《运营商WLAN网络.ppt》由会员分享,可在线阅读,更多相关《运营商WLAN网络.ppt(69页珍藏版)》请在三一办公上搜索。
1、构建运营商WLAN网络,培训目标,了解运营商WLAN业务基本情况了解运营商WLAN网络基本情况掌握设计运营商WLAN网络的基本方法了解运营商WLAN相关技术实现及业务流程,培训内容,运营商WLAN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解,4,WLAN业务已成为全球运营商发展热点,WLAN技术已成为无线接入业务的手段之一,即使已经拥有2G/3G网络的运营商也将WLAN作为补充手段,运营商WLAN技术应用发展方向,宽带业务已经成为各大运营商新的业务增长点,为争夺3G来临之前的无线宽带用户,新一轮的热点覆盖已经展开。WLAN做为一种高速无线宽带接入技术,成为3G
2、的补充,3G Wi-Fi 无缝互联,6,WLAN运营商业务简述,私有区域(家庭/企业)模式 用于固定区域内的各类WIFI终端网络连接,替代有线线缆,降低局域网布线复杂性,热点区域模式 公共热点区域无线覆盖,形成漫游服务网络,满足热点区域内的支持WIFI的终端的上网需求,企业,互联网,家庭,互联网,WLAN,WLAN,WLAN,WLAN业务是一种成熟的低成本无线互联网接入方式,WLAN,WLAN,机场,校园,公共热点,漫游认证平台,7,运营商选择WLAN的原因,一、高带宽目前WLAN技术已经可以普遍提供54Mbps的终端接入速率,在未来3年内3G的HSPA技术还无法达到。,二、低成本低资费08年
3、全球WLAN芯片的出货量超过4亿片,成本已经大大降低。企业级AP成本低于2000元,家庭低于300元。公共热点区域每AP的综合建设成本已低至1万元。低成本使得WLAN业务资费相对较低,从全球看普遍低于3G业务资费。,8,运营商选择WLAN的原因,三、终端普及率高目前现有笔记本电脑中90%以上内置了WiFi芯片。相机、PDA、家用游戏主机等产品内置WiFi芯片的数量也在显著增长。已拥有WIFI功能的终端上网需求旺盛,市场潜力巨大。例如在09年5月海角咨询公司联通家庭用户调查中,选择融合数据业务套餐的人群中有27%希望购买WIFI服务。,(数据来源:CNNIC、易观国际),内置WIFI的信息设备:
4、,PS3,PSP,G1相机,iphone,ipod,P3,中国笔记本电脑数量,9,运营商选择WLAN的原因,四、能充分利用固网资源,热点覆盖快速简单无线规划难度低,热点网络建设速度快。,2.5G/3G:室外覆盖/高速移动,GSM:语音与低速数据,3G:适合室外覆盖、高速移动场景,数据传输速率中等WLAN:适合室内覆盖、半移动场景,数据传输速率高,WLAN:室内覆盖/半移动/高速无线,用户需求集中的热点地区有限:机场、校园、公共图书馆、会议中心、酒店、写字楼等。热点覆盖在有线具备的情况下可快速部署,无需复杂无线规划。,10,“C(DMA)+W(LAN)”,业务捆绑强化“天翼”品牌。明确提出未来1
5、到2年“天翼”WiFi覆盖的热点区域速率达到10M以上。2008年,建设规模超过8万台AP。总热点数量已经超过1.7万个,09年继续大规模部署。家庭网关已发展100万台以上,09年集采计划为250万台 09年3月定制的37款CDMA手机中有17款内置WIFI,将WIFI作为手机无线数据业务接入手段之一,在有WIFI的地方,可以将CDMA手机切换到WiFi无线上网状态0.05元/分钟,套餐从2小时起(5元),10小时套餐20元,跨省漫游资费为0.2元/分钟,同时在e9套餐中捆绑WLAN。以189作为统一账号,利用C网短信进行密码推送和计费 无189用户以ADSL帐号认证,用充值卡或宽带帐号付费。
