H3CWLAN无线城市解决方案杭州华三通信技术有限公司无线城市业务需求H3CWLAN解决方案介绍目录2007年12月02日至08日,IETF70届大会在加拿大温哥华举行。在CAPWAP工作组会议上作了专题报告,完整地介绍了H3C公司在无线网络管理的创新理念。该设计理念和思想受到IETFCAPWAP工作组专家的一致认可,来自多家设备厂商的专家提出与H3C合作共同参与该标准的制定。根据大会的投票选举结果,H3C的草案获得了工作组的全票通过:正式成为工作组草案。不久的将来,该草案最终将成为IETFRFC标准并正式发布。大会LOGOH3C专家介绍CAPWAPMIBH3CWLAN在世界H3C是业界首家提供室内分布式系统共用天馈解决方案,大大降低了运营商建设WLAN网的前期投入成本,并有效的减少运营商工堪的工作量,现网已经有超过20000台设备在运行。业界唯一一家提供FATAP平滑升级到FITAP无线解决方案提供商,为运营商前期的投资的保护提供有效保障业界唯一一家提供FATAPTR-069管理和FITAPAC管理解决方案的厂家,使WLAN网络实现真正的可管理。智能带宽限速通过对AP接入用户的带宽限制,有效的避免了由于个别用户使用P2P业务而导致其他用户无法上网。H3CWLAN在中国H3CAP设备目前网上使用量已超过30000台。无线城市对全业务运营的意义无线城市需要运营商保证可持续发展政府直接投资模式政府与运营商合作模式混合模式全业务运营商需要无线城市作为战略资源全业务转型的必然选择抢占高端客户群抢占频段资源、物业资源增值业务的战略平台双模AP快速漫游智能负载均衡室内到室外逐步扩展认证、计费平台Portal网管平台城域网家庭公交车站认证流推送WEB页面咖啡馆主页无线城市的需求分析多种增值服务高带宽多业务融合高清流媒体数据安全无线城域网多业务融合数据安全多种增值服务高带宽高清流媒体HQOS保障组播保障统一认证FMC融合灵活的用户管理策略广告平台精细化流量运营DDOS攻击防护空口安全VPN保护病毒防护入侵检测无线城市业务需求H3CWLAN无线城市解决方案目录组网解决方案安全解决方案网络管理解决方案组网模式:FATAP&FITAPAC(AccessController)无线控制器AP管理非法无线入侵检测位置检测网络自愈每用户的安全策略RF管理“胖”AP“瘦”AP802.11a/b/g天线加密移动IP,VPN802.1x,TKIP,Qos,802.11h权限控制策略控制三层漫游802.11a/b/g天线加密移动IP,VPN802.1x,TKIP,Qos,802.11h权限控制策略控制漫游、AP通过边缘L2交换机接入有线网络,AP或者L3交换机(AC)作为认证终结点;2、小规模WLAN网络应用,组网简单,成本低廉;3、AP作为边缘接入设备,类似有线网络接入层交换机,管理简单;FATAP组网模式L2交换机、增加WirelessSwitch作为中央控制管理单元、认证终结点,适合大规模WLAN组网;2、WirelessSwitch与AP之间跨越L2、L3、广域网的灵活组网;3、快速漫游切换、基于用户的权限管理、无线射频环境监控、语音视频等增值业务的满足;CAMSS3600-PWRS3600-PWRFITAP组网模式QuidviewAC热区覆盖的趋势:FITAPBSS3BSS5BSS1BSS2BSS4蓝色子网红色子网BobAmyAmy无线控制器无线控制器APAPAPIP网络FITAP智能射频功率管理智能负载均衡移动漫游智能信道管理AP1AP2拒绝关联接受关联城域网组网方案——集中转发AAA热点BBASADSL猫DSLAM汇聚交换机FITAPSR热点C接入交换机FITAP汇聚交换机热点A无线控制器Internet/Backbone网管认证平台城域网组网方案——数据流和控制流分离AAA热点BBASADSL猫DSLAM汇聚交换机FITAPSR热点C接入交换机FITAP汇聚交换机热点A无线控制器Internet/Backbone网管认证平台数据流控制流城域网组网方案——一体化多业务承载IPTV无线语音无线监控无线流媒体PPPoE认证低速无线上网AAA热点BBASADSL猫DSLAMFITAPSR热点C接入交换机FITAPInternet/Backbone网管认证平台汇聚交换机+bas功能+无线控制器SSID:视频监控SSID:语音终端对公众上网,移动办公,视频监控和WIFI语音业务,分配专用的SSID进行接入。公众上网用户采用PPPoE认证或Portal认证,认证点在无线控制器上。视频监控和语音通信,可采用MAC地址认证方式。