某某大學無線認證計費方案
一、背景
2014年9月上線某某大學的Wi-Fi Portal系統,由三部分組成,由華為的ME60網絡接入設備、城市熱點的DR.COM的認證計費系統、時訊網絡的Portal系統,網絡拓撲圖如下:1. 用戶通過城域網匯集到ME60上做WEB認證,ME60推送到未認證用戶到Portal服務器進行彈出頁面顯示認證界面。
2. 用戶在Portal的認證界面上輸入賬號和密碼,提交后,Portal按照CMCC協議進行封裝發送請求到ME60,該協議交互為CMCC Portal 2.0協議。
3. ME60收到Portal發送的CMCC Portal 2.0協議后,提取到用戶名和密碼,然后向城市熱點的認證計費中心發送認證請求,認證計費中心認證成功或者認證失敗的時候,均向ME60反饋認證結果。
4. ME60收到認證反饋結果后,轉換成CMCC Portal協議響應給Portal服務器,Portal服務器根據認證成功和失敗的結果顯示結果頁面提示給用戶,從而引導用戶進行上網。
5. 用戶在Portal服務器上有可能會存在修改密碼的請求,該請求由用戶提交到Portal服務器后,Portal服務器通過城市熱點的協議接口來調用城市熱點的用戶修改密碼接口來完成用戶密碼修改。
二、目前存在的問題
1. 網運部問題城市熱點AAA設備、北京時訊網絡Portal設備目前均無維保。城市熱點AAA設備一個禮拜平均會出現2次以上故障(用戶余額無法顯示、用戶無法修改密碼、關鍵進程宕機導致無法認證等問題),嚴重影響用戶體驗。且城市熱點AAA當前型號廠家不再提供硬件及軟件保修,需更換新型號設備才能進行維保。
2. 科區問題
由于Portal頁面需不定期進行更新,每次更新都是將需更新內容發送給廠家,廠家再進行遠程更新。
3. 認證方式新需求
根據新的業務需求,之前用戶的帳號和密碼都是預先到數據庫開設好的,用戶在Portal界面上需要輸入預先開設好的帳號和密碼進行認證,由于WEB認證存在用戶間賬號串用現象比較嚴重,且帳號密碼不容易記錄,影響用戶體驗,故現在需要改成通過手機號獲取驗證碼這種方式來認證。
業務認證流程如下:
1. 用戶手機連接WiFi后推送到Portal認證頁面,Portal認證頁面輸入手機號,該手機號預先在認證庫中做開戶登記。
2. 用戶在 Portal頁面上用戶輸入手機號,點擊獲取驗證碼,該驗證碼會通過短信平臺方式下發到用戶手機上。
3. 用戶收取到短信通知的驗證碼后,用戶輸入該驗證,即可登錄成功接入到互聯網。
注意點:用戶輸入的手機號碼,必須是預先進行開戶登記的用戶,方可以通過短信獲取到驗證碼,否則提示非法用戶。
三、改造目標
1. 新增AAA系統,該AAA版本自己攜帶Portal系統,它內置短信認證的Portal模版、內置短信發送、內置AAA認證計費系統。新系統采用Linux內核,相較于城市熱點采用Windows系統,Linxu在安全性、穩定性、高效率方面表現更佳。2. 根據分布到的不同上網區域的IP地址范圍不同,本次升級將根據不同區域的顯示不同的Portal頁面,方便不同區域的用戶分別接入到各自的Portal顯示頁面上。
3. 本次升級還將開放每個區域的廣告管理界面,允許每個區域的管理員來查看和管理各自的用戶和廣告上傳,管理自己的 Portal頁面顯示。
4. 本次將新增第三方短信平臺發送平臺,通過第三方短信平臺下發密碼到用戶手機。
5. 華為的ME60需要改認證計費系統的接口到新的AAA-Portal系統上。
四、時訊WiFi認證計費平臺產品介紹
4.1 基礎云平臺管控系統
4.1.1 基礎云平臺管控系統業務功能
1)物理硬件的虛擬化
基礎云平臺管控系統采用虛擬化技術,將多臺物理機器的硬件進行虛擬化管理,將多臺物理機器虛擬化成一個云端管控平臺,將物理機器的CPU、內存、磁盤、網卡全部融合接管并虛擬化,對虛擬化的主機提供透明的使用資源。
2)虛擬機的創建、編輯、刪除
基礎云平臺管控系統可以創建虛擬機、編輯虛擬機CPU、內存、資源、網卡等資源分配,同時也運行刪除虛擬機。
為充分節省系統資源,虛擬機分成KVM虛擬化和半虛擬化LXC,從而根據業務場景的不同采用不同的虛擬化技術,以期將系統的資源發揮到極致。
3)虛擬機的運行、暫停、終止、克隆、遷移、鏡像、備份
基礎云平臺管控系統可以設置虛擬機的啟動狀態,默認為不啟動,也可以設置為隨物理機器啟動而啟動,同時可以非常方便的通過管理界面控制虛擬機的運行、暫停和停機終止。
當增加新的物理服務器的時候,可以通過管理界面進行虛擬機的克隆或者一鍵遷移到新的物理服務器,以確保業務不間斷運行。
虛擬機可以通過系統的定時任務來執行自動鏡像、備份和定期備份任務,從而確保當系統故障的時候,可以由鏡像或者備份系統來完成系統的瞬間恢復。
