电信无线校园网解决方案.ppt

H3C电信无线校园网解决方案 目录 无线校园网的建设运营探讨H3C运营级无线校园网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍 无线校园网学校带来的价值 品牌价值 学校提升品牌与社会影响力的基础建设之一有利于扩大社会影响 更好开展对外学术交流与培训使用价值 让学生随时随地获取到教学资源方便学校在对外学术交流等活动过程中向来宾提供上网服务大大提升了校园Internet广播 视频教学服务的便利性 扩大了覆盖的范与学生使用的机会 成为多媒体教学的重要手段可以有针对性的提供信息推送服务便于学校增加临时的可移动视频监控等业务 比如视频监考 而不必在教室里安置长期固定的视频监控头 无线校园网对运营商的价值 1 集团公司已明确的战略市场已经成为集团公司明确开展的工作重点之一 校园是典型的聚类市场 居住高度集中 易做市场推广 信息消费能力强 小额消费频繁 消费模式仿效性强 一点攻破就会全面覆盖 高价值客户群的预备队 大学生群体很快步入社会成为主力消费群 大学期间形成的消费习惯与品牌依赖度对其有重要影响 从QQ与动感地带的成功都可见证这点 高端品牌形象树立的必备热点 大学已成为很多高端人群充电与社交的场所 他们是运营商目前最重要的价值客户群 消灭掉服务盲点对于提升品牌形象具有重要意义 2 WLAN频点是公用的 具有独占性 就象小区入户的双绞线一样 是用户进入互联网的必经之路 谁掌握了它谁就掌握了未来的主动权 目前多个运营商已经开始了在该领域的圈地运动 无线校园网络建设驱动力 学校 节省建设校园网络的投资通过物业资源能够获取收益分成通过服务获取部分收益运营商 WLAN作为宽带接入的补充 配合3G开展宽带数据业务 有效的解决3G基站带宽不足 开展宽带数据业务成本高的问题 成为运营商新的利润增长点目前笔记本终端都支持WIFI功能 学校是终端最密集的地方 学生接受新技术的能力水平高 是开展移动通信的最佳场所需要同宽带开展差异化竞争 运营商建设无线校园的投资方式 独资方式 包括有线无线全部由运营商投资建设合作方式 有线借用学校的网络 无线运营商投资建设租借方式 有线无线都由学校建设 运营商租赁经营学校租借运营商无线网络 访问校内网 由于学校没有运营牌照 因此只能借助运营商进行运营 但设备的投资取决于学校的经济实力 从运营商角度而言 独资方式更易于管理和运营 目录 无线校园网的建设运营探讨H3C运营级无线校园网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍 运营级无线校园网业务篇 Internet接入业务租赁业务实时多媒体业务VPN业务视频监控业务漫游业务 业务类型和用户 Internet业务 城域网 Internet CERNET 校内网管平台 无线AP接入区 教学区 图书馆 教学区 图书馆 学生宿舍 校园有线网 无线MESH接入区 MPP 学校操场 MAP MP MP 运营计费平台 校园网接入控制点 BRAS 汇聚交换机 校园侧 运营商侧 校园网 运营商网 AC SSID SPSSID Campus Internet业务用户包括 学校师生 学校访客 学校访客需要运营商能够提供快速开通业务的能力 简单的售卡能够很好的满足需求 校园租赁业务 城域网 Internet CERNET 校内服务器 无线AP接入区 教学区 图书馆 教学区 图书馆 学生宿舍 校园有线网 无线MESH接入区 MPP 学校操场 MAP MP MP 运营计费平台 校园网接入控制点 BRAS 汇聚交换机 校园侧 运营商侧 校园网 运营商网 AC 租赁业务 学校管理者通过租赁运营商的WLAN网络给学校师生提供服务 运营商给学校开通一个专用SSID Campus 提供本地转发的方式给学校使用 提高学校的信息化水平 SSID SPSSID Campus 实时多媒体业务 城域网 Internet CERNET 校内服务器 教学区 图书馆 校园有线网 