WLAN组网及合作运营.ppt

1 wlan组网模式 2 目目 录录 1.1. 2.2. 。 wlan 组网 3.3. 。 4.4. 。 5.5. 。 wlanwlan组组组组网网二二层组层组层组层组 网网 为了更好的理解wlan组网中瘦ap的部署，我们从瘦ap的工作原理的来介绍二层组 网以及三层组网。 瘦ap在二层组网中从启动到正常运行的步骤如下: 第一步. ap从ac或者dhcp server那里获得一个ip地址。在二层组网方式中，ap的 dhcp请求以广播方式通过管理vlan直接发送至ac的lan口。 第二步.ap获取到合法ip地址后，将主动与ac建立关联。 第三步. ap在与ac建立关联之后，就会从ac处获取wlan配置模板，并根据ac上预 置的策略进行包括版本更新、工作模式、安全策略等在内的各项工作。 第四步.隧道的建立。当以上三个步骤完成之后，瘦ap与无线控制器之间会建立起两 条隧道，分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个 隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁 的时候，用来传输控制报文的隧道也不能用来传递数据报文。 路由器 运营商 aaa server 交换机 internet 交换机 二层vlan透传 无线交换机 交换机 管理vlan数 据流 wlanwlan组组组组网网二二层组层组层组层组 网网 wlanwlan组组组组网网二二层组层组层组层组 网网 wlan 二层组网要求 ac核心侧 到 ap热点侧间有光纤链路可达 二层组网优点 采用gpon组网，可以保证ac ap之间高带宽无瓶颈 专网专用，ac ap间纯二层链路故障点少，易于故障排查。 二层组网注意事项 热点必须光纤到位，前期准备工作量大，新增设备多。 无光纤热点无法实现wlan快速建设，无法有效利用现有设备及资源。 二层网络以vlan分割热点，对vlan的需求及规划要求较高。 配置变更涉及核心网及接入网所有设备，操作复杂。 存在二层网络广播风暴的风险 wlanwlan组组组组网网三三层组层组层组层组 网网 瘦ap在三层组网中从启动到正常运行的步骤如下: 第一步. ap从ac或者dhcp server那里获得一个ip地址。在二层组网方式中，ap的 dhcp请求以广播方式通过本地管理vlan直接发送至本地三层设备网关。 第二步.本地三层设备根据预先配置的dhcprelay设置，将ap的dhcp请求发往ac的 lan口，并作为中转设备完成整个dhcp交互过程，且ac需要配置其dhcp的option43 字段。 第三步.ap获取到合法ip地址后，根据ac配置的dhcp option43字段中指定的ip地址 ，主动发起于ac的关联请求。 第四步. ap在与ac建立关联之后，就会从ac处获取wlan配置模板，并根据ac上预 置的策略进行包括版本更新、工作模式、安全策略等在内的各项工作。 第五步.完成隧道的建立。 路由器 运营商 aaa server 三层交换机 internet 三层交换机 无线交换机 三层交换机 管理vlan数 据流 wlanwlan组组组组网网三三层组层组层组层组 网网 路由器 城域网 wlan wlan 三三层组层组层组层组 网网 wlan 三层组网要求 ac核心侧 到 ap热点侧间路由可达 三层组网优点 可利用现有城域网设备快速组网，新增设备少。 网络架构灵活，配置变更简单，可扩展性高。 对vlan 资源的需求及规划简单，热点vlan可重复利用。 三层组网缺点 热点三层出口带宽难以保证，容易成为网络瓶颈。 三层路由数据转发方式的转发效率不如二层数据转发高。 共用城域网设备，acap之间的链路复杂，故障点多，排查故 障难度较大。 9 目目 录录 1.1. 2.2. wlanwlan数据转发方式数据转发方式 wlan 组网 3.3. 。 4.4. 。 5.5. 。 