殷宇晶 中國電信天津公司網(wǎng)絡(luò)運(yùn)行維護(hù)部 天津 300385

張璐 中國電信天津公司網(wǎng)絡(luò)監(jiān)控維護(hù)中心 天津 300385

楊清 中國電信天津公司網(wǎng)絡(luò)發(fā)展部 天津 300385

政企客戶WiFi網(wǎng)絡(luò)差異化部署方案

殷宇晶 中國電信天津公司網(wǎng)絡(luò)運(yùn)行維護(hù)部 天津 300385

張璐 中國電信天津公司網(wǎng)絡(luò)監(jiān)控維護(hù)中心 天津 300385

楊清 中國電信天津公司網(wǎng)絡(luò)發(fā)展部 天津 300385

在政企客戶市場(chǎng)產(chǎn)品同質(zhì)化激烈競(jìng)爭(zhēng)形勢(shì)下，通過實(shí)施與客戶需求、客戶價(jià)值相匹配的差異化服務(wù)，提高客戶滿意度，提升中國電信政企客戶服務(wù)的競(jìng)爭(zhēng)力。本文探討了利用中國電信WLAN無線寬帶，通過PORTAL頁面及認(rèn)證方式的個(gè)性化定制等手段，向政企客戶提供差異化WIFI無線網(wǎng)絡(luò)組網(wǎng)方案，通過現(xiàn)網(wǎng)進(jìn)行部署實(shí)施，為政企客戶提供差異化服務(wù)。

WiFi 差異化

1、引言

WLAN從最初的僅作為有線局域網(wǎng)的一種延伸逐漸轉(zhuǎn)變?yōu)橐环N寬帶無線接入手段，并正在對(duì)最終用戶的發(fā)展產(chǎn)生著深遠(yuǎn)的影響。隨著筆記本電腦和個(gè)人智能手機(jī)終端的普及，無線數(shù)據(jù)業(yè)務(wù)程爆發(fā)式增長(zhǎng)，目前國內(nèi)三大運(yùn)營商均在爭(zhēng)相大規(guī)模部署WIFI網(wǎng)絡(luò)。WIFI網(wǎng)絡(luò)部署以其實(shí)現(xiàn)快、成本低、帶寬高、用戶體驗(yàn)好等優(yōu)勢(shì)，成為搶占高端客戶群、分流數(shù)據(jù)流量的重要手段。在此市場(chǎng)激烈的產(chǎn)品同質(zhì)化競(jìng)爭(zhēng)情況下，只有產(chǎn)品功能和服務(wù)的與眾不同，顯示出以人為本的特點(diǎn)，才能增強(qiáng)企業(yè)核心競(jìng)爭(zhēng)力，促進(jìn)企業(yè)可持續(xù)發(fā)展。

本文探討了利用中國電信WLAN無線寬帶，通過PORTAL頁面及認(rèn)證方式的個(gè)性化定制等手段，向政企客戶提供差異化WIFI無線網(wǎng)絡(luò)組網(wǎng)方案，為政企客戶提供差異化服務(wù)。

2、現(xiàn)狀分析

2.1、中國電信無線寬帶(WLAN)具有以下突出特點(diǎn)：

（1）無線互聯(lián)。持續(xù)連接、移動(dòng)辦公，隨時(shí)隨地享受網(wǎng)上證券、視頻點(diǎn)播、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療、視頻會(huì)議、網(wǎng)絡(luò)游戲等一系列寬帶信息增值服務(wù)。

（2）高速接入?？商峁┳畲?4Mbps的共享帶寬，充分滿足客戶對(duì)寬帶業(yè)務(wù)的需求，非常適合高速上網(wǎng)和視頻服務(wù)等寬帶業(yè)務(wù)。

（3）安全可靠。利用ActiveX安全控件、數(shù)字證書加密、chap加密等先進(jìn)技術(shù)保障用戶賬號(hào)及密碼的安全。

（4）業(yè)務(wù)適用終端類型：帶無線網(wǎng)卡（WIFI）的筆記本電腦、智能手機(jī)、IPAD等。

2.2、政企客戶差異化需求

（1）隨時(shí)隨地上網(wǎng)服務(wù)。政企客戶的內(nèi)部員工和進(jìn)入政企客戶營業(yè)網(wǎng)點(diǎn)內(nèi)的用戶，在營業(yè)網(wǎng)點(diǎn)內(nèi)都可享受中國電信提供的高速、穩(wěn)定的互聯(lián)網(wǎng)服務(wù)。