运营计费平台 校园网接入控制点 BRAS 汇聚交换机 校园侧 运营商侧 校园网 运营商网 AC 实时多媒体业务 VoWiFi 在线游戏 及拍即印 视频转播 移动视频转播和监控 通过为实时多媒体业务设置专门的SSID 来确保实时多媒体的质量 实时多媒体的终端多采用MAC地址认证 VPN业务 CERNET 校内服务器 教学区 图书馆 校园有线网 运营计费平台 校园网接入控制点 BRAS 校园网 运营商网 VPN业务 学校访客通过互联网访问企业内网 以及需要老师通过Internet访问学校内网服务 城域网 Internet 城域网 城域网 Internet VPN隧道 漫游业务 城域网 Internet 学校B 教学区 图书馆 教学区 图书馆 学生宿舍 学校C 学校A MPP 学校操场 MAP MP MP 运营计费平台 BRAS 汇聚交换机 AC 漫游业务 学生除了在学校A可以通过无线上网外 还可以在学校BC上网 通过漫游区域和带宽提供差异化运营服务 运营商同学校的几种结算方式 根据实际情况采取不同的结算方式 可以节约运营成本 从而同学校达到双赢的局面 影响双方收益分配变化的几个问题 学校有能力维护 运营商委托学校进行网络维护 付给学校维护费和物业费学校没有能力维护WLAN网络 运营商付给学校物业费用 业务开展通过点卡方式能够促进学校开展业务的积极性 实现双赢 运营级无线校园网部署篇 Internet接入业务租赁业务实时多媒体业务VPN业务视频监控业务漫游业务 部署篇 中小规模校园无线网架构 城域网 Internet CERNET 校内网管平台 运营计费平台 无线AP接入区 教学区 图书馆 教学区 图书馆 学生宿舍 校园有线网 无线MESH接入区 MPP 学校操场 MAP MP MP 校园网核心交换机 BRAS 汇聚交换机 AC 校园侧 运营商侧 校园网 运营商网 主流方式 适合于学校规模不是很大 不需要直接访问校内网的情况 方案采取多个学校共用一个AC 部署新业务简单 运营商SSID集中转发到BAS进行认证 AC放在运营商侧 部署篇 中小规模校园无线网架构 适合于学校规模不是很大 多个学校共用一个AC 部署新业务简单 AP启用两个SSID 运营商SSID集中转发到BAS进行认证 校园网SSID采用本地转发 上网的用户由BAS分配IP地址 校内的用户IP地址由学校分配 AC放在运营商侧 部署篇 大规模校园无线网的架构 城域网 Internet CERNET 校内网管平台 运营计费平台 无线AP接入区 教学区 图书馆 教学区 图书馆 学生宿舍 校园有线网 无线MESH接入区 MPP 学校操场 MAP MP MP 校园网核心交换机 BRAS 汇聚交换机 AC 校园侧 运营商侧 校方无线接入控制点 适合于学校规模很大 需要在学校放一个AC 学校一个SSID 运营商一个SSID 两者都走集中转发 运营商数据直接通过NAT透传到BAS做宽带接入认证 学校的用户通过AC在校内网认证 AC放在校园网侧 部署篇 业务控制点选取 CERNET 校内网管平台 无线AP接入区 教学区 图书馆 教学区 图书馆 学生宿舍 校园有线网 无线MESH接入区 MPP 学校操场 MAP MP MP 校园网核心交换机 AC 校园侧 运营商侧 校方无线接入控制点 学校一个SSID 运营商一个SSID 两者都走集中转发 运营商数据直接通过NAT透传到BAS做宽带接入认证 学校的用户通过AC做本地认证 部署篇 AP部署点 部署篇 AP部署方式 PHS 3G 室分系统 室内放装 室外部署 室外场所覆盖 操场等广阔地带的覆盖 采用MESHAP 双频AP 双频可都做覆盖也可以全部回传 覆盖操场等校区的室外空间 高密覆盖部署 降低AP和客户端发射功率 实现同频重叠最小化采用2 4G和5G混合部署 增加用户接入能力 电子化教室 图书馆 宿舍楼 高密覆盖 功率自动调整 AP AP AP AP AP AP AP 教室A 教室B 办公室A 办公室B 高密覆盖 智能负载均衡 AP1 AP2 智能负载均衡技术 