华三WLAN解决方案说课讲解.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,信 息 创 造 价 值 沟 通 带 来 双 赢,福建省台资企业信息化建设公益培训项目,福 州 班,主 题：构造安全、易管理的企业无线网络,主 讲 人：江 章 平（产品经理）,主讲单位：杭州华三通信技术有限公司,福建省海峡经济技术信息中心,二,00,八年四月二十二日,无线局域网发展趋势及技术概述,3,3,3,1,企业级无线网络的部署方案,3,2,企业构建,WLAN,面临的挑战,3,4,H3C,与,WLAN,网络,适于特殊地理环境下的网络架设；,终端与设备之间不方便通过线缆连接,地理环境不适合布设有线网络,WLAN,带来的好处,-,无线让网络建设更经济,WLAN,带来的好处,-,无线让工作更高效,不受限于时间和地点的接入网络，满足各行各业对于网络应用的需求；,体育场馆新闻中心,展馆与证券大厅,制造车间,物流运输,马斯洛需求层次,2,：追求高效率,凡是自由空间均可连接网络，不受限于线缆和端口位置,办公大楼,候机大厅,渡假山庄,商务酒店,WLAN,带来的好处,-,无线让网络使用更自由,部署和维护困难？,对新业务能支持吗？,跟有线网络如何融合？,接入安全如何保障？,企业构建,WLAN,网面临的挑战,无线局域网发展趋势及技术概述,3,3,3,1,企业级无线网络的部署方案,3,2,企业构建,WLAN,面临的挑战,3,4,H3C,与,WLAN,网络,IEEE802.11,无管理,MAC,认证、,WEP,加密,无漫游,低速无线接入,IEEE802.11a/b,简单配置管理,WPA,认证,TKIP,加密,L2,漫游,无线数据接入,IEEE802.11g,集中管理、射频环境管理,WPA,认证,802.11i,加密,L2,、,L3,漫游,语音、数据、视频无线接入,IEEE802.11n,更强的全网管理,动态认证,安全接入,任意位置接入,综合业务的无线承载,作为有线的简单补充，实现无线基本接入功能,1998,年,2000,年,2004,年,未来,2M,速率,54/11M,速率,54M,速率,300M,速率,主要的接入层技术之一，扩展丰富增值业务功能,规模应用,无线局域网发展历程,无线设备影响报告,AC,（,Access Controller,）无线控制器,AP,管理,非法无线入侵检测,位置检测,网络自愈,每用户的安全策略,RF,管理,“胖”,AP,“瘦”,AP,无线局域网组网模式：,FAT AP&FIT AP,802.11a/b/g,天线,加密,移动,IP,VPN,802.1x,TKIP,Qos,802.11h,权限控制,策略控制,L2/L3,层漫游,802.11a/b/g,天线,加密,移动,IP,VPN,802.1x,TKIP,Qos,802.11h,权限控制,策略控制,二层漫游,“胖”,AP,组网方案,“瘦”,AP,组网方案,“,胖,AP”,组网方案,企业无线网络的组网模式：,FAT AP1,APn,STAs,企业,有线网络,1208E,1208E,1208E,以太交换机,三、新业务支持难,不能满足语音业务需求（不支持三层漫游）,二、安全隐患,AP,设备的丢失引发系统配置的泄露；,非法,AP,的接入无法检测等,一、难管理,大规模组网部署和维护工作量量大；,不能自动调整工作信道和功率，不适用复杂,RF,环境,大规模无线组网存在的问题：,“,瘦,AP”+AC,组网方案,企业无线网络的组网模式：,FAT AP1,APn,STAs,企业,有线网络,1208E,1208E,1208E,以太交换机,三、新业务支持,支持三层漫游，对上层应用透明切换,二、安全隐患,配置集中管理，不怕,AP,设备的丢失引发系统配置的泄露；,可检测非法,AP,的接入无法等,一、易部署管理,大规模组网部署容易，,AP,零配置；,集中管理，升级维护简单；,自动调整工作信道和功率，适用复杂,RF,环境,特别适合大规模无线组网：,AC,无线控制器,无线局域网发展趋势及技术概述,3,3,3,1,企业级无线网络的部署方案,3,2,企业构建,WLAN,面临的挑战,3,4,H3C,与,WLAN,网络,小规模WLAN网络建设,核心网,采用,FAT AP,方式组网；,从投资保护角度看，所选设备应能平滑升级到,FIA AP+AC,方案。