4)虛擬機的狀態監控
基礎云平臺管控系統可以監控虛擬機的CPU、磁盤、內存、網卡的使用情況,可以查看實時和歷史的狀態情況,從而方便管理員根據系統執行情況來分配資源、進行資源調度。
5)冗余的網絡出口
基礎云平臺管控系統支持統一的網絡出口,它內置雙網絡虛擬化防火墻,由虛擬化防火墻對外提供統一的網絡出口,當任何一臺虛擬化防火墻出現故障的時候,另外一臺自動接管,從而保證網絡出口的不中斷。
采用防火墻進行內外網隔離,將網絡威脅、網絡攻擊、病毒工具、黑客攻擊均阻隔在外網,保證內網的網絡安全。
6)7層HTTP負載均衡
基礎云平臺管控系統提供基于HTTP協議的7層負載均衡管控,將內部的各種服務通過7層負載均衡器實現集群調度,從而實現系統的無縫和平滑擴容。
7)7層HTTP緩存調度
基礎云平臺管控系統提供基于HTTP協議的緩存調度,將業務系統的靜態資源,比如圖片、CSS控制、JS控制文件自動緩存到HTTP緩存器中,從云平臺層自動加速整個業務平臺,讓業務平臺只關注業務部署,同時為業務層的頁面打開速度和網頁響應速度成倍提高。
8)DNS調度均衡
基礎云平臺管控系統提供內置的DNS服務器,運行的內網服務應用直接采用內置的DNS服務器來加速DNS解析并毫秒級響應給內網應用服務器。
9)統一的文件存儲服務
基礎云平臺管控系統提供內置文件上傳存儲服務,該服務部署多臺文件存儲服務器,為內網的文件上傳、圖片存儲提供基礎統一的HTTP存儲。
10)統一的圖片裁剪和自適應
基礎云平臺管控系統提供內置的圖片裁剪服務和根據操作系統類型、瀏覽器類型、分辨率類型自動進行圖片適應。
11)3層網絡負載均衡
基礎云平臺管控系統提供3層網絡的負載均衡調度,對內網的TCP和UDP應用服務提供網絡層的均衡服務,使內網的應用透明平滑擴展。
4.1.2 基礎云平臺管控系統部署
基礎云平臺管控系統部署支持如下方式:1)多臺物理硬件集群部署
基礎云平臺管控系統自帶Linux操作系統,它接管物理硬件,在物理硬件上進行虛擬化管理,同時可以將多臺虛擬化成一個集群操作系統。
2)虛擬化防火墻部署
基礎云平臺管控系統在每臺物理虛擬機云平臺上提供防火墻虛擬機,由該虛擬機對云內網各業務平臺進行網絡層面控制,包括keepalive冗余和3層網絡層的負載均衡。
3)7層HTTP集群部署
基礎云平臺管控系統在每臺物理虛擬機云平臺上提供7層集群虛擬機,由該虛擬機對云內網各業務平臺進行7層HTTP協議的負載均衡。
4)統一存儲部署
基礎云平臺管控系統在每臺物理虛擬機物理層面上提供統一的存儲支持服務,各業務虛擬機直接通過磁盤IO即可進行訪問統一存儲服務,該統一存儲需要支持碎片化、條帶化存儲。
4.2 Portal系統
4.2.1 Portal業務流程
系統接入主要涉及Portal認證流程,業務認證流程見下圖所示。
圖3.2.1 業務認證流程
業務流程描述如下:(1)用戶訪問網絡時,AC將用戶重定向到Portal頁面;
(2)用戶輸入手機號和動態密碼,并提交頁面;
(3)Portal將用戶的認證信息提交給AC;
(4)AC發送Access-Request消息(包含賬號、密碼等)到Radius;
(4)Radius收到AC的Access-Request消息后,對用戶信息進行認證鑒權。如果通過則返回Access-Response(Reject)消息給AC,否則返回Access-Response(Accept)消息給AC;
(5)AC將認證結果返回給Portal;
Portal向用戶展現認證結果。
4.2.2 Portal功能
4.2.2.1 Portal業務功能
Portal應用服務系統模塊應實現如下功能:1)Portal推送
采用WEB認證方式,需要提供靈活的Portal頁面推送功能,同時密碼的下發由短信網關同步完成,當用戶認證成功同時推送至指定網頁。
2)個性Portal
支持每個企業擁有一套獨立的Portal,每個Portal的具備獨立的可編輯、管理的WEB管理操作界面。
3)Portal頁面終端自適應
支持自動適應不同手持無線終端:筆記本電腦,手機(包括IOS系統、安卓系統、Windows Mobile等系統)或PDA終端推送相應外觀大小的Portal頁面。
4)Portal用戶自主注冊
可以認證Portal頁面實現用戶自主注冊功能。
5)Portal頁面自定義
支持每個企業PORTAL頁面可自定義圖片、文字等。
6)Portal認證方式可自定義
支持每個企業自行定義各自的用戶認證方式,支持短信、微信、用戶名密碼、密碼、一鍵認證、二維碼掃碼認證、二維碼授權認證、802.1X認證。
7)Portal模版
支持多種模版,方便每個企業自行選擇模版,避免重復設定頁面,快速上線業務。
8)Portal廣告
