《电信无线校园网解决方案.ppt》由会员分享,可在线阅读,更多相关《电信无线校园网解决方案.ppt(70页珍藏版)》请在三一办公上搜索。
1、H3C电信无线校园网解决方案,目 录,无线校园网的建设运营探讨H3C运营级无线校园网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍,无线校园网学校带来的价值,品牌价值:学校提升品牌与社会影响力的基础建设之一有利于扩大社会影响,更好开展对外学术交流与培训使用价值:让学生随时随地获取到教学资源方便学校在对外学术交流等活动过程中向来宾提供上网服务大大提升了校园Internet广播,视频教学服务的便利性,扩大了覆盖的范与学生使用的机会,成为多媒体教学的重要手段可以有针对性的提供信息推送服务便于学校增加临时的可移动视频监控等业务,比如视频监考,而不必在教室里安置长期固定的视频监控头。,无线
2、校园网对运营商的价值,1、集团公司已明确的战略市场已经成为集团公司明确开展的工作重点之一。校园是典型的聚类市场:居住高度集中,易做市场推广;信息消费能力强,小额消费频繁;消费模式仿效性强,一点攻破就会全面覆盖。高价值客户群的预备队:大学生群体很快步入社会成为主力消费群,大学期间形成的消费习惯与品牌依赖度对其有重要影响(从QQ与动感地带的成功都可见证这点)。高端品牌形象树立的必备热点:大学已成为很多高端人群充电与社交的场所,他们是运营商目前最重要的价值客户群,消灭掉服务盲点对于提升品牌形象具有重要意义。2、WLAN频点是公用的,具有独占性,就象小区入户的双绞线一样,是用户进入互联网的必经之路,谁
3、掌握了它谁就掌握了未来的主动权。目前多个运营商已经开始了在该领域的圈地运动!,无线校园网络建设驱动力,学校:节省建设校园网络的投资通过物业资源能够获取收益分成通过服务获取部分收益运营商:WLAN作为宽带接入的补充,配合3G开展宽带数据业务,有效的解决3G基站带宽不足,开展宽带数据业务成本高的问题,成为运营商新的利润增长点目前笔记本终端都支持WIFI功能,学校是终端最密集的地方,学生接受新技术的能力水平高,是开展移动通信的最佳场所 需要同宽带开展差异化竞争,运营商建设无线校园的投资方式,独资方式:包括有线无线全部由运营商投资建设合作方式:有线借用学校的网络,无线运营商投资建设租借方式:有线无线都
4、由学校建设,运营商租赁经营学校租借运营商无线网络,访问校内网,由于学校没有运营牌照,因此只能借助运营商进行运营,但设备的投资取决于学校的经济实力,从运营商角度而言,独资方式更易于管理和运营,目 录,无线校园网的建设运营探讨H3C运营级无线校园网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍,运营级无线校园网业务篇,Internet接入业务租赁业务实时多媒体业务VPN业务视频监控业务漫游业务,业务类型和用户,Internet业务,城域网/Internet,CERNET,校内网管平台,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学
5、校操场,MAP,MP,MP,运营计费平台,校园网接入控制点,BRAS,汇聚交换机,校园侧,运营商侧,校园网,运营商网,AC,Internet业务用户包括:学校师生、学校访客,学校访客需要运营商能够提供快速开通业务的能力,简单的售卡能够很好的满足需求,校园租赁业务,城域网/Internet,CERNET,校内服务器,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,运营计费平台,校园网接入控制点,BRAS,汇聚交换机,校园侧,运营商侧,校园网,运营商网,AC,租赁业务:学校管理者通过租赁运营商的WLAN网络给学校师生提
6、供服务,运营商给学校开通一个专用SSID:Campus,提供本地转发的方式给学校使用,提高学校的信息化水平。,实时多媒体业务,城域网/Internet,CERNET,校内服务器,教学区,图书馆,校园有线网,运营计费平台,校园网接入控制点,BRAS,汇聚交换机,校园侧,运营商侧,校园网,运营商网,AC,实时多媒体业务:VoWiFi、在线游戏、及拍即印、视频转播(移动视频转播和监控),通过为实时多媒体业务设置专门的SSID,来确保实时多媒体的质量,实时多媒体的终端多采用MAC地址认证。,VPN业务,CERNET,校内服务器,教学区,图书馆,校园有线网,运营计费平台,校园网接入控制点,BRAS,校园
