【導(dǎo)讀】思科無線網(wǎng)絡(luò)技術(shù)建議書

　　

【正文】 VPN用戶 作為 VPN 用戶，該群體用戶的性質(zhì)決定了其安全性至關(guān)重要，所以無需考慮用戶配置較為復(fù)雜的問題。建議對此類用戶采用基于 認(rèn)證 。 WLAN 專網(wǎng)用戶 作為私有用戶而該群體用戶的性質(zhì)決定了其安全性至關(guān)重要，所以無需考慮用戶配置較為復(fù)雜的問題。建議對此類用戶采用基于 認(rèn)證 。 WLAN熱點用戶邏輯區(qū)分 公共上網(wǎng)用戶 公眾上網(wǎng)用戶具有普遍性，所以所有熱點的 WLAN 都須廣播統(tǒng)一的 SSID。公眾用戶采用Web 認(rèn)證且用戶業(yè)務(wù)類型一致所以可以考慮為熱點用戶分配統(tǒng)一的策略。 集中式部署：（所有熱 點通過統(tǒng)一的一臺模塊化控制器單元進(jìn)行管理） 所有熱點的公眾用戶分別被導(dǎo)入到指定的 VLAN 中，系統(tǒng)這些 VLAN 采用相同的控制策略。 分布式部署：（所有的熱點通過分布式的控制器單元分別進(jìn)行管理） 熱點用戶 VLAN 端結(jié)在熱點控制器側(cè)，網(wǎng)絡(luò)需要統(tǒng)一規(guī)劃熱點的 IP 地址段以便于集中管理 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 24 移動 VPN 用戶 移動 VPN 用戶具有移動特性，且對網(wǎng)絡(luò)隱蔽性要求較高。建議為此類用戶提供統(tǒng)一的 SSID，但可通過 認(rèn)證來為這些用戶分配不同的 VLAN ID 最終導(dǎo)入其相應(yīng)的企業(yè)網(wǎng)絡(luò)中。 特殊 WiFi 終端 對于特殊 WiFi 終端 必須根據(jù)其使用 WLAN 的區(qū)域為其定義相應(yīng)的 SSID 以及認(rèn)證方式，所以無需在全網(wǎng)的 WLAN 熱點下廣播其 SSID，而是在指定熱點或是熱點的某個區(qū)域，啟用相應(yīng)的 SSID 即可。 WLAN 專網(wǎng)用戶 熱點的業(yè)主希望利用移動覆蓋的 WLAN 熱點，作為辦公網(wǎng)或業(yè)務(wù)網(wǎng)用。對于此類用戶我們需要根據(jù)不同的熱點需求來分配 SSID 及其所對應(yīng)的邏輯接口。由于 SSID 根據(jù)熱點的不同而不同所以是基于區(qū)域分配的。另外，為了確保這些 WLAN 專網(wǎng)流量的私密性，在集中式管理的 無線控制器 部署模式下可以通過 HREAP 模式將企業(yè) SSID 的用戶的數(shù)據(jù)流量 直接引導(dǎo)到本地來交換，這樣就可以很容易的將這些流量直接引導(dǎo)到熱點所在企業(yè)自己的網(wǎng)絡(luò)中，而 PWLAN 的用戶流量仍然送至核心網(wǎng)絡(luò)進(jìn)行交換。 6 無線業(yè)務(wù) 系統(tǒng) 考慮到新增的輕量級 WiFi 統(tǒng)一網(wǎng)絡(luò)與電信已有的認(rèn)證系統(tǒng)和 Portal 系統(tǒng)的結(jié)合，思科提供了一個可開發(fā)制定的中間件系統(tǒng)。該系統(tǒng)可以通過標(biāo)準(zhǔn)的接口協(xié)議與電信 AAA 以及 Portal系統(tǒng)進(jìn)行互通，使新增的思科系統(tǒng)與運(yùn)營商制定化需求在協(xié)議互通上可以滿足一致性要求。該中間件可以靈活的根據(jù)電信規(guī)范的要求進(jìn)行設(shè)計和修改，其在網(wǎng)絡(luò)中所處位置 只需 IP 可達(dá)即可。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 25 無線業(yè)務(wù)系統(tǒng)構(gòu) 架 思科無線業(yè)務(wù)系統(tǒng)構(gòu)架根據(jù)運(yùn)營商的組網(wǎng)需求， 可以分為兩 種類型考慮： 所有認(rèn)證均由思科控制器 +中間件實現(xiàn) 由無線控制器完成對 PWLAN 用戶的 Web 認(rèn)證以及其他業(yè)務(wù)的接入認(rèn)證，思科中間件可以用于實現(xiàn)與電信 Portal 以及 AAA 之間的協(xié)議一致性轉(zhuǎn)換。 