商業(yè)WiFi解決方案技術(shù)建議書

目錄1概述 11.1簡介 11.2運營問題與挑戰(zhàn) 11.3總體設計原則 22需求分析與典型場景 32.1典型場景 32.1.1多場景Wi-Fi覆蓋 32.1.2便捷的網(wǎng)絡接入認證 42.1.3提供實時導航應用 52.1.4市場推廣及精準營銷 62.1.5商場運營&安全管理 72.1.6安全合規(guī)、日志審計 92.2商超ICT建設訴求 93華為商業(yè)Wi-Fi解決方案概述 113.1方案定位 113.2方案概覽 113.3典型組網(wǎng) 124Wi-Fi覆蓋方案 154.1概述 154.1.1AC部署方式 154.1.2AP部署和選型 184.1.3IP地址規(guī)劃 184.1.4SSID規(guī)劃 194.1.5射頻管理規(guī)劃 194.1.6高密覆蓋場景 205用戶認證管理方案 225.1用戶身份驗證方式 225.1.1短信認證 235.1.2Portal認證 245.1.3微信認證 255.1.4APP認證 275.2用戶認證和應用組網(wǎng) 285.3用戶策略管理 305.4海量賬號管理 315.5分組流量控制 325.6終端的精細化管理 346網(wǎng)絡運維方案 356.1WLAN全生命周期管理 356.2掌控網(wǎng)絡eSightMobile 366.2.1業(yè)務監(jiān)控 376.2.2區(qū)域監(jiān)控 376.2.3故障診斷 376.2.4無線網(wǎng)絡評測 386.3用戶資源管理 396.3.1用戶數(shù)據(jù)管理 396.3.2用戶數(shù)據(jù)報表 406.4第三方AP管理 416.5SAC智能應用控制 426.6無線安全管理 436.6.1WIDS/WIPS 436.6.2頻譜分析無線干擾源 456.6.3無線釣魚與RougeAP防護 456.7用戶上網(wǎng)行為審計 477安全合規(guī)方案 497.1合規(guī)審計 497.1.1方案一：統(tǒng)一存儲管理 497.1.2方案二：本地存儲管理 517.1.3方案選取建議 517.2安全規(guī)劃 517.2.1有線安全 517.2.2無線空口安全 528eSight無線定位 558.1網(wǎng)絡側(cè)定位與終端側(cè)定位 558.1.1網(wǎng)絡側(cè)定位 558.1.2終端側(cè)的定位 558.2Wi-Fi定位 568.2.1定位原理 568.2.2組網(wǎng)架構(gòu) 578.2.3使用場景 578.2.4推薦部署 588.2.5單AP定位 598.3藍牙定位 598.3.1定位原理 598.3.2組網(wǎng)架構(gòu) 618.3.3使用場景 618.3.4推薦部署 618.4北向接口 628.4.1整體架構(gòu) 628.4.2基于eSightWI-FI定位北向接口的應用開發(fā) 628.4.3eSight藍牙定位SDK的二次集成開發(fā) 648.5部署方式 648.5.1定位引擎與eSight服務器同機部署 648.5.2定位引擎與eSight服務器同機部署 648.5.3·定位引擎與eSight服務器分機部署 659設備介紹 669.1WLAN接入控制器 669.1.1AC6605接入控制器 669.1.2AC6005接入控制器 679.1.3AP4030DN&AP4130DN接入點 689.1.4AP4030DN-E接入點 699.1.5AP4030TN接入點 709.1.6AP4050DN-E接入點 719.1.7AP4050DN-HD接入點 729.1.8AP5030DN&AP5130DN接入點 739.1.9AP5030DN-C接入點 759.1.10AP5030DN-S無線接入點 769.1.11AP6050DN&AP6150DN接入點 769.1.12AP6310SN-GN接入點 779.1.13AP7030DE接入點 789.1.14AP7050DN-E接入點 799.1.15AP7050DE接入點 809.1.16AP9330DN接入點 819.1.17AD9430DN中心AP 829.1.18AP9131DN&AP9132DN無線接入點 839.2網(wǎng)管和SDN控制器 849.2.1eSight 849.2.2敏捷控制器 85概述簡介零售業(yè)正處于第三次變革時期，此次變革是基于互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)推動的全方位的零售革命，通過線上平臺，消費者購物不受時空限制，云計算搜集消費者線上行為并匯總到云端，大數(shù)據(jù)做深度挖掘，獲取消費者的需求。零售商擁有精準的信息后，便可組織供應鏈資源，滿足消費者的需求。而相對于線上，在商品展示、溝通交流、退換貨服務等方面，線下購物在體驗有無法媲美的優(yōu)勢，消費者線上和線下交叉互動是普遍的購物行為；對于購物中心類的零售業(yè)主，利潤來源主要來自于租賃業(yè)務。如何理解消費者新的購物行為，幫助購物中心品牌改進自己的溝通戰(zhàn)略，在合適的時間地點用對的信息與消費者溝通，在每個觸點,在家，在路上，在店內(nèi)，都做到令消費者滿意的品牌，才能最終贏得消費者；隨著移動終端的普及，購物中心越來越多通過移動營銷降低消費者信息的獲取成本，提升消費積極性；當消費者來到店內(nèi)后，為消費者提供個性化的服務、極致的購物體驗提升消費者的購物黏性，進而鼓勵和促進消費者進行社交網(wǎng)絡分享，吸引更多的消費人群，形成傳播＋消費的良性循環(huán)，這種模式已經(jīng)成為購物中心普遍的發(fā)展趨勢；可以總結(jié)為移動營銷、線下體驗、社交傳播的O2O（onlinetooffline）運營模式。運營問題與挑戰(zhàn)

購物中心商業(yè)成功的有三個關(guān)鍵因素，移動營銷、極致體驗、高效運營；極致體驗決定消費者在線下購物之后，是否會產(chǎn)生腦海里產(chǎn)生化學反應，成功黏住消費者；購物中心運營方需要和消費者各個接觸點形成及時和有針對性的互動，為消費者提供個性化的體驗，構(gòu)建有黏性的客戶關(guān)系，才能持續(xù)贏得客戶；傳統(tǒng)購物中心在購物體驗存在的一些問題如下：導航：購物中心平面地形通常很復雜，以“迷宮“著稱，顧客在購物過程中尋找目的店鋪花費較多時間，在購物后為找停車位置而煩惱；信息獲取：消費者逛賣場時，希望快捷獲取優(yōu)惠信息，但現(xiàn)在的賣場充斥著各種各樣的信息強制推送給消費者，讓消費者有類似“垃圾短信“的厭倦感；支付：節(jié)假日、人流高峰期經(jīng)常出現(xiàn)長龍買單現(xiàn)象；休閑：消費者在購物中心要么不能通過WIFI上網(wǎng)，要么連接WIFI上網(wǎng)后不流暢；高效運營面向購物中心業(yè)主方，各個環(huán)節(jié)精益運營，提升工作效率，提高作業(yè)準確性，降低勞動強度，零售業(yè)目前面臨的一些效率問題如下：業(yè)務快速上線周期長：大型賣場的上線周期通常超過一個月；ICT運維效率低下：ICT問題不能提前預警，需要維護人員現(xiàn)場處理，事后沒有記錄閉環(huán)等，都導致運維的效率非常低下；及時準確獲取客流信息，并分析顧客行為越來約關(guān)鍵；客流信息是衡量商業(yè)運營狀況的重要指標。通過準確的人流量化數(shù)據(jù)來研究流量規(guī)律，不但可以了解相關(guān)設施在運行中的狀況，還可以利用這些高精度的數(shù)據(jù)，進行有效的組織運營工作：通過深入的顧客數(shù)據(jù)研究，可以最大限度地挖掘賣場的銷售潛力，增加銷售機會；同時，對于人流密度較大的區(qū)域采取相應的措施，還可以進行很好的走向引導和安全預警；購物中心越來越希望準確掌握各個商鋪的銷售情況，為租賃業(yè)務提供數(shù)據(jù)支持；對顧客購物行為跟蹤是另外一個迫切希望獲取的數(shù)據(jù)，挖掘顧客的關(guān)注點和潛在購買意向，為調(diào)整銷售策略提供數(shù)據(jù)支持；移動營銷旨在降低消費者信息獲取成本，提升消費積極性；隨著高速無線網(wǎng)絡和智能設備的普及，消費者越來越依賴移動終端隨時隨地獲取信息，通過移動營銷縮線下門店與消費者的距離，吸引消費者消費是成功的第一步；而目前上線的商城類AppS普遍存在的問題有：信息更新少慢，用戶粘度不足商戶無參與，促銷推廣受商城限制；注冊機制的濫用，不能吸引足夠的流量；缺乏會員專屬體驗沒有打通社交傳播路徑；運維成本高：有線、無線兩張網(wǎng)絡，網(wǎng)絡與業(yè)務信息無法實時直觀體現(xiàn)，運維成本高?？傮w設計原則為了保證用戶的網(wǎng)絡系統(tǒng)具有互操作性和高可靠性，并且易于維護、管理和擴展，全部網(wǎng)絡設備均嚴格執(zhí)行國際標準和業(yè)界標準，以保證采用設備所建立的網(wǎng)絡是一個名副其實的開放的網(wǎng)絡系統(tǒng)，成為用戶信息交換、資源共享的標準平臺。在此基礎上，在方案設計上充分考慮技術(shù)發(fā)展的潮流，既兼顧了技術(shù)上的成熟性，同時保證了系統(tǒng)的先進性。基于標準化的設計和實現(xiàn)在結(jié)構(gòu)上實現(xiàn)真正開放，基于國際開放式標準，開放的網(wǎng)絡使用戶可以自由地選擇不同廠家的產(chǎn)品，不會受到某些廠家專有標準的限制，最大程度地保護用戶的利益。網(wǎng)絡設備采用標準的接口和規(guī)范和協(xié)議，使不同廠家的設備可以順利地連接。高可靠性為了防止局部故障引起整個網(wǎng)絡系統(tǒng)的癱瘓，要避免網(wǎng)絡出現(xiàn)單點失效。