数据平面报文分类 p数据平面：802.11报文分类 a类报文，802.11时间敏感性报文，全部无线控制帧和部分无线管理帧（beacon和probe） * beacons * probes * rts, cts, ack, ps-poll, cf-poll,cf-endcf-ack，blockackreq，blockack a类报文终结点一般在ap上（remote mac除外） b类报文，802.11非时间敏感报文，部分无线管理帧（除beacon和probe外）和wapi报文 * association/reassociation/disassociation * authentication/deauthentication * key management * ieee 802.11 link security (wep, tkip, ieee 802.11i) * wapi报文：接入鉴别，证书鉴别，单播密钥协商，组播密钥协商 b类报文终结点，对split mac一般在ac上，对local mac可能在ap或ac上；推荐在ac上处理，更有利 于集中管理 c类报文，802.11数据报文 与控制帧和管理帧不同，数据帧的目的地不一定是ap，所以需要实现802.3与802.11之间的桥接 802.11帧是否终结，看802.11帧头是否剥离 业务平面基本无线业务 p基本无线业务 a类业务：802.11mac基本功能 802.11分发：包括radio级的本地转发，设备间的隧道分发 802.11桥接：剥离802.11头，加802.3头 beacon、probe： beacon生成、发送；proberequest终结；proberesponse生成、发送 802.11报文缓冲：802.11数据帧的接收、发送缓冲 802.11分片、重组 802.11关联：associationrequest、reassociationrequest终结；associationresponse生成 、发送； 802.11鉴别： authentication终结；deauthentication生成、发送； wapi鉴别：“鉴别激活”生成、发送；“接入鉴别请求”终结；“证书鉴别请求”生成、发送 ；“证书鉴别回应”终结；“接入鉴别回应”生成、发送； 802.11wmm： （1）wmm流分类： （2）wmm调度： （3）wmm队列： 802.11eap：802.1x及eap处理 802.11key管理： 802.11数据帧加解密： split mac对802.11 mac非实时功能的 拆分主要是指以上功能 业务平面高级业务 p高级无线业务 b类业务：分析802.11报文头即可，无需解密即可完成的功能。 无线ids：基于无线管理帧协议分析，完成无线攻击监测 接入控制： （1）黑白名单 流分离： （1）基于bssid转发（分布式转发、集中式capwap转发、集中式ipip转发） p其它高级业务 c类业务：需要解密后，分析报文内容才能完成的功能 802.3层次业务： 传统有线ip层以上业务： p隧道业务 capwap控制隧道 capwap数据隧道 ipip隧道 internet lan 分布式转发（本地转发） router-a router-b router-c 网关router-a ipa 网段 ac 网关router-c ipc 网段 网关router-c ipc 网段 网关router-b ipb 网段 capwap控制本地数据转发 802.11ip 802.3ip 802.3ipcapwap. 名词约定：分布式转发、本地转发、local forwarding、local bridge ap1ap2 分布式转发（本地转发） stationap ac router a类报文 （a类报文统计） capwap c类报文（802.11） 加解密 加解密 80211802.3 802.3 转发 c类业务 a类业务 b类报文 （b类报文） capwap c类业务 b类业务 京信本地转发方案 优点：减轻ac性能压力，ac可以管理更多的ap，能够支持全局性的b类业务 缺点：大量ap需要网络规划支持；无法支持语音漫游 ap性能要求：高 ac性能要求：低 internet lan 集中式转发 router-a router-c router-b 网关router-a ipa 网段 ac 网关router-c ipc 网段 网关router-c ipc 网段 网关router-b ipb 网段 capwap控制capwap转发 ac gre转发 802.11ip 802.11ip 802.3ipcapwap 802.3ipcapwap802.11ip 802.3ip 