互联网技术的高速发展,极大地提高了网络的普及率和普及速度,网络正成为人们办公、日常生活、娱乐、教育、旅行、度假等所必须的配备。宽带网络为人们提供了信息分享和交流的平台,使人们可以更便捷地获取最新的新闻资讯,如政治、经济、娱乐、体育新闻等,人与人之间的联系沟通变得更加及时和有效率,图书、文字、视频等创作也为普通人所触及,极大的丰富了人们的休闲娱乐,新的社交网络和媒体平台也如雨后春笋般应运而生。
互联网的网络访问安全将会成为宽带接入行业越来越重要的部分。这不仅是贯彻和执行国家有关网络安全法律法规的政策,也旨在为WiFi网络供应商提供更为安全和完备的宽带解决方案。
**公司的Wi系列WiFi网络接入方案提供了一站式服务,主要面向省级、地市级电信运营商、教育高校、专网用户、新兴的中小型运营商,非经营性提供WiFi网络的场所(如酒店、度假村、矿区等),该系统可以广泛应用于电信运营商、广电、企业、矿区、教育、政府和私营的公共宽带接入领域。除了提供专业的WiFi网络认证授权计费功能,还提供了完整的WiFi网络安全管理,补充了WiFi网络接入的安全管理问题。
在为用户提供宽带上网的条件时,极少有管理者考虑到用户使用网络的合法行为和安全问题。以典型的无线上网方式来讲,用户使用取临时上网使用的账号和密码(或者只有密码),认证通过后即可访问互联网(甚至有点地方根本没有密码)。在此认证过程以及认证通过后上网的时间段内,并未涉及到对于用户身份合法性以及上网行为的记录,而且由于用户大多使用移动设备接入(笔记本电脑、智能手机、平板电脑等),很难通过终端的物理标识(MAC地址,SN序列号,IMEI、IMSI等)来一一记录,同时对用户在此期间的网络访问去向更是无法追踪。
概括起来讲,宽带网络接入主要分为有线和无线两类,这两类接入方式的用户都具有群体广泛、构成复杂、网络访问差异性较大等特点。而相对于有线网络,无线网络大多通过无线AP接入,无线网桥,无线网卡等设备接入网络互联网络,更适合于这些场所的覆盖使用。无线网络一般有以下特点:
灵活性,不受线缆的限制,可以随意增加和接入点;成本相对低廉,无线局域网不需要大量的工程布线,同时节省了线路维护的费用;
移动性,不受时间、空间的限制,用户可在所覆盖的网络区域内活动而不受限制;
易安装,对于有线网络来说,无线局域网的组建、配置和维护更为容易;尤其对于室外移动场所布线不便的地方更为突出;
,对于有线网络来说,无线局域网的组建、配置和维护更为容易;尤其对于室外移动场所布线不便的地方更为突出;
接入终端的不确定性,无线网络的移动性造成了所接入的终端可能会是智能手机、平板电脑、笔记本电脑等,而且这些接入的终端时间相对较短,同一个接入点可能面临比较频繁的接入终端更换。
方案简介
根据当前WiFi网络管理的的行业现状,以及此类免费提供无线网络场所的特点和存在的问题,时讯无线充分发挥在宽带运营行业多年的经验和以往为运营商客户提供的成功案例,推出适合这些流动场所的WiFi网络接入管理方案。
方案部署主要特点为简单、简易、有效,主要使用一套WiCloud认证授权系统作为核心的管理控制单元。
方案设计原则
l 多点接入AP设备、不同用户接入,统一汇集到核心管理系统进行统一控制,便于对软件管理系统的管理和维护。
l 末端部署简易化,使用简单的配置和插入即可完成无线AP接入。
l 高可靠性的管理系统能够保证认证授权和管理服务的持续运行。
l 采用稳定、高效的数据库,保证数据采集的准确、安全和及时反馈。
l 安全的系统基础构建和传输机制,确保用户信息不会泄露。
l 充分发挥时讯无线计费产品的管理、计费方面的优势完全控制整个网络的用户,进行有效的用户管理。
l 提供简介实用的用户Portal界面供管理员对业务进行操作和管理,用户接入时的认证过程要简单、快速,并且能够记录关键信息定位到人。
l 系统配置不仅满足现在网络状况的需求,还要有能力承担这些场所3-5年网络规模发展的需要。对于后期扩充能够以平滑方式升级,以及对其他可能的对接的系统做好充分的前期准备,预留开放性接口。
方案拓扑设计
使用流程
本方案提供的功能综合了行业内高效的WiFi网络认证计费系统,对上网用户的身份账号以及上网过程中产品的行为进行记录,并提供了统一的管理平台分配给各级不同权限级别的管理员,高性能无线AP为用户终端提供接入点和远距离无线数据传输(可点对点定向传输2-4公里)。以下是本方案提供的使用流程:
1. 用户通过SSID连接到矿区内覆盖的高性能接入无线路由器,处于核心机房的无线控制器AC将根据划分的VLAN分发相应的IP地址给终端;
