WLAN(WiFi)业务及组网介绍

WLAN互联结构无中心网络(无AP网络)也称对等网络或Ad-hoc网络。对等网络用于一台无线工作站和另一台或多台其他无线工作站的直接通讯，有中心网络也称结构化网络。它由无线AP、无线工作站（STA）以及有线网络构成WLAN业务WLAN实现如下业务：1.AP网管业务使用IP专线的方式接入，实现方式上可以看作普通ADSL、LAN专线。2.PPPOE业务目前的组网实现了此功能，但目前并没有相应的业务开放。3.DHCP业务目前WLAN的核心业务，下面分别对深圳三种BRAS的组网方式和实现方式进行详细的介绍。WLAN接入组网ERX1440WLAN业务实现ERX1440INTERNET接入网RADIUSPortal服务器RedirectorSDXAPPCERX作为DHCP服务器，使用equal-access模式，在此模式下，DHCP需要SDX（ServiceDeployingSystem）服务器的配合。SDX和Redirector服务器全省集中部署2台。SDX作为ERX的策略服务器。使用COPS（CommonOpenPolicyService公共开放策略服务）协议。同时，SDX作为省RADIUS(RemoteAuthenticationDialInUserService)服务器的客户端。Redirector服务器负责WEB页面跳转，ERX和Redirector之间使用DVMRP（DistanceVectorMulticastRoutingProtocol：距离矢量组播路由选择协议）隧道。PORTAL服务器全省集中部署，SDX提供API接口给PORTAL服务器。ERX1440WLAN上网流程1.用户发起DHCP请求。2.ERX收到请求后，为用户分配IP地址，并将用户信息发送给SDX注册。3.SDX下发策略给ERX，对用户实行访问控制。同时SDX将IP和用户IP发送给PORTAL服务器登记。4.用户打开浏览器，输入任意URL地址。5.ERX将用户的HTTP请求通过策略路由NEXT-HOP到Redirector服务器。6.Redirector服务器将用户HTTP请求重定向至PORTAL页面。7.用户IE浏览器跳转至PORTAL页面。8.用户在PORTAL页面输入用户名和密码。9.PORTAL将用户名和密码发送至SDX。10.SDX向RADIUS发起认证请求。11.RADIUS返回认证结果和用户速率等参数。12.如果认证成功，SDX下发新的策略给ERX，定义用户速率和解除用户上网限制，同时将认证结果返回用户的PORTAL页面。并向省RADIUS发起计费请求。13.ERX根据SDX下发的策略，定义用户速率和解除用户上网限制。14.用户可以正常上网。15.用户下线时，可以断开PORTAL页面的连接按钮，由PORTAL向SDX发送终止计费请求，SDX收到后再向RADIUS发送终止计费请求。也可以直接断开DHCP或关机，ERX检测到用户下线后，向SDX发送终止计费请求，SDX收到后再向RADIUS发送终止计费请求。SE800WLAN业务实现SE800INTERNET接入网RADIUSPortal服务器DHCP服务器NPMAPPCSE800作为DHCPRELAY，将用户DHCP请求转发给DHCP服务器。DHCP服务器全省集中部署。NPM(NetOpPolicyManager）是SE800的策略服务器，使用RADIUS协议。NPM既是SE800的RADIUS服务器，同时也是省RADIUS服务器的客户端。SE800内置HTTPRedirector模块。PORTAL服务器全省集中部署，由NPM提供API接口给PORTAL。SE800WLAN上网流程1.用户发起DHCP请求。2.SE800收到请求后，以用户的MAC地址为用户名向NPM发起RADIUS认证。3.NPM使用伪认证，向SE800返回认证成功结果。4.SE800向NPM发送RADIUS认证的同时将用户DHCP请求发送到DHCP服务器。