《XX集团WLAN设备集中采购项目建议书.doc》由会员分享,可在线阅读,更多相关《XX集团WLAN设备集中采购项目建议书.doc(68页珍藏版)》请在三一办公上搜索。
1、XX集团2010年WLAN设备集中采购技术建议书投标项目:XX集团2010年WLAN设备集中采购投标单位:北京XX科技有限公司投标时间:2010-11-15目 录1概述11.1组网方案概述11.2AP的选择与部署21.3AC的选择和部署31.4汉铭WLAN系列产品特性和业务功能42有线网络规划建议52.1AP/AC间组网52.2AP/AC间二层组网52.3AP/AC间三层组网62.4AC/BAS间组网72.5AC备份方案93无线网络覆盖建议103.1放置型AP覆盖方案103.1.1室内覆盖规划123.1.2室外覆盖规划123.2分布型AP覆盖方案134无线管理154.1AP自动发现AC154.
2、1.1二层广播发现154.1.2DHCP发现154.1.3DNS发现164.2AP集中配置管理164.3集中固件下发和管理164.4射频管理174.4.1自动信道调整174.4.2自动功率调整174.4.3负载均衡184.5切换模式194.5.1二层切换194.5.2三层切换194.6非法AP检测205业务实现方案205.1业务网络组成与模型205.2业务接口225.3省内业务实现方案235.3.1WLAN用户认证模型235.3.2用户帐号/密码的申请235.3.3用户管理245.3.4用户认证流程255.4国内漫游业务实现方案295.5国际漫游业务的实现315.6区域性业务的实现方案326计
3、费和结算336.1计费方案336.2结算方案336.2.1省间漫游结算346.2.2与国内其它运营商间的结算346.2.3国际漫游结算347网管方案357.1管理对象及管理内容357.1.1AP管理内容357.1.2AC管理内容367.2系统软件模块367.2.1故障服务367.2.2告警关联377.2.3性能服务377.2.4配置服务377.2.5报表服务378网络优化378.1网络优化流程388.1.1网络优化步骤388.1.2数据采集398.1.3优化调整448.22.4G无线网络优化常规方法458.2.1统计分析法468.2.2DT(驱车测试)468.2.3CQT定点测试468.2.4
4、用户投诉468.2.5仪器测试法468.32.4G无线网络优化常见问题分析478.3.1覆盖问题分析478.3.2干扰问题分析498.3.3接入失败问题分析53附件54附件1、天线产品介绍541 概述随着电信业重组的深化,宽带接入业务的竞争将更加激烈。发展WLAN业务,对于运营商在全业务运营环境下树立宽带竞争优势,实现固网和移动业务融合具有重要意义。运营商可以借助WLAN来促进固网宽带和移动数据业务的发展,提升客户体验,增强运营商宽带业务的品牌优势,对提高宽带市场份额,拉动宽带用户增长和宽带业务收入有着积极的促进作用。当前国内运营商对WLAN网络的建设模式是一个由“热点”到“热区”再到“无线城
5、域网”的逐步演进过程。“热点”的建设投资少、部署快,并且“热点”的资源是有限和不可复制的,一旦某运营商与物业或业主达成商业协议(合作运营、分成等),其他运营商就很难再进入,抢占了热点就等于抢占了频段资源和物业资源。因此当前“热点”建设的重心还处于“圈地”状态。图1-1 WLAN热点覆盖1.1 组网方案概述我公司无线热点方案根据运营商不同情况下的需要,提供FAT AP和FIT AP两种部署。对于一些面积较小的WLAN应用场景(例如:咖啡厅,餐厅等),由于应用点比较分散,为了节省成本主要采用独立控制型AP设备的组网方式;对于面积比较大,人流多且分布不均匀,同时需要布放的AP数量较多的应用场景(例如
6、:机场、政府、大中型企业的办公楼内、大型会议中心、会展中心,学校,医院以及体育场馆等),要求实现对射频的自动调谐和自动负载均衡,同时便于网络的维护,主要采用集中管理型AP设备的组网方式。此外,在某些特殊场景之下,如学校拥有自己的校园网,为了防止校园内用户利用AP无线接入校园网,直接通过校园网出口进入公网,建议使用集中管理型AP的组网模式图1-2 热点部署组网建议1.2 AP的选择与部署l 对于酒店、咖啡厅等室内热点地区采用具备自带天线的室内放装型AP设备覆盖,为了满足对于室内不规则区域的覆盖要求,AP设备可根据工程需要选择不同增益,不同方向性的天线。l 对于具备室内射频分布系统的建筑物内,可以
