深圳電信WLAN業(yè)務培訓

1、寬帶業(yè)務培訓之WLAN業(yè)務數(shù)據(jù)維護室 曹劍鋒2010年6月目錄一、WLAN技術(shù)五、數(shù)據(jù)配置四、瘦AP介紹三、C+W 業(yè)務二、業(yè)務實現(xiàn)六、故障處理名詞解釋WLAN (Wireless Local Area Networks) 無線局域網(wǎng)絡Wi-Fi (wireless fidelity) 無線保真 是無線以太網(wǎng)兼容性聯(lián)盟注冊的商標AP (Wireless) Access Point 無線訪問接入點，分為胖AP和瘦AP，后文將講解。AC（Access Controller，無線控制器）無線控制器，和瘦AP配合使用。對無線局域網(wǎng)中的所有瘦AP進行控制和管理。 WLAN標準、都工作在的ISM(工業(yè)、科

2、學 醫(yī)療）公共頻段、無需向無委申請，同時可以互相兼容； 工作在5GHz頻段，該頻段目前暫不開放，需要申請。和 其他工作在頻段的設備無法互相兼容。 支持和5GHz頻段。FHSS：跳頻技術(shù)， DSSS:直序擴頻技術(shù) ，OFDM:正交頻分復用技術(shù)， MIMO：多進多出技術(shù)。技術(shù)標準制定年份頻率占用最高速率最大傳輸距離調(diào)制技術(shù)802.1119972.4GH2M300mFHSS802.11a19995GH54M300mOFDM802.11b19992.4gh11M300mDSSS802.11g20005GH54M300mOFDM802.11n2009雙頻600M數(shù)公里MIMO OFDMWLAN安全接入A

3、P認證 (1)開放系統(tǒng)認證（Open system authentication）即不認證。則所有請求認證的客戶端都會通過認證。 (2)共享密鑰認證（Shared key authentication）。共享密鑰認證是除開放系統(tǒng)認證以外的另外一種認證機制。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。使用CHAP認證。2. 傳輸數(shù)據(jù)安全 (1) 明文數(shù)據(jù) (2) WEP （Wireless Equivalent Privacy，無線等效加密）. WEP使用RC4加密算法來保證數(shù)據(jù)的保密性，WEP加密存在比較大的安全隱患。 (3) WPA (Wi-Fi Protected Access) 采

4、用TKIP協(xié)議(Temporary Key Integrity Protocol),為解決WEP的不安全性提出的過渡方案。 (4) WPA2 為IEEE 802.11i 標準的認證形式，使用公認徹底安全的 CCMP (Counter mode with CBC-MAC Protocol，計數(shù)器模式搭配區(qū)塊密碼鎖鏈信息真實性檢查碼協(xié)議)。WLAN互聯(lián)結(jié)構(gòu)無中心網(wǎng)絡(無AP網(wǎng)絡)也稱對等網(wǎng)絡或Ad-hoc網(wǎng)絡。對等網(wǎng)絡用于一臺無線工作站和另一臺或多臺其他無線工作站的直接通訊，有中心網(wǎng)絡也稱結(jié)構(gòu)化網(wǎng)絡。它由無線AP、無線工作站（STA）以及有線網(wǎng)絡構(gòu)成目錄一、WLAN技術(shù)五、數(shù)據(jù)配置四、瘦AP介紹三

5、、C+W 業(yè)務二、業(yè)務 實現(xiàn)六、故障處理WLAN業(yè)務WLAN實現(xiàn)如下業(yè)務： 網(wǎng)管業(yè)務 使用IP專線的方式接入，實現(xiàn)方式上可以看作普通ADSL、LAN專線。 業(yè)務 目前的組網(wǎng)實現(xiàn)了此功能，但目前并沒有相應的業(yè)務開放。業(yè)務 目前WLAN的核心業(yè)務，下面分別對深圳三種BRAS的組網(wǎng)方式和實現(xiàn)方式進行詳細的介紹。WLAN接入組網(wǎng)ERX1440 WLAN業(yè)務實現(xiàn)ERX1440INTERNET接入網(wǎng)RADIUSPortal服務器RedirectorSDXAPPCERX作為DHCP服務器，使用equal-access模式，在此模式下，DHCP需要SDX（Service Deploying System）服務

