殷宇晶 中国电信天津公司网络运行维护部 天津 300385
张璐 中国电信天津公司网络监控维护中心 天津 300385
杨清 中国电信天津公司网络发展部 天津 300385
政企客户WiFi网络差异化部署方案
殷宇晶 中国电信天津公司网络运行维护部 天津 300385
张璐 中国电信天津公司网络监控维护中心 天津 300385
杨清 中国电信天津公司网络发展部 天津 300385
在政企客户市场产品同质化激烈竞争形势下,通过实施与客户需求、客户价值相匹配的差异化服务,提高客户满意度,提升中国电信政企客户服务的竞争力。本文探讨了利用中国电信WLAN无线宽带,通过PORTAL页面及认证方式的个性化定制等手段,向政企客户提供差异化WIFI无线网络组网方案,通过现网进行部署实施,为政企客户提供差异化服务。
WiFi 差异化
WLAN从最初的仅作为有线局域网的一种延伸逐渐转变为一种宽带无线接入手段,并正在对最终用户的发展产生着深远的影响。随着笔记本电脑和个人智能手机终端的普及,无线数据业务程爆发式增长,目前国内三大运营商均在争相大规模部署WIFI网络。WIFI网络部署以其实现快、成本低、带宽高、用户体验好等优势,成为抢占高端客户群、分流数据流量的重要手段。在此市场激烈的产品同质化竞争情况下,只有产品功能和服务的与众不同,显示出以人为本的特点,才能增强企业核心竞争力,促进企业可持续发展。
本文探讨了利用中国电信WLAN无线宽带,通过PORTAL页面及认证方式的个性化定制等手段,向政企客户提供差异化WIFI无线网络组网方案,为政企客户提供差异化服务。
2.1、中国电信无线宽带(WLAN)具有以下突出特点:
(1)无线互联。持续连接、移动办公,随时随地享受网上证券、视频点播、远程教育、远程医疗、视频会议、网络游戏等一系列宽带信息增值服务。
(2)高速接入。可提供最大54Mbps的共享带宽,充分满足客户对宽带业务的需求,非常适合高速上网和视频服务等宽带业务。
(3)安全可靠。利用ActiveX安全控件、数字证书加密、chap加密等先进技术保障用户账号及密码的安全。
(4)业务适用终端类型:带无线网卡(WIFI)的笔记本电脑、智能手机、IPAD等。
2.2、政企客户差异化需求
(1)随时随地上网服务。政企客户的内部员工和进入政企客户营业网点内的用户,在营业网点内都可享受中国电信提供的高速、稳定的互联网服务。
(2)接入用户可区分。对政企客户内部员工配置固定账号/密码,用于接入政企客户的WIFI网络;进入政企客户营业网点内的用户使用短信获取动态密码的方式接入客户体验WIFI网络。
(3)用户账号可管理。政企客户网络管理者可以自行管理系统的账号,对内部员工账号进行增加、修改和删除。
(4)登录页面可定制。根据政企客户的要求提供个性化的网页登录界面,同时,通过专属的页面管理系统,客户自己可以根据需要对页面的图片、文字和链接等信息进行修改。
(5)用户使用情况可统计。通过专属的统计系统可以对客户WIFI业务的使用情况进行统计,对使用的用户数量、上下线信息都能进行查询。
(6)用户使用时间可限制。通过对账号有效期时限的限制(可定制),减少非办理业务客户常时间滞留营业厅内上网的可能性。账号到期后,自动将用户强制下线。
(7)用户上网行为可追溯。当用户上网行为触犯国家法律法规的情况下,中国电信可根据用户使用的IP查询到用户的手机账号查找到当时使用用户。
(8)用户上网行为可审计。按照政企客户要求限制WLAN上网用户访问多条链接地址;对政企客户内部员工类的固定账号限制访问游戏,视频,图片等网站(如搜狐、网易等网站要求能打开浏览页面,但是不能打开网站中视频,图片的链接);禁止政企客户员工使用BT,电驴下载;对政企内部用户要求设置mac地址白名单,只有mac地址在白名单内的设备才可以进入用户验证流程,弹出登录界面,然后输入用户名密码登录;没有绑定mac地址的设备直接由审计设备屏蔽,不被允许访问网络。
图1 中国电信政企客户WLAN组网图
(1)上图中瘦AP主要实现802.11无线MAC层协议,AC实现对瘦AP的集中管理和无线资源控制功能,BAS实现用户接入和业务控制功能。
(2)AC以DHCP方式给所关联AP分配私网IP地址,AP和AC之间建立数据隧道,用户数据经由该隧道到达AC,再经过AC进行集中转发。
(3)每个AP下根据用户不同需求设置多个SSID,其中有电信标准WIFI业务SSID(ChinaNet),满足政企客户内部员工上网的SSID(CEB_NEI),以及为进入政企客户营业网点内的用户使用的SSID(CEB_WAI)。