在網(wǎng)絡骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡設備上要提供冗余配置，保證把局部故障對網(wǎng)絡的影響降低到最小。高性能為了及時、迅速地處理網(wǎng)絡上傳送的數(shù)據(jù)，網(wǎng)絡設備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡高吞吐能力，滿足各種應用（如：無線語音，視頻會議系統(tǒng)）對網(wǎng)絡帶寬的需求。高安全為了保護用戶在網(wǎng)絡上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問控制，通過使用VPN、包過濾及防火墻等技術(shù)保證數(shù)據(jù)的安全傳輸。易于安裝、操作和管理良好的組織和管理對網(wǎng)絡的正常運轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡應該能夠提供方便、靈活、有力的工具，使得無論是安裝、操作還是使用對用戶來說都輕而易舉?？蓴U展性，具備支持目前及未來關(guān)鍵應用的能力隨著用戶應用規(guī)模的不斷擴大，要求網(wǎng)絡可以方便地擴充容量，支持更多的用戶及應用；隨著網(wǎng)絡技術(shù)的不斷發(fā)展，網(wǎng)絡必須能夠平滑地過渡到新的技術(shù)和設備，保證用戶現(xiàn)有的投資。資源的高效利用合理利用昂貴的廣域網(wǎng)絡資源，在有限的資源下，獲得最大化的服務質(zhì)量，同時將網(wǎng)絡的運行成本降到最低。需求分析與典型場景典型場景多場景Wi-Fi覆蓋應用場景由于商超存在多場景Wi-Fi覆蓋需求，不僅有單店鋪區(qū)域、走廊及電梯，還可能包含地下停車場、表演廣場等。不同場景下對無線覆蓋的需求各不相同，手工規(guī)劃難度大，難以保證部署質(zhì)量以及客戶體驗。因此，要想保證商場Wi-Fi帶來良好的使用體驗，無線網(wǎng)絡建設必須全方位考慮不同場景，并使用專業(yè)的規(guī)劃設計工具，以保證后期用戶網(wǎng)絡體驗。解決方案 華為商業(yè)Wi-Fi解決方案針對單店鋪場景、室內(nèi)高密場景、室外熱點覆蓋場景及定位業(yè)務場景，分別提供了專業(yè)化的無線覆蓋解決方案，全方位保證商超內(nèi)流暢的Wi-Fi上網(wǎng)體驗。eSight提供專業(yè)的網(wǎng)規(guī)工具，可快速、準確實現(xiàn)AP布放規(guī)劃。便捷的網(wǎng)絡接入認證應用場景顧客進入商場后，想要找到商場提供的免費Wi-Fi網(wǎng)絡，并通過便捷的流程快速接入。解決方案Portal認證是最基本的認證方式之一，在眾多商業(yè)Wi-Fi場景下被廣泛的應用。除提供傳統(tǒng)Portal認證外，還提供微信認證、二維碼掃描認證、第三方賬號認證等多種認證方式。使得用戶在接入Wi-Fi網(wǎng)絡時，可以直接使用已有賬號來接入網(wǎng)絡，免去注冊時的繁瑣操作，大大提高接入Wi-Fi網(wǎng)絡時的易用性，同時吸納大量粉絲，增加商家和顧客之間的粘性。 提供實時導航應用應用場景 購物中心平面地形通常很復雜，以“迷宮“著稱，顧客在購物過程中尋找目的店鋪花費較多時間；在購物后為找停車位置而煩惱。顧客常常產(chǎn)生以下疑問：哪里有空車位？我要找新開的CHANEL專賣店，該怎么走？我所喜愛的餐館在哪里？我車放在地下停車場什么位置？解決方案 eSight無線定位系統(tǒng)提供Wi-Fi定位和藍牙定位功能，并可提供北向接口API給合作伙伴進行對接。由于實時導航類應用對精度和時延有較高要求，推薦使用藍牙方案，由合作伙伴開發(fā)手機APP應用，并集成eSight藍牙定位SDK進行實時位置呈現(xiàn)。 市場推廣及精準營銷應用場景在百貨商場或購物超市，商家需要借助于商場手機App或微信公眾號，第一時間告訴顧客附近有哪些商品在打折，哪些商戶再搞促銷活動，哪些餐館正在發(fā)放優(yōu)惠券等。解決方案 商家通過線上和線下數(shù)據(jù)分析描繪用戶行為軌跡和屬性，有針對性的推送商家廣告信息，提交營銷效率，降低盲目營銷帶來的成本。簡單聯(lián)網(wǎng)服務中快速有效的傳達商家信息至用戶，達到智能移動端最低成本運營和最關(guān)鍵有效的商業(yè)信息廣告投放價值。幫助行業(yè)商家快速實現(xiàn)“附近的人“轉(zhuǎn)化為“門店的人”。當顧客進入某設定區(qū)域時，按照顧客畫像設定推送廣告。商場運營&安全管理應用場景商場希望通過客流量分析、客流密度統(tǒng)計、顧客進店統(tǒng)計等位置信息數(shù)據(jù)實時掌握商場內(nèi)運營動態(tài)，分析顧客消費和購物習慣、洞察銷售額變因、提升商場競爭力等。 另外，商場節(jié)假日或互動營銷時容易造成人員大規(guī)模聚集，極易引發(fā)各種公共安全事故。解決方案 用戶行為分析幫助商家量化客流情況、分析人群動線和顧客行為習慣，并據(jù)此優(yōu)化定制更多個性化服務商鋪分析幫助商場分析商鋪間關(guān)聯(lián)關(guān)系，比較商鋪間優(yōu)劣勢，分析商鋪經(jīng)營成敗，調(diào)整租金價格等經(jīng)營優(yōu)化分析分析店鋪經(jīng)營狀況，分析營銷活動價值，有利于給出提升銷售業(yè)績的科學方法節(jié)能管理根據(jù)區(qū)域人流和消費習慣等調(diào)整人員設置、燈光強度、音樂類型廣告價值分析分析廣告投放最佳位置、方式和地點，最大化廣告覆蓋范圍公共安全監(jiān)控密切關(guān)注人流分布動向，及時采取應對措施，避免可能的公共安全事故，打造“和諧”商場。安全合規(guī)、日志審計應用場景根據(jù)公安部82號令，針對酒店、商場、車站等公安重點檢測區(qū)域，用戶上網(wǎng)信息的日志存儲留存需要至少保存60天以上。同時提供多維度的安全措施，保障用戶使用Wi-Fi網(wǎng)絡的安全。解決方案 華為商業(yè)Wi-Fi解決方案通過部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網(wǎng)提供安全保障，同時對Wi-Fi用戶的上網(wǎng)行為進行審計，滿足公安部82號令的審查要求。上網(wǎng)行為審計具體體現(xiàn)在對Wi-Fi用戶上網(wǎng)信息的日志進行存儲，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時間、內(nèi)外網(wǎng)地址轉(zhuǎn)換對應關(guān)系（NAT溯源）。對于連鎖類或者網(wǎng)絡規(guī)模較大、用戶數(shù)較多的場景，建議選擇如下方案，將日志進行統(tǒng)一的存儲和管理。對于單個門店或者單個獨立網(wǎng)絡的場景，如果出于成本考慮可以選擇用戶的日志信息存儲在本地的方案。商超ICT建設訴求針對購物中心業(yè)務發(fā)展的核心需求，ICT建設訴求如下：購物中心無線網(wǎng)絡訴求；無論是消費者在購物中心使用商城AppS，還是購物中心的移動運營、移動辦公都需要部署基礎的WLAN網(wǎng)絡來支撐移動運營；購物中心WLAN網(wǎng)絡部署的要求如下：無線信號賣場全覆蓋，強度不低于-65dB，以保證用戶可穩(wěn)定的使用移動終端聯(lián)網(wǎng)；無線網(wǎng)絡系統(tǒng)支持無縫漫游，保證無線網(wǎng)絡在覆蓋區(qū)域應用時的數(shù)據(jù)不中斷；需要提供安全的認證機制保證信息安全；對注冊會員要保證至少512K帶寬的接入帶寬；無線網(wǎng)絡需提供動態(tài)的基于流量和用戶數(shù)量的負載均衡機制，為用戶提供最好的網(wǎng)絡性能；中庭或表演廣場要求不少于同時接入200個移動終端；提供簡單、易用、統(tǒng)一的無線網(wǎng)絡管理平臺；導航服務、軌跡跟蹤訴求購物中心內(nèi)部結(jié)構(gòu)復雜，為用戶提供個性化的LBS定位導航服務是提升購物體驗的重要一環(huán)，通過WIFI定位技術(shù)和智能終端的配合，可提供店鋪導航、尋車、定向營銷等服務；另外，顧客的運動軌跡可以為運營方提供區(qū)域流量、用戶偏好、旺鋪分布等數(shù)據(jù)；購物中心ICT標準化訴求：為支撐終端接入，并保證安全可靠，需要在購物中心部署多種設備：路由器：廣域網(wǎng)接入，實現(xiàn)與總部的網(wǎng)絡互通；防火墻：網(wǎng)絡攻擊防護，保障互聯(lián)網(wǎng)接入安全；上網(wǎng)行為管理網(wǎng)關(guān)：保證上網(wǎng)合規(guī)，實現(xiàn)問題回溯和審計；交換機：局域網(wǎng)有線接入；WLAN：局域網(wǎng)無線接入，支撐移動運營；UPS：保證主要設備在停電時能繼續(xù)支持業(yè)務辦理完成；小型機柜：設備可集中放置和管理；購物中心由于沒有統(tǒng)一的建設標準，各種設備選型和規(guī)格各異，很多設備沒有管理接口或者標準不開放，由于沒有專業(yè)IT人員安裝、調(diào)試和運維，導致調(diào)試效率較低，業(yè)務開通周期較長，且無法統(tǒng)一管理，運維屬于被動救火的狀態(tài)；由于體驗性業(yè)務的豐富，需要更穩(wěn)健的網(wǎng)絡來支撐業(yè)務，訴求如下：VPN廣域接入：支持購物中心與總部的數(shù)據(jù)中心通過IPSecVPN連接，對業(yè)務數(shù)據(jù)進行加密傳輸。