针对运营商产架构及决方案认证流程.ppt

Aruba针对运营商产品架构及方案 IPNetwork IPNetwork IPNetwork Manage Control Access Arubawirelesssystem NMS WirelessController AP Mesh 2 ProductArchitecture MSR1000 MSA1100 MSR2000 MSR4000 MSA MSRSeries MSTSeries WirelessManagementSystem WMS NMS AC MSR1200 MSR2000 1 AP Mesh MST200 MST200 M MC8000 AC20KMC MC8000 Z 3 ArubaproductFamily 功能和参数集中设备管理集中配置管理支持802 11a b g n可选两种功率配置 100mW 500mW支持胖 瘦AP切换每个载频支持16个BSS功率自动调整信道自动调整支持负载均衡漫游支持WMM无线安全支持WAPI支持IPv6 接口网口 10 100 1000BASE T POEIN 天线接口 100mW 2个RP SMA500mW 1个RP SMA 室内型AP 4 MSA1100 MSR1000 5 MSA1100 MSR1000 接口网口 10 100 1000BASE T POEIN 天线接口 100mW 2个N型接头500mW 1个N型接头 功能和参数集中设备管理集中配置管理支持802 11a b g n可选两种功率配置 100mW 500mW支持胖 瘦AP切换每个载频支持16个BSS功率自动调整信道自动调整支持负载均衡漫游支持WMM无线安全支持WAPI支持IPv6 室外型AP 6 MSR2000 1 7 MSR2000 1Port 8 MSR2K 2510ASingleradio 1x111b gOutdoor POEpowered 27dBm Aruba2010CMCCAP MSA1K 2113NADualradio 11an bgn2x2 2Indoor POE MSA1K 2510ASingleradio b g indoor POEpowered 27dBm MSA1K 2110ASingleradio b g Indoor POEpowered 20dBm MSA1K 2510NASingleradio b g n1x1Indoor POEpowered 27dBm MC是阿德利亚多业务无线控制器 用来管理无线接入点 支持集中设备管理 集中配置管理 漫游管理 业务管理 资产管理 拓扑管理和故障管理等 通过MC集成的网管功能 能够实现对小规模网络的管理 用户能够查看网络的拓扑结构 设备运行状况及故障信息等 MC8000支持接入点即插即用 能够满足客户的快速建网要求 通过MC8000的集中管理功能 客户能集中对无线接入点进行统一操作 统一配置和软件升级 阿德利亚MC8000支持灵活组网 能够平滑地集成到任意规模的有线网络中 能够与接入点在二层或三层网络架构上进行组网 适用于无线局域网和城域网 主要特点 配置管理资产管理性能管理拓扑管理漫游管理故障管理报表管理日志管理非法AP检测WAPI证书管理安全管理 9 MC8000WirelessController 主要特点 集中设备管理集中配置管理漫游管理用户管理负载均衡管理射频管理转发模式管理非法AP检测WAPI证书管理安全管理防火墙功能性能管理拓扑管理最多支持1024台AP支持用户计费及认证功能支持N 1备份 MC8000 Z700是一款高性能无线控制器 提供2个业务插槽 支持12个GE接口 具有1024台FitAP的管理能力 MC8000 Z700支持集中设备管理 集中配置管理 漫游管理 业务管理 用户管理等 MC8000 Z700支持接入点即插即用 能够满足客户的快速建网要求 通过MC8000 Z700的集中管理功能 客户能集中对无线接入点进行统一操作 统一配置和软件升级 阿德利亚MC8000 Z700支持灵活组网 能够平滑地集成到任意规模的有线网络中 能够与接入点在二层或三层网络架构上进行组网 适用于无线局域网和城域网 10 MC8000 Z700WirelessController 中移动WLAN解决方案 中移动WLAN数据配置 目录 运营商关注的新技术 全面支持新技术 802 