运营商WLAN网络设计与构建

1、构建运营商构建运营商WLAN网络网络Page 2培训目标培训目标了解运营商WLAN业务基本情况了解运营商WLAN网络基本情况掌握设计运营商WLAN网络的基本方法了解运营商WLAN相关技术实现及业务流程Page 3培训内容培训内容运营商WLAN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解Page 44 WLAN业务已成为全球运营商发展热点业务已成为全球运营商发展热点非电信运营商非电信运营商Wi-FiWi-Fi运营商运营商综合电信运营商综合电信运营商运营商模式运营商模式旅馆、餐厅等免费提供Wi-Fi服务没有骨干网单纯经营Wi-Fi热点的Wi-Fi运营商经营多种电信

2、业务以Wi-Fi作为业务补充的电信运营商典型运营商典型运营商最佳西部国际旅馆（Best Western International）;帕尼罗面包店（Panera Bread）等T-MobileUSA；Wayport等Verizon；Bellsouth;BT; Telefonica;Orange；台湾东信电讯;NTTDoCoMo等业务模式业务模式私有区域模式热点区域模式热点区域模式+私有区域模式（家庭/企业网关）部分运营商还推出UMA服务收费模式收费模式免费发行预付费卡，信用卡托收等等与传统通信帐号（包括固话、手机等）进行捆绑合并计费WLANWLAN技术已成为无线接入业务的手段之一，即使已经拥有

3、技术已成为无线接入业务的手段之一，即使已经拥有2G/3G2G/3G网络的运营商网络的运营商也将也将WLANWLAN作为补充手段作为补充手段Page 5运营商运营商WLANWLAN技术应用发展方向技术应用发展方向 天翼通 随e行无限伴旅3G 3G Wi-FiWi-Fi 无缝互联无缝互联Page 66 WLAN运营商业务简述运营商业务简述p私有区域（家庭私有区域（家庭/企业）模式企业）模式 用于固定区域内的各类WIFI终端网络连接，替代有线线缆，降低局域网布线复杂性p热点区域模式热点区域模式 公共热点区域无线覆盖，形成漫游服务网络，满足热点区域内的支持WIFI的终端的上网需求企业企业互联网互联网家

4、庭家庭互联网互联网WLANWLANWLANWLAN业务是一种成熟的低成本无线互联网接入方式业务是一种成熟的低成本无线互联网接入方式WLANWLAN机场机场校园校园公共热公共热点点漫游认证漫游认证平台平台Page 77运营商选择运营商选择WLAN的原因的原因一、高带宽一、高带宽目前WLAN技术已经可以普遍提供54Mbps的终端接入速率，在未来3年内3G的HSPA技术还无法达到。二、低成本低资费低成本低资费p08年全球WLAN芯片的出货量超过4亿片，成本已经大大降低。企业级AP成本低于2000元，家庭低于300元。公共热点区域每AP的综合建设成本已低至1万元。p低成本使得WLAN业务资费相对较低，

5、从全球看普遍低于3G业务资费。Page 88 运营商选择运营商选择WLAN的原因的原因三、终端普及率高三、终端普及率高p目前现有笔记本电脑中90%以上内置了WiFi芯片。p相机、PDA、家用游戏主机等产品内置WiFi芯片的数量也在显著增长。p已拥有WIFI功能的终端上网需求旺盛，市场潜力巨大。例如在09年5月海角咨询公司联通家庭用户调查中，选择融合数据业务套餐的人群中有27%希望购买WIFI服务。（数据来源：CNNIC、易观国际）内置内置WIFI的信息设备：的信息设备：PS3PSPG1相相机机iphoneipodP3中国笔记本电脑数量Page 99 运营商选择运营商选择WLAN的原因的原因四、

6、能充分利用固网资源，热点覆盖快速简单四、能充分利用固网资源，热点覆盖快速简单无线规划难度低，热点网络建设速度快。2.5G/3G2.5G/3G: 室外覆盖/高速移动GSMGSM: 语音与低速数据3G：适合室外覆盖、高速移动场景，数据传输速率中等WLAN： 适合室内覆盖、半移动场景，数据传输速率高WLANWLAN: 室内覆盖/半移动/高速无线覆盖区数量覆盖区数量（个）（个）发达城市发达城市一般城市一般城市机场火车站机场火车站校园校园公共图书馆公共图书馆酒店酒店写字楼写字楼会展中心会展中心休闲场所休闲场所高档社区高档社区2-3504-5100704150201-210125302405覆盖区合计覆盖

