【正文】 ? 運(yùn)營商可以利用熱點(diǎn)網(wǎng)絡(luò)為臨時需要無線訪問企業(yè)內(nèi)網(wǎng)的用戶提供企業(yè)私有 SSID 接入服務(wù)，該 SSID 需能夠根據(jù)需求在定點(diǎn)區(qū)域部署且該企業(yè)用戶無線接入流量以隧道的方式跨越城域網(wǎng)接入企業(yè)內(nèi)部網(wǎng)絡(luò)。即可以實(shí)現(xiàn)同一 SSID 下基于行業(yè)用戶 ID 的動態(tài) VPN 引導(dǎo)。 用戶安全控制能力： 所有業(yè)務(wù)流量經(jīng)過無線控制器，無線控制器可以有效的對用戶進(jìn)行與 相關(guān)的控制，如通過無線入侵檢測以及有線入侵監(jiān)測系統(tǒng)對數(shù)據(jù)幀信息或 IP 報文信息進(jìn)行監(jiān)控和篩查 ，在發(fā)現(xiàn)非法流量的同時在空口對非法用戶進(jìn)行隔離。只需要確保 AP 至控制器之間的路由可達(dá)。 業(yè)務(wù)流的本地終結(jié)和控制器終結(jié) 思科的 AP 可以通過 HREAP 的方式根據(jù) SSID 來實(shí)現(xiàn)本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 業(yè)務(wù)流 ，但是我們建議采用業(yè)務(wù)流的集中轉(zhuǎn)發(fā)，業(yè)務(wù)流通過無線控制器的優(yōu)勢如下： 無縫的漫游切換： ? 所有熱區(qū)或熱點(diǎn)的流量均有無線控制器處理，那么無論用戶在接入何種類型的熱點(diǎn)下電信思科無線網(wǎng)絡(luò)技術(shù)建議書 31 （ ATM DSLAM、 IP DSLAM、以太網(wǎng)接入交換機(jī)）都可以進(jìn)行無縫的漫游切換確保業(yè)務(wù)的連續(xù)性以及不間斷性。 2 0 0 6 Cisco S y ste m s, In c . A ll r igh ts r e se r ve d . Ci sco Co n fid e n tia lP r e se n ta tio n _ ID 11無線控制器網(wǎng)絡(luò)位置? 業(yè)務(wù)流示意A T M DSL A MMMSSS SMMS匯聚交換機(jī)IP DSL A MBR A S Cisc o 76 00G S RMANS匯聚交換機(jī)W iSM認(rèn)證中心認(rèn)證中心AAAP o r t al中間件3HTTPR adiu s3In ter In ter ? 當(dāng) Radius 返回認(rèn)證成功的消息后， WiSM 模塊將用戶的數(shù)據(jù)從 LWAPP 的隧道中轉(zhuǎn)發(fā)到相應(yīng)的 VLAN 中，由 7600 負(fù)責(zé)數(shù)據(jù)報文后續(xù)的路由。另外，中間件也可以根據(jù)用戶接入 AP 的位置來推送相應(yīng)的 Portal 頁面。 169。 用戶業(yè)務(wù)流程 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 29 169。也可以通過 DHCP Relay 由 7600 上的 DHCP 服務(wù)器分配地址（需支持 DHCP option 60/43），該地址用于 AP 與控制器只見建立 LWAPP 隧道。 地址問題 169?？紤]到 WLAN 的用戶群體不僅僅只有捐訂住戶還有大量游牧的公眾用戶群以及行業(yè)用戶以及企業(yè)用戶所以 我們認(rèn)為控制器應(yīng)與 BRAS 位于同一層面。 所以對于行業(yè)用戶和大型企業(yè)用戶 我們建議只有由無線控制器實(shí)現(xiàn) WPA2 的認(rèn)證才是最合理的，在此構(gòu)架下中間件則只負(fù)責(zé) Radius 的互通。 對于 WPA2 的認(rèn)證方式 AP 必須根據(jù)每個用戶的初始密鑰來動態(tài)的生成當(dāng)前密鑰，因此如果將 的認(rèn)證點(diǎn)放置在 BRAS 上那么意味著 BRAS 必須具備 WPA2 的能力并實(shí)時的識別 層面的管理幀信息并且還要與 AP 建立一種機(jī)制或協(xié)議進(jìn)行互通 ，在用戶在不同 AP間切換的時候還要考慮密鑰的同步等等問題。 2. 無線控制器通過策略路由將用戶流量引導(dǎo)到 BRAS 上，在此模式上 BRAS 與控制器之間的 接口 /邏輯 接口工作在三層模式下即采用 BRAS 通過 用戶的 IP 地址 信息來控制用戶。 