7、网,运营商网,VPN业务:学校访客通过互联网访问企业内网,以及需要老师通过Internet访问学校内网服务。,城域网/Internet,城域网,城域网/Internet,VPN隧道,漫游业务,城域网/Internet,学校B,教学区,图书馆,教学区,图书馆,学生宿舍,学校C,学校A,MPP,学校操场,MAP,MP,MP,运营计费平台,BRAS,汇聚交换机,AC,漫游业务:学生除了在学校A可以通过无线上网外,还可以在学校BC上网,通过漫游区域和带宽提供差异化运营服务。,运营商同学校的几种结算方式,根据实际情况采取不同的结算方式,可以节约运营成本,从而同学校达到双赢的局面,影响双方收益分配变化的几
8、个问题,学校有能力维护,运营商委托学校进行网络维护,付给学校维护费和物业费学校没有能力维护WLAN网络,运营商付给学校物业费用。业务开展通过点卡方式能够促进学校开展业务的积极性,实现双赢,运营级无线校园网部署篇,Internet接入业务租赁业务实时多媒体业务VPN业务视频监控业务漫游业务,部署篇中小规模校园无线网架构,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网核心交换机,BRAS,汇聚交换机,AC,校园侧,运营商侧,校园网,运营商网,主
9、流方式,适合于学校规模不是很大,不需要直接访问校内网的情况,方案采取多个学校共用一个AC,部署新业务简单,运营商SSID集中转发到BAS进行认证,AC放在运营商侧,部署篇中小规模校园无线网架构,适合于学校规模不是很大,多个学校共用一个AC,部署新业务简单,AP启用两个SSID,运营商SSID集中转发到BAS进行认证,校园网SSID采用本地转发,上网的用户由BAS分配IP地址,校内的用户IP地址由学校分配,AC放在运营商侧,部署篇大规模校园无线网的架构,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线M
10、ESH接入区,MPP,学校操场,MAP,MP,MP,校园网核心交换机,BRAS,汇聚交换机,AC,校园侧,运营商侧,校方无线接入控制点,适合于学校规模很大,需要在学校放一个AC,学校一个SSID,运营商一个SSID,两者都走集中转发,运营商数据直接通过NAT透传到BAS做宽带接入认证,学校的用户通过AC在校内网认证。,AC放在校园网侧,部署篇业务控制点选取,CERNET,校内网管平台,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网核心交换机,AC,校园侧,运营商侧,校方无线接入控制点,学校一个SSID,运营
11、商一个SSID,两者都走集中转发,运营商数据直接通过NAT透传到BAS做宽带接入认证,学校的用户通过AC做本地认证。,部署篇 AP部署点,部署篇AP部署方式,PHS,3G,室分系统,室内放装,室外部署,室外场所覆盖,操场等广阔地带的覆盖,采用MESH AP(双频AP,双频可都做覆盖也可以全部回传),覆盖操场等校区的室外空间,高密覆盖部署,降低AP和客户端发射功率,实现同频重叠最小化采用2.4G和5G混合部署,增加用户接入能力,电子化教室,图书馆,宿舍楼,高密覆盖功率自动调整,AP,AP,AP,AP,AP,AP,AP,教室A,教室B,办公室A,办公室B,高密覆盖智能负载均衡,AP1,AP2,智能
12、负载均衡技术,不启动负载分担的区域,基于Radio、流量、AP、AC进行负载均衡,只在重叠覆盖区启动负载均衡,不管是否在重叠区都启动负载均衡,室外覆盖进行补点,高密覆盖11N,WA2620E-AGN,三根天线不代表是三条流,所以3X32322的理论速率都是一样的,但是由于33用的发射天线更多,可以使实际性能比23最多高16%左右,部署篇PoE交换机供电,H3C 3600 PWR,H3C 5500 PWR,H3C 5600 PWR,H3C 3100 EI PWR,相对于本地供电,PoE部署更方便和更安全相对于PoE供电模块,PoE交换机能够实现远程控制,Telnet管理PoE供电,分支机构,部署
13、篇接入用户IP地址和VLAN规划,城域网/Internet,CERNET,校内网管平台,运营计费平台,学校A,AC,校园网无线入口网关,BRAS,汇聚交换机,学校B,学校A校内网,校内网用户的IP地址由学校负责分配,运营商为不同的学校接入用户提供不同的接入IP,便于对业务流量进行统计和管理,部署篇 PPPoE认证,AC,无线AP接入区,教学区,图书馆,学生宿舍,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网和CERNET网,接入交换机,城域网/Internet,运营认证计费平台,BRAS,汇聚交换机,校方无线接入控制点,认证数据流,校园用户帐号和VLAN绑定认证,防止漫游,使