(4)用户通过DHCP+WEB认证方式,用户终端可以先选择WLAN热点不同SSID进行连接。用户浏览网页时,BRAS触发重定向,将用户访问重定向到Portal服务器上,给用户推送指定的Portal页面。
(5)CEB_NEI是对政企客户内部员工开放的网络,对其Portal页面上,用户要输入用户名和密码,认证成功后才可以正常访问网络。
(6)CEB_WAI是对进入政企客户营业网点内的用户开放的网络,用户需填写手机号码,并通过短信的方式获取密码,认证成功后才可以正常访问网络。
(7)Portal系统作为用户直接看到的页面,将为用户提供各种提示信息,比如手机号输入框、密码输入框、获取密码按钮、使用说明以及其他一些必要信息。对于用户输入的信息和指令,Portal将传递给BRAS并进行后续的认证过程。
(8)AAA系统主要负责用户的接入认证、授权和计费。WLAN接入用户主要在AAA系统进行管理,比如临时账号开户、账号有效时间管理、用户授权和计费等。
(9)行业网关主要负责用户密码的下发。其接入电信短信中心及互通网关,进行本网短信和异网短信的密码发送。
由于AC在本地网集中部署,AP和AC之间的数据隧道可能会经过两个BAS以及城域网出口路由器之间的转发,用户数据在两个BAS之间穿越了城域网VPN。图2所示为用户数据报文、隧道报文、VPN报文在AP、AC、BAS之间的转发示意图。
图2 中国电信WLAN网络中用户流量转发流程
4.1、接入WLAN网络的认证流程
在无线终端发起上网认证请求之前,AP和AC之间的就已经建立起了数据隧道,该隧道对用户完全透明,不需要用户的任何参与,因此下面主要分析用户接入WLAN网络的认证流程。
图3 WLAN PORTAL上网流程
(1)用户通过无线信号连接WLAN网络,分配IP地址后登录任意网址,由BRAS设备触发重定向,将用户的访问请求重定向到Portal服务器上。
(2)用户在Portal认证页面上填入手机号,并点击获取密码按钮。
(3)Portal将用户的手机号转换为内部临时帐号,并生成对应的随机密码。
(4)Portal将该内部临时帐号对应的随机密码提交到AAA服务器。
(5)Portal调用行行业网关接口发送用户密码。
(6)行业网关将临时账号的密码通过短信发送给用户手机。
(7)用户在Portal页面中输入手机号和短信获取的密码,点击登录。
(8)Portal将该手机号对应的临时帐号和密码提交给BRAS。
(9)BRAS设备向AAA系统发起认证。
(10)AAA认证成功后,向BRAS返回响应消息,并携带用户授权属性。
(11)BRAS将认证结果返回给Portal。
(12)Portal将认证结果展现给用户。
(13)用户可以正常访问网络。考虑到实际需求,用户通过本WLAN上网的时长有限制,时间可在Portal服务器上进行配置。
4.2、网元配置
以上认证过程涉及到多个网元,现就关键网元的配置关键点予以说明。
4.2.1、无线接入设备AP/AC
考虑到对业务的可控制性,采取集中式转发AC。AP的管理采用每热点每VLAN的方式,AP的管理通过DHCP(OPTION 43)进行下发AP管理地址和AC 的IP地址。AP通过VPN自动到AC注册,获得AC下发的配置(业务VLAN,及无线侧参数等),这时AP和AC建立起业务隧道,业务流到达AC。
◎ AC上配置AP名称与热点名称简写对应
◎ AP上配置了3个无线服务SSID,分别为ChinaNet,ceb_nei,ceb_wai,同时每个AP独立使用不同的内层VLAN区分三种业务。
◎ AC上配置了QINQ内外层vlan转换关系,对应规划的不同业务外层VLAN。
◎ AC系统trunk各热点外层VLAN到城域网BAS设备。
4.2.2、接入交换机和BAS的配置
将网关配置在接入交换机,同时启用DHCP功能,利用DHCP里OPTION43属性定义AC管理地址。
BAS配置部分主要包括新建认证前域和portal url进行绑定,并在与AC互连的接口里建立子接口,由于分为三个portal页面,所以每个网点需要配置三个子接口,规划不同的内外层vlan,与不同的域进行对应。
4.2.3、PORTAL配置
根据政企客户个性化需求,为政企客户量身定做wifi系统登陆界面。在登陆界面可展示政企客户自身标识及业务宣传图片,使其接入用户进一步了解企业特色,以增强用户对企业的品牌认同感。PORTAL系统支持以下功能:
◎ 支持用户认证门户功能;
◎ 支持页面管理功能,支持WLAN Portal界面修改功能
◎ 支持页面可定制化,实现用户自助添加修改页面内容。
◎ 支持主流终端(笔记本、手机、pad等等)页面适配功能。
