1、H3C电信无线校园网解决方案电信无线校园网解决方案2目目 录录n无线校园网的建设运营探讨nH3C运营级无线校园网解决方案介绍nH3C运营级无线校园网产品介绍nH3C成功案例介绍3无线校园网学校带来的价值无线校园网学校带来的价值品牌价值:品牌价值:学校提升品牌与社会影响力的基础建设之一有利于扩大社会影响,更好开展对外学术交流与培训使用价值:使用价值:让学生随时随地获取到教学资源方便学校在对外学术交流等活动过程中向来宾提供上网服务大大提升了校园Internet广播,视频教学服务的便利性,扩大了覆盖的范与学生使用的机会,成为多媒体教学的重要手段可以有针对性的提供信息推送服务便于学校增加临时的可移动视
2、频监控等业务,比如视频监考,而不必在教室里安置长期固定的视频监控头。4无线校园网对运营商的价值无线校园网对运营商的价值1 1、集团公司已明确的战略市场、集团公司已明确的战略市场已经成为集团公司明确开展的工作重点之一。校园是典型的聚类市场:居住高度集中,易做市场推广;信息消费能力强,小额消费频繁;消费模式仿效性强,一点攻破就会全面覆盖。高价值客户群的预备队:大学生群体很快步入社会成为主力消费群,大学期间形成的消费习惯与品牌依赖度对其有重要影响(从QQ与动感地带的成功都可见证这点)。高端品牌形象树立的必备热点:大学已成为很多高端人群充电与社交的场所,他们是运营商目前最重要的价值客户群,消灭掉服务盲
3、点对于提升品牌形象具有重要意义。2 2、WLANWLAN频点是公用的,具有独占性,就象小区入户的双绞线一样,是用户进频点是公用的,具有独占性,就象小区入户的双绞线一样,是用户进入互联网的必经之路,谁掌握了它谁就掌握了未来的主动权。入互联网的必经之路,谁掌握了它谁就掌握了未来的主动权。目前多个运营商已经开始了在该领域的圈地运动!5无线校园网络建设驱动力无线校园网络建设驱动力学校:学校:节省建设校园网络的投资通过物业资源能够获取收益分成通过服务获取部分收益运营商:运营商:WLAN作为宽带接入的补充,配合3G开展宽带数据业务,有效的解决3G基站带宽不足,开展宽带数据业务成本高的问题,成为运营商新的利
4、润增长点目前笔记本终端都支持WIFI功能,学校是终端最密集的地方,学生接受新技术的能力水平高,是开展移动通信的最佳场所 需要同宽带开展差异化竞争6运营商建设无线校园的投资方式运营商建设无线校园的投资方式独资方式:独资方式:包括有线无线全部由运营商投资建设合作方式:合作方式:有线借用学校的网络,无线运营商投资建设租借方式:租借方式:有线无线都由学校建设,运营商租赁经营学校租借运营商无线网络,访问校内网由于学校没有运营牌照,因此只能借助运营商进行运营,但设备的投资取决于学校的经济实力,从运营商角度而言,独资方式更易于管理和运营7目目 录录n无线校园网的建设运营探讨nH3CH3C运营级无线校园网解决
5、方案介绍运营级无线校园网解决方案介绍nH3C运营级无线校园网产品介绍nH3C成功案例介绍8运营级无线校园网业务篇运营级无线校园网业务篇扩展安全业务管理部署1.Internet接入业务2.租赁业务3.实时多媒体业务4.VPN业务5.视频监控业务6.漫游业务9业务类型和用户业务类型和用户业务类型业务类型说明说明用户用户Internet接入服务接入Internet服务学校师生、学校访客租赁业务学校租用WLAN为学生和老师访问校内网学校管理人员实时多媒体业务VoWiFi、即拍即传、视频转播、在线游戏、移动监控、固定监控学校师生、校内服务机构、学校管理人员VPN业务提供老师学生通过VPN访问校内网业务学
6、校师生、教职工漫游业务跨学校上网业务学校师生10Internet业务业务城域网城域网/InternetCERNET校内网管平台无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP运营计费平台校园网接校园网接入控制点入控制点BRAS汇聚交换机汇聚交换机校园侧校园侧运营商侧运营商侧校园网校园网运营商网运营商网ACSSID:SPSSID:CampusInternet业务用户包括:学校师生、学校访客,学校访客需要运营商能够提供快速开通业务的能力,简单的