不启动负载分担的区域 基于Radio 流量 AP AC进行负载均衡 只在重叠覆盖区启动负载均衡 不管是否在重叠区都启动负载均衡 室外覆盖进行补点 高密覆盖 11N WA2620E AGN 三根天线不代表是三条流 所以3X3 2 3 2 2的理论速率都是一样的 但是由于3 3用的发射天线更多 可以使实际性能比2 3最多高16 左右 部署篇 PoE交换机供电 H3C3600PWR H3C5500PWR H3C5600PWR H3C3100EIPWR 相对于本地供电 PoE部署更方便和更安全相对于PoE供电模块 PoE交换机能够实现远程控制 Telnet管理PoE供电 分支机构 部署篇 接入用户IP地址和VLAN规划 城域网 Internet CERNET 校内网管平台 运营计费平台 学校A AC 校园网无线入口网关 BRAS 汇聚交换机 学校B 学校A校内网 校内网用户的IP地址由学校负责分配 运营商为不同的学校接入用户提供不同的接入IP 便于对业务流量进行统计和管理 部署篇 PPPoE认证 AC 无线AP接入区 教学区 图书馆 学生宿舍 无线MESH接入区 MPP 学校操场 MAP MP MP 校园网和CERNET网 接入交换机 城域网 Internet 运营认证计费平台 BRAS 汇聚交换机 校方无线接入控制点 认证数据流 校园用户帐号和VLAN绑定认证 防止漫游 使用大网认证服务器认证 部署篇 Portal认证 AC 无线AP接入区 教学区 图书馆 学生宿舍 无线MESH接入区 MPP 学校操场 MAP MP MP 校园网和CERNET网 接入交换机 城域网 Internet 运营认证计费平台 BRAS 汇聚交换机 校方无线接入控制点 认证数据流 SSID1 校园内网访问 由学校分配IP地址 SSID2 Internet访问 由运营商分配IP地址 校园用户帐号和VLAN绑定认证 防止漫游 使用大网认证服务器认证 校内和教育网资源访问由校方做认证 基于用户群的智能带宽管理 城域网 Internet CERNET 校内网管平台 运营计费平台 无线AP接入区 AC 校园网无线入口网关 BRAS 汇聚交换机 东北财经大学 西南师范大学 可以有效防止校内P2P业务占用过多的带宽 导致运营商正常用户无法使用网络 同时可以提供同校园网出口差异化的带宽竞争 基于SSID的可定制转发模式 城域网 Internet CERNET 校内网管平台 运营计费平台 无线AP接入区 AC 校园网无线入口网关 BRAS 汇聚交换机 访问校内网用户本地转发 访问Internet用户集中转发 基于SSID的本地转发模式为新业务开展提供了灵活的基础 运营级无线校园网安全篇 防RougeAP防私拆AP防ARP攻击VPN业务视频监控业务漫游业务 运营级无线校园网安全架构 AC和AP间的CAPWAP隧道下行流量限速无线安全插卡 防攻击和提供SSL IPSECVPNAP身份认证 全系列PoE交换机端口隔离 动态密钥下发 Hotspot用户隔离TKIP AES 椭圆加密 WAPI 智能带宽限速 有线无线一体化EAD 有线无线一体化网络拓扑非法设备监控 定位和告警 设备信道调整告警有线无线安全策略在无线控制器统一部署 802 1x PSK MAC Portal多种认证方式的混合接入 升级支持WAPI防ARP攻击和DHCPServer外挂 ARPProxy 安全无线校园网 大容量无线控制器 安全插卡实现基于业务的数据识别 为运营商的业务开展提供有力的支持 一体化硬件平台 大容量无线控制器 安全插卡一体化EAD解决方案 城域网 Internet 运营计费平台 学校B AC BRAS 汇聚交换机 学校A 学校C 校园网中的RougeAP多为学生私接的的AP 对这类AP的管理可以通过网络技术进行屏蔽 如所有的以太网端口都必须经过Portal认证 避免直接挂AP方式接入网络 另外需要通过学校的规章制度进行引导 FITAP方案可以监听RougeAP 发现RougeAP后 可以采取如下的措施 