购物中心智慧零售解决方案技术建议书

智慧零售解决方案技术建议书（购物中心版）

目录

1概述...................5

1.1目的..................................................................................5

1.2文档范围及结构.......................................................................5

2总体需求...............6

2.1需求概述.............................................................................6

2.2客户痛点分析.........................................................................6

2.3各子系统关键需求.....................................................................7

2.3.1基础网络........................................................................7

2.3.2无线覆盖........................................................................7

2.3.3数据中心........................................................................7

2.3.4呼叫中心........................................................................8

2.3.5安全监控........................................................................8

3总体方案设计..........1

3.1标准和规范...........................................................................1

3.2总体方案..............................................................................1

3.2.1总体逻辑架构....................................................................1

3.2.2总体物理架构....................................................................2

3.2.3接口描述........................................................................2

33总体方案亮点..........................................................................3

4无线商城设计..........4

4.1无线商城设计需求.....................................................................4

4.2设计原则.............................................................................5

4.3标准和规范...........................................................................6

4.4购物中心无线覆盖方案设计.............................................................7

4.4.1概述.............................................................................7

4.4.2AC部署方式.....................................................................8

4.4.3AP部署方式.....................................................................9

4.4.4无线IP地址规划.................................................................11

4.4.5SSID规划......................................................................11

4.5无线认证方案设计....................................................................11

4.5.1概述............................................................................11

4.5.2一次认证，多次使用..............................................................12

4.5.3分组流量控制...................................................................13

4.6无线安全方案设计....................................................................15

4.6.1概述............................................................................15

4.6.2业务数据安全...................................................................16

4.6.3终端接入安全管理................................................................16

4.6.4内外网安全隔离.................................................................17

4.6.5WIDS/WIPS..............................................................................................................18

4.7无线营销方案设计....................................................................20

4.7.1概述...........................................................................20

4.7.2无线Portal营销................................................................21

4.7.3无线AppS营销.................................................................23

4.7.4上网行为分析...................................................................25

4.8无线定位方案设计....................................................................27

4.8.1概述............................................................................27

4.8.2定位技术原理...................................................................29

4.8.3购物中心无线定位................................................................30

4.9推荐部署及选型......................................................................33

4.9.1无线覆盖仿真...................................................................33

4.9.2信道规划.......................................................................34

4.9.3链路预算.......................................................................36

4.9.4无线WLAN管理................................................................37

4.10方案亮点...........................................................................37

1概述

〈本文档定位和结构说明〉

1.1目的

本文从技术角度，对购物中心信息化项目提出规划设计和建议，目的如下：

1.对购物中心信息系统进行总体设计，明确总体需求、设计原则和总体方案，界定需

要建设的各个子系统；

2.对各组成子系统进行设计，明确子系统功能、组网方案、关键指标、部署建议和设

备选型。

1.2文档范围及结构

2总体需求

<SRS>

以华侨城景点和万科城市综合体需求为基础,进行需求设计。

2.1需求概述

XX建设目的是建成一座集购物、娱乐、休闲为一体的综合购物中心.

XX楼层的分布为.…

本项目要求完成XX购物中心通信网络、IT、语音、视频监控的设计，包括有线、无线网络、数据中心、呼

叫中心、IP视频监控各子系统。

2.2客户痛点分析

购物中心是靠收取租金来获取企业的利润。通过不断的调整租户和功能组合，提高客流量和整体的销售额,

进而提升租金，来获取最大利润。但购物中心最终的利润源头是消费者。为消费者提供更好的服务，优美

的环境，良好的气氛，同时安全、舒适，让消费者愿意多花一点钱，这个就是购物中心要做的。目前，购

物中心所面临的一些主要问题如下：

1.电商的挑战：随着电子商务的不断扩张，传统商务受到严重冲击，电商对传统零售

业的冲击也对购物中心的招商业态产生了不小的影响。为了应对这一冲击，减少与

电商之间的销售竞争，购物中心需要有效的营销手段聚集人气，让顾客能尽可能在

线下消费.