（2）接入用戶可區(qū)分。對(duì)政企客戶內(nèi)部員工配置固定賬號(hào)/密碼，用于接入政企客戶的WIFI網(wǎng)絡(luò)；進(jìn)入政企客戶營業(yè)網(wǎng)點(diǎn)內(nèi)的用戶使用短信獲取動(dòng)態(tài)密碼的方式接入客戶體驗(yàn)WIFI網(wǎng)絡(luò)。

（3）用戶賬號(hào)可管理。政企客戶網(wǎng)絡(luò)管理者可以自行管理系統(tǒng)的賬號(hào)，對(duì)內(nèi)部員工賬號(hào)進(jìn)行增加、修改和刪除。

（4）登錄頁面可定制。根據(jù)政企客戶的要求提供個(gè)性化的網(wǎng)頁登錄界面，同時(shí)，通過專屬的頁面管理系統(tǒng)，客戶自己可以根據(jù)需要對(duì)頁面的圖片、文字和鏈接等信息進(jìn)行修改。

（5）用戶使用情況可統(tǒng)計(jì)。通過專屬的統(tǒng)計(jì)系統(tǒng)可以對(duì)客戶WIFI業(yè)務(wù)的使用情況進(jìn)行統(tǒng)計(jì)，對(duì)使用的用戶數(shù)量、上下線信息都能進(jìn)行查詢。

（6）用戶使用時(shí)間可限制。通過對(duì)賬號(hào)有效期時(shí)限的限制(可定制)，減少非辦理業(yè)務(wù)客戶常時(shí)間滯留營業(yè)廳內(nèi)上網(wǎng)的可能性。賬號(hào)到期后，自動(dòng)將用戶強(qiáng)制下線。

（7）用戶上網(wǎng)行為可追溯。當(dāng)用戶上網(wǎng)行為觸犯國家法律法規(guī)的情況下，中國電信可根據(jù)用戶使用的IP查詢到用戶的手機(jī)賬號(hào)查找到當(dāng)時(shí)使用用戶。

（8）用戶上網(wǎng)行為可審計(jì)。按照政企客戶要求限制WLAN上網(wǎng)用戶訪問多條鏈接地址；對(duì)政企客戶內(nèi)部員工類的固定賬號(hào)限制訪問游戲，視頻，圖片等網(wǎng)站（如搜狐、網(wǎng)易等網(wǎng)站要求能打開瀏覽頁面，但是不能打開網(wǎng)站中視頻，圖片的鏈接）；禁止政企客戶員工使用BT,電驢下載；對(duì)政企內(nèi)部用戶要求設(shè)置mac地址白名單，只有mac地址在白名單內(nèi)的設(shè)備才可以進(jìn)入用戶驗(yàn)證流程，彈出登錄界面，然后輸入用戶名密碼登錄；沒有綁定mac地址的設(shè)備直接由審計(jì)設(shè)備屏蔽，不被允許訪問網(wǎng)絡(luò)。

3、總體設(shè)計(jì)思路

圖1 中國電信政企客戶WLAN組網(wǎng)圖

（1）上圖中瘦AP主要實(shí)現(xiàn)802.11無線MAC層協(xié)議，AC實(shí)現(xiàn)對(duì)瘦AP的集中管理和無線資源控制功能，BAS實(shí)現(xiàn)用戶接入和業(yè)務(wù)控制功能。

（2）AC以DHCP方式給所關(guān)聯(lián)AP分配私網(wǎng)IP地址，AP和AC之間建立數(shù)據(jù)隧道，用戶數(shù)據(jù)經(jīng)由該隧道到達(dá)AC，再經(jīng)過AC進(jìn)行集中轉(zhuǎn)發(fā)。

（3）每個(gè)AP下根據(jù)用戶不同需求設(shè)置多個(gè)SSID，其中有電信標(biāo)準(zhǔn)WIFI業(yè)務(wù)SSID（ChinaNet），滿足政企客戶內(nèi)部員工上網(wǎng)的SSID（CEB_NEI）,以及為進(jìn)入政企客戶營業(yè)網(wǎng)點(diǎn)內(nèi)的用戶使用的SSID(CEB_WAI)。