7、区合计400左右左右100左右左右p用户需求集中的热点地区有限：机场、校园、公共图书馆、会议中心、酒店、写字楼等。p热点覆盖在有线具备的情况下可快速部署，无需复杂无线规划。Page 1010“C（DMA）+W（LAN）”业务捆绑强化“天翼”品牌。明确提出未来1到2年 “天翼” WiFi覆盖的热点区域速率达到10M以上。2008年，建设规模超过8万台AP。总热点数量已经超过1.7万个，09年继续大规模部署。家庭网关已发展100万台以上，09年集采计划为250万台 09年3月定制的37款CDMA手机中有17款内置WIFI，将WIFI作为手机无线数据业务接入手段之一，在有WIFI的地方，可以将CDM

8、A手机切换到WiFi无线上网状态0.05元/分钟，套餐从2小时起（5元），10小时套餐20元，跨省漫游资费为0.2元/分钟，同时在e9套餐中捆绑WLAN。以189作为统一账号，利用C网短信进行密码推送和计费 无189用户以ADSL帐号认证，用充值卡或宽带帐号付费。 国内运营商现状国内运营商现状中国电信中国电信目标：与目标：与3G形成互补，弥补形成互补，弥补3G技术不足。技术不足。策策略略覆覆盖盖资资费费计计费费认认证证Page 1111充分利用其移动用户群规模，进行帐号捆绑计费。随着TD的发展，推出TDWLAN服务。2002年开始建设，并实现全国范围漫游。热点覆盖约7000个。2009年7月，

9、移动完成10.8万个AP集采，进一步规模部署。在TD手机终端与WIFI双模方面，目前移动尚无集采计划，但是鼓励厂家自行决定WIFI功能增添。三款套餐，分别是30元包15小时、50元包40小时以及100元包200小时，超出部分按照0.05元/分钟计算。以用户手机号作为账号，利用G网短信进行密码推送和计费。随随E行行 国内运营商现状国内运营商现状中国移动中国移动目标：应对中国电信、中国联通的竞争，同时弥补其固网宽带不足目标：应对中国电信、中国联通的竞争，同时弥补其固网宽带不足策策略略覆覆盖盖资资费费计计费费认认证证Page 1212利用固网/移动网资源，大力推进家庭/企业网关，加快WLAN和Fem

10、to融合，推动用户使用联通全业务原网通只在部分省公司建热点，未形成网络；原联通只在局部地区有部署，主要考虑了与CDMA20001X业务的融合。全国几百个热点覆盖（不包括校园，不具备漫游认证）；在私有区域方面，08年部署了40万家庭网关。 0.05元/分钟（3元/小时） ，漫游用户中注册用户：0.15元/分钟（9元/小时），预付费卡用户： 0.20元/分钟。移动用户以手机号作为账号，利用G网短信进行密码推送和计费，固网用户采用宽带帐号或固话码号作为认证标识进行认证计费。无限伴旅无限伴旅 国内运营商现状国内运营商现状中国联通中国联通目标：将目标：将WLAN作为固网宽带和移动数据业务的增值和补充作为

11、固网宽带和移动数据业务的增值和补充策策略略覆覆盖盖资资费费计计费费认认证证Page 1313 WLAN业务部署特点业务部署特点n热点内可使用频点有限：WLAN使用开放授权的频段（2.4GHz)，共13个连续交叠的频点，完全互不干扰的频点只有3个，也就是说一个地方一般只允许三个AP同时部署，否则互干扰严重。n物业话语权大：WLAN在公共热点区域部署类似于固网进线，物业话语权大，先进入者可以通过排他协议限制其他竞争者跟进。n与运营商驻地网接入能力密切相关：在前期“跑马圈地” 中，电信和移动已形成一定优势，但中国联通结合3G建设及北方资源等方面仍具备一定优势。Page 1414 WLAN与与Femt

