H3C华三WLAN无线城市解决方案.ppt

h3c wlan无线线城市解决方案 杭州华三通信技术有限公司 2 n 无线城市业务需求 n h3c wlan解决方案介绍 目录 3 p2007年12月02日至08日，ietf 70届大会在加拿大温哥华举行。 p在capwap工作组会议上作了专题报告，完整地介绍了h3c公司在无线网络管 理的创新理念。该设计理念和思想受到ietf capwap 工作组专家的一致认 可，来自多家设备厂商的专家提出与h3c合作共同参与该标准的制定。 p根据大会的投票选举结果，h3c的草案获得了工作组的全票通过：正式成为 工作组草案。不久的将来，该草案最终将成为ietf rfc标准并正式发布。 大会 logo h3c专家介绍 capwap mib h3c wlanh3c wlan在世界在世界 4 nh3c是业界首家提供室内分布式系统共用天馈解决方案，大大降低了 运营商建设wlan网的前期投入成本，并有效的减少运营商工堪的工作 量，现网已经有超过20000台设备在运行。 n业界唯一一家提供fat ap平滑升级到fit ap无线解决方案提供商，为 运营商前期的投资的保护提供有效保障 n业界唯一一家提供fat ap tr-069管理和fit ap ac管理解决方案的厂 家，使wlan网络实现真正的可管理。 n智能带宽限速通过对ap接入用户的带宽限制，有效的避免了由于个别 用户使用p2p业务而导致其他用户无法上网。 h3c wlan h3c wlan 在中国在中国 h3c ap设备目前网上使用量已超过30000台。 5 无线线城市对对全业务业务 运营营的意义义 无线城市需要运营商保证可持续发展 政府直接投资模式 政府与运营商合作模式 混合模式 全业务运营商需要无线城市作为战略资源 n全业务转型的必然选择 n抢占高端客户群 n抢占频段资源、物业资源 n增值业务的战略平台 6 无线城市 热点覆盖 家庭覆盖 无线线城市演化过过程 ac 热区覆盖 fit/fat 双模 ap 快速漫游 智能 负载均衡 室内到室外 逐步扩展 7 公众用户业务户业务 需求 aaaaaa 认证、计费平台 portport alal 网管平台 城域网 家庭 公交 车站 认证流 推送web页面 咖啡馆主页 8 大客户业务户业务 需求 电子警务摄像头无线接入 移动办公 无线城市 数字城管 9 无线城市的需求分析 多种增值服务 高带宽 多业务融合 高清流媒体 数据安全 无线无线 城域网城域网 多业务融合 数据安全 多种增值服务 高带宽 高清流媒体 n hqos保障 n 组播保障 n 统一认证 n fmc 融合 n 灵活的用户管理策略 n 广告平台 n 精细化流量运营 n ddos攻击防护 n 空口安全 n vpn 保护 n 病毒防护 n 入侵检测 10 n 无线城市业务需求 n h3c wlan无线城市解决方案 目录 n组网解决方案 n安全解决方案 n网络管理解决方案 11 wlanwlan组网模式：组网模式：fat ap & fit apfat ap & fit ap ac （access controller） 无线控制器 ap管理 非法无线入侵检测 位置检测 网络自愈 每用户的安全策略 rf管理 “胖”ap “瘦”ap 802.11a/b/g 天线 加密 移动 ip,vpn 802.1x, tkip, qos, 802.11h 权限控制 策略控制 三层漫游 802.11a/b/g 天线 加密 移动 ip,vpn 802.1x, tkip, qos, 802.11h 权限控制 策略控制 漫游 12 quidview apap apapap cams l2交换机 l3交换机 1、ap通过边缘l2交换机接入有线网络， ap或者l3交换机(ac)作为认证终结点 ； 2、小规模wlan网络应用，组网简单，成本低廉； 3、ap作为边缘接入设备，类似有线网络接入层交换机，管理简单； fat apfat ap组网模式组网模式 l2交换机 13 1、增加wireless switch作为中央控制管理单元、认证终结点，适合大规模wlan组网； 2、 wireless switch与ap之间跨越l2、l3、广域网的灵活组网； 