随地对自己关注的区域网络进行监控，极大地提升了运维效率。故障诊断“商超”中网络管理员接到用户报障电话后，只须在故障诊断App中搜索该用户进行诊断即可获取到用户故障的相关信息并给出解决建议。无线网络评测利用eSightMobile的无线网络评测功能，可以用于进行对当前终端连接的无线网络状况的评测。快速检测功能，会对网络整体状况进行评分，网络管理员也可以进行深度检测，查看网络各个指标的详细数据，同时，可以查看保存的检测记录，导出检测记录等功能。用于指导网络管理员进行网络调优深度检测查看各指标详细数据深度检测查看各指标详细数据指标设置检测记录的查看和导出指标设置检测记录的查看和导出导出报告导出报告用户资源管理用户资源是“商超”中最重要的资源，如何管理整个商超中的用户资源是一个极具挑战的工作，因为商超中的用户数量、信息量巨大，要详细了解接入用户的信息很困难。用户的上网质量是整个商超的根基，如何了解用户的上网质量也是商超运维管理中很重要的信息。通过eSight网管去监控和管理“商超”中的用户资源是极其重要的。用户数据管理支持无线用户管理，显示用户的详细信息和统计信息。与华为eSDK（华为面向开发者提供的开放平台）对接后，可显示用户的设备类型、操作系统、厂商、角色信息，查看到用户的重要信息：点击系统菜单下的eSDK服务器设置子菜单，可对eSDK服务器进行设置。用户数据报表提供在线用户明细报表，统计商超中无线用户数据。提供用户明细报表，统计商超中用户明细数据。提供用户会话明细报表，统计商超中用户会话明细数据。第三方AP管理随着AP在商超中的不断部署，网络不断扩大，网管系统成为设备监控的唯一手段，但不同设备厂商的网管系统不兼容成为商超营运选择WLAN设备厂商的瓶径，有效利用现有网管系统对不同设备厂商的网络设备进行监控成为厂商选择的关键。CAPWAP是国际标准的通信协议，并且庞大而复杂，各厂家在使用该协议做为自身AC、AP通信的协议标准，但是各厂家在参数定义、类型、字段、加密等方式上各有区别，所以不可能实现不同厂家的AC/AP互联。eSight管理平台对主流厂商的无线设备做了大量的分析工作，在此基础上实现了对第三方厂商AP的管理能力，通过对第三方厂商的AP进行精确适配。创新性的支持对第三方厂商AP管理，解决了商超中多厂商AP融合统一管理的问题。eSight支持H3C、Cisco、Aruba三个厂商的AC、AP资源（AC、AP、射频、接口、SSID、VAP）管理、性能管理和告警管理。SAC智能应用控制随着“商超”网络技术和多媒体技术的快速发展，网络应用越来越丰富，使得带宽资源日趋紧张。其中影响比较突出的是P2P技术，P2P应用类型也已从文件共享扩展到语音、视频等应用领域，P2P网络的用户规模和流量均呈爆发式增长。甚至很多P2P应用往往是对网络资源进行的“恶意”占用，导致网络出现不同程度的拥塞。这些流量与关键应用混杂在一起，导致非关键业务肆虐，核心业务丢包，时延抖动不可控，服务质量无法保障。用户急需对这些“非法”的网络应用进行控制，于是产生了业务感知技术。智能应用控制SAC（SmartApplicationControl）作为一种新的业务感知技术，在分析报文头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术。通过对各类应用进行智能分类，识别关键业务，保证其带宽，对非关键业务流量进行限制，实施精细化QoS策略控制，从而保证关键业务平稳、高效运转。

借助于eSight网流分析能够显示无线网络区域的应用分布，并且用户可以对区域对应的AP组进行应用带宽丢弃、限速、调整优先级。智能应用控制对非关键业务流量进行限制，实施精细化QoS策略控制，从而保证关键业务平稳、高效运转。无线安全管理网络的安全性也是每一张网络都重点关注的事情之一。WLAN无线网络信号存在与空气中，任何人都可以接收到，很容易受到外界干扰和威胁的影响，如WIDS/WIPS，周边射频信号的干扰，非法设备的检测和反制等。WIDS/WIPS为了方便实现非法设备的检测和反制，同时又不增加设备，建议AP支持混合模式传输模式，即单个AP可以监测无线网络中设备，也可以同时传输WLAN数据。同时，WIDS还应支持攻击检测功能，可以检测泛洪攻击，弱IV向量攻击、欺骗攻击、暴力破解WPA/WPA2/WAPI的预共享密钥和WEP的共享密钥，及时发现网络的不安全因素，及时反制并通过日志，统计信息以及告警方式及时通知网络管理员。无线空口安全WIDS/WIPS的示意图如下图所示。借助于eSight网络管理平台上面开启攻击检测，将检测结果呈现在eSight中，并将有攻击行为的设备添加到黑名单中，防止攻击设备对网络造成冲击。频谱分析无线干扰源由于WLAN的工作频段为ISM频段，随着蓝牙、红外、微波炉等无线应用的增加，非WLAN设备对WLAN网络的干扰问题日益突出。频谱分析是指通过频谱分析服务器对采集到的无线信号进行特征分析，识别出Non-Wi-Fi干扰设备，进而对干扰设备进行定位，实现对WLAN网络的调优。通过配置频谱分析功能，及时、全面的检测出WLAN网络中的非WLAN干扰，提升用户的体验。通过频谱扫描发现未管理无线源，快速识别网络安全隐患，保障网络健康。