联通WLAN精细化运营需求PPT课件.ppt

联通WLAN精细化运营需求 日期 2010年1月 杭州华三通信技术有限公司 需求与挑战一 无线业务连续性 业务连续性是移动互联网的基本需求 WLAN需要提供3G网络类似的业务体验 在线游戏 移动互联网 在线视频 在线MSN 数据业务 需求与挑战二 WLAN的快速部署 依托城域网接入资源 实现WLAN的快速部署 最大程度降低对有线城域网的改造要求 真正做到即插即用 需求与挑战三 无线业务部署不影响有线业务 需求 无线业务部署不影响有线业务挑战 无线业务与有线业务共享接入交换机 汇聚交换机 BAS等关键路径 如何才能让无线业务不影响有线 无线安全 用户可靠性 需求与挑战四 无线空口资源控制 无线校园用户流量监控和行为审计集中部署 ARP DHCP IP等非法攻击如何防范 有线网缺乏相应手段 无线ACL QoS策略集中部署 基于SSID P2P流量抢占带宽 影响用户体验 单纯的BAS限速无法体现公平 需求与挑战五 无线业务部署可扩展性 随着无线业务遍地开花 无线业务部署如何与时俱进 无线业务未来扩展时 不需要再次大规模变更网络 如 IPV6支持 WAPI 无线安全 用户行为分析 P2P限流 上述要求 只有集中转发架构才能实现 FITAP组网中AC的定位 AC定位在无线流量汇聚层 强调对无线空口的安全认证 用户漫游 以及AP集中管理等 完成类似3G网络中BSC SGSN的作用 AP仅需实现物理层功能和MAC中帧处理等高实时要求功能 无线处理性能极大提高 部署时即可通过升级AC提高整网性能 AC的性能决定整个网络的性能 运营级AC已经成为WLAN网络的主流 BRAS AC GGSN 集中转发和本地转发原理 本地转发概念 1 用户的管理帧 如802 11管理 控制报文和802 1x协议报文等 通过CAPWAP隧道传递给AC集中处理 以实现用户的认证 授权等 2 用户的数据帧 包括802 11数据和来自有线的802 3数据报文 在AP本地进行解析 封装等处理 并直接由AP进行转发 802 11管理和控制报文 集中转发模式 本地转发模式 运营商城域网 运营商城域网 无线控制器 无线控制器 集中转发优势一 跨VLAN漫游 BAS 1 交换机 汇聚交换机 FITAP 热点B VLAN21 1 1 10 无线控制器 运营商城域网 汇聚路由器 漫游前数据流网关地址 1 1 1 1 热点A VLAN11 1 1 10 漫游后数据流网关地址 192 168 1 1 本地转发情况下 用户跨AP漫游后 VLAN发生变化 但IP地址保持不变 BAS上相应VLAN接口上的地址和用户IP不在同一网段 用户无法访问网关并上网 用户必须重新获取地址 并再次认证才能访问网络 集中转发情况下 数据流量都是由AC进行转发 AC对漫游用户做特殊处理 漫游后不改变原来用户的VLAN标记 因此可以实现平滑的二层 三层漫游 三层漫游无法实现 会直接影响用户的业务体验 在Portal认证流程繁琐的情况下 包括页面重定向 用户名密码输入 认证成功后推出页面等诸多环节 无法满足用户连续下载等具有时间延续性要求的业务需求 有线用户 用户漫游 本地转发 集中转发 VS N M N 1 1 运维省心 用户开心 集中转发优势二 部署简单 真正实现即插即用 1 多业务部署2 新增AP部署 集中转发优势二 部署简单 真正实现即插即用 汇聚层交换机 无线控制器 FITAP FITAP FITAP FITAP FITAP 新增FITAP 1 集中转发时 用户新增SSID或更改VLAN配置 只需在AC设备上统一处理 接入交换机和汇聚交换机设备无需更改配置 只需在核心网设备AC和BAS做修改即可 SSID ChinaNet SSID