WLAN组网及合作运营.ppt

《WLAN组网及合作运营.ppt》由会员分享，可在线阅读，更多相关《WLAN组网及合作运营.ppt（32页珍藏版）》请在三一办公上搜索。

1、1,WLAN组网模式,2,目 录,。,WLAN 组网,。,。,。,WLAN组网二层组网,为了更好的理解WLAN组网中瘦AP的部署，我们从瘦AP的工作原理的来介绍二层组网以及三层组网。瘦AP在二层组网中从启动到正常运行的步骤如下:第一步.AP从AC或者DHCP Server那里获得一个IP地址。在二层组网方式中，AP的DHCP请求以广播方式通过管理VLAN直接发送至AC的LAN口。第二步.AP获取到合法IP地址后，将主动与AC建立关联。第三步.AP在与AC建立关联之后，就会从AC处获取WLAN配置模板，并根据AC上预置的策略进行包括版本更新、工作模式、安全策略等在内的各项工作。第四步.隧道的建立

2、。当以上三个步骤完成之后，瘦AP与无线控制器之间会建立起两条隧道，分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁的时候，用来传输控制报文的隧道也不能用来传递数据报文。,路由器,运营商 AAA Server,交换机,Internet,交换机,二层VLAN透传,无线交换机,交换机,管理VLAN数据流,WLAN组网二层组网,WLAN组网二层组网,WLAN 二层组网要求 AC核心侧 到 AP热点侧间有光纤链路可达二层组网优点采用GPON组网，可以保证AC AP之间高带宽无瓶颈专网专用，AC AP间纯二层链

3、路故障点少，易于故障排查。二层组网注意事项热点必须光纤到位，前期准备工作量大，新增设备多。无光纤热点无法实现WLAN快速建设，无法有效利用现有设备及资源。二层网络以VLAN分割热点，对VLAN的需求及规划要求较高。配置变更涉及核心网及接入网所有设备，操作复杂。存在二层网络广播风暴的风险,WLAN组网三层组网,瘦AP在三层组网中从启动到正常运行的步骤如下:第一步.AP从AC或者DHCP Server那里获得一个IP地址。在二层组网方式中，AP的DHCP请求以广播方式通过本地管理VLAN直接发送至本地三层设备网关。第二步.本地三层设备根据预先配置的DHCPrelay设置，将AP的DHCP请求发往A

4、C的LAN口，并作为中转设备完成整个DHCP交互过程，且AC需要配置其DHCP的option43字段。第三步.AP获取到合法IP地址后，根据AC配置的DHCP option43字段中指定的IP地址，主动发起于AC的关联请求。第四步.AP在与AC建立关联之后，就会从AC处获取WLAN配置模板，并根据AC上预置的策略进行包括版本更新、工作模式、安全策略等在内的各项工作。第五步.完成隧道的建立。,路由器,运营商 AAA Server,三层交换机,Internet,三层交换机,无线交换机,三层交换机,管理VLAN数据流,WLAN组网三层组网,路由器,城域网,WLAN 三层组网,WLAN 三层组网要求

5、AC核心侧 到 AP热点侧间路由可达三层组网优点可利用现有城域网设备快速组网，新增设备少。网络架构灵活，配置变更简单，可扩展性高。对VLAN 资源的需求及规划简单，热点VLAN可重复利用。三层组网缺点热点三层出口带宽难以保证，容易成为网络瓶颈。三层路由数据转发方式的转发效率不如二层数据转发高。共用城域网设备，ACAP之间的链路复杂，故障点多，排查故障难度较大。,9,目 录,WLAN数据转发方式,WLAN 组网,。,。,。,数据平面报文分类,数据平面：802.11报文分类A类报文，802.11时间敏感性报文，全部无线控制帧和部分无线管理帧（beacon和probe）*Beacons*Probes

6、*RTS,CTS,ACK,PS-POLL,CF-POLL,CF-ENDCF-ACK，BlockAckReq，BlockAckA类报文终结点一般在AP上（Remote MAC除外）B类报文，802.11非时间敏感报文，部分无线管理帧（除beacon和probe外）和WAPI报文*Association/Reassociation/Disassociation*Authentication/Deauthentication*Key Management*IEEE 802.11 Link Security(WEP,TKIP,IEEE 802.11i)*WAPI报文：接入鉴别，证书鉴别，单播密钥协商，