6、,国内运营商现状中国电信,目标:与3G形成互补,弥补3G技术不足。,策略,覆盖,资费,计费认证,11,充分利用其移动用户群规模,进行帐号捆绑计费。随着TD的发展,推出TDWLAN服务。2002年开始建设,并实现全国范围漫游。热点覆盖约7000个。2009年7月,移动完成10.8万个AP集采,进一步规模部署。在TD手机终端与WIFI双模方面,目前移动尚无集采计划,但是鼓励厂家自行决定WIFI功能增添。三款套餐,分别是30元包15小时、50元包40小时以及100元包200小时,超出部分按照0.05元/分钟计算。以用户手机号作为账号,利用G网短信进行密码推送和计费。,随E行,国内运营商现状中国移动,
7、目标:应对中国电信、中国联通的竞争,同时弥补其固网宽带不足,策略,覆盖,资费,计费认证,12,利用固网/移动网资源,大力推进家庭/企业网关,加快WLAN和Femto融合,推动用户使用联通全业务原网通只在部分省公司建热点,未形成网络;原联通只在局部地区有部署,主要考虑了与CDMA20001X业务的融合。全国几百个热点覆盖(不包括校园,不具备漫游认证);在私有区域方面,08年部署了40万家庭网关。0.05元/分钟(3元/小时),漫游用户中注册用户:0.15元/分钟(9元/小时),预付费卡用户:0.20元/分钟。移动用户以手机号作为账号,利用G网短信进行密码推送和计费,固网用户采用宽带帐号或固话码号
8、作为认证标识进行认证计费。,无限伴旅,国内运营商现状中国联通,目标:将WLAN作为固网宽带和移动数据业务的增值和补充,策略,覆盖,资费,计费认证,13,WLAN业务部署特点,热点内可使用频点有限:WLAN使用开放授权的频段(2.4GHz),共13个连续交叠的频点,完全互不干扰的频点只有3个,也就是说一个地方一般只允许三个AP同时部署,否则互干扰严重。物业话语权大:WLAN在公共热点区域部署类似于固网进线,物业话语权大,先进入者可以通过排他协议限制其他竞争者跟进。与运营商驻地网接入能力密切相关:在前期“跑马圈地”中,电信和移动已形成一定优势,但中国联通结合3G建设及北方资源等方面仍具备一定优势。
9、,14,WLAN与Femto的关系,1、针对不同终端,提供更多种接入方式WLAN主要面向已经内置WLAN芯片的大量已有终端设备Femto主要面向3G终端以及可以使用3G数据卡的终端设备2、区域覆盖策略不同WLAN覆盖范围包括公共热点和私有区域Femto主要服务私有区域3、承载业务不同WLAN主要用于互联网接入业务,接入速率最高可到54MFemto主要用于包括语音和移动数据在内的综合业务,接入速率最高7M4、成本不同WLAN使用免费频率,一般使用用户自有终端Femto使用授权频率,运营商需要提供终端模块,WLAN与Femto定位不同,服务终端不同,在全业务经营中可以互为补充,培训内容,运营商WL
10、AN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解,一个运营级WLAN网络的基本组成,用户终端:WLAN网卡、WLAN手机等射频相关系统:天线、室分系统等无线接入硬件系统:APACWLAN网络就是通过AP无线设备将用户终端接入互联网的接入网络。WLAN网络分为瘦(会聚型或集中型)及胖(独立型)两类。胖AP架构中,AP完成了所有无线接入点的工作。瘦AP架构中,AP的一部分功能剥离到了AC上,由一个AC对多台AP进行集中控制。这是当前运营商招标的主要模式。在胖AP架构中,AC指的的是BAS功能。在瘦AP架构中,AC有可能是独立的无线接入控制器(电信),也有可能是指无
