网络工作流程PPT课件.ppt

2008年3月 AP与网络侧工作流程介绍 网络运营支撑部数据网络室谭彦 2 无线宽带 提供全国漫游功能提供预付费卡 可包月或按时长计费高达320kbps的承诺速率AP可进行远程监控和配置 3 AP与WLAN网络之间的关系 AP位于网络的最末梢AP可以接入xDSL线路或者LAN交换机汇聚层方面为保证接入的带宽 建议汇聚到IP交换机上骨干层方面 不同接入线路的AP可能接入不同的接入服务器BRAS上 骨干 汇聚 接入 CPE 4 网络建设方案 AP可通过以下两种方式接入到城域网 AP通过xDSL ADSL ADSL ADSL2 VDSL 方式接入到城域网 AP通过LAN方式接入到城域网 xDSL接入方式原则上 当AP使用xDSL方式接入时 只使用IPDSLAM提供接入 优先考虑用ADSL2 方式接入AP 条件具备的情况下可用VDSL提供接入 LAN接入方式AP上联以太端口接楼道交换机 楼道交换机支持vlantrunk 楼道交换机对各个AP接入汇聚后 上联接入城域网以太汇聚层 城域网以太网汇聚层支持二层VLAN标记封装 QinQ 提供接入 终结到BRAS 5 网络接入原则 WIFI热点的接入链路必须实现精确绑定 对于未提供接入链路精确绑定的地区 原则上不提供WIFI业务接入 AP设备的上联总带宽要实现上限约束 对于xDSL接入 相应的xDSL链路根据每个AP提供4Mbps下行最高带宽 512Kbps上行最高带宽进行约束配置 对于LAN接入 如果AP设备本身支持上联总带宽上限约束配置 配置为4Mbps上 下行最高带宽约束 否则 在AP上联交换机端口 楼道交换机 配置4Mbps上 下行最高带宽约束 竞争楼盘的WIFI热点尽量使用LAN提供接入 可以通过拉光纤 加光电转换器 增添LAN交换机或HUB设备等多种手段实现 WIFI热点应接入到支持DHCP WEB认证的BRAS设备 6 AP的工作流程 AP 上网流量DHCPWEBPPPoE等 SNMP网管 对于用户上网流量来说 AP相当于一个桥 因此AP对于用户上网来说是透明的 并不参与到用户的认证上网过程 其作用就好似一条网线一样对于网管来说 AP的位置就如用户PC一样 网络侧指派给AP专用的IP地址 因此AP的IP与AP是一一对应的 只要AP存活 网管就能网管得到 由于AP不会对发往该地址的流量进行转发 因此用户不能感觉得到网管流量的存在 7 AP与ADSLModem和接入交换机之间的关系 从网络位置上看 AP的网络位置与普通上网PC的位置一样ADSLModem能够把AP转发过来的IP数据包转换为适合网络传输的格式 对于ADSLModem 是无法识别转发的数据是用户上网数据还是网管数据接入交换机与特定的TRUNK接口与AP相连 由于AP配置为TRUNK模式时 PC不能识别AP转发的数据包 因此 只能通过交换机才能与AP连通 8 网络侧如何精确识别AP链路 WLAN精确绑定详解 天河区VLANX QINQ 外层VLAN在汇聚层交换机打上 内层VLAN在接入层DSLAM或AP打上 业务流VLANY 网管流VLANN 广州天河区电信科技大厦AP 送到后台 识别热点 计费处理 送到网管 识别热点 分析运营数据 9 Redirector服务器集群 SDX策略服务器 REDIRECTOR重定向服务器 Portal服务器 Internet 客户端 1 DHCP 3 解除限制后上网途径 2 初始web访问被重定向到Portal CORBA 服务器 IP可达NextHop可达 后台的处理流程 COPS RADIUS HTTP 上网用户的PC连接AP 打开网页浏览 BRAS AC设备负责处理用户请求 建立 终止连接 重定向服务器 负责将用户的请求重定向到Portal DHCP服务器分配IP地址给用户 WLAN门户的发布服务器 可根据业务策略应用对用户上网行为的限制 解限制 后台的 心脏 负责计费及业务策略的下发 10 业务配置模版 WIFI业务的用户账号跟宽带账号的后缀域名不同 建议BRAS采用新的VR 虚拟路由器 接入业务 VR的名称叫 WLAN AP上行的上网线路经过城域网汇聚后 以QinQ方式接入到BRAS BRAS需针对QinQ子端口进行配置 在BRAS上为AP上行的上网线路配置支持DHCP WEB认证方式 