乐天百货WIFI覆盖解决方案

乐天百货无线W I F I覆盖解决方案

中国联合网络通信有限公司成都市分公司

2013年2月

目录

一、概述 (2)

1．乐天百货简介..................................................................................................................................... - 2 -

2.应用背景................................................................................................................................................. - 3 -

二、需求分析 (3)

三、设计要求 (4)

四、解决方案及实现 (4)

1. AP接入方式 ......................................................................................................................................... - 4 -

2.接入认证系统........................................................................................................................................ - 5 -

3. AC部署位置......................................................................................................................................... - 5 -

4.顾客获取上网帐号方式 ...................................................................................................................... - 5 -

5.溯源方案................................................................................................................................................. - 5 -

6.用户地址分配........................................................................................................................................ - 6 -

7.提供第三方系统集成接口.................................................................................................................. - 6 -

8.业务整体流程........................................................................................................................................ - 6 -

五、设计组网方案特点 (6)

1.实用、方便的统一管理系统 ............................................................................................................. - 6 -

2.有线无线一体化接入方案.................................................................................................................. - 7 -

4.无线组网可靠性方案特点.................................................................................................................. - 7 -

5.无线组网安全管理方案特点 ............................................................................................................. - 9 -

六、系统设计 (11)

1.系统组网图 .......................................................................................................................................... - 11 -

2.系统智能管理平台............................................................................................................................. - 11 -

3.系统安全管理......................................................................................................................................- 13 -

七、使用产品 (15)

1.无线控制器（AC）............................................................................................................................- 15 -

2. AP ..........................................................................................................................................................- 15 -

八、服务保障和承诺 (18)

1、中国联通公司成都市分公司服务理念 ......................................................................................- 18 -

2、维护手段、措施及承诺.................................................................................................................- 18 -

3、售后技术承诺...................................................................................................................................- 19 -

4、对提供的设备实行三包服务........................................................................................................- 19 -

一、概述

1．乐天百货简介

成都店位于天府大道中轴线上的地标性建筑——新世纪环球购物中心，总面

积逾7.8万平方米，计划2013年8月开业。作为中国旗舰店，成都乐天定位中高端，除设置国际名品、流行服饰、进口食品、家庭用品等商品卖场外，还将为顾客特别设立文化历史馆、乐天文化会所、娱乐中心、艺术画廊、Show-room 等，为顾客打造一个集艺术品鉴、文化沙龙于一体的中韩文化交流空间，为成都市民带来更时尚、更精致、更具特色的高品位生活。

2.应用背景

顾客是商场收益的主要来源。为吸引顾客，着实提高人性化便捷服务和整体满意度，乐天百货向顾客提供WiFi无线上网服务，让顾客在购物的同时享受此项互联网服务，提升顾客对乐天百货整体服务的认知度。

乐天百货为顾客提供的无线WIFI上网服务需满足顾客使用PDA、智能终端等现有移动设备高速上网的同时，还必须做到上网日志的储存与记录，通过IP 溯源机制，回溯到用户的账号和个人身份。

顾客在上网时候需要使用电脑或者手机在登陆跳转后的页面输入用户名和密码进行认证后上网，与使用chinaunicom接入上网登陆认证情况类似。

二、需求分析

乐天百货计划建设5台POE交换机，30个AP；

顾客上网帐号向商场管理方获取；

系统能提供月报，主要是数量、流量等相关数据统计；

系统能够实现对用户的溯源功能；

顾客登录提供个性化portal 页面；

网络提供有黑名单和白名单功能；

无线网络环境满足公安部令第82号《互联网安全保护技术措施规定》的相关要求。

三、设计要求

个性化Portal展示

用户接入认证方式采用PORTAL；需提供个性化PORTAL服务。银行的用户在银行网点使用无线网络环境时，终端用户通过CHINA UNICOM-BANK（顾客自定义）访问WiFi网络，Portal支持推送各银行顾客定制的WEB页面（页面为统一模版，预留银行自定义空间用于提示上网政策及银行新业务宣传推广）。

运营管理平台

需支持分层级管理功能。提供顾客运营管理界面，供顾客自行操作生成账号，并预留与排队机进行耦合开发的接口，以便后期顾客开发后通过排队领号时领取口令。账号需设置最长有效时间、下线超时失效时间，且不能设置密码错误次数保护。

网络安全隔离

网点无线网络环境必须和银行内部网络严格物理隔离，严禁将银行内部网络通过连接无线设备的方式建设无线上网环境。

严禁银行内网设备使用该无线网络环境访问互联网。

IP溯源

根据国家对互联网信息安全的管理要求，需要提供IP溯源机制，可以根据用户上网的记录回溯到用户的帐号和个人身份。

内容审计

需提供用户上网内容审计功能，查询用户外网访问服务记录，为惩治不法网络行为提供证据。

四、解决方案及实现

利用AP接入+AC(管理)+认证系统(AAA日志直接存在网管服务器即可)，实现整个WIFI安全认证接入并记录日志，确保满足顾客需求。

1. AP接入方式

WLAN业务接入方式根据现网组网情况不同有两种：一种是通过汇聚交换机

直接下挂POE交换机实现，在汇聚交换机和POE交换机直接通过一对光纤收发器实现互联，POE交换再机连接瘦AP；另外一种是通过PON网络实现，PON的ONU 下挂POE交换机，通过POE交换机再直接接瘦AP。瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行，设备的图形化管理，可以通过网管平台来实现。这样可以简化整个网络的管理，提高设备的工作效率。AP的供电采用以太网供电（Power Over Ethernet，PoE），通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。