11n标准具有高达600Mbps的速率物理层MIMO 2x2 3x3 TxR 信道绑定 40MHzShortGiMAC层包聚合Block确认 802 11n的关键技术 802 11n MIMO 一个MIMOradio同时发送多个无线信号 并充分利用多径效应 因为在这些天线之间有一些空间 每个信号都可经过不同路径到达接收端 802 11n 信道合并40MHzChannels 802 11n同时使用20MHZ和40MHZ信道 802 11n的40MHz信道是两个相邻的20MHz通道粘接在一起 20MHzand40MHzChannels 传统的无线传输方法 用来传输每个数据包的开销是固定的 无论数据包本身的大小 802 11n通过将多个应用数据包聚合成一个数据传输帧来提高效率 这样 802 11n可以用只有一个帧的开销来发送多个数据包 802 11n 包聚合 包聚合对特别的一些应用是很有益的 例如取决于包压缩能力的文件传输 然而 实时应用 如语音 不受益 因为它的数据包按固定间隔打散 然后结合成一个较大的有效载荷数据包 这样会带来不必要的延迟 语音及其它多媒体应用还得益于MIMO技术的其他影响 802 11n 后向兼容802 11a b g 802 11n标准可以工作在2 4 GHz 5 GHz频段 后向兼容802 11a b g 可工作在20 MHz信道支持非MIMO802 11a b g客户端 17 802 11a b gClients Support802 11n 802 11n速率 WLAN安全发展 完全开放的环境 基本MAC限制 WEP 802 11i WPA WPA2 WAPI WAPI安全 包括WAI 认证 与WPI 加密 采用了公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法 SMS4 椭圆曲线算法作用 数字证书 证书鉴别 密钥协商分组密码算法作用 传输数据的加解密与其他无线局域网安全机制相比 WAPI的优越性集中体现在双向身份鉴别 基于数字证书确保安全性和完善的鉴别协议 WAPI认证过程 WAPI认证过程 客户端关连到AP 客户端通过AP下发的beacon帧确认支持WAPI认证 关连到APAP触发WAPI认证 客户端成功关联到AP后 AP判定该用户为WAPI用户时 会向客户端发送鉴别激活触发消息 触发客户端发起WAPI鉴别交互过程 AS进行证书鉴别 客户端在发起接入鉴别后 AP会向远端的鉴别服务器发起证书鉴别 鉴别请求消息中同时包含有客户端和AP的证书信息 鉴别服务器对二者身份进行鉴别 并将验证结果发给AP AP和客户端任何一方如果发现对方身份非法 将主动中止无线连接 客户端和AP进行密钥协商 AP经鉴别服务器认证成功后 AP会发起与无客户端的密钥协商交互过程 先协商出用于加密单播报文的单播密钥 然后再协商出用于加密组播报文的组播密钥 AP即插即用 CAPWAP AP上电后 自动获取本地地址和AC的IP地址列表 AP根据获取的AC地址列表 选择优先级最高的AC进行注册 使用本机序列号 IP地址等 AC收到AP的注册申请后 对其进行必要的安全验证 验证通过后 与其建立隧道并下发初始配置 AP注册完成 所有AP都完成注册后 可以利用配置管理工具对AP进行批量的配置操作随着网络演进 capwap需要支持IPV4 V6双栈 IPNetwork 工作示意描述 AC AP CAPWAP DHCP AP接入网络中任意网口后 开始receivesDHCP 使用option43规定AC地址 AP取得AC地址后 主动发起与AC的认证连接 AC对AP进行验证后 与AP建立连接 AP获得配置信息 终端正常访问网络 在三层组网中 也可以使用DHCP的方式完成零配置 但需要所有开启DHCPRelay的设备都支持Option43 并保证AP可以正确获得Option43的值 ArubaCapwap支持 广播方式 DHCP方式 DNS方式 中移动WLAN解决方案 中移动WLAN数据配置 目录 运营商关注的新技术 解决方案综述 满足哪些应用 覆盖什么地方 范围多大 什么样的网络结构 室内 室外 室内及室外 数据 语音 视频 AP AC Radius portal AC MSR MSR MSR MSR AccessSwitch POESwitch CoreSwitch Internet