（4）用戶通過DHCP+WEB認(rèn)證方式，用戶終端可以先選擇WLAN熱點(diǎn)不同SSID進(jìn)行連接。用戶瀏覽網(wǎng)頁時(shí)，BRAS觸發(fā)重定向，將用戶訪問重定向到Portal服務(wù)器上，給用戶推送指定的Portal頁面。

（5）CEB_NEI是對(duì)政企客戶內(nèi)部員工開放的網(wǎng)絡(luò)，對(duì)其Portal頁面上，用戶要輸入用戶名和密碼，認(rèn)證成功后才可以正常訪問網(wǎng)絡(luò)。

（6）CEB_WAI是對(duì)進(jìn)入政企客戶營業(yè)網(wǎng)點(diǎn)內(nèi)的用戶開放的網(wǎng)絡(luò)，用戶需填寫手機(jī)號(hào)碼，并通過短信的方式獲取密碼，認(rèn)證成功后才可以正常訪問網(wǎng)絡(luò)。

（7）Portal系統(tǒng)作為用戶直接看到的頁面，將為用戶提供各種提示信息，比如手機(jī)號(hào)輸入框、密碼輸入框、獲取密碼按鈕、使用說明以及其他一些必要信息。對(duì)于用戶輸入的信息和指令，Portal將傳遞給BRAS并進(jìn)行后續(xù)的認(rèn)證過程。

（8）AAA系統(tǒng)主要負(fù)責(zé)用戶的接入認(rèn)證、授權(quán)和計(jì)費(fèi)。WLAN接入用戶主要在AAA系統(tǒng)進(jìn)行管理，比如臨時(shí)賬號(hào)開戶、賬號(hào)有效時(shí)間管理、用戶授權(quán)和計(jì)費(fèi)等。

（9）行業(yè)網(wǎng)關(guān)主要負(fù)責(zé)用戶密碼的下發(fā)。其接入電信短信中心及互通網(wǎng)關(guān)，進(jìn)行本網(wǎng)短信和異網(wǎng)短信的密碼發(fā)送。

由于AC在本地網(wǎng)集中部署，AP和AC之間的數(shù)據(jù)隧道可能會(huì)經(jīng)過兩個(gè)BAS以及城域網(wǎng)出口路由器之間的轉(zhuǎn)發(fā)，用戶數(shù)據(jù)在兩個(gè)BAS之間穿越了城域網(wǎng)VPN。圖2所示為用戶數(shù)據(jù)報(bào)文、隧道報(bào)文、VPN報(bào)文在AP、AC、BAS之間的轉(zhuǎn)發(fā)示意圖。

圖2 中國電信WLAN網(wǎng)絡(luò)中用戶流量轉(zhuǎn)發(fā)流程

4、詳細(xì)設(shè)計(jì)

4.1、接入WLAN網(wǎng)絡(luò)的認(rèn)證流程

在無線終端發(fā)起上網(wǎng)認(rèn)證請(qǐng)求之前，AP和AC之間的就已經(jīng)建立起了數(shù)據(jù)隧道，該隧道對(duì)用戶完全透明，不需要用戶的任何參與，因此下面主要分析用戶接入WLAN網(wǎng)絡(luò)的認(rèn)證流程。

圖3 WLAN PORTAL上網(wǎng)流程

（1）用戶通過無線信號(hào)連接WLAN網(wǎng)絡(luò)，分配IP地址后登錄任意網(wǎng)址，由BRAS設(shè)備觸發(fā)重定向，將用戶的訪問請(qǐng)求重定向到Portal服務(wù)器上。

（2）用戶在Portal認(rèn)證頁面上填入手機(jī)號(hào)，并點(diǎn)擊獲取密碼按鈕。

（3）Portal將用戶的手機(jī)號(hào)轉(zhuǎn)換為內(nèi)部臨時(shí)帳號(hào)，并生成對(duì)應(yīng)的隨機(jī)密碼。