7、采用室内分布型AP设备利用既有射频分布系统实现对于建筑物的覆盖。l 对于室外空旷区、街道、居民区、校园等室外热点地区选择室外型AP设备进行覆盖l 胖/瘦AP的选择,针对不同应用场景,推荐如下表1-1 不同场景下AP的选择1.3 AC的选择和部署根据AC在城域中所处的位置以及与网络设备连接方式的不同, AC的部署有三种方案。-AC旁挂在BRAS上无线控制器旁挂在BRAS上,在BRAS上对隧道VLAN不启用认证,通过三层转发到无线控制器上。此方案对现网的改动较小,“瘦”AP管理地址池可放在BRAS或无线控制器上,可以解决热点部署初期,用户量少且比较分散的问题。热点中新增一台“瘦”AP,接入控制器不
8、用做任何处理。新增一个热点,接入控制器只需增加配置终结相应的管理VLAN和用户VLAN。-AC旁挂在汇聚交换机上对于规模较大,用户量较集中的热点,无线控制器布放在热点内部,或旁挂到汇聚交换机。用户流量不经过无线控制器的转发,直接到BRAS,即实现用户流量和控制流量的分离,接入控制器终结用户VLAN,并对用户进行认证和计费, 需要在AP与BAS间做VLAN透传-AC直连方式可以利用汇聚交换机和BRAS之间的备用光纤,连接无线控制器。AC 与AP间建立业务隧道,无线流量通过无线控制器转发,需要在AC与BAS间做VLAN透传。有线流量直接到BRAS处理。需要在AC与BAS间做VLAN透传。1.4 汉
9、铭WLAN系列产品特性和业务功能汉铭WLAN系列产品特性符合中国联通的WLAN设备规范,主要包括: 产品类型丰富:支持802.11a/b/g/n多种制式,提供室内/室外型AP,提供单频/双频AP,支持胖瘦转换。 多种无线安全:支持OPEN/WEP/WPA/WAPI/802.1X等多种无线接入安全体系。 有线安全功能:二层隔离/ACL/IDS/WIDS功能。 智能无线资源管理:自动速率/功率/信道控制,全网负载均衡机制,干扰AP检测。 丰富的组网功能:支持多SSID,支持VLAN划分,支持AP/AC间二层/三层组网,支持集中的二层/三层转发,支持本地交换/集中交换/混合交换。 完善的认证计费功能
10、:支持WEB认证,AAA计费,以及portal认证。支持多portal/多RADIUS认证。支持免认证。 支持IPv4/IPv6双协议栈。 AP/AC间支持CAPWAP协议,AP零配置,能够以多种方式自动发现AC。 强大的网络管理功能:支持WEB/SSH/TELNET方式接入进行本地管理,支持基于SNMP的远程网络管理,支持配置模板/批量修改配置功能。 在联通组织的集采测试中,产品性能领先。2 有线网络规划建议2.1 AP/AC间组网AP/AC间可以采用二层/三层组网。 当AC放置在热点,或者AC容量比较小(256 AP)时,建议采用三层组网。 同时,WLAN网络建设时需要考虑当地的城域网的现
11、网条件,来选择二层/三层组网,必要时也可以采用二层/三层混合组网的方式。2.2 AP/AC间二层组网组网示意图如下:此时VLAN/IP地址的规划建议如下: 不同热点的AP使用不同的VLAN,大的热点可使用多个VLAN,这样可以尽量减少二层广播域的范围。 AP通过广播发现来发现AC,通过AC的VLAN-TRUNK口关联到AC。 AP的IP地址建议有AC来动态分配,建议分配私网地址,为方便管理,可按区域来分配不同的IP地址池。 如果AC作为认证计费点,则应采用集中交换,STA的IP地址由AC来分配,建议使用私网地址。AC可按照VLAN来区分热点,实现分热点进行计费。 如果AC不作为认证计费点,则可
