信锐无线Portal统一运营解决方案
一、市场背景
2015年，工信部公布移动互联网用户总数规模达9.05亿。

移动互联网的快速发展，无线需求旺盛，数据显示，WiFi上网接入占比持续扩大，接近七成，成为排名第一的上网方式。

目前主流的国内企业级无线厂商有华为、华三、锐捷、信锐，国外厂商思科、Aruba、Ruckus。

还有一些不知名厂商。

无线网络易扩展性的特点，使多期模式建设项目中存在多家厂商的无线网络设备。

技术实现方式的差异导致，部署无线后很难实现统一的认证接入、用户管理、数据采集等。

信锐无线控制器内置Portal服务器，可以实现所有厂商无线的统一认证，包括支持Portal2.0协议以及不支持Portal2.0协议，有AC的廋AP组网或者没有AC的胖AP。

二、解决方案
2.1整体解决方案
新建的无线网络与一期已上线的无线网络统一整合，部署信锐无线Portal统一运营平台，
对整个网络的用户上网进行统一认证，达到各网络切换无需重新认证、简单管理的效果。

信锐Portal运营平台还提供丰富的无线增值功能，包括多种认证方式、丰富的认证前广告推送、精准营销推送（可选定制），大数据分析（可选定制）等增值功能，为运营提供更多的利润点和决策支持。

信锐无线Portal统一运营解决方案网络架构如下图所示：
网络架构优势：信锐技术提供双机备份机制，通过部署2台控制器，实现整个无线网络的双机热备冗余，当主AC宕机后，备AC立即接替工作，减少单个设备故障带来的客户业务中断问题，提升了客户业务的可靠性，增加网络可靠性，避免单点故障，让无线网络更稳定。

2.2接入规则
Portal认证，是一种强制门户，强制用户在web页面上输入用户名密码校验后上网的一种认证形式。

Portal认证的核心为其使用的Portal协议，现今，大多数运营商通过Portal2.0协议与其Radius服务器对接，实现认证、计费的功能。

新建的无线网络与一期已上线的无线网络需统一SSID（无线网络名称），统一认证方式（web认证）。

2.3 Portal2.0对接
2.3.1技术实现
信锐AC Portal服务器采取旁路部署，信锐 AC做portal服务器统一认证，提供给支持CMCC portal2.0的客户端，比如锐捷、华为、H3C以及Aruba、cisco对接，将所有的用户认证工作交给portal服务器，让其他的控制器（客户端）的无线用户在接入上网认证时，访问信锐AC上的认证页面。

认证页面上可选认证方式：微信连WIFI认证、短信认证、账号认证，从而实现各个厂商的统一认证。

对接原理：信锐无线Portal统一运营平台使用Portal2.0协议，其本质就是为了实现统一认证效果。

统一认证实现原理是通过Portal2.0协议实现，其规定了终端与服务器之间交互信息的格式。

详细原理参考：中国移动WLAN业务portal协议规范
2.3.2对接效果
✧效果一（原生态Portal2.0）：在跨厂商的AP连接时需要二次认证。

由于不同厂商的Portal2.0协议稍有不同，通过Portal2.0协议本身对接是无法实现真正的认证漫游的，Portal客户端每次接收到用户的连接请求时都会将认证请求转发到Portal服务端，因此最终在跨厂商的AP连接时需要二次认证。

这类厂商典型代表：锐捷、思科、ARUBA
✧效果二（原生态Portal2.0+MAC地址免认证）：在跨厂商的AP连接时无需二次认证
为了进一步提高用户的上网体验，有些厂商在Portal2.0协议的基础上增加了MAC地址免认证功能，用户首次在Portal服务器上认证通过后，可以将MAC地址同步到其他Portal客户端（AC），厂商的AC接收记录用户的MAC地址并实现免认证，因此最终在跨厂商的AP连接时无需二次认证。

这类厂商典型代表：华为、华三、Ruckus
2.3.3配置展示
信锐无线portal统一运营平台目前支持四种服务器协议
2.4非Portal2.0对接
2.4.1局域网内技术实现：
对于不支持portal2.0的客户端，在网络中部署信锐无线控制器，原WLAN网络采用开放式OPEN认证，信锐AC部署在出口网络。