7、组播密钥协商B类报文终结点，对Split MAC一般在AC上，对Local MAC可能在AP或AC上；推荐在AC上处理，更有利于集中管理C类报文，802.11数据报文与控制帧和管理帧不同，数据帧的目的地不一定是AP，所以需要实现802.3与802.11之间的桥接802.11帧是否终结，看802.11帧头是否剥离,业务平面基本无线业务,基本无线业务A类业务：802.11MAC基本功能802.11分发：包括Radio级的本地转发，设备间的隧道分发802.11桥接：剥离802.11头，加802.3头Beacon、Probe：beacon生成、发送；ProbeRequest终结；ProbeRespon

8、se生成、发送802.11报文缓冲：802.11数据帧的接收、发送缓冲802.11分片、重组802.11关联：AssociationRequest、ReassociationRequest终结；AssociationResponse生成、发送；802.11鉴别：Authentication终结；Deauthentication生成、发送；WAPI鉴别：“鉴别激活”生成、发送；“接入鉴别请求”终结；“证书鉴别请求”生成、发送；“证书鉴别回应”终结；“接入鉴别回应”生成、发送；802.11WMM：（1）WMM流分类：（2）WMM调度：（3）WMM队列：802.11EAP：802.1X及EAP处理8

9、02.11KEY管理：802.11数据帧加解密：,Split MAC对802.11 MAC非实时功能的拆分主要是指以上功能,业务平面高级业务,高级无线业务B类业务：分析802.11报文头即可，无需解密即可完成的功能。无线IDS：基于无线管理帧协议分析，完成无线攻击监测接入控制：（1）黑白名单流分离：（1）基于BSSID转发（分布式转发、集中式Capwap转发、集中式IPIP转发）其它高级业务C类业务：需要解密后，分析报文内容才能完成的功能802.3层次业务：传统有线IP层以上业务：隧道业务Capwap控制隧道Capwap数据隧道IPIP隧道,Internet,LAN,分布式转发（本地转发）,R

10、outer-A,Router-B,Router-C,AC,Capwap控制,本地数据转发,名词约定：分布式转发、本地转发、Local Forwarding、Local Bridge,AP1,AP2,分布式转发（本地转发）,Station,AP,AC,Router,A类报文,（A类报文统计）capwap,C类报文（802.11）,加解密,加解密,80211802.3,802.3 转发,C类业务,A类业务,B类报文,（B类报文）capwap,C类业务,B类业务,京信本地转发方案,优点：减轻AC性能压力，AC可以管理更多的AP，能够支持全局性的B类业务缺点：大量AP需要网络规划支持；无法支持语音漫游

11、AP性能要求：高AC性能要求：低,Internet,LAN,集中式转发,Router-A,Router-C,Router-B,AC,Capwap控制,Capwap转发,AC,GRE转发,CPU加、解封装,芯片加、解封装,名词约定：统称集中式转发，分为Capwap转发、GRE转发两种模式,集中式转发（IPIP隧道）,Station,AP,AC,Router,A类报文,（A类报文统计）capwap,B类报文,（B类报文）capwap,B类业务,京信IPIP集中转发方案,优点：对原有网络影响小，只需要对AC进行网络规划；AC压力小缺点：无法支持全局性的IP高级业务AP性能要求：高AC性能要求：低,C

12、类报文（802.11）,加解密,加解密,80211802.3,（802.3）IPIP传输,C类业务,A类业务,C类业务,802.3硬件转发,集中转发，AP加解密,Station,AP,AC,Router,A类报文,（A类报文统计）capwap,B类报文,（B类报文）capwap,B类业务,京信Capwap集中转发AP加解密方案,优点：对原有网络影响小，只需要对AC进行网络规划；支持漫游缺点：对AC要求高AP性能要求：高AC性能要求：高,C类报文（802.11）,加解密,加解密,（802.11）Capwap传输,A类业务,C类业务,802.3转发,80211802.3,C类业务,A类业务,集中转

