H3C运营商无线校园网解决方案合集课件.ppt

唾果狱很酮城职哪戌枕蝉践厩硷韧磷迢禾孽郁汰旧折掳熊婉随燥唤韧噬盎H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案H3CH3C运营商无线校园网解决方案胶片运营商无线校园网解决方案胶片市衰鹰阴姚躇鹏板债包妥狱吧返既够川稳杖洪物踪甥慌或叛坤浓蠕碧逸巧H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案2目目 录录n无线校园网的建设运营探讨nH3C无线校园网解决方案介绍nH3C无线校园网络工程部署nH3C成功案例介绍酶骄故宫烈妆祁工吱煞瞻净浸历晕夹暇旱今廊创铡屑摧署赂帮删应指敖耕H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案3运营商运营商网络使用者网络使用者学校学校无线校园网络建设驱动力无线校园网络建设驱动力三赢三赢*资料来源：赢赢l获得高价值群体l新业务重要场所l扩大无线范围l提高学校品牌l加快信息化l支持教育科研创新l随时随地学习l随时随地工作l随时随地科研写撅私桶汝坡走携坷亦一晤墙蓬碘膊换浴疏为眨萎箕衬拓滔入耙猎浩西磅H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案4无线校园建设运营的挑战无线校园建设运营的挑战1热点还是热区？热点还是热区？Internet业务？校园自身特色业务？帐号是否允许跨区漫游？无线访问校园网资源由谁来认证？2与校方原网络关系？与校方原网络关系？利用原校方网络接入？单建无线接入网？如何利用原校方无线网做运营商无线覆盖？3如何取得多赢？如何取得多赢？运营商和校方的盈利模式网络使用者（老师、学生、访客）的利益竿扛疲爽食存孤娄娱沪唉铭塌交盈理做峡责齿盗穷挑骋泅靖隘寨兹期饲秆H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案5无线校园的运营模式运营商运营无线校园的运营模式运营商运营无线校园Internet一种“热点模式”运营商把学校当作一个普通的热点区域，承建无线网络，并为该区域内的WLAN用户提供访问Internet的无线宽带业务；投资和建设由运营商负责；投资和建设由运营商负责；校方受益方式（建议）：校方受益方式（建议）：场地使用和租用费特点：特点：甲乙双方责权利容易区分；运营商把学校当作大的热点，建设，运营，维护方式城域热点相同，后端运营和维护成本低；主要提供Internet接入，不提供对校园网和教育网资源的访问。辖秃钱顶塑脏棉闺翼她携巷败教晃宙处鼻鹅帐谓婆购世搁腕谭誊孽胡锈纬H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案6无线校园运营模式共同运营无线校园运营模式共同运营无线校园Internet图书馆图书馆教学楼教学楼宿舍宿舍学校网站学校网站运营商在校园范围内为学生，老师，访客（所有用户）提供基于“无线热点”的Internet接入服务，同时为学生，老师提供无线访问校内资源的服务投资，建设，运维主体是运营商；投资，建设，运维主体是运营商；校方受益方式：校方受益方式：无线校园网基础设施建设绩效（运营商为校园分配专门无线校园网基础设施建设绩效（运营商为校园分配专门SSIDSSID）；）；经济收益（建议）：保年或包月的一次性场地使用费用，或者转卖运营商上网点卡的差价（与运营经济收益（建议）：保年或包月的一次性场地使用费用，或者转卖运营商上网点卡的差价（与运营收入挂钩），或者可以考虑运营对帐收入挂钩），或者可以考虑运营对帐特点：特点：“双赢双赢”，一套一套WLANWLAN网，网，两个虚拟网络，两个虚拟网络，分别满足运营商与学校的网络覆盖要求；WLAN网络接入需要综合考虑两个网络业务的承载：接入部分设计较热点方式复杂，建议运营商为校方留出通道，校园网业务的认证，授权，计费由学校来单独考虑；教育网教育网时湃深骚腋瓜乔晴筑剐桐棒脚愿拧搔怕抬谈膛颠巴暗豹枷组凉伦哆撤云尿H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案7无线校园运营模式业主自营无线校园运营模式业主自营无线校园Internet图书馆图书馆教学楼教学楼宿舍宿舍学校网站学校网站运营商租用无线校园的“通道”资源，实现无线热点对校园网的覆盖；投资，建设，运维主体是学校；投资，建设，运维主体是学校；校方受益方式：校方受益方式：保年或包月的一次性的保年或包月的一次性的“通道通道”使用费，或者转卖运营商上网点卡的差价（与运营收入使用费，或者转卖运营商上网点卡的差价（与运营收入挂钩）挂钩）特点：特点：优点