（4）Portal將該內(nèi)部臨時(shí)帳號(hào)對(duì)應(yīng)的隨機(jī)密碼提交到AAA服務(wù)器。

（5）Portal調(diào)用行行業(yè)網(wǎng)關(guān)接口發(fā)送用戶密碼。

（6）行業(yè)網(wǎng)關(guān)將臨時(shí)賬號(hào)的密碼通過短信發(fā)送給用戶手機(jī)。

（7）用戶在Portal頁面中輸入手機(jī)號(hào)和短信獲取的密碼，點(diǎn)擊登錄。

（8）Portal將該手機(jī)號(hào)對(duì)應(yīng)的臨時(shí)帳號(hào)和密碼提交給BRAS。

（9）BRAS設(shè)備向AAA系統(tǒng)發(fā)起認(rèn)證。

（10）AAA認(rèn)證成功后，向BRAS返回響應(yīng)消息，并攜帶用戶授權(quán)屬性。

（11）BRAS將認(rèn)證結(jié)果返回給Portal。

（12）Portal將認(rèn)證結(jié)果展現(xiàn)給用戶。

（13）用戶可以正常訪問網(wǎng)絡(luò)。考慮到實(shí)際需求，用戶通過本W(wǎng)LAN上網(wǎng)的時(shí)長(zhǎng)有限制，時(shí)間可在Portal服務(wù)器上進(jìn)行配置。

4.2、網(wǎng)元配置

以上認(rèn)證過程涉及到多個(gè)網(wǎng)元，現(xiàn)就關(guān)鍵網(wǎng)元的配置關(guān)鍵點(diǎn)予以說明。

4.2.1、無線接入設(shè)備AP/AC

考慮到對(duì)業(yè)務(wù)的可控制性，采取集中式轉(zhuǎn)發(fā)AC。AP的管理采用每熱點(diǎn)每VLAN的方式，AP的管理通過DHCP（OPTION 43）進(jìn)行下發(fā)AP管理地址和AC 的IP地址。AP通過VPN自動(dòng)到AC注冊(cè)，獲得AC下發(fā)的配置（業(yè)務(wù)VLAN，及無線側(cè)參數(shù)等）,這時(shí)AP和AC建立起業(yè)務(wù)隧道，業(yè)務(wù)流到達(dá)AC。

◎ AC上配置AP名稱與熱點(diǎn)名稱簡(jiǎn)寫對(duì)應(yīng)

◎ AP上配置了3個(gè)無線服務(wù)SSID,分別為ChinaNet,ceb_nei,ceb_wai,同時(shí)每個(gè)AP獨(dú)立使用不同的內(nèi)層VLAN區(qū)分三種業(yè)務(wù)。

◎ AC上配置了QINQ內(nèi)外層vlan轉(zhuǎn)換關(guān)系,對(duì)應(yīng)規(guī)劃的不同業(yè)務(wù)外層VLAN。

◎ AC系統(tǒng)trunk各熱點(diǎn)外層VLAN到城域網(wǎng)BAS設(shè)備。

4.2.2、接入交換機(jī)和BAS的配置

將網(wǎng)關(guān)配置在接入交換機(jī)，同時(shí)啟用DHCP功能，利用DHCP里OPTION43屬性定義AC管理地址。

BAS配置部分主要包括新建認(rèn)證前域和portal url進(jìn)行綁定，并在與AC互連的接口里建立子接口，由于分為三個(gè)portal頁面，所以每個(gè)網(wǎng)點(diǎn)需要配置三個(gè)子接口，規(guī)劃不同的內(nèi)外層vlan，與不同的域進(jìn)行對(duì)應(yīng)。

4.2.3、PORTAL配置

根據(jù)政企客戶個(gè)性化需求，為政企客戶量身定做wifi系統(tǒng)登陸界面。在登陸界面可展示政企客戶自身標(biāo)識(shí)及業(yè)務(wù)宣傳圖片，使其接入用戶進(jìn)一步了解企業(yè)特色，以增強(qiáng)用戶對(duì)企業(yè)的品牌認(rèn)同感。PORTAL系統(tǒng)支持以下功能：