11、线接入控制器+BAS功能(移动)无线数据设备:路由器、交换机除硬件设备外,还会涉及到支撑系统网管:又区分为OMC网管(只管理自己的ACAP)和WLAN综合网管WLAN认证计费系统:有可能单建,也有可能和城域网计费系统合建AS:对WAPI进行证书鉴别,目前主要是电信有可能采用。,3大运营商固网情况简述,中国移动:收购铁通后,取得了铁通的固网资源,但覆盖范围小,用户数量低,目前正在加紧对CMNET数据网络的建设。中国联通:收购网通后,在北方区域拥有大量固网资源,但在南方区域固网资源不足。中国电信:在南方区域拥有大量固网资源,在北方区域资源略少,但在重点大型城市里也拥有一定固网资源。,中国移动WLA
12、N业务网络系统结构,中国移动WLAN业务组网,中国移动WLAN网管系统组网结构,中国联通WLAN业务网络总体逻辑结构,中国联通WLAN业务网络总体架,培训内容,运营商WLAN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解,需要了解的需求,现网状况调研:原有网络的拓扑、配置,以及业务系统实施情况下一步规划的热点及AP数量,布署要求网络结构新增需求传输资源状况VLAN、SSID、IP地址等资源需求业务系统实施要求特殊功能性要求,WLAN核心网设计流程,需求分析网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连业务系统功能选择及逻辑体系架构省PORTAL、
13、RADIUS与全国的关系。是否需要建立热点特定的业务管理,可否采用代维方式?业务流程及相关处理要求功能要求设备选型物理组网路由及交换方案选择网管方案网络安全考虑网络资源规划:VLAN、SSID、IP地址,省级WLAN组网需求,基本需求满足不同热点区域类型WLAN接入要求。包括公网、专网及VPN网络。采用集中管理型架构(瘦AP),满足电信级运营管理要求。可满足一定阶段内的热点布署及扩容要求。主要面向笔记本电脑上网用户,同时考虑在特定环境中对手机、机器终端的支持支持本地运营模式,同时允许漫游用户可以在本省使用。统一考虑省内业务系统的布署及实施建设安全、可运营、可管理的本地WLAN接入网络个性化需求
14、VoIP?固网业务融合?,WLAN技术本身对VOIP的限制(1),WLAN完全建立在分组交换基础上,分组交换固有的时延、丢包等问题如果没有特殊的处理,并不适宜承载对延时、抖动要求都较高的语音业务。因此当VOIP应用于WLAN网络上时,对于WLAN网络提出了面向语音的一些特定要求。如:必须保证语音用户的传输质量,避免丢包、时延。有两种办法为语音用户单独设置专用带宽,如专门的保证带宽的SSID。但除了对某些专用企业网之外,这种方法并不现实。因为毕竟目前大量的用户还是数据接入用户。通过QOS保证。通过为语音设置业务优先级,保证在网络拥塞时语音可以优先通过。但些种方法的问题在于,一旦网络拥塞,即使拥有
15、优先级,也不是所有语音数据都能通过。即使采用了以上两种方法,还只是在AC/AP上解决了语音问题,要彻底保证,还必须从AP到VOIP网关的沿途网络设备都作相应保证。但从运营网络而言,目前的WLAN接入网络都是为数据接入而布署的,缺乏相应机制。在有其它语音网络的基础上,也没必要再去进行改造。以上问题,在局部的企业网内部则相对容易解决。因此,VOWLAN在企业网中的应用更为成熟,而不是大型运营网络,WLAN技术本身对VOIP的限制(2),功耗问题CSMA/CA是比通常的GSMWCDMA耗能的访问机制,这是因为如果有数据包需要发送或接收,WLAN移动台必须始终保持在唤醒状态。安全性问题目前的WLAN运