6、器的配合。SDX和Redirector服務器全省集中部署2臺。SDX作為ERX的策略服務器。使用COPS（Common Open Policy Service 公共開放策略服務）協(xié)議。同時，SDX作為省RADIUS(Remote Authentication Dial In User Service)服務器的客戶端。Redirector 服務器負責WEB頁面跳轉(zhuǎn)，ERX和Redirector之間使用DVMRP（Distance Vector Multicast Routing Protocol：距離矢量組播路由選擇協(xié)議）隧道。PORTAL服務器全省集中部署，SDX提供API接口給PORTAL服

7、務器。ERX1440 WLAN上網(wǎng)流程用戶發(fā)起DHCP請求。ERX收到請求后，為用戶分配IP地址，并將用戶信息發(fā)送給SDX注冊。SDX下發(fā)策略給ERX，對用戶實行訪問控制。同時SDX將IP和用戶IP發(fā)送給PORTAL服務 器登記。用戶打開瀏覽器，輸入任意URL地址。ERX將用戶的HTTP請求通過策略路由NEXT-HOP到Redirector服務器。Redirector服務器將用戶HTTP請求重定向至PORTAL頁面。用戶IE瀏覽器跳轉(zhuǎn)至PORTAL頁面。用戶在PORTAL頁面輸入用戶名和密碼。PORTAL將用戶名和密碼發(fā)送至SDX。SDX向RADIUS發(fā)起認證請求。RADIUS返回認證結(jié)果和用

8、戶速率等參數(shù)。如果認證成功，SDX下發(fā)新的策略給ERX，定義用戶速率和解除用戶上網(wǎng)限制，同時將認證結(jié)果返回用戶的PORTAL頁面。并向省RADIUS發(fā)起計費請求。ERX根據(jù)SDX下發(fā)的策略，定義用戶速率和解除用戶上網(wǎng)限制。用戶可以正常上網(wǎng)。用戶下線時，可以斷開PORTAL頁面的連接按鈕，由PORTAL向SDX發(fā)送終止計費請求，SDX收到后再向RADIUS發(fā)送終止計費請求。也可以直接斷開DHCP或關機，ERX檢測到用戶下線后，向SDX發(fā)送終止計費請求， SDX收到后再向RADIUS發(fā)送終止計費請求。SE800 WLAN業(yè)務實現(xiàn)SE800INTERNET接入網(wǎng)RADIUSPortal服務器DHCP

9、服務器NPMAPPCSE800作為DHCP RELAY，將用戶DHCP請求轉(zhuǎn)發(fā)給DHCP服務器。DHCP服務器全省集中部署。NPM(NetOp Policy Manager）是SE800的策略服務器，使用RADIUS協(xié)議。NPM既是SE800的RADIUS服務器，同時也是省RADIUS服務器的客戶端。SE800內(nèi)置HTTP Redirector模塊。PORTAL服務器全省集中部署，由NPM提供API接口給PORTAL。SE800 WLAN上網(wǎng)流程用戶發(fā)起DHCP請求。SE800收到請求后，以用戶的MAC地址為用戶名向NPM發(fā)起RADIUS認證。NPM使用偽認證，向SE800返回認證成功結(jié)果。S

10、E800向NPM發(fā)送RADIUS認證的同時將用戶DHCP請求發(fā)送到DHCP服務器。DHCP服務器收到DHCP請求后，為用戶分配地址。SE800收到DHCP服務器返回的結(jié)果，將DHCP結(jié)果返回給用戶，同時向NPM發(fā)起計費請求。NPM收到計費請求，記錄用戶NAS-IP/NAS-PORT-ID/PVC/IP等信息，并下發(fā)策略給SE800，對用戶實行訪問控制。同時NPM將IP和用戶IP發(fā)送給PORTAL服務器登記。用戶獲取IP，打開瀏覽器輸入任意URL地址。SE800收到用戶的HTTP請求，將請求轉(zhuǎn)發(fā)給本地Redirector模塊，本地Redirector模塊將用戶HTTP請求轉(zhuǎn)接到PORTAL頁面。