上述構(gòu)架中 BRAS 只起到接入 AP 的目的，由于采用了與 BRAS 統(tǒng)一的后臺系統(tǒng)， 所以對于運(yùn)營商而言用戶的認(rèn)證計費(fèi)沒有任何變化，也不需要任何改動。 通過這種方式 用戶可以在任何 WiFi 的無線覆蓋區(qū)域內(nèi)實現(xiàn)二三層的漫游切換并且能夠很好的實現(xiàn)與其他無線系統(tǒng)如3GPP 或 3GPP2 標(biāo)準(zhǔn)下系統(tǒng)的融合與業(yè)務(wù)的平滑切換。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 26 控制器的位置在城域網(wǎng)中可以與 BRAS位于同一層面，也可以位于 BRAS下方或旁掛 BRAS?？紤]到 WLAN 的用戶群體不僅僅只有捐訂住戶還有大量游牧的公眾用戶群以及行業(yè)用戶以及企業(yè)用戶所以我們認(rèn)為 控制器應(yīng)與 BRAS 位于同一層面。 思科控制器 +中間件實現(xiàn)實現(xiàn)部分認(rèn)證功能 由原有的 BRAS 完成對 PWLAN 用戶的 Web 認(rèn)證，由無線控制器完成其他業(yè)務(wù)的接入認(rèn)證，思科中間件可以用于實現(xiàn)與電信 AAA 之間的協(xié)議一致性轉(zhuǎn)換。 此種網(wǎng)絡(luò)構(gòu)架旨在從 WLAN 的網(wǎng)絡(luò)構(gòu)架上延續(xù) 原有的 BRAS 認(rèn)證的方式，因此在 BRAS 上實現(xiàn) Web 認(rèn)證，由于用戶的 幀封裝的負(fù)荷是通過 LWAPP 端接在無線控制器上，并電信思科無線網(wǎng)絡(luò)技術(shù)建議書 27 由無線控制器將其轉(zhuǎn)換以太幀的封裝再送給 BRAS，那么無線控制器和 BRAS 之間可能存在兩種模式： 1. 無線控制器通過一個二層隧道與 BRAS 互聯(lián)，二層隧道可以是直接光纖連接、二層 VPN等方式，這種方式下 BRAS 與控制器之間的接口 /邏輯接口工作在二層模式，即 BRAS通過用戶的 MAC 信息來控制用戶。 2. 無線控制器通過策略路由將用戶流量引導(dǎo)到 BRAS 上，在此模式上 BRAS 與控制器之間的 接口 /邏輯 接口工作在三層模式下即采用 BRAS 通過 用戶的 IP 地址 信息來控制用戶。 雖然 BRAS 可以完成 WLAN 用戶的 Web 認(rèn)證，但是對于那些行業(yè)用戶以及大型企業(yè)用戶的移動 VPN 或行業(yè)應(yīng)用必須考慮采用 WPA2 的方式進(jìn)行接入認(rèn)證并進(jìn)行動態(tài)的空口數(shù)據(jù)加密。 對于 WPA2 的認(rèn)證方式 AP 必須根據(jù)每個用戶的初始密鑰來動態(tài)的生成當(dāng)前密鑰，因此如果將 的認(rèn)證點放置在 BRAS 上那么意味著 BRAS 必須具備 WPA2 的能力并實時的識別 層面的管理幀信息并且還要與 AP 建立一種機(jī)制或協(xié)議進(jìn)行互通 ，在用戶在不同 AP間切換的時候還要考慮密鑰的同步等等問題。 BRAS 本身的設(shè)計思想和理念就是面向有線用戶的，因此要實現(xiàn)上述功能不但要遵循 WiFi的認(rèn)證還要定義一種協(xié)議與 AP 互通，這些都是無法實現(xiàn)的。 所以對于行業(yè)用戶和大型企業(yè)用戶 我們建議只有由無線控制器實現(xiàn) WPA2 的認(rèn)證才是最合理的，在此構(gòu)架下中間件則只負(fù)責(zé) Radius 的互通。 控制器的位置在城域網(wǎng)中可以與 BRAS位于同一層面，也可以位于 BRAS下方或旁掛 BRAS。考慮到 WLAN 的用戶群體不僅僅只有捐訂住戶還有大量游牧的公眾用戶群以及行業(yè)用戶以及企業(yè)用戶所以 我們認(rèn)為控制器應(yīng)與 BRAS 位于同一層面。