16、营业务都是通过OPEN方式接入的,对于语音业务存在一定的安全性问题移动性管理问题如果VoWLAN手机不断移动,则会导致节点间的频繁切换。这需要考虑两个问题:一是保证终端IP地址不变,二是时延问题在企业网内部,较易通过网络设置保持终端IP地址不变。对于运营运营网络,由于目前WLAN也只是区域覆盖,保持终端IP地址不变,在系统一侧的问题也不大。但关键是终端层面的支持,直接决定了业务的保持能力。但目前终端在这方面的处理能力有很大的差异性。对于VoIP,语音分组时延的推荐标准是低于50ms,如果某个分组的时延超过了200ms,则认为该分组丢失。也就是说,VoWLAN手机从一个接入点移动到另一个接入点,
17、其分组时延必须控制在50ms内。但对于采用了安全接入方式的 设备而言,由于认证、加密等要求,切换的时延问题很难保证。终端问题:由于以上WLAN技术的限制,即使使用该类业务,也必须使用专用的终端。这一点目前必较受限。,2G/3G接入网络,WLAN接入网络,移动核心网,数据核心网,移动业务平台,数据业务平台,BOSS系统,ADSL/LAN固网宽带接入网络,固网BAS,WLAN网AC,2G/3G/WLAN三模终端,固网接入终端,三个网络的融合发展,几个网络融合的说明,目前WALN业务的建设,将为今后2G/3G/WLAN/固网宽带的融合发展提供建设基础。包括:业务的融合。如用户账户的统一,使得固网宽带
18、用户在外出时,可以使用WLAN接入。2G/3G用户可以直接申请开通WLAN业务。并实现几种业务的合账。多模终端的无缝切换。当用户持有2G/3G/WLAN多模终端时,可以根据网络情况,选择不同的网络进行数据接入。在有WLAN时,优先使用WLAN,其次3G、2G网络。根据总部的规范要求,提供对于3G网络和WLAN网络的融合建设方案。,WLAN核心网设计流程,需求分析网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理,可否采用代维方式?业务流程及相关处理要求功能要求设备选型物理组网路由及
19、交换方案选择网管方案网络安全考虑网络资源规划:VLAN、SSID、IP地址,AC布署层次的选择,AC作为无线网络中的集中控制设备,应尽量布署在地市的核心层节点。当地市无线网络较大时,也可布署在汇聚层的节点。不建议AC在接入层分散布放。在有大型专网的情况下,AC也应该尽量布放在专网出口之上,而非专网之内为什么?方便运营商的集中管理与维护通过AC的规模组网,大大降低整个网络的投资成本易于网络规划与扩容,专网案例,CMNet国干网,A高校出口路由器,AP,AP,AP,AP,AP,AP,城域网,AC1,AC2,B高校出口路由器,移动PORTAL SERVER,移动RADIUS服务器,A高校楼层交换机,
20、A高校内部用户接入控制器,A高校RADIUS服务器,公网集中布放案例,AAA/计费/AS,AC,Wlan网管,交换机,防火墙,CMNET,热点n,热点3,HA,Portal,接入交换机2,传输,接入交换机1,AC,协议转换器,E1,WLAN核心交换机,CMNET地市 节点,AC的逻辑功能模块确定,AC作为一个接入网关设备,有可能会承担多种逻辑功能AC,无线控制器:对AP的集中控制与管理,这是瘦AP架构下,AC最基本的功能BAS:对用户、业务的集中控制与管理。我们建议BAS与AC合建,原因见下页NAT:网络地址转换。如果有NAT的需求,建议不在AC上来实现,而用专用NAT设备来提供,如专用防火墙
21、设备,比如NETSCREEN设备。DHCP SERVER:一般情况建议由AC内置DHCP SERVER,并支持灵活的IP POOL设置,比如多VLAN使用一个IP POOL,BAS与AC的异同,BAS一般情况下,我们称宽带接入服务器为BAS(Broadband Access Server),也有称为BRAS的(Broadband Remote Access Server)。BAS是网络接入服务提供商最常用的设备,BAS设备的引入不在于业务的传递交换,而在于业务层面的控制功能,实现对用户的控制和管理,它最重要的业务功能就是对用户的认证、授权和计费,一般的BAS主要支持PPPoE,以及L2TP协议
