电信无线校园网解决方案ppt课件.ppt

1、H3C电信无线校园网解决方案,目 录,无线校园网的建设运营探讨 H3C运营级无线校园网解决方案介绍 H3C运营级无线校园网产品介绍 H3C成功案例介绍,无线校园网学校带来的价值,品牌价值： 学校提升品牌与社会影响力的基础建设之一 有利于扩大社会影响，更好开展对外学术交流与培训 使用价值： 让学生随时随地获取到教学资源 方便学校在对外学术交流等活动过程中向来宾提供上网服务 大大提升了校园Internet广播，视频教学服务的便利性，扩大了覆盖的范与学生使用的机会，成为多媒体教学的重要手段 可以有针对性的提供信息推送服务 便于学校增加临时的可移动视频监控等业务，比如视频监考，而不必在教室里安置长期固

2、定的视频监控头。,无线校园网对运营商的价值,1、集团公司已明确的战略市场 已经成为集团公司明确开展的工作重点之一。 校园是典型的聚类市场：居住高度集中，易做市场推广；信息消费能力强，小额消费频繁；消费模式仿效性强，一点攻破就会全面覆盖。 高价值客户群的预备队：大学生群体很快步入社会成为主力消费群，大学期间形成的消费习惯与品牌依赖度对其有重要影响（从QQ与动感地带的成功都可见证这点）。 高端品牌形象树立的必备热点：大学已成为很多高端人群充电与社交的场所，他们是运营商目前最重要的价值客户群，消灭掉服务盲点对于提升品牌形象具有重要意义。 2、WLAN频点是公用的，具有独占性，就象小区入户的双绞线一样

3、，是用户进入互联网的必经之路，谁掌握了它谁就掌握了未来的主动权。 目前多个运营商已经开始了在该领域的圈地运动！,无线校园网络建设驱动力,学校： 节省建设校园网络的投资 通过物业资源能够获取收益分成 通过服务获取部分收益 运营商： WLAN作为宽带接入的补充，配合3G开展宽带数据业务，有效的解决3G基站带宽不足，开展宽带数据业务成本高的问题，成为运营商新的利润增长点 目前笔记本终端都支持WIFI功能，学校是终端最密集的地方，学生接受新技术的能力水平高，是开展移动通信的最佳场所 需要同宽带开展差异化竞争,运营商建设无线校园的投资方式,独资方式： 包括有线无线全部由运营商投资建设 合作方式： 有线借

4、用学校的网络，无线运营商投资建设 租借方式： 有线无线都由学校建设，运营商租赁经营 学校租借运营商无线网络，访问校内网,由于学校没有运营牌照，因此只能借助运营商进行运营，但设备的投资取决于学校的经济实力，从运营商角度而言，独资方式更易于管理和运营,目 录,无线校园网的建设运营探讨 H3C运营级无线校园网解决方案介绍 H3C运营级无线校园网产品介绍 H3C成功案例介绍,运营级无线校园网业务篇,Internet接入业务 租赁业务 实时多媒体业务 VPN业务 视频监控业务 漫游业务,业务类型和用户,Internet业务,城域网/Internet,CERNET,校内网管平台,无线AP接入区,教学区,图

5、书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,运营计费平台,校园网接入控制点,BRAS,汇聚交换机,校园侧,运营商侧,校园网,运营商网,AC,SSID: SP SSID: Campus,Internet业务用户包括：学校师生、学校访客，学校访客需要运营商能够提供快速开通业务的能力，简单的售卡能够很好的满足需求,校园租赁业务,城域网/Internet,CERNET,校内服务器,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,运营计费平台,校园网接入控制点,BRA

6、S,汇聚交换机,校园侧,运营商侧,校园网,运营商网,AC,租赁业务：学校管理者通过租赁运营商的WLAN网络给学校师生提供服务，运营商给学校开通一个专用SSID：Campus，提供本地转发的方式给学校使用，提高学校的信息化水平。,SSID: SP SSID: Campus,实时多媒体业务,城域网/Internet,CERNET,校内服务器,教学区,图书馆,校园有线网,运营计费平台,校园网接入控制点,BRAS,汇聚交换机,校园侧,运营商侧,校园网,运营商网,AC,实时多媒体业务：VoWiFi、在线游戏、及拍即印、视频转播（移动视频转播和监控），通过为实时多媒体业务设置专门的SSID，来确保实时多媒