2.消费者的体验提升：零售业未来的一个核心就是重建与消费者之间的关系，消费者

的体验购物至关重要，传统营销模式转向体验营销。

3.设备厂家众多带来的TCO成本增大：购物中心需要为租户提供基础的有线、无线

网络、语音服务、安全监控，另外还需要为本身运营构建基础的n数据能力，在传

统的建设模式中，购物中心的管理者会采购众多厂家的各类设备，设备维护TCO成

本增大。

2.3各子系统关键需求

2.3.1基础网络

购物中心的基础网络作为业务运营的基础，承载着购物中心的核心业务。购物中心基础网络一股由运营网，

办公网以及安全监控网组成，运营网负责为商家提供稳定、安全的POS等数据业务，办公网支撑购物中心

员工的信息化办公等，安全监控网负责购物中心的视频信号的传输与存储，以及承载其它弱电系统数据,

确保购物中心的安全管理。

基础网络系统的总体需求如下：

＞安全性与可靠性

安全性是整个网络建设中的重中之重，要通过各种网络安全技术确保系统应用的安全性。同时，要求系统

本身具有高度的可靠性，这样才能保证购物中心不同业务的正常运行。

＞可管理性

网络运维管理关系到整体运行保障,在网络建设中，网络的易维护管理是重要的网络选择标准。购物中心

IT部门可以通过选择全网的可管理性软件，实现网络的简易便捷运维，减少日常维护费用。

＞可扩展性

随着购物中心业务的丰富、技术的发展，购物中心网络不仅要满足当前需求，还要能够平滑扩容,承载越

来越多的业务，保护当前网络投资。所以，网络的可扩展性是网络建设中必须提前规划的重点。

2.3.2无线覆盖

无线网络具有其移动性强、灵活度高、可以快速部署的优点，适合于在购物中心中搭建高质量的网络信息

服务平台；消费者希望购物过程是快捷、便利、舒适的体验。随着移动互联网的发展，购物中心运营方为

商户、消费者提供便利的无线网络环境是一个购物中心成功的一个基本要素

无线覆盖系统的总体需求如下：

＞无线营销

通过给消费者移动终端及时push购物中心的优惠信息，提升购物中心的人气。

＞无线漫游上网

无线网络的有效覆盖,可以让消费者非常方便地进行移动办公和上网娱乐。

2.3.3数据中心

随着购物中心的蓬勃发展，规模迅猛扩展，经营方式灵活多样，需对经营信息实现全方位的动态管理，购物

中心需要重点关注商场基础数据管理、招商流程管理、营运流程管理、财务结算流程管理、数据分析与决

策管理，需要集成CRM、数据库等众多服务器系统。购物中心传统的建设模式存在周期长、调试复杂等问

题，针对这些问题，华为公司提出零售一体机解决方案：

采用一站式整体方案，减少IT建设复杂性，缩短建设周期，后续可以根据需要简单扩展

减少IT系统专职管理人员，仅需要简单操作就可以实现统一管理

2.3.4呼叫中心

呼叫中心作为一个高效的信息沟通平台，可将顾客与购物中心紧密的联系到了一起c作为购物中心重要的

服务窗口。，有效地为顾客提供高质量、高效率、全方位的服务。

呼叫中心的总体需求如下：

＞可用性

平台支持电信级的可用性，要求用户对业务访问的可用性达到99.999%,平台应综合考虑业务管理、运营