路由自動切換：出口路由器支持路由自動倒換，無需人工干預;鏈路備份：與總部網(wǎng)絡可部署兩條鏈路進行備份；上網(wǎng)行為管理：支持URL過濾和內(nèi)容過濾，支持P2P、即時通訊軟件、炒股等軟件的控制。UTM：防火墻應具有UTM功能，可以對內(nèi)外網(wǎng)攻擊實現(xiàn)有效隔離。局域網(wǎng)接入：支持有線和WLAN無線接入，支持按VLAN進行區(qū)域隔離。UPS需求：滿足在市電停電后，為機柜內(nèi)設備和部分重要辦公設備提供30分鐘電源供應。華為商業(yè)Wi-Fi解決方案概述方案定位本文檔詳細介紹了商業(yè)Wi-Fi場景下，如何進行網(wǎng)絡部署，如何提升用戶體驗，以及如何利用Wi-Fi網(wǎng)絡來支撐運營活動。使Wi-Fi網(wǎng)絡從傳統(tǒng)的僅用于上網(wǎng)，轉(zhuǎn)變?yōu)樽學i-Fi網(wǎng)絡在提升用戶體驗的同時，最大程度的為Wi-Fi業(yè)主的商業(yè)運營服務。因此，華為商業(yè)Wi-Fi解決方案有別于傳統(tǒng)的、純粹的網(wǎng)絡方案，致力于提供一整套“可運營”的解決方案。顧名思義，本方案是商業(yè)場景下的Wi-Fi解決方案，主要面向商業(yè)消費的場景，如商場、超市、營業(yè)廳、酒店等場所。區(qū)別于企業(yè)辦公場景，Wi-Fi用戶以訪客身份為主。華為商業(yè)Wi-Fi解決方案的定位如下圖所示，華為與合作伙伴一起來提供整體解決方案、技術(shù)和服務支撐，滿足多場景下商業(yè)Wi-Fi運營的需要。方案概覽華為商業(yè)Wi-Fi解決方案將“提升用戶體驗”和“運營增值”做為Wi-Fi網(wǎng)絡建設的兩個核心目標。圍繞這兩個核心目標，華為商業(yè)Wi-Fi解決方案提供了一系列的子方案，詳細如下表所示：核心目標說明目標一：提升用戶體驗提供多場景下的Wi-Fi覆蓋方案，滿足不同場景下的Wi-Fi覆蓋的需求，如高密需求、酒店分布式部署的需求。除提供傳統(tǒng)Portal認證外，還提供微信認證、二維碼掃描認證、第三方賬號認證等多種認證方式。使得用戶在接入Wi-Fi網(wǎng)絡時，可以直接使用已有賬號來接入網(wǎng)絡，免去注冊時的繁瑣操作，大大提高接入Wi-Fi網(wǎng)絡時的易用性。目標二：運營增值提供無線定位功能，滿足客流分析、店鋪導航、逆向?qū)ぼ?、定向營銷、特殊人員或貴重物品跟蹤的需要。提供用戶數(shù)據(jù)分析和精準廣告營銷功能。通過線上和線下數(shù)據(jù)分析描繪用戶行為軌跡和屬性，有針對性的推送商家廣告信息，提高營銷效率，降低盲目營銷帶來的成本。1、提供合規(guī)審計方案，滿足有關(guān)部門合規(guī)審計的要求（公安部82號令）。2、提供多維度的安全措施，保障用戶接入Wi-Fi網(wǎng)絡時的安全，讓用戶放心的接入使用Wi-Fi網(wǎng)絡。說明：關(guān)于各子方案的詳細介紹，請參見后續(xù)章節(jié)。典型組網(wǎng)商業(yè)Wi-Fi場景下的典型組網(wǎng)通常分為獨立型和連鎖型，其示意圖分別如下所示。其中，服務器區(qū)用于部署運營和管理系統(tǒng)。Wi-Fi覆蓋方案概述華為商業(yè)Wi-Fi解決方案提供多種Wi-Fi覆蓋方式，滿足多場景下的Wi-Fi覆蓋需求，實現(xiàn)無線信號全覆蓋，信號無死角。場景部署方案設備選型比較小的房間,數(shù)量較多并集中，如酒店客房、醫(yī)院病房推薦敏捷分布式部署方式，每個樓層豎井布放中心AP，每個房間放置一個入室AP。中心AP、遠端射頻模塊走廊樓道A.狹長樓道用放裝式AP定向天線方式；B.短小樓道用放裝式AP全向天線，適當調(diào)低AP功率。放裝型AP電梯間部署外置天線放裝型AP，轎廂內(nèi)人數(shù)低，單AP滿足容量需求。外置天線放裝型AP會議廳、宴會廳、大堂放裝式AP，根據(jù)面積大小決定使用AP個數(shù)。放裝型AP室外A.室外型放裝式AP，適合輻射距離遠，外掛防水防雷；B.室內(nèi)放裝式AP，適合門口10米內(nèi)。室外型AP其中，敏捷分布式方案是華為最新一代分布式Wi-Fi方案，能夠有效降低部署和管理的成本，提高管理效率。除此之外華為的高密接入技術(shù)，能夠滿足商業(yè)Wi-Fi客流量較大區(qū)域的接入需求，保障用戶能夠有效的接入Wi-Fi。下文將分別對這兩種方案進行詳細介紹。AC部署方式根據(jù)AC的部署方式，網(wǎng)絡可分為集中式AC部署和分布式AC部署。集中式AC和分布式AC部署集中式AC部署集中式AC部署是指整個網(wǎng)絡中集中部署AC設備（通常是獨立的AC設備），來控制和管理整網(wǎng)的AP設備。AC的部署可以采用直路（直接部署在AP和匯聚/核心交換機之間）或旁掛方式（旁掛在匯聚/核心交換機旁側(cè)）。分布式AC部署分布式AC部署是指網(wǎng)絡中分區(qū)域采用多個AC設備，分別對本區(qū)域的AP設備進行管理。對于購物中心的無線網(wǎng)絡規(guī)劃，建議采用集中式AC管理模式，通過跨廣域網(wǎng)管理AP，可最大限度節(jié)約建網(wǎng)成本；AC旁掛與AC直路AC旁掛旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設備（匯聚或核心交換機）一側(cè)，實現(xiàn)對用戶網(wǎng)關(guān)設備下所有AP的管理。旁掛方式主要用于原有網(wǎng)絡匯聚/核心設備非華為設備的場景，如購物中心僅進行無線改造，不考慮替換原有非華為網(wǎng)關(guān)設備，則可采用旁掛方式。AC直路直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設備（匯聚或核心交換機）之間，實現(xiàn)對下轄所有AP的管理。直路方式主要用于原有網(wǎng)絡匯聚/核心設備為華為設備的場景。本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式本地轉(zhuǎn)發(fā)又稱直接轉(zhuǎn)發(fā)，是指AP上對用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡上層，不經(jīng)過AC處理，AC只對AP進行管理。而AP管理流封裝在CAPWAP隧道中，到達AC終止。集中轉(zhuǎn)發(fā)也稱作隧道轉(zhuǎn)發(fā)。業(yè)務數(shù)據(jù)報文由AP統(tǒng)一封裝后到達AC實現(xiàn)轉(zhuǎn)發(fā)，AC不但進行對AP管理，還作為AP流量的轉(zhuǎn)發(fā)中樞。即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達AC。AC雙機熱備AC1+1備份指同一業(yè)務在兩臺AC設備上相互進行備份，AC上涉及的熱備的業(yè)務有用戶接入認證、WLAN組件等，上線用戶的信息的任何改變，都會及時保存在兩臺AC設備上，這樣當其中一個AC設備、或AP與AC間物理鏈路發(fā)生故障時，用戶不需要重新進行認證或關(guān)聯(lián)，其業(yè)務被自動切換到另一臺設備上，并在用戶可接受的時延下，迅速恢復。如上圖所示，AC1與AC2之間建立一個熱備通道。當AC1出現(xiàn)以下情況時：AC1整機復位AC1的上行鏈路downAC1與AP間鏈路down此時可以通過雙機熱備機制，快速將用戶認證信息、以及用戶流量切換到AC2，這樣用戶不需要重新認證上線。AC旁掛的場景，用戶的業(yè)務不受影響；用戶業(yè)務流量經(jīng)過AC的場景，用戶的業(yè)務能夠經(jīng)過很短的時延后，迅速恢復AP部署和選型在購物中心的無線網(wǎng)絡建設中，建議采用放裝部署和室分部署兩種方式。其中放裝部署方式是將AP直接部署在覆蓋區(qū)域，適用于較大開放空間、人員密集的區(qū)域，例如像開放賣場環(huán)境；室分部署是將無線信號通過功分器設備，分為多路信號，通過室分天線進行無線覆蓋，適用于小型場所，例如較大購物中心的辦公式環(huán)境。AP根據(jù)部署方式和雙/單頻兩個方面進行選型：根據(jù)部署方式選擇：放裝部署方式：應選擇內(nèi)置天線室內(nèi)型AP，例如AP5010、AP6010；室分部署方式：應選用外置天線室內(nèi)型AP，例如AP6310；根據(jù)頻率選擇：放裝型AP：提供賣場開放區(qū)域的無線覆蓋，這類區(qū)域人員容易集中，接入數(shù)量多，終端類型多樣，有些只能支持2.4GHz頻段，有些則同時支持2.4GHz和5.8GHz，為保證無線網(wǎng)絡性能，因此宜選擇雙頻模式的無線AP，這樣可以通過ONLY模式將802.11n限定在5.8GHz頻段，其余均工作在2.4Ghz頻段；室分型AP：提供辦公區(qū)的無線覆蓋，覆蓋區(qū)域內(nèi)接入數(shù)量少，因此無需考慮是否需要采用ONLY模式，從成本角度出發(fā)，建議采用單頻AP。IP地址規(guī)劃AC的IP地址AC用于管理AP，IP地址一般通過靜態(tài)手工配置；AP的IP地址AP的IP地址分配如果采用靜態(tài)分配，由于購物中心AP數(shù)量較多，配置工作量大，且容易沖突、不易于控制，所以不建議使用，建議使用DHCP動態(tài)分配;華為的AC內(nèi)置DHCP服務功能，如購物中心網(wǎng)絡系統(tǒng)本身已部署DHCP服務器，則建議采用原有DHCP服務器做，否則建議啟用華為ACDHCP服務功能，可降低單獨部署DHCP服務器成本；無線終端/用戶的IP地址移動用戶通過DHCP動態(tài)分配IP地址，不建議靜態(tài)配置；FITAP架構(gòu)下的WLAN網(wǎng)絡中，F(xiàn)ITAP為零配置，當FITAP部署到網(wǎng)絡的時候，AP需要去找到相應的AC，并從AC上下載其配置。