7、体的质量，实时多媒体的终端多采用MAC地址认证。,VPN业务,CERNET,校内服务器,教学区,图书馆,校园有线网,运营计费平台,校园网接入控制点,BRAS,校园网,运营商网,VPN业务：学校访客通过互联网访问企业内网，以及需要老师通过Internet访问学校内网服务。,城域网/Internet,城域网,城域网/Internet,VPN隧道,漫游业务,城域网/Internet,学校B,教学区,图书馆,教学区,图书馆,学生宿舍,学校C,学校A,MPP,学校操场,MAP,MP,MP,运营计费平台,BRAS,汇聚交换机,AC,漫游业务：学生除了在学校A可以通过无线上网外，还可以在学校BC上网，通过漫

8、游区域和带宽提供差异化运营服务。,运营商同学校的几种结算方式,根据实际情况采取不同的结算方式，可以节约运营成本，从而同学校达到双赢的局面,影响双方收益分配变化的几个问题,学校有能力维护，运营商委托学校进行网络维护，付给学校维护费和物业费 学校没有能力维护WLAN网络，运营商付给学校物业费用。 业务开展通过点卡方式能够促进学校开展业务的积极性，实现双赢,运营级无线校园网部署篇,Internet接入业务 租赁业务 实时多媒体业务 VPN业务 视频监控业务 漫游业务,部署篇中小规模校园无线网架构,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,教学区,图书馆,教学

9、区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网核心交换机,BRAS,汇聚交换机,AC,校园侧,运营商侧,校园网,运营商网,主流方式，适合于学校规模不是很大，不需要直接访问校内网的情况，方案采取多个学校共用一个AC，部署新业务简单，运营商SSID集中转发到BAS进行认证,AC放在运营商侧,部署篇中小规模校园无线网架构,适合于学校规模不是很大，多个学校共用一个AC，部署新业务简单，AP启用两个SSID，运营商SSID集中转发到BAS进行认证，校园网SSID采用本地转发，上网的用户由BAS分配IP地址，校内的用户IP地址由学校分配,AC放在运营商侧

10、,部署篇大规模校园无线网的架构,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,教学区,图书馆,教学区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网核心交换机,BRAS,汇聚交换机,AC,校园侧,运营商侧,校方无线接入控制点,适合于学校规模很大，需要在学校放一个AC，学校一个SSID，运营商一个SSID，两者都走集中转发，运营商数据直接通过NAT透传到BAS做宽带接入认证，学校的用户通过AC在校内网认证。,AC放在校园网侧,部署篇业务控制点选取,CERNET,校内网管平台,无线AP接入区,教学区,图书馆,教学

11、区,图书馆,学生宿舍,校园有线网,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网核心交换机,AC,校园侧,运营商侧,校方无线接入控制点,学校一个SSID，运营商一个SSID，两者都走集中转发，运营商数据直接通过NAT透传到BAS做宽带接入认证，学校的用户通过AC做本地认证。,部署篇 AP部署点,部署篇AP部署方式,PHS,3G,室分系统,室内放装,室外部署,室外场所覆盖,操场等广阔地带的覆盖,采用MESH AP（双频AP，双频可都做覆盖也可以全部回传），覆盖操场等校区的室外空间,高密覆盖部署,降低AP和客户端发射功率，实现同频重叠最小化 采用2.4G和5G混合部署，增加用户接

12、入能力,电子化教室,图书馆,宿舍楼,高密覆盖功率自动调整,AP,AP,AP,AP,AP,AP,AP,教室A,教室B,办公室A,办公室B,高密覆盖智能负载均衡,AP1,AP2,智能负载均衡技术,不启动负载分担的区域,基于Radio、流量、AP、AC进行负载均衡,只在重叠覆盖区启动负载均衡,不管是否在重叠区都启动负载均衡,室外覆盖进行补点,高密覆盖11N,WA2620E-AGN,三根天线不代表是三条流，所以3X32322的理论速率都是一样的，但是由于33用的发射天线更多，可以使实际性能比23最多高16%左右,部署篇PoE交换机供电,H3C 3600 PWR,H3C 5500 PWR,H3C 560