支持Portal廣告圖片、廣告視頻管理,支持廣告圖片輪播,視頻的播放管理。
9)Portal跳轉頁
支持Portal前置跳轉頁和后置跳轉頁,前置跳轉頁為認證前的主動跳轉頁,由跳轉頁的頁面提示引導進入Portal認證,后置跳轉頁為認證成功后的主動跳轉頁,比如商戶的主頁。
10)Portal認證協議
支持中國移動CMCC Portal 2.0協議標準和國際WISPr Portal 2.0協議標準,可以與各種AC控制器對接認證支持。
4.2.2.2 Portal系統部署
Portal應用的系統部署支持如下方式:1)集群部署
云Wi-Fi綜合系統面向全省用戶,按照每秒3000用戶認證用戶計算,每用戶在認證時刻預計會產生100個頁面的請求,故Portal系統需要接受30W頁面連接請求,系統需要做集群和冗余部署,多臺Portal系統集群對外提供服務,從而避免單臺Portal的失效導致Portal頁面故障。
2)CMCC Portal 2.0協議支持
CMCC Portal 2.0協議為國內中國移動的Portal協議標準,目前已經演變為行業內的協議標準,各大設備廠商均支持該協議,為保持平臺能支持各廠家的AP和AC設備,Portal系統要支持CMCC Portal 2.0認證協議。
3)WISPr Portal 2.0協議支持
WISPr Portal 2.0協議為國際無線聯盟的Portal協議標準,目前已經是應用最為廣泛的協議標準,各國外的無線設備廠商均支持該協議,為保證平臺能支持各國外廠商的AP和AC設備,Portal系統需要支持WISPr Portal 2.0認證協議。
4)第三方認證協議支持
第三方認證協議,比如Cisco WLC私有認證協議、Ruckus ZD私有認證協議、Zabra/Moto私有認證協議、Wi-Fi Dog私有認證協議,從而保證系統能更靈活的接入各種認證設備。
5)Portal協議的自適配
系統需要根據各種設備的各種Portal協議進行自動參數適配和參數透明化轉換,保證各種硬件設備的Portal頁面展示的一致性和各種認證協議的支持。
6)Portal系統多級緩存部署
系統需要面對高容量、高并發用戶的請求,故Portal系統要支持WEB頁面級別的緩存,支持頁面靜態資源的緩存和動態頁面的程序級別的動態緩存,針對動態數據做到內存級別的緩存支持,減少數據庫的命中支持。
7)系統處理能力
系統承載用戶量1200萬,Portal:30000次請求/s。
4.3 Radius認證計費系統
4.3.1 Radius業務流程
系統接入主要涉及Radius認證流程,業務認證流程見下圖所示。1) 本圖為RADIUS協議標準交互圖,云Wi-Fi系統也遵循該協議標準
2) 本圖中的NAS對應到云Wi-Fi中,為AC控制器
3) 本圖的RADIUS為Wi-Fi的認證中心
4) AC收到Portal用戶的認證請求后,向radius發出Access-Request(code=1)的認證請求報文;
5) radius向 AC發出相應的 Access-Accept(認證通過)或 Access-Reject(認證失敗)響應報文;
6) AC根據radius發回的屬性對用戶進行授權配置
7) AC向radius發出Accounting-Request(code=4/start)的計費開始請求報文,radius發回相應的計費響應報文
8) 用戶上網過程中,AC定時向radius發出 Accounting-Request(Interim-Update)實時計費請求,radius發回相應的計費響應報文
9) 用戶提出下線請求或者用戶長時間不用,閑置掉線后,AC向radius發送ting-Request(stop)計費結束請求報文,RADIUS發回相應的計費響應報文,AC收到iSCP的計費結束響應報文后,斷開用戶連接,此時用戶下線。
4.3.2 Radius認證計費功能
4.3.2.1 Radius認證計費業務功能
Radius認證系統模塊應實現如下功能:1)PAP/CHAP認證
系統支持PAP/CHAP方式認證,針對各AC或者網關的PAP/CHAP認證方式均可以支持。
2)802.1X認證
系統支持802.1X方式認證,針對各AC或者網關的802.1X認證方式均可以支持。
3)用戶名和密碼認證
系統支持用戶名和密碼方式的認證,針對短信認證、微信認證、一鍵認證、二維碼掃碼認證、二維碼授權認證的各種類型,最終在Radius層面上演變為用戶名和密碼認證,系統支持用戶名和密碼方式的本地數據庫存儲認證。
4)Windows AD域/LDAP認證
系統支持Windows AD域和LDAP方式認證,針對這類的用戶認證,由于Windows AD域和LDAP有可能部署到用戶內網,故需要用戶內網與云端建立專用隧道進行三層互通,從而保證與企業的Windows AD域/LDAP域進行融合認證。