建議采用如下兩種方式:通過DHCPOption43發(fā)現(xiàn)AC當DHCPServer配置了Option43，它給AP分配IP時，在DHCPOffer報文中同時會將此屬性告知AP；通過DNS發(fā)現(xiàn)AC需要在網(wǎng)絡中部署了DNSServer，在DHCPServer上配置DNSServerIP地址以及AC的域名。當AP通過DHCP服務器獲取IP地址時，DHCPServer會在DHCPOffer報文中將DNS服務器IP地址（Option6）和AC域名（Option15）告知AP，在AP獲取到IP地址后，則通過DNS服務器解析到AC的IP，從而實現(xiàn)對AC的發(fā)現(xiàn)和關(guān)聯(lián)；SSID規(guī)劃SSID的劃分華為單頻AP可支持16個SSID，雙頻AP可支持32個SSID。通過配置多個SSID，可以將一個AP劃分為多個VAP（VirtualAccessPoint），每一個SSID對應一個VAP，AC針對VAP進行策略下發(fā)，VAP根據(jù)策略進行終端與業(yè)務管理購物中心WLAN網(wǎng)絡的接入角色和業(yè)務類型，一般需要三個SSID：經(jīng)營、辦公；顧客訪客，為了保證VIP客戶得到高質(zhì)量的網(wǎng)絡服務，可劃分VIP用戶SSID；SSID映射以太網(wǎng)中的VLAN無線SSID與業(yè)務VLAN有如下四種映射關(guān)系：SSID:VLAN=1:1部署SSID:VLAN=1:N部署SSID:VLAN=N:1部署SSID:VLAN=N:N部署SSID需要分別與辦公和經(jīng)營、顧客VLAN進行映射。射頻管理規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡設計中的重要一環(huán)，無線網(wǎng)絡必須對WLAN信道進行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡的帶寬、無線網(wǎng)絡的性能、無線網(wǎng)絡的擴展以及無線網(wǎng)絡的抗干擾能力，也必將直接影響到無線網(wǎng)絡的用戶體驗。射頻信道劃分WLAN系統(tǒng)主要應用于兩個頻段：2.4GHz和5.0GHz。2.4GHz頻段信道劃分：2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號1～14。HT20信道劃分：信道帶寬為20M，在該模式下，一般選取1、6、11三個不重疊信道，頻率規(guī)劃可用頻點只有3個。HT40信道劃分：信道帶寬為40M，受頻率限制，只支持一個不重疊信道。5.0GHz頻段信道劃分：5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。HT20信道劃分：不重疊信道在5.15～5.35GHz頻段有8個，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個，分別為149、153、157、161。HT40信道劃分：在該模式下，這兩段頻譜的可用信道分別為4個和2個。AP支持手動和自動兩種方式設置工作信道。設置為自動方式后，一旦檢測到信道沖突AP具有信道自動調(diào)整功能，建議AP采用自動設置工作信道方式，避免手動設置后一旦信道沖突將導致無法切換信道的問題。信道自動掃描功能：采用信道自動掃描功能，自動探測周邊的AP、使用的信道及干擾，結(jié)果上報AC，觸發(fā)信道調(diào)整。射頻信道覆蓋WLAN信道規(guī)劃需遵循兩個原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號相互干擾；一般情況單獨使用2.4G或5.0G的頻段，對于高密度接入的場所，可以啟用雙頻進行覆蓋，以便提供更好的接入能力。高密覆蓋場景購物中心節(jié)假日中庭或演播廳的高密人群無線信號的接入，有如下需求：至少保證500用戶都能關(guān)聯(lián)WIFI，通過DHCP獲取到IP地址；保證200個用戶并發(fā)使用WIFI網(wǎng)絡。帶寬要求至少保證512K/人。高密場景下的方案建議：采用雙頻AP，配置5G優(yōu)先。通常情況下，5G的性能要比2.4G好的多。在高密度用戶或者2.4G干擾較為嚴重的環(huán)境中，充分利用5G頻段可以更好的提供接入能力以及容量，并且減少干擾對用戶體驗的影響。單AP配置最大規(guī)格WIFI的并發(fā)用戶數(shù)為40，每射頻上并發(fā)用戶數(shù)為20。按照微信、微博等應用的業(yè)務帶寬為512K左右進行配置。保證充分的帶寬余量。配置AP之間的負載均衡。動態(tài)調(diào)整在線上網(wǎng)用戶，即當在線上網(wǎng)用戶一段時間內(nèi)（長短可以設置）業(yè)務流量為0時，強制將其下線，允許其他有上網(wǎng)需求的用戶訪問網(wǎng)絡。中庭或表演廣場需要部署的AP數(shù)量，按照計算為：200/40*120%=6個用戶認證管理方案在商業(yè)Wi-Fi市場，大量用戶接入網(wǎng)絡，蘊含著大量的廣告機會。最常用的廣告方式是在用戶接入Wi-Fi網(wǎng)絡時的Portal認證頁面上進行廣告推送，或者讓用戶關(guān)注企業(yè)的微信公眾號達到粉絲經(jīng)營、后續(xù)營銷的目的。華為商業(yè)Wi-Fi解決方案采用AgileController提供多種認證方案，滿足不同場景下的需要，包括：Portal認證、微信認證、掃描二維碼認證以及第三方賬號認證。用戶身份驗證方式WLAN無線空口認證主要方式有開放系統(tǒng)認證（Open-systemAuthentication）、WEP、WPA1/WPA2和WAPI四種。OPEN和WEP方式是簡單的物理層認證方式，安全性較差，WPA1/WPA2和WAPI方式除了物理層認證之外還增加了用戶認證的鑒定，安全性更高。開放系統(tǒng)認證是IEEE802.11標準要求必備的一種方法，是最簡單的認證算法，即不認證。如果認證類型設置為開放系統(tǒng)認證，則所有請求認證的客戶端都會通過認證。在這種方式下，所有符合802.11標準的終端都可以接入到WLAN網(wǎng)絡中來。開放系統(tǒng)身份驗證比較適合有眾多用戶的電信運營WLAN網(wǎng)絡。用戶身份認證，其通過提供有限的訪問權(quán)限來驗證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡訪問權(quán)限，可有效判別用戶的合法性。WLAN的鏈路層身份驗證主要有Portal(DHCP+WEB)、MAC、802.1X、WAPI等幾種認證方式，可以根據(jù)具體情況選擇，可以配合網(wǎng)絡層認證使用。WLAN無線線網(wǎng)絡用戶認證方式通過采取以下幾種組合，具體如下表所示。認證組合應用情況Open+Portal主流應用，運營商網(wǎng)絡WLAN網(wǎng)絡Open+Portal+MAC主流應用，是Open+Portal認證的衍生方式WEP+Portal基本沒有應用，維護WEP密碼麻煩WEP+802.1X早期EAP-SIM認證方式，運營商WLAN分擔2G/3G流量場景WPA/WPA2-PSK+Portal基本沒有應用，維護WEP密碼麻煩WPA1/WPA2+802.1X主流應用，學校，企業(yè)，醫(yī)院，政府等企業(yè)網(wǎng)大量使用。WAPIPSK沒有使用WAPI沒有使用針對“商超”項目，面向政府或企事業(yè)單位職員的認證推薦使用WPA2+802.1X的方式，確保數(shù)據(jù)的安全和可靠；面向普通市民的認證方式推薦Open+Portal+MAC的方式，方便實現(xiàn)身份鑒定，方便開展增值業(yè)務。這種認證方式只需要在第一次接入WI-FI時通過Portal網(wǎng)頁進行認證，以后市民再連接WI-FI時就無需輸入用戶名密碼，方便快捷（免認證的時間，可以同配置）。對于臨時訪客和游客，可以采取限時訪問的方式，這種模式下用戶每次登錄只能允許有一定時間的訪問網(wǎng)絡權(quán)限，超時后必須重新登錄。登錄口令可以通過短信，微信，APP客戶端的方式下發(fā)（APP客戶端認證方式需要對接和開發(fā)）。短信認證短信認證是一種最常見的訪客接入認證方式。采用短信認證方案時，訪客將其手機號作為認證的賬號進行注冊，在接受到提示密碼的短信后再進行認證。短信認證流程如下圖所示：如上圖所示，短信認證的流程如下：訪客接入無線Wi-Fi后，系統(tǒng)推送Portal認證頁面。若用戶第一次接入則直接輸出其手機號，申請獲取密碼Controller服務器接收到訪客的注冊申請后，根據(jù)管理員設置的密碼策略自動隨機算出臨時密碼Controller服務器調(diào)用第三方短信網(wǎng)關(guān)接口，將訪客的手機號、短信認證的臨時密碼發(fā)送給短信網(wǎng)關(guān)第三方短信網(wǎng)關(guān)發(fā)送臨時密碼到訪客的手機號上訪客獲取到短信后，按照短信提示在Portal認證頁面上輸出其臨時密碼，認證通過后即可接入網(wǎng)絡說明，相對于傳統(tǒng)的短信貓，短信網(wǎng)關(guān)具有兼容性好（中國地區(qū)三家電信運營商手機能可發(fā)送短信）、短信發(fā)送速度快（100條/秒左右）、短信發(fā)送的穩(wěn)定性好、費用便宜等優(yōu)點。