13、0 PWR,H3C 3100 EI PWR,相对于本地供电，PoE部署更方便和更安全 相对于PoE供电模块，PoE交换机能够实现远程控制,Telnet管理PoE供电,分支机构,部署篇接入用户IP地址和VLAN规划,城域网/Internet,CERNET,校内网管平台,运营计费平台,学校A,AC,校园网无线入口网关,BRAS,汇聚交换机,学校B,学校A校内网,校内网用户的IP地址由学校负责分配，运营商为不同的学校接入用户提供不同的接入IP，便于对业务流量进行统计和管理,部署篇 PPPoE认证,AC,无线AP接入区,教学区,图书馆,学生宿舍,无线MESH接入区,MPP,学校操场,MAP,MP,MP

14、,校园网和CERNET网,接入交换机,城域网/Internet,运营认证计费平台,BRAS,汇聚交换机,校方无线接入控制点,认证数据流,校园用户帐号和VLAN绑定认证，防止漫游,使用大网认证服务器认证,部署篇 Portal认证,AC,无线AP接入区,教学区,图书馆,学生宿舍,无线MESH接入区,MPP,学校操场,MAP,MP,MP,校园网和CERNET网,接入交换机,城域网/Internet,运营认证计费平台,BRAS,汇聚交换机,校方无线接入控制点,认证数据流,SSID1：校园内网访问，由学校分配IP地址,SSID2：Internet访问，由运营商分配IP地址,校园用户帐号和VLAN绑定认证

15、，防止漫游,使用大网认证服务器认证,校内和教育网资源访问由校方做认证,基于用户群的智能带宽管理,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,AC,校园网无线入口网关,BRAS,汇聚交换机,东北财经大学，西南师范大学,可以有效防止校内P2P业务占用过多的带宽，导致运营商正常用户无法使用网络，同时可以提供同校园网出口差异化的带宽竞争,基于SSID的可定制转发模式,城域网/Internet,CERNET,校内网管平台,运营计费平台,无线AP接入区,AC,校园网无线入口网关,BRAS,汇聚交换机,访问校内网用户本地转发,访问Internet用户集中转发,基于SS

16、ID的本地转发模式为新业务开展提供了灵活的基础,运营级无线校园网安全篇,防Rouge AP 防私拆AP 防ARP攻击 VPN业务 视频监控业务 漫游业务,运营级无线校园网安全架构,AC和AP间的CAPWAP隧道下行流量限速 无线安全插卡,防攻击和提供SSL/IPSEC VPN AP身份认证,全系列PoE交换机端口隔离,动态密钥下发，Hotspot用户隔离 TKIP/AES/椭圆加密（WAPI），智能带宽限速,有线无线一体化EAD,有线无线一体化网络拓扑 非法设备监控、定位和告警，设备信道调整告警 有线无线安全策略在无线控制器统一部署,802.1x/PSK/MAC/Portal多种认证方式的混合

17、接入，升级支持WAPI 防ARP攻击和DHCP Server外挂，ARP Proxy,安全无线校园网,大容量无线控制器+安全插卡 实现基于业务的数据识别，为运营商的业务开展提供有力的支持,一体化硬件平台： 大容量无线控制器+安全插卡 一体化EAD解决方案,城域网/Internet,运营计费平台,学校B,AC,BRAS,汇聚交换机,学校A,学校C,校园网中的Rouge AP多为学生私接的的AP，对这类AP的管理可以通过网络技术进行屏蔽，如所有的以太网端口都必须经过Portal认证，避免直接挂AP方式接入网络，另外需要通过学校的规章制度进行引导,FIT AP方案可以监听Rouge AP，发现Rou

