H3C无线校园网解决方案(20090707)

H3C无线校园网解决方案,杭州华三通信技术有限公司,校园网络建设的变迁,校园网络建设不同阶段的关注点,校园网的最新需求,IPv6,无线,一次认证,管理简单,安全,业务,第四代校园网,无线校园网的部署篇,1.无线校园网架构2.AC部署3.AP部署,4.认证计费5.AP供电,无缝叠加到现有校园网,CERNET,网管平台,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,汇聚交换机,核心交换机,AC,无线校园网采用瘦AP架构，AC部署在核心网，AP即连即用，无线网络无缝叠加到现有有线网络，降低部署难度,汇聚交换机,INTERNET,认证平台,核心交换机,AC,需要部署无线的地点,部署篇AP部署方式,室内覆盖,室外部署,室外部署,高密覆盖网优自动化,网络认证方式选择,无线网络由于其物理开放性，必须认证使用认证；推荐采用Portal认证的方式,Portal认证,用户在无线控制器Portal通过认证后可以访问校园网和局域网所有资源用户需要访问Internet时，放在Internet出口的网关再次进行认证，通过后可以访问Internet资源并开始计费可以和计费软件厂商合作，提供一次认证解决方案,AC,教学楼,图书馆,学生宿舍,接入交换机,认证计费平台,汇聚交换机,CENERT,Internet,核心网,二次认证数据流,1.用户连接无线网络，获得IP地址,2.用户被强制重定向到Portal页面,3.AC把用户名密码送到认证系统,4.AC根据认证的结果，放行或者拒绝用户访问,5.用户访问Internet数据，出口网关进行二次认证并缴费,同现有计费系统互通,一卡通系统：计费网关和无线控制器都使用LDAP协议同一卡通系统对接，目前可以和Sun、IBM以及微软LDAP服务器以及在此基础上二次开发的一卡通系统对接传统认证计费系统：无线控制器使用Radius协议同计费网关通信，直接使用计费网关的用户数据系统，有线无线统一认证计费，目前可以和城市热点、亿邮等计费系统对接iMC：H3CiMC智能管理中心，为用户提供完整的认证计费方案,AC,一卡通系统SUNIBMMicrosoftLDAP,传统认证计费系统E邮、城市热点,H3C认证计费系统iMC系统,一卡通系统,传统认证计费系统,认证计费-基于条件的用户页面推送,基于热点的页面推送：不同位置弹出不同的提示信息基于用户的页面推送：同一位置不同用户弹出不同的同时信息,一次认证,用户在AC上认证通过后，及时通知出口计费网关，认证通过后的IP地址，出口计费网关统计该IP地址的出口流量和入口流量，进行计费,同有线一样，无线用户壹次认证通过后，就可以实现出口收费，访问校内网不收费,部署篇AP供电,H3C3600PWR,H3C5500PWR,H3C5600PWR,H3C3100EIPWR,AP集中部署的室内区域，使用PoE供电相对于本地供电，PoE部署更方便和更安全，能够通过网管远程控制AP的供电和断电室外AP根据不同情况，可以采用本地220V供电，也可以采用PoE供电,AC,L2/L3IP,IMC,分支机构,H3C5600PWR,Telnet管理PoE供电,AC设备高可靠性,双主控控制层面和转发层面分离，单主控出问题时不影响业务热补丁不需要重启设备即可完善软件功能11冗余电源ACN+1备份,全网带宽限速,CERNET,校内网管平台,AC,汇聚交换机,AC到AP的流量限速AC上每个用户的流量限速AP上接入用户的流量限速,运营级无线校园网安全篇,1.安全架构2.链路层安全3.应用层安全4.整网安全,无线校园网安全问题,802.11协议攻击加解密,应用层攻击协议层攻击DHCP攻击ARP攻击,无线相关安全隐患：私接AP不当设置的AP客户端不当连接非法连接Adhoc网络MAC伪造蜜罐AP拒绝服务,运营级无线校园网安全架构,AC和AP间的CAPWAP隧道下行流量限速无线安全插卡,防攻击和提供SSL/IPSECVPNAP身份认证WIPSWIDS,全系列PoE交换机端口隔离,动态密钥下发，Hotspot用户隔离TKIP/AES/椭圆加密（WAPI），智能带宽限速,有线无线一体化EAD,有线无线一体化网络拓扑非法设备监控、定位和告警，设备信道调整告警有线无线安全策略在无线控制器统一部署,802.1x/PSK/MAC/Portal多种认证方式的混合接入，升级支持WAPI防ARP攻击和DHCPServer外挂，ARPProxy,链路层安全常见的802.11协议攻击,无线报文的Flood攻击探测请求报文（Proberequest）；认证报文（Authentication）；连接请求（Association）；去认证报文（De-authentication）;去连接报文（Disassociation）;NULLdata报文WeakIV攻击,当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的处理。