12、采用集中交换或本地交换,STA的IP地址由相应的BAS来分配,分配策略有BAS确定。2.3 AP/AC间三层组网组网示意图如下:此时VLAN/IP地址的规划建议如下: 不同热点AP构成单独的二层网络,二层在热点路由器上终结,可以不划分VLAN。 AP的IP地址由热点交换机DHCP分配,建议分配私网地址,不同热点分配不同的IP子网。 AP通过Option43来发现来发现AC(热点交换机需要正确配置option43选项),三层网络关联到AC。 如果AC作为认证计费点,则应采用集中交换,STA的IP地址由AC来分配,建议使用私网地址。AC可按照AP的IP网段来区分热点,实现分热点进行计费。 如果AC
13、不作为认证计费点,则应采用集中交换并桥接到BAS,STA的IP地址由相应的BAS来分配,分配策略有BAS确定。2.4 AC/BAS间组网AC除了具备AP/STA相关的无线控制管理功能外,还具备类似BAS的接入控制功能(包括认证/PPP/计费/流量管理/ACL/路由等功能),因此AC与BAS之间的关系: 当AC不作为认证和计费点,且WLAN业务为集中交换时,AC可看作BAS下的一个业务汇聚交换机,将WLAN业务汇聚之后二层转发到BAS。示意如下: 当AC不作为认证和计费点,且WLAN业务为本地交换时,AC可看作一个AP的管理和控制服务器,是旁挂的一个服务器,与BAS之间基本无接口关系。 当AC作
14、为认证和计费点时,AC与BAS之间的关系可看作为平行的宽带业务接入控制设备,相互之间为三层IP接口。2.5 AC备份方案整机1+1备份可作为N+1备份的特例,下面描述整机N+1的实现方案(以2+1备份为例)。组网示意如下: 下行端口备份:主用AC1/AC2/AC3的下行端口分别与备AC构成3个VRRP实例,当某个主用AC发生故障时,备用AC上相应的VRRP实例会检测到故障,并接管该备用AC的下行IP地址,此过程对瘦AP是透明的。 上行端口备份:主用AC1/AC2/AC3的上行端口分别与备AC构成3个VRRP实例,当某个主用AC发生故障时,备用AC上相应的VRRP实例会检测到故障,并接管该备用A
15、C的上行IP地址,此过程对AAA/PORTAL服务器是透明的。 AP状态同步:备AC需要即时同步AP的状态信息,包括DHCP地址分配信息,CAPWAP隧道上下文信息,AP的配置信息。以保证AC切换时瘦AP能够在新的AC上正常工作。 STA状态同步:备AC需要即时同步STA的状态,包括DHCP地址分配信息,认证/计费状态,无线安全上下文信息等。保证AC切换时,终端业务不中断。3 无线网络覆盖建议3.1 放置型AP覆盖方案热点地区建筑内的不同物质会对WLAN无线信号产生不同的干扰和影响。干燥的墙壁,钢铁材料对信号的吸收少;而潮湿和水性物质,有色玻璃,植物,人体等将会大大吸收信号,降低无线信号强度,
16、从而降低WLAN信号覆盖范围,减少无线传输速率。所以,在部署AP时,需要在无线信号容易受到干扰的环境增强AP覆盖的密度。同时,为了减少信号传输的多路径问题,应该消除或者减少信号传输路径上的障碍物1) 一般来讲室内容许最大覆盖距离为35100米,室外容许最大距离100400米;要观测无线覆盖周围的障碍物确定AP的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下:a) 水泥墙(1525cm): 衰减1012dBb) 木板墙(510cm): 衰减56dBc) 玻璃窗(35cm): 衰减57dB2) 各种建筑材料对无线讯号的影响如下:d) 当AP与终端隔一座水泥墙时,AP的可传送覆
17、盖距离约剩下 5米有效距离。e) 当AP与终端中间隔一座木板墙时, AP 的传送距离约剩下 15米有效距离。f) 当AP与终端中间隔一座玻璃墙时, AP 的传送距离约剩下 15米 有效距离。无线信号在室内传播损耗距离(米)半开放环境传播损耗(n=2.5)半封闭环境传播损耗(n=3.0)全封闭环境传播损耗(n=3.5)10m63.47dB66.97dB70.46dB50m80.95dB87.94dB94.93dB100m88.47dB96.97dB105.46dB802.11b/g工作在2.4000GHz到2.4835GHz大约80 MHz的频带宽度上,将这个频宽分成11个中央信道,每个信道占用