12、o的关系的关系1、针对不同终端，提供更多种接入方式、针对不同终端，提供更多种接入方式 WLAN主要面向已经内置WLAN芯片的大量已有终端设备 Femto主要面向3G终端以及可以使用3G数据卡的终端设备2、区域覆盖策略不同、区域覆盖策略不同 WLAN覆盖范围包括公共热点和私有区域 Femto主要服务私有区域3、承载业务不同、承载业务不同 WLAN主要用于互联网接入业务，接入速率最高可到54M Femto主要用于包括语音和移动数据在内的综合业务，接入速率最高7M4、成本不同、成本不同 WLAN使用免费频率，一般使用用户自有终端 Femto使用授权频率，运营商需要提供终端模块WLAN与与Femto定

13、位不同，服务终端不同，在全业务经营中可以互为补充定位不同，服务终端不同，在全业务经营中可以互为补充Page 15培训内容培训内容运营商WLAN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解Page 16一个运营级一个运营级WLAN网络的基本组成网络的基本组成 用户终端：WLAN网卡、WLAN手机等 射频相关系统：天线、室分系统等 无线接入硬件系统：APACWLAN网络就是通过AP无线设备将用户终端接入互联网的接入网络。WLAN网络分为瘦（会聚型或集中型）及胖（独立型）两类。胖AP架构中，AP完成了所有无线接入点的工作。瘦AP架构中，AP的一部分功能剥离到了AC上

14、，由一个AC对多台AP进行集中控制。这是当前运营商招标的主要模式。在胖AP架构中，AC指的的是BAS功能。在瘦AP架构中，AC有可能是独立的无线接入控制器（电信），也有可能是指无线接入控制器+BAS功能（移动） 无线数据设备：路由器、交换机 除硬件设备外，还会涉及到支撑系统网管：又区分为OMC网管（只管理自己的ACAP)和WLAN综合网管WLAN认证计费系统：有可能单建，也有可能和城域网计费系统合建AS：对WAPI进行证书鉴别，目前主要是电信有可能采用。Page 173大运营商固网情况简述大运营商固网情况简述 中国移动：收购铁通后，取得了铁通的固网资源，但覆盖范围小，用户数量低，目前正在加紧对

15、CMNET数据网络的建设。 中国联通：收购网通后，在北方区域拥有大量固网资源，但在南方区域固网资源不足。 中国电信：在南方区域拥有大量固网资源，在北方区域资源略少，但在重点大型城市里也拥有一定固网资源。Page 18中国移动中国移动WLAN业务网络系统结构业务网络系统结构WLAN用用户户终终端端中中国国移移动动中中央央RADIUS认认证证服服务务器器Portal服服务务器器WLAN SIM认认证证服服务务器器（AS）HLR/AuC中中国国移移动动一一级级BOSS系系统统CMNETWLAN接接入入系系统统WLAN接接入入点点（AP）WLAN接接入入认认证证点点（Authenticator）WLA

16、N业业务务控控制制点点(AC)各各省省BOSS系系统统各各省省智智能能网网系系统统（SCP）Page 19中国移动中国移动WLAN业务组网业务组网Page 20中国移动中国移动WLAN网管系统组网结构网管系统组网结构Page 21中国联通中国联通WLAN业务网络总体逻辑结构业务网络总体逻辑结构Page 22中国联通中国联通WLAN业务网络总体架业务网络总体架Page 23培训内容培训内容运营商WLAN业务开展情况概述运营商WLAN网络的构成设计运营商WLAN网络常见技术问题详解Page 24需要了解的需求需要了解的需求 现网状况调研：原有网络的拓扑、配置，以及业务系统实施情况 下一步规划的热点

17、及AP数量，布署要求 网络结构新增需求 传输资源状况 VLAN、SSID、IP地址等资源需求 业务系统实施要求 特殊功能性要求Page 25WLAN核心网设计流程核心网设计流程 需求分析 网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连 业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理，可否采用代维方式？业务流程及相关处理要求功能要求 设备选型 物理组网 路由及交换方案选择 网管方案 网络安全考虑 网络资源规划：VLAN、SSID、IP地址Page 26省级省级WLAN组网需求组网需求 基本需求 满足不同热点区域类型WLAN接