基于CHAP方式的PPPOE认证暂不配置 在BRAS上为AP上行的上网线路配置取消原线路上的帐号绑定和多账号登陆的限制 DHCP WEB认证和PPPOE认证不共享IPPOOL 各自使用不同的IPpool WIFI的IPPOOL初始化设定半个C类地址 128个地址 配置BRAS 在提供WIFI业务接入的interface上 配置RADIUS的NAS PORT TYPE上传属性为19 标识为WIFI用户 配置BRAS及相关系统 支持二层域名账号的WEB认证和PPPOE认证 11 流量模型 根据热点用户上网行为 重要性分为三类 制订用户流量模型 12 接入及升速原则 综合热点类型特点 数量 建设成本考虑 按上表原则进行配置 单用户最大速率受AP无线侧时分复用机制及AP上行链路带宽影响 为保护投资 前期建设可将多AP汇聚接入到单条xDSL LAN线路中 当接入并发用户增多 可按以下顺序考虑升级 xDSL LAN带宽提速增加xDSL LAN中继数xDSL接入方式转为LAN接入方式等 13 网络指标要求 业务性能指标要求带宽指标 单用户业务接入速率最大下行带宽 AP上行中继带宽90 如4M接入时为3600Kbps 时延指标 时延 100ms丢包率指标 丢包率 2 网管网络性能指标要求时延指标 时延 50ms丢包率指标 丢包率 1 14 WLAN业务的认证方式 基本要求WIFI业务原则上要求支持PPPoE和DHCP WEB两种认证方式 目前先提供DHCP WEB认证 基于CHAP方式的PPPOE认证待相关系统改造完成后再提供 PPPOE认证方式 为了加强用户账号 密码的安全性 WIFI业务采用PPPOE认证时 要求用CHAP方式认证 这涉及到省统一大后台的相关改造工作 在改造工作完成之前 先提供DHCP WEB认证 待改造完成后 再向用户提供基于CHAP方式的PPPOE认证 DHCP WEB认证方式 采用集中式组网 用支持DHCP WEB的BRAS提供接入认证 DHCP WEB认证平台重新建设和部署 15 DHCP WEB认证过程 16 PPPOE认证过程 PADI 以广播的方式发送服务发现报文 包含用户的MAC地址PADO BAS发送的服务OFFER包 包含服务器IP地址和MAC地址PADR 向指定BAS发送服务建立请求PADS 发送有效会话确认 建立PPP连接 PAPPasswordAuthenticationProtocol两次握手的PPP认证协议 密码以明文方式在网络上传输CHAPChallengeHandshakeAuthenticationProtocol通过三次握手的PPP认证协议 认证者向对端点发起 挑战 密钥以明文方式存在 17 17 全国漫游方案 中国电信广东研究院 用户使用WLAN 弹出Portal页面 输入用户名密码 Portal在帐号后添加相应后缀 发给本地RADIUS认证 本地帐号认证 返回认证结果 外地帐号由全国漫游中心转发到各地RADIUS认证中心认证 并返回结果 18 网络侧网管的基本组网方式 AP的网管接入与业务接入使用同一条线路进行接入AP配置公网地址 故网管系统可以通过公网直接对AP进行管理在骨干层部署安全策略 保证非网管系统不能管理AP 19 网管配置模版 20 网管协议 SNMP工作流程 SNMP协议SNMP协议的工作流程网管系统发出GET请求 请求中附带SNMP规定的团体字串 并指定要查询的MIB库结点号AP接收到GET请求 查询本地的MIB库结点 将相应的数据读取出来 通过GET回应给网管系统网管系统接收到查询的数据后 将数据记录在网管系统中 定期重复该过程就形成某种参数的性能曲线数据 21 网管安全 由于AP的定位在公众场合的接入服务 在这种场合中 必然会遇到比家庭应用中遇到更多的网络安全问题来自用户侧的网络安全问题包括恶意修改配置 攻击网管系统 恶意获取IP地址 利用AP进行拒绝服务攻击等来自网络侧的安全问题包括恶意扫描 恶意修改配置 拒绝服务攻击 干扰网管等 22 AP通过LAN接入的网管安全 AP BRAS WLAN业务CVLAN1 AP网管CVLAN2 switch WLAN业务 AP网管 IP逻辑通道 双vlan 交换机上下行端口均需要配置VLAN的透传 AP上行端口配置为TRUNK 业务与网管置于不同的VLAN中 网管与业务通过VLAN隔离 