18、22MHz的频带宽度,所以只有其中的3个信道完全没有耦合干扰,因此建议相邻的AP分别分配这3个信道中的信道值。如信道1,6,11。同时,由于无线信号的传播是三维球形的,所以相邻的AP不仅会在同一个楼层,而且会在相邻的楼层。图2-1 2.4G工作频段根据国家无线电管理委员会1997年2.4GHz频段的管理办法中规定的场强标准,选配不同技术规格的全向天线、扇区天线,既要考虑到每个信号输出点的电频强度,又要顾及信号对人体可能存在的危害,达到“绿色环保”的效果。3.1.1 室内覆盖规划图2-2 2.4G信道规划1) AP的放置要遵循两个原则AP覆盖区域无间隙;2) AP重叠区域最小。相邻AP工作在不同
19、频道,以 1, 6,11三个频道实现全方位的覆盖。3) 根据经验值,当相邻AP设定相同频点时, 要求间隔25米以上;当相邻AP设定相邻频点时, 要求AP间隔16米以上;当AP设定相隔频点时, 要求间隔12米以上。 3.1.2 室外覆盖规划室外设备的AP使用数量大概也遵循室内的条件,但外AP的放置和设计又有它的独特性主要包括:1) 天线的使用天线的正常使用包括对天线增益和天线类型的选择。2) 对室外设备特殊要求室外设备应该放置在密封盒内;天线布置应该增加避雷器放置雷击;不提供本地供电的场所,应尽量选用POE远程供电设备;室外射频基站由室外型AP、外接天线(全向、扇区)以及配套避雷设备和报杆等组成
20、。根据复杂的室外建筑结构,外接天线的选择更加尤为重要。选择天线型号时应根据现场环境考虑如下因素:增益、水平波束宽度、垂直波束宽度、极化方式、视觉效果(尺寸、外形、重量)。3) 增益当规划覆盖范围较小,安装位置距重点覆盖区域也很近时,天线增益可以低一些。当天线置于楼顶,目标为覆盖周围地区较大面积时,选择增益较大的天线为益。4) 水平、垂直波束宽度a) 当AP天线安装在墙壁上时,天线挂高低于周围建筑物高度,为了既能充分覆盖低层室内部分,又能兼顾楼层较高部分的室内覆盖,根据楼层高度不同,可以选择垂直波束宽度范围3580的定向天线。水平波束宽度的考虑与天线的安装位置及其覆盖目标有关。可以选择水平波束宽
21、度60150 的定向天线,或者全向天线、双向天线(即8字形天线)。需要选择天线垂直和水平的角度要相对较大扇区天线,天线的增益也需要选择增益较大天线,保证更大的覆盖范围。并且,天线的安装位置需要根据现场环境进行细微调节,达到最好的覆盖效果,可以选择安装在覆盖楼本身中间侧面墙或相关周围有利于无线传输的其他建筑,例如:静园、林园等;b) 当AP天线置于楼顶或灯杆高处时,也可选择水平波束宽度较大的定向天线或者全向天线。选择定向天线,主要是通过对楼反射信号覆盖本身楼房;而选择全向天线时,信号覆盖将比较均匀。具体方案应从现场覆盖需求,楼身宽度和楼群分布情况角度出发来确定。当楼房建筑较窄,楼层较多时,一般将
22、选择定向天线。3.2 分布型AP覆盖方案WLAN多网融合设计和普通的单网热点覆盖显著不同的是:前者的设计中,一个AP需要覆盖的范围基本上是以楼层为单位,而后者的设计中,是以房间为覆盖区域单位。在实际工程汇总,AP部署位置基本上是在楼层的弱电间或弱电井内。AP应采用超五类线远程供电,因此不需要单独部署电源线。合理布放覆盖天线,主要考虑其他信号,如:PHS、GSM、CDMA、SCDMA信号覆盖(空间损耗、馈线损耗比较大),经过严密的推算,天线分布能有效覆盖区域。图2-3 WLAN共用室内分布系统把WLAN、PHS、GSM、SCDMA和WCDMA信号源通过宽频合路器进行合并,再通过支持相应频宽的分布
23、式天馈系统(简称DAS)进行室内覆盖。此时需要在合路器前端进行信号强度匹配,即要求达到PHS、WLAN和WCDMA信号等效覆盖。根据需要覆盖的区域大小,这种DAS可以采用无源、有源或光纤等方式,另外天线单元和馈线也要同时支持相应频宽。1) 合路器选型合路器是实施多网合一的关键器件。带外抑制、三交互调、通带波动等多项指标直接关系到两个频段的信号更好的合路。2) 无源器件选型所采用的无源器件均应为宽频,即800MHz2500MHz。可以满足现有的GSM、CDMA、SCDMA、PHS、WLAN的信号传输,同时还满足3G的信号传输。最大程度的节省运营商的投资成本。要充分利用主设备的输出功率,所有支路馈