18、入要求。包括公网 、专网及VPN网络。 采用集中管理型架构(瘦AP），满足电信级运营管理要求。可满足一定阶段内的热点布署及扩容要求。 主要面向笔记本电脑上网用户，同时考虑在特定环境中对手机、机器终端的支持 支持本地运营模式，同时允许漫游用户可以在本省使用。统一考虑省内业务系统的布署及实施 建设安全、可运营、可管理的本地WLAN接入网络 个性化需求 VoIP？ 固网业务融合？Page 27WLAN技术本身对技术本身对VOIP的限制（的限制（1） WLAN完全建立在分组交换基础上，分组交换固有的时延、丢包等问题如果没有特殊的处理，并不适宜承载对延时、抖动要求都较高的语音业务。因此当VOIP应用于W

19、LAN网络上时，对于WLAN网络提出了面向语音的一些特定要求。如： 必须保证语音用户的传输质量，避免丢包、时延。有两种办法为语音用户单独设置专用带宽，如专门的保证带宽的SSID。但除了对某些专用企业网之外，这种方法并不现实。因为毕竟目前大量的用户还是数据接入用户。通过QOS保证。通过为语音设置业务优先级，保证在网络拥塞时语音可以优先通过。但些种方法的问题在于，一旦网络拥塞，即使拥有优先级，也不是所有语音数据都能通过。即使采用了以上两种方法，还只是在AC/AP上解决了语音问题，要彻底保证，还必须从AP到VOIP网关的沿途网络设备都作相应保证。但从运营网络而言，目前的WLAN接入网络都是为数据接入

20、而布署的，缺乏相应机制。在有其它语音网络的基础上，也没必要再去进行改造。以上问题，在局部的企业网内部则相对容易解决。因此，VOWLAN在企业网中的应用更为成熟，而不是大型运营网络Page 28WLAN技术本身对技术本身对VOIP的限制（的限制（2） 功耗问题 CSMA/CA是比通常的GSMWCDMA耗能的访问机制，这是因为如果有数据包需要发送或接收，WLAN移动台必须始终保持在唤醒状态。 安全性问题 目前的WLAN运营业务都是通过OPEN方式接入的，对于语音业务存在一定的安全性问题 移动性管理问题 如果VoWLAN手机不断移动，则会导致节点间的频繁切换。这需要考虑两个问题：一是保证终端IP地址

21、不变，二是时延问题在企业网内部，较易通过网络设置保持终端IP地址不变。对于运营运营网络，由于目前WLAN也只是区域覆盖，保持终端IP地址不变，在系统一侧的问题也不大。但关键是终端层面的支持，直接决定了业务的保持能力。但目前终端在这方面的处理能力有很大的差异性。对于VoIP，语音分组时延的推荐标准是低于50ms，如果某个分组的时延超过了200ms，则认为该分组丢失。也就是说，VoWLAN手机从一个接入点移动到另一个接入点，其分组时延必须控制在50ms内。但对于采用了安全接入方式的 设备而言，由于认证、加密等要求，切换的时延问题很难保证。 终端问题：由于以上WLAN技术的限制，即使使用该类业务，也

22、必须使用专用的终端。这一点目前必较受限。Page 292G/3G接入网络WLAN接入网络移动核心网数据核心网移动业务平台数据业务平台BOSS系统ADSL/LAN固网宽带接入网络固网BASWLAN网AC2G/3G/WLAN三模终端固网接入终端三个网络的融合发展三个网络的融合发展Page 30几个网络融合的说明几个网络融合的说明 目前WALN业务的建设，将为今后2G/3G/WLAN/固网宽带的融合发展提供建设基础。包括： 业务的融合。如用户账户的统一，使得固网宽带用户在外出时，可以使用WLAN接入。2G/3G用户可以直接申请开通WLAN业务。并实现几种业务的合账。 多模终端的无缝切换。当用户持有2

23、G/3G/WLAN多模终端时，可以根据网络情况，选择不同的网络进行数据接入。在有WLAN时，优先使用WLAN，其次3G、2G网络。 根据总部的规范要求，提供对于3G网络和WLAN网络的融合建设方案。Page 31WLAN核心网设计流程核心网设计流程 需求分析 网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连 业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理，可否采用代维方式？业务流程及相关处理要求功能要求 设备选型 物理组网 路由及交换方案选择 网管方案 网络安全考虑 网络资源规划：VLAN、SSID、IP地址Page 32A

