Aruba针对运营商产品架构及方案.ppt

Aruba针对运营商产品架构及方案,目录,中移动WLAN数据配置,中移动WLAN解决方案,中移动WLAN认证方式,运营商关注的新技术,Aruba产品结构,IPNetwork,IPNetwork,IPNetwork,Manage,Control,Access,Arubawirelesssystem,NMS,WirelessController,AP/Mesh,ProductArchitecture,MSR1000(MSA1100),MSR2000,MSR4000,MSA/MSRSeries,MSTSeries,WirelessManagementSystem(WMS),NMS,AC,MSR1200,MSR2000-1,AP/Mesh,MST200,MST200-M,MC8000,AC20KMC(MC8000-Z),ArubaproductFamily,功能和参数集中设备管理集中配置管理支持802.11a/b/g/n可选两种功率配置：100mW，500mW支持胖/瘦AP切换每个载频支持16个BSS功率自动调整信道自动调整支持负载均衡漫游支持WMM无线安全支持WAPI支持IPv6,接口网口：10/100/1000BASE-T(POEIN)天线接口：100mW，2个RP-SMA500mW，1个RP-SMA,室内型AP,MSA1100(MSR1000),MSA1100(MSR1000),接口网口：10/100/1000BASE-T(POEIN)天线接口：100mW，2个N型接头500mW，1个N型接头,功能和参数集中设备管理集中配置管理支持802.11a/b/g/n可选两种功率配置：100mW，500mW支持胖/瘦AP切换每个载频支持16个BSS功率自动调整信道自动调整支持负载均衡漫游支持WMM无线安全支持WAPI支持IPv6,室外型AP,MSR2000-1,MSR2000-1Port,MC是阿德利亚多业务无线控制器，用来管理无线接入点，支持集中设备管理，集中配置管理，漫游管理，业务管理，资产管理，拓扑管理和故障管理等。通过MC集成的网管功能，能够实现对小规模网络的管理；用户能够查看网络的拓扑结构，设备运行状况及故障信息等。MC8000支持接入点即插即用，能够满足客户的快速建网要求。通过MC8000的集中管理功能，客户能集中对无线接入点进行统一操作，统一配置和软件升级。阿德利亚MC8000支持灵活组网，能够平滑地集成到任意规模的有线网络中，能够与接入点在二层或三层网络架构上进行组网，适用于无线局域网和城域网。,主要特点：配置管理资产管理性能管理拓扑管理漫游管理故障管理报表管理日志管理非法AP检测WAPI证书管理安全管理,MC8000WirelessController,主要特点：集中设备管理集中配置管理漫游管理用户管理负载均衡管理射频管理转发模式管理非法AP检测WAPI证书管理安全管理防火墙功能性能管理拓扑管理最多支持1024台AP支持用户计费及认证功能支持N+1备份,MC8000-Z700是一款高性能无线控制器，提供2个业务插槽，支持12个GE接口，具有1024台FitAP的管理能力。MC8000-Z700支持集中设备管理，集中配置管理，漫游管理，业务管理，用户管理等。MC8000-Z700支持接入点即插即用，能够满足客户的快速建网要求。通过MC8000-Z700的集中管理功能，客户能集中对无线接入点进行统一操作，统一配置和软件升级。阿德利亚MC8000-Z700支持灵活组网，能够平滑地集成到任意规模的有线网络中，能够与接入点在二层或三层网络架构上进行组网，适用于无线局域网和城域网。,MC8000-Z700WirelessController,目录,中移动WLAN数据配置,中移动WLAN解决方案,中移动WLAN认证方式,运营商关注的新技术,Aruba产品结构,全面支持新技术,802.11n标准具有高达600Mbps的速率物理层MIMO:2x2,3x3(TxR)信道绑定40MHzShortGiMAC层包聚合Block确认,802.11n的关键技术,802.11n-MIMO,一个MIMOradio同时发送多个无线信号，并充分利用多径效应。因为在这些天线之间有一些空间，每个信号都可经过不同路径到达接收端。,802.11n-信道合并40MHzChannels,802.11n同时使用20MHZ和40MHZ信道。802.11n的40MHz信道是两个相邻的20MHz通道粘接在一起。20MHzand40MHzChannels,传统的无线传输方法，用来传输每个数据包的开销是固定的，无论数据包本身的大小。802.11n通过将多个应用数据包聚合成一个数据传输帧来提高效率。