voice BAS 认证计费系统 FITAP 接入层交换机 2 本地转发情况下 每增加一个AP 都需要对城域网设备修改配置 部署非常繁琐 主要是因为 城域网设备标记的VLAN是FITAP的管理VLAN 不同的AP标记的管理VLAN不同 由于AP的管理VLAN和数据VLAN要分开 合在一起会有很多安全隐患 因此 在接入交换机上需要增加新的业务VLAN 每台设备都需要做重新配置 新增AP1 管理VLAN100 交换机标记 业务VLAN1000 新增AP2 管理VLAN101 交换机标记 业务VLAN1001 集中转发优势三 空口资源保护 BAS 1 交换机 汇聚交换机 FITAP 热点B VLAN2 无线控制器 运营商城域网 汇聚路由器 热点A VLAN1 背景 同时 IP网络中存在大量攻击隐患 现有城域网缺乏防护措施 在AC上部署ARP防攻击 如ARP限速 源抑制 黑白名单等特性 对非法用户拒绝接入网络 AC支持ARP代答 减少网络中的广播垃圾 并节省AP设备和终端的能耗 AC检测非法地址扫描攻击 以及DoS攻击等流量 直接禁止非法用户接入无线网络 保护空口带宽 AC基于同信道的AP进行调度 并动态调整低速用户接入带宽 实现用户公平接入 需配置ARP防攻击 发现非法用户 拒绝用户接入 集中转发优势四 有线无线区分控制策略 BAS 1 交换机 汇聚交换机 FITAP 有线用户 无线控制器 运营商城域网 汇聚路由器 热点A VLAN1 集中转发情况下 无线流量类似于在城域网上通过VPN承载 有线无线流量隔离 互不影响 无线本身是不安全的网络 流量由AC集中控制并通过单独的BAS接口终结 防止无线安全隐患影响有线网络 BRAS通过专门的接口终结无线流量 可以针对无线流量做有针对性的限速策略和控制 有线无线的VLAN规划可以完全独立 资源可以复用 无线用户可以有独立的QoS ACL策略 无需修改有线网配置 如限制账号的漫游区域等 有线用户的控制策略可以和无线完全不同 有线要限制用户移动 而无线不能限制并需要解决跨省漫游问题 BAS上可以配置相应的接口为有线还是无线 Radius会做相应的策略 有线流量 无线流量 有线帐号 VLAN绑定 接口类型绑定 AAA 认证 网管平台 BAS 汇聚交换机 接入交换机 SR AC AC支持QinQ标记 精确定位用户 提供精细化运营支撑功能AC对WLAN侧的业务报文能根据策略进行QinQ的标识 外层VLAN可以灵活的标记业务 上网和其他业务 用户类型 有线 无线 和物理位置 不同学校 BRAS上通过外层VLAN即可识别业务 地点和应用 价值 WLAN业务整网精细化标识 提供精细化运营手段 如 限制帐号只能在星巴克连锁店使用 外层VLAN区分有线业务和无线业务 如 更加灵活的用户定位策略 外层VLAN标识校园 内层VLAN标识AP如 更加灵活的业务标识策略 外层VLAN标识业务 如视频 上网等 如 外层VLAN标识用户类别 如学生 老师等 便于进行网络以及用户行为分析 便于进行精细化管控 VLAN隔离提供网络安全保障 集中转发优势五 AC支持灵活QINQ实现精细化运营 交换机 FITAP SSID ChinaNet SSID video 校园B 外层VLAN2 校园A 外层VLAN1 集中转发优势六 业务扩展 CUC 无线校园 无线场馆 无线业务控制平台 CN2 无线热点 业务分流普通上网流量3G W流量 业务控制无线经分认证加密 WAPI 802 11i 无线漫游带宽控制安全防护网络加速页面推送 运营级AC具备安全防护 P2P限流 流量监控 用户行为分析等多业务支持能力 对无线流量进行集中管控和过滤 满足大规模WLAN网络可管 可控 安全等业务需求 集中转发和本地转发的实际应用情况