MSR 室内覆盖 MESH LongDistance MSR MSR MSR MSR MSR AC IPNetwork MST MST 室外覆盖 室外Mesh自愈 室内 室外 运营商三网合一 运营商一体化WLAN方案 运营商WLAN认证计费方案 认证方式 Portal PPPOE认证计费位置 移动 集中式 Portal及Radius集中在集团 少数省份有自己的 与集团的互联 Portal或Radius根据号段确认是否为本省用户电信与联通 各省有自己的Portal及Radius 保证能互通 漫游用户认证前需要先选择归属省份计费方案热点hotspot nasid计费固定密码与动态密码 Aruba的AC与AP间三层互连方案 Aruba的AC与AP间二层互连方案 集中与本地转发相结合方案 在AP上配置不同的BSS实现集中转发与本地转发 中移动WLAN解决方案 中移动WLAN数据配置 目录 运营商关注的新技术 38 中国移动WLAN组网结构 HLR AuC 用户SIM卡认证信息AS 利用HLR AuC中现有的用户SIM认证信息 采用HLR AuC协作实现对SIM用户的认证 BOSS系统 对用户业务注册服务 用户信息更新 计费和结算 Radius服务器 中国移动CMNET全国认证中心 基于帐号 密码方式 全国CMNET 中国移动全国的骨干网络 省骨干网CMNET 省级的骨干网络 省会城市的城域网 接入控制器AC 完成对用户接入控制 计费信息采集和业务管理和控制热点区域 放置AP 对热点进行无线覆盖 中国移动的网络介绍 河南移动WLAN项目拓扑 M320 M320 NMS Radius Portal NE40 NE40 NE40 PoE PoE AP AP 交换 交换 管理 管理 Access Access Access Access 心跳 G1 3 G1 3 G1 0 G1 1 G1 1 G1 0 G1 2 G1 2 Eth2 Eth2 Z7000 1 Z7000 2 WLAN网络结构 WLANAC设备部署在核心节房 接入IP城域网汇聚层SR 路由互通WLANAP通过交换机 L2 L3 组建局域网WLANAC与AP间要保持路由互通AC与AP之间采用CAPWAP协议构建二层隧道 传递AC对AP的控制信息 以及用户登陆网络时的DHCP信息 AC配合支撑网Radius服务器完成WLAN用户的接入认证 并为用户分配上网地址 WLAN用户通过认证 获得IP地址后 即可正常访问互联网 注 采用二层方式还是三层方式主要是看各省的CMNET结构 AC数据配置 配置用户侧端口和网络侧端口并激活 配置AP的DHCP池 配置AC用户地址池的IP地址段 掩码 DNS主备服务器的IP地址 配置Portal服务器的IP地址 配置RADIUS IP地址 认证端口 计费端口 以及和Radius之间的密钥 配置用户接入地编号 NAS ID 配置AC设备编码 AC NAME 配置相关的策略 包括允许未认证用户访问Portal DNS等 配置AP的数据模板 NAS ID WLAN用户接入地编号 NAS ID WLAN用户接入地编号用于支持漫游计费和结算 编号形式为 HST CTY PRO OPE NAT 其中 HST表示WLAN热点覆盖地区 由4位数字组成 各省自己规划和分配 该段代码只对于分布在WLAN热点覆盖地区的WLAN接入系统设备有效 CTY表示WLAN位于的城市 由4位数字组成 由各个地市的长途区号表示 右对齐左填零 PRO表示WLAN位于的省份 由3位数字组成 PRO的代码分配参见附表 湖南为731 OPE表示WLAN所属的运营商 由2位数字组成 中国移动为00 NAT表示WLAN所属的国家或者地区 由3位数字组成 中国为460 实际配置为连续16位数字 如 0006073173100460 ACNAME AC设备编码统一规定全国AC的编码 其编码规则为ACN CTY PRO OPE 其中 ACN表示AC的名字 由4位数字组成 各省自己规划和分配 CTY表示WLAN位于的城市 由4位数字组成 由各个地市的长途区号表示 右对齐左填零 PRO表示WLAN位于的省份 由3位数字组成 PRO的代码分配参见附表 湖南为731 OPE表示WLAN所属的运营商 由2位数字组成 中国移动为00 NAS IP NAS IPAC访问Radius及Portal的IP地址在Rad