802.3ipgre802.11ip 802.3ip cpu加、解封装 芯片加、解封装 名词约定：统称集中式转发，分为capwap转发、gre转发两种模式 集中式转发（ipip隧道） stationap ac router a类报文 （a类报文统计） capwap b类报文 （b类报文） capwap b类业务 京信ipip集中转发方案 优点：对原有网络影响小，只需要对ac进行网络规划；ac压力小 缺点：无法支持全局性的ip高级业务 ap性能要求：高 ac性能要求：低 c类报文（802.11） 加解密 加解密 80211802.3 （802.3）ipip传输 c类业务 a类业务 c类业务 802.3硬件转发 集中转发 ，ap加解密 stationap ac router a类报文 （a类报文统计） capwap b类报文 （b类报文） capwap b类业务 京信capwap集中转发ap加解密方案 优点：对原有网络影响小，只需要对ac进行网络规划；支持漫游 缺点：对ac要求高 ap性能要求：高 ac性能要求：高 c类报文（802.11） 加解密 加解密 （802.11）capwap传输 a类业务 c类业务 802.3转发 80211802.3 c类业务 a类业务 集中转发 ，ac加解密 stationap ac router a类报文 （a类报文统计） capwap b类报文 （b类报文） capwap b类业务 京信capwap集中转发ac加解密方案 优点：对原有网络影响小，只需要对ac进行网络规划；支持漫游 缺点：对ac要求极高 ap性能要求：低 ac性能要求：极高，可采用硬件加解密引擎（支持wapi） c类报文（802.11） 加解密 加解密 （802.11）capwap传输 a类业务 802.3转发 80211802.3 c类业务 a类业务 ac与城域网的融合 核心网核心网 核心网 page 20 建网模型比较与建议 比较模型一模型二模型三 组网模式小分布式ac大容量ac旁挂 大容量ac直连 优点 本地转发 ，对上层 汇聚交换机压力小 组网灵活，可多个ac集中 部署在一个机房，网络安 全部署更容易，可管理性非 常强 对核心/汇接路由器的压 力小，ac部署数量适中， 安全、管理部署较易 缺点 ac部署很多，需要管 理的节点太多，可管 理可运营性较差 流量都需要通过核心/汇接 路由器，增大对核心/汇接 路由器的压力 组网不够灵活，增加网络 层次，受有线网络部署约 束 建议 适合中小企业与 sohu用户单 独组网 ，不建议采用 wlan运营级 部署，应用 灵活，适合各类场 合，推 荐采用 适合大型的园区（如大学 ）ac下沉方式的wlan部 署，限制采用 21 目目 录录 1.1. 2.2. 。 联合运营与共建共享 3.3. 。 4.4. 。 5.5. 。 联联合运营营模式需求分析 各运营商建立了wlan商用网络后，为了能够面对多种运营合作模式和行业市场， 方便试点各种营运策略，获取运营经验 ，主要以移动为 例，目前普遍采用以下几种合作 运营模式，同时利用在2g用户的优势 ，采用手机号码作为wlan帐号捆绑的销售方式， 可以互相促进，取得了不错的开局。 1、 与大型网络宽带 用户合作，例如高校、职中等对网络需求大的用户整体合作，获 得大量最终用户； 2、 与跨地区企业合作，例如与星巴克、酒店集团等合作。 中国当前在校大学生数量超过2500万，位居世界第一位，他们是中国最独特的细分群 体，当前移动3g业务 主要以移动宽带 接入为主，而学校 “热点”的覆盖中，用户的接入会 更密集，而且对移动宽带 的访问 具有连续 性和周期性，这就需要无线接入设备 具备提供 大容量、高速率的数据接入能力，而这恰恰是当前3g技术的弱点，基于3g技术的移动宽 带接入，现阶 段无法满足学生用户的特性需求。而以802.11为基础的wlan技术，作为 固定宽带 的延伸和3g接入的有效补充，可以在学校提供灵活的移动宽带 接入。wlan具 有低成本、高带宽 的接入优势 ，当前的802.11n，支持实现 超过300mbps的真正高速接入 ，这是3g技术现阶 段无法比拟的。 联联合运营营建设设与运营营模式分析 对于运营商与学校的合作建设无线校园网，目前一般都采用运营商投资wlan相关 设备 建设无线校园网，并且将基于wlan的宽带 接入收入与学校按比例进行分成的运营 模式。 