一、行业背景

随着企业信息化的不断发展以及移动办公的趋势，很多企业正原有的有线连接上网的基础上，开始增加更加方便、便捷、移动性强的无线接入网络来满足自身发展的需求。这样企业内部人员和访客都可以方便的通过无线网络在办公和企业园区内随时地接入企业局域网和互联网，来完成各种业务工作的处理。另外建设WLAN无线网络解决以往的有线端口接入限制、硬件维护工作繁琐、线路多、可移动性弱、访客管理难度大等问题。
但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅对企业的网络安全存在一定的隐患，而且网络运行也不够稳定更不能对接入访客进行管理控制。更重要的是在大型企业中，并没有通过无线网络跟员工和访客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为企业的当务之急。

二、需求分析

企业在自身无线网络建设及无线认证中存在的问题，需要一套快速、低成本、简单易用的无线认证解决方案，该方案需要满足以下需求：
1. 支持多种认证方式，包括针对访客的手机短信和二维码认证上网，以及针对内部员工的静态用户名密码认证方式，以及针对国外用户发短信不方便时的邮箱验证；
2. 可以结合企业现有的OA、CRM、LDAP等系统进行对接认证，企业员工通过现有的账户进行认证上网，所有的用户数据只需要在企业的管理系统中创建或删除，认证系统无需二次操作；
3. 可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自定义设计的需求；
4. 企业无线网络可以划分为多个不个SSID，分别为企业管理者、企业员工和企业访客使用，针对不同的SSID可以推送不同的认证页面，实现不同的认证策略；
5. 方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理，不同的用户属性采取不同的上网策略；
6. 认证成功后可以实现强制跳转至企业官网或其他指定网站，可以有效的进行品牌宣传和推广；
7. 支持二次开发，将来可以对接企业现有的OA、CRM等系统，在OA或其他系统上实现对访客上网权限的授权管理；
8. 部署方便，维护简单，同时对整体设备需要易操作易管理，将来增加覆盖范围和用户数量能够方便的进行扩展升级。

三、方案设计原则

蓝海卓越无线认证系统是我们基于多年的产品运营经验及对无线认证网络运营需求的深刻理解，针对企业无线认证的需求并结合现有产品推出“企业无线认证解决方案”，从打造可管理、可运营的无线认证网络角度出发，致力于为客户建设一个高效可靠、运营成本低的企业无线认证网络，使无线网络部署轻松、可靠、高效。根据用户需求及用户网络特点，方案设计遵循以下原则：
1. 高可靠性，无线网络运行的稳定可靠是接入认证系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，适合7×24不间断运行；
2. 技术先进性和实用性，在保证满足无线接入认证的同时，又要体现出接入认证系统的先进性，充分考虑到系统应用的现状和未来发展趋势，能够方便的对功能进行扩展；
3. 标准开放性，支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范，有利于保证与其它网络及设备之间的平滑连接互通，以及将来网络的扩展；
4. 灵活性及可扩展性，根据未来业务的增长和变化，网络及设备可以平滑地扩容和升级，并在扩容和升级过程中最大程度的减少对网络架构和现有设备的更换调整；
5. 可管理性，对网络状况实行集中监测、分析，具有对接入用户、设备、网络、流量等进行统计分析和管理的功能；
6. 可升级性，针对未来出现的可能性的管理需求，系统需要具备可升级特性。
 

四、方案说明

结合广泛的企业无线认证市场需求，推出企业级Portal无线认证系统及AC、AP等无线网络产品，最大限度的满足现有无线认证的市场需求。通过统一Portal无线认证系列产品，用户可以方便的组建无线认证网络，实现WEB认证、信息推送、用户管理等多种功能。