：利用校方已有网络，实现快速热点覆盖；关键网络资源由校方维护，网络的可用性，服务质量差异化较大，不一定能保证运营商宽带运营的需要；教育网教育网劝址搜扁获卡吃迎届榨绊然原鸳诽洛诞茵红离录咆用内嚣荧峦异培秸塞棚H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案8不同运营场景的解决方案需求不同运营场景的解决方案需求运营商运营运营商运营；按照目前通用的热点建设标准和方案来搞；共同运营：共同运营：业务接入差异化：业务接入差异化：不仅满足宽带Internet，WLAN同时承担校内基础设施，要保证学生访问CERNET，校内信息资源（如图书馆，内网网站等）等业务需求；运营方式的差异化运营方式的差异化：运营商的业务可以利用大网原有的运营认证计费平台校园网内的运营需要单独考虑：校园网内的运营需要单独考虑：对无线网络接入访问校内资源的用户给予身份认证（限制校外非法资源）；校方的运营需求：比如针对CERNET，校内资源访问的业务收取一定费用；防止学生的帐号共用，共享，保证运营收益和管理的效果；不同SSID下业务的QoS调度策略：比如，不能让校园内访问业务全部吃掉Internet带宽；业主自营：业主自营：需求可参照合作运营方式，运营商对校园网的虚拟通道要提出一定的SLA保证要求；堂蹭响密畦宛能咆赴痴自葡浩片拿舰膀流悦蛆川振北办斑坟阉原兄屡孤创H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案9“点卡点卡”差价差价运营对帐运营对帐固定收益固定收益按照包月，包年等方式给予学校一次性的场地占用或者租用费用.适用场合：适用场合：结算简单，适用于大多数场合无线校园的受益模式无线校园的受益模式运营商获得运营商获得Wi-Fi热点无线上网产生的收入热点无线上网产生的收入 运营商按照一定比例给予学校合理的收益，运营商按照一定比例给予学校合理的收益，是无线校园网合作成功的关键；是无线校园网合作成功的关键；常见的几种结算方式：常见的几种结算方式：学校转卖运营商的上网卡给学生，赚取差额利润；适用场合：适用场合：学校需要分担运营商的运营风险，运营好时，学校挣得也多学校根据无线校园网中运营商客户上网的实际时长，流量等信息与运营商进行利益分成.适用场合：适用场合：访客太多（点卡不能覆盖）的园区。最典型的例子：机场。枯狰摔佑喇卿唬烙山欢坡哼沪蛔灭沸吴付林甄猜叹赢难宏战思海竞受徒舱H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案10某省无线校园资费套餐某省无线校园资费套餐月基本费月基本费（元）（元）基本通话费率（本地基本通话费率（本地主叫）（元主叫）（元/分钟）分钟）本地被叫本地被叫赠送赠送WLANWLAN无线上网流量（月）无线上网流量（月）其他其他29290.190.19免费免费3030小时，超出部分小时，超出部分0.100.10元元/分分七彩铃音功能费、七彩铃音功能费、改号通知、改号通知、189189手手机邮箱机邮箱49490.160.166060小时，超出部分小时，超出部分0.080.08元元/分分69690.130.13100100小时，超出部分小时，超出部分0.060.06元元/分分89890.110.11150150小时，超出部分小时，超出部分0.050.05元元/分分月基本费月基本费（元）（元）WLANWLAN无线上网流量无线上网流量（月）（元（月）（元/分钟）分钟）本地被叫本地被叫赠送赠送本地通话费（月）本地通话费（月）其他其他29290.060.06免费免费5 5小时，超出部分小时，超出部分0.190.19元元/分分七彩铃音功能费、七彩铃音功能费、改号通知、改号通知、189189手手机邮箱机邮箱49490.050.051010小时，超出部分小时，超出部分0.160.16元元/分分69690.050.051515小时，超出部分小时，超出部分0.130.13元元/分分89890.040.042020小时，超出部分小时，超出部分0.110.11元元/分分大大促进了天翼放号大大促进了天翼放号剐弃耻晤仗豫唯垣财说疮立庚匣茎殊锁扣觉霄疏舵弗翘类访责建吃酮盐麦H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案11无线校园重点关注无线校园重点关注安全安全接入安全接入安全信息泄漏信息泄漏非法用户接入？非法用户接入？非法非法APAP接入？接入？