22、,无线接入的情况下,BAS一般还提供DHCP+Portal推送功能。AC在瘦AP技术没有发展起来之前,人们常常将应用于无线接入环境中的BAS称之为AC。在瘦AP技术发展起来之后,根据CAPWAP协议,将瘦AP的无线控制器也称之为AC(Access Controller),此处逻辑上的AC主要起的作用是完成对AP的控制,而不是完成对用户的上网控制。但由于无线网络的发展延续性,实际中的大量AC产品往往是兼具两个方面的功能:无线BAS+瘦AP环境中的无线控制器AC。,建议在WLAN网络中,主要采用BAS与AC合设的方式进行组网,而不是BAS+AC的方式。由于目前的WLAN运营网络基本趋向于瘦AP模式
23、,目前市场上主流AC都支持内置BAS功能。将BAS和AC合设,在组网结构、业务设置及维护管理方面都将较为简单一些。避免了网络流量迂回的问题。如果一定要在支持BAS功能的AC后使用宽带城域网的BAS,则还需要将AC的用户数据以二层模式传送到BAS上。对AC、对城域网交换机都是无谓的负担。可以提供更多的无线管理功能,例如不必要一定将SSID与VLAN进行绑定,从而为业务开展带来更多的灵活性。在WLAN移动网络中,除了计算机之外,还将出现大量的手机及机器终端用户,因此,基于用户使用习惯及管理因素,需要对不同的接入终端提供区别对待的接入流程。如对机器终端采用零干预接入,而对笔记本用户提供PORTAL方
24、式接入。当然,最终采用合建还是分建的模式,需要根据当地实际网络状况及业务需求决定。,组网建议:AC与BAS的合设组网,AC组网模式一,CMNet国干网,AC,AP,AP,AP,AP,AP,AP,城域网,优点:组网架构简单,二层组网效率高,易于管理维护。缺点:需要大量光纤资源。,AC组网模式二,CMNet国干网,AC,AP,AP,AP,AP,AP,AP,城域网,优点:组网架构简单,二层组网效率高,易于管理维护。而且不需要大量光纤资源。缺点:需要有汇聚交换机。但一般而言,增加汇聚交换机的成本是较低的,这是目前主要推荐的逻辑组网模式,AC组网模式三,CMNet国干网,AC,AP,AP,AP,AP,A
25、P,AP,城域网,优点:可以有效利用现有资源,成本低。缺点:三层组网效率低于二层组网。,AC组网模式四,AC,AP,AP,AP,AP,城域网,省核心网,省核心网,省核心网,省核心网,优点:大集中式组网,有效降低了新业务风险,投资小。缺点:中间环节过多,易出现不可控问题,出现故障不好排查和解决。,WLAN核心网设计流程,需求分析网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理,可否采用代维方式?业务流程及相关处理要求功能要求设备选型物理组网路由及交换方案选择网管方案网络安全考虑网络
26、资源规划:VLAN、SSID、IP地址,WLAN业务网络逻辑架构,移动WEB接入详细流程,联通WEB接入详细流程,电信WEB接入详细流程,MAC认证流程,在已有城域网时,与原有系统的关系,建议无线BAS与AC合并,不与城域网的BAS合。建议面向无线单独建立PORTAL SERVER。RADIUS认证独立,计费与城域网的计费系统可合建。如城域网的RADIUS可支持无线的认证要求,也可合建,WLAN核心网设计流程,需求分析网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理,可否采用代维