14、用大网认证服务器认证,部署篇 Portal认证,AC,无线AP接入区,教学区,图书馆,学生宿舍,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网和CERNET网,接入交换机,城域网/Internet,运营认证计费平台,BRAS,汇聚交换机,校方无线接入控制点,认证数据流,SSID1:校园内网访问,由学校分配IP地址,SSID2:Internet访问,由运营商分配IP地址,校园用户帐号和VLAN绑定认证,防止漫游,使用大网认证服务器认证,校内和教育网资源访问由校方做认证,基于用户群的智能带宽管理,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,
15、AC,校园网无线入口网关,BRAS,汇聚交换机,东北财经大学,西南师范大学,可以有效防止校内P2P业务占用过多的带宽,导致运营商正常用户无法使用网络,同时可以提供同校园网出口差异化的带宽竞争,基于SSID的可定制转发模式,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,AC,校园网无线入口网关,BRAS,汇聚交换机,访问校内网用户本地转发,访问Internet用户集中转发,基于SSID的本地转发模式为新业务开展提供了灵活的基础,运营级无线校园网安全篇,防Rouge AP防私拆AP防ARP攻击VPN业务视频监控业务漫游业务,运营级无线校园网安全架构,AC和AP
16、间的CAPWAP隧道下行流量限速无线安全插卡,防攻击和提供SSL/IPSEC VPNAP身份认证,全系列PoE交换机端口隔离,动态密钥下发,Hotspot用户隔离TKIP/AES/椭圆加密(WAPI),智能带宽限速,有线无线一体化EAD,有线无线一体化网络拓扑非法设备监控、定位和告警,设备信道调整告警有线无线安全策略在无线控制器统一部署,802.1x/PSK/MAC/Portal多种认证方式的混合接入,升级支持WAPI防ARP攻击和DHCP Server外挂,ARP Proxy,安全无线校园网,大容量无线控制器+安全插卡实现基于业务的数据识别,为运营商的业务开展提供有力的支持,一体化硬件平台:
17、大容量无线控制器+安全插卡一体化EAD解决方案,城域网/Internet,运营计费平台,学校B,AC,BRAS,汇聚交换机,学校A,学校C,校园网中的Rouge AP多为学生私接的的AP,对这类AP的管理可以通过网络技术进行屏蔽,如所有的以太网端口都必须经过Portal认证,避免直接挂AP方式接入网络,另外需要通过学校的规章制度进行引导,FIT AP方案可以监听Rouge AP,发现Rouge AP后,可以采取如下的措施:告警,及时通知管理人员进行干预对Rouge AP进行攻击,Rouge AP检测,学生在宿舍区的私接AP设备,对运营商设备产生干扰。,私拆AP问题的防范,学生将运营商部署的AP
18、设备拆卸到寝室安装使用,采用FIT AP模式,一旦AP离线,AC立即产生告警,另外FIT AP本身无配置,必须配合AC使用,偷之无用,一旦接入运营商网络即可发现该设备连接的端口,避免AP被挪用,城域网/Internet,运营计费平台,教学区,图书馆,学生宿舍,BRAS,汇聚交换机,AC,校园区域,运营商局端,教学区,图书馆,学生宿舍,防ARP攻击,FIT/FAT 双模 AP,AC,L2/L3 IP,IMC,DHCPServer,DNSServer,GW192.168.0.100-E0-FC-01-02-03,192.168.0.10,192.168.0.11,ARP:192.168.0.1 M
19、AC:XX-XX-XX-XX-XX-XX,方法一:用户认证时利用iMC获取合法用户的IP/MAC对应关系 iMC和AC联动,绑定合法用户的对应表项,在AC中过滤掉所有不匹配的ARP报文 iMC和AC联动,绑定合法用户的对应表项,防止网关被非法ARP报文欺骗方法二 在iNode客户端上绑定网关的ARP表项 利用iNode客户端实现本机ARP攻击检测能够支持1x和Portal两种认证的方式,BRAS,AC,DHCP服务器,BRAS解析DHCP交互报文,并据此生成合法ARP表(授权ARP)关闭BRAS ARP广播丢弃目标地址未知的扫描类攻击报文,想发送欺骗报文?丢弃!想做网段扫描?丢弃!,攻击者,授