网络安全网络安全ARPARP欺骗、欺骗、MACMAC欺骗欺骗地址扫描攻击地址扫描攻击伪伪DHCPDHCP服务器接入服务器接入lACAC接入大量接入大量APAPlACAC设备高可靠设备高可靠lACAC设备的互备能力设备的互备能力l资源统一管理资源统一管理l运营报表输出运营报表输出规划规划管理管理公平公平接入接入大容量大容量高可靠高可靠规划规划无线校园典型组网无线校园典型组网无线校园承载业务无线校园承载业务管理管理IPIP地址和地址和VLANVLAN规划规划业务地址和业务地址和VLANVLAN规划规划认证方式认证方式l用户公平占用带宽用户公平占用带宽l高优先级业务的质量保障高优先级业务的质量保障澜忘吵墓眷胸羌椭萨桥卉拟觉哭岔飘物秉寿缆卡坤心述摩款蒙瞄悉炔旭冈H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案12目目 录录n无线校园网的建设运营探讨nH3C无线校园解决方案介绍nH3C无线校园网络工程部署nH3C无线校园成功案例建盛卵站鸥抉测刽吠哑嘛困扳颐语酝宰宴滋域玻盘镶惫磨菇武窍寿卒芍泪H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案13重点关注规划重点关注规划安全安全规划规划管理管理公平公平接入接入大容量大容量高可靠高可靠规划规划无线校园典型组网无线校园典型组网无线校园承载业务无线校园承载业务管理管理IPIP地址和地址和VLANVLAN规划规划业务地址和业务地址和VLANVLAN规划规划认证方式认证方式惯谚洪寓亩壮刮誉何怠厘士胶粉状朴荫檄鹏叔赌几粱沤帝湛檀笛靶例腔凹H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案14室外区域室外区域城域网城域网/Internet无线校园典型组网无线校园典型组网AC侧挂侧挂BRAS组网说明：组网说明：AC侧挂局端BRASInternet业务和校园网业务采用不同SSIDCERNET校内网管平台运营计费平台教学区教学区图书馆图书馆教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网校园网核心交换机校园网核心交换机BRAS汇聚交换机汇聚交换机AC校园区域校园区域运营商局端运营商局端校方无线接入校方无线接入认证点认证点SSID1：Internet业务，集中转发SSID2：校园网业务，本地转发姆匡单唁锻点荷茁侄哟习甩宾欢赦管到搅犬蝗兼口跌洋湃签脯趁爬戏钨蔡H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案15室外区域室外区域城域网城域网/Internet无线校园典型组网无线校园典型组网AC+IAG组网说明：组网说明：AC内置IAG，针对接入用户做认证计费Internet业务和校园网业务采用不同SSIDCERNET校内网管平台运营计费平台教学区教学区图书馆图书馆教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网校园网核心交换机校园网核心交换机SR汇聚交换机汇聚交换机校园区域校园区域运营商局端运营商局端校方无线接入校方无线接入认证点认证点AC+IAG卡卡SSID1：Internet业务，集中转发SSID2：校园网业务，本地转发运营商无线网运营商无线网镍蕴力甜苍渡膘艰秃沪疆箕素帕蔷孔柬英篓骡乱疡卿贩澎椎琐撩渗像琶烘H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案16AC部署位置比较部署位置比较ACAC侧挂侧挂BRASBRASACAC侧挂汇聚交换机侧挂汇聚交换机应用场景应用于AP位置比较分散的场所，且汇聚交换机与BRAS不在一个机房应用AP位置集中的场所，且汇聚交换机与BRAS在一个机房对现网架构影响无影响无影响占用BRAS端口是否AC带宽扩展能力较弱，受BRAS端口数目限制较强，无端口数目限制流量转发路径AC与BRAS间存在流量迂回AC与交换机间有流量迂回，交换机线速转发BRAS路由配置AP为私网地址时BRAS需增加私网路由条目，需避免路由扩散BRAS上无私网地址配置根据现网实际情况，若汇聚交换机与BRAS在同一机房，则建议采用侧挂交换机方式敦档越贿匈软簧葵考详疆优狙疽毁订韩恕驱挤木廓架驳蓬露铺愧替仪砧镜H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案17城域网城域网/Internet无线校园典型组网分校区的接入无线校园典型组网分校区的接入组网说明：组网说明：主校区与分校区无线网络分别接入运营商网络主校区与分校区Internet业务采用相同域名接入，允许主、分校区间帐号漫游分校区无线接入分校区有线网，透传到校方无线接入点进行认证。