告警 及时通知管理人员进行干预对RougeAP进行攻击 RougeAP检测 学生在宿舍区的私接AP设备 对运营商设备产生干扰 私拆AP问题的防范 学生将运营商部署的AP设备拆卸到寝室安装使用 采用FITAP模式 一旦AP离线 AC立即产生告警 另外FITAP本身无配置 必须配合AC使用 偷之无用 一旦接入运营商网络即可发现该设备连接的端口 避免AP被挪用 城域网 Internet 运营计费平台 教学区 图书馆 学生宿舍 BRAS 汇聚交换机 AC 校园区域 运营商局端 教学区 图书馆 学生宿舍 防ARP攻击 FIT FAT双模AP AC L2 L3IP IMC DHCPServer DNSServer GW192 168 0 100 E0 FC 01 02 03 192 168 0 10 192 168 0 11 ARP 192 168 0 1MAC XX XX XX XX XX XX 方法一 用户认证时利用iMC获取合法用户的IP MAC对应关系iMC和AC联动 绑定合法用户的对应表项 在AC中过滤掉所有不匹配的ARP报文iMC和AC联动 绑定合法用户的对应表项 防止网关被非法ARP报文欺骗方法二在iNode客户端上绑定网关的ARP表项利用iNode客户端实现本机ARP攻击检测能够支持1x和Portal两种认证的方式 BRAS AC DHCP服务器 BRAS解析DHCP交互报文 并据此生成合法ARP表 授权ARP 关闭BRASARP广播丢弃目标地址未知的扫描类攻击报文 想发送欺骗报文 丢弃 想做网段扫描 丢弃 攻击者 授权ARP 有效防护校园ARP攻击和扫描类攻击 AP 监控DHCP交互报文获取合法用户的IP MAC port关系 BRAS对于目的未知的报文不再发ARP 直接丢弃 防范扫描攻击 在BRAS上依据DHCP交互信息生成ARP表项 安全部署 用户隔离 端口隔离 端口隔离 用户隔离可以有效的防范用户间的ARP欺骗 MAC欺骗 伪DHCP服务器接入等攻击类型 AC 无线AP接入区 教学区 图书馆 学生宿舍 校园网和CERNET网 接入交换机 城域网 Internet 运营认证计费平台 BRAS 汇聚交换机 校方无线接入控制点 端口隔离 AP用户隔离 WAPI 802 11i H3C产品同时支持WAPI和802 11i支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802 11i用户共存支持快速漫游 加密机制防止AP侧的信息泄漏 运营级无线校园网扩展篇 AP防盗RougeAP防ARP攻击防DHCP攻击认证点选择认证方式选择 AC设备高可靠性 双主控控制层面和转发层面分离 单主控出问题时不影响业务热补丁不需要重启设备即可完善软件功能1 1冗余电源ACN 1备份 ACN 1备份 AC接入列表AC1AC2 ACn 1 AP DHCP DNSserver AC1 AC2 ACn 1 支持IPv6 AP 无线控制器 IAG IPv6资源 无线接入网 无线IPv6客户端 无线IPv6客户端 无线组网支持IPv6环境 AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道 IPv6管理 AP DNS6DHCPclient6 无线控制器 ACL6DNS6TraceRT6Telnet6 TFTPIPv6FTPIPv6DHCPclient6Ping6 IPv6组播 无线交换机支持MLDSnooping配合现有IPv6有线网络 实现IPv6组播业务 不仅仅是IPv6透传 紧跟标准步伐 推出802 11n产品 确保兼容性 万兆多核无线控制器 处理性能可达万兆 满足11n高带宽的需求 支持POE 的交换机 单端口最大可达25W 适应11n时代的需求 平滑升级支持802 11n 运营级无线校园网部署篇 AP集中管理AP在线统计丰富的报表一体化资源管理 按照学校的AP集中管理 分校区A 教学区 图书馆 学生宿舍 基于位置的AP管理能够有效实现同一学校的AP的集中管理 