思科控制器 +中間件實(shí)現(xiàn)實(shí)現(xiàn)部分認(rèn)證功能 由原有的 BRAS 完成對 PWLAN 用戶的 Web 認(rèn)證，由無線控制器完成其他業(yè)務(wù)的接入認(rèn)證，思科中間件可以用于實(shí)現(xiàn)與電信 AAA 之間的協(xié)議一致性轉(zhuǎn)換。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 26 控制器的位置在城域網(wǎng)中可以與 BRAS位于同一層面，也可以位于 BRAS下方或旁掛 BRAS。 上述構(gòu)架中 BRAS 只起到接入 AP 的目的，由于采用了與 BRAS 統(tǒng)一的后臺系統(tǒng)， 所以對于運(yùn)營商而言用戶的認(rèn)證計費(fèi)沒有任何變化，也不需要任何改動。該中間件可以靈活的根據(jù)電信規(guī)范的要求進(jìn)行設(shè)計和修改，其在網(wǎng)絡(luò)中所處位置 只需 IP 可達(dá)即可。 6 無線業(yè)務(wù) 系統(tǒng) 考慮到新增的輕量級 WiFi 統(tǒng)一網(wǎng)絡(luò)與電信已有的認(rèn)證系統(tǒng)和 Portal 系統(tǒng)的結(jié)合，思科提供了一個可開發(fā)制定的中間件系統(tǒng)。由于 SSID 根據(jù)熱點(diǎn)的不同而不同所以是基于區(qū)域分配的。 WLAN 專網(wǎng)用戶 熱點(diǎn)的業(yè)主希望利用移動覆蓋的 WLAN 熱點(diǎn)，作為辦公網(wǎng)或業(yè)務(wù)網(wǎng)用。建議為此類用戶提供統(tǒng)一的 SSID，但可通過 認(rèn)證來為這些用戶分配不同的 VLAN ID 最終導(dǎo)入其相應(yīng)的企業(yè)網(wǎng)絡(luò)中。 集中式部署：（所有熱 點(diǎn)通過統(tǒng)一的一臺模塊化控制器單元進(jìn)行管理） 所有熱點(diǎn)的公眾用戶分別被導(dǎo)入到指定的 VLAN 中，系統(tǒng)這些 VLAN 采用相同的控制策略。 WLAN熱點(diǎn)用戶邏輯區(qū)分 公共上網(wǎng)用戶 公眾上網(wǎng)用戶具有普遍性，所以所有熱點(diǎn)的 WLAN 都須廣播統(tǒng)一的 SSID。 WLAN 專網(wǎng)用戶 作為私有用戶而該群體用戶的性質(zhì)決定了其安全性至關(guān)重要，所以無需考慮用戶配置較為復(fù)雜的問題。 移動 VPN用戶 作為 VPN 用戶，該群體用戶的性質(zhì)決定了其安全性至關(guān)重要，所以無需考慮用戶配置較為復(fù)雜的問題。 ? 具備 WPA/WPA2PSK 的認(rèn)證能力 對于此類終端由于支持空口加密標(biāo)準(zhǔn)所以可以很好的滿足空中數(shù)據(jù)傳輸?shù)陌踩覀兛梢愿鶕?jù)此類終端應(yīng)用的安全程度在接入 SSID 上打開 WPA/WPA2PSK 能力，通過公共密鑰來實(shí)現(xiàn)用戶數(shù)據(jù)安全 （ WPA/WPA2 的安全優(yōu)勢是可以確保用戶加密 MAC 層數(shù)據(jù)的密鑰通過密鑰管理協(xié)商隨時間而變化） ，但是 WPA/WP2PSK 并不能夠有效的驗證用戶，所以對于此類用戶我們?nèi)匀豢梢钥紤]采用 MAC 認(rèn)證來為其進(jìn)行接入，當(dāng)然對于此類終端還必須在網(wǎng)絡(luò)層面為其制定獨(dú)有的訪問控制器列表，嚴(yán)格控制應(yīng)用類型。 上述這些終端都是 面向行業(yè)用戶甚至是專門的消費(fèi)群體，因此這些終端的具備的認(rèn)證接入能力也不一樣。這有利于運(yùn)營商品牌的推廣和將來網(wǎng)絡(luò)廣告業(yè)務(wù)的發(fā)展。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 21 5 無線業(yè)務(wù)認(rèn)證 為了更好的提供區(qū)分用戶并提供不同類型的業(yè)務(wù)入 口， WLAN 網(wǎng)絡(luò)必須在邏輯層面上予以支撐。 