2. 用户打开浏览器,输入任何地址,网络访问请求到达WiAC宽带接入网关时发现用户尚未登录,将会把请求强制跳转至定制的认证登陆界面;
3. 用户在登录界面输入自己的用户密码,点击登录;
4. 经过接入无线路由和桥接的无线AP传输将用户的认证请求发送到WIAC网关,WiAC会自动与WiCloud中存储的用户信息做核对,核对失败返回错误提示;核对成功后返回认证成功的消息,用户正常访问Internet,并且将公司的通知,近期动态等信息推送至用户浏览器界面上;
5. 用户认证成功及访问Internet期间, WiLog网监日志系统将对用户网络访问去向做全面记录,通过内置的高性能分析引擎解析整理后存入数据库,可供管理员实时查看和追踪;
6. 无线覆盖区域内支持SSID漫游功能,即用户在区域内移动后会自动切换到信号强度较大的AP点(AP的SSID相同),保证用户持续的网络访问,同一个账户在本区域内自由移动漫游不必再重复认证登陆;
7. 处于后方的WiCloud专业计费系统可为每个接入的用户提供一定的带宽授权,保证区域内整体的网络访问质量;并提供特殊的账号免认证通道,保障特殊用户更加便捷的接入访问;
方案软硬件提供
根据方案的设计,将会采用以下软件和硬件:
类别 |
名称 |
数量 |
说明 |
备注 |
硬件系统 |
WiAC网络接入网关 |
1 |
根据用户规模,一台宽带接入设备即可满足要求 |
为区域内所有用户的宽带接入提供身份认证授权功能 |
软件系统 |
WiCloud 认证计费系统 |
1 |
提供区域内所有用户的认证身份核实管理和动态密码生成 |
根据用户规模,可部署在同一台硬件服务器上 |
WiPortal 认证门户系统 |
1 |
为区域内所有用户提供接入时的认证登录窗口 |
||
WiLog 日志系统 |
1 |
网监日志系统,提供区域内所有用户的网络访问日志信息 |
在公安要求审计等突发情况下可提供上网行为记录 |
WiCloud 宽带认证授权管理系统
采用国际标准协议Radius(Remote Authentication Dial In UserService)为基本支撑,同时扩展一系列数据采集接口,可以实现对VOIP电话(H323/H245、MGCP、SIP、Cisco Call Manager 5.0到6.0)、网络接入(PPP Dialup、ISDN、PPPOE、xDSL、VPN、Wi-Fi、WISP)、即时通信(jabber、SIP)、电子商务网站(WEB)提供认证、计帐、漫游、虚拟计费服务。
系统带有一个功能完善的计费引擎,可以对各种原始数据(VoIP话单、宽带接入话单、PSTN拨号话单、流媒体话单、即时通信IM话单)进行计费和清费处理,包含时长、流量、按照主被叫、优惠策略、多服务计费策略。
WiCloud针对华为的MA5200系列、ME系列做了全面的功能支持,包括带宽控制、欠费页面强推、踢人下线、IP地址池分发、策略路由下发、策略域下发、主备DNS下发等做全面的支持。
针对宽带网驻地网,自带宽带工单管理(客服、报装、报修、续费、变更、停机、复机、移机),资源管理系统(营业站、小区、楼、设备主箱、设备、端口管理),完善的工单控制流程和完善财务统计分析,完全满足宽带驻地网运营商的日常业务需求。
WiCloud AAA功能简介
1. 基于Linux系统、Oracle数据库、J2EE进行研发。
2. 支持标准Radius协议族(如RFC2865、RFC2866、RFC2867、RFC2868、RFC2869、RFC3576等协议标准),支持PAP、CHAP标准认证协议,支持RFC2869中EAP-MD5认证模式,支持SIP-MD5认证,支持H323 H245方式认证,支持EAP-TTLS方式认证。
3. 支持Radius扩展COA协议,支持COA DM在线踢人协议。
4. 支持华为MA5200系列(MA5200F/MA5200G系列,支持华为ME60系列高端接入设备;支持中兴UAS-T系列接入服务器;支持WiAC宽带接入设备;支持RouterOS软路由,全线支持Cisco ASR设备,支持Cisco Call Manager 5.0以上版本。
5. 支持Linux、Unix、Windows多种运行平台,提供WiCloud 10g Linux发行光盘,一键式安装。
6. 单机支持2500请求/秒,单机支持约3-5万并发用户在线。
7. 系统自带双机冷备功能,主备系统自动数据同步,确保运营数据的安全性。
8. 支持扩展Radius VSA带宽授权,支持内外网带宽分开限速。