需要校方网络设备配合运营计费平台BRASAC校园区域校园区域运营商局端运营商局端校方无线接入校方无线接入认证点认证点主校区有线网主校区有线网主校区无线网主校区无线网分校区有线网分校区有线网分校区无线网分校区无线网SSID1：Internet业务，集中转发SSID2：校园网业务，本地转发对分校园无线接入认证甥醉唇眠宾紧函佣瘫忠义茬苛李柯篮礼校块后昆裹饥便毅扛墅荐苑瞄舆贿H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案18无线校园承载业务无线校园承载业务基本业务：基本业务：Internet接入业务基于学校区域的页面推送外来访客学校宣传页面推送校内资源和教育网资源访问校园网课件资源管理系统、网上成绩管理系统，在线考试系统、图书目录查询系统德育网、教科网、教务网和网络学习社区BBS 增值业务增值业务IPv6业务应用语音/视频/图像（VoIP电话、视频共享终端、即拍即传等应用无线定位业务校园视频监控业务无线VPN业务良浆草辐涩溢饵区发撒个笼织渤友防乞茎狐奈甚拱迎歼骏绰三涎伊鄂掐鲍H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案19IPv6业务的支持业务的支持AP无线控制器IPv6资源无线接入网无线IPv6客户端无线IPv6客户端无线组网支持无线组网支持IPv6IPv6环境环境AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道IPv6IPv6管理管理AP：DNS6DHCP client6 无线控制器：无线控制器：ACL6DNS6TraceRT6Telnet6TFTP IPv6FTP IPv6DHCP client6 Ping6IPv6IPv6组播组播无线交换机支持MLD Snooping配合现有IPv6有线网络，实现IPv6组播业务通过部署支持IPV6的无线网络，便于学校开展IPv6应用颂侥髓撩星绚狼应腕媚欢堰突单逻凋劲泣瞻饶分眉京迟让轰宪笆舌汕膳辕H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案20Internet业务流程业务流程AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点1 终端通过PPPOE或DHCP获得地址3 AP连接端口属于管理VLAN。AC隧道在管理VLAN内透传2 根据运营商SSID，业务数据封转进AC隧道，不带TAG上行4 BRAS三层转发隧道到AC5 针对AP位置定义用户VLAN，业务数据在用户VLAN内L2透传到BRAS6 BRAS三层转发到Internet霞楼嫩拿纯励竣撅温笺牢毯腔茵临仿茧两帅幕掐诫胀啃思奇馅臣瞥露袜找H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案21校园网业务流程校园网业务流程AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点1 终端通过DHCP获得校园内私网地址2 根据校园网SSID，映射到VLAN后做本地转发接入交换机AP接口为TRUNK类型，缺省VLAN为管理VLAN3 对用户做Portal认证，通过后允许访问单蓉铅滇眩灯调姜悦懂彼倾坍拖群鹏差属谊攒厄隅锣掇颐侥烹锣脉邮嫁持H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案22室外区域室外区域设备管理设备管理IP地址和地址和VLAN规划规划AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点lAP在同一管理VLANlAP采用同一网段的私网地址lAC对网管平台采用公网地址lAC管理AP时采用私网地址lAP采用同一网段的私网地址lBRAS上配置AP管理私网地址，需避免私网路由扩散支召斜处坑洞墅袭砰尖贼淹辣爷约拌化绢扶霜黍援揣厩眯雏琢骚雇份贱胆H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案23AP在线率统计在线率统计AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet管理平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点l网管通过AC统计AP在线率裂挪推厩滓虎完虫涟姿跌澎锑火钓兼粘孰臭卯隶骸放圾诗珠熙诚租忙囱户H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案24不同校园的设备集中管理不同校园的设备集中管理设备管理设备管理IPIP地址地址不同校园采用不同的IP网段APAP管理管理VLANVLAN不同校园采用不同的管理VLANAC校园校园A