車載移動視頻業(yè)務(wù)示意圖： 如下圖所示在在移動監(jiān)控平臺上安裝一臺 WGB 設(shè)備，該設(shè)備支持高速下的 WiFi 切換能力，IP 攝像頭通過與 WGB 互聯(lián)將視頻信息通過 MESH 網(wǎng)絡(luò)回傳至用戶監(jiān)控中心，該網(wǎng)絡(luò)可面向不同的行業(yè)或企業(yè)用戶群體，為這些用戶提供相同覆蓋區(qū)域下的視頻監(jiān)控需求。 ? 提供行業(yè)用戶以及政府用戶在覆蓋區(qū)域的移動分機(jī)部署，辦公 人員可以在這里通過WiFi 電話直接接聽所屬辦公分機(jī)的來電并可以對外撥號，就像在辦公室內(nèi)的集團(tuán)電話一樣。 移動 VPN 接入方面： ? 為行業(yè)用戶或 政府 部門在目前 覆蓋區(qū)域中提供安全可靠的移動 VPN 接入，滿足 政府各部 門以及行業(yè) 移動辦公的需求。 CT_Private 是面向部分企事業(yè)單位覆蓋區(qū)域中可能存在的用戶本地交換的無線接入需求。如 VoWiFi 終端將根據(jù)其 MAC 標(biāo)識被引導(dǎo)到相關(guān)的 IP PBX 上從而開展移動分機(jī)業(yè)務(wù)。 CT_Mobile 是面向移動 VPN 接入的，該 SSID 接入的用戶可以根據(jù)用戶認(rèn)證 ID 將該用戶 流量 引導(dǎo)到指定的 VPN 中 ，對用戶而言接入相同的 SSID 通過認(rèn)證即可訪問自己所在企事業(yè)單位的內(nèi)網(wǎng)。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 18 4 無線 業(yè)務(wù) 運(yùn)營無線業(yè)務(wù)描述 公眾 Inter 接入業(yè)務(wù) ? 基于位置的個性化門戶接入以及客戶化制定 ? 特殊 WiFi 終端業(yè)務(wù) ? 考慮區(qū)域用戶的便捷、安全、可靠的服務(wù)質(zhì)量 行業(yè)無線承載業(yè)務(wù) ? 無線 VPN 視頻監(jiān)控業(yè)務(wù) ? 無線 VPN 傳感數(shù)據(jù)采集業(yè)務(wù) ? 無線 VPN 數(shù)據(jù)查詢業(yè)務(wù) 無線 VPN 業(yè)務(wù) ? 企事業(yè)的分支機(jī)構(gòu)與 HQ 的互連（企業(yè)無線 VPN 服務(wù)） ? 高端用戶的家庭無線辦公（ SOHO 無線 VPN 服務(wù)） ? 覆蓋熱點(diǎn)或熱區(qū)的移動辦公（移動無線 VPN 服務(wù)） SSID 租賃業(yè)務(wù) ? 提供行業(yè)客 戶在 某些 熱點(diǎn)區(qū)域 臨時 專用 的 無線 SSID 廣播 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 19 無線 業(yè)務(wù)總體描述 如上圖所示，整個網(wǎng)絡(luò)中廣播四個 SSID分別是 ChinaNet、 CT_Mobile、 CT_Media、 CT_Private。由于考慮到園區(qū)覆蓋主要的應(yīng)用以用戶 Inter 上網(wǎng)以及一些游牧式的應(yīng)用為主，所以要考慮到終端的上行受限問題，因此 MESH 間距建議在 300 米左右較為合適。 園區(qū)布放 在傳輸資源充裕的環(huán)境下可以采用室外 AP 進(jìn)行園區(qū)覆蓋，由于考慮到園區(qū)覆蓋主要的應(yīng)用以用戶 Inter 上網(wǎng)以及一些游牧式的應(yīng)用為主，所以要考慮到終端的上行受限問題，因此AP 間距建議在 300 米以內(nèi)較為合適。 在傳輸資源不充裕的環(huán)境下可以考慮采用室外 MESH 在道路進(jìn)行連續(xù)覆蓋，由于考慮到線性部署環(huán)境下多跳后速率 的快速下降所以可以采用多模塊的 MESH ，如果采用 作為回傳模塊則在 MAP 點(diǎn)上用一個 模塊作為上行回傳模塊而另外一個 模塊作為下行回傳模塊， 則用于用戶接入。室內(nèi) Mesh 網(wǎng)絡(luò)無需人為的進(jìn)行 AP 無線節(jié)點(diǎn)的選路，所有的無線鏈路的計算完全是通過 RF 層面的反饋來實(shí)現(xiàn)最佳無線路由。 采用室內(nèi)布放可以充分發(fā)揮 AP 實(shí)時監(jiān)控和數(shù)據(jù)交換的能力，且由于采用輕量級 AP 構(gòu)架因此從 AP 的管理上和 RF 環(huán)境的是適應(yīng)上更加簡單容易，也可以滿足 WiFi 終端的實(shí)時定位需求。