27、方式?业务流程及相关处理要求功能要求设备选型物理组网路由及交换方案选择网管方案网络安全考虑网络资源规划:VLAN、SSID、IP地址,设备选型建议,根据AP数量、AC布署位置、AC功能进行AC选型一般情况下,建议AC尽量布署在地市核心层。采用大容量AC。可留适量空槽以备将来扩容。,WLAN核心网设计流程,需求分析网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理,可否采用代维方式?业务流程及相关处理要求功能要求设备选型物理组网路由及交换方案选择网管方案网络安全考虑网络资源规划:VL
28、AN、SSID、IP地址,建议组网架构,技术方案建议:AP及AC互连建议,我们建议AP与AC之间采用二层互联的模式。因为,采用二层互联时,AP可以完全零配置使用,采用三层互联时,AP可能需要预设AC的管理域名。当然,AP与AC之间通过三层隧道进行互连,这不影响任何使用。但是考虑到无线网络运营对时间性的要求,一般来说,我们建议在采用三层模式时,为AP到AC之间的配置专用的子通道,并为这个子通道保留带宽,以防止其它业务影响到AC对AP的控制,影响对用户的服务质量。,集中数据转发AP和AC间通过专用的数据隧道进行数据转发,AP和AC间的数据隧道中为二层数据。采用此模式时,所有用户数据都要通过AC进行
29、转发。此种方式下,用户数据流向容易控制,适合运营商的组网架构。而且由于采用隧道技术,对用户IP分配可以更加灵活。本地数据转发AC只对AP进行管理和控制,并不发起和AP的隧道连接,所有的用户数据通过本地网络转发。此种方式下,本地用户数据交换无需通过AC进行集中交换,减少了网络流量迂回,更适合本地数据交换量大的企业网使用。同时转发AC可以同时进行集中转发还是本地转发模式。,瘦AP架构下数据流量的转发方式,AC与AP之间可以使用私有地址由于AC与AP之间采用无线隧道协议,因此可以采用私有地址对用户进行服务。个人用户可以使用私有地址可以使用私有地址供个人用户使用,行业用户不宜使用私有地址考虑到行业用户
30、的多种需求,一般来说,对行业用户不宜采用私有地址。同时考虑到上海移动公网地址不足的实际情况,具体的建议模式是对于行业用户在关联后分配保留地下,同时取得私有地址后,再次进行L2TP VPN拨号,使得行业用户可以取得公网地址,开始使用网络或进入行业用户自己的内网。,技术方案建议:IP地址规划建议,网络安全的主要威胁目前WLAN的网络公共运营安全主要有两种不同中的威胁,一种是对运营设备的攻击,一种是对用户的攻击。WLAN网络较固定宽带网络更易受攻击相对于固定宽带网络,WLAN网络更易受到攻击,主要的原因有两个,一个是设备非常容易得到,WLAN的AP、网卡都是非常容易得到的设备,价格也很便宜。而WLA
31、N的全部信息都需要在空中传递,这使得攻击都不需要物理接触WLAN运营网络就可以发起攻击,攻击的成本非常低。因此,WLAN网络更易受到攻击,网络安全威胁分析,防止DDOS攻击:对设备的DDOS攻击主要可能的攻击方式是:假冒MAC耗尽DHCP资源以及流量耗尽。为防止假冒MAC耗尽DHCP资源,需要在AC进行控制,一是不允许单一AP上超过指定的关联用户,这样当这个AP下有一个攻击者时,顶多这个AP无法再向其它用户服务,不不会造成整个网络瘫痪。另一个是控制DHCP分配的速度,对于同一个热点、同一个AP上最大的DHCP分配速率要有一个上限控制。采用WAPI模式由于STA在关联AP时就需要提供证书,不存假
32、冒问题,因此无此安全隐患为防止流量耗尽攻击,要求AC对每个用户有速率限制能力,同时,考虑到IP流量的不对称性,要求设备能针对流量上、下行采用不同的速率限制。,网络安全对运营设备攻击,防止同频干扰攻击AP应有检测周边频率的能力,检测到同频信号后,AC可以控制AP避过干扰频率。对于多频段、大功率的干扰,在检测到这种情况时,要通过管理等行政手段解决这类问题。,网络安全对运营设备攻击,防止假冒AP攻击。防止假冒AP攻击,可以有两种方案。一种方案是运营AP要具备非法AP检测功能。另一种是采用WAPI方式提供服务。非法AP检测攻能可以在假冒AP出现时快速发现,但由于假冒AP可能是具备流动性,以及AP设备体