◎ 支持用户的认证前、认证后、下线后三个web页面的管理功能,支持窗口的弹出。
(1)政企客户内部员工使用界面
此界面针对政企客户内部员工使用,采取固定用户名和密码方式。在登陆界面可展示政企客户自身标识及业务宣传图片,用户名、密码输入窗口,不对一般用户开放。
(2)进入政企客户营业网点内的用户使用界面
用户在界面中输入用户的手机号码(不区分电信/移动/联通),点击“获取密码”按钮。
可根据用户需求,设置黑名单。将政企客户内部员工手机号码列入黑名单,禁止其短信获取密码,黑名单初期由后台一次批量导入,后期交由政企客户管理员实现自维护。
4.2.4、AAA系统配置
由AAA认证系统对用户名和密码进行认证,政企客户管理员可登录AAA专属页面,对其用户进行动态管理。
◎ 支持认证用户的开户、修改、销户;
◎ 统计用户上下线信息,生成相应报表以便查询定位用户,实现用户上网信息追踪;
◎ 支持标准RADIUS和IETF扩展RADIUS协议
◎ 支持实时认证和鉴权,可实时检查是否有重复登录。
◎ 支持对用户的有效期和用户账号状态做认证检查。
◎ 根据不同厂商的BRAS需要,配置RADIUS属性字典。
◎ 支持设置多种带宽策略。
◎ 支持与不同BRAS设备对接。
◎ 支持分配IP地址池名称和IP地址,支持IP地址的静态和动态分配。
◎ 支持对用户接入的限制,可基于时间段或者累计流量限制用户的接入,支持通过MAC地址或者手机号进行用户接入限制。
◎ 支持用户黑名单,对黑名单帐号禁止认证。
◎ 支持强制断网功能,对超过上网时长的用户,通过Radius消息向AC发送强制下线消息。
◎ 支持上网用户信息记录功能,话单保存期至少6个月。
◎ 支持静态秘密认证、动态随机码认证。
◎ 支持唯N性认证功能
4.2.5、行业网关配置
◎ 实现短信接入要求;
◎ 支持黑白名单控制和内容过滤,可以限制特定用户的短信收发功能,可对短信内容进行过滤;
◎ 支持发送号码转换功能;
◎ 支持异网长短信发送。
4.2.6、安全审计设备配置
在AC设备于BAS设备链路中,串行接入安全审计设备,由AC根据不同VLAN区分不同业务,将访问CEB_ NEI和CEB_WAI的用户流量通过安全审计设备,再接入BAS。以实现政企客户以下安全审计要求:
◎ 限制WLAN上网用户访问多条链接地址
◎ 对政企客户内部员工类的固定账号限制访问游戏,视频,图片等网站(如搜狐、网易等网站要求能打开浏览页面,但是不能打开网站中视频,图片的链接);
◎ 禁止政企客户员工使用BT,电驴下载;
◎ 对政企内部用户要求设置mac地址白名单,只有mac地址在白名单内的设备才可以进入用户验证流程,弹出登录界面,然后输入用户名密码登录;没有绑定mac地址的设备直接由审计设备屏蔽,不被允许访问网络。
4.3、为用户提供模块化订购方案
为实现政企客户WIFI网络差异化的快速部署,便于前端同用户明确需求,后端快速实施,将以上业务按模块化予以明确。
模块一:用户手机号为账号,短信获取随机密码方式
用户需填写手机号码(支持电信、移动和联调手机用户),并通过短信的方式获取随机密码,认证成功后才可以正常访问网络。
模块二:固定用户名/密码上网方式
Portal页面上,用户要输入用户名和密码,认证成功后才可以正常访问网络。
模块三:中国电信无线宽带业务(ChinaNet)
考虑到政客客户的营业网点多,人口流动大的特点,在为政企客户提供个性化业务的同时,保留中国电信无线宽带自有业务的推广。
模块四:安全审计模块(安全审计设备为独立设备)
前端客户经理在与用户接洽时,挖掘客户需求并提供业务咨询,以模块一+模块三方式为主,后端维护人员按照时间要求,完成各个网元侧的配置工作。
天津电信利用全市的一网多域的方式,满足政企客户的内部员工及用户在营业厅内任何位置都可稳定的享受天津电信提供的互联网业务的同时,还提供便捷的用户账号管理手段,通过定制专用的登录页面,企业WIFI业务统计等一系列功能,满足了客户个性化的需求,为政企客户提供差异化优质服务。
目前天津已通过此方式,为多家银行等大型政企客户提供接入差异化WIFI无线网络服务,并获得此类政企用户的满意。
课题组从现网情况入手,介绍为政企客户提供差异化WIFI无线网络组网方案。随着中国电信WLAN网络的迅猛发展,如何在现网基础上提升WIFI产品的附加值,增加产品的竞争力,满足用户不断增长的个性化需求是需要持续关注的问题。
[1] 中国电信WLAN全国漫游BRAS、Radius Server、Portal技术规范_v2.0
[2] 中国电信WLAN网络优化指导书(征求意见稿)
1009-0940(2014)-2-0022-05
2014-4-23