5.DHCP服务器收到DHCP请求后，为用户分配地址。6.SE800收到DHCP服务器返回的结果，将DHCP结果返回给用户，同时向NPM发起计费请求。7.NPM收到计费请求，记录用户NAS-IP/NAS-PORT-ID/PVC/IP等信息，并下发策略给SE800，对用户实行访问控制。同时NPM将IP和用户IP发送给PORTAL服务器登记。8.用户获取IP，打开浏览器输入任意URL地址。9.SE800收到用户的HTTP请求，将请求转发给本地Redirector模块，本地Redirector模块将用户HTTP请求转接到PORTAL页面。下页续SE800WLAN上网流程（续上页）10.用户IE跳转至PORTAL页面，输入用户名和密码。11.PORTAL服务器将用户密码发送给NPM服务器。12.NPM服务器收到用户名和密码后，向省RADIUS服务器发送认证请求。13.省RADIUS服务器收到认证请求后，进行认证并反馈认证结果。14.NPM服务器收到认证成功的结果后，下发新的策略给SE800，放开用户上网限制和应用新的速率模板，同时向PORTAL页面发送计费结果并向RDIUS发起计费请求。15.SE800根据NPM下发的策略，放开用户上网限制和应用新的速率模板15.用户可以正常上网。16.用户下线时，可以断开PORTAL页面的连接按钮，由PORTAL向NPM发送终止计费请求，NPM收到后再向RADIUS发送终止计费请求。也可以直接断开DHCP或关机，SE800检测到用户下线后，向NPM发送终止计费请求，NPM收到后再向RADIUS发送终止计费请求。ME60WLAN业务实现ME60INTERNET接入网RADIUSPortal服务器APPCME60作为DHCP服务器。ME60划分认证前域后认证后域。认证前域限制用户上网并负责跳转页面，认证后域不限制用户上网。ME60作为省RADIUS的客户端。ME60和PORTAL服务器之间使用PORTAL协议交换信息ME60WLAN上网流程1.用户发起DHCP请求。2.ME60收到用户请求，将用户划到认证前域，为用户分配IP地址，并将用户信息发送给PORTAL服务器。3.PORTAL服务器记录用户的NAS-IP/IP等信息。4.用户获取IP地址，打开浏览器输入任意URL地址发起HTTP请求。5.ME60收到用户的HTTP请求，将页面跳转至PORTAL页面。6.用户IE浏览器跳转到PORTAL页面，输入用户名和密码发起认证。7.PORTAL服务器将用户名和密码发送给ME60。8.ME60收到请求后向省RADIUS服务器发起认证请求。9.省RADIUS收到认证请求后，进行认证，成功后反馈结果和速率等参数。10.ME60收到认证成功的结果后，将用户划到认证后域并设置用户速率。并向省RADIUS发起计费请求，同时将认证结果反馈给PORTAL服务器，由PORTAL服务器再反馈给用户PORTAL页面。11.用户可以正常上网。12.用户下网时，可以断开PORTAL页面的连接按钮，由PORTAL向ME60发送终止计费请求，ME60收到后再向RADIUS发送终止计费请求。也可以直接断开DHCP或关机，ME60检测到用户下线后，向RADIUS发送终止计费请求。胖AP与瘦AP胖AP：具备一定的认证、被网管等功能的AP。瘦AP：仅提供WLAN无线接入，无其它任何功能的AP。故需配合无线控制器（AC）接入网络。