所以如果在建設(shè)初期部署的熱點(diǎn)位置單 AP 下要求的用戶數(shù)量相對較少且對投資要求較少可以采用室分系統(tǒng) +AP 的組合方式。 室分系統(tǒng)的問題在于無法有效的擴(kuò)大 WiFi 網(wǎng)絡(luò)的用戶容量 ， 并且無法實(shí)現(xiàn)基于 WiFi 終端的實(shí)時定位 。 室分系統(tǒng)的優(yōu)勢是可以在部署初期大大減少 AP 部署數(shù)量，且對 WiFi 室內(nèi)環(huán)境的初期規(guī)劃較為簡單 ，這方面可以延續(xù) 原有天饋系統(tǒng)的設(shè)計要求，適當(dāng)?shù)脑黾与p向功放即可。 3 覆蓋場景描述 圖 3 WiFi 網(wǎng)絡(luò)的熱區(qū)或城域覆蓋是 WiFi 多種覆蓋場景組合而成的，因此涉及到多種覆蓋環(huán)境的綜合考慮和應(yīng)用連續(xù)性的要求。因此建議將來的控制器部署方式可以采用集中和分布式結(jié)合的模式來設(shè)計，通過網(wǎng)絡(luò)中 7600 的 WiSM 模塊實(shí)現(xiàn)對 AP 的管理。 集中部署 對于大多數(shù)熱點(diǎn)而言可以直接由接入路由器 7600 上的無線控制器模塊來直接管理控制，也就是無論處于 NAT 防火墻、寬帶路由器、交換機(jī)后面的 AP 都可以通過 LWAPP 隧道 直接接受無線控制器的集中管理。 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 13 2 思科無線網(wǎng)絡(luò)的部署構(gòu)架 部署構(gòu)架描述 圖 1 如上圖所示，無線控制器在城域網(wǎng)中可以分別部署在熱點(diǎn)或接入路由器 7600 上。 ? 協(xié)議擴(kuò)展能力 ―― 該協(xié)議需要支持多種平臺－－從大型以太網(wǎng)交換機(jī)中基于機(jī)箱的模塊，到可堆疊交換機(jī)、路由器和其他任何網(wǎng)絡(luò)組件。該協(xié)議需要提供一種對所有連接網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行身份驗證的方法。 提供運(yùn)營商在工業(yè)、醫(yī)療、城市規(guī)劃等方面業(yè)務(wù)部署的競爭力 ； 提供運(yùn)營商更加精確的網(wǎng)絡(luò)維護(hù)和安全監(jiān)控 能力； 電信思科無線網(wǎng)絡(luò)技術(shù)建議書 12 17. 支持基于位置、 SSID（接入服務(wù)標(biāo)識）的個性化 Portal 推送 為運(yùn)營商打造無線信息平臺提供有效的門戶頁面推送手段 ； 為業(yè)務(wù)成長后的商業(yè)信息和廣告投放提供了個性化能力 ； ? 便于部署 ―― 該協(xié)議必須能夠跨越子網(wǎng)邊界，而 不是僅僅將多個 VLAN 連 接到集中控制器。 滿足無線側(cè)用戶業(yè)務(wù)區(qū)分的需求 ，細(xì)化用戶群體及其所對應(yīng)的服務(wù)質(zhì)量； 14. 支持基于時長、流量、應(yīng)用、接入位置的預(yù)付費(fèi)或后付費(fèi)能力以及本地報表能力 滿足用戶差異化服務(wù)需求，靈活制定接入費(fèi)率； 提供最詳細(xì)的用戶網(wǎng)絡(luò)使用報表，為業(yè)務(wù)制定及發(fā)展戰(zhàn)略提供全面參考； 15. 支持基于 ，滿足下一代 WLAN 網(wǎng)絡(luò)接入及應(yīng)用的需求。 滿足運(yùn)營商拓展公共安全行業(yè)應(yīng)用基本的移動切換需求 ； 滿足將來殺手級移動數(shù)據(jù)多媒體應(yīng)用業(yè)務(wù)的需求 ； 12. 支持無線控制器 N+ N+N、 N+N+1 冗余 ，且冗余控制器可以在網(wǎng)絡(luò)任何路由可達(dá)之處而無需要求必 須相同網(wǎng)段。使得不同的覆蓋區(qū)域雖然 SSID 相同，但用戶接入的默認(rèn)策略不同。 可將運(yùn)營商原來為大客戶服務(wù)建設(shè)的部分網(wǎng)絡(luò)部分區(qū)域變成客運(yùn)營的熱點(diǎn)，可以達(dá)到雙贏的局面 ； 9. 支持客戶端接入時基于用戶名、接入地點(diǎn)的動態(tài) VLAN 的分配以及靜態(tài) VLAN 分配，使得 WLAN 網(wǎng)絡(luò)系統(tǒng)可以實(shí)現(xiàn)每用戶 VLAN 的分配。 完全滿足未來大規(guī)模部署熱點(diǎn)管