11、 下頁續(xù) SE800 WLAN上網(wǎng)流程（續(xù)上頁）10.用戶IE跳轉(zhuǎn)至PORTAL頁面，輸入用戶名和密碼。服務器將用戶密碼發(fā)送給NPM服務器。服務器收到用戶名和密碼后，向省RADIUS服務器發(fā)送認證請求。13.省RADIUS服務器收到認證請求后，進行認證并反饋認證結(jié)果。服務器收到認證成功的結(jié)果后，下發(fā)新的策略給SE800，放開用戶上網(wǎng)限制和應用新的速率模板，同時向PORTAL頁面發(fā)送計費結(jié)果并向RDIUS發(fā)起計費請求。根據(jù)NPM下發(fā)的策略，放開用戶上網(wǎng)限制和應用新的速率模板15.用戶可以正常上網(wǎng)。16.用戶下線時，可以斷開PORTAL頁面的連接按鈕，由PORTAL向NPM發(fā)送終止計費請求，NPM

12、收到后再向RADIUS發(fā)送終止計費請求。也可以直接斷開DHCP或關機，SE800檢測到用戶下線后，向NPM發(fā)送終止計費請求， NPM收到后再向RADIUS發(fā)送終止計費請求。ME60 WLAN業(yè)務實現(xiàn)ME60INTERNET接入網(wǎng)RADIUSPortal服務器APPCME60作為DHCP服務器。ME60劃分認證前域后認證后域。認證前域限制用戶上網(wǎng)并負責跳轉(zhuǎn)頁面，認證后域不限制用戶上網(wǎng)。ME60作為省RADIUS的客戶端。ME60和PORTAL服務器之間使用PORTAL協(xié)議交換信息ME60 WLAN上網(wǎng)流程用戶發(fā)起DHCP請求。ME60收到用戶請求，將用戶劃到認證前域，為用戶分配IP地址，并將用戶

13、信息發(fā)送給PORTAL服務器。PORTAL服務器記錄用戶的NAS-IP/IP等信息。用戶獲取IP地址，打開瀏覽器輸入任意URL地址發(fā)起HTTP請求。ME60收到用戶的HTTP請求，將頁面跳轉(zhuǎn)至PORTAL頁面。用戶IE瀏覽器跳轉(zhuǎn)到PORTAL頁面，輸入用戶名和密碼發(fā)起認證。PORTAL服務器將用戶名和密碼發(fā)送給ME60。ME60收到請求后向省RADIUS服務器發(fā)起認證請求。省RADIUS收到認證請求后，進行認證，成功后反饋結(jié)果和速率等參數(shù)。ME60收到認證成功的結(jié)果后，將用戶劃到認證后域并設置用戶速率。并向省RADIUS發(fā)起計費請求，同時將認證結(jié)果反饋給PORTAL服務器，由PORTAL服務器

14、再反饋給用戶PORTAL頁面。用戶可以正常上網(wǎng)。用戶下網(wǎng)時，可以斷開PORTAL頁面的連接按鈕，由PORTAL向ME60發(fā)送終止計費請求，ME60收到后再向RADIUS發(fā)送終止計費請求。也可以直接斷開DHCP或關機，ME60檢測到用戶下線后，向RADIUS發(fā)送終止計費請求。目錄一、WLAN技術(shù)五、數(shù)據(jù)配置四、瘦AP介紹三、C+W 業(yè)務二、業(yè)務實現(xiàn)六、故障處理C+W統(tǒng)一認證，是中國電信用戶使用中國電信定制的C+W終端（PC或 ），自動或手動選擇1x、EV-DO和WLAN不同網(wǎng)絡接入方式，連接至CDMA移動核心網(wǎng)絡，享受中國電信CDMA移動網(wǎng)絡統(tǒng)一可控的全業(yè)務。 用戶在1x、WLAN和EV-DO不