用户无法进行管理 只有通过网管或者专用的SSID才能对AP进行管理 网络侧分别终结网管和业务 网管和业务可以走不同的网络路径 AP只通过一条网线上联 但逻辑上区分了业务和网管两条通道 骨干层部署网管的安全策略 23 IPDSLAM LAN设备 Moedm sw 单PVC LAN端口 BRAS Bridging AP通过IPDSLAM xDSL 上联的网管接入安全 宽带VLAN AP网管 WLAN业务 AP AP上不能划分VLAN 网管和业务在物理上逻辑上都在同一通道上 这时需要用变换密码和管理控制功能保证网管的安全 Modem的缺省密码需要进行修改 否则用户可以通过AP修改modem的数据 导致无法上网 骨干层部署针对网管的安全策略 24 应用层面的安全 用户进行正常的网络访问时 为了弥补WIFI网络的安全问题 应在PORTAL界面等醒目地方提醒用户尽量使用安全操作 如使用HTTPS进行网页访问 对安全性要求高的WIFI用户 可以推荐用户使用电信的IPSECVPN业务 防止用户的上网内容数据被截取 25 AP业务与网管的现场确认方法 AP 26 AP业务与网管的现场确认方法 modem 27 AP业务与网管的现场确认方法 AP配置 AP的IP地址 网关 掩码 缺一不可SNMP功能是否打开SSID是否正确 如果必要的话 可以修改SSID来识别不同的AP 28 AP业务与网管的现场确认方法 业务确认 在现场中就可以确认网络侧的配置是否正确 业务和网管是否正确可以通过Modem直接连接PC来确认Modem直接接PC PC上开启自动获取IP 正常情况下应该获得公网IP 使用IE浏览器浏览网页时 应该正常弹出认证页面PC通过手动设置为AP的网管地址 掩码 网关 PC应该能PING通网关 表示AP网管可通在现场如果频繁插拔modem连接电脑和AP 可能会导致网管地址不能PING通 是因为上层设备锁定MAC地址导致 每次插拨不同设备前 可以断开等待五分钟待锁定解除再进行操作 29 AP接入工程中的常见问题及解决 1 AP无法网管处理流程 检查AP是否能够正常上网 检查AP是否能够被网管ping通 检查AP地址与网管地址是否相符合 检查该AP的SNMP功能是否打开 及团体串配置 community 检查AP网关是否能PING通检查数据网配置是否正确 30 AP接入工程中的常见问题及解决 2 故障现象 AP脱离网管 但通过APPING网关之后 AP可被网管PING通 故障原因 因为AP设备不会定时向外发送广播包 AP上行设备DSLAM的MAC地址表经过五分钟后老化导致AP脱离网络 处理过程 1 从AP有线端通过HUB捉包发现一开始AP可以收到网管发出的PING包 但过五分钟后AP收不到任何网络上发出的包 通过该AP无线用户上网 用户可以正常上网 2 将该AP和Modem移到其他ADSL接入线路后 不会出现该问题 排除AP和Modem的原因3 将AP的Ping测试功能打开 让AP向网管网关定期发Ping包 Ping测试功能默认1分钟向被测试地址发一次Ping包 六次无响应即自动重启 结果不再出现AP脱离网管的情况 维护建议 AP需升级到具备Ping测试功能的软件版本 并在工程时设置Ping测试的目的地址为AP的网关地址 如果AP网关开启了禁Ping功能 AP需要升级到可定期自动发广播包的软件版本 31 AP接入工程中的常见问题及解决 3 故障现象 AP可以正常上网 但AP不能被网管Ping通 但可以通过SNMP管理 或者可以Ping到 但SNMP不通 故障原因 网络上开启了相关策略 拦截了到AP的ICMP包或者SNMP包 处理过程 1 AP可以正常上网 说明网络配置正确 2 AP可以被PING通或者SNMP通 说明网管到AP是路由可达的 3 检查网络上路由器和BRAS上的配置 发现AP的网管IP地址在网络的禁Ping或禁SNMP网管的策略中 调整该策略后 AP可以正常被网管以华为BRASMA5200G为例 检查ACL配置的命令为displayacl acl number all 例如显示ACL2001的规则的内容 Quidway acl basic 2001 displayacl2001Basicacl2001 2rules rule1permit 0timesmatched rule2permitsou