24、C布署层次的选择布署层次的选择 AC作为无线网络中的集中控制设备，应尽量布署在地市的核心层节点。当地市无线网络较大时，也可布署在汇聚层的节点。不建议AC在接入层分散布放。 在有大型专网的情况下，AC也应该尽量布放在专网出口之上，而非专网之内 为什么？ 方便运营商的集中管理与维护 通过AC的规模组网，大大降低整个网络的投资成本 易于网络规划与扩容Page 33专网案例专网案例CMNet国干网A高校出口路由器APAPAPAPAPAP城域网AC1AC2B高校出口路由器移动PORTAL SERVER移动RADIUS服务器A高校楼层交换机A高校内部用户接入控制器A高校RADIUS服务器Page 34公网

25、集中布放案例公网集中布放案例APAP热点热点1APAP热点热点2AAA/计费计费/ASACWlan网管网管交换机交换机防火墙防火墙CMNETAPAPAPAP热点热点n热点热点3HAPortal接入交换机接入交换机2传输传输接入交换机接入交换机1AC协议转换器协议转换器E1WLAN核心交换机核心交换机CMNET地市地市 节点节点Page 35AC的逻辑功能模块确定的逻辑功能模块确定 AC作为一个接入网关设备，有可能会承担多种逻辑功能 AC,无线控制器：对AP的集中控制与管理，这是瘦AP架构下，AC最基本的功能 BAS：对用户、业务的集中控制与管理。我们建议BAS与AC合建，原因见下页 NAT:网

26、络地址转换。如果有NAT的需求，建议不在AC上来实现，而用专用NAT设备来提供，如专用防火墙设备，比如NETSCREEN设备。 DHCP SERVER:一般情况建议由AC内置DHCP SERVER，并支持灵活的IP POOL设置，比如多VLAN使用一个IP POOLPage 36BAS与与AC的异同的异同BAS一般情况下，我们称宽带接入服务器为BAS（Broadband Access Server），也有称为BRAS的（Broadband Remote Access Server）。BAS是网络接入服务提供商最常用的设备，BAS设备的引入不在于业务的传递交换，而在于业务层面的控制功能，实现对用

27、户的控制和管理，它最重要的业务功能就是对用户的认证、授权和计费，一般的BAS主要支持PPPoE，以及L2TP协议，无线接入的情况下，BAS一般还提供DHCP+Portal推送功能。AC在瘦AP技术没有发展起来之前，人们常常将应用于无线接入环境中的BAS称之为AC。在瘦AP技术发展起来之后，根据CAPWAP协议，将瘦AP的无线控制器也称之为AC（Access Controller），此处逻辑上的AC主要起的作用是完成对AP的控制，而不是完成对用户的上网控制。但由于无线网络的发展延续性，实际中的大量AC产品往往是兼具两个方面的功能：无线BAS+瘦AP环境中的无线控制器AC。Page 37建议在WL

28、AN网络中，主要采用BAS与AC合设的方式进行组网，而不是BAS+AC的方式。由于目前的WLAN运营网络基本趋向于瘦AP模式，目前市场上主流AC都支持内置BAS功能。将BAS和AC合设，在组网结构、业务设置及维护管理方面都将较为简单一些。避免了网络流量迂回的问题。如果一定要在支持BAS功能的AC后使用宽带城域网的BAS，则还需要将AC的用户数据以二层模式传送到BAS上。对AC、对城域网交换机都是无谓的负担。可以提供更多的无线管理功能，例如不必要一定将SSID与VLAN进行绑定，从而为业务开展带来更多的灵活性。在WLAN移动网络中，除了计算机之外，还将出现大量的手机及机器终端用户，因此，基于用户