24、线均采用低损耗的1/2硬馈线,干线采用1/2馈线,以降低功率的损耗;合理使用无源器件进行功率分配,达到天线口功率输出均匀。4 无线管理4.1 AP自动发现AC 我公司无线控制器支持三种AP自动发现AC的机制,通过这些机制可实现AP零配置。4.1.1 二层广播发现1) AP接入网络后,会发起AC Discover请求。2) AC会相应请求并返回AC地址。3) AP取得AC地址后,主动发起与AC的认证连接。4) AC对AP进行验证后,与AP建立CAPWAP连接。5) AP从AC上获得配置信息,完成配置过程。4.1.2 DHCP发现图3-1 DHCP发现1) AP接入网络后,会发起DHCP Disc
25、over请求。2) DHCP Server会相应请求并返回DHCP Offer信息,此信息中包含AP的IP地址、子网掩码、网关等信息,重要的是在此信息中包含的option43的内容为AC的IP地址。3) AP取得AC地址后,主动发起与AC的认证连接。4) AC对AP进行验证后,与AP建立CAPWAP连接。5) AP从AC上获得配置信息,完成配置过程。注:DHCP方式可以部署在二层和三层组网中,但是当采用三层组网时,需要所有开启DHCP Relay的设备都支持Option43,并保证AP可以正确获得Option43的值。4.1.3 DNS发现图3-2 DNS发现1) AP中预设AC的域名。2)
26、AP接入网络中,通过DHCP,或者手工设定IP信息。3) AP通过DNS服务器对预设AC域名的解析获得AC的IP地址。4) AP取得AC地址后,主动发起与AC的认证连接。5) AC对AP进行验证后,与AP建立CAPWAP连接。6) AP从AC上获得配置信息,完成配置过程。4.2 AP集中配置管理我公司无线控制器支持集中配置管理,当AP和AC建立连接后,会自动从AC上获得配置信息。在对配置进行修改时,管理员可以使用群组功能对全部或者部分AP进行批量配置修改,也可以针对某个AP进行单一配置修改。4.3 集中固件下发和管理我公司无线控制器支持集中固件下发和管理功能,当AP和AC建立连接时,AP会和A
27、C进行固件版本协商,当AP固件版本和AC的版本不符合时,AC会将可用的固件版本发送给AP,AP会自动安装相应固件。管理员也可以使用固件下发功能对单个或者部分AP进行固件升级操作。4.4 射频管理4.4.1 自动信道调整AC支持:1) AP工作在802.11b/g模式时,设备上电时自动频点设置;2) AP工作在802.11b/g模式时,设备运行中自动频点设置;3) AP工作在802.11a/b/g接入模式时,设备上电时自动在2.4G和5.8G频段双频段的自动频点设置;4) AP工作在802.11a/b/g接入模式时,设备运行时自动在2.4G和5.8G频段双频段的自动频点设置;我公司无线控制器可以
28、根据AP周围的射频情况自动为每个AP分配无线频点(信道),并且能够根据网络中的干扰变化、邻居AP的频点(信道)使用情况等动态地调整无线频点(信道)的分配。在AP启动时,AP会自动扫描周围射频环境,然后选择最佳信道进行工作。当AP正常使用后,也可以进行实时的信道检测,使AP实时避开雷达、微波炉和同类设备的干扰。当AP发现和邻居AP发生信道冲突时,AP会上报AC,AC可以对整个网络的信道情况做出计算,如果AC认为需要更改AP信道,AC就会命令AP更改为其它信道。该功能在AC上可以开启及关闭。4.4.2 自动功率调整我公司无线控制器可以根据AP周围的射频情况为每个AP调整发射功率,以保证无线网络的覆
29、盖和容量。当某个AP失效时,AC会增加周边AP的功率以增强覆盖能力。当某个AP周围出现非法AP时,AC也可以通过增强合法AP的功率以增强合法AP的服务能力。4.4.3 负载均衡我公司无线控制器可以根据AP当前实际负载情况、无线信道资源情况、承载用户的优先级和对应获得的权限(优先级、带宽等等),调整AP接入用户的种类和数量以及覆盖范围;优化用户端的业务性能和QOS保证,包括无线带宽预留、基于用户的负载分担和基于流量的负载分担。当达到预设阈值(用户数、数据流量等)时,AC会拒绝新发生的关联请求(Association request)以迫使客户端选择另外的目标进行关联(Association)。目