支窣系统等的可靠性和稳定性进行规划、设计和建设，避免单点故障，满足平台整体的可用性要求。

＞可扩展性

平台应具备良好的可扩展能力。包括：

功能可扩展：

能够增加新的功能，同时避免对平台进行大规模的修改。

容量可扩展：

能够根据用户访问量的增加，平滑扩展平台的容量。容量的扩展不影响现有的系统架构和业务开展。

业务可扩展：

根据业务的需求支持新的运营模式、计费模式等，能够根据用户需求增加新的增值应用，所选择的建设方

案及设备要能适应系统扩展的要求、适应信息技术不断发展的要求，便于增加新的系统功能。建成后的系

统必须保证任1可新增加的设备或应用不会影响核3殳备的性能。系统以功能部件组合划分模块,以功能部

件、功能模块的组合划分子系统，便于子系统的重组,使整个系统的特殊需求和系统的通用性结合起来。

2.3.5安全监控

进出购物中中心的人员繁多，如何保证商家以及顾客的人身财产安全，建立监控、报警、通讯相结合的安

全防范系统是行之有效的保卫手段。部署视频监控系统可以帮助购物中心实现以下功能：

实时事态快速控制，对异常事件迅速响应。

高效的事后取证和分析。

购物中心视频监控部署区域主要辔盖走廊，电梯，停车场、关键出入口等公共场所部署高清摄像头C

3总体方案设计

3.1标准和规范

需补充

3.2总体方案

3.2.1总体逻辑架构

从爱辑功能角度看，购物中心解决方案可以划分为基础网络（包括网络安全和网络管理\无线覆盖系统、

呼叫系统、监控系统、数据中心等共5个子系统，它们之间的相互关系及它们与周边系统的接口如下图所

基础IT系统楼宇管理系统

各个子系统的功能简要描述如下：

1.基础网络子系统为购物中心所有通信业务提供传输服务，以满足承载语音、数据、

图像传输需要。

2.无线子系统为购物中心提供无线网络覆盖，提供随时随地的网络接入服务。

3.呼叫中西系统为顾客和商家提供咨询、订购、回访等服务。

4.监控子系统为购物中心提供视频监控服务，满足购物中心安防对监控的需求。

5.数据中心为购物中心ITi云营提供管理及服务平台c

3.2.2总体物理架构

3.2.3接口描述

1.购物中心内部接口

华为智能购物中心解决方案可以划分为基础网络（包括网络安全和网络管理1无线覆盖、呼叫通信、IP监

控、数据中心5个子系统，各业务子系统的业务主要通过基础IP网络承载。基础网络系统与其它系统的

主要接口具体描述如下：

FE口：对数据业务进行透传，主要用于终端设备的接入。

GE口：对数据业务进行透传，用于高带宽终端接入及交换机同的连接。

10GE口:对数据业务进行透传,用于核心交换机间数据传输。

PoE供电接口：用于为业务系统的IP终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数

据信号的同时，还能为此类设备提供直流供电。

802.11接口：构建无线网网络，并将无线业务汇聚到基础IP网络。

2.购物中心外部接口

1）宽带网关与互联网（Internet）接口

华为智能购物中心解决方案支持多种接口用于购物网络与Internet的连接，其中主要的接口包括:

EPON/GPON接口、ADSL.FE/GE、3G/LTE等。

2）语音网关与运营商电话网（PSTN）接口

电话网络通过E1专线与运营商PSTN网络对接

33总体方案灵点

1.针对购物中心的体验要求，华为的WifiLBS技术提供精准的定位信息，帮助顾客实

现精准的导购，并为商家提供顾客消费的基础数据。

2.针对购物中心IT设备众多，维护困难问题,华为提供MicroDC一体机解决方案，

可实现无人值守，远程监控”制氐客户的维护成本。

3.针对购物中心不同级别客户群的流量差异化管理问题，华为提供基于用户组的流量

控制，可视化的流量监控手段。

1）访客无线流量与购物中心内部网络隔离，确保内网安全；

2）针对WP客户提供高带宽流量保证。

4.针对IP视频监控存储投资较大的问题，华为提供自研的视频压缩算法和智能存储

技术，减少存储空间，降低视频监控的投资。

1）HME媒体引擎核心技术，在支持同样画质的前提下，带宽相比业界降｛氐一半；

2）淡忘式存储技术让存储更经济，相比业界可降低30%的存储空间,

4无线商城设计

购物中心是依靠收取商户租金来获取其商业价值。业主方通过持续的经营管理和优化配置活动来提高商城

客流量，从而使商户能够提升销售额，进而带来租金的提升，夫获取最大利润。所以，购物中心最终的利

润源头是消费者，为消费者提供更好的服务，优美的环境，良好的气氛，同时安全、舒适，让消费者愿意

多花一点钱，这个就是无线商城设计的初步理念。

4.1无线商城设计需求

随着无线技术的发展和智能终端的普及，购物中心已经无法再像传统百货那样发展（传统百货商场在销售

内容、店面设计和产品布局等方面同质化严重；传统百货价格战是其犀利法宝，但是面对电商的发展，传

统百货连最基本价格战也输掉了。），所以，购物中心必须依赖其城市商业中心的地理优势、发挥其面积大、

商浦多、产品齐全等优势进行个性化服务，来吸引顾客，留住价值客户。

购物中心业主方建设无线商城的动机比较简单，即需要通过现有或新建的无线WIFI网络进行购物中心的

增值：一、通过无线网络运营收取商铺费用和广告费用。二、给顾客提供增值服务，来吸引客流量，提升

店面租金。

购物中心业主方对无线商城的主要需求如下：

•要根据购物中心实际情况来部署AP设备，满足不同环境场所使用需要。AP的位

置要隐蔽，如无法隐蔽需进行包装，避免被I顶客发现，影响购物中心的美观。实现

购物中心室内区域的无线全覆盖。

•要求新建WIFI网络可以与现有购物中心现有网络无缝连接。

・每个购物中心的无线网络要支持不低于500个终端同时在线。

•WIFI网络设计可以满足冗余需求，如关键设备故障后可实现逃生机制，保证用户上

网服务。

•WIFI网络支持分组需求，划分普通游客组、APP用户组、VIP用户组、经营组、办

公用户组等，不同用户组可以配置不同的网管策略。

•要充分考虑WLAN安全问题：用户接入安全、访问安全、游客体验WLAN与公司

经营WLAN网络信息安全隔离问题；无线WIFI网络要有应对黑客攻击的手段。

•能够方便自主地管理WIFI认证portal页面，通过WIFI接入的认证及欢迎页面,

引导顾客服务与消费，进行精准的广告宣传。

•要能提供店铺位置的导航功能，通过WIFI终端定位要求通过wifi系统配合购物中

心地图，对终端提供不低于5M精度的定位能力。

•可以通过WIFI网络了解用户的运动轨迹，为分析用户需求提供数据支持。

•采用统一的有线无线一体化网络管理，实现简单便捷的整体网络运维管理。

•要求对WIFI上网流量进行监控，符合公安部网监要求，做到"落地杳人。

4.2设计原则

在设计购物中心无线网络时，需要考虑购物中心角色的多样性、顾客上网行为的复杂性以及业主方对于网

络安全和网络质量的需求，需要在进行WLAN规划时除了WLAN组网以外，还需考虑到WLAN网络的