7、售卡能够很好的满足需求11校园租赁业务校园租赁业务城域网城域网/InternetCERNET校内服务器无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP运营计费平台校园网接校园网接入控制点入控制点BRAS汇聚交换机汇聚交换机校园侧校园侧运营商侧运营商侧校园网校园网运营商网运营商网AC租赁业务:学校管理者通过租赁运营商的WLAN网络给学校师生提供服务,运营商给学校开通一个专用SSID:Campus,提供本地转发的方式给学校使用,提高学校的信息化
8、水平。SSID:SPSSID:C12实时多媒体业务实时多媒体业务城域网城域网/InternetCERNET校内服务器教学区教学区图书馆图书馆校园有线网校园有线网运营计费平台校园网接校园网接入控制点入控制点BRAS汇聚交换机汇聚交换机校园侧校园侧运营商侧运营商侧校园网校园网运营商网运营商网AC实时多媒体业务:VoWiFi、在线游戏、及拍即印、视频转播(移动视频转播和监控),通过为实时多媒体业务设置专门的SSID,来确保实时多媒体的质量,实时多媒体的终端多采用MAC地址认证。IP承载网TG/SGPSTN网络SGSHLRLSTPSS13VPN业务业务CERNET校内服务器教学区教学区图书馆图书馆校园
9、有线网校园有线网运营计费平台校园网接校园网接入控制点入控制点BRAS校园网校园网运营商网运营商网VPN业务:学校访客通过互联网访问企业内网,以及需要老师通过Internet访问学校内网服务。城域网城域网/Internet城域网城域网城域网城域网/InternetVPN隧道隧道14漫游业务漫游业务城域网城域网/Internet学校学校B B教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍学校学校CC学校学校A AMPPMPP学校操场学校操场MAPMAPMPMPMPMP运营计费平台BRAS汇聚交换机汇聚交换机AC漫游业务:学生除了在学校A可以通过无线上网外,还可以在学校BC上网,通
10、过漫游区域和带宽提供差异化运营服务。15物业收益物业收益按照包月,包年等方式给予学校一次性的场地占用或者租用费用.适用场合:适用场合:结算简单,适用于大多数场合运营商同学校的几种结算方式运营商同学校的几种结算方式根据实际情况采取不同的结算方式,可以节约运营成本,从而同学校达到双赢根据实际情况采取不同的结算方式,可以节约运营成本,从而同学校达到双赢的局面的局面“点卡点卡”差价差价学校转卖运营商的上网卡给学生,赚取差额利润;适用场合:适用场合:学校需要分担运营商的运营风险,运营好时,学校挣得也多运营对帐运营对帐学校根据无线校园网中运营商客户上网的实际时长,流量等信息与运营商进行利益分成.适用场合:
11、适用场合:访客太多(点卡不能覆盖)的园区。最典型的例子:机场。服务收益服务收益学校负责维护运营商校内设备获取部分收益;适用场合:适用场合:学校需要保证设备的可用性达到一定的水平,提高运营商网络可用性16影响双方收益分配变化的几个问题影响双方收益分配变化的几个问题问题问题 收益分配收益分配运营商比重运营商比重学校比重学校比重是否委托学校进行网络维护减小增加学校是否允许免费通过WLAN上校园内网增加减小是否需要租借校园部分网络减小增加是否具有排他性减小增加学校有能力维护,运营商委托学校进行网络维护,付给学校维护费和物业费学校没有能力维护WLAN网络,运营商付给学校物业费用。业务开展通过点卡方式能够
12、促进学校开展业务的积极性,实现双赢17运营级无线校园网部署篇运营级无线校园网部署篇管理扩展部署业务安全1.Internet接入业务2.租赁业务3.实时多媒体业务4.VPN业务5.视频监控业务6.漫游业务18部署篇部署篇中小规模校园无线网架构中小规模校园无线网架构城域网城域网/InternetCERNET校内网管平台运营计费平台无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP校园网核心交换机校园网核心交换机BRAS汇聚交换机汇聚交换机AC校园
13、侧校园侧运营商侧运营商侧校园网校园网运营商网运营商网主流方式,适合于学校规模不是很大,不需要直接访问校内网的情况,方案采取多个学校共用一个AC,部署新业务简单,运营商SSID集中转发到BAS进行认证AC放在运营商侧19部署篇部署篇中小规模校园无线网架构中小规模校园无线网架构城域网城域网/InternetCERNET校内网管平台运营计费平台无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP校园网核心交换机校园网核心交换机BRAS汇聚交换机汇聚交