当用户预想上网时，信锐AC截取用户的上网流量并重定向认证页面给用户，即接受友商AP 的上网请求进行统一认证。

用户首次认证（微信、短信、账号）成功后，AC即通知用户上线，并记录该用户MAC地址，最终实现一次认证、永久有效的无感知认证。

信锐AC对于其他厂商的AP只起到统一认证作用，认证数据经过信锐AC(认证服务器)，但AP 仍然由原厂商的AC或者胖AP独立工作。

应注意，非信锐APWiFi覆盖区域.AC只能进行增加微信关注量，而无法进行微信推广，O2O增值营销功能。

有AC，但不支持Portal2.0协议没有AC，胖AP组网
2.4.2跨互联网技术实现：
上述讲述的是友商AP和信锐AC是同处于一个局域网内，那如果是跨互联网有如何实现远程的有线认证呢？
解决方案：我们可以通过IPSec VPN将友商的上网流量转发到总部信锐中心AC，实现有线认证，最终实现统一认证。

注意：总部必须额外部署一台IPSec网关，虽然信锐无线控制器也支持IPSec VPN功能，但是如果胖AP的IPSec直接与信锐无线控制器建立IPSec VPN隧道将无法实现有线认证。

2.4.3对接效果
实现一次认证、永久有效的无感知认证。

需要说明的是，此种方式的实现需要用户的上网流量经过信锐AC，因此对于AC设备的性能要求将提高。

2.4.4配置展示
2.5认证方式介绍
通过Portal2.0和非Portal2.0（有线侧）对接都可以实现微信认证、短信认证、账号认证该三种方式。

具体介绍如下：
2.5.1微信连WiFi
微信连Wi-Fi是解决传统商务Wi-Fi连接授权认证的一个方案，代替传统web认证需要用户输入用户名、密码等信息的过程，并在微信界面给予有安全性认证的Wi-Fi服务提供商一个信息展示广告位的入口，以充实其商业化价值。

微信连WIFI一键上网具有便捷、安全、营销能力强的优势功能
便捷--无需部署二维码，解决微信认证需要部署二维码的痛点，微信连wifi一键上网只需终端连上无线网络，点击portal页面的“微信连Wi-Fi上网”即可。

安全--只有通过腾讯认证的厂商提供微信连wifi功能才具有“正在使用扫一扫Wi-Fi”的标识，对于非法钓鱼WiFi以及其他WiFi，均不会显示该标识，可以有效的预防钓鱼WiFi，保
证无线网络的安全性。

采用微信连Wi-Fi，如果是用QQ、邮箱注册的微信号，在认证过程中，腾讯微信会检测是否绑定了手机号码（要求绑定手机号码），若用户未绑定手机号码，系统会提示用户需要绑定手机号码，否则认证不通过（这也是公安部对腾讯的要求），当用户认证上网后，我们会记录用户的微信openID、手机号码、手机MAC地址、IP地址、接入时间、访问时间等，满足审计要求。

营销能力强--信锐微信连Wi-Fi可获取用户微信号openID，实现在线广告推送、终端出现、首次接入、主动推送等微信认证的营销推送功能。

微信连Wi-Fi能够获取到用户的手机号码，若客户需要获取通
过微信连Wi-Fi接入无线终端的手机号码需要配置微信连Wi-Fi无
线网络的配置获取手机号码里的8个秘钥，并勾选获取手机号码，
当用户微信连WiFi认证通过后即可访客数据库查看到对应终端手
机号码（获取手机号码解密密钥需要通过企业营业执照自行向腾讯
申请或通过信锐技术向腾讯申请）。

2.5.2短信认证
短信认证是一种有增值意义的、直观快捷认证方式，可以帮助商家收集用户的手机号码，进行短信营销。

用户连接WiFi后，在短信认证界面里输入自己的手机号码，点击获取验证码，验证码会通过手机短信的形式发送到用户手机上，用户查看后并输入收到的短信验证码，点击登录即可上网。

信锐的短信认证相比于其他厂商的短信认证，具有一次认证，永久有效的特点，即只需首次接入时获取验证码，后续上网直接点击登录即可接入互联网，对于部署无线的客户来说，减少了短信支出费用；对于用户来说，提高了上网体验。

2.5.3账号认证
用户通过HTTP访问其他外网，被强制访问Portal认证页面输入用
户名和密码进行认证，只有认证通过后才可以使用互联网资源。

信锐
无线支持Portal认证页面自定义，根据自己的需求来制定Portal认
证页面，包括但不限于页面标题、logo、背景颜色、文字描述、广告图片等信息。