15、同網(wǎng)絡接入方式下，使用同一UIM卡和移動號碼。實現(xiàn)C+W統(tǒng)一認證以后，無線寬帶用戶無需記憶和維護WLAN的賬號和密碼，用戶在WLAN模式下不但可以接入互聯(lián)網(wǎng)，還可以直接使用電信移動增值業(yè)務（如愛音樂、移動全球眼、移動IPTV等）。同時，移動核心網(wǎng)絡可以區(qū)分不同的用戶，通過一點實現(xiàn)業(yè)務控制策略，提供差異服務，進行內(nèi)容計費，用戶行為分析等，并且很大的簡化C+W業(yè)務對IT支撐系統(tǒng)的改造要求，為支撐賬號經(jīng)營打下網(wǎng)絡基礎。網(wǎng)絡側(cè)采用WPDIF方案進行部署，同時支持C+W 版和PC版。C+W業(yè)務介紹C+W統(tǒng)一認證終端菜單項網(wǎng)絡連接操作按鈕網(wǎng)絡指示與當前信號強度C+W業(yè)務網(wǎng)絡架構(gòu)wPDIF由WAG和PDSN

16、兩個功能模塊構(gòu)成:WAG 完成C+W用戶的WLAN接入的認證、業(yè)務連接管理和數(shù)據(jù)傳輸。PDSN完成C+W用戶和業(yè)務網(wǎng)絡之間的傳輸以及用戶業(yè)務連接的管理、計費等。C+W WLAN接入組網(wǎng)C+W業(yè)務使用原WLAN承載網(wǎng)絡。在BRAS的WLAN白名單上增加WAG的地址，用戶DHCP獲取IP地址后即可訪問WAG。wPDIF組網(wǎng)C+W WLAN上網(wǎng)流程用戶接入WLAN；用戶發(fā)出DHCP地址請求。BRAS響應終端DHCP請求，響應過程根據(jù)接入BRAS類型而不同，具體見上節(jié)WLAN業(yè)務實現(xiàn)。用戶獲取IP地址，此時用戶可以進行PORTAL認證成為WLAN用戶，認證流程根據(jù)BRAS類型不同，但對用戶來說是透明的

17、。也可以使用CW終端認證，成為CW用戶。用戶使用CW終端認證，向WAG發(fā)起認證請求。用戶終端和WAG建立二層隧道，將用戶驗證信息發(fā)送給WAG。WAG收到認證信息后向C網(wǎng)AAA服務器發(fā)起認證請求。C網(wǎng)AAA服務器收到認證請求，進行認證然后反饋結(jié)果。WAG收到認證成功結(jié)果后，為C+W用戶終端分配C網(wǎng)IP地址。用戶獲取C網(wǎng)IP后，可以上網(wǎng)。上網(wǎng)流量經(jīng)過二層隧道穿越城域網(wǎng)發(fā)送到WAG，再由WAG轉(zhuǎn)發(fā)。目錄一、WLAN技術(shù)五、數(shù)據(jù)配置四、瘦AP介紹三、C+W 業(yè)務二、業(yè)務 實現(xiàn)六、故障處理胖AP與瘦AP胖AP：具備一定的認證、被網(wǎng)管等功能的AP。瘦AP：僅提供WLAN無線接入，無其它任何功能的AP。故需