14、换机AC校园侧校园侧运营商侧运营商侧校方无线接入校方无线接入控制点控制点校园网校园网运营商网运营商网适合于学校规模不是很大,多个学校共用一个AC,部署新业务简单,AP启用两个SSID,运营商SSID集中转发到BAS进行认证,校园网SSID采用本地转发,上网的用户由BAS分配IP地址,校内的用户IP地址由学校分配AC放在运营商侧20部署篇部署篇大规模校园无线网的架构大规模校园无线网的架构城域网城域网/InternetCERNET校内网管平台运营计费平台无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入
15、区MPPMPP学校操场学校操场MAPMAPMPMPMPMP校园网核心交换机校园网核心交换机BRAS汇聚交换机汇聚交换机AC校园侧校园侧运营商侧运营商侧校方无线接入校方无线接入控制点控制点适合于学校规模很大,需要在学校放一个AC,学校一个SSID,运营商一个SSID,两者都走集中转发,运营商数据直接通过NAT透传到BAS做宽带接入认证,学校的用户通过AC在校内网认证。AC放在校园网侧21部署篇部署篇业务控制点选取业务控制点选取CERNET校内网管平台无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入区
16、MPPMPP学校操场学校操场MAPMAPMPMPMPMP校园网核心交换机校园网核心交换机AC校园侧校园侧运营商侧运营商侧校方无线接入校方无线接入控制点控制点城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机学校一个SSID,运营商一个SSID,两者都走集中转发,运营商数据直接通过NAT透传到BAS做宽带接入认证,学校的用户通过AC做本地认证。22部署篇部署篇 AP部署点部署点网络实验室网络实验室图书馆图书馆教室教室体育场体育场迎新大道迎新大道会议室、礼堂会议室、礼堂、学术报告厅、学术报告厅、宾馆、宾馆室外空地室外空地23部署篇部署篇AP部署方式部署方式PHS3G室分系统室内
17、放装室外部署室分系统室分系统室内放装室内放装室外部署室外部署适合需要覆盖范围广,接入用户少的地方利用现有的天馈系统可以实现快速部署适合接入用户密集的地方,如图书馆、电子教室、宿舍等适合接入用户数少,不适合布线的地方室外部署可以是网桥方式,也可以是Mesh方式,也可以是同基站共址的方式24室外场所覆盖室外场所覆盖 25操场等广阔地带的覆盖操场等广阔地带的覆盖采用MESH AP(双频AP,双频可都做覆盖也可以全部回传),覆盖操场等校区的室外空间26高密覆盖部署高密覆盖部署降低AP和客户端发射功率,实现同频重叠最小化采用2.4G和5G混合部署,增加用户接入能力802.11a802.11b/g1&63
18、&113&118&11&65&63&118&61&13&11电子化教室图书馆宿舍楼27高密覆盖功率自动调整高密覆盖功率自动调整APAPAPAPAPAPAP教室教室A教室教室B办公室办公室A办公室办公室B无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率当AP覆盖区域受到外界强信号干扰时,无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号28高密覆盖高密覆盖智能负载均衡智能负载均衡AP1AP2拒绝关联接受关联AP1AP2智能负载均衡技术不启动负载分担的区域n基于Radio、流量、AP、AC进行负载均衡只在重叠覆盖区启动负载
19、均衡不管是否在重叠区都启动负载均衡29室外覆盖进行补点室外覆盖进行补点30高密覆盖高密覆盖11NWA2610X-GN室外型室外型WA2612-AGNWA2610-AGN室内型室内型WA2620E-AGNWA2610E-AGN复杂环境型复杂环境型三根天线不代表是三条流,所以3X32322的理论速率都是一样的,但是由于33用的发射天线更多,可以使实际性能比23最多高16%左右31部署篇部署篇PoE交换机供电交换机供电H3C 3600 PWRH3C 5500 PWRH3C 5600 PWRH3C 3100 EI PWR相对于本地供电,相对于本地供电,PoEPoE部署更方便和更安全部署更方便和更安全相