802.11a/b/g天线加密移动IP,VPN802.1x,TKIP,Qos,802.11h权限控制策略控制三层漫游802.11a/b/g天线加密移动IP,VPN802.1x,TKIP,Qos,802.11h权限控制策略控制漫游胖AP802.11a/b/g天线加密瘦APAP管理网络自愈移动IP,VPN802.1x,TKIP,Qos,802.11h权限控制策略控制漫游RF管理AC胖AP与瘦AP对比•胖AP组网：–每个AP都是一个单独的节点，独立配置其信道和功率；安装简便–每个AP独立工作，较难扩展到大型、连续、协调的无线局域网和增加高级应用–每个AP都需要独立配置安全策略，如果AP数量增加，将会给网络管理、维护及升级带来较大的困难–很难进行无线网络质量的优化数据的采集•瘦AP组网：–通过AC对AP群组进行自动信道分配和选择，及自动调整发射功率，降低AP之间的互干扰，提高网络动态覆盖特性–支持二层/三层漫游切换–容易实现非法AP检测和处理–管理节点上移后，运维数据采集针对AC而非AP，解决了网管系统受限于AP处理能力和性能的问题胖AP的局限性FATAP组网更适合在家庭和中小型网络中使用，无法满足大型的无线企业网络的需求每台FATAP都只支持单独进行配置，组建大型网络对于AP的配置工作量巨大FATAP的配置都保存在AP上，AP设备的丢失可造成系统配置的泄露FATAP的软件都保存在AP上，软件升级时需要逐台升级，维护工作量大随着网络规模的变大，网络自身需要支持更多的高级功能，这些功能需要网络内的AP协同工作（非法用户和非法AP的检测等），FATAP很难完成这类工作缺乏自动信道调整、自动功率调整，不适用复杂RF(RadioFrequency)环境不能满足语音业务需求瘦AP的特点•AP自动发现–即插即用和零配置使用–基于L2/L3的多种自动发现方式，便于跨各层网络灵活组网•动态的RF管理–自动信道分配和选择–自动功率调整:降低AP之间的互干扰，提高网络动态覆盖特性•负载均衡：基于用户和基于流量–对于用户密度高或者流量变化大的热点地区，这点对提高用户感受至关重要•更强的安全策略–非法AP检测和处理机制，具有无线入侵检测能力•AC对AP的深入管理–AC对瘦AP进行的是底层信令交互，能方便地通过软件升级向网管开放更多管理和性能数据，而胖AP则只能逐个升级实现瘦AP＋AC组网方案（一）AC位于大型热点；或位于电信机房，下联多个热点的APAP通过DHCP获得AC分配的管理地址和AC的地址AP与AC建立加密隧道根据用户无线报文的BSSID字段和瘦AP的位置，映射为相应的业务VLAN，不同热点可映射为不同VLANBRAS终结用户VLAN，并对用户进行地址分配、认证和计费特点：一台AC可管理一台BRAS下同一厂家瘦AP；对现网不需要改动瘦AP＋AC组网方案（二）AC旁挂在BRAS上在AP上配置AC的域名；在DNS服务器上配置AC的地址及相应的域名AP通过DHCP从BRAS获得管理地址；AP通过地址解析（DNS）获得AC地址，并与AC建立加密隧道AC根据用户无线报文的BSSID字段及AP位置，映射为相应的业务VLAN，不同热点可映射为不同业务VLANAC转发用户流量到BRASBRAS终结用户VLAN，并对用户进行地址分配、认证和计费特点：一台AC可管理一台BRAS下同一厂家瘦AP；对现网不需要改动瘦AP＋AC组网方案（三）IPMANBRAS2BRAS3BRAS1AC汇聚交换机switchswitch大型热点瘦AP交换机汇聚交换机switchswitch大型热点瘦AP交换机加密隧道AC管理VLAN业务VLAN三种方案比较优点缺点方案一(AC位于汇聚交换机下)网络结构简单，不需改动现网结构；AP可配置私网地址；对BRAS不会造成压力AC所管理瘦AP的物理区域有限；个性化热点数量有限；AC设备数量多方案二(AC旁挂BRAS)一台AC可管理一台BRAS下联任何位置的瘦AP；个性化热点只受AC的VLAN数限制；对现网改造较少要求AC的接入能力强;需要现网DNS配置AC的域名和地址；在AP上需根据规划可更改AC域名；用户流量需二次穿越BRAS；若AP配私网地址对BRAS的配置有要求方案三（AC位于城域网）一台AC可管理不同BRAS下同一厂家的瘦AP，布署灵活；AC数量少AC性能要求高；用户业务流量二次穿越城域网；对AC就近接入的BRAS会产生较大的压力；与现网的网络层次结构不一致2010年深圳AP＋AC组网对于分散的AP，AC集