30、前AC支持基于用户数量的负载均衡,基于数据流量的负载均衡,同一AP下a接入模式和b/g接入模式间的负载均衡。并支持用户的动态分配。4.4.3.1 基于用户数的负载均衡当采用基于用户数的负载均衡时,AC可以控制下属AP接入用户的关联请求,当某AP上用户数量超过阈值时,AC会控制AP拒绝新接入的关联请求。在AP的用户数量减少到小于阈值前,AP会拒绝任何其他用户连接。4.4.3.2 基于数据流量的负载均衡当采用基于流量的负载均衡时,AC可以控制下属AP接入用户的关联请求。当某AP上负载达到或者超过阈值时,AP开始进行负载均衡,在AP的负载减少到小于阈值前,AP会拒绝任何其他用户连接。4.4.3.3
31、同一AP下b/g接入模式和a接入模式之间的负载均衡当在同一AP下b/g接入模式和a接入模式之间进行负载均衡时,AC可以控制下属AP接入用户的关联请求,当AP上某接入模式用户数量超过阈值时,AC会控制AP拒绝在此模式下新接入的关联请求。在AP下该接入模式的用户数量减少到小于阈值前,AP会拒绝任何其他用户接入该模式。4.4.3.4 用户在AP下的动态分配当AP间的用户数量或者流量差值超过设定的阀值时,AC能够动态调整用户在不同AP间的分布。当在某一覆盖组有多个AP时,AC可以计算不同AP之间接入用户数量或者流量的差值时,当差值超过设定的阀值时, AC将控制下属高用户数或高流量的AP拒绝新用户的关联
32、请求,从而将用户引导到其它的低用户数或低流量的AP上进行关联。4.5 切换模式4.5.1 二层切换对于二层切换,可以在本地转发模式以及集中转发模式下进行切换。4.5.1.1 本地转发模式在本地转发模式下,AP为一个桥设备,AC控制AP的接入,当用户由AP1切换到AP2时,对于AC来说,用户只是换了一个接入的端口,但并没有更换MAC地址,对用户来说,缺省网关的MAC地址也仍是原来的地址。因此,实际上AC侧和用户侧均无实质改变,从而没有更换地址的问题,所以这样的切换不会影响用户的业务。4.5.1.2 集中转发模式在集中转发模式下,AP为一个隧道转接设备,用户的所有流量通过隧道送入AC,AC为用户做
33、相关的业务控制。当用户从AP1切换到AP2时,实际上的流量只是从经过AP1的隧道改为经过AP2的隧道,而对AC来说,仍然识别为是这个用户的流量,处理方式完全没有变化,同样,对用户来说,也不会察觉到任何变化,因而业务不会受到任何影响。4.5.2 三层切换对于三层切换,只能在集中转发模式下进行切换。这时,AP为一个隧道转接设备,用户的所有流量通过隧道送入AC,AC为用户做相关的业务控制。当用户从AP1切换到AP2时,虽然AP1与AP2在不同的子网,但只是隧道的路径不同,对用户流量来说,只是从AP1的隧道改为走AP2的隧道,对AC来说,仍然识别为是这个用户的流量,处理方式完全没有变化,对用户终端来说
34、,上连的任何参数包括VLAN、网关等也不会有任何变化,因而业务不会受到任何影响。4.6 非法AP检测AC支持非法AP检测。当AP配置成为Sensor模式后,会自动扫描周围存在的AP,并将扫描的信息上报给AC,AC通过内部的合法AP认证列表来检测是否存在非法AP。合法AP认证列表中可以包含MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道等信息,以区分合法和非法AP。当某AP不能匹配合法AP认证列表中的项时,AC会认为发现了非法AP,并会对网管系统提出报警,警告出现非法AP。5 业务实现方案5.1 业务网络组成与模型WLAN业务网络包括终端、WLAN接入系统、省级支撑系统、集团支
35、撑系统四部分组成,总体逻辑结构如图4-1所示图4-1 业务网络的总体逻辑结构1. WLAN接入系统WLAN接入系统主要由接入点设备AP和业务接入控制设备组成,完成 WLAN用户的接入控制,计费信息采集以及业务管理和控制。在图4-1中由虚线框表示的WLAN接入认证点(Authenticator)是一个逻辑意义的WLAN用户认证功能模块,实现Radius Client的功能,负责和后台Radius系统进行交互。可以在AP或者接入控制器设备上实现。当采用802.1x认证机制时,WLAN接入认证点则由AP设备实现。2. 省级支撑系统- CRM系统主要完成注册用户开户、销户、密码创建和修改、用户信息更新