5)多次認證
系統支持用戶的帳號和密碼的N次認證,當第N+1個終端進行認證的時候,系統將拒絕,從而對上層實現多終端認證,當N=1的時候,系統實現唯一終端認證。
6)認證帶寬授權
系統支持認證成功后的用戶,授權特定大小的帶寬,系統內置多種帶寬策略,比如4M、8M、10M、100M,當用戶認證成功后,可以根據預先設定的帶寬策略進行下發QoS帶寬,對客戶的互聯網出口帶寬進行每終端限流。
7)認證策略授權
系統支持認證成功后的用戶,授權VLAN和特定ACL,該VLAN和ACL需要AC設備或者網關支持,遵循國際標準的AAA協議的設備,均可以支持VLAN和特定ACL授權。
8)用戶上網會話記錄
系統支持認證成功后的用戶,記錄上線會話信息、心跳會話信息、下線會話信息,這些信息包括用戶名、終端MAC地址、AP的MAC地址、會話唯一標準、NAS的IP、用戶的IP、上線時刻、下線時刻、會話時間、上行流量、下行流量、上行字節、下行字節、掉線原因等信息。
9)用戶在線記錄
系統支持認證在線會話查詢,允許查詢當前在線的用戶會話信息,從而給用戶容量做實時統計,同時針對N次認證提供判別標準。
10)強制下線
系統支持認證認證成功用戶會話的強制踢掉功能,按照AAA擴展協議的DM協議規范,將AC設備或者網關設備的用戶會話強制下線。
11)在線調整策略
系統支持認證認證成功用戶會話的在線實時修改,比如用戶認證成功后,系統可以實時修改它的QoS帶寬屬性,可以實時修改它的VLAN信息和ACL信息。
12)會話記錄的第三方傳送
系統支持異步隊列,針對第三方業務系統,可以實時推送用戶的上網會話信息,將用戶終端的上線、心跳、下線信息實時推送到第三方業務系統,從而實現與第三方系統的實時聯動,比如CRM聯動。
13)會話記錄syslog輸出
系統可以實時通過syslog協議方式推送用戶的上網會話信息到大數據統計分析平臺,將云Wi-Fi的用戶上網信息與其它信息進行融合分析。
14)按照時長、包月、包天計費清算
系統可以攜帶計費引擎,針對RADIUS采集到的話單進行時長、包月、包天計費清單。目前WiFi計費采用的幾種計費方式為時長計費、流量計費、包月計費、包天計費,但是從實際運營情況來說,流量計費基本眾多運營商廢棄,轉而采用時長和包月計費,包天計費也非常少,在酒店會用到包天這種方式。建議應用時長計費和包月計費兩種模型來應用到本次項目中。
1、時長計費
時長計費是按照用戶PPP會話的時長來計算金額的,時長計費是最直接、精確的計費方式,同時可以非常靈活的設置優惠措施,可以按日、周、月、時間范圍來優惠。
2、包月計費
包月計費是目前眾多寬帶運營商應用最為廣泛的計費方式,粗放的包月就直接是每月收取固定費用,精細的包月可以是包月上下限方式,比如99元包100小時,超過100小時按照2元/小時收取。本系統還支持一種步步高方式的包月,比如99元包100小時,超過100小時按照2元/小時收取,超過200小時按照3元/小時收取,最高封頂150元等。
4.3.2.2 Radius系統部署
Radius應用的系統部署支持如下方式:1)集群部署
云Wi-Fi綜合系統面向全省用戶,按照每秒3000用戶認證用戶計算,系統需要做集群和冗余部署,多臺Radius系統集群對外提供服務,從而避免單臺Radius的失效導致認證故障。系統需要提供多級認證保證體系,確保認證7*24小時不間斷。
系統采用Radius代理熱備、認證授權集群、記賬集群三級構架確保系統高并發、大容量認證。
2)Radius代理熱備
根據Radius協議的主備屬性,系統需要設置主Radius代理和備份Radius代理,由代理來根據認證和記賬集群分發。
3)認證授權集群
Radius認證授權服務器支持多臺部署,而且隨著用戶量增大,可以平滑擴充部署新的服務器來完成擴容,它由Radius代理進行轉發認證并響應授權。
4)記賬集群
Radius記賬服務器支持多臺部署,而且隨著用戶量增大,可以平滑擴充部署新的記賬服務器來完成用戶會話記錄的存儲,它由Radius代理進行轉發記賬包。
5)集群心跳檢測
Radius的認證授權集群和Radius的記賬集群的各服務器間需要與Radius代理間保持心跳,當集群的某臺服務器失效時,將有Radius代理將請求包調度到另外服務器,當失效的服務器恢復時,Radius代理重新調度請求到恢復的有效服務器上。
6)系統處理能力
系統承載用戶量1200萬,Radius處理能力3000次/秒。
4.4 運營總管控系統
4.4.1 運營管控業務流程