这样，802.11n可以用只有一个帧的开销来发送多个数据包。,802.11n-包聚合,包聚合对特别的一些应用是很有益的，例如取决于包压缩能力的文件传输。然而，实时应用（如语音）不受益，因为它的数据包按固定间隔打散，然后结合成一个较大的有效载荷数据包，这样会带来不必要的延迟。语音及其它多媒体应用还得益于MIMO技术的其他影响。,802.11n-后向兼容802.11a/b/g,802.11n标准可以工作在2.4-GHz,5-GHz频段,后向兼容802.11a/b/g.可工作在20-MHz信道支持非MIMO802.11a/b/g客户端,802.11a/b/gClients,Support802.11n,802.11n速率,WLAN安全发展,完全开放的环境,基本MAC限制,802.11i(WPA/WPA2),WAPI,WEP,WAPI安全,包括WAI(认证)与WPI(加密)采用了公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法(SMS4)椭圆曲线算法作用：数字证书、证书鉴别、密钥协商分组密码算法作用：传输数据的加解密与其他无线局域网安全机制相比，WAPI的优越性集中体现在双向身份鉴别、基于数字证书确保安全性和完善的鉴别协议。,WAPI认证过程,WAPI认证过程,客户端关连到AP：客户端通过AP下发的beacon帧确认支持WAPI认证，关连到APAP触发WAPI认证:客户端成功关联到AP后，AP判定该用户为WAPI用户时，会向客户端发送鉴别激活触发消息，触发客户端发起WAPI鉴别交互过程。AS进行证书鉴别:客户端在发起接入鉴别后，AP会向远端的鉴别服务器发起证书鉴别，鉴别请求消息中同时包含有客户端和AP的证书信息。鉴别服务器对二者身份进行鉴别，并将验证结果发给AP。AP和客户端任何一方如果发现对方身份非法，将主动中止无线连接。客户端和AP进行密钥协商:AP经鉴别服务器认证成功后，AP会发起与无客户端的密钥协商交互过程，先协商出用于加密单播报文的单播密钥，然后再协商出用于加密组播报文的组播密钥。,AP即插即用-CAPWAP,AP上电后，自动获取本地地址和AC的IP地址列表。AP根据获取的AC地址列表，选择优先级最高的AC进行注册（使用本机序列号，IP地址等）。AC收到AP的注册申请后，对其进行必要的安全验证。验证通过后，与其建立隧道并下发初始配置，AP注册完成。所有AP都完成注册后，可以利用配置管理工具对AP进行批量的配置操作随着网络演进，capwap需要支持IPV4/V6双栈,IPNetwork,工作示意描述,AC,AP,CAPWAP（DHCP）,AP接入网络中任意网口后，开始receivesDHCP（使用option43规定AC地址）。AP取得AC地址后，主动发起与AC的认证连接。AC对AP进行验证后，与AP建立连接。AP获得配置信息。终端正常访问网络。在三层组网中，也可以使用DHCP的方式完成零配置，但需要所有开启DHCPRelay的设备都支持Option43，并保证AP可以正确获得Option43的值。,ArubaCapwap支持：广播方式、DHCP方式、DNS方式,目录,中移动WLAN数据配置,中移动WLAN解决方案,中移动WLAN认证方式,运营商关注的新技术,Aruba产品结构,解决方案综述,满足哪些应用,覆盖什么地方，范围多大,什么样的网络结构,数据、语音、视频,AP、AC、Radius、Portal,室内、室外、室内及室外,AC,MSR,MSR,MSR,MSR,AccessSwitch,POESwitch,CoreSwitch,Internet,MSR,覆盖方式：室内覆盖,MESH,LongDistance,MSR,MSR,MSR,MSR,MSR,AC,IPNetwork,MST,MST,覆盖方式：室外覆盖,覆盖方式：室内室外,覆盖方式：运营商三网合一,组网方式：运营商一体化WLAN方案,组网方式：集中与本地转发相结合方案,在AP上配置不同的BSS实现集中转发与本地转发,网络结构：AC与AP间三层互连方案,网络结构：AC与AP间二层互连方案,目录,中移动WLAN数据配置,中移动WLAN解决方案,中移动WLAN认证方式,运营商关注的新技术,Aruba产品结构,36,中国移动WLAN组网结构,HLR/AuC:用户SIM卡认证信息AS：利用HLR/AuC中现有的用户SIM认证信息，采用HLR/AuC协作实现对SIM用户的认证。BOSS系统：对用户业务注册服务/用户信息更新/计费和结算.Radius服务器：中国移动CMNET全国认证中心,基于帐号/密码方式。全国CMNET：中国移动全国的骨干网络.省骨干网CMNET：省级的骨干网络.省会城市的城域网.