3、快速漫游切换、基于用户的权限管理、无线射频环境监控、语音视频等增值业务 的满足； cams s3600-pwr s3600-pwr fit apfit ap组网模式组网模式 quidview ac 14 热热区覆盖的趋势趋势 ：fit ap bss 3 bss 5 bss 1 bss 2 bss 4 蓝色子网红色子网 bobamyamy 无线控制器 无线控制器 apapap ip网络 fit ap 智能射频功率管理智能射频功率管理 智能负载均衡 移动漫游移动漫游 智能信道管理智能信道管理 ap1 ap2 拒绝关联 接受关联 15 fit ap 城域网组组网方案集中转发转发 aaaaaa 热点b bas adsl猫 dslam 汇聚交换机 fit ap sr 热点c 接入交换机 fit ap 汇聚交换机 热点a 无线控制器 internet/ backbone 网管认证平台 16 fit ap 城域网组组网方案数据流和控制流分离 aaaaaa 热点b bas adsl猫 dslam 汇聚交换机 fit ap sr 热点c 接入交换机 fit ap 汇聚交换机 热点a 无线控制器 internet/ backbone 网管认证平台 数据流 控制流 17 fit ap城域网组组网方案 一体化多业务业务 承载载 iptv 无线语音 无线监控 无线流媒体 pppoe认证 低速无线上网 aaaaaa 热点b bas adsl猫 dslam fit ap sr 热点c 接入交换机 fit ap internet/ backbone 网管认证平 台 汇聚交换机 +bas功能 +无线控制器 ssid：视频监控 ssid:语音终端 n对公众上网，移动办公，视频监控和wifi语音业务，分配专用的ssid进行接入。 n公众上网用户采用pppoe认证或portal认证，认证点在无线控制器上。 n视频监控和语音通信，可采用mac地址认证方式。 18 h3c城域解决方案高可靠性网络络 fit/fat 双模 ap fit/fat 双模 ap ac ac间n+1备份 100ms故障检测 ap支持物理链路双上行 同时同2个ac建立逻辑连 接，保证快速切换 sta在ap/ac间50ms内 快速漫游 智能负载均衡 ac 19 h3c fit a室内分布式大面积覆盖 室内吸顶天线 滤波合路器 宽频带功分器 滤波合路器 室内分布系统 大功率ap 2g/3g/phs 耦合器 功分器 耦合器 功分器 功分器 小天 线 小天 线 泄漏电缆负 载 功分器 小天 线 耦合器 大范围 低密度 1208e-gp等全系列fat ap都能够平滑升级到fit ap，增强可管理性 20 h3c热热点解决方案-智能带宽带宽 限速 ap能够根据接入用户数进行自动带宽调整 可以有效防止p2p业务占用 过多的带宽，导致其他正常 用户无法使用网络 城 域 网 交换机 b a s 统一网管、认证平台acs 交换机 a 21 fat ap-fit ap平滑演进进 internet/ backbone lsw 城域网 bras 有线接入 dslam 热点场所 无线网管aaa internet/ backbone lsw 城域网 bras 有线接入 dslam 热点场所 无线网管 aaa 直接管理 fat ap 统一认证 fit ap ac 统一认证 间接管理 建网初期建网后期 n建网初期，由于ap量小， 可以采用fat ap, 用无线网管直接管理； n建网后期， 随着ap数量的增加， 引入ac设备对ap进行管理，原有fat平滑切换成fit； n有线无线的帐户认证统一在原来有线网的bras上进行认证，管理. 22 n 无线城市业务需求 n h3c wlan无线城市解决方案 目录 n组网解决方案 n安全解决方案 n网络管理解决方案 23 h3ch3c城域解决方案城域解决方案无线安全体系无线安全体系 层次体系主要技术解决的问题 物理空口wep64/128、tkip、ccmp加密，可升级支持wapi加密防止无线报文被监听和篡改 用户接入802.1x/psk/mac/portal/pppoe多种认证方式的混合接入，升级支持wapi认证，支持本地终 结eap，支持本地认证 用户身份鉴别和安全准入 