20、权ARP:有效防护校园ARP攻击和扫描类攻击,AP,监控DHCP交互报文获取合法用户的IP-MAC-port关系,BRAS对于目的未知的报文不再发ARP,直接丢弃,防范扫描攻击,在BRAS上依据DHCP交互信息生成ARP表项,安全部署-用户隔离,端口隔离,端口隔离,用户隔离可以有效的防范用户间的ARP欺骗、MAC欺骗、伪DHCP服务器接入等攻击类型,AC,无线AP接入区,教学区,图书馆,学生宿舍,校园网和CERNET网,接入交换机,城域网/Internet,运营认证计费平台,BRAS,汇聚交换机,校方无线接入控制点,端口隔离,AP用户隔离,WAPI&802.11i,H3C产品同时支持WAPI和
21、802.11i支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802.11i用户共存支持快速漫游,加密机制防止AP侧的信息泄漏,运营级无线校园网扩展篇,AP防盗Rouge AP防ARP攻击防DHCP攻击认证点选择认证方式选择,AC设备高可靠性,双主控控制层面和转发层面分离,单主控出问题时不影响业务热补丁不需要重启设备即可完善软件功能11冗余电源AC N+1备份,AC N+1备份,AC 接入列表AC1AC2。ACn+1,AP,DHCP/DNSserver,AC1,AC2,ACn+1,支持IPv6,AP,无线控制器IAG,IPv6资源,无线接入网,无线IPv6客户端
22、,无线IPv6客户端,无线组网支持IPv6环境,AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道,IPv6管理,AP:DNS6DHCP client6,无线控制器:ACL6DNS6TraceRT6Telnet6,TFTP IPv6FTP IPv6DHCP client6 Ping6,IPv6组播,无线交换机支持MLD Snooping配合现有IPv6有线网络,实现IPv6组播业务,不仅仅是IPv6 透传,紧跟标准步伐,推出802.11n 产品,确保兼容性,万兆多核无线控制器,处理性能可达万兆,满足11n高带宽的需求,支持POE+的交换机,单端口
23、最大可达25W,适应11n时代的需求,平滑升级支持802.11n,运营级无线校园网部署篇,AP集中管理AP在线统计丰富的报表一体化资源管理,按照学校的AP集中管理,分校区A,教学区,图书馆,学生宿舍,基于位置的AP管理能够有效实现同一学校的AP的集中管理,对于需要学校维护的AP的状态实施监控提供了基础,AP在线率统计,AC,无线AP接入区,教学区,图书馆,学生宿舍,校园网和CERNET网,接入交换机,城域网/Internet,管理平台,BRAS,汇聚交换机,校方无线接入控制点,网管通过AC统计AP在线率,无线有线一体化全集成资源管理,丰富的无线统计报表,专业化报表,告警统计报表 网络质量报表
24、流量统计报表 设备性能报表 资源数量统计报表,包括最近24小时全网无线用户在线趋势图、用户数最多的热点Top5、用户数最多的SSID Top5、用户数最多的AP Top5、最近24小时无线用户接入成功率趋势图、最近6小时无线用户接入成功率、最高的AP的Top5和最近6小时无线用户接入失败率最高的AP的Top5 等,目 录,无线校园网的建设运营探讨H3C运营级无线校园网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍,H3C是业界首家提供室内分布式系统共用天馈解决方案,大大降低了运营商建设WLAN网的前期投入成本,并有效的减少运营商工堪的工作量,现网已经有超过40000台设备在运行。
25、业界唯一一家提供FAT AP平滑升级到FIT AP无线解决方案提供商,为运营商前期的投资的保护提供有效保障业界唯一一家提供FAT AP TR-069管理和FIT AP AC管理解决方案的厂家,使WLAN网络实现真正的可管理。AP支持PPPoE拨号,有效的实现将管理网络同数据网络隔离,保证了运营商内部网络的安全性,同时解决了AP的IP地址分配和管理问题。智能带宽限速通过对AP接入用户的带宽限制,有效的避免了由于个别用户使用P2P业务而导致其他用户无法上网。2008年3月国内首家发布11N产品,全球首家发布Unifying Switch厂家,全国市场份额12.5%,位居第二位,运营商市场份额24.
