一、项目背景

随着企业信息化的不断发展以及移动办公的趋势，很多企业正原有的有线连接上网的基础上，开始增加更加方便、便捷、移动性强的无线接入网络来满足自身发展的需求。这样企业内部人员和访客都可以方便的通过无线网络在办公和企业园区内随时地接入企业局域网和互联网，来完成各种业务工作的处理。另外建设WLAN无线网络解决以往的有线端口接入限制、硬件维护工作繁琐、线路多、可移动性弱、访客管理难度大等问题。
但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅对企业的网络安全存在一定的隐患，而且网络运行也不够稳定更不能对接入访客进行管理控制。更重要的是在大型企业中，并没有通过无线网络跟员工和访客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为企业的当务之急。

二、需求分析

蓝海卓越针对目前企业在自身无线网络建设及无线认证中存在的问题，推出适合企业的无线认证解决方案，该方案需要满足以下需求：
1、支持多种认证方式，包括针对访客的手机短信和二维码认证上网，以及针对内部员工的静态用户名密码认证方式；
2、可以结合企业现有的OA/CRM等系统进行认证，企业员工通过现有的账户进行认证上网；
3、可以对认证页面、认证成功页面进行高度定制，支持多种网页设计语言，以实现对认证页面自由设计的需求；
4、企业无线网络可以划分为两个SSID，分别为企业员工使用和访客使用，针对不同的SSID可以推送不同的认证页面；
5、方便管理，能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理，不同的用户属性采取不同de上网策略；
6、认证成功后可以实现强制跳转至企业官网或其他指定网站，可以有效的进行品牌宣传和推广；
7、支持二次开发，将来可以对接企业现有的OA、CRM等系统，在OA或其他系统上实现对访客上网权限的授权管理；
8、部署方便，维护简单，同时对整体设备需要易操作易管理，将来增加覆盖范围和用户数量能够方便的进行扩展升级。

三、方案设计原则

蓝海卓越基于多年的产品运营经验及对无线认证网络运营需求的深刻理解，针对企业无线认证的需求并结合现有产品推出“蓝海卓越企业无线认证解决方案”，从打造可管理、可运营的无线认证网络角度出发，致力于为客户建设一个高效可靠、运营成本低的企业无线认证网络，使无线网络部署轻松、可靠、高效。根据用户需求及用户网络特点，蓝海卓越提供的方案设计遵循以下原则：
1、高可靠性，无线网络运行的稳定可靠是接入认证系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，适合7×24不间断运行；
2、技术先进性和实用性，在保证满足无线接入认证的同时，又要体现出接入认证系统的先进性，充分考虑到系统应用的现状和未来发展趋势，能够方便的对功能进行扩展；
3、标准开放性，支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范，有利于保证与其它网络及设备之间的平滑连接互通，以及将来网络的扩展；
4、灵活性及可扩展性，根据未来业务的增长和变化，网络及设备可以平滑地扩容和升级，并在扩容和升级过程中最大程度的减少对网络架构和现有设备的更换调整；
5、可管理性，对网络状况实行集中监测、分析，具有对接入用户、设备、网络、流量等进行统计分析和管理的功能。

四、方案说明

蓝海卓越结合广泛的无线认证市场需求，推出蓝海卓越Portal无线认证系统及AC、AP等无线网络产品，最大限度的满足现有无线认证的市场需求。通过蓝海卓越Portal系列产品，用户可以方便的组建无线认证网络，实现WEB认证、信息推送、用户管理等多种功能。

4.1方案拓扑图

 
蓝海卓越无线认证系统主要由：移动终端（智能手机、平板电脑、笔记本等）、AC控制器、AP、蓝海卓越Portal服务器、蓝海卓越Radius服务器以及短信网关组成。在整体方案中，它们充当的角色分别如下：
1、移动终端：用户使用手机、平板等移动终端设备连接到商场WLAN无线网络中；
2、AP：无线接入点，实现一定区域内无线信号的覆盖；
3、AC控制器：集中控制管理所有AP设备，根据需求建立统一的SSID；
4、蓝海卓越Portal服务器：同AC设备对接，实现Portal认证页面的弹出和无线认证流程，认证页面支持任意网页语言进行定制设计；
5、短信网关：负责发送密码短信给手机用户，以便用户通过输入密码进行无线认证上网；
6、蓝海卓越Radius：能够建立套餐和账户，实现对上网用户的账户密码信息进行认证；
7、企业AD域服务器：企业员工通过AD域账户进行认证，需要蓝海卓越系统能够实时该域服务器数据库中的账户信息。

4.2方案特点

1）有线+无线统一接入认证
所有的上网终端均可进行认证，有线和无线均采用PORTAL认证的方式，当用户连接网络时，当发起http访问请求后会被重定向到Portal认证页面；
2）认证页面定制
认证页面/认证成功页面均可以按照自己的要求进行定制设计，支持任意网页设计语言，达到良好的页面展示效果；在认证页面和认证成功页面可以自由设计承载企业宣传和通知信息；
3）基于AC设置两个不同的SSID，企业SSID隐藏，只有员工通过AD域账户进行登录认证上网；访客SSID开放，企业访客通过手机短信认证或者一键登录认证进行上网；
4）基于AC针对不同的SSID设置不同的Portal认证页面URL参数，实现向员工和和访客推送不同的认证页面；
5）页面跳转
    当访客完成手机短信认证或者员工完成认证后，自动跳转至企业官网或其他指定网址，实现对企业品牌的宣传推广，增强品牌知名度；
6）多种认证方式
    除手机短信认证、AD域认证之外，蓝海卓越Portal系统还可以提供一键登录、OpenID以及微信等认证方式，为企业的无线认证提供更多方式选择；
7）上网策略分级
企业访客通过手机短信的方式认证上网，企业员工通过输入AD域账户的方式进行认证上网，两类用户分别采取不同的上网策略，可以在上网速度、上网时长等方面行进区分和限制；
8）用户管理
强大的用户管理功能，可以实现对手机短信认证用户的上传、下载速度以及在线时长等进行设置，实现对无线接入用户的速度、在线用户数、上网时长等管理；
9）支持访客扫码认证
 协助扫码：访客上网认证的最佳方式
采用访客与被访人一对一扫码的方式对来访人进行授权。适用于网络安全性要求高的企业临时性访客使用。当访客进入访问网络空间，需被访人扫描二维码并进行授权，然后访客才可以使用网络，这种一对一的访客准入形式使得入网访客有迹可循，也在最大程度上保证了网络准入的安全。
此认证方式优势：
1、一对一认证授权加强企业对访客及被访人的审计追溯；
2、仅允许用户在规定授权时间内使用。
 
10）支持二次开发
蓝海卓越Portal和Radius系统提供二次开发接口，可以方便的对接企业现有的各种系统和数据库，实现更多业务功能。