20、对于相对于PoEPoE供电模块,供电模块,PoEPoE交换机能够实现远程控制交换机能够实现远程控制Telnet管理管理PoE供电供电ACACL2/L3 IPIMCDHCPServerDNSServerPortalServer总部分支机构32部署篇部署篇接入用户接入用户IP地址和地址和VLAN规划规划城域网城域网/InternetCERNET校内网管平台运营计费平台学校学校A A教学区教学区图书馆图书馆学生宿舍学生宿舍教教学学区区图图书书馆馆AC校园网无线校园网无线入口网关入口网关BRAS汇聚交汇聚交换机换机教学区教学区图书馆图书馆学生宿舍学生宿舍学校学校B B学校学校A A校内网校内网校内网用
21、户的IP地址由学校负责分配,运营商为不同的学校接入用户提供不同的接入IP,便于对业务流量进行统计和管理33部署篇部署篇 PPPoE PPPoE认证认证AC无线无线APAP接入区接入区教学区教学区图书馆图书馆学生宿舍学生宿舍无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入控制点控制点认证数据流认证数据流l 校园用户帐号和VLAN绑定认证,防止漫游l 使用大网认证服务器认证34部署篇部署篇 Portal P
22、ortal认证认证AC无线无线APAP接入区接入区教学区教学区图书馆图书馆学生宿舍学生宿舍无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入控制点控制点认证数据流认证数据流l SSID1:校园内网访问,由学校分配IP地址l SSID2:Internet访问,由运营商分配IP地址l 校园用户帐号和VLAN绑定认证,防止漫游l 使用大网认证服务器认证l 校内和教育网资源访问由校方做认证35基于用户群的智能带宽
23、管理基于用户群的智能带宽管理 城域网城域网/InternetCERNET校内网管平台运营计费平台无线无线APAP接入区接入区教学区教学区图书图书馆馆学生宿舍学生宿舍教教学学区区图图书书馆馆AC校园网无线校园网无线入口网关入口网关BRAS汇聚交汇聚交换机换机东北财经大学,西南师范大学可以有效防止校内P2P业务占用过多的带宽,导致运营商正常用户无法使用网络,同时可以提供同校园网出口差异化的带宽竞争36基于基于SSID的可定制转发模式的可定制转发模式城域网城域网/InternetCERNET校内网管平台运营计费平台无线无线APAP接入区接入区教学区教学区图书馆图书馆学生宿舍学生宿舍教学教学区区图书图
24、书馆馆AC校园网无线入口校园网无线入口网关网关BRAS汇聚交换机汇聚交换机访问校内网用户本地转发访问Internet用户集中转发基于SSID的本地转发模式为新业务开展提供了灵活的基础37运营级无线校园网安全篇运营级无线校园网安全篇业务管理安全部署扩展1.防Rouge AP2.防私拆AP3.防ARP攻击4.VPN业务5.视频监控业务6.漫游业务38运营级无线校园网安全架构运营级无线校园网安全架构AC和AP间的CAPWAP隧道下行流量限速流量限速无线安全插卡,防攻击防攻击和提供SSL/IPSEC VPNAPAP身份认证身份认证全系列PoE交换机端口隔离端口隔离动态密钥下发,Hotspot用户隔离用
25、户隔离TKIP/AES/椭圆加密(WAPI),智能带宽限速智能带宽限速有线无线一体化一体化EADEAD有线无线一体化网络拓扑非法设备监控、定位和告警,设备信道调整告警有线无线安全策略安全策略在无线控制器统一部署城域网城域网/Internet运营计费平台无线无线APAP接入区接入区教学区教学区图书馆图书馆学生宿舍学生宿舍ACBRAS汇聚交换机汇聚交换机802.1x/PSK/MAC/Portal多种认证方式多种认证方式的混合接入,升级支持WAPI防防ARPARP攻击攻击和DHCP Server外挂,ARP P39安全无线校园网安全无线校园网大容量无线控制器大容量无线控制器+安全插卡安全插卡实现基于
26、业务的数据识别,为运营商的业务开展提供有力的支持实现基于业务的数据识别,为运营商的业务开展提供有力的支持一体化硬件平台:大容量无线控制器+安全插卡一体化EAD解决方案城域网城域网/Internet运营计费平台学校学校B B教学区教学区图书馆图书馆学生宿舍学生宿舍ACBRAS汇聚交换机汇聚交换机学校学校A A教学区教学区图书馆图书馆学生宿舍学生宿舍教学区教学区图书馆图书馆学生宿舍学生宿舍学校学校CC40校园网中的校园网中的Rouge APRouge AP多为学生私接的的多为学生私接的的APAP,对这类,对这类APAP的管理可以通过网络技术的管理可以通过网络技术进行屏蔽,如所有的以太网端口都必须经