26、5,位居第一位。,H3在WLAN领域的成就,H3C AP设备目前网上使用量已超过40000台。,大会 LOGO,H3C专家介绍 CAPWAP MIB,H3C WLAN在世界,国内唯一一家完全自主研发,拥有完全知识产权的厂家,目前提交专利70余件,并成功在IETF组织提交2份管理标准,2009年WLAN产品布局,网桥,无线控制器,WX5002,WX6103,WX5004,网络管理软件,无线客户端,无线IDS,无线定位,WX3024,S75E/S95插卡,FIT/FAT AP,网桥/Mesh,WA2110-AG,WA2210-AGWA2220-AG,WA1208E-GP,WA1208E-AGP,W
27、A2220E-AG,WA2210X-G/GEWA2220X-AG/AGP/AGE,WA 2620E-AGN,WA 2610E-AGN,WA2220E-AG-T,WA2210E-GE,WB2320X-AGE,无线应用,WX3010,WA2610-AGN,WA2612-AGN,S58无线控制器插卡,S75E交换板无线扣卡/S95E无线插卡,多频Mesh,大容量AC,专业安全插卡,专业BAS插卡,无线控制器插卡,无线控制器插卡,能够平滑升级支持11N兼容各种业务板卡,WA1208EGP,百兆电口,POE,控制口,电源口,射频天线口,室内大功率500MW单频双模适用于室内分布系统支持IEEE802.1
28、1b/IEEE802.11g支持FAT AP/FIT AP模式灵活转换支持多个SSID实现虚拟AP特性,WA 2220X-AG/WA 2220X-AGP,室外型双频多模WA 2220X-AGP支持500mW大功率射频输出环境温度:-4065oC,不需要外接室外机箱支持IEEE802.11a、IEEE802.11b/IEEE802.11g支持FAT AP/FIT AP模式灵活转换支持百兆光电接口上联支持IPv6网络,专业室外产品同包装产品的区别,WA 2210-AG,百兆电口,POE,控制口,电源口,室内型单频多模支持IEEE802.11a或IEEE802.11b/IEEE802.11g支持FA
29、T AP/FIT AP模式灵活转换支持多个SSID实现虚拟AP特性持WEP/TKIP/AES等硬件加解密算法支持IPv6网络,工程:完善的服务体系,H3C服务网络:服务总部:杭州、北京 150名高级工程师,35个区域服务中心,50名现场工程师。82个备件库。,H3C快速的响应机制:724的免费服务热线,80个坐席。,H3C服务案例:2008年为中国电信多次WLAN的服务培训、江苏电信WLAN项目、浙江电信WLAN项目、武汉电信WLAN项目等近50个运营商服务案例,2个服务总部,82个备件库,35个区域服务中心,哈尔滨,杭州,上海,沈阳,长春,目 录,无线校园网的建设运营探讨H3C运营级无线校园
30、网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍,辽宁网通东北财经大学,由1台WX6103无线控制器,96台WA2210-AG系列FIT AP对学校专家楼、砚池楼、国际商贸学院主楼、留学生楼及楼前广场进行无线覆盖。无线网络部署快、工程实施简单、管理维护容易的特点,成为客户首选WLAN进行覆盖的原因。多级分层网管,减少了用户软件投资。,思源楼思源西楼思源东楼,7教、8教、9教,无线交换机,Wireless Switch Manager,集中策略管理中心,3600-28P-PWR-EI,FIT AP,体育馆、综合实验楼,CAMS认证计费管理,3600-28P-PWR-EI,FIT A
31、P,计算中心电气楼,FIT AP,3600-28P-PWR-EI,3600-28P-PWR-EI,3600-28P-PWR-EI,FIT AP,FIT AP,体育场,主席像,东花园、小树林,明湖,FIT AP,图书馆、中心报告厅,天佑会堂、科学会堂,3600-28P-PWR-EI,3600-28P-PWR-EI,3600-28P-PWR-EI,FIT AP,FIT AP,FIT AP,FIT AP,校园骨干网,北京交通大学,通过305台瘦AP对思源楼、科学会堂、体育馆等楼宇连续覆盖以及对明湖、主席像等室外区域实施覆盖。全网的无线接入点通过3台高端无线交换机实施全网统一控制和管理,无线覆盖面广。,南京高等职业技术学校,采用1个S7500E无线控制器插卡、40台WA2110-AG型AP对教学楼和办公楼等场所进行无线覆盖 其中S7500E无线控制器插卡,最高可管理640个AP,便于整个校园无线网络的扩容,