29、使用习惯及管理因素，需要对不同的接入终端提供区别对待的接入流程。如对机器终端采用零干预接入，而对笔记本用户提供PORTAL方式接入。当然，最终采用合建还是分建的模式，需要根据当地实际网络状况及业务需求决定。组网建议：组网建议：ACAC与与BASBAS的合设组网的合设组网Page 38AC组网模式一组网模式一CMNet国干网ACAPAPAPAPAPAP城域网优点：组网架构简单，二层组网效率高，易于管理维护。缺点：需要大量光纤资源。Page 39AC组网模式二组网模式二CMNet国干网ACAPAPAPAPAPAP城域网优点：组网架构简单，二层组网效率高，易于管理维护。而且不需要大量光纤资源。缺点：

30、需要有汇聚交换机。但一般而言，增加汇聚交换机的成本是较低的，这是目前主要推荐的逻辑组网模式Page 40AC组网模式三组网模式三CMNet国干网ACAPAPAPAPAPAP城域网优点：可以有效利用现有资源，成本低。缺点：三层组网效率低于二层组网。Page 41AC组网模式四组网模式四ACAPAPAPAP城域网省核心网省核心网省核心网省核心网优点：大集中式组网，有效降低了新业务风险，投资小。缺点：中间环节过多，易出现不可控问题，出现故障不好排查和解决。Page 42WLAN核心网设计流程核心网设计流程 需求分析 网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连 业务系统功能选择及逻

31、辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理，可否采用代维方式？业务流程及相关处理要求功能要求 设备选型 物理组网路由及交换方案选择网管方案网络安全考虑网络资源规划：VLAN、SSID、IP地址Page 43WLAN业务网络逻辑架构业务网络逻辑架构Page 44移动移动WEB接入详细接入详细流程流程Page 45联通联通WEB接入详细接入详细流程流程Page 46电信电信WEB接入详细流程接入详细流程Page 47MAC认证流程认证流程Page 48在已有城域网时，与原有系统的关系在已有城域网时，与原有系统的关系 建议无线BAS与AC合并，不与城域网的BA

32、S合。 建议面向无线单独建立PORTAL SERVER。 RADIUS认证独立，计费与城域网的计费系统可合建。如城域网的RADIUS可支持无线的认证要求，也可合建Page 49WLAN核心网设计流程核心网设计流程 需求分析 网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连 业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理，可否采用代维方式？业务流程及相关处理要求功能要求 设备选型 物理组网路由及交换方案选择网管方案网络安全考虑网络资源规划：VLAN、SSID、IP地址Page 50设备选型建议设备选型建议 根据AP数量、AC布

33、署位置、AC功能进行AC选型 一般情况下，建议AC尽量布署在地市核心层。采用大容量AC。可留适量空槽以备将来扩容。Page 51WLAN核心网设计流程核心网设计流程 需求分析 网络组网模式及体系架构选择设备布署层次设备逻辑功能设备逻辑互连 业务系统功能选择及逻辑体系架构省PORTAL、RADIUS与全国的关系。是否需要建立热点特定的业务管理，可否采用代维方式？业务流程及相关处理要求功能要求 设备选型 物理组网路由及交换方案选择网管方案网络安全考虑网络资源规划：VLAN、SSID、IP地址Page 52建议组网架构建议组网架构Page 53技术方案建议技术方案建议:AP:AP及及ACAC互连建议

34、互连建议l 我们建议我们建议AP与与AC之间采用二层互联的模式。因为，采用二层互联时之间采用二层互联的模式。因为，采用二层互联时，AP可以完全零配置使用，采用三层互联时，可以完全零配置使用，采用三层互联时，AP可能需要预设可能需要预设AC的管理域名。的管理域名。l 当然，当然，AP与与AC之间通过三层隧道进行互连，这不影响任何使用。之间通过三层隧道进行互连，这不影响任何使用。l 但是考虑到无线网络运营对时间性的要求，一般来说，我们建议在采但是考虑到无线网络运营对时间性的要求，一般来说，我们建议在采用三层模式时，为用三层模式时，为AP到到AC之间的配置专用的子通道，并为这个子通之间的配置专用的子