AP的管理地址需要由BRAS分配，同时要求BRAS需要支持OPTION43属性，AP从PTION43属性中获取AC的IP地址，向AC注册。

2.接入认证系统

接入认证系统建议采用智能管理中心，通过该系统用以实现对用户DHCP地址分配、WEB Portal接入认证、计时访问、用户溯源审计等功能。智能管理中心位于网络中BRAS路由可达的网络位置，托管在IDC机房即可。

3.AC部署位置

由于营业厅网点较多，且分散在成都市区的各个角落，AC要作为全网用户的认证点，并且实现所有上网用户的集中数据转发，建议旁挂于CR。

4.顾客获取上网帐号方式

顾客有上网需求时，通过在WEB Portal上进行手机注册，注册成功后，将以短信的形式获取上网帐号密码，该帐号在2小时后自动失效；交给顾客的用户名及密码若在10分钟（具体时间可根据实际情况设定）内未使用，将自动失效。

5.溯源方案

由认证系统配合日志服务器存储用户的所有上网记录，保持时限为1年。通过IP溯源可确定用户的账号信息与个人身份。

6.用户地址分配

终端用户的地址由AC统一分配，地址池配置在AC上。

7.提供第三方系统集成接口

可提供三方接口进行开户、交费等业务操作，实现与一卡通等系统集成；

（自动开户功能）

支持标准LDAP接口，与其他系统集成，实现用户认证信息共享；

统一802.1X与Windows域登录，与Windows活动目录服务集成认证。8.业务整体流程

顾客有上网需求

顾客向商场管理人员获取相关账号及密码

顾客在乐天百货商场搜寻到商场的WIFI信号进行连接

顾客打开任意网页，弹出portal页面。

顾客在网页内输入给定的帐号域名及密码

AC集中进行认证

AAA认证通过，用户可以正常上网。

五、设计组网方案特点

1.实用、方便的统一管理系统

为了保障今后网络维护、管理的简便性、实用性，在本次网络构建方案中从设备的选择到网管系统的选用上都进行考虑。

本次配置的智能管理中心，通过图形化界面可以实现设备管理、拓扑管理、故障管理以及集群管理、日志管理。为网络管理员提供方便的管理手段。

除提供传统的网络设备的管理之外，中心也真正实现了对用户、对业务的全方位统一管理。大大简便了网络管理人员的工作量，可以直观的在网络拓扑系统

上了解用户的行为。

2.有线无线一体化接入方案

有线无线一体化接入方案为无线控制器加Fit AP最典型的应用，无线控制器插卡作为无线数据控制转发的中心，无缝融合部署在核心交换机上，无线接入点则放到办公楼走廊或者会议室等场所， Fit AP和无线控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），结合以太网交换机的接入功能，这样就非常容易部署企业级有线无线一体化接入方案。从用户管理的角度出发，配合联通公司的智能管理中心，可以做到有线设备和无线设备统一网管、有线用户和无线用户统一认证平台，从而真正实现有线无线一体化。

4.无线组网可靠性方案特点

FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。

使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。

在AP的接入方面，联通拥有智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，联通只能射频管理系统可以定位出该AP的位置，以便及时加以排除。

FIT AP自动射频调整功能示意图（可用Visio打开）

无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现AP 的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。如图所示。

联通WLAN智能负载分担

联通公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。

联通WLAN智能负载分担

联通 FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设备发起攻击，使该第三方设备无法连接上相应的用户。

联通无线入侵检测示意图

5.无线组网安全管理方案特点

基于标准的SNMP协议实现对设备的管理，管理中心专门的无线局域网管理软件WSM组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。无线控制器可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级

告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WSM可以实现配置管理整个WLAN无线网络，其具备以下特点：

1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到无线控制器上，获得DHCP SERVER 分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。

2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。

3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。无线控制器与AP之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到S75实现注册。

4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，无线控制器会自动调大相邻AP的功率弥补信号盲区。

5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN 网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。

6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。。

7、安全管理：提供入侵检测功能，专用 AP 可以不断地扫描空域，以便对

要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP 将上报相应的告警给无线控制器，并通过网管软件显示。

六、系统设计

1.系统组网图

本项目在乐天百货成都店实施，每层楼计划部署一台POE交换机，6个AP，共计5楼，30AP实现对乐天百货成都店公共区域，如休息区、小孩娱乐区的全覆盖，共享现有大网AC及认证平台。项目组网如下所示：

