广东电信租赁WIFI业务网络承载思路建议.ppt

中国电信广东公司 广东电信租赁WIFI业务 网络承载思路建议 WIFI租赁业务现状 * 广东公司2013年4月发文明确WIFI租赁业务。该业务可实现用户访问公网，认证页面推送、黑白名单定制等需求。 租赁WIFI业务安全审计市场需求 * 2013年以来广东省各大银行陆续提出WIFI租赁业务需求，并要求服务商实现用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能，协助客户达成上网行为可视、减少安全风险，减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源等实用功能。现有的wifi业务无法满足客户需求，网络承载方案需做进一步调整。 建设银行技术需求 工商银行技术需求 广发银行技术需求 解决方案建议 * 为响应银行客户技术需求，结合广东电信网络现状，建议思路如下： * 思路一：全省或区域集中监控模式 在核心主点AC和全省银行AP设备上使用CAPWAP二次隧道，将全省银行AP业务流量汇聚到广州或区域中心的安全审计设备上实现对业务数据的安全审查。 优点： 1、项目新增投入费用低。 2、项目部署简单、快速。 缺点： 1、WIFI终端用户访问互联网业务数据穿越不同城域网，数据时延大，用户感知差。 2、与现网维护模式差异较大，维护职责不清晰。 3、业务数据经过设备多，发生故障不易定位。 4、需对AP设备管理方式及业务影响重新设计评估。 说明： 二次隧道加密技术可按不同WIFI SSID分别加密，不影响现有ChinaNet业务开放流程。 思路一重点问题分析 * * 方案二：本地网集中模式 在地市部署行业客户专用AC设备(可以是专用的AC独立设备或者AC板卡,视厂家的支持情况 )和本地网所有银行AP设备上启用CAPWAP二次隧道技术，将本地银行AP业务流量汇聚到本地网专用AC和安全审计设备上实现对业务数据的安全审查。 说明： 1、各本地网部署本项目专用AC和安全审计设备(每个本地网至少一台)。 2、AC设备纳入在省WLAN网管系统管理。 优点： 1、客户访问互联网感知差异变化较小。 2、维护职责清晰，故障定位容易。 3、方案实施技术难度小，有类似案例。 缺点： 新增设备投资较高。 方案二实施方案补充说明 * 新增AC板卡方案（大容量 AC） 该方案需满足的条件： 1、AC设备有空闲的板卡、以太网接口 2、上联BAS端口、容量足够，可以新增中继 3、审计设备端口、容量足够 新增AC设备方案 该方案需满足的条件： 1、新增的AC设备满足业务的需求 2、上联BAS端口、容量足够，可以新增中继 3、审计设备端口、容量足够 思路三：营业厅分布式部署模式 * 说明： 不改变现有网络结构及管理方式在每个银行营业厅部署一台安全审计设备，所有安全审计设备接受省安全审计平台查询管理。 优点： 1、客户访问互联网感知差异变化较小。 2、维护职责清晰，故障定位容易。 3、实施技术难度小，利于业务快速开展。 缺点： 1、新增设备投资及维护成本较高； 2、营业厅分布式部署维护难度大，施工和维护增加成本支出，需要新建审计设备的网管 ； 3、方案客户粘稠度低，客户可以自行实施，易被其他竞争对手替换。 方案对比 * 全省集中模式 本地网集中模式 营业厅分布式部署 安全审计设备成本支出 亿迅协助填写 亿迅协助填写 亿迅协助填写 客户感知 较差 较好 好 客户粘稠度 高 高 低 业务维护难度 高 较低 高 维护成本支出 低 较高 高 业务推广速度 较慢 较慢 快 结论： 1、上述思路本地网集中模式比较适合解决WIFI用户安全审计需求； 2、上述思路对现网建设维护有较大变动，此前无类似案例，需由网运、网发组织专家对上述思路进行评估及测试； 3、安全审计服务建议由法律部门审核，规避法律风险。 * 谢谢！ 附录:我省AC设备的配置情况 * 我省AC设备主要分盒式和插卡式两种,盒式的容量一般支持512- APs,而插卡式的AC设备支持1024+的AP设备，目前我省现网设备主要有四家WLAN厂家设备，各厂家提供的AC设备配置各不相同。 支持512- AP设备的盒式AC 支持1024+ AP设备的插卡式AC 支持2048+ AP设备的插卡式AC 华三、京信、三元达、中兴 具有该类型的AC，现网有存量 华三、京信、三元达、中兴 具有该类型的AC，现网主流形态 华三、中兴具有该类型的AC， 大本地网（广、深）主流配置 盒式AC一般的主流配置是两个GE以太网口、支持256或者512个AP、支持集中/本地转发 1024+插卡式AC一般的主流配置是两个AC扩展槽（一个交换板一个AC主控板）、部分具有三个扩展槽位，最多可支持多一张AC板卡，支持1024或者2048个AP、支持集中/本地转发，标配