36、等功能。根据用户的申请,完成客户开户、销户等管理功能。开户后,生成用户名和密码并同步传送给Radius系统。完成用户业务信息的变更、静态密码变更等功能。- 计费帐务系统的主要功能是完成WLAN业务计费、帐务功能。- WLAN认证系统(含Radius服务器)的主要功能有用户信息管理、用户认证、动态密码创建和管理、用户自服务等。用户开户时,Radius系统根据CRM系统的指示,建立WLAN用户认证信息数据库,存储WLAN用户信息,包括认证信息(用户名、密码),业务属性信息,计费信息等。WLAN业务采用Radius认证,Radius系统收到来自接入控制器的用户认证服务请求后,对用户进行认证,并将认证
37、结果通知接入控制器。Radius系统还接收接入控制器发送的计费采集信息,产生话单(计费数据记录,即CDR),并将话单通过计费数据接口传送给计费帐务系统用于批价及结算。- PORTAL服务器的主要功能有强制PORTAL、认证页面推送、用户认证、门户网站推送、用户自服务、下线通知等。用户通过WEB浏览器发起Internet访问请求后,接入控制器可以将该请求强制到PORTAL服务器,PORTAL服务器接收强制PORTAL请求,向用户推送符合要求的认证页面。PORTAL服务器接收用户认证请求信息后,向接入控制器发起用户认证过程, WLAN用户认证成功后,由PORTAL服务器向用户推送门户网站页面。用户
38、上网结束后,可以使用PORTAL功能通知接入控制器用户下线;当接入控制器侦测到用户下线或者主动切断用户连接时,也能告知PORTAL服务器。PORTAL服务器需要在登录页面和认证成功页面上为用户提供自服务功能,认证成功页面在用户上线期间不能关闭。3. 集团支撑系统- 集团综合结算系统的主要功能是接收全国WLAN漫游认证转发平台的计费信息,按照预计的结算规则完成省间漫游结算、不同运营商之间的漫游结算。- 全国WLAN漫游认证转发平台的主要功能有国内漫游用户的认证转发和计费信息采集、国际漫游用户的认证转发和计费信息。对于国内漫游用户,根据用户名的漫游后缀,将漫游用户的认证信息转发至开户省Radius
39、服务器。同时,采集计费信息并送给综合结算系统,用以省间漫游结算。对于国际漫游和与国内其它运营商之间的漫游业务,完成来访和出访用户的漫游转发,漫游转发规则符合相关合同的规范;采集计费信息并送给综合结算系统,用以完成运营商之间的结算5.2 业务接口1) WLAN终端与AP的接口终端与AP的接口为空中接口,包括网络连接和数据通信接口。接口通过IEEE 802.11b/g协议实现,同时支持IEEE 802.11i加密认证协议。2) WLAN终端与PORTAL的接口终端与PORTAL的接口为业务控制接口,完成WEB认证页面推送,强制门户网站页面推送等功能,采用HTTP和HTTPs协议。3) AP与无线控
40、制器的接口AP与无线控制器之间的接口主要是数据通信接口和业务控制接口,数据通信接口采用IEEE 802.3规范;通过CAPWAP隧道实现业务控制接口。4) AP与接入控制器的接口AP与接入控制器之间的接口主要是数据通信接口和业务控制接口,接口采用IEEE 802.3规范。5) 接入控制器与PORTAL的接口接入控制器与PORTAL服务器之间的接口,主要包括用户认证,用户下线通知,业务控制等接口。6) 接入控制器与Radius的接口接入控制器作为WLAN用户接入控制点时,接入控制器与Radius服务器之间的接口主要是用户认证和计费接口。认证和计费接口基于Radius协议,接入控制器与Radius