13、发，AC加解密,Station,AP,AC,Router,A类报文,（A类报文统计）capwap,B类报文,（B类报文）capwap,B类业务,京信Capwap集中转发AC加解密方案,优点：对原有网络影响小，只需要对AC进行网络规划；支持漫游缺点：对AC要求极高AP性能要求：低AC性能要求：极高，可采用硬件加解密引擎（支持WAPI）,C类报文（802.11）,加解密,加解密,（802.11）Capwap传输,A类业务,802.3转发,80211802.3,C类业务,A类业务,AC与城域网的融合,核心网,核心网,核心网,Page 20,建网模型比较与建议,21,目 录,。,联合运营与共建共享,。

14、,。,。,联合运营模式需求分析各运营商建立了WLAN商用网络后，为了能够面对多种运营合作模式和行业市场，方便试点各种营运策略，获取运营经验，主要以移动为例，目前普遍采用以下几种合作运营模式，同时利用在2G用户的优势，采用手机号码作为WLAN帐号捆绑的销售方式，可以互相促进，取得了不错的开局。1、与大型网络宽带用户合作，例如高校、职中等对网络需求大的用户整体合作，获得大量最终用户；2、与跨地区企业合作，例如与星巴克、酒店集团等合作。中国当前在校大学生数量超过2500万，位居世界第一位，他们是中国最独特的细分群体，当前移动3G业务主要以移动宽带接入为主，而学校“热点”的覆盖中，用户的接入会更密集，

15、而且对移动宽带的访问具有连续性和周期性，这就需要无线接入设备具备提供大容量、高速率的数据接入能力，而这恰恰是当前3G技术的弱点，基于3G技术的移动宽带接入，现阶段无法满足学生用户的特性需求。而以802.11为基础的WLAN技术，作为固定宽带的延伸和3G接入的有效补充，可以在学校提供灵活的移动宽带接入。WLAN具有低成本、高带宽的接入优势，当前的802.11n，支持实现超过300Mbps的真正高速接入，这是3G技术现阶段无法比拟的。,联合运营建设与运营模式分析 对于运营商与学校的合作建设无线校园网，目前一般都采用运营商投资WLAN相关设备建设无线校园网，并且将基于WLAN的宽带接入收入与学校按比

16、例进行分成的运营模式。该模式下，运营商提供自己的出口只为基于WLAN的移动宽带接入业务服务。同时，在学校部署的WLAN网络属于校园网的一部分，从学校部署“无线校园”的初衷考虑，实现WLAN网络与原有的LAN校园网互通，比如学生只可以通过移动CMNET访问互联网，教师可以通过WLAN访问公网，有效保护运营商投资方的利益。在网络建设上，基于WLAN的移动宽带接入网络采用独立部署的方式，WLAN设备采用独立的接入交换机、汇聚交换机及核心交换机和出口设备，WLAN设备与学校现有的LAN校园网设备连接互通，因为WLAN相关设备的所有权归属运营商，所以这样部署的目的是实现网络管理的分离，WLAN由运营商维

17、护管理，而学校还只是负责原LAN校园网的维护。采用WLAN网络与原有LAN校园网互通的建设方式，既满足了运营商的需求，又帮助学校实现了“无线校园网”。,移动用户SSID采用集中转发，AC为用户推送portal校园用户SSID采用本地转发，由校方认证服务器完成授权、认证,移动网络与校园网共建解决方案,双SSID广播双PORTAL推送,实现：,瘦AP在注册到移动的AC时，可接受AC下发的配置，根据不同的SSID分别作业务流量的集中转发和本地转发。对于公网用户，采用集中转发到移动AC；对于校园网内用户，流量在校园网内本地转发。即公网用户采用集中转发模式，数据必须通过AC才能路由出公网；校园网用户数据

18、直接走本地转发的模式，数据从高校的出口路由接入教育网或公网。a)、在移动局方所部署的校园内的WLAN汇聚交换机上分别划分两个不同的VLAN（如VLAN 100和VLAN 200），分别对应移动的CMNET网的业务和校园的内网业务，同时在AC无线集中控器上对校园的AP开放两个SSID，即校方的SchoolNet和移动的CMCC，并将SSID与VLAN进行绑定。由移动局方的WLAN汇聚交换机通过VLAN接口与校园的内网进行互联。这样，在移动WLAN汇聚交换机上同时拥有了移动的CMNET网的业务和校园的内网业务。b)、对于校园网而言，在AC无线集中控制器上对相应的SSID设置成本地流量转发模式，让其