運營管控系統為WEB管理界面,分成多級管理,包括云Wi-Fi后臺管理、用戶一級管理平臺、用戶二級管理平臺、用戶三級管理平臺、門店管理平臺、對外接口管理系統等,管理系統總體結構如下:(1)云Wi-Fi管理平臺為整個系統的WEB管理界面,通過它可以開設多個用戶多級管理平臺。
(2)用戶多級管理平臺包括三級管理,用戶總部級管理平臺、用戶分支機構管理平臺、門店管理平臺。每一級管理平臺均可以開設下一級管理平臺,從而實現分級管理和查看,上一級可以一鍵切換進入到下級管理平臺。
(3)門店管理系統是最基礎管理系統,包括對Wi-Fi用戶管控、Portal界面設置、Portal模版設置、廣告設置、認證策略設置、短信認證設置、微信認證設置、第三方接口設置、數據統計分析平臺。
4.4.2 運營管控功能
4.4.2.1 云Wi-Fi平臺總平臺管理功能
云Wi-Fi平臺總平臺管理功能,包括如下功能點:1)多級管理平臺注冊開通
系統支持多級管理平臺的開設增加,可以設定多級管理平臺的三級管理平臺組織機構,可以為多個客戶(比如建設銀行、百盛商場)開設各自的多級管理平臺。
2)多級平臺平臺查看和一鍵登錄切換
系統支持查看當前系統的多級管理平臺列表,可以對多級管理平臺的注冊開通信息進行修改,可以一鍵登錄切換到客戶的多級管理平臺上。
3)Portal系統的模版管理
系統支持Portal模版的增加、刪除、修改,同時可以針對模版進行客戶授權,可以授權客戶使用那些Portal模版。
4)帶寬QoS的管理
系統統一的帶寬QoS授權策略管理,增加、刪除、修改帶寬QoS授權,包括上行帶寬、下行帶寬。
5)第三方AC或者認證網關管理
系統可以針對第三方接入的AC網關(支持中國移動Portal 2.0或者WISPr Portal 2.0 協議標準)進行管理,包括增加、刪除、修改。內容包括網關的IP地址、通信密鑰、名稱等信息。
6)系統參數設定
系統可以設定各種配置參數,以達到平臺的各種配置需求,比如設定頁面顏色、會話清單的保存周期、統計間隔、管理頁面風格。
7)系統日志查看
系統需要支持詳盡的操作日志、認證日志,包括多級賬戶的開設、帳號每次認證的錯誤原因、管路員操作的詳細日志記錄,做到可以追溯。
8)權限角色管理
系統支持角色分組和管理員分級管理,系統可以自定義角色管理,支持每個角色管理有哪些功能,管路員的增加、刪除、修改,每個管理員歸屬哪個角色組。
9)權限角色管理
系統支持角色分組和管理員分級管理,系統可以自定義角色管理,支持每個角色管理有哪些功能,管路員的增加、刪除、修改,每個管理員歸屬哪個角色組。
10)短信平臺設置
系統內置有短信平臺,支持開設短信發送平臺,支持設定短信發送間隔、單IP每次發送限制。短信平臺的發送記錄清單、短信發送隊列等查看。
11)用戶側網關管理
系統支持對用戶側的網關進行自助注冊管理,支持用戶側網關綁定到門店系統,管理員可以解綁或者轉移綁定到其它門店,當設備更換、新增加設備網關的時候,均可以通過總平臺進行操作管理。
12)用戶管理
系統支持對用戶認證的帳號和密碼進行管理,包括查看列表、修改用戶資料、修改用戶密碼、鎖定用戶、設置用戶為黑名單、設置用戶為白名單、刪除用戶,所以的Portal各種認證方式均表現為用戶的登錄,云Wi-Fi總管理平臺可以針對所有賬號進行管控。
13)用戶統計
系統支持統計用戶注冊量統計、新增量統計、在線率統計、終端類型統計,支持年月日方式分區間統計。系統支持按照門店、多級管理平臺進行分開統計,從而輸出用戶的統計詳細記錄。
14)系統維護
系統支持數據庫在線備份管理、會話歷史數據清理、高速認證緩存清理、日志數據清理等系統級別維護。
4.5 云Wi-Fi平臺多級平臺管理功能
1)子級管理平臺注冊開通
系統支持子級管理平臺的開設增加,可以設定下一級管理平臺,可以為當前客戶(比如建設銀行、百盛商場)開設各自的子級管理平臺。比如建設銀行總部平臺可以開設建行南寧二級平臺、柳州二級平臺。
2)子級平臺平臺查看和一鍵登錄切換
系統支持查看當前系統的子級管理平臺列表,可以對多級管理平臺的注冊開通信息進行修改,可以一鍵登錄切換到客戶的下一級管理平臺上。
3)Portal系統的模版管理
系統支持Portal模版的挑選和分配,同時可以針對模版進行下一級授權,可以授權下一級使用那些Portal模版,默認下一級全部擁有所有模版。
4)用戶側網關管理
系統支持對用戶側的網關進行綁定、解綁、轉移綁定到其它門店,當設備更換、新增加設備網關的時候,均可以通過當前級別平臺進行操作管理。
5)用戶管理
系統支持對用戶認證的帳號進行查看,分別查看注冊用戶列表、來訪用戶列表。
6)用戶統計
系統支持統計用戶注冊量統計、新增量統計、在線率統計、終端類型統計,支持年月日方式分區間統計。系統支持按照門店、多級管理平臺進行分開統計,從而輸出用戶的統計詳細記錄。