通信质量、网络安全、可靠性、统一管理以及部分行业对无线用户接入认证、授权、计费的需求。

针对以上设计需求，无线网络方案设计原则如下：

・无线部署：购物中心内要考虑采用合理的AP以及天线部署方式，除满足无线全覆

盖的要求以外，还要考虑无线定位等增值业务的实现。每个AP覆盖半径不应该超

过30m。

•用户规模要求：购物中心最高承载人数不低于500用户同时在线。

•信号覆盖范围和强度：办公区域无线信号覆盖强度＞-65dBm;店铺无线线号覆盖

强度＞-70dBm;购物中心其他公共区域无线信号覆盖强度＞-75dBm。

•无线带宽要求：不同用户分配不同的带宽需求，如：办公用户2M带宽保证；普通

顾客30~50K带宽保证(可满足微博、微信、QQ等业务需要)；VIP用户3M带

宽保证。相关设备必须稳定可靠，确保用户可稳定顺畅地使用无线网络。

•兼容性：应支持802.Ha/b/g/n标准，保证不同协议的无线终端接入，并尽可能选

择双频设备，保证无线网络性能。

•漫游性能：支持无缝漫游，保证无线网络数据业务不中断。

•SSID规划与VLAN绑定：对于不同无线用户(顾客、商铺、办公人员)的应用，

采用SSID与VLAN绑定的方法，实现不同接入终端的访问管理。

•用户接入认证：无线系统需要支持Portal认证和Mac认证，顾客采用portal页面

认证方式，通过手机接收认证密码；老用户支持一键上网功能，即通过对上网设备

物理地址的识别，老用户无需再次接收认证密码，识别到设备后直接上网。

•无线安全加密：无线覆盖系统需要兼容和接纳广泛使用的无线加密协议，包括WEP、

WPA-PSK、WPA2-PSK等加密方式，保证私密信息安全。

•统一维护管理：提供有线无线网管系统，实现简单方便的。

•定位导航：店铺导航定位系统定位精度应满足最小店铺间隔要求小于5m。

4.3标准和规范

IEEE802.11a/b/g/n

IEEE802.111,Wi-FiProtectedAccess2(WPA2),WPA

IEEE802.1X

AdvancedEncryptionStandards(AES),TemporalKeyIntegrityProtocol(TKIP)

EAPType⑸

Wi-FiMultimedia(WMMTM)

RFC2401:SecurityArchitechurefortheInternetProtocol

RFC2139:RADIUSAccounting

RFC2138:RemoteAuthenticationDialInUserService(RADIUS)

RFC2475:DiffServ

RFC3270:PipetunnelingoverDiffServ

RFC3768:VirtualRouterRedundancyProtocol(VRRP)

《中华人民共和国公安部第82号令》

4.4购物中心无线覆盖方案设计

4.4.1概述

本购物中心建议采用无线控制器AC+瘦AP的部署架构，搭配吹宙艮务器、华为统一网管eSight系统，

与楼层接入交换机、核心交换机一起组成集中统一的购物中心无线覆盖系统。

采用瘦AP方式主要是为了便于进行集中配置和统一管理,在实际工作中,无线控制器AC连接到核心交换

机，与华为eSight网管系统的WLAN管理模块协同工作，实现对全网AP的自动配置下发'射频管理、

信道分配、安全接入控制等等无线网络配置和运维管理功能。

华为瘦AP产品可以支持802.11a/b/g/n协议，并提供MIMO功能，可以成倍地提高无线信道容量、信

道可靠性，降低误码率。AP由楼层接入交换机以POE方式供电。

无在上网访问权限可以通过有线无线一体化认证服务器进行控制，并在后台进行统一计费和管理.