◎ 支持用戶認(rèn)證門戶功能；

◎ 支持頁面管理功能，支持WLAN Portal界面修改功能

◎ 支持頁面可定制化，實(shí)現(xiàn)用戶自助添加修改頁面內(nèi)容。

◎ 支持主流終端（筆記本、手機(jī)、pad等等）頁面適配功能。

◎ 支持用戶的認(rèn)證前、認(rèn)證后、下線后三個(gè)web頁面的管理功能，支持窗口的彈出。

（1）政企客戶內(nèi)部員工使用界面

此界面針對(duì)政企客戶內(nèi)部員工使用，采取固定用戶名和密碼方式。在登陸界面可展示政企客戶自身標(biāo)識(shí)及業(yè)務(wù)宣傳圖片，用戶名、密碼輸入窗口，不對(duì)一般用戶開放。

（2）進(jìn)入政企客戶營業(yè)網(wǎng)點(diǎn)內(nèi)的用戶使用界面

用戶在界面中輸入用戶的手機(jī)號(hào)碼（不區(qū)分電信/移動(dòng)/聯(lián)通），點(diǎn)擊“獲取密碼”按鈕。

可根據(jù)用戶需求，設(shè)置黑名單。將政企客戶內(nèi)部員工手機(jī)號(hào)碼列入黑名單，禁止其短信獲取密碼，黑名單初期由后臺(tái)一次批量導(dǎo)入，后期交由政企客戶管理員實(shí)現(xiàn)自維護(hù)。

4.2.4、AAA系統(tǒng)配置

由AAA認(rèn)證系統(tǒng)對(duì)用戶名和密碼進(jìn)行認(rèn)證，政企客戶管理員可登錄AAA專屬頁面，對(duì)其用戶進(jìn)行動(dòng)態(tài)管理。

◎ 支持認(rèn)證用戶的開戶、修改、銷戶；

◎ 統(tǒng)計(jì)用戶上下線信息，生成相應(yīng)報(bào)表以便查詢定位用戶，實(shí)現(xiàn)用戶上網(wǎng)信息追蹤；

◎ 支持標(biāo)準(zhǔn)RADIUS和IETF擴(kuò)展RADIUS協(xié)議

◎ 支持實(shí)時(shí)認(rèn)證和鑒權(quán)，可實(shí)時(shí)檢查是否有重復(fù)登錄。

◎ 支持對(duì)用戶的有效期和用戶賬號(hào)狀態(tài)做認(rèn)證檢查。

◎ 根據(jù)不同廠商的BRAS需要，配置RADIUS屬性字典。

◎ 支持設(shè)置多種帶寬策略。

◎ 支持與不同BRAS設(shè)備對(duì)接。

◎ 支持分配IP地址池名稱和IP地址，支持IP地址的靜態(tài)和動(dòng)態(tài)分配。

◎ 支持對(duì)用戶接入的限制，可基于時(shí)間段或者累計(jì)流量限制用戶的接入，支持通過MAC地址或者手機(jī)號(hào)進(jìn)行用戶接入限制。

◎ 支持用戶黑名單，對(duì)黑名單帳號(hào)禁止認(rèn)證。

◎ 支持強(qiáng)制斷網(wǎng)功能，對(duì)超過上網(wǎng)時(shí)長(zhǎng)的用戶，通過Radius消息向AC發(fā)送強(qiáng)制下線消息。

◎ 支持上網(wǎng)用戶信息記錄功能，話單保存期至少6個(gè)月。

◎ 支持靜態(tài)秘密認(rèn)證、動(dòng)態(tài)隨機(jī)碼認(rèn)證。

◎ 支持唯N性認(rèn)證功能

4.2.5、行業(yè)網(wǎng)關(guān)配置

◎ 實(shí)現(xiàn)短信接入要求；

◎ 支持黑白名單控制和內(nèi)容過濾，可以限制特定用戶的短信收發(fā)功能，可對(duì)短信內(nèi)容進(jìn)行過濾；

◎ 支持發(fā)送號(hào)碼轉(zhuǎn)換功能；

◎ 支持異網(wǎng)長(zhǎng)短信發(fā)送。

4.2.6、安全審計(jì)設(shè)備配置

在AC設(shè)備于BAS設(shè)備鏈路中，串行接入安全審計(jì)設(shè)備,由AC根據(jù)不同VLAN區(qū)分不同業(yè)務(wù)，將訪問CEB_ NEI和CEB_WAI的用戶流量通過安全審計(jì)設(shè)備，再接入BAS。以實(shí)現(xiàn)政企客戶以下安全審計(jì)要求：