,大规模WLAN部署-山东日照钢铁公司,使用,WX5002,和,WA2110,瘦,AP,方案进行组网，覆盖产品库存区和原材料库存区，用于库房的管理。,使用高增益全向天线，覆盖半径,70m,左右的区域，极大的提高了库房管理的效率。,核心网,AC,无线控制器,FIT AP,讨论,层次体系,主要技术,解决的问题,物理接入,WEP64/128、TKIP、CCMP,加密,可升级支持,WAPI,加密,防止无线报文被监听和篡改,SSID,隐藏,解决不明用户访问网络,逻辑链路,802.1x/PSK/MAC/Portal,多种认证方式的混合接入,802.1x,支持,PEAP/TLS/TTLS/SIM,多种模式,可升级支持,WAPI,认证,用户身份鉴别和安全准入,动态下发用户的权限,业务隔离,Hotspot,用户隔离,限制用户互访,黑名单,限制恶意用户,网络,无线入侵检测系统,非法设备的检测、无线攻击的告警和规避,安全策略在无线控制器统一部署,避免在大量的无线接入点部署策略,AC,和,AP,间的,CAPWAP,隧道下行流量限速,防范外界对,AP,的数据流量攻击,IPSEC VPN,端到端的安全加密,资源绑写（,MAC,、,ESS,、,VLAN,、,Port,）,尽可能防止假冒,设备,AP,本地不再保存配置信息,避免设备丢失造成配置泄漏,AP,身份认证,只有合法的,AP,才能和无线控制器建立关联,AP,支持多无线控制器的冗余备份,无线控制器,down,机不会造成无线网络的瘫痪,网管,无线安全策略配置,无线安全策略的统一部署,非法设备监控和告警,非法设备的检测、无线攻击的告警和规避,设备信道调整告警,了解设备遭受干扰后的信道调整情况,WLAN,安全接入问题,-,系统的,安全防御,你是谁？,动态授权,合格用户,不同用户享受不同的网络使用权限,你安全吗？,你可以做什么？,你在做什么？,企业网络,行为审计,不合格,进入隔离区,强制加固,安全认证,合法用户,隔离区,非法用户,拒绝入网,身份认证,接入请求,更彻底解决安全问题,-,无线端点准入防御,WLAN,部署和维护问题,集中管理维护,热点,1,热点,2,热点,n,通过,SNMP,协议下发,AP,的配置和版本,通过,CAPWAP,协议下发,AP,的配置和版本更新,通过,SNMP,协议上报,AP,的统计信息和告警信息等,通过,CAPWAP,协议上报,AP,的统计信息和告警信息等,AC,AP,AP,网管工作站,WLAN,部署和维护问题,-,无线资源实时自动管理,采集,分析,执行,决策,C,A,B,D,AP,实时收集,RF,环境信息,并定期上报给,AC,AC,对,AP,收集的数据进行,分析评估,AP,执行,AC,设置的配置，,进行射频资源调优,AC,统筹安排每个,Radio,应当使用,的发送功率，信道等,WLAN,部署和维护问题,-,瘦,AP,信道自动选择,BSS 4,BSS1,BSS 2,BSS 5,BSS 3,BSS 3,BSS 5,BSS 1,BSS 2,BSS 4,CHANNEL 1,CHANNEL 6,CHANNEL 