4.1方案拓扑图

企业无线认证系统主要由：移动终端（智能手机、平板电脑、笔记本等）、AC控制器、AP、Portal服务器、Radius服务器以及短信服务器、微信服务器组成。在整体方案中，它们充当的角色分别如下：
1. 移动终端：用户使用手机、平板等移动终端设备连接到企业WLAN无线网络中；
2. AP：无线接入点，实现一定区域内无线信号的覆盖；
3. AC控制器：集中控制管理所有AP设备，根据需求建立统一的SSID；
4. Portal服务器：同AC设备对接，实现Portal认证页面的弹出和无线认证流程，认证页面支持任意网页语言进行定制设计；
5. Radius系统：能够建立套餐和账户，实现对上网用户的账户密码信息进行认证；
6. 短信服务器：负责发送密码短信给手机用户，以便用户通过输入密码进行无线认证上网；
7. 微信服务器：负责向管理员发送验证通知，方便管理员审核；
8. 企业OA或是CRM服务器：企业员工通过OA账户或CRM进行认证，需要认证系统能够实时该OA服务器数据库中的账户信息。

4.2方案特点

1）有线+无线统一接入认证
所有的上网终端均可进行认证，有线和无线均采用PORTAL认证的方式，当用户连接网络时，当发起http访问请求后会被重定向到Portal认证页面；
2）认证页面定制
认证页面/认证成功页面均可以按照自己的要求进行定制设计，支持任意网页设计语言，达到良好的页面展示效果；在认证页面和认证成功页面可以自由设计承载企业宣传和通知信息；
3）基于AC设置两个不同的SSID，企业SSID隐藏，只有员工通过AD域账户进行登录认证上网；访客SSID开放，企业访客通过手机短信认证或者一键登录认证进行上网；
4）基于AC针对不同的SSID设置不同的Portal认证页面URL参数，实现向员工和和访客推送不同的认证页面；
5）页面跳转
    当访客完成手机短信认证或者员工完成认证后，自动跳转至企业官网或其他指定网址，实现对企业品牌的宣传推广，增强品牌知名度；
6）多种认证方式
除手机短信认证、OA帐户认证之外，Portal系统还可以提供一键登录、等认证方式，为企业的无线认证提供更多方式选择；
同时支持邮件验证、扫码验证等企业访客认证方式，支持对注册的临时上网用户进行管理员审核；
7）上网策略分级
企业访客通过手机短信的方式认证上网，企业员工通过输入OA账户的方式进行认证上网，两类用户分别采取不同的上网策略，可以在上网速度、上网时长等方面行进区分和限制；
8）用户管理
强大的用户管理功能，可以实现对手机短信认证用户的上传、下载速度以及在线时长等进行设置，实现对无线接入用户的速度、在线用户数、上网时长等管理；
9）访客扫码认证
 协助扫码：访客上网认证的最佳方式
采用访客与被访人一对一扫码的方式对来访人进行授权。适用于网络安全性要求高的企业临时性访客使用。当访客进入访问网络空间，需被访人扫描二维码并进行授权，然后访客才可以使用网络，这种一对一的访客准入形式使得入网访客有迹可循，也在最大程度上保证了网络准入的安全。

 此认证方式优势：
    1、一对一认证授权加强企业对访客及被访人的审计追溯；
    2、仅允许用户在规定授权时间内使用。
10）支持邮件认证
邮件认证是在不方便使用短信验证的环境，如外国访客使用，或是访客数量较多，采用短信会导致成本技术增高的情况下使用。

邮件认证的流程：
1、用户连接WIFI，弹出PORTAL页面；
2、用户在PORTAL页面，输入管理员指定的信息，如姓名、单位，以及自己的邮件地址，点击获取验证码，申请获取密码；
3、用户申请后，系统将该用户的请求，通过微信服务号推送信息给管理员，等待审核；
4、管理员在手机微信端收到信息，点击信息，即进入审核页面，查看信息并审核后，系统接收到审核，自动开户，并发送邮件给用户，告知用户帐号密码、使用时长等信息，用户收到邮件，根据邮件内容，重新连接WIFI，使用帐号和密码登录上网；
5、系统自动开户可以设置默认套餐有效期，也可以由管理员在审核时指定套餐，按套餐时长生成有限时间的套餐，过期后，用户需要重新认证申请并审核后上网。

微信审核必要条件：企业需要开通微信服务号。
11）支持动态密码认证
12）支持二次开发
Portal和Radius系统提供二次开发接口，可以方便的对接企业现有的各种系统和数据库，实现更多业务功能。