◎ 限制WLAN上網(wǎng)用戶訪問多條鏈接地址

◎ 對(duì)政企客戶內(nèi)部員工類的固定賬號(hào)限制訪問游戲，視頻，圖片等網(wǎng)站（如搜狐、網(wǎng)易等網(wǎng)站要求能打開瀏覽頁面，但是不能打開網(wǎng)站中視頻，圖片的鏈接）；

◎ 禁止政企客戶員工使用BT,電驢下載；

◎ 對(duì)政企內(nèi)部用戶要求設(shè)置mac地址白名單，只有mac地址在白名單內(nèi)的設(shè)備才可以進(jìn)入用戶驗(yàn)證流程，彈出登錄界面，然后輸入用戶名密碼登錄；沒有綁定mac地址的設(shè)備直接由審計(jì)設(shè)備屏蔽，不被允許訪問網(wǎng)絡(luò)。

4.3、為用戶提供模塊化訂購方案

為實(shí)現(xiàn)政企客戶WIFI網(wǎng)絡(luò)差異化的快速部署，便于前端同用戶明確需求，后端快速實(shí)施，將以上業(yè)務(wù)按模塊化予以明確。

模塊一：用戶手機(jī)號(hào)為賬號(hào)，短信獲取隨機(jī)密碼方式

用戶需填寫手機(jī)號(hào)碼（支持電信、移動(dòng)和聯(lián)調(diào)手機(jī)用戶），并通過短信的方式獲取隨機(jī)密碼，認(rèn)證成功后才可以正常訪問網(wǎng)絡(luò)。

模塊二：固定用戶名/密碼上網(wǎng)方式

Portal頁面上，用戶要輸入用戶名和密碼，認(rèn)證成功后才可以正常訪問網(wǎng)絡(luò)。

模塊三：中國電信無線寬帶業(yè)務(wù)（ChinaNet）

考慮到政客客戶的營業(yè)網(wǎng)點(diǎn)多，人口流動(dòng)大的特點(diǎn)，在為政企客戶提供個(gè)性化業(yè)務(wù)的同時(shí)，保留中國電信無線寬帶自有業(yè)務(wù)的推廣。

模塊四：安全審計(jì)模塊（安全審計(jì)設(shè)備為獨(dú)立設(shè)備）

前端客戶經(jīng)理在與用戶接洽時(shí)，挖掘客戶需求并提供業(yè)務(wù)咨詢，以模塊一＋模塊三方式為主，后端維護(hù)人員按照時(shí)間要求，完成各個(gè)網(wǎng)元側(cè)的配置工作。

5、業(yè)務(wù)發(fā)展情況

天津電信利用全市的一網(wǎng)多域的方式，滿足政企客戶的內(nèi)部員工及用戶在營業(yè)廳內(nèi)任何位置都可穩(wěn)定的享受天津電信提供的互聯(lián)網(wǎng)業(yè)務(wù)的同時(shí)，還提供便捷的用戶賬號(hào)管理手段，通過定制專用的登錄頁面，企業(yè)WIFI業(yè)務(wù)統(tǒng)計(jì)等一系列功能，滿足了客戶個(gè)性化的需求，為政企客戶提供差異化優(yōu)質(zhì)服務(wù)。

目前天津已通過此方式，為多家銀行等大型政企客戶提供接入差異化WIFI無線網(wǎng)絡(luò)服務(wù)，并獲得此類政企用戶的滿意。

6、總結(jié)與啟發(fā)

課題組從現(xiàn)網(wǎng)情況入手，介紹為政企客戶提供差異化WIFI無線網(wǎng)絡(luò)組網(wǎng)方案。隨著中國電信WLAN網(wǎng)絡(luò)的迅猛發(fā)展，如何在現(xiàn)網(wǎng)基礎(chǔ)上提升WIFI產(chǎn)品的附加值，增加產(chǎn)品的競(jìng)爭(zhēng)力，滿足用戶不斷增長(zhǎng)的個(gè)性化需求是需要持續(xù)關(guān)注的問題。

[1] 中國電信WLAN全國漫游BRAS、Radius Server、Portal技術(shù)規(guī)范_v2.0

[2] 中國電信WLAN網(wǎng)絡(luò)優(yōu)化指導(dǎo)書(征求意見稿)

1009-0940(2014)-2-0022-05

2014-4-23