特别是无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端添加到动态黑名单中，从而保证WLAN网络不再被该设备攻击。,校园网中的RougeAP多为学生私接的的AP，对这类AP的管理可以通过网络技术进行屏蔽，如所有的以太网端口都必须经过Portal认证，避免直接挂AP方式接入网络，另外需要通过学校的规章制度进行引导,FITAP方案可以监听RougeAP，发现RougeAP后，可以采取如下的措施：告警，及时通知管理人员进行干预对RougeAP进行攻击,链路层安全RougeAP检测,学生在宿舍区的私接AP设备，对校园网WLAN设备产生干扰。,802.11i,WAPI,链路层安全支持国家WLAN安全标准WAPI,AS,AAAserver,AC,SSID：802.11i,SSID:WAPI,SSID:WAPI,SSID:802.11i,AP,AP,AP,IP网络,链路层安全WAPI&802.11i,H3C产品同时支持WAPI和802.11i支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802.11i用户共存支持快速漫游,有效防护校园ARP病毒攻击,GW:192.168.1.1MAC:00-E0-FC-10-01-25,GIRL:192.168.102.1MAC:00-E0-FC-10-01-23,整网安全-安全无线校园网,大容量无线控制器+安全插卡实现基于业务的数据识别，为校园网的业务开展提供有力的支持,大容量AC：大容量无线控制器+安全插卡一体化EAD解决方案,核心网,运营计费平台,学校B,AC,BRAS,汇聚交换机,学校A,学校C,整网安全万兆多业务无线控制中心,AFC,ACG应用控制,防火墙/VPN,IPS,负载均衡,防病毒/NAM,SSLVPN,OAP,安全插卡,无线用户,服务器,AC,AP,非法报文检测和过滤,高性能安全插卡同集中安全引擎的对比,引擎方式报文在CPU处理协议头部分后，报文转交给引擎，引擎处理完加解密后回送给CPU，报文在CPU和引擎之间来回处理，性能有限引擎只是加速功能，实际的应用仍然运行在CPU上，功能的增加必然增加CPU的负载，更进一步降低无线的处理性能,集中引擎方式,分布插卡方式,目前业界唯有H3C具有处理10GE能力的安全模块,整网安全AP基于用户的智能带宽管理,CERNET,校内网管平台,无线AP接入区,AC,汇聚交换机,可以有效防止P2P业务占用过多的带宽，导致正常用户无法使用网络,运营级无线校园网扩展篇,AC高可靠ACN+1备份IPv6支持11N支持,平滑扩容大容量AC,双主控控制层面和转发层面分离，单主控出问题时不影响业务热补丁不需要重启设备即可完善软件功能11冗余电源ACN+1备份,IPv6Ready,紧跟标准步伐，推出802.11n产品，确保兼容性,万兆多核无线控制器，处理性能可达万兆，满足11n高带宽的需求,支持POE+的交换机，单端口最大可达25W，适应11n时代的需求,平滑升级支持802.11n,运营级无线校园网业务篇,Internet接入业务实时多媒体业务VPN业务视频监控业务,实时多媒体业务,实时多媒体业务：VoWiFi、在线游戏、及拍即印、视频转播（移动视频转播和监控），通过为实时多媒体业务设置专门的SSID，来确保实时多媒体的质量，实时多媒体的终端多采用MAC地址认证。