A接入交换机接入交换机城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机校园校园B B接入交换机接入交换机管理VLAN：100IP网段：10.1.1.0/24管理VLAN：101IP网段：10.1.2.0/24河灿醇烧笋暴搜染柯发沼抓幢新咳兵尾无肩忻氯出引刑幢淑焦典脾砾没豆H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案25室外区域室外区域接入用户接入用户IP地址和地址和VLAN规划规划AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点lInternet地址为公网地址，运营商分配l同一区域内用户采用相同VLANl校园网访问时地址为私网网地址，由校方分配l对学校同一区域的Internet用户采用同一VLAN，不同区域用户不同VLANl不同学校采用不同VLAN那韵曲哲炒唉粥韭惺是弗硒募卿挺箱甜射扼性铺与阶持搭洋诲油牲谆径英H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案26Portal/PPPOE认证方式对比认证方式对比PORTALPORTAL认证认证PPPOEPPPOE认证认证技术成熟度成熟成熟地址获得方式DHCP协议PPP协议数据流封装开销小较大是否需要客户端不需要需要IP地址占用始终占用地址不认证则不分配地址安全程度较高高用户易用性好较好页面推送服务支持不支持（有RFC草案，但支持设备少）用户自助平台不受限制自助充值需在有余额情况下充值考虑IP地址占用问题，建议Internet接入采用PPPOE认证，校园网资源访问采用Portal认证方式若Internet接入采用Portal认证，建议用户采用私网地址血轿晰宗蓬蒲璃番纠沟位认菠唇紧颖侯抽世税发赶腾何鸭钱兵脑蔑伶意驾H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案27室外区域室外区域PPPoE认证认证AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入控制点控制点认证数据流认证数据流l与RADIUS服务器配套对用户帐号认证l使用大网认证服务器认证l用户发出PPPOE认证糠种拎卯凉跑鹰符干菱书战灾圆脑产促乐急肆意或莉藉艇髓甭劫嫁蜀尉婶H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案28室外区域室外区域Portal认证认证AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点认证数据流认证数据流lSSID2：校园内网访问，由学校分配IP地址lSSID2：Internet访问，由运营商分配IP地址lInternet接入认证l使用大网认证服务器认证l校内和教育网资源访问由校方做认证漳痕灼拢扫辩勃鲜乌陇煎悼加侯喳嘉俗评据那颜狞予闷饼址辜降郭妓遁脆H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案29无线校园重点关注安全无线校园重点关注安全安全安全接入安全接入安全信息泄漏信息泄漏非法用户接入？非法用户接入？非法非法APAP接入？接入？网络安全网络安全ARPARP欺骗、欺骗、MACMAC欺骗欺骗地址扫描攻击地址扫描攻击伪伪DHCPDHCP服务器接入服务器接入管理管理公平公平接入接入大容量大容量高可靠高可靠规划规划糊势痒粗韩镐鸵驾芬俩郎插艾胶拇完柿蹦楞吴横箩良太尽躬猪宛赠裤丘宝H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案30安全特性部署安全特性部署AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点lAP与终端间加密机制lAP下用户隔离l检测非法AP接入l端口隔离lDHCP snooping安全特性（防MAC欺骗、IP欺骗、ARP欺骗）lARP限速l广播抑止l限制AP管理地址仅允许访问AClAP隔离lDHCP snooping安全特性（防MAC欺骗、IP欺骗、ARP欺骗）l用户接入认证l授权ARP握餐潘倡处告拱琳彬霄拽浩估橙渐翰溜缚蹋邑择蛋迟专溺阑掖蒜嫁勾距桅H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案31WAPI&802.11iWAPI802.11i认证认证机制机制双向双向认证认证（终端与AP间通过第三方AS相互认证），可防止AP假冒双向双向认证认证（终端和RadiusServer之间的认证，终端无法确定AP是否合法），认证认证方法方法（方式固定，（方式固定，简单简单宜行）宜行）基于开放式系统鉴别鉴别过程简单易行；身份凭证为公钥数字证书（方式灵活，适用多种（方式灵活，适用多种场场合）合）基于EAP协议扩展，方式不固定，可基于用户名密码，SIM卡,数字证书等多种方式加密加密采用椭圆曲线签名算法WEP,TKIP,AES成熟度成熟度产业链产业链成熟度成熟度还还有差距有差距，2008年7月刚推出首款WAPI手机比比较较成熟。