41、之间的接口遵循RFC 2865、RFC 2866和RFC 2869。7) Radius与计费帐务系统的接口Radius系统与计费帐务系统之间的接口是计费数据接口,采用计费帐务系统要求的标准接口。保证计费数据从Radius可靠的传至计费帐务系统。8) Radius与CRM系统的接口Radius系统与CRM系统之间的接口是用户数据接口。采用CRM系统要求的标准接口。9) PORTAL与Radius的接口PORTAL与Radius系统的接口,包括用户动态密码申请接口、静态密码修改接口和用户自服务接口。10) Radius与短消息业务平台的接口Radius与短消息业务平台的接口主要完成的功能有:通过短
42、消息获取的临时帐号的用户名和静态密码下发,注册帐号的动态密码下发。接口标准采用短消息业务平台接口标准11) 省Radius与WLAN漫游认证转发平台的接口省Radius与全国漫游认证转发平台之间的接口,主要转发漫游用户的Radius认证、计费信息。5.3 省内业务实现方案5.3.1 WLAN用户认证模型WLAN业务用户的认证主要采用帐号/密码的认证方式,具体认证模型如图7-2所示:图4-1 WLAN用户认证模型5.3.2 用户帐号/密码的申请用户在第一次使用WLAN业务之前须申请WLAN用户帐号和密码,根据需要用户可以修改自己的WLAN业务密码。用户帐号可以是固定电话用户、ADSL用户、手机用
43、户等,WLAN用户密码的申请和修改是由各省的CRM子系统完成的,WLAN用户可以通过短消息和电话方式修改WLAN用户密码;全国/省内预付费卡用户还可以通过购卡的方式获得帐号及密码。5.3.3 用户管理WLAN用户的管理主要是对WLAN业务用户数据库的管理,WLAN业务用户数据库包括用户ID,用户认证信息,业务属性信息,计费信息等。由各省Radius系统管理本省的WLAN用户。WLAN用户的管理主要有用户数据库的创建,删除和更新。1) 用户数据库的创建目前WLAN业务用户既有后付费用户,也有预付费用户。无论是预付费还是后付费,用户数据都是根据用户请求动态创建的;当用户第一次申请WLAN业务帐号/
44、密码时,RADIUS认证服务器为用户创建WLAN用户数据。WLAN预付费卡用户数据库可以通过卡生成系统静态批量创建并导入,然后通过发放预付费卡的方式开通业务。2) 用户数据库的更新用户数据库的更新包括用户静态密码的更新,动态密码的分发,用户状态(如正常、加锁、注销)的更新,及业务属性(如套餐申请、套餐取消)的更新。预付费卡类用户的密码更新可以通过在自服务页面上提供“静态密码修改”选项来实现。卡用户密码直接在中央Radius上更新。注册用户的静态密码更新可以通过Portal提供的自服务页面完成,还可以通过短信修改、重置用户静态密码。手机用户可以通过Portal页面选择动态密码认证。动态密码由Ra
45、dius服务器产生,并通过短信下发给用户(Radius直接连接短信网关)。当用户的密码或者业务属性发生变化时,如果用户正在使用WLAN数据业务,需要对该用户重新认证。3) 用户数据库的删除当Radius服务器收到CRM系统的“过户”、“用户注销”等状态指令时,无论用户是否存在有效套餐,均需要从RADIUS用户数据库中删除该用户。对于预付费卡用户,当帐户余额不足或帐户到期时,需要从RADIUS用户数据库中删除该用户。4) 用户数据库的加锁当Radius服务器收到CRM系统的“用户单向停机” 等状态指令时,应将该用户的WLAN业务加锁。此时该用户仍可使用查询及公网自服务业务,但无法使用WLAN接入
46、服务直至业务恢复。5.3.4 用户认证流程5.3.4.1 DHCP+WEB流程u DHCP+WEB认证请求流程图4-2 DHCP+WEB认证请求流程u DHCP+WEB正常下线流程图4-3 DHCP+WEB正常下线流程u DHCP+WEB异常下线流程图4-4 DHCP+WEB异常下线流程5.3.4.2 PPPoE流程u PPPoE PAP认证接入基本流程图4-5 PPPoE PAP认证接入流程u PPPoE CHAP认证接入流程图4-6 PPPoE CHAP认证接入流程u PPPoE异常下线流程图4-7 PPPoE异常下线5.3.4.3 WAPI加密认证流程WAPI加密认证流程如图4-8所示:图4-8 WAPI认证加密流程5.3.4.4 802.1X认证图4-9 IEEE 802.1X认证系统的EAP方式业务流程5.4 国内漫游业务实现方案在全国有一套WLAN全国漫游认证系统平