7)基本參數設置
系統支持自行修改自己的注冊信息,同時允許修改自己的登錄密碼,方便本級管理員管理自己的系統平臺。
4.5.1 云Wi-Fi的商業Wi-Fi管理平臺
1)在線用戶
系統在線用戶查看,可以查看用戶名、MAC地址、終端類型、上線時間、上行流量、下行流量,可以針對上線用戶進行強制下線。
2)注冊用戶
系統支持本店的注冊用戶查看,包括注冊用戶名、注冊時的類型(短信、微信等等)、注冊來源地、注冊時間等等。
3)來訪用戶
系統支持查看本店的來訪用戶,用戶有可能不是從本店注冊的,有可能從云Wi-Fi平臺其它店鋪注冊過來,但是從本店上網的,均可以在本店鋪上查看。
4)黑名單
系統支持MAC黑名單和用戶名黑名單,只要命中這兩個匹配項,用戶終端將無法上網。
5)白名單
系統支持MAC白名單和用戶名白名單,只要命中這兩個匹配項,用戶終端將無需密碼,直接登錄上網,甚至是無感知認證上網(在MAC白名單情況下)。
6)Portal系統的模版設置
系統支持管理員選擇并設置Portal模版,并提供設置向導允許用戶根據向導來設置模版上的相關參數,比如廣告圖片、登錄方式、產品展示等等。
7)設備模版控制
系統可以設定用戶側網關、AC控制下屬的AP是否開啟Portal認證,如果開啟Portal認證,則是否開啟本模版驗證。
8)輪播廣告管理
系統可以加載多張廣告圖片,允許管理員設定是否進行廣告輪播,每次輪播的時間間隔。
9)用戶側網關管理
系統可以對接多臺用戶側的網關,每臺網關可以進行地理位置描點,管理員可以設定是否開啟Portal認證,同時可以查看該網關下的所有認證用戶??梢詮娭圃摼W關上單個用戶下線,或者強制網關上所有用戶下線,可以該網關的每用戶上網的最大時長和次數。
10)系統參數設定
系統可以設定商家的基本信息、修改商家登錄的密碼、商家的LOGO和門頭照。
11)商家帶寬QoS設定
系統可以設定該商家下的單用戶帶寬,當用戶從本商家的Wi-Fi熱點登錄的時候,它擁有的本商家設定的帶寬。
12)商家認證前、認證后跳轉鏈接
系統可以設定認證前跳轉和認證后的跳轉鏈接,從而引導用戶認證前跳轉和認證后跳轉,尤其是認證后,可以設定跳轉到商家的官方網站。
13)商家的二次透明認證
系統支持用戶二次透明熱證,面向老客戶連接Wi-Fi的時候,無需輸入用戶名和密碼,自動跳轉到登錄后連接,從而實現用戶到商家店鋪后,自動彈出商家的官方網站。
14)商家的云漫游認證
系統默認是關閉云漫游認證的,如果開啟云漫游認證的話,在云Wi-Fi平臺上的用戶,均可以自由登錄到任何一個商家店鋪的Wi-Fi網絡上,無需輸入賬號和密碼。
15)微信認證參數設定
系統支持對微信認證的參數設定,支持多種微信認證模式,包括微信連Wi-Fi、微信關注立刻認證、微信點擊鏈接認證等三種認證。
16)短信認證
系統支持短信認證,需要支持國內阿里大于、阿里云通信、漫道通信、云通信、樂信等短信通道,支持這些短信通道的短信發送。
17)短信營銷平臺
系統支持針對短信認證的用戶進行二次短信發送營銷,通過編輯短信內容,直接通過短信通道下發到用戶手機上,同時需要支持短信PUSH,當用戶進入店鋪并認證成功后,系統可以PUSH一條短信到用戶手機上,從而實現短信的到店營銷。
18)第三方推送
系統支持將用戶的信息推送給第三方,該推送為實時推送,實現用戶到店即可推送用戶的用戶名、MAC地址等信息到用戶的第三方系統上,比如CRM系統。
4.5.2 云Wi-Fi的企業Wi-Fi管理平臺
企業Wi-Fi管理平臺按照用戶劃分為訪客、員工、會議三種類型,根據三種類型進行區分認證。
1)在線列表
系統在線列表可以查看訪客在線列表、員工在線列表、會議在線列表。
2)未在線列表
系統支持查看已經關聯上AC,但是還沒有認證通過的終端列表,以方便系統管理員查看當前AC上有多少終端。
3)黑名單
系統支持MAC黑名單和用戶名黑名單,只要命中這兩個匹配項,用戶終端將無法上網。
4)白名單
系統支持MAC白名單和用戶名白名單,只要命中這兩個匹配項,用戶終端將無需密碼,直接登錄上網,甚至是無感知認證上網(在MAC白名單情況下)。
5)員工分組管理
系統支持針對員工進行劃分組別,每個分組有不同的網絡權限,比如QoS帶寬權限、 VLAN權限、授權策略權限、用戶最大上網終端數等。
6)員工上網參數設定
系統支持針對員工上網限制終端類型、終端數量、員工的認證頻率等。
7)員工管理
員工管理包括員工導入、員工增加賬戶、員工編輯賬戶、員工刪除賬戶、顯示員工終端列表、刪除員工終端、手工增加員工終端、一次性導入員工終端等功能。
8)員工密碼修改
員工密碼修改包括強制修改、通過郵箱找回密碼、通過短信找回密碼、首次登陸自行修改密碼。
9)員工上網記錄