19、SSID下的STA产生的流量不经过AC无线集中控制器，直接由校园的内部网络进行流量转发，其SSID下的用户的认证和计费等信息均由校园的内部网络进行处理。而对于移动局方的CMNET网而言，在AC无线集中控制器上将相应的SSID设置成集中流量转发，让其SSID下的STA产生的流量经过AC无线集中控制器，由AC无线集中控制器来进行集中流量转发，其SSID下的STA认证和计费等信息均由CMNET网络进行处理。c)、建议移动方的用户的地址池采用公网地址，由AC作BAS功能进行DHCP池的动态分配方式，用户的认证采用DHCP+PORTAL的认证方式，用户地址在AC缺省的域中认证和计费，校园内网用户的地址由

20、校方进行分配，校园网用户的认证和计费由校内服务器认证系统进行。具体而言，对于教职的用户帐号和密码均由校方统一发放和管理，而对于学生的帐号和密码均由移动局方统一发放和管理。教职工的帐号只能在校内的认证计费系统中使用，学生的帐号只能在移动的RADIUS认证和计费系统中使用，双方独立运营。d)、在移动新增的WLAN汇聚交换机和校园网的接口处增加防火墙，以保证移动运营网络的安全。同时，在WLAN接入层交换机上,作AP的端口上端口隔离功能和在AP上作用户隔离功能。,酒店WLAN联合运营,对于运营商与酒店的合作建设无线网，目前一般都采用运营商投资WLAN相关设备建设WLAN覆盖，无线接入控制器（AC）放在

21、运营商机房内。认证服务器和计费系统均放在运营商局端机房内；运营商和酒店达成对酒店用户计费方式采用包夜制，AC只采集按天计费信息，到月底按原先双方签订底分成协议结算。用户的开户和管理均在运营商局端完成，运营商根据酒店的实际客人上网数目，预先在系统内开户，然后把开好的用户名和密码交给酒店作每天客人临时开户用。,酒店WLAN联合运营 网络拓扑,酒店WLAN联合运营,运营商网络不需要与酒店的网络互通，AC只需要一个SSID即可，划分一个AP用的管理VLAN，一个给用户用的业务VLAN，用户的数据流由AC集中转发或本地转发。如果酒店有特殊要求，开放双SSID，一个给酒店内部员免费用，一个给酒店客户计费用

22、。那么就在AC上设两个SSID，两个业务VLAN，只是认证不同，针对酒店内部员工的SSID单独开放一些帐户和密码。联合运营模式方案的优点在运营商WLAN建议中，可提高热点的覆盖率可以更大范围地推广移动宽带业务本方案对特殊热点的WLAN热点，业主更容易接受可加快运营商WLAN覆盖工程的进度，尽快实现盈利,运营商共建共享,随着3G网络的发展，移动用户对高速移动互联接入的需求日渐增加，WLAN作为3G有效的分流手段，各大运营商都逐渐加快了WLAN网络的建设步伐，但是目前国内WLAN热点建设中，存在很严重的重复建设现象，尤其是机场、高铁车站等人流量大，3G数据分流需求大的社会热点。WLAN热点的重复建

23、设不但对设备投资造成了浪费，而且使得频率资源极为紧张的2.4G 频段面临着更加严峻的挑战。运营商共建共享可以利用AP的多SSID功能，使用一套WLAN系统，虚拟出多个SSID分别为三大运营商用户提供无线接入服务，减少设备投资，节省频率资源，符合国家节能减排要求。,运营商共建共享,运营商共建共享,运营商共建共享难点：技术层面只能支持一方能够以集中转发方式进行数据转发。由于三家运营商中仅移动要求WLAN必须采用集中转发，电信、联通都可以以本地转发方式完成建设，因此技术上不存在任何问题协调层面资产归属以及管理权限问题归属才是运营商共建共享最大的难点建议采用第三方代维的方式进行管理、维护。,32,谢 谢！,京信通信系统（中国）有限公司无线传输与接入事业部 2011年03月,