无线网络架构如下图所示：

Irvternct

-a，

J•sipJ3>or6tal+R2aduis

—I----------1--------L-eSight

嬖交换机n»)§

PoE供电

4.4.2AC部署方式

>AC采用旁挂式部署，本地转发数据

结合本商城项目实际部署规模，建议AC采用旁挂式部署,用户数据采用本地转发策略，这样AP与AC之

间只有控制流，而无数据流，数据承载业务由交换机来执行，不存在数据转发瓶颈，运行效率更高。

-----管堰流-----拉据流匚二□CAPWAP随道

>AC双机热备

无爱商城AC1+1备份主要指同一业务在两台AC设备上相互进行备份，AC上涉及的热备的业务有用户接

入认证、WLAN组件等,上线用户的信息的任何改变,都会及时保存在两台AC设备上，这样当其中一个

AC设备、或AP与AC间物理链路发生故障时，用户不需要重新进行认证或关联，其业务被自动切换到另

一台设备上，并在用户可接受的时延下，迅速恢复。

如上图所示,AC1与AC2之间建立一个热备通道。当AC1出现以下情况时：

>AC1整机复位

>AC1的上行链路down

>AC1与AP间链路down

此时可以通过双机热备机制，快速将用户认证信息、以及用户流量切换到AC2,这样用户不需要重新认证

上线。AC旁挂的场景，用户的业务不受影响；用户业务流量经过AC的场景，用户的业务能够经过很短的

时延后，迅速恢复。

对于无线商城用户接入过程涉及RADIUSServer.PortalServer,DHCP等服务器，如下图所示，其中有

的服务器会配置设备的IP这样一旦用户接入的AC发生主备切换，可能导致^务器与新的主设联系中断，

需要根据不同的场景进行分析。

RtxulRaduisDHCP

DHCPServer与设备上的Relay可以自适应联动，Server不会主动发送协议报文到设备上，所以对其不

需要做特殊处理。

RADIUS/PortalServer需要配置对端设备的IP地址，并且服务器会主动发送COA/DM,或Portallogoff

的强文到设备上。一旦用户的主备AC发生切换,要保证新的三AC仍然能够正常接收或处珊艮务器的消

息，Radiusserver通过以下几点实现热备互通：

>计费、认证报文中填写备份过来的NAS-IP-Address和计费session-id。

>AC发送的Radius报文中的srcip可以不同但Radiusserver中配置的COA/DM

的设备地址主备需相同。

>原主节点不是整机上/下行中断的情况下，该节点收到的COA/DM报文需要进行

处理并同步到对端，主设需要下发授权信息到AP。

>原主节点整机上/下行中断的情况下，在备节点也配置一个同主节点相同IP的

Loopback接口，该接口不直接加入IGP,而是通过importdirect引入，因引入

路由的优先级要比接口直接加入IGP的低，这样，到该IP路由会优先指向主节点，

在主节点down时指向备节点，这样radius发送的报文就能正确发送到备节点。

>重认证可以看作一个重新上线的过程。

4.4.3AP部署方式

购物中心大多数场景均为室内，所以在部署方式上采用放装型AP进行部署，AP通过挂壁或吊顶方式部署

在建筑楼层的墙壁或者顶部，各个楼层的接入交换机以POE方式给AP供电。

购物中心'在节假日或活动日时会迎来客流高峰，大量顾客接入商城的无线网络进行访问，因此放装型AP

部署时需要着重考虑单AP最大并发接入用户数量以及单AP覆盖范围。在本项目中建议放装型AP部署

半径在15-20m范围,最高单AP覆盖半径不超过30m。

本项目中购物中心需要提供基于位置的增值服务,由于至少3个AP才能定位1个基准点,所以在AP的

部署上，要充分计算AP部署的密度。在本项目中建议采用蜂窝模式部署AP,保证在合理的AP数量范围

内能采集到终端信号强度。

由于楼层弱电间离每个AP之间的距离不同，有些地方部署AP时，拉线非常麻烦，同时要考虑部分商铺

已经营业，所以在部署不方便的地方，采用WDS蛆网方式.

LANSegment2

LANSegment3LANSegment1

LANSegment4

在WDS点到多点的组网环境中,以一台AP设备作为中心设备，其他AP与中心AP建立无线桥接，实现

多个网络的互联。

在点对多点组网场景下，AP网桥链路之间、以及有线链路可能出现网络环路。为防止网络风暴、保证正确

的二层转发，需要启用STP功能打开环路检测。STP功能对AP有线接口、和开启了WDS的网桥接口有

效.网桥端口的每个无线虚链路作为一个独立逻辑端口参与STP协议交互和控制。

>AP设备选型原则

根据部署方式选型

放装型部署方式：应选用内置天线室内型AP,建议选择华为AP6010和AP7110;