该模式下，运营商提供自己的出口只为基于wlan的移动宽带 接入业务 服务。同时 ，在学校部署的wlan网络属于校园网的一部分，从学校部署“无线校园”的初衷考虑，实 现wlan网络与原有的lan校园网互通，比如学生只可以通过移动cmnet访问 互联网， 教师可以通过wlan访问 公网，有效保护运营商投资方的利益。在网络建设上，基于 wlan的移动宽带 接入网络采用独立部署的方式，wlan设备 采用独立的接入交换机、 汇聚交换机及核心交换机和出口设备 ，wlan设备 与学校现有的lan校园网设备连 接互 通，因为wlan相关设备 的所有权归 属运营商，所以这样 部署的目的是实现 网络管理的 分离，wlan由运营商维护 管理，而学校还只是负责 原lan校园网的维护 。 采用wlan网络与原有lan校园网互通的建设方式，既满足了运营商的需求，又帮助 学校实现 了“无线校园网”。 移动用户ssid采用集中转发，ac为用户推送portal 校园用户ssid采用本地转发，由校方认证服务器完成授权、认证 移移动动动动网网络络络络与校园网共建解决方案与校园网共建解决方案 双双ssidssid广播广播 双双portalportal推送推送 实现实现 ： 瘦ap在注册到移动的ac时，可接受ac下发的配置，根据不同的ssid分别作业务流量的集中转发和 本地转发。对于公网用户，采用集中转发到移动ac；对于校园网内用户，流量在校园网内本地转发。 即公网用户采用集中转发模式，数据必须通过ac才能路由出公网；校园网用户数据直接走本地转发的 模式，数据从高校的出口路由接入教育网或公网。 a)、在移动局方所部署的校园内的wlan汇聚交换机上分别划分两个不同的vlan（如vlan 100和 vlan 200），分别对应 移动的cmnet网的业务和校园的内网业务，同时在ac无线集中控器上对校园的 ap开放两个ssid，即校方的schoolnet和移动的cmcc， 并将ssid与vlan进行绑定。由移动局方的wlan 汇聚交换机通过vlan接口与校园的内网进行互联。这样，在移动wlan汇聚交换机上同时拥有了移动 的cmnet网的业务和校园的内网业务。 b)、对于校园网而言，在ac无线集中控制器上对相应的ssid设置成本地流量转发模式，让其ssid 下的sta产生的流量不经过ac无线集中控制器，直接由校园的内部网络进行流量转发，其ssid下的用 户的认证和计费等信息均由校园的内部网络进行处理。而对于移动局方的cmnet网而言，在ac无线集 中控制器上将相应的ssid设置成集中流量转发，让其ssid下的sta产生的流量经过ac无线集中控制器 ，由ac无线集中控制器来进行集中流量转发，其ssid下的sta认证和计费等信息均由cmnet网络进行处 理。 c)、建议移动方的用户的地址池采用公网地址，由ac作bas功能进行dhcp池的动态分配方式，用 户的认证采用dhcp+portal的认证方式，用户地址在ac缺省的域中认证和计费，校园内网用户的地址 由校方进行分配，校园网用户的认证和计费由校内服务器认证系统进行。具体而言，对于教职的用 户帐号和密码均由校方统一发放和管理，而对于学生的帐号和密码均由移动局方统一发放和管理。教 职工的帐号只能在校内的认证计费 系统中使用，学生的帐号只能在移动的radius认证和计费系统中 使用，双方独立运营。 d)、在移动新增的wlan汇聚交换机和校园网的接口处增加防火墙，以保证移动运营网络的安全。 同时，在wlan接入层交换机上,作ap的端口上端口隔离功能和在ap上作用户隔离功能。 酒店酒店wlanwlan联联联联合运合运营营营营 对于运营商与酒店的合作建设无线网，目前一般都采用运营商投资wlan相 关设备建设wlan覆盖，无线接入控制器（ac）放在运营商机房内。认证服 务器和计费系统均放在运营商局端机房内；运营商和酒店达成对酒店用户 计费方式采用包夜制，ac只采集按天计费信息，到月底按原先双方签订底 分成协议结 算。用户的开户和管理均在运营商局端完成，运营商根据酒店 的实际客人上网数目，预先在系统内开户，然后把开好的用户名和密码交 给酒店作每天客人临时开户用。 酒店酒店wlanwlan联联联联合运合运营营营营 网网络络络络拓扑拓扑 酒店酒店wlanwlan联联联联合运合运营营营营 运营