推薦的第三方短信網(wǎng)關(guān)廠家包括：浙江筑望、和佳匯智、若雅MAS、深圳嘉訊等。其他支持HTTPS、Webservice接口的短信網(wǎng)關(guān)原則上也能支持。Portal認證Portal認證是最基本的認證方式之一，在眾多商業(yè)Wi-Fi場景下被廣泛的應用。AgileController的Portal認證功能在提供認證的同時，主要從以下幾個方面來提升網(wǎng)絡維護者的工作量，提高Wi-Fi接入用戶認證時的易用性。 完善的Portal頁面定制流程，助力企業(yè)品牌提升完整的頁面流程：登錄頁面->登錄成功頁面，注冊頁面->注冊成功頁面，用戶須知頁面。Phone/PC/PAD終端自適應：自動識別終端類型，合理展示推送頁面。用戶自定義定制：提供基于HTML編輯的圖形化編輯功能，支持圖片輪播、拖拽編輯、附件下載等高級操作。內(nèi)置多套系統(tǒng)模板：匿名認證模板、第三方應用模板、短信注冊模板，一鍵認證模板等，可根據(jù)場景需要自由選擇。內(nèi)置多種語言：簡體中文，繁體中文，英語，德語，西班牙語，葡萄牙語，法語，可擴展支持其他語言。訪客自注冊訪客帳號支持訪客通過訪問注冊頁面，填寫注冊所需的參數(shù)，自行申請訪客帳號。支持多種訪客帳號通知方式：WEB通知、Email通知、短信通知。Portal界面靈活推送，資訊推送更加精細化可基于位置（SSID和AP）的頁面推送不同的頁面?？苫诮K端IP和終端類型的頁面推送不同的頁面?？苫跁r間段推送不同的頁面。智能終端無感知認證，實現(xiàn)一次認證，多次接入終端首次接入采用Portal+MAC認證，后續(xù)自動使用MAC認證。微信認證隨著移動互聯(lián)網(wǎng)的興起，大規(guī)模開放無線網(wǎng)絡中，訪客的快速認證是近年來的研究熱點。基于微信公眾平臺實現(xiàn)無線網(wǎng)訪客的認證，訪客只需關(guān)注公眾賬號，即可在公眾平臺實現(xiàn)身份認證、獲取默認權(quán)限、訪問網(wǎng)絡資源；然后利用公眾平臺與Controller服務器聯(lián)動，對訪客進行角色、策略和行為審計等管理功能，拓展微信公眾平臺為訪客提供無縫的服務功能。根據(jù)客戶擁有的微信公眾賬號的類別和功能需求，可以采用不同的微信認證方案，在微信公眾平臺通過編輯模式配置實現(xiàn)微信認證、在微信公眾平臺通過開發(fā)者模式配置實現(xiàn)微信認證。兩種方案只能選擇一種，不能同時使用。模式是否需要搭建單獨的微信公眾平臺服務器安全性微信免認證取消關(guān)注強制下線微信認證綁定手機號碼編輯模式不需要低支持，但不支持取消關(guān)注后免認證失效不支持不支持開發(fā)者模式需要高，可通過認證密鑰對認證鏈接加密支持支持支持如上表所示，編輯者模式下微信公眾號雖然不需要在本地增加獨立的平臺服務器，微信認證方案的部署交付也比較簡單，但是當用戶關(guān)注微信公眾號接入往后再取消關(guān)注并不能及時強制用戶下線，也不支持綁定手機號。因此若對這些方面有要求的話，建議使用開發(fā)者模式部署微信認證方案。微信認證部署方案如下圖所示：微信認證流程：1）用戶連接SSID。2）終端自動向AC發(fā)送HTTP連接請求。3）AC發(fā)現(xiàn)用戶未認證，將URL地址重定向到Portal服務器。4）終端訪問重定向的URL。5）Portal服務器向終端推送Portal認證頁面。6）用戶單擊認證頁面上的“微信認證”按鈕。7）Controller的Portal服務器和微信公眾平臺之間交互微信連Wi-Fi的信息（校驗AppID和AppSecret），獲取呼起終端本地微信APP程序的ticket。8）瀏覽器自動呼起終端本地微信APP，微信公眾平臺校驗終端用戶微信連Wi-Fi注冊信息和ticket。9）校驗通過后返回給終端用戶微信連Wi-Fi頁面，攜帶用戶身份信息（OpenID）。10）用戶單擊“立即連接”，連接成功后，單擊“完成”，觸發(fā)Portal認證。11）觸發(fā)Portal認證的目的是保證用戶在Controller和AC上線，獲得上網(wǎng)權(quán)限，單擊“完成”按鈕相當于觸發(fā)了一個URL地址。此URL地址為微信連Wi-Fi管理員在微信連Wi-Fi助手中配置的自定義商家主頁的URL地址：http://認證后域的任意IP地址/域名?wxauth=1&wxtoken=[TOKEN]。12）AC檢測到用戶未認證，將用戶URL重定向到Portal服務器。13）用戶終端訪問重定向的URL。14）Controller服務器校驗認證URL中包含的參數(shù)[TOKEN]，與AC之間完成Portal認證和RADIUS認證的過程。15）將認證結(jié)果返回給終端用戶，認證成功后，顯示管理員定制的認證成功頁面。16）認證成功，終端用戶正常訪問網(wǎng)絡。APP認證APP認證是一種新的認證方式，可自己開發(fā)APP，集成廣告、新聞、多媒體、互動等應用，擴大企業(yè)影響力。為了使APP推廣更迅速，建議將APP與無線Wi-Fi的接入認證結(jié)合起來，無線接入的用戶通過APP進行認證。APP認證如下圖所示：如上圖所示，Controller提供Portal認證的對外接口，第三方APP可調(diào)用該接口進行認證，APP后臺需定時與Controller進行心跳?；?，以保持會話狀態(tài)，超時用戶將下線。Controller提供用戶注冊管理北向接口，用戶可在APP上完成賬號注冊、用戶信息修改、密碼重置等功能。用戶認證和應用組網(wǎng)根據(jù)業(yè)務需求，華為無線WLAN網(wǎng)絡可以采取本地轉(zhuǎn)發(fā)-本地認證、集中轉(zhuǎn)發(fā)-集中認證、集中認證-本地轉(zhuǎn)發(fā)三種模式。本地轉(zhuǎn)發(fā)-本地認證模式業(yè)務流程如下圖所示。在本地轉(zhuǎn)發(fā)模式下，認證控制點在AP上行的switch設備，只有AC與AP之間的控制報文走CAPWAP隧道，STA認證報文（如802.1X、Portal認證）和認證后的STA業(yè)務數(shù)據(jù)報文經(jīng)AP直接轉(zhuǎn)發(fā)，不通過隧道。在這種模式下，由于802.1X認證基于二層應用EAP協(xié)議，無法穿越三層，因此STA與認證控制點之間必須是二層網(wǎng)絡。這種模式，由于控制點不集中導致設備成本高，管理維護復雜，且AC無法實現(xiàn)對無線接入用戶的集中控制（例如訪問資源的權(quán)限、隔離、限速等）。這種方式，通常應用在，不需要區(qū)分無線用戶和有線用戶，無線網(wǎng)絡就是有線網(wǎng)絡延伸的場景。例如：園區(qū)總部，部分交換機下接AP，解決交換機端口過少且只能連接有線用戶的問題。集中轉(zhuǎn)發(fā)-集中認證模式業(yè)務流程如下圖所示。在集中轉(zhuǎn)發(fā)模式下，認證控制點在AC設備，AC與AP之間的控制報文、STA認證報文（如802.1X、Portal認證）、認證后的STA業(yè)務數(shù)據(jù)報文全部走CAPWAP隧道。在這種模式下，所有數(shù)據(jù)都走隧道，安全性相對較高，AC可以對無線用戶的集中控制，無線網(wǎng)絡部署時不需要考慮有線網(wǎng)絡的結(jié)構(gòu)，無線網(wǎng)絡單獨規(guī)劃VLAN，運維便捷。這種模式主要應用，總部園區(qū)有線網(wǎng)的基礎上，新建一張無線網(wǎng)絡，有線用戶和無線用戶要求區(qū)別對待。集中認證-本地轉(zhuǎn)發(fā)模式業(yè)務流程如下圖所示。認證控制點在AC設備，通過配置抓取STA認證報文（如802.1X、Portal認證）進入CAPWAP隧道，上送到AC設備，完成認證過程。認證后的STA業(yè)務數(shù)據(jù)報文不通過隧道，經(jīng)AP直接轉(zhuǎn)發(fā)。在這種模式下，能夠?qū)崿F(xiàn)在AC上對無線用戶的集中接入控制功能，并且通過控制隧道，將Radius授權(quán)下發(fā)到各AP設備，提升網(wǎng)絡安全性。這種認證方式主要應用在AC部署在總部，AP放在各個分支的場景。針對“商超”項目，市政府集中辦公區(qū)、機場、火車站、圖書館、醫(yī)院等AP規(guī)模較大的場景，推薦集中認證-集中轉(zhuǎn)發(fā)模式；公交站臺、獨立商戶等AP規(guī)模較小的分支場景，推薦使用集中認證-本地轉(zhuǎn)發(fā)。這里所講的“集中認證”指的是無線用戶的認證網(wǎng)關(guān)集中到AC上認證，不是AAA系統(tǒng)。用戶策略管理用戶策略是指用戶認證通過后，基于用戶角色對可訪問網(wǎng)絡資源進行的安全控制。通過AAA服務器下發(fā)的用戶策略稱為動態(tài)授權(quán)，從授權(quán)維度來看，動態(tài)授權(quán)主要有三種類型：動態(tài)VLAN、動態(tài)ACL和動態(tài)用戶組授權(quán)。動態(tài)VLAN授權(quán)：動態(tài)VLAN授權(quán)通過切換VLAN的方式改變用戶的權(quán)限，不同VLAN的權(quán)限控制可通過在認證網(wǎng)關(guān)設備上部署ACL實現(xiàn)。動態(tài)VLAN授權(quán)方式部署簡單，維護成本也較低，但相對而言，其控制粒度在VLAN層面，適用于在同一辦公室或同一部門所有人員權(quán)限相同的場景。動態(tài)ACL授權(quán)：動態(tài)ACL授權(quán)需要AAA服務器下發(fā)ACL給認證網(wǎng)關(guān)設備，實現(xiàn)對用戶訪問權(quán)限的控制。