城域解决方案—高可靠性网络FIT/FAT双模APFIT/FAT双模APACAC间N+1备份100ms故障检测AP支持物理链路双上行同时同2个AC建立逻辑连接,保证快速切换STA在AP/AC间50ms内快速漫游智能负载均衡ACP——室内分布式大面积覆盖室内吸顶天线滤波合路器宽频带功分器滤波合路器室内分布系统大功率AP2G/3G/PHS耦合器功分器耦合器功分器功分器小天线小天线泄漏电缆负载功分器小天线耦合器大范围低密度1208E-GP等全系列FATAP都能够平滑升级到FITAP,增强可管理性业务占用过多的带宽,导致其他正常用户无法使用网络城域网交换机BAS统一网管、认证平台ACS交换机A城域网BRAS有线接入DSLAM热点场所无线网管AAAInternet/BackboneLSW城域网BRAS有线接入DSLAM热点场所无线网管AAA直接管理FATAP统一认证FITAPAC统一认证间接管理建网初期建网后期建网初期,由于AP量小,可以采用FATAP,用无线网管直接管理;建网后期,随着AP数量的增加,引入AC设备对AP进行管理,原有FAT平滑切换成FIT;有线无线的帐户认证统一在原来有线网的BRAS上进行认证,管理.无线城市业务需求H3CWLAN无线城市解决方案目录组网解决方案安全解决方案网络管理解决方案城域解决方案—无线安全体系层次体系主要技术解决的问题物理空口•WEP64/128、TKIP、CCMP加密,可升级支持WAPI加密防止无线报文被监听和篡改用户接入•802.1x/PSK/MAC/Portal/PPPoE多种认证方式的混合接入,升级支持WAPI认证,支持本地终结EAP,支持本地认证用户身份鉴别和安全准入•动态下发用户的权限,带宽,VLAN,ACL业务隔离•Hotspot用户隔离限制用户互访网络安全iNode无线客户端,EAD支持,防ARP/DHCP欺骗隔离感染病毒和存在系统漏洞的无线客户端无线入侵检测系统,WIDS/IPS非法设备的检测、无线攻击的告警、规避和反攻击安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSECVPN端到端的安全加密设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况双模APFIT/FAT双模AP一体化硬件平台:防病毒、蠕虫防DDOS攻击状态包过滤防垃圾邮件内容过滤城域解决方案—ARP攻击和DHCPServer外挂利用认证客户端在终端上绑定网关ARP表项。iMC-CAMSiNode绑定网关ARP表项利用认证机制将IP-MAC关系上传到认证服务器1ACFIT/FAT双模APDHCPServerAC解析客户端和DHCP服务器之间的交互报文,获得合法用户的IP-MAC-port对应关系AC将获取到的合法用户的IP-MAC-port绑定在入接口上ACFIT/FAT双模APiNode绑定网关ARP表项监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定,实现对ARP报文的检查,过滤掉所有非法报文。城域解决方案—终端安全保障不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁?企业网络动态授权合格用户不同用户享受不同的网络使用权限行为审计无线控制器接收报文无线-有线优先级映射流分类流量限制队列发送报文出队调度拥塞控制转发源地址目的地址源端口目的端口协议类型ACL无线控制器调度机制优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP调度机制H3C城域解决方案—业务保障用户优先级到CAPWAP优先级映射用户优先级到CAPWAP优先级映射无线城市业务需求H3CWLAN无线城市解决方案目录组网解决方案安全解决方案网络管理解决方案的配置终端的配置部署无线设备的统一管理策略模板、批量部署Radio、服务的管理优化流量分析安全策略ACL流量控制QoS安全无线用户认证无线EAD无线审计部署监视调配安全优化无线业务管理模型根据服务划分的漫游域视图无线资源统一管理资源统一管理漫游域、物理位置、设备类型等多种分组显示方式AC、FitAP、FatAP设备的集中管理全网无线资源总体信息及状态一目了然根据地理位置划分的位置视图根据设备类型划分的分类视图热点解决方案—强大的AP管理功能FATAP统一网管、认证平台ACSBAS交换机交换机FATAPFATAP中国电信集团已经采用TR-069作为管理AP的标准;H3C是目前业界支持TR069最完善的厂商。杭州华三通信技术有限公司