員工的每次上網會話均記錄在列表,同時針對每次會話的上網清單也可以查詢到。
10)訪客列表
歷史的訪客均可以在列表中顯示出來,同時可以統計查詢出訪客的上網次數、上網的總消耗流量、上網的網絡訪問日志。
11)訪客授權日志
針對訪客進行二維碼授權上網的訪問日志記錄,系統是可以查詢并顯示所有的授權上網日志,同時系統可以設定訪客最大上網時間。
12)訪上網記錄
訪客的每次上網均記錄在列表,同時針對每次會話的上網清單也可以查詢到。
13)會議室管理
系統可以創建多個二維碼掃碼認證的會議室,可以給每個會議室設定上網時間段和上網時長,從而確保每個會議室能有效上網并合理利用上網時間。
14)訪客上網設置
系統可以設定訪客的上網時長、訪客上網的時間段、訪客上網的特定VLAN、訪客上網的最大帶寬QoS等參數。
15)微信連Wi-Fi參數設置
系統可以管理微信連Wi-Fi的參數設定,可以控制是否強制吸粉等功能。
16)AP管理和用戶側網關管理
系統可以管理AP或者用戶側的網關,增加、刪除、自動注冊AP和網關,同時可以根據AP和網關的位置進行分組設置。
17)Portal模版設定管理
系統可以統一設定Portal顯示模版,同時也可以根據AP和網關的分組來設定模版,每個模版可以設定滾動廣告、視頻廣告、認證方式等。
18)Portal模版參數管理
Portal模版可以設定多張廣告圖,可設定為輪播;同時可以嵌入視頻廣告;設定模版是否開啟員工和訪客認證;設定是否允許PC、手機終端登錄等,從而控制用戶的上網方式。
19)Windows AD域/802.1X對接認證
系統可以設定與本地的Windows AD域/802.1X聯動認證,配置相關參數即可使本地對接用戶側的用戶數據庫。
20)管理員管理和權限組劃分
企業Wi-Fi管理可能涉及到多個管理員,每個管理員管理的功能權限都可以設定,從而將管理工作劃分開,責權分離。
21)系統基本參數設定
設定跳轉后連接URL、設定跨域SSID不允許認證、設定企業郵箱等基本參數設定。
22)短信認證
系統支持短信認證,需要支持國內阿里大于、阿里云通信、漫道通信、云通信、樂信等短信通道,支持這些短信通道的短信發送。
23)短信營銷平臺
系統支持針對短信認證的用戶進行二次短信發送營銷,通過編輯短信內容,直接通過短信通道下發到用戶手機上,同時需要支持短信PUSH,當用戶進入店鋪并認證成功后,系統可以PUSH一條短信到用戶手機上,從而實現短信的到店營銷。
4.6 符合網監規范的上網行為管理系統
4.6.1 上網行為采集業務流程
上網行為采集系統主要涉及上網行為采集流程,上網行為采集流程見下圖所示。1) 用戶通過認證后,用戶基本信息(賬號、MAC、IP等信息)會記錄到云Wi-Fi中
2) 用戶通過出口網關訪問外網的時候,出口網關會記錄下用戶的NAT轉換信息、HTTP訪問信息等日志信息,并通過syslog方式傳送云Wi-Fi上網行為采集系統上。
3) 云Wi-Fi采集服務器收集到用戶的上網行為信息后,根據用戶認證的基本信息匹配上網行為信息,整合完整后緩存到本地日志數據庫。
4) 云Wi-Fi上網行為網監上傳組件每天按照指定時間傳送到網監上傳接口服務器,同時對本地的數據做保留100天(該保留時間可以配置)處理;
4.6.2 上網行為功能
4.6.2.1 上網行為業務功能
上網行為業務模塊應實現如下功能:1)網關側的上網行為采集
部署在客戶本地網絡的網關,采集用戶的NAT會話日志、HTTP訪問記錄日志、QQ、微信、郵箱等訪問日志并遠程實時傳送到云Wi-Fi平臺。
NAT會話日志包括原IP、原端口、目標IP、目標端口、轉換后IP、轉換后端口、協議類型、訪問時刻。
HTTP訪問日志包括原IP、原端口、目標URL、訪問時刻。
QQ/微信/郵箱訪問日志包括原IP、原端口、QQ/微信/郵箱等信息、訪問時刻
2)網關側的上網行為傳送
網關側采集到上網行為的上網行為信息后,通過標準的syslog協議傳送到云Wi-Fi采集系統,syslog協議走明文傳送,它通過加密隧道傳輸到云Wi-Fi采集系統上。
3)云Wi-Fi的上網行為采集
云Wi-Fi采集到各網關傳送的上網行為信息后,根據云Wi-Fi的用戶認證信息進行匹配,按照網監的要求存儲匹配完的信息,并記錄到本地的上網行為數據庫中。
4)云Wi-Fi的上網行為傳送
云Wi-Fi根據網監的規范要求,將記錄到本地的上網行為數據庫按照網監要求定時定點傳送到網監數據庫中。
云Wi-Fi傳送的網監數據包括AP的BSSID信息、場強信息、安裝位置信息、位置聯系人信息、用戶上網賬號、上網時間、上網的MAC地址、上網流量、上網訪問的URL信息等等,詳細請參照廣西區網監的信息要求。
5)云Wi-Fi的上網行為定時清理