根据频率选型

放装型AP:提供较大开放性区域的无线覆盖,这类区域人员容易集中,接入数量多，终端类型多样，有些

只能支持2.4GHz频段，有些则同时支持2.4GHz和5.8GHz,为保证无线网络性能，因此宜选择双频模

式的无线AP,这样可以通过ONLY模式将802.11n限定在5.8GHz频段，其余均工作在2/Ghz频段，

建义华为AP7110DN和AP6010DN。

设备型号

AP产品描述应用场景接入人数建议

AP7110DN高性能室内双频AP,2.4G&5G,人员密度高且对覆25-30A

3x3MIMO,每射频最高盖、接入性能

450Mbps

AP6010DN室内双频AP,2.4G&5G,常规室内接入场景20〜25人

2x2MIMO,高300Mbps

4.4.4无线IP地址规划

无线的IP地址规划需要综合考虑全网AC、AP和终端用户。

>AC的IP地址：用于管理AP,需要通过静态手工配置IP;

>AP的IP地址：只用于接收AC的管理，通过DHCPServer动态分配；

>终端用户的IP地址：通过DHCPServer提供°

4.4.5SSID规划

本项目中，无线SSID与业务VLAN要支持一下四种映射关系：

>SSID:VLAN=1:1部署

>SSID:VLAN=1:N

>SSID:VLAN=N:1部署

>SSID:VLAN=N:N部署

在本项目中，根据设计需求，无线接入至少需要3个SSID:Guest_SSID（顾客无线\Retailer.SSID（商

铺无线）和Office_SSID（办公无线X同时，SSID需要分别与VLAN进行映射。

AP所在区域SSIDVLAN

办公区Office_SSIDVLAN100

Guest_SSIDVLAN10

购物中心公共区域Office_SSIDVLAN100

Retailer.SSIDVLAN20

Guest_SSIDVLAN10

店铺Retailer_SSIDVLAN20

Guest_SSIDVLAN10

4.5无线认证方案设计

4.5.1概述

购物中心属于公众购物娱乐场所，无线网络要满足各种人群的接入需求，因此对于购物中心无线网络的接

入用户存在认证、授权等需求。

本项目中无线网络的认证方案归纳为两个方面：

”一次认证，多次使用":需要能够方便自主地管理WIFI认证portal页面，通过WIFI接入的认证及欢

迎页面，引导顾客服务与消费，进行精准的广告宣传。对于已经认证过的终端，在1天有效期限内要实现

免认证功能，即“一次认证，多次使用二

"分组流量控制"：由于商城推行会员制，不同等级会员享受不同网络体验，如客户群分为普通顾客组、

APP用户组、VIP用户组、经营组、办公用户组等，基于用户类型的带宽要求保证，不同用户分配不同的

带宽需求，如办公用户2M带宽保证；普通顾客30~50K带宽保证；VIP用户3M带宽保证。

4.5.2一次认证，多次使用

根据购物中心要求，分别采用两种认证方式：MAC认证和Portal认证。

MAC认证，可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式

要求预先在AP服务器中写入合法的MAC地址列表，只有当客户机的MAC地址和合法MAC地址表中

的地址匹配，AP才允许客户机与之通信。

Portal认证，客户端无线安装田可的软件终端，即可实现网络准入认证。该认证通过劫持http报文，重

定向至Portal认证服务器来实现用户认证界面的推送功能。

▼;工三k-lwl

“一次认证，多次使用”实现流程：

1.无线用户通过Web页面认证认证报文到AC后AC将设备MAC信息交给Raduis

服务器，Raduis服务器进行MAC地址匹配。

2.如果发现MAC已经存在，则直接®连第8步；如果MAC地址不存在，则通过

Portal协议向Portal服务器发起认证请求。

3.Portal服务器把购物中心认证界面（支持可定制）回传给AC设备；AC设备将界

面彳专给用户终端上。

4.顾客根据指示填写如：电话号码（必输）,姓名，VIP卡号等信息。提谈Portal服

务器。

5.Portal服务器向Raduis服务器请求顾客上网密码。

6.Raduis遂行上网账号的登记，并通知短信猫/短信网关,将密码发送给顾客。

7.用户输入账号和上网密码，提交Raduis服务器认证。

8.顾客认证成功，正常访问页面。

本项目中Portal认证服务器组件采用华为TSM系统，认证服务器和Portal服务器可部署在同一台服务器

上.