成熟。2007年全球有2.94亿部消费电子产品内置WiFi芯片 兼容性兼容性不兼容原有802.11i，后续扩展慢兼容以前，后续扩展协议相对进展快国家政策国家政策中国中国WAPI联联盟制定，国家支持盟制定，国家支持IEEE制定H3C产品同时支持WAPI和802.11i支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802.11i用户共存支持快速漫游加密机制防止加密机制防止AP侧的信息泄漏侧的信息泄漏锦瘴蚁遭躯绞机豪少扬琴坛卓衬沫赶锐吊沃坤嫡碗警蜂嫁搐妥冲锋难烙肥H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案32拒绝接入拒绝接入丢弃报文丢弃报文无线入侵检测空中警察无线入侵检测空中警察无线入侵检测空中警察无线入侵检测空中警察非法设备的识别和处理：非法设备的识别和处理：周期性监听空口信息周期性监听空口信息设备信息报告设备信息报告AP非法设备非法设备无线控制器无线控制器向非法设备发起攻击向非法设备发起攻击非法设备是未经网络管理者许可部署的无非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备线设备或者是发起无线攻击的设备无线控制器可以指定无线控制器可以指定APAP工作在两种工作工作在两种工作模式：模式一、模式：模式一、APAP负责监听空口所有信负责监听空口所有信道的信息，但不负责用户报文的转发。模道的信息，但不负责用户报文的转发。模式二、式二、APAP在为用户转发数据的同时定期在为用户转发数据的同时定期切换到其他信道监听信息切换到其他信道监听信息APAP设备负责把监听到的无线设备和有攻设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器击行为的无线设备上报给无线控制器无线控制器根据无线控制器根据APAP上报的设备信息识别上报的设备信息识别非法设备，排除合法设备非法设备，排除合法设备无线控制器可以控制无线控制器可以控制AP AP 将非法设备列入将非法设备列入黑名单或者对其发起攻击黑名单或者对其发起攻击设备过滤设备过滤设备过滤设备过滤列入黑名单列入黑名单攻击指示攻击指示非法设备检测非法设备检测婉咽忻迁缝踏姻杨德拆氨危纹挞掺荣净惭艰扎偿痒姚液脏喀美琳稠巳收熬H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案33ARP攻击防御攻击防御-DHCP SNOOPING模式模式网关接入交换机p通过DHCP 监控方式建立静态绑定表项p接入交换机启用ARP Detection功能，根据DHCP Snooping建立的静态绑定表项过滤非法ARP报文p全网部署后，直接在接入端口丢弃ARP欺骗报文，有效防止所有类型的ARP攻击p支持根据客户端IP地址的租约对DHCP Snooping表项进行老化，节省系统资源DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文，获得合法用户的IP-MAC-port对应关系接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上想发送欺骗报文？丢弃攻击者AP有效防范有效防范有效防范有效防范ARPARPARPARP欺骗、欺骗、欺骗、欺骗、IP/MACIP/MACIP/MACIP/MAC欺骗攻击欺骗攻击欺骗攻击欺骗攻击息计知癣安碍诈架尽载牲蕉敌哎陷苟厂睛钾雌云亨冈蔚劫衣尾李栓固踌改H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案34BRASACDHCP服务器服务器BRASBRAS解析解析DHCPDHCP交互报文，并交互报文，并据此生成合法据此生成合法ARPARP表（授权表（授权ARP)ARP)关闭关闭BRAS ARPBRAS ARP广播广播丢弃目标地址未知的扫描类丢弃目标地址未知的扫描类攻击报文攻击报文想发送欺骗报文想发送欺骗报文？丢弃！？丢弃！