9. 支持COA动态带宽授权,可随时针对用户调整带宽,支持用户即时掉线DM功能。
10. 支持下发策略路由功能,支持Radius下发地址池功能。
11. 支持VLAN绑定、MAC绑定、IP绑定、时间绑定等认证策略模版。
12. 支持每用户在线速率计算,为运维提供参考,同时记录在线情况,自动绘制曲线。
WiCloud优点
1. 丰富的协议支持,覆盖支持主流的BRAS设备和802.1X交换机,可为各种机遇Radius协议的终端提供认证授权功能。
2. 高性能支持,单机支持高达2500请求/秒的处理速度,可长时间无故障运行。
3. 丰富多样的计费类型,完全支持国内各种宽带业务,包括普通有线宽带接入、二级驻地网宽带、无线WiFi宽带、3G无线宽带业务模型等。
4. 为不同区域用户可授权不同带宽,满足用户的层次化、个性化客户需求
WiPortal WEB认证门户系统
WiPortal WEB认证门户系统是面向二层、三层IPoE设计提供的WEB认证门户,目前支持Cisco ASR系列、华为MA5200/ME60系列、WiAC系列IPoE WEB认证;同时还是策略授权服务器,允许IPoE用户进行页面修改密码、策略网关选择、带宽动态修改、主动下线等操作。
WiPortal产品特点
1. 运行于Linux系统之上,采用J2EE进行开发。
2. 支持Cisco ASR系列主流路由器,支持Cisco COA WEB认证。
3. 支持MA5200/ME60系列,支持华为COA WEB认证。
4. 支持WiAC系列的入网门户认证,支持无线WiFi WISPr WEB认证协议标准。
5. 内置Linux双机Keepalived部署,可进行多台集群部署,确保服务不宕机。
6. 支持WEB Portal的多台负载均担,与设备无关的会话设计,确保随着压力的增加,自动平滑插入机器完成超大规模的WEB认证。
7. 它内置防范有意、无意的HTTP攻击,自动控制单机最大并发Sync连接和TCP链接数,有效遏制HTTP的超大并发访问。
8. 自动进行健康检查,自动进行日志归档清理。
9. 系统稳定可靠,可经年长时间无故障运行。
WiPortal产品优点
1. 支持国内主流的IPoE设备。
2. 稳定可靠,长时间无故障运行。
3. 双机集群部署,支持HTTP负载均衡,从而可平滑插入设备分担压力。
WiAC宽带接入网关设备
WiAC是专门面向ISP运营商定制的一款宽带网络拨号接入设备BRAS,基于X86硬件构架,深度优化UNIX内核,解决ISP网络用户PPP隧道建立、用户身份认证、网络带宽控制、内外网带宽分开限速、强制广告推送、即插即用、多策略网关等功能,是面向ISP行业的紧密定制的宽带综合多业务接入网关。
WiAC产品特点
1. 基于X86构架,深度优化Linux内核。
2. 支持PPPoE拨号接入控制。
3. 支持L2TP、PPTP拨号接入控制。
4. 支持IPoE二层、三层WEB认证接入控制。
5. 支持酒店即插即用VLAN认证、MAC透明认证接入控制。
6. 单设备最高支持4000个PPPoE接入,高达8000个IPoEWEB接入。
7. 支持标准RADIUS协议,同时扩展支持RADIUS COA协议。
8. 支持扩展RADIUS VSA带宽授权,兼容华为MA5200G、ME60带宽授权控制。
9. 支持内外网带宽分开限速,非常适用于内网资源的高速访问。
10. 支持由RADIUS下发推送网页,网页展现率90%以上。
11. 支持COA动态带宽授权,可随时针对用户调整带宽,支持用户即时掉线DM功能。
12. 支持由RADIUS下发策略路由功能,支持RADIUS下发地址池功能。
13. 支持VLAN或者DSLAM的PPPoE+功能,可根据VLAN或者DSLAM的MAC下发地址池。
14. 支持主、备多达3台RADIUS系统认证,支持主、备自动切换。
15. 支持SNMP 的v1 、v2 、v2c 、v3 等不同版本。
16. 支持串口登录,WEB友好的人机操作界面。
WiAC产品优点
1. 丰富的拨号协议支持,PPPoE、L2TP、PPTP、IPoE。
2. 单机高达4000 PPP隧道,8000 IPoE认证支持。
3. 支持内外网限速、支持广告推送、支持动态COA授权。
4. 支持基于VLAN和PPPoE+标准的地址池下发。
WiLog网监日志系统
WiLog是一款专门记录网络NAT日志、网络访问日志的日志记录系统,通过接口查询用户资料系统(认证计费系统或者BOSS系统),从而联动显示用户访问情况及其该访问的用户姓名、电话、身份证、地址、访问信息。