,蓝色子网,红色子网,Bob,Amy,实时业务支撑跨AC漫游,Amy,无线控制器,无线控制器,无线控制器,AP,AP,AP,跨AC漫游时，用户IP地址不发生变化，业务不受影响跨AC漫游时切换时间小于50ms，满足语音、视频等业务的需求,网络A,实时业务支撑50ms快速切换,网络B,有线网络,1、发起认证请求,2、用户权限下发,4、用户权限同步,3、访问网络,5、重新认证请求,6、重新可以访问网络,无线控制器,无线控制器,快速漫游机制，能够简化漫游过程中的流程，提高漫游切换时间切换时间小于50ms,实时业务支撑端到端的QOS机制,有线网络,令牌桶,流量统计,DropTail,RR/DRR,接收报文,无线有线优先级映射,流分类,流量限制,队列,发送报文,出队调度,拥塞控制,转发,源地址目的地址源端口目的端口协议类型,ACL,无线控制器调度机制,CAPWAP隧道优先级,CAPWAP隧道优先级,用户优先级到CAPWAP优先级映射,用户优先级到CAPWAP优先级映射,支持802.11e协议，全面支持WMM支持从802.11e到802.1p的映射，确保全网的QoS,运营级无线校园网部署篇,跨校区AP集中管理AP在线统计丰富的报表一体化资源管理,2007年12月02日至08日，IETF70届大会在加拿大温哥华举行。在CAPWAP工作组会议上作了专题报告，完整地介绍了H3C公司在无线网络管理的创新理念。该设计理念和思想受到IETFCAPWAP工作组专家的一致认可，来自多家设备厂商的专家提出与H3C合作共同参与该标准的制定。根据大会的投票选举结果，H3C的草案获得了工作组的全票通过：正式成为工作组草案。不久的将来，该草案最终将成为IETFRFC标准并正式发布。,大会LOGO,H3C专家介绍CAPWAPMIB,H3CWLAN管理,大网管，小组件,增值业务,iMC平台框架-统一资源访问，基础资源管理,设备/文件/数据库访问适配层,设备资源管理,用户资源管理,数据库,设备/终端,文件系统,SNMP,RADIUS,按需装配,组件化,平台化,安全管理,告警管理,性能监控,报表管理,配置文件管理,WSM无线管理组件,用户接入管理,拓扑管理,ACL管理,QoS管理,VLAN管理,解决方案,基础业务平台,平台框架,资源管理,基础资源、用户、业务的融合管理,一体化网络管理,不需要在两个网管系统之间切换，方便维护人员快速定位网络故障,跨校区的AP集中管理,分校区A,教学区,图书馆,学生宿舍,核心网,网管平台,汇聚交换机,AC,基于位置的AP管理能够有效实现不同校区的AP的集中管理，AP的状态实施实时监控提供了基础,汇聚交换机,丰富的无线统计报表,专业化报表,告警统计报表网络质量报表流量统计报表设备性能报表资源数量统计报表,包括最近24小时全网无线用户在线趋势图、用户数最多的热点Top5、用户数最多的SSIDTop5、用户数最多的APTop5、最近24小时无线用户接入成功率趋势图、最近6小时无线用户接入成功率、最高的AP的Top5和最近6小时无线用户接入失败率最高的AP的Top5等,Open：海纳百川有容乃大,开放接口,开放接口,开放接口,目录,校园网的发展H3C运营级无线校园网解决方案H3CWLAN产品介绍H3CWLAN案例介绍,H3C是国内唯一一家提供WLAN全系列自主知识产权产品的厂商，申请专利近百项H3C是国内唯一一家参与IETF联盟WLAN标准制定的厂商H3C是业界唯一一家提供有线无线一体化管理的厂商，使WLAN网络实现真正的可管理H3C是业界唯一一家提供FATAP平滑升级到FITAP解决方案、业界首家提供室内分布式系统共用天馈解决方案的厂商，H3C业已成为国内运营商首选合作伙伴H3C是业界唯一一家支持IPV4/IPv6双协议栈、唯一一家AC支持万兆接口的厂商H3C是国内首家发布企业级11n产品并成功规模商用的厂商H3CAP设备目前网上使用量已超过200000台注：以上七大成就，信息来源截至2008年12月，我们每天都在进步中,H3C在WLAN领域的成就,WLAN厂商分类,注：能力指售后和工程服务,网桥,无线控制器,WX5002,WX6103,WX5004,网络管理软件,无线客户端,无线IDS,H3C全系列无线产品,无线定位,WX3024,S7500E/S9500E插卡,FIT/FATAP,网桥/MESH,WA2110-AG,WA2210-AGWA2220-AG,WA1208E-GP,WA2220E-AG,WA2210X-G/GEWA2220X-AG/AGP/AGE,WA2620E-AGN,WA2610E-AGN,WA2220E-AG-T,WA2210E-GE,WB2320X-AGE,无线应用,WX3010,S5800低容量插卡,S5800大容量插卡,WA2612-AGN,WA2610-AGN,WA2620-AGN,WH2530X-DAG,WX7306,WX7310,系列化AC,能够平滑