11,调整前,调整后,网络中的关键,AP,优先获得最佳的信道；,当,AP,覆盖区域受到信号干扰时，,AP,自动切换到合适的工作信道以规避干扰信号,每个,AP,上电时，无线控制器会根据,AP,的邻居关系动态调整,AP,工作的信道和发射功率，在保证覆盖的前提下保证,AP,间的干扰最小,当覆盖区域内的某个,AP,发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的,AP,的发射功率以消除黑洞区域，当故障,AP,恢复工作后无线控制器可以自动调整邻居,AP,的发射功率恢复原始工作状态,AP,AP,AP,AP,AP,AP,AP,WLAN,部署和维护问题,-,瘦,AP,发射功率自动调整,无线控制器可以设定,AP,间对接入用户进行负载分担,负载分担的策略可以是基于,AP,接入的用户数量，,AP,流量负载情况,当无线控制器发现,AP,的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的,AP,可供用户接入，如果有则,AP,会拒绝用户的关联请求，用户会转而接入其他负载较轻的,AP,只对处于,AP,覆盖重叠区的无线用户才启动,AP,负载分担功能，有效的避免误分担的出现,AP1,AP2,拒绝关联,接受关联,负载均衡原理,AP1,AP2,智能负载分担技术,启动负载分担的重叠覆盖区,不启动负载分担的区域,WLAN,部署和维护问题,-,智能负载分担,WLAN,部署和维护问题,-FAT/FIT,平滑切换组网,核心,/,汇聚层交换机,管理中心,无线控制器,接入层交换机,FAT AP,FAT AP,FAT AP,FAT AP,FAT AP,FAT AP,FAT AP,FAT AP,FIT AP,FIT AP,FIT AP,FIT AP,FIT AP,FIT AP,FIT AP,FIT AP,购买,FIT/FAT,双模,AP,来保护原有投资,通过命令更改工作模式从而实现平滑升级,网络建设初期使,AP,工作于,FAT,模式，满足小规模组网需求,网络建设后期使,AP,工作于,FIT,模式，并添加无线控制器，满足大规模组网需求,WLAN,部署和维护问题,-AP,远程供电设备,无需额外铺设电源线，实现快速部署；,电源复位简单，可远程复位。,数据线，直接供电,PoE,交换机,有线无线融合管理,-,建设一体化无线网络,街区及广场覆盖,室外,MESH,组网,商务楼及酒店覆盖,与,3G,合路组网,AC,企业内部网,园区覆盖,FIT/FAT,双模,AP,小区覆盖,无线网桥,100m,热点覆盖,家庭覆盖,光口上行,IP,核心网,BAS,BAS,路由、交换机,企业网分支,无线控制器系列,统一网管、认证平台,快速漫游,一体化硬件平台：,交换机内置无线控制器模块,一体化管理平台,一体化认证平台,智能,负载均衡,融合管理,-,用户管理与网络设备管理的融合,用户与设备的融合管理,提供强大的用户接入管理功能,支持用户与设备的关联管理，通过拓扑直接定位威胁用户，并可对其进行强制下线等操作,提供黑名单机制，禁止威胁用户接入,蓝色子网,红色子网,Bob,Amy,对新业务开展的支持,-,三层快速漫游,Amy,无线控制器,无线控制器,AP,AP,AP,IP,网络,支持无线,对新业务开展的支持,-100ms,业务热切换支持,AP,PoE,交换机,AAA,认证平台,网管平台,AP,AP,IP,局域网,PoE,交换机,无线控制器,无线控制器,主备无线控制器实现,100ms,的业务级,视频,/,语音等敏感业务不中断,.,对新业务开展的支持,-IPv6,组网支持,核心交换机,GE,GE,GE,GE,核心层,汇聚层,接入层,外网,用户端,GE,GE,GE,FE,FE,FE,FE,FE,FE,IPv4,IPv6,双栈,IPv6,双栈,IPv4,IPv6,服务器,IPv4,服务器,接入交换机,汇聚交换机,无线用户可以通过,IPv6,正常访问,IPv6,网络及,IPv6,业务,.,FIT AP,可以通过,IPv6,网络注册到,AC,，并建立,CAPWAP,隧道,.,汇聚交换机,接入交换机,接入交换机,核心交换机,无线控制器,对新业务开展的支持,IEEE802.11n,技术支持,由于,MIMO,技术的引入，大大提升了,WLAN,的吞吐量、传输距离和可靠性；,但,802.11n,即将标准化，最高可达,300M,传输速率，满足高带宽传输的需要。,无线局域网发展趋势及技术概述,3,3,3,1,企业级无线网络的部署方案,3,2,企业构建,WLAN,面临的挑战,3,4,H3C,与,WLAN,网络,概述,杭州华三通信技术有限公司（以下简称,H3C,），运营总部设在杭州，在中国,34,个省市设有分支机构。