想做网段扫描？想做网段扫描？丢弃！丢弃！攻击者攻击者授权授权ARP：有效防护：有效防护ARP攻击和扫描类攻击攻击和扫描类攻击AP监控监控DHCP交互报文获取合法用户的交互报文获取合法用户的IP-MAC-port关系关系BRAS对于目的未知的报文不再发对于目的未知的报文不再发ARP，直接丢弃，防范扫描攻击，直接丢弃，防范扫描攻击在在BRAS上依据上依据DHCP交互信息生成交互信息生成ARP表项表项帆守揖呐陋嘻金碘攀磁闹矗严老参谎币烷亢镭二悄仆父数拥萝馅踪兔樱键H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案35安全部署安全部署-用户隔离用户隔离l端口隔离l端口隔离用户隔离可以有效的防范用户间的用户隔离可以有效的防范用户间的ARP欺骗、欺骗、MAC欺骗、伪欺骗、伪DHCP服务器接入等服务器接入等攻击类型攻击类型AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点l端口隔离lAP用户隔离懈侦茨缓毖敢昼旅罕些权财铜翔扭谁塑瓶湃导速幅篮煞睹翠傅惧吩阐扔威H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案36私拆私拆AP问题的防范问题的防范案例：学校AP设备采用公网地址，学生拆卸部署在宿舍区的AP设备，私接终端设备或HUB设备，不通过认证即可上网的。防范措施：需要校方对学生进行行政约束采用FIT AP模式FIT AP本身无配置，必须配合AC使用，偷之无用采用私网IP地址进行管理，且管理地址只能访问AC设备，不能访问Internet昭芳仍硕矛嚎使达哑叙理套拆扶雄暂噎姑闸诧倔倚掏屹箍舶烦爽匈硅娟荔H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案37无线校园重点关注大容量无线校园重点关注大容量安全安全lACAC接入大量接入大量APAPlACAC设备高可靠设备高可靠lACAC设备的互备能力设备的互备能力规划规划公平公平接入接入大容量大容量高可靠高可靠规划规划管理管理救才镍肝午唁酌讳蓝匝周佯遣峦讥慈膳迹箍壬乡酱祝乙蔬涣找虫谴暇面朵H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案38大容量大容量AC接入能力强接入能力强wx610375E+AC插卡机箱式无线控制器，有线无线一体化可管理128/256/384/512/640个AP，通过Licence平滑升级单AC插卡可管理640个AP；75E可插入多个AC插卡，管理多个学校的AP75E交换背板能力可以提供高带宽链路；随着随着AP数量的增加可以逐步增加数量的增加可以逐步增加AC管理能力，管理能力，按需投资按需投资扇池埠猫韧投卉抑鉴修舞毛贾沥偶证勤普栈屡返退向龙降籽匝煮拯恍咽爬H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案39大容量大容量AC设备高可靠性设备高可靠性双主控控制层面和转发层面分离，单主控出问题时不影响业务热补丁不需要重启设备即可完善软件功能11冗余电源港卵辨宇烬糜执邑自氏歧逻联屏霞伦慢哗傲葡练谐摊顿蛙详傣继鹅厨酚宝H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案40大容量大容量AC 智能备份智能备份AC 接入列表AC1AC2。ACn+1APDHCP/DNSserverAC1AC2ACn+11、获取可接入AC列表2、获取AC1的负载信息和接入优先级2、获取AC2的负载信息和接入优先级2、获取ACn的负载信息和接入优先级3、和AC1建立连接AC 接入列表AC1 PRIH，已经接入20个APAC2 PRIH，已经接入30个AP。ACn+1 PRIL，已经接入40个AP AC 接入列表AC1 PRIH，已经接入20个APAC2 PRIH，已经接入30个AP。ACn+1 PRIL，已经接入40个AP 4、和AC2建立连接AP可以智能的选择优先级高、负载低的AC接入当AP正在接入的AC down机时，AP可以选择备份的AC进行接入孽颤躁禽鞍簿蘸占怔券拟抡暑粘很荐歌隧吵所碑矽摇朋谊椎则彭裂缉遗颗H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案41无线校园重点关注公平接入无线校园重点关注公平接入安全安全l用户公平占用带宽用户公平占用带宽l高优先级业务的质量保障高优先级业务的质量保障管理管理公平公平接入接入大容量大容量高可靠高可靠规划规划你舍步丧率掠保际滴叹磺川赦牲做歧势诈硅樱曲澄采仰绅玖投爆钦泵宿毖H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案42基于基于SSID的用户智能限流的用户智能限流AC教学楼教学楼图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入认证点认证点l设置校园SSID带宽和Internet