動態(tài)ACL授權(quán)方式能做到最大程度的權(quán)限控制，可以分別對每個用戶權(quán)限精細控制。由于受設備ACL規(guī)格的限制，這種方式只能適應于少量人員，無法實現(xiàn)大范圍的部署，例如部門經(jīng)理或者領(lǐng)導等。動態(tài)用戶組授權(quán)：用戶組是用戶的策略屬性，動態(tài)用戶組授權(quán)需要AAA服務器指定每個用戶對應的用戶組名稱，實現(xiàn)基于用戶組的策略控制。當用戶上線時，AAA服務器可直接下發(fā)用戶組名稱到準入設備上，準入設備基于配置的用戶組策略屬性，下發(fā)安全策略。通過用戶組對用戶實施端到端的策略管理，授權(quán)用戶組取代傳統(tǒng)授權(quán)VLAN或者ACL等模式，在用戶上線時，服務器只需下發(fā)用戶組名稱，方便網(wǎng)絡部署；多用戶基于用戶組共享資源，在網(wǎng)關(guān)設備上，ACL規(guī)格不會成為用戶管理瓶頸。用戶在線CoA授權(quán)：CoA授權(quán)是指用戶在線情況下，在AAA服務器上重新設置用戶帶寬等策略屬性值，AAA服務器通過RADIUS報文下發(fā)給認證網(wǎng)關(guān)，認證網(wǎng)關(guān)設備實時更新在線用戶的授權(quán)信息。所以，在“商超”實際網(wǎng)絡規(guī)劃中，推薦使用基于動態(tài)用戶組+COA授權(quán)方式，快速便捷的管理無線用戶。為了滿足不管用戶身處何地、使用哪個IP地址，都可以保證該用戶獲得相同的網(wǎng)絡訪問策略，華為在敏捷網(wǎng)絡解決方案中推出了業(yè)務隨行特性，該特性非常適合“商超”場景，具體如下圖所示。1、管理員在控制器中創(chuàng)建用戶賬號、用戶組，同時將用戶賬號加入其所屬的用戶組，然后為用戶統(tǒng)一定義基于用戶組的網(wǎng)絡訪問策略（即用戶組策略）。2、敏捷交換機（自帶隨板AC）作為策略執(zhí)行點和準入認證點設備，和Controller建立關(guān)聯(lián)后，控制器將管理員配置的網(wǎng)絡訪問策略下發(fā)給所有關(guān)聯(lián)的設備上，在執(zhí)行策略的設備上生成基于用戶組的業(yè)務模板。3、用戶啟動認證，在認證過程中，控制器根據(jù)用戶的登錄信息，將其與用戶組關(guān)聯(lián)。認證成功后，控制器將該用戶所屬用戶組下發(fā)給敏捷交換機。4、在敏捷交換機上，基于AgileController下發(fā)的用戶組信息，實施UCL策略控制，限制訪問資源權(quán)限、用戶帶寬等策略。5、用戶在“商超”的任何地方登陸，由于準入設備（PEP）都預置了業(yè)務策略，用戶重新認證上線后，可具有一致的網(wǎng)絡訪問策略，實現(xiàn)業(yè)務隨行。海量賬號管理華為AgileController系統(tǒng)提供訪客賬號的全生命周期管理功能，對于商超中的海量用戶，可作為訪客來進行管理。用戶可自助注冊賬號，賬號密碼第一時間短信下發(fā)，并可定期自動清理僵尸賬號，簡化了海量用戶管理的復雜度，提升管理效率。同時，AgileController系統(tǒng)還提供多種賬號管理方式，供運維人員靈活選擇。分組流量控制購物中心針對VIP客戶、普通客戶、商鋪以及業(yè)主辦公有分組流量控制的需求，通過控制不同帶寬來滿足高端用戶(如VIP、員工)的需求。比如：經(jīng)營、辦公用戶接入至少2M帶寬；普通顧客512K帶寬（可滿足微博、微信、QQ等業(yè)務需要）；VIP用戶3M帶寬。具體設計點：建立分組流量模型，舉例如下SSID群組流量Retailer_SSIDV12MOffice_SSIDV22MGuest_SSIDP512KGuest_SSIDV33M建立用戶組和流量組之間關(guān)系：如果需要對VIP客戶進行區(qū)分，需要連鎖企業(yè)的CRM系統(tǒng)和PolicyCenter的RaduisServer進行對接，同步用戶組，建立實際用戶組和流量群組的關(guān)系；RaduisServer群組信息，選擇流控組，向AC下發(fā)號碼流控組，由AC控制對應的流量模型。終端的精細化管理終端類型識別是指AC通過對用戶發(fā)送的報文中的字段的特征進行分析，包括MAC、用戶代理UA（UserAgent）和DHCPOption信息，識別出終端類型。AC可以識別出用戶接入內(nèi)部網(wǎng)絡的設備類型，以控制某些指定移動設備的接入，實現(xiàn)基于用戶、設備類型、接入時間、接入地點、設備環(huán)境的認證和授權(quán)，實現(xiàn)精細化的管控。具體原理如下圖所示。網(wǎng)絡運維方案隨著網(wǎng)絡規(guī)模的不斷增長、網(wǎng)絡應用的不斷推廣，大量的多業(yè)務路由器、網(wǎng)關(guān)、WLANAP等終端接入設備被廣泛的應用于網(wǎng)絡。帶來IT&IP設備日益增多，業(yè)務越來越多樣化，用戶面對網(wǎng)絡管理和運維中遇到的問題和挑戰(zhàn)，需要一套高效、統(tǒng)一的網(wǎng)管進行支撐。eSight是華為面向企業(yè)網(wǎng)管理推出的新一代面向企業(yè)園區(qū)和分支網(wǎng)絡管理系統(tǒng)，實現(xiàn)對企業(yè)資源、業(yè)務、用戶的統(tǒng)一管理以及智能聯(lián)動。eSight支持對IT&IP，以及第三方設備的統(tǒng)一管理，同時提供靈活的開放平臺，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎。WLAN全生命周期管理“商超”網(wǎng)絡中，AC、AP部署分散，尤其AP數(shù)目眾多，運維成本高、難度大。為了解決對WLAN網(wǎng)絡中設備集中管理和對WLAN網(wǎng)絡的可視化監(jiān)控，eSight推出WLAN管理組件解決這一運維難題。eSightWLAN管理在網(wǎng)絡規(guī)劃中提供一鍵式導入完成AP規(guī)劃至監(jiān)控的轉(zhuǎn)化，極大提升了效率。在配置部署中提供簡潔的矩陣配置幫助用戶端到端、批量、有序、快速完成業(yè)務部署。在區(qū)域監(jiān)控中提供整體到局部的用戶體驗監(jiān)控，在底層拓撲查看射頻信號覆蓋情況。在故障診斷中提供故障通知、故障排查、故障處理的有效手段，幫助快速有效的發(fā)現(xiàn)問題、解決問題。WLAN網(wǎng)絡管理特點：簡單快速的業(yè)務部署向?qū)脚渲玫臉I(yè)務部署以及基于表單AP導入，可加速WLAN的業(yè)務部署。通過對華為AC設備的管理，實現(xiàn)對WLAN業(yè)務的配置功能。AP的信息都配置在AC上，當AP上線建立隧道后從AC獲取信息。業(yè)務拓撲和位置拓撲，方便用戶對WLAN網(wǎng)絡中設備進行可視化監(jiān)控和集中管理業(yè)務拓撲：展現(xiàn)AC、AP、STA之間連接關(guān)系查看，并示意RogueAP的存在；支持AP、AC、STA、RogueAP詳細信息查看；并提供無線業(yè)務的故障診斷能力。位置拓撲：查看當前熱點位置及射頻信號覆蓋范圍并在視圖上標識當前非法AP位置及沖突域。顏色表示不同的頻段，深淺表示信號的范圍，紅色顯示沖突域。AP故障快速恢復能力，提供批量恢復AP的出廠設置、批量重啟AP以及AP替換的功能AP出現(xiàn)異常或在WLAN網(wǎng)絡的調(diào)試過程中，用戶可以通過網(wǎng)管遠程批量恢復AP的出廠設置。AP升級完成后或在WLAN網(wǎng)絡的調(diào)試過程中，用戶可以通過網(wǎng)管遠程批量重啟AP。AP出現(xiàn)硬件故障需要替換時，用戶可以通過網(wǎng)管替換新AP，快速保證AP替換后業(yè)務不變。多樣式資源統(tǒng)計，滿足運維需求全網(wǎng)資源統(tǒng)計：全網(wǎng)用戶在線趨勢圖、TOP5用戶接入FitAP、TOP5用戶接入SSID、TOP5重點關(guān)注的設備告警列表、全網(wǎng)物理資源統(tǒng)計?；贏C資源統(tǒng)計：根據(jù)AC統(tǒng)計用戶在線趨勢圖、AP信息、域信息、ACTOP5告警?；贏P資源統(tǒng)計：根據(jù)AP統(tǒng)計TOP5告警、當前AP性能KPI（AP關(guān)聯(lián)終端數(shù)、AP物理屬性、AP流量、射頻流量等）?；赟SID資源統(tǒng)計：根據(jù)SSID統(tǒng)計AP、VAP、接入終端數(shù)?；趨^(qū)域與位置資源統(tǒng)計：根據(jù)區(qū)域與位置統(tǒng)計AP總數(shù)、AP在線總數(shù)、STA在線總線。掌控網(wǎng)絡eSightMobileeSightMobile移動網(wǎng)管系統(tǒng)主要滿足“商超”的網(wǎng)絡運維人員基于手機管理WLAN網(wǎng)絡，對巡檢片區(qū)的WLAN網(wǎng)絡健康度關(guān)鍵指標進行排查，如用戶掉線或接入異?，F(xiàn)場周邊AP的信道分布、接入用戶數(shù)、5G占比、同頻干擾、終端接入信號強度和信噪比分析；或運維人員不在eSight旁邊時能隨時查看“商超”中WLAN網(wǎng)絡狀態(tài)。即實現(xiàn)WLAN網(wǎng)絡設備健康度監(jiān)控，支持運維人員隨時隨地獲悉網(wǎng)絡的健康度、診斷用戶問題。手機口袋網(wǎng)管，幫助“商超”中網(wǎng)絡運維人員隨時隨地的掌控網(wǎng)絡。業(yè)務監(jiān)控移動App讓“商超”中網(wǎng)絡管理員隨時隨地監(jiān)控網(wǎng)絡，無需總帶著便攜或者坐到辦公位，極大地提升了運維效率。