,H3C,致力于,IP,技术与产品的研究、开发、生产、销售及服务，为全球用户提供全系列,IP,产品和全业务解决方案。,公司全面推行以客户需求为核心的质量文化，持续在产品研发、供应链、服务、网络咨询、培训等方面开展流程变革与管理优化，旨在为客户提供高质量、高性价比的产品与服务。,华三（,H3C,）公司的发展,电信级,IP,通信设备,企业级,IP,通信设备,2003,年,H3C,整合了华为和,3COM,的通信技术及产品，为客户提供基于,IP,技术的全系列产品和解决方案，其中包括无线产品和技术。,业务自适应、弹性可靠,数据管理,用户管理,业务管理,安全管理,IP,通信,视频产品系列,语音产品系列,IP,自适应安全网络,交换机产品系列,WLAN,产品系列,安全产品系列,IP,智能管理中心,网络管理,H3C MSR,系列,多业务开放路由器,H3C S9500,路由器产品系列,H3C SR8800,系列,高端核心路由器,无线局域网控制器,安全渗透网络,系列化,AP,IP,存储,IP,自适应网络存储,监控产品系列,H,3C,产品和,解决方案,H3C S7500E,H3C IPS,V1000A网关,F,1800,A 防火墙,多业务插卡,H3C SR6600,系列,开放多核路由器,H3C全系列WLAN无线产品,FIT/FAT AP,无线应用,MESH/,网桥,WH2520,WA2110-AG,WA2210-AG,WA2220-AG,WA1208E-G/GP,无线控制器,WX5002,WX6103,S7500,插卡,S7500E/9500,插卡,WB2320,WA1208E-AG/DG/AGP,WA2220E-AG,WA2210X-G/AG/AGP,无线客户端,无线,IDS,无线定位,网络管理软件,WX3024,业界首款万兆接口无线控制器,业界首款万兆多核无线控制卡,WA2610E-AGN,业界首款不需要外接机箱的室外,AP,2007,年,12,月,02,日至,08,日，,IETF 70,届大会在加拿大温哥华举行。,在,CAPWAP,工作组会议上作了专题报告，完整地介绍了,H3C,公司在无线网络管理的创新理念。,根据大会的投票选举结果，,H3C,的草案获得了工作组的全票通过：正式成为工作组草案。不久的将来，该草案最终将成为,IETF RFC,标准并正式发布。,大会,LOGO,H3C,专家介绍,CAPWAP MIB,H3C WLAN,在世界,国家大剧院,国家大剧院是我国新时代的标志性建筑，是国家最高艺术表演中心，是具有世界一流水平的大型艺术殿堂,采用有线无线一体化方案，进行,OA,网部署，实现无线网络办公,采用,94,台,WA2110,型,AP,覆盖整个公共区域，并使用,S9500,系列无线控制器插卡对,AP,进行集中控制管理,由于国家大剧院内部构造十分复杂，且钢结构偏多，容易形成信号干扰，,H3C,依靠产品自身高可靠的自动调节能力进行了高精度的无线覆盖，并通过强大的技术服务团队成功解决了工程实施难的问题,采用多种,WLAN,应用，包括无线语音、无线监控和无线定位，提供了丰富的移动化应用，彰显出国家大剧院先进的信息化水准,公共区域,办公区域,复杂的,建筑结构,丰富的,无线业务应用,语音、监控等,高可靠的,无线网络,北辰奥运酒店及国家会议中心无线网络,Fortigate 800,PIX 520,Server,Cisco 7401,S3600-28TP-SI,S3100-52P,S3100-52P,S3100-52P,办公信息点,配套,D,座酒店,客房信息点,公共区域无线,无线控制器,WX6103,S5600-26F,S5600-26F,S5510-24P,SecPath F1000-S,SecPath