18、ge AP后，可以采取如下的措施： 告警，及时通知管理人员进行干预 对Rouge AP进行攻击,Rouge AP检测,学生在宿舍区的私接AP设备，对运营商设备产生干扰。,私拆AP问题的防范,学生将运营商部署的AP设备拆卸到寝室安装使用,采用FIT AP模式，一旦AP离线，AC立即产生告警，另外FIT AP本身无配置，必须配合AC使用，偷之无用，一旦接入运营商网络即可发现该设备连接的端口，避免AP被挪用,城域网/Internet,运营计费平台,教学区,图书馆,学生宿舍,BRAS,汇聚交换机,AC,校园区域,运营商局端,教学区,图书馆,学生宿舍,防ARP攻击,FIT/FAT 双模 AP,AC,L2

19、/L3 IP,IMC,DHCP Server,DNS Server,GW 00-E0-FC-01-02-03,0,1,ARP: MAC: XX-XX-XX-XX-XX-XX,方法一： 用户认证时利用iMC获取合法用户的IP/MAC对应关系 iMC和AC联动，绑定合法用户的对应表项，在AC中过滤掉所有不匹配的ARP报文 iMC和AC联动，绑定合法用户的对应表项，防止网关被非法ARP报文欺骗 方法二 在iNode客户端上绑定网关的ARP表项 利用iNode客户端实现本机ARP攻击检测 能够支持1x和Port

20、al两种认证的方式,BRAS,AC,DHCP服务器,BRAS解析DHCP交互报文，并据此生成合法ARP表（授权ARP) 关闭BRAS ARP广播 丢弃目标地址未知的扫描类攻击报文,想发送欺骗报文？丢弃！ 想做网段扫描？丢弃！,攻击者,授权ARP：有效防护校园ARP攻击和扫描类攻击,AP,监控DHCP交互报文获取合法用户的IP-MAC-port关系,BRAS对于目的未知的报文不再发ARP，直接丢弃，防范扫描攻击,在BRAS上依据DHCP交互信息生成ARP表项,安全部署-用户隔离,端口隔离,端口隔离,用户隔离可以有效的防范用户间的ARP欺骗、MAC欺骗、伪DHCP服务器接入等攻击类型,AC,无线A

21、P接入区,教学区,图书馆,学生宿舍,校园网和CERNET网,接入交换机,城域网/Internet,运营认证计费平台,BRAS,汇聚交换机,校方无线接入控制点,端口隔离,AP用户隔离,WAPI & 802.11i,H3C产品同时支持WAPI和802.11i 支持标准证书鉴别模式 支持Radius扩展鉴别模式可对用户授权和计费 支持WAPI与802.11i用户共存 支持快速漫游,加密机制防止AP侧的信息泄漏,运营级无线校园网扩展篇,AP防盗 Rouge AP 防ARP攻击 防DHCP攻击 认证点选择 认证方式选择,AC设备高可靠性,双主控 控制层面和转发层面分离，单主控出问题时不影响业务 热补丁

22、不需要重启设备即可完善软件功能 11冗余电源 AC N+1备份,AC N+1备份,AC 接入列表 AC1 AC2 。 。 ACn+1,AP,DHCP/DNS server,AC1,AC2,ACn+1,支持IPv6,AP,无线控制器IAG,IPv6资源,无线接入网,无线IPv6客户端,无线IPv6客户端,无线组网支持IPv6环境,AP和无线控制器之间可以建立基于IPv6地址的隧道 多个无线控制器之间可以建立基于IPv6地址的隧道,IPv6管理,AP： DNS6 DHCP client6,无线控制器： ACL6 DNS6 TraceRT6 Telnet6,TFTP IPv6 FTP IPv6 DH

23、CP client6 Ping6,IPv6组播,无线交换机支持MLD Snooping 配合现有IPv6有线网络，实现IPv6组播业务,不仅仅是IPv6 透传,紧跟标准步伐，推出802.11n 产品，确保兼容性,万兆多核无线控制器，处理性能可达万兆，满足11n高带宽的需求,支持POE+的交换机，单端口最大可达25W，适应11n时代的需求,平滑升级支持802.11n,运营级无线校园网部署篇,AP集中管理 AP在线统计 丰富的报表 一体化资源管理,按照学校的AP集中管理,分校区A,教学区,图书馆,学生宿舍,基于位置的AP管理能够有效实现同一学校的AP的集中管理，对于需要学校维护的AP的状态实施监控