目前支持多种日志采集方式,支持syslog方式采集,支持Cisco Pix、华为、华赛、H3C二进制日志输出,支持锐捷syslog日志输出,支持交换机端口日志镜像。
WiLog产品特点
1. 运行于Linux系统之上,采用Oracle数据库进行海量日志数据存储。
2. 单机可支持4GB出口NAT日志的采集,4GB出口的NAT日志流量约35Mbps。
3. 支持syslog方式采集网络出口访问日志,高速抓包引擎Netmap进行线速镜像抓取交换机或者分光器上的镜像包,自动生成NAT日志、QQ/MSN日志、HTTP访问日志。
4. NAT采集数据源包括源IP、源端口、NAT出口IP、NAT端口、目标IP、目标端口、转发时刻。
5. 自动与认证计费系统WiCloud进行用户联动,根据源IP和时间联动匹配到用户使用的账户名,从而节省网管人员的日志分析查询工作量。
6. 系统支持高速数据存储写入,精巧的数据存储方式,每天最高可达上百亿条NAT日志写入,每天写入数据量超过10GB。
7. 进行各种性能优化,支持即时的日志数据写入,海量的数据查询。
8. 日志数据自动删除,最大保存100天。
9. 实时数据存储监控,超过存储容量,将自动提示警告信息。
WiLog产品优点
1. 高速无延迟写入,海量数据检索。
2. 进行用户资料的实时联动提取,节省网管的日志检索工作量。
3. 支持多家防火墙设备和交换机镜像。
4. 系统稳定可靠,长时间无故障运行。
部分缩写词
术语/缩写词 |
解释 |
Radius |
Remote Authentication Dial In User Service |
NAT |
Network Address Translation |
WiFi |
Wireless Fidelity |
MAC |
Media Address Control |
SN |
Serial Number |
IMEI |
International Mobile Equipment Identity number |
IMSI |
International Mobile Subscriber Identity |
AP |
Access Point |
IM |
Instant Messaging |
SSID |
Service Set Identifier |
BAS/BRAS |
Broadband (Remote) Access Server |
PPPoE |
Point-to-Point Protocol over Ethernet |
WLAN |
Wireless Local Area Networks |
DNS |
Domain Name System |
ISP |
Internet Server Provider |
URL |
Uniform/Universal Resource Locator |
IDC |
Internet Data Center |
AAA |
Authentication Authorization Accounting |
QoS |
Quality of Service |
VLAN |
Virtual Local Area Network |
需求功能清单列表(以西安移动需求为例)
项目说明 |
详细功能 |
认证方式 |
实时检查认证手机号是否有重复登录同一个手机号码同一时刻只能在一个移动终端有效,如果同一个手机号码登录不同的移动终端,仅有最新登录移动终端有效 |
支持手机号短信密码和固定账号认证(手机短信支持两种模式:1.通过短信网关发送短信——短信支持三家运营商的客户2.模拟弹出短信验证码) |
|
管理员可自主设置手机短信内容 |
|
支持微信验证码认证 |
|
支持微信一键登录 |
|
portal页面必须要有欢迎页,认证页,广告页,登录成功页 |
|
支持QQ认证 |
|
支持APP认证(IOS版和安卓版)可代开发 |
|
支持免认证 |
|
Portal 广告管理 |
欢迎页,认证页,广告页,登录成功页都必须支持可更换广告页面。 |
认证页,登录成功页都必须支持更换广告模板 |
|
不同的网点可以设置属于自己的广告页面,如果网点没有设置广告页面,系统采用上一级机构的默认模板。 |
|
portal页面能够适配不同终端(PC、手机、PAD),portal页面能够根据屏幕大小自动调整屏幕布局,系统支持两种样式(横屏、竖屏样式不同) |
|
portal页面可同时支持图片、文字、GIF |