F1000-S,S3100-52P,S3600-28P-PWR-EI,无线控制器,WX5002,1,台,WX6103,无线控制器，,3,台,WX5002,无线控制器，,460,台,WA2110,瘦,AP,，,iMC,智能管理中心,无线覆盖国家会议中心主体、配套的两家五星级酒店和一家超五星级酒店以及周边写字楼，这些区域是奥运会期间新闻发布会，奥组委、各国奥运官员及国内外各大媒体住宿工作的重要场所,北京首都国际机场,T3,航站楼,核心交换机,汇聚交换机,接入交换机,AP,无线控制器,核心层,航站楼,T3A,航站楼,T3B,机场核心骨干网,服务器群,AP,接入层,汇聚层,无线控制器,6,台无线控制器，,346,个,AP,对首都国际机场,T3,航站楼进行全面无线覆盖。,主要无线应用：航显、商业、离港、行李再确认系统、,OA,、安检系统、外场数据采集，旅客无线上网等。,高可靠性一体化移动网，为机场用户提供全方位应用的保障,主要用户名单（大陆）,运营商：,中国电信,中国网通,北京移动,上海移动,江苏移动,北京联通,济南联通,广东电信,浙江电信,云南电信,河北电信,黑龙江电信,吉林电信,甘肃电信,宁夏电信,厦门电信,海南铁通,天津网通,吉林网通,教育：,北京大学,中科院,中央美术学院,北京航空航天大学,南京航空航天大学,北京外国语大学,北京师范大学,北京交通大学,山东大学,兰州大学,重庆大学,湖南大学,湖南师范大学,湖南农业大学,兰州大学,西安理工大学,辽宁工学院,南华大学,哈尔滨工程大学,郑州大学,东北师范大学,酒店：,青岛香格里拉大饭店,乌鲁木齐喜来登大酒店,重庆长安酒店,金桥酒店,政府：,北京市发改委,广东省发改委,湖北省建设厅,杭州市委,连云港市政府,乌鲁木齐中级人民法院,长春市公安局,济南市信产局,金融：,中国人保,中国人民银行,浙江省农民银行,浦东发展银行,乌鲁木齐市商业银行,福建省邮政局,医疗：,北京医院,解放军总医院,中山医院,制造业：,三菱重工,光明集团,中国南方航空动力机械公司,主要用户名单（香港及海外）,香港：,特首办公室,香港机电工程署,富邦银行,嘉亨湾楼盘,联合出版社,TradeLink,Collinsville,Illinois,Community Unit School District 10,Delaware State Police,Denizbank,Derry Township School District,Filadelfia Pentecostal Church,Green Heart Hospital(Groene Hart Ziekenhuis),Harrisburg International Airport,Hawaii Department of Education(HIDOE),Health Services Group,House Ear Institute,Intertex Apparel Group,Kaneland Community Unit District,Luzerne County Community College,Madonna Rehabilitation Hospital,Mathias Hospital,Memorial Hospital of Union County,Metropolitan Education District,海外：,Acer Computers,Apple Core Hotels,Bahrain Ministry of Education,Baldwin-Whitehall School District,Brandon Regional Health Authority,Campbell County,Carnegie Mellon University,Central Kitsap School District,Chelsea School District,H3C UMN,一体化移动网络,一体化解决方案改变了以往的现状，实现真正的和谐统一,一体化硬件,一体化管理,一体化安全,UMN:Unified Mobile Network,