24、提供了基础,AP在线率统计,AC,无线AP接入区,教学区,图书馆,学生宿舍,校园网和CERNET网,接入交换机,城域网/Internet,管理平台,BRAS,汇聚交换机,校方无线接入控制点,网管通过AC统计AP在线率,无线有线一体化全集成资源管理,丰富的无线统计报表,专业化报表,告警统计报表 网络质量报表 流量统计报表 设备性能报表 资源数量统计报表,包括最近24小时全网无线用户在线趋势图、用户数最多的热点Top5、用户数最多的SSID Top5、用户数最多的AP Top5、最近24小时无线用户接入成功率趋势图、最近6小时无线用户接入成功率、最高的AP的Top5和最近6小时无线用户接入失败率最

25、高的AP的Top5 等,目 录,无线校园网的建设运营探讨 H3C运营级无线校园网解决方案介绍 H3C运营级无线校园网产品介绍 H3C成功案例介绍,H3C是业界首家提供室内分布式系统共用天馈解决方案，大大降低了运营商建设WLAN网的前期投入成本，并有效的减少运营商工堪的工作量，现网已经有超过40000台设备在运行。 业界唯一一家提供FAT AP平滑升级到FIT AP无线解决方案提供商，为运营商前期的投资的保护提供有效保障 业界唯一一家提供FAT AP TR-069管理和FIT AP AC管理解决方案的厂家，使WLAN网络实现真正的可管理。 AP支持PPPoE拨号，有效的实现将管理网络同数据网络隔

26、离，保证了运营商内部网络的安全性，同时解决了AP的IP地址分配和管理问题。 智能带宽限速通过对AP接入用户的带宽限制，有效的避免了由于个别用户使用P2P业务而导致其他用户无法上网。 2008年3月国内首家发布11N产品，全球首家发布Unifying Switch厂家，全国市场份额12.5%，位居第二位，运营商市场份额24.5，位居第一位。,H3在WLAN领域的成就,H3C AP设备目前网上使用量已超过40000台。,大会 LOGO,H3C专家介绍 CAPWAP MIB,H3C WLAN在世界,国内唯一一家完全自主研发，拥有完全知识产权的厂家，目前提交专利70余件， 并成功在IETF组织提交2份

27、管理标准,2009年WLAN产品布局,网桥,无线控制器,WX5002,WX6103,WX5004,网络管理软件,无线客户端,无线IDS,无线定位,WX3024,S75E/S95插卡,FIT/FAT AP,网桥/Mesh,WA2110-AG,WA2210-AG WA2220-AG,WA1208E-GP,WA1208E-AGP,WA2220E-AG,WA2210X-G/GE WA2220X-AG/AGP/AGE,WA 2620E-AGN,WA 2610E-AGN,WA2220E-AG-T,WA2210E-GE,WB2320X-AGE,无线应用,WX3010,WA2610-AGN,WA2612-AG

28、N,S58无线控制器插卡,S75E交换板无线扣卡 /S95E无线插卡,多频Mesh,大容量AC,专业安全插卡,专业BAS插卡,无线控制器插卡,无线控制器插卡,能够平滑升级支持11N 兼容各种业务板卡,WA1208EGP,百兆电口，POE,控制口,电源口,射频天线口,室内大功率500MW单频双模 适用于室内分布系统 支持IEEE802.11b/IEEE802.11g 支持FAT AP/FIT AP模式灵活转换 支持多个SSID实现虚拟AP特性,WA 2220X-AG/ WA 2220X-AGP,室外型双频多模 WA 2220X-AGP支持500mW大功率射频输出 环境温度：-4065oC，不需要外接室外机箱 支持IEEE802.11a、IEEE802.11b/IEEE802.11g 支持FAT AP/FIT AP模式灵活转换 支持百兆光电接口上联 支持IPv6网络,专业室外产品同包装产品的区别,WA 2210-AG,百兆电口，POE,控制口,电源口,室内型单频多模 支持IEEE802.11a或IEEE802.11b/IEEE802.11g 支持FAT AP/FIT AP模式灵活转换 支持多个SSID实现虚拟AP特性 持WEP/TKIP/AES等硬件加解密算法 支持I