4.5.3分组流量控制

针对不同的消费群体，购物中心应该提供不同的购物体验。对于网络体验部分，针对VIP客户、普通客户

以及业主办公人员应该提供不同的需求带宽来满足，分组流量控制能够很好的解决这一客户需求。

1HNeW。*"RADIUSRADIUS眼务器（配置用户

Server对应的用户组）

T

AC上对应的用户组下绑定了

不同的ACL规则

Z7用户上线成功后,被授权到对应的用户组

V3/STA该用户所属的用户组配置的规则允许访问

Internet特定资源

分组雌流程：

1.用户认证成功后,RADIUS服务器通过回应授权信息，将用户授权到对应的用户组。

获取服务器回应报文中的的

2.ACRADIUSUserGroupo

3.AC将该UserGroup下绑定的ACL提交给AP和AC。

4.用户上线成功后访问网络时，由AP与AC共同实现对用户权限的控制。

5.如果RADIUS服务器未下发彳丑可ACL,则意味着不限制用户任何访问权限，即用

户默认权限为可以访问任何网络资源。如果要控制用户访问权限，则RADIUS服务

器必须下发ACL或用户组。

＞购物中心分组流控实现

由于购物中心用户组全部保存在购物中心CRM系统中，因此网络中的分组信息需要与CRM系统进行关

联噪作。

香;句安白

Raduis'小宣白CRM

如上图所示,Raduis服务器从CRM系统中同步用户组信息，根据实际用户组设置相关流量控制策略。每

一个用户上线后，Raduis向CRM查询一次用户信息，获取用户组等基本信息情况，在根据设备ID和用

户组测试绑定，执行相关流量控制策略。

购物中心"分组流量控制"实现流程：

I.普通客户和VIP客户使用手机号码进行身份认证。

2.Portal服务器向购物中心CRM服务发起VIP客户查询服务，获取顾客群组。

3.Portal获得顾客群组后向AC下发号码对应的群组，由AC控制对应的流量模型。

4.普通客户和VIP客户上网分别享受不同的流量。

分组流量模型：

群组流量模型

Office2M

Customer30~50K

VIP3M

4.6无线安全方案设计

4.6.1概述

购物中心属于公众购物娱乐场所，无线网络随时面临各种突发网络事件。如何有效保证购物中心业务的正

常运行和顾客上网体验的安全，将成为整个无线网络安全设计的重点。

本项目中无线网络的安全方案主要有以下四个方面："业务数据安全"、"终端安全接入管理"、"内外网安

全隔离"和"WIDS/WIPS

4.6.2业务数据安全

顾客需要通过购物中心网络访问外网，由于都是在购物中心网络下运行，各个业务数据都要保证安全，网

络的个个环节要进行业务数据的加密处理.

本项目采用的华为AC设备，均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证和加密、

WAPI认证加密等无线接入安全特性,用户可根据实际需求选择不同的加密特性。

触指标

WLAN安全模板管理支持通过WLAN安全模板管理认证和加密方式.

WEP认证加密支持WEP的认证/加密方式。

每个AP最多支持4个WEP加空方式的VAP#

WEP认证加密在AP实施，认证结果通知AC,

WPA/WPA2认证力口密支持AC集中认证方式。

支持“WPA/WPA2-PSK+TKIP"的认证/加密方式。

支持"WPA/WPA2-PSK+CCMP"的认证/加密方式。

支持"WPA/WPA2-802.1X+TKIP"的认证/加密方式。

支持“WPA/WPA2-802.1X+CCMP”的认证/加密方式.

WAPI认证加笆支持AC集中式WAPI认证。

支持WAPI多信任证书方式（3证书），兼容传统双证书方式。

支^寺证书和私钥合一的发放方式.

支持WAPI加密的启用/禁