接入控制器AC：完成对用户接入控制/计费信息采集和业务管理和控制热点区域：放置AP,对热点进行无线覆盖.,中国移动的网络介绍,移动Portal认证流程,Portal认证过程,用户访问网站，经过AC重定向到PortalServer，PortalServer推送认证页面；用户填入用户名、密码，提交页面，向PortalServer发起连接请求；Portal向Radius发出用户信息查询请求，由Radius向Portal返回系统配置的单次连接最大时长、剩余时长信息等如果查询失败，Portal直接返回提示信息给用户，指导用户开户及正确使用；如果查询成功，PortalServer向AC发起认证请求；而后AC进行RADIUS认证，获得RADIUS认证结果；AC向PortalServer送认证结果；PortalServer根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，推送给客户,同时启动计时提醒；PortalServer回应确认收到认证结果的报文。,重要参数：NAS-ID,WLAN用户接入地编号（NAS-ID）WLAN用户接入地编号用于支持漫游计费和结算。编号形式为：HST.CTY.PRO.OPE.NAT其中：-HST表示WLAN热点覆盖地区，由4位数字组成，各省自己规划和分配，该段代码只对于分布在WLAN热点覆盖地区的WLAN接入系统设备有效。-CTY表示WLAN位于的城市，由4位数字组成，由各个地市的长途区号表示,右对齐左填零。-PRO表示WLAN位于的省份，由3位数字组成，PRO的代码分配参见附表(湖南为731)。-OPE表示WLAN所属的运营商，由2位数字组成，中国移动为00。-NAT表示WLAN所属的国家或者地区，由3位数字组成，中国为460。实际配置为连续16位数字，如“0006073173100460”,重要参数：ACNAME,AC设备编码统一规定全国AC的编码，其编码规则为ACN.CTY.PRO.OPE其中：-ACN表示AC的名字，由4位数字组成，各省自己规划和分配。-CTY表示WLAN位于的城市，由4位数字组成，由各个地市的长途区号表示,右对齐左填零。-PRO表示WLAN位于的省份，由3位数字组成，PRO的代码分配参见附表(湖南为731)。-OPE表示WLAN所属的运营商，由2位数字组成，中国移动为00。,重要参数：NAS-IP,NAS-IP-AC上访问Radius及Portal的源IP地址（AC外网口地址）-在Radius及Portal上配置的AC的IP,中国移动Portal页面,计费报文,WLAN计费信息,Radius上显示的原始计费信息：,目录,中移动WLAN数据配置,中移动WLAN解决方案,中移动WLAN认证方式,运营商关注的新技术,Aruba产品结构,河南移动WLAN项目拓扑,M320,M320,NMS,Radius,Portal,NE40,NE40,NE40,PoE,PoE,AP,AP,交换,交换,管理,管理,Access,Access,Access,Access,心跳,G1/3,G1/3,G1/0,G1/1,G1/1,G1/0,G1/2,G1/2,Eth2,Eth2,Z7000-1,Z7000-2,WLAN网络结构,WLANAC设备部署在核心节房，接入IP城域网汇聚层SR，路由互通WLANAP通过交换机（L2/L3）组建局域网WLANAC与AP间要保持路由互通AC与AP之间采用CAPWAP协议构建二层隧道，传递AC对AP的控制信息，以及用户登陆网络时的DHCP信息；AC配合支撑网Radius服务器完成WLAN用户的接入认证，并为用户分配上网地址；WLAN用户通过认证，获得IP地址后，即可正常访问互联网；注：采用二层方式还是三层方式主要是看各省的CMNET结构,AC数据配置,配置用户侧端口和网络侧端口并激活；配置AP的DHCP池；配置AC用户地址池的IP地址段、掩码；DNS主备服务器的IP地址；配置Portal服务器的IP地址；配置RADIUS（IP地址、认证端口、计费端口），以及和Radius之间的密钥；配置用户接入地编号（NAS-ID）；配置AC设备编码，AC-NAME；配置相关的策略（包括允许未认证用户访问Portal、DNS等）配置AP的数据模板,认证计费系统数据配置,Portal数据-配置AC设备编码-配置AC设备IP地址Radius数据（集团公司配置）-配置AC（IP地址、认证端口、计费端口）-与AC之间的密钥,有线网设备数据配置,有线网设备-二层交换机、三层交换机、BRAS、ONU与OLT、路由器需要配置的数据有：-管理VLAN（包括QinQ)-IP地址（互连IP、管理IP）-路由发布,Questions?,