对于需要学校维护的AP的状态实施监控提供了基础 AP在线率统计 AC 无线AP接入区 教学区 图书馆 学生宿舍 校园网和CERNET网 接入交换机 城域网 Internet 管理平台 BRAS 汇聚交换机 校方无线接入控制点 网管通过AC统计AP在线率 无线有线一体化全集成资源管理 丰富的无线统计报表 专业化报表 告警统计报表网络质量报表流量统计报表设备性能报表资源数量统计报表 包括最近24小时全网无线用户在线趋势图 用户数最多的热点Top5 用户数最多的SSIDTop5 用户数最多的APTop5 最近24小时无线用户接入成功率趋势图 最近6小时无线用户接入成功率 最高的AP的Top5和最近6小时无线用户接入失败率最高的AP的Top5等 目录 无线校园网的建设运营探讨H3C运营级无线校园网解决方案介绍H3C运营级无线校园网产品介绍H3C成功案例介绍 H3C是业界首家提供室内分布式系统共用天馈解决方案 大大降低了运营商建设WLAN网的前期投入成本 并有效的减少运营商工堪的工作量 现网已经有超过40000台设备在运行 业界唯一一家提供FATAP平滑升级到FITAP无线解决方案提供商 为运营商前期的投资的保护提供有效保障业界唯一一家提供FATAPTR 069管理和FITAPAC管理解决方案的厂家 使WLAN网络实现真正的可管理 AP支持PPPoE拨号 有效的实现将管理网络同数据网络隔离 保证了运营商内部网络的安全性 同时解决了AP的IP地址分配和管理问题 智能带宽限速通过对AP接入用户的带宽限制 有效的避免了由于个别用户使用P2P业务而导致其他用户无法上网 2008年3月国内首家发布11N产品 全球首家发布UnifyingSwitch厂家 全国市场份额12 5 位居第二位 运营商市场份额24 5 位居第一位 H3在WLAN领域的成就 H3CAP设备目前网上使用量已超过40000台 大会LOGO H3C专家介绍CAPWAPMIB H3CWLAN在世界 国内唯一一家完全自主研发 拥有完全知识产权的厂家 目前提交专利70余件 并成功在IETF组织提交2份管理标准 2009年WLAN产品布局 网桥 无线控制器 WX5002 WX6103 WX5004 网络管理软件 无线客户端 无线IDS 无线定位 WX3024 S75E S95插卡 FIT FATAP 网桥 Mesh WA2110 AG WA2210 AGWA2220 AG WA1208E GP WA1208E AGP WA2220E AG WA2210X G GEWA2220X AG AGP AGE WA2620E AGN WA2610E AGN WA2220E AG T WA2210E GE WB2320X AGE 无线应用 WX3010 WA2610 AGN WA2612 AGN S58无线控制器插卡 S75E交换板无线扣卡 S95E无线插卡 多频Mesh 大容量AC 专业安全插卡 专业BAS插卡 无线控制器插卡 无线控制器插卡 能够平滑升级支持11N兼容各种业务板卡 WA1208E GP 百兆电口 POE 控制口 电源口 射频天线口 室内大功率500MW单频双模适用于室内分布系统支持IEEE802 11b IEEE802 11g支持FATAP FITAP模式灵活转换支持多个SSID实现虚拟AP特性 WA2220X AG WA2220X AGP 室外型双频多模WA2220X AGP支持500mW大功率射频输出环境温度 40 65oC 不需要外接室外机箱支持IEEE802 11a IEEE802 11b IEEE802 11g支持FATAP FITAP模式灵活转换支持百兆光电接口上联支持IPv6网络 专业室外产品同包装产品的区别 WA2210 AG 百兆电口 POE 控制口 电源口 室内型单频多模支持IEEE802 11a或IEEE802 11b IEEE802 11g支持FATAP FITAP模式灵活转换支持多个SSID实现虚拟AP特性持WEP TKIP AES等硬件加解密