2.系统智能管理平台

系统的AP/AC以及POE交换机可以通过图形化网管进行统一管理。

●对于网管帐号的三级管理模式，我们为其提供了分级权限管理功能：系统管

理员可以通过管理系统对管理人员进行权限分配，管理中心管理员可以查看所有权限；各二级管理点只能对其所辖区域设备进行管理。

●远程管理方式：可通过telnet，ssh等方式进行设备管理。设备管理：实现

对所有前端设备的管理，包括设备绑定、操作日志查询、设备状态等。

智能管理平台的作用

智能管理中心解决方案架构如下图所示：

业

务

流业

务

组

件平台框

架

按需装配

组件化平台化

系统管理平台架构

由上图可以看出管理系统由智能管理平台以及各个业务组件组成，管理平台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性

3.系统安全管理

系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。

登录安全策略分组分级权限管理

记录所有操作

实时监控在线操作员

定

期

修

改

密

码

所包含的主要功能有：

操作员登录管理

管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。

操作员密码管理

管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问系统的安全性。

分组分级权限管理

管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。

操作日志管理

对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询

条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。

操作员在线监控和管理

系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。

七、使用产品

1.无线控制器（AC）

无线控制器具有大容量、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS 控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。无线控制器配合Fit AP产品系列，可以满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。

2. AP

AP是联通选择的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。

产品特点：

实现智能云接入和最佳无线网络TCO

AP遵从802.11n协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入速度，是相同环境下802.11a/b/g产品的6倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密度、

运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。

绿色低碳设计

AP采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。

AP支持Green AP模式，实现单天线待机，节能更精准。

AP通过创新性的逐包功率控制(PPC)技术，在确保报文能成功传输的前提下动态调节AP设备和顾客端直接的双向功率，以达到减少设备能耗和延长移动终端待机时间的作用。

提供千兆以太网接口有线连接

上行链路采用千兆以太网接口，突破了传统百兆速率的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。

支持Fat/Fit两种模式

AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat 和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。

工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将顾客的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。

提供本地转发功能

当AP (Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。

支持IPv4/IPv6双协议栈(Native IPv6)

AP全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6，都可以自动地与WX系列控制器进行注册提供WLAN服务，不会成为网络中的信息孤岛。

支持RealTime Spectrum Guard(实时频谱保护)模式

针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。

提供EAD无线接入

终端准入控制(EAD，End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线顾客端进行下线、隔离、提醒或监控等多种方式的处理，只有无线顾客端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。

支持远程探针分析

AP支持作为远程探针分析的Sensor设备，可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备，供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。

内置射频优化引擎(ROE)

AP内置射频优化引擎(RF Optimizing Engine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。

支持智能负载均衡

AP支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户

的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。

全面支持智能型有线无线一体化管理

WSM是下一代业务软件平台的基础上开发的无线运营管理组件，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足顾客网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。

八、服务保障和承诺

1、中国联通公司成都市分公司服务理念

◆实现顾客满意：

以顾客为中心，强化服务意识与技能，以优质服务切实保障网络运行质量来赢得顾客满意。

◆追求服务领先：

不断完善服务内容，最求服务的专业化、标准化、多元化，注重主动服务与个性化服务，塑造优质服务品牌。

◆促进持久双赢：

关注网络的整体效能，不断提升对网络的完整支撑和持久保证，借助多方位的维护合作，促进与合作伙伴的双赢发展。

2、维护手段、措施及承诺

中国联通公司成都市分公司拥有一支优秀而经验丰富的维护队伍，从事网络维护的工程师都具有5年以上的电信数据网维护经验，能够胜任复杂网络故障的处理。

我公司为用户设立了10016顾客投诉及故障申告热线，每周7天、每天24小时接收和受理使用我公司业务服务的用户及合作伙伴的意见和投诉，并建立用

户投诉处理跟踪流程。

在工程结束后，我公司负责提供详细的网络参数，包括网络组织情况、验收报告、电路使用情况等。

3、售后技术承诺

中国联通公司成都市分公司将按照《电信条例》和《电信网络维护规程》的相关标准为网络提供维护服务，确保网络畅通，满足贵公司对通信的需求中国联通公司成都市分公司将通过网管对网络及设备进行24小时日常监控及故障处理，并设立24小时技术支持值班电话66001188/66001189 中国联通公司成都市分公司维护部门将为贵公司建立专门的大顾客网络运行档案库，作好完整的网络技术资料、运行记录、故障处理记录、系统扩容升级记录等档案资料的记录

中国联通公司成都市分公司将针对网络制定故障应急抢修预案，以保证故障的及时修复。

4、对提供的设备实行三包服务

包修

保修期内公司为顾客免费维修和更换属产品质量原因损坏的零部件。保修期外，不管是人为因素还是自然损坏造成的零部件损坏，公司进行零部件更换或维修时，只收取成本费。设备维修时，请提供产品保修卡。

包换

自购机之日起90日内（含），产品出现不符合“产品说明书”以及国家相关质量检测标准的性能故障时，用户有权利选择更换或维修。如果选择更换，将免费更换同型号同规格的新产品；如果同型号同规格的产品已经停产，应当更换不低于原产品性能的新产品。

包退

自购机之日（以购机原始凭证上的日期为准，下同）起7日内（含），产品出现不符合“产品说明书”以及国家相关质量检测标准的性能故障时，用户有权选择退货、更换或维修。

保修期限