动态下发用户的权限，带宽，vlan，acl业务隔离 hotspot用户隔离限制用户互访 网络安全inode无线客户端,ead支持，防arp/dhcp欺骗隔离感染病毒和存在系统漏洞的无线客户端 无线入侵检测系统，wids/ips非法设备的检测、无线攻击的告警、规避和反攻击 安全策略在无线控制器统一部署避免在大量的无线接入点部署策略 ac和ap间的capwap隧道下行流量限速防范外界对ap的数据流量攻击 ipsec vpn端到端的安全加密 设备ap本地不再保存配置信息避免设备丢 失造成配置泄漏 ap身份认证只有合法的ap才能和无线控制器建立关联 ap支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪 网管无线安全策略配置无线安全策略的统一部署 非法设备监 控和告警非法设备的检测、无线攻击的告警和规避 设备信道调整告警了解设备遭受干扰后的信道调整情况 24 h3c wlan h3c wlan 全面安全解决方案全面安全解决方案 imcimc portalportal 城域网 fit/fat 双模 apfit/fat 双模 ap 一体化硬件平台： 防病毒、蠕虫 防ddos攻击 状态包过滤 防垃圾邮件 内容过滤 25 h3ch3c城域解决方案城域解决方案arparp攻击和攻击和dhcp serverdhcp server外挂外挂 利用认证客户端在终端上绑定网关arp 表项。 imc-cams inode绑定网 关arp表项 利用认证机制将ip- mac关系上传到认证 服务器 1 a c fit/f at 双 模 ap dhcp server ac解析客户端和 dhcp服务器之间 的交互报文，获得 合法用户的ip- mac-port对应关 系 ac将获取到 的合法用户 的ip-mac- port绑定在入 接口上 a c fit/fat 双 模 ap inode绑定网 关arp表项 监控dhcp交互报文获取合法用户的ip- mac-port关系 在接入交换机上绑定，实现对arp报文的 检查，过滤掉所有非法报文。 26 h3ch3c城域解决方案城域解决方案终端安全保障终端安全保障 不合格不合格 进入隔离区进入隔离区 强制加固强制加固 隔离区隔离区 安全认证安全认证 合法用户合法用户 非法用户非法用户 拒绝入网拒绝入网 身份认证身份认证 接入请求接入请求 你是谁？ 企业网络企业网络 动态授权动态授权 合格用户合格用户 不同用户享不同用户享 受不同的网受不同的网 络使用权限络使用权限 行为审计行为审计 无线控制器 27 有线网络有线网络 令牌桶 流量统计 queue0 queue1 queue2 queuen drop tail rr/ dr r 接收 报文 无线有线 优先级映射 流分类 流量 限制 队列 发送 报文 出队 调度 拥塞 控制 转发 源地址 目的地址 源端口 目的端口 协议类型 acl 无线控制器调度机制 优先级队列1 优先级队列2 优先级队列3 优先级队列4 busyframe time aifs4 cw4 aifs3cw3 frame aifs2cw2 frame aifs1 cw1 frame ap调度机制 capwap隧道优先级 capwap隧道优先级 h3ch3c城域解决方案城域解决方案业务保障业务保障 用户优先级到 capwap优 先级映射 用户优先级到 capwap优 先级映射 28 n 无线城市业务需求 n h3c wlan无线城市解决方案 目录 n组网解决方案 n安全解决方案 n网络管理解决方案 29 监视 ac与有线拓扑 ap与无线拓扑 终端用户管理与漫游 非法设备检测 调配 ac的配置 fit/fat ap的配置 终端的配置 部署 无线设备的统一管理 策略模板、批量部署 radio、服务的管理 优化 流量分析 安全策略acl 流量控制qos 安全 无线用户认证 无线ead 无线审计 部署 监视 调配 安全 优化 无线业务线业务 管理模型 30 根据服务划 分的漫游域 视图 无线资源统一管理无线资源统一管理 资源统一管理 漫游域、物理位置、设备类型等多种分组显示方式 ac、fit ap、fat ap设备的集中管理 全网无线资源总体信息及状态一目了然 根据地