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 28 思科 無線業(yè)務(wù)流轉(zhuǎn)發(fā)過程 業(yè)務(wù)流和信令流分別通過兩個不同端口號的 LWAPP 隧道轉(zhuǎn)發(fā)至無線控制器，由無線控制器轉(zhuǎn)發(fā)實現(xiàn)。 地址問題 169。 2 0 0 6 Cisco S y ste m s, In c . A ll r igh ts r e se r ve d . Ci sco Co n fid e n tia lP r e se n ta tio n _ ID 4無線控制器網(wǎng)絡(luò)位置? 控制器內(nèi)置于 7600A T M DSL A MMMSSS SMMS匯聚交換機(jī)IP DSL A MBR A S Cisc o 76 00G S RMANS匯聚交換機(jī)W iSM認(rèn)證中心認(rèn)證中心AAAP o r t al中間件 ? 通過 ATM DSLAM 以及 IP DSLAM 接入的 AP 地址由匯聚交換機(jī)、 IP DSLAM 或BRAS 分配地址。也可以通過 DHCP Relay 由 7600 上的 DHCP 服務(wù)器分配地址（需支持 DHCP option 60/43），該地址用于 AP 與控制器只見建立 LWAPP 隧道。 ? 通 過 7600 下聯(lián)的匯聚交換機(jī)接入的 AP 由 7600 上的 DHCP 服務(wù)器直接分配地址（ 7600 支持 DHCP option 60/43），該地址用于 AP 與控制器只見建立 LWAPP 隧道。 用戶業(yè)務(wù)流程 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 29 169。 2 0 0 6 Cisco S y ste m s, In c . A ll r igh ts r e se r ve d . Ci sco Co n fid e n tia lP r e se n ta tio n _ ID 6無線控制器網(wǎng)絡(luò)位置? 業(yè)務(wù)流示意A T M DSL A MMMSSS SMMS匯聚交換機(jī)IP DSL A MBR A S Cisc o 76 00G S RMANS匯聚交換機(jī)W iSM認(rèn)證中心認(rèn)證中心AAAP o r t al中間件1111 第一步：無論從 ATM DSLAM 下聯(lián) AP、 IP DSLAM 下聯(lián) AP、匯聚交換機(jī)下聯(lián) AP 接入的用戶， AP 均 將無線用戶的數(shù)據(jù)以及 的管理幀分別封裝在信令 LWAPP 隧道以及數(shù)據(jù)隧道中。 169。 2 0 0 6 Cisco S y ste m s, In c . A ll r igh ts r e se r ve d . Ci sco Co n fid e n tia lP r e se n ta tio n _ ID 8無線控制器網(wǎng)絡(luò)位置? 業(yè)務(wù)流示意A T M DSL A MMMSSS SMMS匯聚交換機(jī)IP DSL A MBR A S Cisc o 76 00G S RMANS匯聚交換機(jī)W iSM認(rèn)證中心認(rèn)證中心AAAP o r t al中間件22HTTPHT TPS /R a d iusR adiu s 第二步：無線控制器對沒有認(rèn)證的用戶進(jìn)行認(rèn)證過程 ， WiSM 模塊通過中間件為用戶推送 電電信思科無線網(wǎng)絡(luò)技術(shù)建議書 30 信 標(biāo)準(zhǔn)的 Portal 界面、同時可根據(jù) 運(yùn)營商的需求改變 Radius 屬性。另外，中間件也可以根據(jù)用戶接入 AP 的位置來推送相應(yīng)的 Portal 頁面。 169。 2 0 0 6 Cisco S y ste m s, In c . A ll r igh ts r e se r ve d . Ci sco Co n fid e n tia lP r e se n ta tio n _ ID 11無線控制器網(wǎng)絡(luò)位置? 