18、配合無線控制器（AC）接入網(wǎng)絡。802.11a/b/g天線加密移動 IP,VPN802.1x, TKIP, Qos, 802.11h權(quán)限控制策略控制三層漫游802.11a/b/g天線加密移動 IP,VPN802.1x, TKIP, Qos, 802.11h權(quán)限控制策略控制漫游胖AP802.11a/b/g天線加密瘦APAP管理網(wǎng)絡自愈移動 IP,VPN802.1x, TKIP, 權(quán)限控制策略控制漫游RF管理AC胖AP與瘦AP對比胖AP組網(wǎng)：每個AP都是一個單獨的節(jié)點 ，獨立配置其信道和功率；安裝簡便每個AP獨立工作，較難擴展到大型、連續(xù)、協(xié)調(diào)的無線局域網(wǎng)和增加高級應用 每個AP都需要獨立配置安全

19、策略，如果AP數(shù)量增加，將會給網(wǎng)絡管理、維護及升級帶來較大的困難很難進行無線網(wǎng)絡質(zhì)量的優(yōu)化數(shù)據(jù)的采集瘦AP組網(wǎng)：通過AC對AP群組進行自動信道分配和選擇，及自動調(diào)整發(fā)射功率，降低AP之間的互干擾，提高網(wǎng)絡動態(tài)覆蓋特性 支持二層/三層漫游切換容易實現(xiàn)非法AP檢測和處理 管理節(jié)點上移后，運維數(shù)據(jù)采集針對AC而非AP，解決了網(wǎng)管系統(tǒng)受限于AP處理能力和性能的問題胖AP的局限性FAT AP組網(wǎng)更適合在家庭和中小型網(wǎng)絡中使用，無法滿足大型的無線企業(yè)網(wǎng)絡的需求每臺FAT AP都只支持單獨進行配置，組建大型網(wǎng)絡對于AP的配置工作量巨大FAT AP的配置都保存在AP上，AP設備的丟失可造成系統(tǒng)配置的泄露FAT

20、 AP的軟件都保存在AP上，軟件升級時需要逐臺升級，維護工作量大隨著網(wǎng)絡規(guī)模的變大，網(wǎng)絡自身需要支持更多的高級功能，這些功能需要網(wǎng)絡內(nèi)的AP協(xié)同工作（非法用戶和非法AP的檢測等），F(xiàn)AT AP很難完成這類工作缺乏自動信道調(diào)整、自動功率調(diào)整，不適用復雜RF(Radio Frequency)環(huán)境不能滿足語音業(yè)務需求瘦AP的特點AP自動發(fā)現(xiàn)即插即用和零配置使用基于L2/L3的多種自動發(fā)現(xiàn)方式，便于跨各層網(wǎng)絡靈活組網(wǎng)動態(tài)的RF管理自動信道分配和選擇自動功率調(diào)整:降低AP之間的互干擾，提高網(wǎng)絡動態(tài)覆蓋特性負載均衡：基于用戶和基于流量對于用戶密度高或者流量變化大的熱點地區(qū)，這點對提高用戶感受至關重要更強的

21、安全策略非法AP檢測和處理機制，具有無線入侵檢測能力AC對AP的深入管理AC對瘦 AP進行的是底層信令交互，能方便地通過軟件升級向網(wǎng)管開放更多管理和性能數(shù)據(jù)，而胖AP則只能逐個升級實現(xiàn) 瘦APAC組網(wǎng)方案（一）AC位于大型熱點；或位于電信機房，下聯(lián)多個熱點的APAP通過DHCP獲得AC分配的管理地址和AC的地址AP與AC建立加密隧道根據(jù)用戶無線報文的BSSID字段和瘦AP的位置，映射為相應的業(yè)務VLAN，不同熱點可映射為不同VLANBRAS終結(jié)用戶VLAN，并對用戶進行地址分配、認證和計費特點：一臺AC可管理一臺BRAS下同一廠家瘦AP；對現(xiàn)網(wǎng)不需要改動瘦APAC組網(wǎng)方案（二）AC旁掛在BRA