27、过进行屏蔽,如所有的以太网端口都必须经过PortalPortal认证,避免直接挂认证,避免直接挂APAP方式接入方式接入网络,另外需要通过学校的规章制度进行引导网络,另外需要通过学校的规章制度进行引导FIT APFIT AP方案可以监听方案可以监听Rouge Rouge APAP,发现,发现Rouge APRouge AP后,可以后,可以采取如下的措施:采取如下的措施:1.1.告警,及时通知管理人员告警,及时通知管理人员进行干预进行干预2.2.对对Rouge APRouge AP进行攻击进行攻击拒绝接入拒绝接入丢弃报文丢弃报文周期性监听空口信息周期性监听空口信息设备信息报告设备信息报告AP非法
28、设备非法设备无线控制器无线控制器向非法设备发起攻击向非法设备发起攻击列入黑名单列入黑名单攻击指示攻击指示Rouge APRouge AP检测检测学生在宿舍区的私接AP设备,对运营商设备产生干扰。41私拆私拆AP问题的防范问题的防范学生将运营商部署的学生将运营商部署的APAP设备拆卸到寝室安装使用设备拆卸到寝室安装使用采用FIT AP模式,一旦AP离线,AC立即产生告警,另外FIT AP本身无配置,必须配合AC使用,偷之无用,一旦接入运营商网络即可发现该设备连接的端口,避免AP被挪用城域网城域网/Internet运营计费平台教学教学区区图书图书馆馆学生宿舍学生宿舍BRAS汇聚交换机汇聚交换机AC
29、校园区域校园区域运营商局端运营商局端教学教学区区图书图书馆馆学生宿舍学生宿舍42PortalServer防防ARP攻击攻击FIT/FAT 双模 APACACL2/L3 IPIMCDHCPServerDNSServerGW192.168.0.1192.168.0.100-E0-FC-01-02-0300-E0-FC-01-02-03192.168.0.10192.168.0.11ARP:192.168.0.1 MAC:XX-XX-XX-XX-XX-XX方法一:方法一:1.1.用户认证时利用用户认证时利用iMCiMC获取获取合法用户的合法用户的IP/MACIP/MAC对应对应关系关系2.2.iMC
30、iMC和和ACAC联动,绑定合联动,绑定合法用户的对应表项,在法用户的对应表项,在ACAC中过滤掉所有不匹配中过滤掉所有不匹配的的ARPARP报文报文3.3.iMCiMC和和ACAC联动,绑定合联动,绑定合法用户的对应表项,防止法用户的对应表项,防止网关被非法网关被非法ARPARP报文欺骗报文欺骗方法二方法二1.1.在在iNodeiNode客户端上绑定网客户端上绑定网关的关的ARPARP表项表项2.2.利用利用iNodeiNode客户端实现本客户端实现本机机ARPARP攻击检测攻击检测3.3.能够支持能够支持1x1x和和PortalPortal两种两种认证的方式认证的方式43BRASACDHC
31、P服务器服务器BRASBRAS解析解析DHCPDHCP交互报文,并交互报文,并据此生成合法据此生成合法ARPARP表(授权表(授权ARP)ARP)关闭关闭BRAS ARPBRAS ARP广播广播丢弃目标地址未知的扫描类丢弃目标地址未知的扫描类攻击报文攻击报文想发送欺骗报文?想发送欺骗报文?丢弃!丢弃!想做网段扫描?想做网段扫描?丢弃!丢弃!攻击者攻击者授权授权ARP:有效防护校园:有效防护校园ARP攻击和扫描类攻击攻击和扫描类攻击AP监控监控DHCP交互报文获取合法用户的交互报文获取合法用户的IP-MAC-port关系关系BRAS对于目的未知的报文不再发对于目的未知的报文不再发ARP,直接丢弃
32、,防范扫描攻击,直接丢弃,防范扫描攻击在在BRAS上依据上依据DHCP交互信息生成交互信息生成ARP表项表项44安全部署安全部署-用户隔离用户隔离l 端口隔离l 端口隔离用户隔离可以有效的防范用户间的用户隔离可以有效的防范用户间的ARP欺骗、欺骗、MAC欺骗、伪欺骗、伪DHCP服务器接入等服务器接入等攻击类型攻击类型AC无线无线APAP接入区接入区教学区教学区图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城域网/Internet运营认证计费平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入控制点控制点l 端口隔离l AP用户隔离45WAPI&802