區(qū)域監(jiān)控移動App讓“商超”中網(wǎng)絡管理員隨時隨地對自己關(guān)注的區(qū)域網(wǎng)絡進行監(jiān)控，極大地提升了運維效率。故障診斷“商超”中網(wǎng)絡管理員接到用戶報障電話后，只須在故障診斷App中搜索該用戶進行診斷即可獲取到用戶故障的相關(guān)信息并給出解決建議。無線網(wǎng)絡評測利用eSightMobile的無線網(wǎng)絡評測功能，可以用于進行對當前終端連接的無線網(wǎng)絡狀況的評測?？焖贆z測功能，會對網(wǎng)絡整體狀況進行評分，網(wǎng)絡管理員也可以進行深度檢測，查看網(wǎng)絡各個指標的詳細數(shù)據(jù)，同時，可以查看保存的檢測記錄，導出檢測記錄等功能。用于指導網(wǎng)絡管理員進行網(wǎng)絡調(diào)優(yōu)深度檢測查看各指標詳細數(shù)據(jù)深度檢測查看各指標詳細數(shù)據(jù)指標設置檢測記錄的查看和導出指標設置檢測記錄的查看和導出導出報告導出報告用戶資源管理用戶資源是“商超”中最重要的資源，如何管理整個商超中的用戶資源是一個極具挑戰(zhàn)的工作，因為商超中的用戶數(shù)量、信息量巨大，要詳細了解接入用戶的信息很困難。用戶的上網(wǎng)質(zhì)量是整個商超的根基，如何了解用戶的上網(wǎng)質(zhì)量也是商超運維管理中很重要的信息。通過eSight網(wǎng)管去監(jiān)控和管理“商超”中的用戶資源是極其重要的。用戶數(shù)據(jù)管理支持無線用戶管理，顯示用戶的詳細信息和統(tǒng)計信息。與華為eSDK（華為面向開發(fā)者提供的開放平臺）對接后，可顯示用戶的設備類型、操作系統(tǒng)、廠商、角色信息，查看到用戶的重要信息：點擊系統(tǒng)菜單下的eSDK服務器設置子菜單，可對eSDK服務器進行設置。用戶數(shù)據(jù)報表提供在線用戶明細報表，統(tǒng)計商超中無線用戶數(shù)據(jù)。提供用戶明細報表，統(tǒng)計商超中用戶明細數(shù)據(jù)。提供用戶會話明細報表，統(tǒng)計商超中用戶會話明細數(shù)據(jù)。第三方AP管理隨著AP在商超中的不斷部署，網(wǎng)絡不斷擴大，網(wǎng)管系統(tǒng)成為設備監(jiān)控的唯一手段，但不同設備廠商的網(wǎng)管系統(tǒng)不兼容成為商超營運選擇WLAN設備廠商的瓶徑，有效利用現(xiàn)有網(wǎng)管系統(tǒng)對不同設備廠商的網(wǎng)絡設備進行監(jiān)控成為廠商選擇的關(guān)鍵。CAPWAP是國際標準的通信協(xié)議，并且龐大而復雜，各廠家在使用該協(xié)議做為自身AC、AP通信的協(xié)議標準，但是各廠家在參數(shù)定義、類型、字段、加密等方式上各有區(qū)別，所以不可能實現(xiàn)不同廠家的AC/AP互聯(lián)。eSight管理平臺對主流廠商的無線設備做了大量的分析工作，在此基礎上實現(xiàn)了對第三方廠商AP的管理能力，通過對第三方廠商的AP進行精確適配。創(chuàng)新性的支持對第三方廠商AP管理，解決了商超中多廠商AP融合統(tǒng)一管理的問題。eSight支持H3C、Cisco、Aruba三個廠商的AC、AP資源（AC、AP、射頻、接口、SSID、VAP）管理、性能管理和告警管理。SAC智能應用控制隨著“商超”網(wǎng)絡技術(shù)和多媒體技術(shù)的快速發(fā)展，網(wǎng)絡應用越來越豐富，使得帶寬資源日趨緊張。其中影響比較突出的是P2P技術(shù)，P2P應用類型也已從文件共享擴展到語音、視頻等應用領(lǐng)域，P2P網(wǎng)絡的用戶規(guī)模和流量均呈爆發(fā)式增長。甚至很多P2P應用往往是對網(wǎng)絡資源進行的“惡意”占用，導致網(wǎng)絡出現(xiàn)不同程度的擁塞。這些流量與關(guān)鍵應用混雜在一起，導致非關(guān)鍵業(yè)務肆虐，核心業(yè)務丟包，時延抖動不可控，服務質(zhì)量無法保障。用戶急需對這些“非法”的網(wǎng)絡應用進行控制，于是產(chǎn)生了業(yè)務感知技術(shù)。智能應用控制SAC（SmartApplicationControl）作為一種新的業(yè)務感知技術(shù)，在分析報文頭的基礎上，增加了對應用層的分析，是一種基于應用層的流量檢測和控制技術(shù)。通過對各類應用進行智能分類，識別關(guān)鍵業(yè)務，保證其帶寬，對非關(guān)鍵業(yè)務流量進行限制，實施精細化QoS策略控制，從而保證關(guān)鍵業(yè)務平穩(wěn)、高效運轉(zhuǎn)。

借助于eSight網(wǎng)流分析能夠顯示無線網(wǎng)絡區(qū)域的應用分布，并且用戶可以對區(qū)域?qū)腁P組進行應用帶寬丟棄、限速、調(diào)整優(yōu)先級。智能應用控制對非關(guān)鍵業(yè)務流量進行限制，實施精細化QoS策略控制，從而保證關(guān)鍵業(yè)務平穩(wěn)、高效運轉(zhuǎn)。無線安全管理網(wǎng)絡的安全性也是每一張網(wǎng)絡都重點關(guān)注的事情之一。WLAN無線網(wǎng)絡信號存在與空氣中，任何人都可以接收到，很容易受到外界干擾和威脅的影響，如WIDS/WIPS，周邊射頻信號的干擾，非法設備的檢測和反制等。WIDS/WIPS為了方便實現(xiàn)非法設備的檢測和反制，同時又不增加設備，建議AP支持混合模式傳輸模式，即單個AP可以監(jiān)測無線網(wǎng)絡中設備，也可以同時傳輸WLAN數(shù)據(jù)。同時，WIDS還應支持攻擊檢測功能，可以檢測泛洪攻擊，弱IV向量攻擊、欺騙攻擊、暴力破解WPA/WPA2/WAPI的預共享密鑰和WEP的共享密鑰，及時發(fā)現(xiàn)網(wǎng)絡的不安全因素，及時反制并通過日志，統(tǒng)計信息以及告警方式及時通知網(wǎng)絡管理員。無線空口安全WIDS/WIPS的示意圖如下圖所示。借助于eSight網(wǎng)絡管理平臺上面開啟攻擊檢測，將檢測結(jié)果呈現(xiàn)在eSight中，并將有攻擊行為的設備添加到黑名單中，防止攻擊設備對網(wǎng)絡造成沖擊。頻譜分析無線干擾源由于WLAN的工作頻段為ISM頻段，隨著藍牙、紅外、微波爐等無線應用的增加，非WLAN設備對WLAN網(wǎng)絡的干擾問題日益突出。頻譜分析是指通過頻譜分析服務器對采集到的無線信號進行特征分析，識別出Non-Wi-Fi干擾設備，進而對干擾設備進行定位，實現(xiàn)對WLAN網(wǎng)絡的調(diào)優(yōu)。通過配置頻譜分析功能，及時、全面的檢測出WLAN網(wǎng)絡中的非WLAN干擾，提升用戶的體驗。通過頻譜掃描發(fā)現(xiàn)未管理無線源，快速識別網(wǎng)絡安全隱患，保障網(wǎng)絡健康。通過eSight對干擾設備進行定位，實現(xiàn)對WLAN網(wǎng)絡的調(diào)優(yōu)，合理規(guī)避干擾設備的影響。無線釣魚與RougeAP防護無線釣魚是將有線網(wǎng)絡中的釣魚攻擊方法應用到無線領(lǐng)域，但由于網(wǎng)絡傳輸協(xié)議不同，用的方式當然也不同，常見的無線釣魚方式是基于偽造AP使得無線客戶端訪問虛假的AP，從而釣魚得到客戶端信息。針對非法瘦AP接入有線網(wǎng)絡后無線釣魚的場景防護手段依靠AC對AP接入的安全控制可以進行防護。華為WLAN支持針對非法AP的無線釣魚防護，支持RougeAP檢測和隔離。eSight開啟RougeAP的檢測功能，將檢測到的RougeAP呈現(xiàn)出來，并對這些RougeAP、RougeClient、AdHoc開啟反制。用戶上網(wǎng)行為審計“商超”在給市民提供上網(wǎng)業(yè)務的同時，也要解決市民濫用網(wǎng)絡帶寬、散布惡意軟件、泄漏國家信息以及發(fā)布違反法律法規(guī)的不良言論等問題，也要避免用戶信息面臨的各種安全威脅，如釣魚網(wǎng)站、網(wǎng)頁木馬、文件病毒、黑客攻擊等。日志審計系統(tǒng)：為滿足公安部82號令，可監(jiān)測用戶上網(wǎng)行為和進行安全審計，供公安部門審計。必須將所有接入點的NAT日志信息進行集中匯總及保存，并可進行查詢和統(tǒng)計等審計功能。需要審計用戶的網(wǎng)絡行為杜絕用戶瀏覽和發(fā)布不良信息。如何限制一般用戶對帶寬資源的濫用，如何保證VIP用戶帶寬。在“商超”網(wǎng)絡中，在每個獨立的互聯(lián)網(wǎng)出口推薦部署一臺ASG（已經(jīng)部署防火墻和上網(wǎng)行為管理的不需要重復部署）。華為ASG上網(wǎng)行為管理，可以識別超過1200種的應用識別，超過6500萬條的海量URL庫；可以全面的內(nèi)容控制和審計，有效防止信息外泄和協(xié)助法規(guī)遵從；可以全方位保護上網(wǎng)用戶，惡意軟件無所遁形，并提供專業(yè)報表針對性強，助力治理“商超”的網(wǎng)絡。具體組網(wǎng)方式，如下圖所示。在總部ASG上配置相關(guān)上網(wǎng)行為管控和審計策略，并同步到全網(wǎng)所有分支的ASG用戶上線，通過AgileController認證系統(tǒng)，進行身份認證認證通過后，AgileController系統(tǒng)將上線的用戶信息（IP、用戶名、組名、MAC、AP信息、AC信息等）隨同用戶的上線信息一起同步給各ASG用戶開始訪問Internet時，ASG進行用戶的行為管控和日志審計，用戶的信息和上網(wǎng)行為審計日志保存在ASG設備本身ASG定期將訪客信息和日志上傳到總部ASGManager(LogCenter)統(tǒng)一存儲，以便統(tǒng)一審計LogCenter高效地采集日志源的日志，向用戶及時展示華為安全日志源的業(yè)務情況，幫助用戶了解網(wǎng)絡用戶的行為，輔助用戶迅速識別并消除安全威脅。