業(yè)務(wù)流示意A T M DSL A MMMSSS SMMS匯聚交換機(jī)IP DSL A MBR A S Cisc o 76 00G S RMANS匯聚交換機(jī)W iSM認(rèn)證中心認(rèn)證中心AAAP o r t al中間件3HTTPR adiu s3In ter In ter ? 當(dāng) Radius 返回認(rèn)證成功的消息后， WiSM 模塊將用戶的數(shù)據(jù)從 LWAPP 的隧道中轉(zhuǎn)發(fā)到相應(yīng)的 VLAN 中，由 7600 負(fù)責(zé)數(shù)據(jù)報文后續(xù)的路由。 思科的無線控制模塊具備 8Gbps 的 AES 加密數(shù)據(jù)吞吐能力，可以有效的確保 300 個 AP 業(yè)務(wù)流的轉(zhuǎn)發(fā)能力且單個模塊可以支持超過 10000 個并發(fā)用戶的處理能力。 業(yè)務(wù)流的本地終結(jié)和控制器終結(jié) 思科的 AP 可以通過 HREAP 的方式根據(jù) SSID 來實現(xiàn)本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 業(yè)務(wù)流 ，但是我們建議采用業(yè)務(wù)流的集中轉(zhuǎn)發(fā)，業(yè)務(wù)流通過無線控制器的優(yōu)勢如下： 無縫的漫游切換： ? 所有熱區(qū)或熱點的流量均有無線控制器處理，那么無論用戶在接入何種類型的熱點下電信思科無線網(wǎng)絡(luò)技術(shù)建議書 31 （ ATM DSLAM、 IP DSLAM、以太網(wǎng)接入交換機(jī)）都可以進(jìn)行無縫的漫游切換確保業(yè)務(wù)的連續(xù)性以及不間斷性。 ? 在相同的 BRAS 下或以太網(wǎng)接入交換機(jī)下，即使 用戶在從屬于不同子端口的 AP 下接入都可以實現(xiàn)無縫切換，而且對交換機(jī)或 BRAS 設(shè)備沒有任何要求。只需要確保 AP 至控制器之間的路由可達(dá)。 ? 不同熱點或熱區(qū)的用戶往往從網(wǎng)絡(luò)安全以及邏輯區(qū)分上考慮會從屬于不同 VLAN，采用集中業(yè)務(wù)流轉(zhuǎn)發(fā)則無需考慮用戶最終歸屬在那個 VLAN，無線控制器均能確保這些用戶在不同 VLAN 間的無縫切換。 用戶安全控制能力： 所有業(yè)務(wù)流量經(jīng)過無線控制器，無線控制器可以有效的對用戶進(jìn)行與 相關(guān)的控制，如通過無線入侵檢測以及有線入侵監(jiān)測系統(tǒng)對數(shù)據(jù)幀信息或 IP 報文信息進(jìn)行監(jiān)控和篩查 ，在發(fā)現(xiàn)非法流量的同時在空口對非法用戶進(jìn)行隔離。 用戶業(yè)務(wù)流量的動態(tài)映射： 無線控制器可以有效的根據(jù) Radius 返回的屬性對行業(yè)用戶進(jìn)行動態(tài)的 VLAN 至專線隧道映射。即可以實現(xiàn)同一 SSID 下基于行業(yè)用戶 ID 的動態(tài) VPN 引導(dǎo)。 SSID 租賃業(yè)務(wù)的實現(xiàn)： ? 運(yùn)營商可以將該熱點的無線資源租賃給業(yè)主用于辦公需求，考慮到上行網(wǎng)絡(luò)帶寬的利用以及辦公數(shù)據(jù)的私密性，廠商產(chǎn)品需要做到在同一個 AP 上開通給業(yè)主的 SSID 接入的用戶所有流量必須在本地的 VLAN 進(jìn)行交換，而 PWLAN 用戶 SSID 接入的用戶流量則必須通過城域網(wǎng)匯 聚所有熱點的 AC 集中交換。 ? 運(yùn)營商可以利用熱點網(wǎng)絡(luò)為臨時需要無線訪問企業(yè)內(nèi)網(wǎng)的用戶提供企業(yè)私有 SSID 接入服務(wù)，該 SSID 需能夠根據(jù)需求在定點區(qū)域部署且該企業(yè)用戶無線接入流量以隧道的方式跨越城域網(wǎng)接入企業(yè)內(nèi)部