WLAN网络运营商.pptVIP

构建运营商WLAN网络;培训目标;培训内容;*;运营商WLAN技术应用发展方向;*;*;*;*;*; ; ;*;*;培训内容;一个运营级WLAN网络的基本组成;3大运营商固网情况简述;中国移动WLAN业务网络系统结构;中国移动WLAN业务组网;中国移动WLAN网管系统组网结构;中国联通WLAN业务网络总体逻辑结构;中国联通WLAN业务网络总体架;培训内容;需要了解的需求;WLAN核心网设计流程;省级WLAN组网需求;WLAN技术本身对VOIP的限制（1）;WLAN技术本身对VOIP的限制（2）;;几个网络融合的说明 ;WLAN核心网设计流程;AC布署层次的选择;专网案例;公网集中布放案例;AC的逻辑功能模块确定;BAS与AC的异同;建议在WLAN网络中，主要采用BAS与AC合设的方式进行组网，而不是BAS+AC的方式。 由于目前的WLAN运营网络基本趋向于瘦AP模式，目前市场上主流AC都支持内置BAS功能。将BAS和AC合设，在组网结构、业务设置及维护管理方面都将较为简单一些。 避免了网络流量迂回的问题。 如果一定要在支持BAS功能的AC后使用宽带城域网的BAS，则还需要将AC的用户数据以二层模式传送到BAS上。对AC、对城域网交换机都是无谓的负担。 可以提供更多的无线管理功能，例如不必要一定将SSID与VLAN进行绑定，从而为业务开展带来更多的灵活性。 在WLAN移动网络中，除了计算机之外，还将出现大量的手机及机器终端用户，因此，基于用户使用习惯及管理因素，需要对不同的接入终端提供区别对待的接入流程。如对机器终端采用零干预接入，而对笔记本用户提供PORTAL方式接入。 当然，最终采用合建还是分建的模式，需要根据当地实际网络状况及业务需求决定。 ;AC组网模式一;AC组网模式二;AC组网模式三;AC组网模式四;WLAN核心网设计流程;WLAN业务网络逻辑架构;移动WEB接入详细流程;;电信WEB接入详细流程;MAC认证流程;在已有城域网时，与原有系统的关系;WLAN核心网设计流程;设备选型建议;WLAN核心网设计流程;建议组网架构;技术方案建议:AP及AC互连建议;集中数据转发 AP和AC间通过专用的数据隧道进行数据转发，AP和AC间的数据隧道中为二层数据。采用此模式时，所有用户数据都要通过AC进行转发。 此种方式下，用户数据流向容易控制，适合运营商的组网架构。而且由于采用隧道技术，对用户IP分配可以更加灵活。 本地数据转发 AC只对AP进行管理和控制，并不发起和AP的隧道连接，所有的用户数据通过本地网络转发。 此种方式下，本地用户数据交换无需通过AC进行集中交换，减少了网络流量迂回，更适合本地数据交换量大的企业网使用。 同时转发 AC可以同时进行集中转发还是本地转发模式。;AC与AP之间可以使用私有地址 由于AC与AP之间采用无线隧道协议，因此可以采用私有地址对用户进行服务。 个人用户可以使用私有地址 可以使用私有地址供个人用户使用， 行业用户不宜使用私有地址 考虑到行业用户的多种需求，一般来说，对行业用户不宜采用私有地址。同时考虑到上海移动公网地址不足的实际情况，具体的建议模式是对于行业用户在关联后分配保留地下，同时取得私有地址后，再次进行L2TP VPN拨号，使得行业用户可以取得公网地址，开始使用网络或进入行业用户自己的内网。 ;网络安全的主要威胁 目前WLAN的网络公共运营安全主要有两种不同中的威胁，一种是对运营设备的攻击，一种是对用户的攻击。 WLAN网络较固定宽带网络更易受攻击 相对于固定宽带网络，WLAN网络更易受到攻击，主要的原因有两个，一个是设备非常容易得到，WLAN的AP、网卡都是非常容易得到的设备，价格也很便宜。而WLAN的全部信息都需要在空中传递，这使得攻击都不需要物理接触WLAN运营网络就可以发起攻击，攻击的成本非常低。因此，WLAN网络更易受到攻击;防止DDOS攻击：对设备的DDOS攻击主要可能的攻击方式是：假冒MAC耗尽DHCP资源以及流量耗尽。 为防止假冒MAC耗尽DHCP资源，需要在AC进行控制，一是不允许单一AP上超过指定的关联用户，这样当这个AP下有一个攻击者时，顶多这个AP无法再向其它用户服务，不不会造成整个网络瘫痪。另一个是控制DHCP分配的速度，对于同一个热点、同一个AP上最大的DHCP分配速率要有一个上限控制。采用WAPI模式由于STA在关联AP时就需要提供证书，不存假冒问题，因此无此安全隐患 为防止流量耗尽攻击，要求AC对每个用户有速率限制能力，同时，考虑到IP流量的不对称性，要求设备能针对流量上、下行采用不同的速率限制。;防止同频干扰攻击 AP应有检测周边频率的能力，检测到同频信号后，AC可以控制AP避过干扰频率。对于多频段、大功率的干扰，在检测到这种情况时，要通过管理等行