通過對華為防火墻設備用戶上網(wǎng)行為日志進行采集和分析，LogCenter可以追蹤用戶的上網(wǎng)行為（如使用P2P、email、HTTP、MSN、QQ等業(yè)務），并輔助管理員分析內(nèi)網(wǎng)用戶上網(wǎng)行為以及應用時長和流量，進而對內(nèi)網(wǎng)用戶的上網(wǎng)行為進行管理，可以在線查看用戶狀態(tài)及其所連接的網(wǎng)絡設備信息，對非法用戶可以執(zhí)行發(fā)送消息、在線檢查、強制下線、關(guān)閉端口等操作。安全合規(guī)方案華為商業(yè)Wi-Fi解決方案提供合規(guī)安全子方案，一方面滿足有關(guān)部門合規(guī)審計的要求（公安部82號令），另一方面來保障用戶接入Wi-Fi網(wǎng)絡時的安全，讓用戶放心的接入使用Wi-Fi網(wǎng)絡。合規(guī)審計華為商業(yè)Wi-Fi解決方案通過部署華為下一代防火墻和logCenter，為Wi-Fi用戶上網(wǎng)提供安全保障，同時對Wi-Fi用戶的上網(wǎng)行為進行審計，滿足公安部82號令的審查要求。上網(wǎng)行為審計具體體現(xiàn)在對Wi-Fi用戶上網(wǎng)信息的日志進行存儲，并保存至少60天以上。這些日志包括：用戶賬戶、IP地址、上下線時間、內(nèi)外網(wǎng)地址轉(zhuǎn)換對應關(guān)系（NAT溯源）。在實際部署時可根據(jù)網(wǎng)絡的規(guī)模以及Wi-Fi用戶量的大小選擇如下兩種日志存儲管理方案。方案一：統(tǒng)一存儲管理認證系統(tǒng)和NGFW各自存儲一部分日志信息。其中，認證系統(tǒng)可提供用戶上下線日志的存儲和查詢。NGFW可提供用戶內(nèi)外網(wǎng)IP地址NAT日志信息，先在本地進行存儲，選擇網(wǎng)絡閑時發(fā)送至總部logcenter進行統(tǒng)一存儲和管理。Logcenter統(tǒng)一接收并存儲認證系統(tǒng)和NGFW的日志信息后，可進行日志信息的統(tǒng)一管理和查看。在該應用場景下，LogCenter對下一代防火墻等安全網(wǎng)元的會話日志進行采集和分析，獲取NAT信息（包括目的IP地址、目的端口、NAT前源IP地址和協(xié)議等），結(jié)合身份關(guān)聯(lián)數(shù)據(jù)源（如認證服務器），從而追蹤NAT用戶的上網(wǎng)行為。方案二：本地存儲管理日志本地存儲管理是指認證系統(tǒng)和NGFW將用戶的日志信息存儲在本地?？紤]到日志信息的存儲量較大，建議NGFW通過外掛硬盤或者內(nèi)置CF卡的方式來進行日志的存儲。NGFW提供審計策略功能，通過配置審計功能后，用戶的上網(wǎng)行為會被記錄日志。管理員通過查看各種報表以及審計日志、用戶活動日志等信息審查和分析用戶的上網(wǎng)行為，識別出威脅網(wǎng)絡安全的用戶和上網(wǎng)行為，為后續(xù)制定高效和精細化的安全策略提供基礎。NGFW上的審計處理流程如下圖所示：流量通過NGFW時，審計處理流程如下：1、NGFW會對收到的流量進行識別，識別出流量的屬性，包括：用戶（包括用戶組和安全組）、源安全區(qū)域、目的安全區(qū)域、源地址、目的地址、服務（源端口、目的端口、協(xié)議類型）和時間段。2、NGFW將流量的屬性與審計策略的條件進行匹配。如果所有條件都匹配，則此流量成功匹配審計策略。如果其中有一個條件不匹配，則繼續(xù)匹配下一條審計策略。以此類推，如果所有審計策略都不匹配，則流量不進行審計功能處理。3、如果流量成功匹配一條審計策略，NGFW將會執(zhí)行此審計策略的動作。如果動作為不審計，則流量不進行審計功能處理。如果動作為審計，則NGFW會根據(jù)審計策略引用的審計配置文件中定義的內(nèi)容，記錄用戶的上網(wǎng)行為。方案選取建議對于連鎖類或者網(wǎng)絡規(guī)模較大、用戶數(shù)較多的場景，建議選擇方案一，將日志進行統(tǒng)一的存儲和管理。對于單個門店或者單個獨立網(wǎng)絡的場景，如果出于成本考慮可以選擇方案二。安全規(guī)劃華為商業(yè)Wi-Fi解決方案從有線安全和無線空口安全兩個維度來保障Wi-Fi網(wǎng)絡的安全，讓用戶能夠放心的接入和使用Wi-Fi網(wǎng)絡。有線安全有線側(cè)，通過在局域網(wǎng)出口處以及數(shù)據(jù)中心入口處部署下一代防火墻NGFW來抵御來自Interntet的威脅。NGFW集防火墻、IPS、DDOS等眾多功能于一身，能夠有效保障局域網(wǎng)和數(shù)據(jù)中心的安全。無線空口安全無線空口側(cè)主要存在三個方面的安全：非法rogue設備、惡意攻擊和空口監(jiān)聽，如下圖所示。Rogue設備商業(yè)Wi-Fi環(huán)境中可能出現(xiàn)的Rogue設備包括RogueAP，RogueClient，Ad-hoc設備，這些設備對運維的WLAN網(wǎng)絡會帶來諸多的安全隱患，如干擾，用戶和非法AP建立連接等。華為WLANWIDS方案支持對網(wǎng)絡中的Rogue設備（包括AP，Client，Ad-hoc）的進行檢測、識別以及反制功能。下面分別從非法設備的監(jiān)聽，識別，判斷以及反制四個方面詳細闡述，華為WLAN對非法設備安全的防護。偵聽周邊設備AP有三種工作模式：接入模式，監(jiān)聽模式和混合模式。接入模式只提供覆蓋功能，不提供非法設備監(jiān)聽功能；監(jiān)聽模式只監(jiān)聽，不能接入業(yè)務；而混合模式可以在接入業(yè)務的同時進行監(jiān)聽。推薦AP工作在混合模式，在接入業(yè)務的同時監(jiān)聽周邊設備，低成本部署。設備類型識別AP通過監(jiān)聽Beacon，AssociatonRequest，AssociationResponse協(xié)議報文和數(shù)據(jù)報文報文來識別Rogue設備是哪種設備（AP/Adhoc/Client）。監(jiān)控AP搜集到無線設備后，維護一個無線設備信息列表，并把這些信息上報給AC，在AC上根據(jù)一定的規(guī)則進行Rogue設備判斷。Rogue設備判斷當AP設備工作在混合模式或者監(jiān)聽模式時可以實現(xiàn)對整個網(wǎng)絡的監(jiān)控，監(jiān)控設備包括AP、Client、Adhoc終端、無線網(wǎng)橋等。Rogue設備反制檢測到Rogue設備后，可以使能防范、反制功能。反制功能，根據(jù)反制的模式，監(jiān)測模式AP從無線控制器下載攻擊列表，并對Rogue設備采取措施，阻止其工作。對RogueAP的反制：監(jiān)測AP通過使用RogueAP設備的地址發(fā)送假的廣播解除認證幀來對RogueAP設備進行反制，抑制無線用戶和非法AP建立鏈接。對RogueClient、Adhoc設備的反制：監(jiān)測AP通過使用RogueClient、Adhoc設備的BSSID、MAC地址發(fā)送假的單播解除認證幀，對指定非法Client的進行反制。Rogue設備管理可以與定位功能集合，如在地圖上可以查詢或者實時顯示Rogue設備的位置，為網(wǎng)管人員對網(wǎng)絡監(jiān)管和排障定位提供便捷。惡意攻擊針對惡意攻擊，華為WLAN擁有多種方式。下面針對最常用的flood攻擊，WeakIV攻擊，Spoof攻擊方式，介紹華為的防御規(guī)劃和措施。Flood攻擊檢測：當“惡意用戶”發(fā)送大量的“連接請求報文”至AP時，這些報文會被AP轉(zhuǎn)發(fā)到AC設備上進行處理，這樣會對內(nèi)部網(wǎng)絡造成沖擊。啟動Floodattack檢測，AC會檢測到來自于該惡意用戶的Flood攻擊，AP會將來自于該用戶的報文將全部被丟棄，從而實現(xiàn)了對于網(wǎng)絡的安全防御。WeakIV攻擊檢測：對于Client的數(shù)據(jù)報文，如果該報文使用了WEP加密算法，需要啟動IV檢測；AC根據(jù)IV的安全性策略判斷是否存在WeakIV攻擊。Spoof攻擊檢測：這種攻擊的潛在攻擊者將以其他設備的名義發(fā)送攻擊報文。惡意AP或者惡意用戶發(fā)送一個欺騙的解除認證報文會導致無線客戶端下線。AC接受到這種報文時將立刻被定義為欺騙攻擊，并阻止該用戶?？湛诟`聽華為WLAN提供多種空口加密方式，以避免空口被竊聽。如WEP、WPA/WPA2、WAPI等。eSight無線定位華為商業(yè)Wi-Fi解決方案提供無線定位功能，滿足大型商場、購物中心、游樂景區(qū)等多種場合下的定位需求。從用途來看，無線定位可用于以下場景?？土鞣治鰹樯虉鲞\營方提供基于大數(shù)據(jù)分析的報告，分析單客戶或者總體客戶的運動軌跡、區(qū)域密度等。用于提高店面經(jīng)營效率，經(jīng)營數(shù)字化信息化，為經(jīng)營決策提供數(shù)據(jù)支撐。具體表現(xiàn)在通過掌握客流峰谷時段來安排更合理的市場活動；掌握熱點區(qū)域調(diào)整租金水平，提高管理效率降低成本。店鋪導航顧客點擊商鋪具體位置，進行線路規(guī)劃，指引顧客到達店鋪，參與活動。逆向?qū)ぼ囶櫩屯＼嚭螅谑謾C終端App軟件設定當前停車位置；購物完畢，在停車場所在樓層，點擊手機終端App“逆向?qū)ぼ嚒卑粹o，實