通过eSight对干扰设备进行定位，实现对WLAN网络的调优，合理规避干扰设备的影响。无线钓鱼与RougeAP防护无线钓鱼是将有线网络中的钓鱼攻击方法应用到无线领域，但由于网络传输协议不同，用的方式当然也不同，常见的无线钓鱼方式是基于伪造AP使得无线客户端访问虚假的AP，从而钓鱼得到客户端信息。针对非法瘦AP接入有线网络后无线钓鱼的场景防护手段依靠AC对AP接入的安全控制可以进行防护。华为WLAN支持针对非法AP的无线钓鱼防护，支持RougeAP检测和隔离。eSight开启RougeAP的检测功能，将检测到的RougeAP呈现出来，并对这些RougeAP、RougeClient、AdHoc开启反制。用户上网行为审计“商超”在给市民提供上网业务的同时，也要解决市民滥用网络带宽、散布恶意软件、泄漏国家信息以及发布违反法律法规的不良言论等问题，也要避免用户信息面临的各种安全威胁，如钓鱼网站、网页木马、文件病毒、黑客攻击等。日志审计系统：为满足公安部82号令，可监测用户上网行为和进行安全审计，供公安部门审计。必须将所有接入点的NAT日志信息进行集中汇总及保存，并可进行查询和统计等审计功能。需要审计用户的网络行为杜绝用户浏览和发布不良信息。如何限制一般用户对带宽资源的滥用，如何保证VIP用户带宽。在“商超”网络中，在每个独立的互联网出口推荐部署一台ASG（已经部署防火墙和上网行为管理的不需要重复部署）。华为ASG上网行为管理，可以识别超过1200种的应用识别，超过6500万条的海量URL库；可以全面的内容控制和审计，有效防止信息外泄和协助法规遵从；可以全方位保护上网用户，恶意软件无所遁形，并提供专业报表针对性强，助力治理“商超”的网络。具体组网方式，如下图所示。在总部ASG上配置相关上网行为管控和审计策略，并同步到全网所有分支的ASG用户上线，通过AgileController认证系统，进行身份认证认证通过后，AgileController系统将上线的用户信息（IP、用户名、组名、MAC、AP信息、AC信息等）随同用户的上线信息一起同步给各ASG用户开始访问Internet时，ASG进行用户的行为管控和日志审计，用户的信息和上网行为审计日志保存在ASG设备本身ASG定期将访客信息和日志上传到总部ASGManager(LogCenter)统一存储，以便统一审计LogCenter高效地采集日志源的日志，向用户及时展示华为安全日志源的业务情况，帮助用户了解网络用户的行为，辅助用户迅速识别并消除安全威胁。通过对华为防火墙设备用户上网行为日志进行采集和分析，LogCenter可以追踪用户的上网行为（如使用P2P、email、HTTP、MSN、QQ等业务），并辅助管理员分析内网用户上网行为以及应用时长和流量，进而对内网用户的上网行为进行管理，可以在线查看用户状态及其所连接的网络设备信息，对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作。安全合规方案华为商业Wi-Fi解决方案提供合规安全子方案，一方面满足有关部门合规审计的要求（公安部82号令），另一方面来保障用户接入Wi-Fi网络时的安全，让用户放心的接入使用Wi-Fi网络。合规审计华为商业Wi-Fi解决方案通过部署华为下一代防火墙和logCenter，为Wi-Fi用户上网提供安全保障，同时对Wi-Fi用户的上网行为进行审计，满足公安部82号令的审查要求。上网行为审计具体体现在对Wi-Fi用户上网信息的日志进行存储，并保存至少60天以上。这些日志包括：用户账户、IP地址、上下线时间、内外网地址转换对应关系（NAT溯源）。在实际部署时可根据网络的规模以及Wi-Fi用户量的大小选择如下两种日志存储管理方案。方案一：统一存储管理认证系统和NGFW各自存储一部分日志信息。其中，认证系统可提供用户上下线日志的存储和查询。NGFW可提供用户内外网IP地址NAT日志信息，先在本地进行存储，选择网络闲时发送至总部logcenter进行统一存储和管理。Logcenter统一接收并存储认证系统和NGFW的日志信息后，可进行日志信息的统一管理和查看。在该应用场景下，LogCenter对下一代防火墙等安全网元的会话日志进行采集和分析，获取NAT信息（包括目的IP地址、目的端口、NAT前源IP地址和协议等），结合身份关联数据源（如认证服务器），从而追踪NAT用户的上网行为。方案二：本地存储管理日志本地存储管理是指认证系统和NGFW将用户的日志信息存储在本地。考虑到日志信息的存储量较大，建议NGFW通过外挂硬盘或者内置CF卡的方式来进行日志的存储。NGFW提供审计策略功能，通过配置审计功能后，用户的上网行为会被记录日志。管理员通过查看各种报表以及审计日志、用户活动日志等信息审查和分析用户的上网行为，识别出威胁网络安全的用户和上网行为，为后续制定高效和精细化的安全策略提供基础。NGFW上的审计处理流程如下图所示：流量通过NGFW时，审计处理流程如下：1、NGFW会对收到的流量进行识别，识别出流量的属性，包括：用户（包括用户组和安全组）、源安全区域、目的安全区域、源地址、目的地址、服务（源端口、目的端口、协议类型）和时间段。