升级支持11N兼容各种业务板卡,序列化11N,WA2620E-AGN,三根天线不代表是三条流，所以3X32322的理论速率都是一样的，但是由于33用的发射天线更多，可以使实际性能比23最多高16%左右,WA2220X-AG/WA2220X-AGP,室外型双频多模WA2220X-AGP支持500mW大功率射频输出环境温度：-4065oC，不需要外接室外机箱支持IEEE802.11a、IEEE802.11b/IEEE802.11g内置网口、电源防雷设计支持百兆光电接口上联支持IPv6网络,推荐,专业室外产品同包装产品的区别,工程：完善的服务体系,H3C服务网络：服务总部：杭州、北京150名高级工程师，35个区域服务中心，50名现场工程师。82个备件库。,H3C快速的响应机制：724的免费服务热线，80个坐席。,H3C服务案例：2008年为中国电信多次WLAN的服务培训、江苏电信WLAN项目、浙江电信WLAN项目、武汉电信WLAN项目等近50个运营商服务案例,2个服务总部,82个备件库,35个区域服务中心,哈尔滨,杭州,上海,沈阳,长春,目录,校园网的发展H3C运营级无线校园网解决方案H3CWLAN产品介绍H3CWLAN案例介绍,国家大剧院,国家大剧院是我国新时代的标志性建筑,是国家最高艺术表演中心,是具有世界一流水平的大型艺术殿堂。国家大剧院位于人民大会堂西侧，主体建筑由外部围护结构和内部歌剧院、音乐厅、戏剧场和公共大厅及配套用房组成。国家大剧院作为一座现代化的剧场，建设了完备的智能楼宇系统和网络系统。其网络系统除了供部分弱电系统使用外，还需要在大剧院内部的办公室、化妆间、指挥休息间、演员休息厅、排练厅、音像制作中心、新闻发布厅等场所提供互联网接口，尤其是大剧院的票务系统也要依赖该网络平台，这就对整个网络平台提出了非常高的可靠性要求。,国家大剧院,北京首都国际机场T3航站楼,6台无线控制器，346个AP对首都国际机场T3航站楼进行全面无线覆盖。主要无线应用：航显、商业、离港、行李再确认系统、OA、安检系统、外场数据采集，旅客无线上网等。高可靠性一体化移动网，为机场用户提供全方位应用的保障,案例：广州国际金融中心,广州国际金融中心（简称西塔），主塔楼高103层，结构高度为432米，全国最高的智能建筑，集办公、酒店、休闲娱乐为一体，包括顶级写字楼、超五星级酒店、高端服务式公寓、高档商场、旅游观光、国际会议中心等功能有线无线一体化办公网及公寓网，WLAN覆盖110多个楼层，其中写字楼4块S95无线板卡，近900个AP，公寓3块S95无线板卡，330个AP，总计AP数量超过1200个，亚洲最大规模酒店无线网络,S3600-PWR,E328,AP,S7503,Internet,iMC智能管理中心,SecPathF100-E,国际万维大会无线网络,无线控制器插卡,E328,E328,E328,S3600-PWR,S3600-PWR,AP,AP,解决方案：,采用有线无线一体化移动网的解决方案，通过S7500交换机无线控制器插卡和WA2110型AP对多个会议室和展厅进行无线覆盖解决了小范围、多用户的密集无线连接难题，保证了会议无线的高效连接。通过iMC有线无线一体化智能网管中心实现了对会场所有的无线AP进行实时状态监控，对其过载、失效情况进行及时调整，确保会场无线网络通畅，保证了大会的顺利进行,清华大学,清华大学经管学院采用H3C有线无线一体化解决方案，其中无线部分使用FITAP+AC的模式，对整个大楼进行了信号覆盖。使用iMC，对有线网络和无线网络进行统一管理，用户的认证授权计费等操作也可灵活的进行处理。,北京大学,北京大学采用AC+FITAP模式，通过POE方式供电，对教学楼进行覆盖。上层使用iMC进行网络管理，实现了有线无线统一管理。,中国地质大学,网络中原来几乎全部是C厂商设备，H3C有线无线一体化解决方案满足客户各方面的需求1台双主控WX6103，24台WA2200X-AGP室外AP，122台室内WA2210-AG室内型AP完成对教学区所有公共区域和大部分办公室、会议室、教室的覆盖08年9月，无线网络成功应用于无线迎新，学校对无线网络使用效果非常满意,北京林业大学无线校园网,两台S9500高端无线控制器插卡和S3100PoE交换机，WA2220-AG室内型AP和WA2220X-AGP室外型AP以及iMC智能管理中心组成一体化解决方案使用室内型AP双频APWA2220-AG完成对办公区、图