22、S上在AP上配置AC的域名；在DNS服務器上配置AC的地址及相應的域名AP通過DHCP從BRAS獲得管理地址；AP通過地址解析（DNS）獲得AC地址，并與AC建立加密隧道AC根據(jù)用戶無線報文的BSSID字段及AP位置，映射為相應的業(yè)務VLAN，不同熱點可映射為不同業(yè)務VLANAC轉(zhuǎn)發(fā)用戶流量到BRASBRAS終結(jié)用戶VLAN，并對用戶進行地址分配、認證和計費特點：一臺AC可管理一臺BRAS下同一廠家瘦AP；對現(xiàn)網(wǎng)不需要改動瘦APAC組網(wǎng)方案（三）IP MANBRAS2BRAS3BRAS1AC匯聚交換機switchswitch大型熱點瘦AP交換機匯聚交換機switchswitch大型熱點瘦AP交

23、換機加密隧道AC管理VLAN業(yè)務VLAN三種方案比較優(yōu)點缺點方案一(AC位于匯聚交換機下)網(wǎng)絡結(jié)構(gòu)簡單，不需改動現(xiàn)網(wǎng)結(jié)構(gòu)；AP可配置私網(wǎng)地址；對BRAS不會造成壓力AC所管理瘦AP的物理區(qū)域有限；個性化熱點數(shù)量有限；AC設備數(shù)量多方案二(AC旁掛BRAS)一臺AC可管理一臺BRAS下聯(lián)任何位置的瘦AP；個性化熱點只受AC的VLAN數(shù)限制；對現(xiàn)網(wǎng)改造較少要求AC的接入能力強;需要現(xiàn)網(wǎng)DNS配置AC的域名和地址；在AP上需根據(jù)規(guī)劃可更改AC域名；用戶流量需二次穿越BRAS；若AP配私網(wǎng)地址對BRAS的配置有要求方案三（AC位于城域網(wǎng)）一臺AC可管理不同BRAS下同一廠家的瘦AP，布署靈活；AC數(shù)量

24、少AC性能要求高；用戶業(yè)務流量二次穿越城域網(wǎng)；對AC就近接入的BRAS會產(chǎn)生較大的壓力；與現(xiàn)網(wǎng)的網(wǎng)絡層次結(jié)構(gòu)不一致2010年深圳APAC組網(wǎng)對于分散的AP，AC集中部署于BR下（方案三）。對于場點集中型，AC部署在匯聚交換機下（方案一）。2010年深圳APAC建設方案AC部署大運場館部署1個AC，AC部署采用方案一。全市部署12個AC，AC部署采用方案三，集中安裝在龍中和龍華兩個數(shù)據(jù)機房。12個AC分成3組，每組4個AC。根據(jù)BRAS分部和AP分部，AC與BRAS建立對應關系。AC 、AP產(chǎn)品采購 2010年計劃建設666個熱點，共1665個AP。 AC和AP采用中興廠家的產(chǎn)品。每臺AC支持2

25、50個AP的接入。 AC備份方案3組AC采用21組備份。AC作為DHCP服務器，BRAS上的配置一主一備的AC作為DHCP服務器。每組AC經(jīng)過交換機匯聚后雙上聯(lián)BR和BRAS。龍中機樓AC（組1） AC目的地址對應的BRAS 龍中機樓AC（組2） AC目的地址對應的BRAS 龍華機樓AC（組） AC目的地址對應的BRASLZ-AC1-1 鹽田LZ-AC2-1 備份LH-AC1-1 寶安LZ-AC1-2 羅湖LZ-AC2-2 備份LH-AC1-2 寶安、光明LZ-AC1-3 福田LZ-AC2-3 備份LH-AC1-3 龍崗LZ-AC1-4 南山LZ-AC2-4 備份LH-AC1-4 龍崗目錄一、WLAN技術(shù)五、數(shù)據(jù)配置四、瘦AP介紹三、CW業(yè)務二、業(yè)務實現(xiàn)六、故障處理數(shù)據(jù)配置登錄設備講解目錄一、設備現(xiàn)狀五、設備維護四、配置介紹三、系統(tǒng)結(jié)構(gòu)二、硬件介紹六、故障處