33、积很小,可以随时移动,因此,即使发现也较难解决这个问题。采用WAPI方式提供的服务不会有此安全问题。由WAPI是三元对等方式提供服务,不仅AP要验证终端的证书,终端也要验证AP以及AS的证书,因此不存在假冒AP攻击的可能性。,网络安全对用户的攻击,防止无线Sniffer攻击无线Sniffer攻击是在被攻击者上网时,通过具备抓包功能的无线网卡侦听被攻击者的全部网络数据包,从而得到被攻击者的上网密码、邮件密码、MSN密码或者可以复原被攻击者的IM对话以及正在阅读的网页。对于公共运营方式提供的WLAN服务来说,只要是采用PSK模式的运营方式都无法防止此类攻击。由于PSK模式采用预计密码,而由于公共运
34、营的需要,预设密码必须是众所周知或不设密码,因此,无法防止此类攻击。采用SIM-WLAN方式上网由于采用Challenge方式,可以防止攻击者得到被攻击者的上网密码,但仍不能防止攻击者取得被攻击者的邮件密码、MSN会话等信息。采用WAPI方式提供服务可以防止无线Sniffer攻击。,网络安全对用户的攻击,PSK是指PreShare Key(预设密钥)的加密模式采用PSK的主要加密方式为WEP、WPA以及WPA2在PSK模式下,面向公众运营时,运营商需要向用户公布所预先设定的Key的值。对采用静态PSK模式的WEP模式,由于PSK为公开信息,通过Sniffer可以直接看到其它用户的所有网络流量的
35、明文数据。,网络安全PSK模式介绍,对于WPA或WPA2中的PSK的模式,由于中间增加了动态会话密码的模式,使用将侦听的密文转换为明文有了一点障碍,但由于Key是公开的,攻击者只要在会话密钥协商时开始侦听,一样可以简单的得到全部的被攻击者的流量数据的明文,而无需采用任何其它攻击手段。即使不能在会话协商前开始侦听,只要通过注入攻击模式,引导STA主动下线后重新开始会话密钥协商过程,则同样可以简单地得到被攻击者的全部流量数据的明文。当然,上述讨论主要的针对公开运营的PSK模式的WLAN网络,如果不公开运营,WPA、WPA2还是可以提供部分的安全保护能力的。,网络安全PSK模式介绍(续),培训内容,
36、运营商WLAN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解,AP零配置:CAPWAP二层AC发现,1.AP接入网络中任意网口后,开始receives DHCP(使用option 43规定AC地址)。2.AP取得AC地址后,主动发起与AC的认证连接。3.AC对AP进行验证后,与AP建立连接。4.AP获得配置信息。5.终端正常访问网络。,DHCP Sever,Internet,AP零配置:CAPWAP三层AC发现,1.AP接入网络中任意网口后,根据事先配置好的域名向DNS服务器提起解析请求。2.AP取得AC地址后,主动发起与AC的认证连接。3.AC对AP进行验证后,与AP建立连接。4.AP获得配置信息。5.终端正常访问网络。在三层组网中,也可以使用DHCP的方式完成零配置,但需要所有开启DHCP Relay的设备都支持Option43,并保证AP可以正确获得Option43的值。,DNS Sever,L2/L3,Internet,RF射频管理,信道冲突,AP负载均衡,AC备份切换,2/3层网络,2/3层网络,1+1备份,N+1备份,VRRP,Q&A 谢谢!,安宏亮13810060282中太数据通信有限公司WWW.ZOOMTECH.COM.CN,