2、NGFW将流量的属性与审计策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配审计策略。如果其中有一个条件不匹配，则继续匹配下一条审计策略。以此类推，如果所有审计策略都不匹配，则流量不进行审计功能处理。3、如果流量成功匹配一条审计策略，NGFW将会执行此审计策略的动作。如果动作为不审计，则流量不进行审计功能处理。如果动作为审计，则NGFW会根据审计策略引用的审计配置文件中定义的内容，记录用户的上网行为。方案选取建议对于连锁类或者网络规模较大、用户数较多的场景，建议选择方案一，将日志进行统一的存储和管理。对于单个门店或者单个独立网络的场景，如果出于成本考虑可以选择方案二。安全规划华为商业Wi-Fi解决方案从有线安全和无线空口安全两个维度来保障Wi-Fi网络的安全，让用户能够放心的接入和使用Wi-Fi网络。有线安全有线侧，通过在局域网出口处以及数据中心入口处部署下一代防火墙NGFW来抵御来自Interntet的威胁。NGFW集防火墙、IPS、DDOS等众多功能于一身，能够有效保障局域网和数据中心的安全。无线空口安全无线空口侧主要存在三个方面的安全：非法rogue设备、恶意攻击和空口监听，如下图所示。Rogue设备商业Wi-Fi环境中可能出现的Rogue设备包括RogueAP，RogueClient，Ad-hoc设备，这些设备对运维的WLAN网络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。华为WLANWIDS方案支持对网络中的Rogue设备（包括AP，Client，Ad-hoc）的进行检测、识别以及反制功能。下面分别从非法设备的监听，识别，判断以及反制四个方面详细阐述，华为WLAN对非法设备安全的防护。侦听周边设备AP有三种工作模式：接入模式，监听模式和混合模式。接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。设备类型识别AP通过监听Beacon，AssociatonRequest，AssociationResponse协议报文和数据报文报文来识别Rogue设备是哪种设备（AP/Adhoc/Client）。监控AP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC，在AC上根据一定的规则进行Rogue设备判断。Rogue设备判断当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括AP、Client、Adhoc终端、无线网桥等。Rogue设备反制检测到Rogue设备后，可以使能防范、反制功能。反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。对RogueAP的反制：监测AP通过使用RogueAP设备的地址发送假的广播解除认证帧来对RogueAP设备进行反制，抑制无线用户和非法AP建立链接。对RogueClient、Adhoc设备的反制：监测AP通过使用RogueClient、Adhoc设备的BSSID、MAC地址发送假的单播解除认证帧，对指定非法Client的进行反制。Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。恶意攻击针对恶意攻击，华为WLAN拥有多种方式。下面针对最常用的flood攻击，WeakIV攻击，Spoof攻击方式，介绍华为的防御规划和措施。Flood攻击检测：当“恶意用户”发送大量的“连接请求报文”至AP时，这些报文会被AP转发到AC设备上进行处理，这样会对内部网络造成冲击。启动Floodattack检测，AC会检测到来自于该恶意用户的Flood攻击，AP会将来自于该用户的报文将全部被丢弃，从而实现了对于网络的安全防御。WeakIV攻击检测：对于Client的数据报文，如果该报文使用了WEP加密算法，需要启动IV检测；AC根据IV的安全性策略判断是否存在WeakIV攻击。Spoof攻击检测：这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。AC接受到这种报文时将立刻被定义为欺骗攻击，并阻止该用户。空口窃听华为WLAN提供多种空口加密方式，以避免空口被窃听。如WEP、WPA/WPA2、WAPI等。eSight无线定位华为商业Wi-Fi解决方案提供无线定位功能，满足大型商场、购物中心、游乐景区等多种场合下的定位需求。从用途来看，无线定位可用于以下场景。客流分析为商场运营方提供基于大数据分析的报告，分析单客户或者总体客户的运动轨迹、区域密度等。用于提高店面经营效率，经营数字化信息化，为经营决策提供数据支撑。具体表现在通过掌握客流峰谷时段来安排更合理的市场活动；掌握热点区域调整租金水平，提高管理效率降低成本。店铺导航顾客点击商铺具体位置，进行线路规划，指引顾客到达店铺，参与活动。逆向寻车顾客停车后，在手机终端App软件设定当前停车位置；购物完毕，在停车场所在楼层，点击手机终端App“逆向寻车”按钮，实