SSID业务带宽可以有效防止P2P业务占用过多的带宽，导致其他正常用户无法使用网络鱼逸撤该青塘杰钡忆集谴笆卷倪桃靳诱橇瞥星伞桅尼销彭柠锦锗松换驮搔H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案43高优先级业务的保证高优先级业务的保证有线网络有线网络有线网络有线网络令牌桶令牌桶流量统计流量统计Queue0Queue1Queue2QueueNDropTailRR/DRR接收接收报文报文无线无线有线有线优先级映射优先级映射流分类流分类流量流量限制限制队列队列发送发送报文报文出队出队调度调度拥塞拥塞控制控制转发转发 源地址源地址 目的地址目的地址 源端口源端口 目的端口目的端口 协议类型协议类型ACLAC调度机制调度机制优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP调度机制调度机制CAPWAP隧道优先级CAPWAP隧道优先级用户优先级到CAPWAP优先级映射用户优先级到CAPWAP优先级映射挖愿焰宅捏即椎举蓑狞邢选跟潘残摩喝嗅匆凉涟入泄瞳懊彦爹亩西濒肺并H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案44紧跟标准步伐，推出802.11n 产品，确保兼容性80211n80211n高带宽高带宽广覆盖广覆盖易兼容易兼容高稳定高稳定易穿透易穿透密接入密接入万兆多核无线控制器，处理性能可达万兆，满足11n高带宽的需求支持POE+的交换机，单端口最大可达25W，适应11n时代的需求带宽的提升带宽的提升802.11n的平滑升级的平滑升级疥麻编兽遇抛满锗痹钓澳取慎虱杂栓踞弯耿择恶采玖告泌翰梨柄匪惮毖吐H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案45无线校园重点关注管理无线校园重点关注管理安全安全l资源统一管理资源统一管理l运营报表输出运营报表输出管理管理公平公平接入接入规划规划大容量大容量高可靠高可靠顾硅复痢苫桶急苫迢山幌授申抨与演淬拂此募陡女罪伞序阔邮叉馅瓷兽叼H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案46管理：无线有线一体化全集成资源管理管理：无线有线一体化全集成资源管理无线有线无线有线一体化管理一体化管理网络业务网络业务管理管理基础资源基础资源管理管理SOASOA管理平台管理平台基于基于SOA架构的开放式管理平架构的开放式管理平台台网络资源统一调配管理机制网络资源统一调配管理机制丰富的网络业务管理解决方案丰富的网络业务管理解决方案同一管理平台解决两种网络资同一管理平台解决两种网络资源管理问题源管理问题些蚜翻佯庇俊迎资糜前正仗侯叠奖睡页淳良菠殴诉新靴瀑搂兆诧杜猜纂鸟H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案47管理：丰富的无线统计报表管理：丰富的无线统计报表专业化报表专业化报表告警统计报表 网络质量报表 流量统计报表 设备性能报表 资源数量统计报表主要报表：24小时全网无线用户在线趋势图用户数最多的热点Top5用户数最多的SSID Top5用户数最多的AP Top5最近24小时无线用户接入成功率趋势图最近6小时无线用户接入成功率最高的AP的Top5最近6小时无线用户接入失败率最高的AP的Top5 等 对无线校园的无线利用率和活跃度进行统计分析对无线校园的无线利用率和活跃度进行统计分析迅碘斑背谜舌还肾砖伶疼富祷顶搞扁物凶府濒坪瞧帜鹏伟觉黎刀彬棋宁珠H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案48目目 录录n无线校园网的建设运营探讨nH3C无线校园解决方案介绍nH3C无线校园网络工程部署nH3C无线校园成功案例陋操奏陡苛丹找辱涤症夸梧商敌僵妊粹唆眩癌贪桃迹瞎琢滑爽骆侥盅禽越H3C运营商无线校园网解决方案H3C运营商无线校园网解决方案49单单AP教室覆盖教室覆盖根据具体环境的不同，可以将AP固定到主讲台后面的墙壁上，或者用吸顶天线固定到天花板上，一般来说，室内覆盖可以覆盖普通隔离墙2-3层株斌坦借友朔踢必挽滩向迈稍镜竭吉孵倘捏猫邯酶牟矗厕袒长迁籍贡荧赖H3C运营商无线校园网解决方案H3C运营商无