35、通道，并为这个子通道保留带宽，以防止其它业务影响到道保留带宽，以防止其它业务影响到AC对对AP的控制，影响对用户的的控制，影响对用户的服务质量。服务质量。 Page 54集中数据转发集中数据转发 AP和AC间通过专用的数据隧道进行数据转发，AP和AC间的数据隧道中为二层数据。采用此模式时，所有用户数据都要通过AC进行转发。 此种方式下，用户数据流向容易控制，适合运营商的组网架构。而且由于采用隧道技术，对用户IP分配可以更加灵活。本地数据转发本地数据转发 AC只对AP进行管理和控制，并不发起和AP的隧道连接，所有的用户数据通过本地网络转发。 此种方式下，本地用户数据交换无需通过AC进行集中交换，

36、减少了网络流量迂回，更适合本地数据交换量大的企业网使用。同时转发同时转发 AC可以同时进行集中转发还是本地转发模式。瘦瘦APAP架构下数据流量的转发方式架构下数据流量的转发方式Page 55AC与AP之间可以使用私有地址 由于AC与AP之间采用无线隧道协议，因此可以采用私有地址对用户进行服务。个人用户可以使用私有地址 可以使用私有地址供个人用户使用，行业用户不宜使用私有地址 考虑到行业用户的多种需求，一般来说，对行业用户不宜采用私有地址。同时考虑到上海移动公网地址不足的实际情况，具体的建议模式是对于行业用户在关联后分配保留地下，同时取得私有地址后，再次进行L2TP VPN拨号，使得行业用户可以

37、取得公网地址，开始使用网络或进入行业用户自己的内网。 技术方案建议技术方案建议: IP: IP地址规划建议地址规划建议Page 56网络安全的主要威胁 目前WLAN的网络公共运营安全主要有两种不同中的威胁，一种是对运营设备的攻击，一种是对用户的攻击。WLAN网络较固定宽带网络更易受攻击 相对于固定宽带网络，WLAN网络更易受到攻击，主要的原因有两个，一个是设备非常容易得到，WLAN的AP、网卡都是非常容易得到的设备，价格也很便宜。而WLAN的全部信息都需要在空中传递，这使得攻击都不需要物理接触WLAN运营网络就可以发起攻击，攻击的成本非常低。因此，WLAN网络更易受到攻击网络安全威胁分析网络安

38、全威胁分析Page 57防止DDOS攻击：对设备的DDOS攻击主要可能的攻击方式是：假冒MAC耗尽DHCP资源以及流量耗尽。 为防止假冒MAC耗尽DHCP资源，需要在AC进行控制，一是不允许单一AP上超过指定的关联用户，这样当这个AP下有一个攻击者时，顶多这个AP无法再向其它用户服务，不不会造成整个网络瘫痪。另一个是控制DHCP分配的速度，对于同一个热点、同一个AP上最大的DHCP分配速率要有一个上限控制。采用WAPI模式由于STA在关联AP时就需要提供证书，不存假冒问题，因此无此安全隐患 为防止流量耗尽攻击，要求AC对每个用户有速率限制能力，同时，考虑到IP流量的不对称性，要求设备能针对流量

39、上、下行采用不同的速率限制。网络安全对运营设备攻击网络安全对运营设备攻击 Page 58防止同频干扰攻击 AP应有检测周边频率的能力，检测到同频信号后，AC可以控制AP避过干扰频率。对于多频段、大功率的干扰，在检测到这种情况时，要通过管理等行政手段解决这类问题。网络安全对运营设备攻击网络安全对运营设备攻击Page 59防止假冒AP攻击。 防止假冒AP攻击，可以有两种方案。一种方案是运营AP要具备非法AP检测功能。另一种是采用WAPI方式提供服务。 非法AP检测攻能可以在假冒AP出现时快速发现，但由于假冒AP可能是具备流动性，以及AP设备体积很小，可以随时移动，因此，即使发现也较难解决这个问题。 采用WAPI方式提供的服务不会有此安全问题。由WAPI是三元对等方式提供服务，不仅AP要验证终端的证书，终端也要验证AP以及AS的证书，因此不存在假冒AP攻击的可能性。网络安全对用户的攻击网络安全对用户的攻击 Page 60防止无线Sniffer攻击 无线Sniffer攻击是在被攻击者上网时，通过具备抓包功能的无线网卡侦听被攻击者的全部网络数据包，从而得到被攻击者的上网密码、邮件密码、MSN密码或者