云Wi-Fi根據網監的規范要求,本地不能長時間記錄用戶的上網行為信息,故要求定期清理用戶的上網行為記錄,一般建議清理周期為100天。
4.6.2.2 上網行為管理系統部署
云Wi-Fi上網行為管理系統部署支持如下方式:1)采集器集群部署
云Wi-Fi綜合系統采集北京高校所有學生的上網行為記錄,按照規劃1200萬用戶來計算,云Wi-Fi上網采集系統需要做多臺集群部署,確保采集的上網行為記錄不丟失。
2)上網行為存儲部署
上網行為預先按照文本方式進行分時間點、分網關設備、分客戶繼續文件系統存儲,當訂單傳送的時候,數據需要結合認證數據庫中的用戶信息數據進行整合,然后寫入到上網行為庫中,需要部署高容量的存儲設備和等待數據傳送的數據庫。
3)上網行為傳送部署
上網行為數據需要定時傳送到網監傳送接口服務器,該傳送需要具備容錯機制,當傳輸失敗或者對方無響應式,需要等待并延時重傳,部署雙機冗余系統和數字專線確保日志傳送的及時和可靠性,通過數字專線確保傳送的數據的安全性。
4.7 綜合網管報警系統
4.7.1 綜合網管報警系統業務流程
為提高云Wi-Fi平臺的服務質量和故障第一時間預警機制,云Wi-Fi平臺提供綜合網管報警系統,它的業務流程如下:1) 每個出口網關內置zabbix網管監控引擎,由zabbix網管引擎采集監控數據,實時上報到云Wi-Fi網管平臺。
2) 云Wi-Fi網管平臺實時收集網關傳送過來的數據,存儲在網管平臺上,根據預先設定的規則,一旦觸發報警規則,則觸發報警短信進行發送或者觸發報警郵件進行發送。
3) 云Wi-Fi網管平臺根據預先設定的規則,可以實時探測網關的網絡通暢性或者各網關下屬的AP的網絡通暢性,同時監控各自的用戶負載、網絡負載,一旦超過預先設定的閥值,則觸發報警短信進行發送或者觸發報警郵件進行發送。
4) 云Wi-Fi網管平臺提供圖形化的WEB管理界面,方便管理員進行監控管理和日常維護處理。
4.7.2 綜合網管報警功能
4.7.2.1 綜合網管報警功能
綜合網管報警系統業務模塊應實現如下功能:1)網關的網關的網絡通斷性檢測
云Wi-Fi網管系統自動監控網關的網絡連通性,當網絡出現光纖中斷、設備硬件故障等原因的時候,系統針對網關實時進行發送短信或者郵件報警通知。
2)網關的AP的網絡通斷性檢測
云Wi-Fi網管系統自動監控網關下管理的AP的網絡連通性,當AP出現硬件故障、或者PoE交換機出現故障導致無法管理AP的時候,系統針對網關的AP實時發送短信或者郵件報警通知。
3)網關在線用戶量為0檢測
云Wi-Fi網管系統自動監控網關下認證用戶,當網關的認證用戶量為0的時候,系統持續監控,在指定時間內長期為0的,系統則立刻實時發送短信或者郵件報警通知。
4)網關流量為0檢測
云Wi-Fi網管系統自動監控網關的下行流量,當網關的下行流量趨近為0的時候,系統持續監控,在指定時間內長期為0的,系統則立刻實時發送短信或者郵件報警通知。
5)分用戶、分區域管控
云Wi-Fi網管系統根據網關屬性,可以劃分網關分組、劃分地域等區域分組,從而根據分管理員分區域來進行維護管理。
6)網絡流量、CPU負載等曲線圖
云Wi-Fi網管系統可以實時記錄各主機的網絡流量(上行流量、下行流量)、CPU負載、磁盤負載等曲線圖,可以分年、月、日來分別查看,方便管理員進行維護管理。
7)基于GIS地圖的設備狀態監控
云Wi-Fi網管系統帶有GIS地圖實時點位監控圖,將設備投放到地圖上,方便運維監控人員實時查看并維護處理。
8)基于語音、短信、郵箱的報警體系
云Wi-Fi網管系統帶有語音報警、短信報警、郵箱報警。
4.7.2.2 綜合網管管理系統部署
云Wi-Fi綜合網管管理系統部署支持如下方式:1)網關側網管監控引擎部署
云Wi-Fi綜合網管監控引擎內置在用戶側網關中,隨網關系統發行直接內置進入,網關上需要配置綜合網管的管理IP地址,網關即可將網管監控的數據傳輸到云Wi-Fi綜合網管系統中。
2)綜合網管管理系統部署
綜合網管管理系統部署到雙機冗余的虛擬機上,由它來負責對全網的網關進行統一管理和控制,同時提供WEB管理側以供管理員進行管理和維護。
3)綜合網管報警器和外部API接口服務器部署
綜合網管系統單獨部署一個虛擬機,由它來負責發送報警語音、報警短信、報警郵件等信息。
五、 實施方案
5.1 啟用云WiFi Portal系統
安裝并啟用時訊云WiFi系統,內置與ME60對接的Portal系統,內置根據IP分組設定模版的系統,內置設置管理Portal廣告系統,可以允許管理員設定廣告圖片、頁面,挑選模版。從而實現不同區域的顯示不同的Portal頁面,方便不同區域的用戶分別接入到各自的Portal顯示頁面上。允許每個區域的管理員來查看和管理各自的用戶和廣告上傳,管理自己的 Portal頁面顯示。