33、.11iWAPI802.11i认证机制认证机制双向认证双向认证(终端与AP间通过第三方AS相互认证),可防止AP假冒双向认证双向认证(终端和RadiusServer之间的认证,终端无法确定AP是否合法),认证方法认证方法(方式固定,简单宜行)(方式固定,简单宜行)基于开放式系统鉴别鉴别过程简单易行;身份凭证为公钥数字证书(方式灵活,适用多种场合)(方式灵活,适用多种场合)基于EAP协议扩展,方式不固定,可基于用户名密码,SIM卡,数字证书等多种方式加密加密采用椭圆曲线签名算法WEP,TKIP,AES成熟度成熟度产业链成熟度还有差距产业链成熟度还有差距,2008年7月刚推出首款WAPI手机比较成
34、熟。比较成熟。2007年全球有2.94亿部消费电子产品内置WiFi芯片 兼容性兼容性不兼容原有802.11i,后续扩展慢兼容以前,后续扩展协议相对进展快国家政策国家政策中国中国WAPI联盟制定,国家支持联盟制定,国家支持IEEE制定H3C产品同时支持WAPI和802.11i支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802.11i用户共存支持快速漫游加密机制防止加密机制防止AP侧的信息泄漏侧的信息泄漏46运营级无线校园网扩展篇运营级无线校园网扩展篇部署安全扩展业务管理1.AP防盗2.Rouge AP3.防ARP攻击4.防DHCP攻击5.认证点选择6.认证方式
35、选择47AC设备高可靠性设备高可靠性u双主控控制层面和转发层面分离,单主控出问题时不影响业务u热补丁不需要重启设备即可完善软件功能u11冗余电源uAC N+1备份48AC N+1备份备份AC 接入列表AC1AC2。ACn+1APDHCP/DNSserverAC1AC2ACn+11、获取可接入AC列表2、获取AC1的负载信息和接入优先级2、获取AC2的负载信息和接入优先级2、获取ACn的负载信息和接入优先级3、和AC1建立连接AC 接入列表AC1 PRIH,已经接入20个APAC2 PRIH,已经接入30个AP。ACn+1 PRIL,已经接入40个AP AC 接入列表AC1 PRIH,已经接入2
36、0个APAC2 PRIH,已经接入30个AP。ACn+1 PRIL,已经接入40个AP 4、和AC2建立连接AP可以智能的选择优先级高、负载低的AC接入当AP正在接入的AC down机时,AP可以选择备份的AC进行接入49支持支持IPv6AP无线控制器IAGIPv6资源无线接入网无线IPv6客户端无线IPv6客户端无线组网支持无线组网支持IPv6IPv6环境环境AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道IPv6IPv6管理管理AP:DNS6DHCP client6 无线控制器:无线控制器:ACL6DNS6TraceRT6Telnet6TF
37、TP IPv6FTP IPv6DHCP client6 Ping6IPv6IPv6组播组播无线交换机支持MLD Snooping配合现有IPv6有线网络,实现IPv6组播业务不仅仅是不仅仅是IPv6 IPv6 透传透传50紧跟标准步伐,推出802.11n 产品,确保兼容性80211n80211n高带宽高带宽广覆盖广覆盖易兼容易兼容高稳定高稳定易穿易穿透透密接入密接入万兆多核无线控制器,处理性能可达万兆,满足11n高带宽的需求支持POE+的交换机,单端口最大可达25W,适应11n时代的需求平滑升级支持平滑升级支持51运营级无线校园网部署篇运营级无线校园网部署篇安全部署管理业务扩展1.AP集中管理
38、2.AP在线统计3.丰富的报表4.一体化资源管理52按照学校的按照学校的AP集中管理集中管理分校区分校区A A教学区教学区图书馆图书馆学生宿舍学生宿舍城域网城域网/Internet运营计费平台BRAS汇聚交换机汇聚交换机AC分校区分校区B B教学区教学区图书馆图书馆学生宿舍学生宿舍分校区分校区CC教学区教学区图书馆图书馆学生宿舍学生宿舍基于位置的AP管理能够有效实现同一学校的AP的集中管理,对于需要学校维护的AP的状态实施监控提供了基础53AP在线率统计在线率统计AC无线无线APAP接入区接入区教学区教学区图书馆图书馆学生宿舍学生宿舍校园网和校园网和CERNET网网接入交换机接入交换机城域网城