|
支持修改登录页的免责申明 |
|
登录成功页面的广告图片支持超级链接设置,用户点击图片系统会自动跳转到相应的页面 |
|
登录成功页面支持一键下线功能 |
|
认证页,登录成功页的上下栏的logo都支持自主更换 |
|
系统支持可配置不同的登录方式:手机登录、固定账号登陆、微信、一键登录、QQ。 |
|
系统支持“欢迎页,认证页,广告页,登录成功页”的页面预览。 |
|
系统支持对欢迎页和广告页的禁用和启用,若禁用欢迎页或广告页,用户认证时系统将跳过相应的页面。 |
|
日志审计 |
支持用户URL日志审计。 |
查询条件至少包含:用户账号、发布内容、开始时间、结束时间、所属网点的查询功能。 |
|
查询结果包含:用户账号、用户MAC,用户IP、访问IP、访问时间、论坛URL、发布标题。 |
|
支持用户论坛日志审计。 |
|
查询结果包含:用户账号、用户论坛账号、用户MAC,用户IP、访问IP、访问时间、论坛标题;至少支持10个主流论坛。 |
|
支持论坛发布日志审计。查询条件至少包含:用户账号、开始时间、结束时间、所属网点的查询功能查询结果包含:用户账号、用户MAC,用户IP、访问IP、访问时间、论坛URL、发布标题 |
|
支持用户客户端发邮件日志审计。查询条件至少包含:用户账号、开始时间、结束时间、所属网点、邮件主题、发送账号、接收账号的查询功能查询结果包含:用户账号、用户MAC,用户IP、邮件发送账号、邮件接收账号、邮件主题 |
|
支持用户即时通讯账号的日志审计,支持msn和qq(用户账号、IM软件名、账号、操作、访问时间、所属网点)。 |
|
支持网页视频日志审计。查询条件至少包含:用户账号、视频网页名称、开始时间、结束时间、所属网点的查询功能。查询结果包含:用户账号、用户MAC,访问IP、访问时间、视频网页名称、视频名称;网页视频至少支持三个以上站点: |
|
支持用户上下线日志查询条件至少包含:用户账号、开始时间、结束时间、所属网点的查询功能查询结果包含:用户账号、用户MAC,用户IP、上线时间、下线时间、归属地、终端类型、所属网点 |
|
系统管理 |
提供管理员/操作员日志记录查询; |
提供分权分域管理,各用户仅可检索到自己的网点和数据; |
|
查询 统计分析 |
支持广告点击量统计。 |
统计条件为时间段、统计维度(网点/广告) |
|
支持图表展示,展示内容包括网点、广告、点击数 |
|
支持用户访问量统计。 统计条件至少包含:开始时间、结束时间、地域选择(全省/地市)用户访问量统计top10,统计展示支持图表统计报表包含时段、访问量;点访问量进入二级明细页面(展示地市/网点,访问量),或全省24小时段的访问量统计,二级明细展示某一时段各地市的用户访问量 |
|
支持访问网站排名。查询条件至少包含:开始时间、结束时间、地域选择(全省/地市);访问网站排名top50,统计展示支持图表;统计报表包含时段、网站访问量;点网站访问量进入二级明细页面(展示地市/网点,访问量),或全省24小时段的网站访问量统计,二级明细展示某一时段各地市的网站访问量; |
|
支持网点终端类型统计查询条件至少包含:开始时间、结束时间、地域选择(全省/地市); 统计展示支持图表;支持用户状态查询。查询条件至少包含:所属网点查询结果至少包含:网点名称、用户名、用户IP、开始访问时间、下线时间、终端类型、手机归属地、MAC、登录方式 |
|
URL过滤 |
URL过滤白名单,移动终端无需认证可以访问白名单网页,除了白名单之外的所有网页都需要认证(支持网站、域名、多级子域名)。 |
URL过滤黑名单,移动终端认证前后都无法访问黑名单的网页(支持网站、域名、多级子域名)。 |
|
DHCP |
手机、PC、PAD获得dhcp分配的ip地址范围 |
DHCP可配置内容包含:子网网段、网络掩码、IP范围、网关、DNS、备用DNS、租约时间操作 |
|
可针对MAC固定分配IP地址 |
|
可显示已分配的IP信息,内容包含:IP地址、MAC值、主机名、租赁开始时间 |
|
访问控制 |
支持强制断网功能(支持累计时长或单次时长限制上网) |
支持用户连接数限制(当连接的用户数超过预先设定的连接数,新连接用户无法连接,无法认证上网)。 |
|
支持手机号黑名单。 |
|
支持mac地址白名单。 |
|
支持无流量自动断网(用户在一定时间内(时间可配置)未产生上下行流量,则判定用户离开 ,作为异常下线处理) |
|
支持关键字过滤 |
|
可按照网点定义上网开放时间段 |
终端界面展示