39、域网/Internet管理平台BRAS汇聚交换机汇聚交换机校方无线接入校方无线接入控制点控制点l 网管通过AC统计AP在线率54无线有线一体化全集成资源管理无线有线一体化全集成资源管理无线有线无线有线一体化管理一体化管理网络业务网络业务管理管理基础资源基础资源管理管理SOASOA管理平台管理平台基于基于SOA架构的开放式管理平架构的开放式管理平台台网络资源统一调配管理机制网络资源统一调配管理机制丰富的网络业务管理解决方案丰富的网络业务管理解决方案同一管理平台解决两种网络资同一管理平台解决两种网络资源管理问题源管理问题55丰富的无线统计报表丰富的无线统计报表专业化报表专业化报表告警统计报表 网络
40、质量报表 流量统计报表 设备性能报表 资源数量统计报表包括最近24小时全网无线用户在线趋势图、用户数最多的热点Top5、用户数最多的SSID Top5、用户数最多的AP Top5、最近24小时无线用户接入成功率趋势图、最近6小时无线用户接入成功率、最高的AP的Top5和最近6小时无线用户接入失败率最高的AP的Top5 等 56目目 录录n无线校园网的建设运营探讨nH3C运营级无线校园网解决方案介绍nH3CH3C运营级无线校园网产品介绍运营级无线校园网产品介绍nH3C成功案例介绍57H3CH3C是业界首家提供室内分布式系统共用天馈解决方案,大大降低了运营商建设是业界首家提供室内分布式系统共用天馈
41、解决方案,大大降低了运营商建设WLANWLAN网网的前期投入成本,并有效的减少运营商工堪的工作量,现网已经有超过的前期投入成本,并有效的减少运营商工堪的工作量,现网已经有超过4000040000台设备台设备在运行。在运行。业界唯一一家提供业界唯一一家提供FAT APFAT AP平滑升级到平滑升级到FIT APFIT AP无线解决方案提供商,为运营商前期的投资的无线解决方案提供商,为运营商前期的投资的保护提供有效保障保护提供有效保障业界唯一一家提供业界唯一一家提供FAT AP TR-069FAT AP TR-069管理和管理和FIT AP ACFIT AP AC管理解决方案管理解决方案的厂家,使
42、的厂家,使WLANWLAN网络实网络实现真正的可管理。现真正的可管理。APAP支持支持PPPoEPPPoE拨号拨号,有效的实现将管理网络同数据网络隔离,保证了运营商内部网络的安,有效的实现将管理网络同数据网络隔离,保证了运营商内部网络的安全性,同时解决了全性,同时解决了APAP的的IPIP地址分配和管理问题。地址分配和管理问题。智能带宽限速通过对智能带宽限速通过对APAP接入用户的带宽限制接入用户的带宽限制,有效的避免了由于个别用户使用,有效的避免了由于个别用户使用P2PP2P业务而业务而导致其他用户无法上网。导致其他用户无法上网。20082008年年3 3月国内月国内首家发布首家发布11N1
43、1N产品,全球首家发布产品,全球首家发布Unifying SwitchUnifying Switch厂家,全国市场份额厂家,全国市场份额12.5%12.5%,位居第二位,运营商市场份额,位居第二位,运营商市场份额24.524.5,位居第一位。,位居第一位。H3在在WLAN领域的成就领域的成就H3C AP设备目前网上使用量已超过40000台。58大会 LOGOH3C专家介绍 CAPWAP MIBH3C WLAN在世界在世界n国内唯一一家完全自主研发,拥有完全知识产权的厂家,目前提交专利70余件,并成功在IETF组织提交2份管理标准5920092009年年WLANWLAN产品布局产品布局网桥网桥无
44、线控制器无线控制器WX5002WX6103WX5004网络管理软件无线客户端无线IDS无线定位WX3024S75E/S95插卡FIT/FAT APFIT/FAT AP网桥网桥/MeshWA2110-AGWA2210-AGWA2220-AGWA1208E-GPWA1208E-AGPWA2220E-AGWA2210X-G/GEWA2220X-AG/AGP/AGEWA 2620E-AGNWA 2610E-AGNWA2220E-AG-TWA2210E-GEWB2320X-AGE无线应用无线应用WX3010WA2610-AGNWA2612-AGNS58无线控制器插卡无线控制器插卡S75E交换板无线扣卡交
45、换板无线扣卡/S95E无线插卡无线插卡多频多频M60大容量大容量AC专业安全插卡专业BAS插卡无线控制器插卡无线控制器插卡61WA1208EGP百兆电口,POE控制口电源口射频天线口n室内大功率室内大功率500MW单频双模单频双模n适用于室内分布系统适用于室内分布系统n支持支持IEEE802.11b/IEEE802.11gn支持支持FAT AP/FIT AP模式灵活模式灵活转换转换n支持多个支持多个SSID实现虚拟实现虚拟AP特特性性62WA 2220X-AG/WA 2220X-AGPn室外型双频多模室外型双频多模nWA 2220X-AGP支持支持500mW大大功率射频输出功率射频输出n环境温
46、度:环境温度:-4065oC,不需要,不需要外接室外机箱外接室外机箱n支持支持IEEE802.11a、IEEE802.11b/IEEE802.11gn支持支持FAT AP/FIT AP模式灵活转模式灵活转换换n支持百兆光电接口上联支持百兆光电接口上联n支持支持IPv6网络网络63专业室外产品同包装产品的区别专业室外产品同包装产品的区别 专业室外型专业室外型包装室外型包装室外型防水防水等级IP66,设计生产保证工程安装保证高低温器件严格筛选,符合高低温条件,并经过严格测试器件符合室温条件即可,在复杂天气条件下会出现各种问题防雷内置以太网端口防雷,内置供电防雷全部都需要外加器件支持重量尽量减轻重量
47、,便于安装取决于外选的机箱防风设计时考虑,经过实验检验基本不考虑64WA 2210-AG百兆电口,POE控制口电源口n室内型单频多模室内型单频多模n支持支持IEEE802.11a或或IEEE802.11b/IEEE802.11gn支持支持FAT AP/FIT AP模式灵模式灵活转换活转换n支持多个支持多个SSID实现虚拟实现虚拟AP特性特性n持持WEP/TKIP/AES等硬件加等硬件加解密算法解密算法n支持支持IPv6网络网络65工程:完善的服务体系工程:完善的服务体系H3CH3C服务网络:服务网络:服务总部:杭州、北京 150名高级工程师,35个区域服务中心,50名现场工程师。82个备件库。
48、H3CH3C快速的响应机制:快速的响应机制:724的免费服务热线,80个坐席。H3CH3C服务案例:服务案例:2008年为中国电信多次WLAN的服务培训、江苏电信WLAN项目、浙江电信WLAN项目、武汉电信WLAN项目等近50个运营商服务案例2个服务总部82个备件库35个区域服务中心 拉萨呼和浩特济南石家庄太原郑州南京南昌南宁昆明重庆西安兰州银川 乌鲁木齐海口深圳广州合肥北京长沙成都贵阳福州天津武汉西宁哈尔滨杭州上海沈阳长春66目目 录录n无线校园网的建设运营探讨nH3C运营级无线校园网解决方案介绍nH3C运营级无线校园网产品介绍nH3CH3C成功案例介绍成功案例介绍67辽宁网通辽宁网通东北财
49、经大学东北财经大学n 由1台WX6103无线控制器,96台WA2210-AG系列FIT AP对学校专家楼、砚池楼、国际商贸学院主楼、留学生楼及楼前广场进行无线覆盖。n 无线网络部署快、工程实施简单、管理维护容易的特点,成为客户首选WLAN进行覆盖的原因。n 多级分层网管,减少了用户软件投资。POE接入交换机,堆叠出口认证、计费中心互联网(网通宽带)无线Client网管平台AP.无线控制器68思源楼思源西楼思源东楼7教、8教、9教无线交换机Wireless Switch Manager集中策略管理中心3600-28P-PWR-EIFIT AP体育馆、综合实验楼CAMS认证计费管理3600-28P
50、-PWR-EIFIT AP计算中心电气楼FIT AP3600-28P-PWR-EI3600-28P-PWR-EI3600-28P-PWR-EIFIT APFIT AP体育场主席像东花园、小树林明湖FIT AP图书馆、中心报告厅天佑会堂、科学会堂3600-28P-PWR-EI3600-28P-PWR-EI3600-28P-PWR-EIFIT APFIT APFIT APFIT AP校园骨干网校园骨干网北京交通大学北京交通大学n 通过通过305305台瘦台瘦APAP对思源楼、科学会堂、体育馆等楼宇连续覆盖以及对明湖、主席像等室外区域实施覆盖。对思源楼、科学会堂、体育馆等楼宇连续覆盖以及对明湖、主席