91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

 高  波，潘毅明，黃國瑾

 （中國電信股份有限公司上海研究院上海200122）

摘要：WLAN作為有線寬帶的延伸，也是無線寬帶的重要組成部分。近年來，各地政府紛紛提出建設(shè)“無線城市”，將其作為城市第5項(xiàng)公共基礎(chǔ)設(shè)施；中國電信股份有限公司也提出了將WLAN建設(shè)成為第4張基礎(chǔ)網(wǎng)絡(luò)，這些岡素促進(jìn)了WLAN的大規(guī)模建設(shè)和發(fā)展。分析了基于城域組網(wǎng)的運(yùn)營級WLAN的建設(shè)目標(biāo)和組網(wǎng)架構(gòu)，提出了運(yùn)營級WLAN的組網(wǎng)技術(shù)以及WLAN的安全策略部署建議。

1  引言

 隨著移動互聯(lián)網(wǎng)時(shí)代的到來，尤其是具有WLAN（wireless local area network，無線局域網(wǎng)）無線模塊的移動智能終端的普及推廣，WLAN接人需求也日益迫切，在某種程度上，WLAN的普及程度已成為一個(gè)城市現(xiàn)代化的重要標(biāo)志。政府要將WLAN打造成繼水、電、氣、交通之后的城市第5項(xiàng)公共基礎(chǔ)設(shè)施，以提升城市信息化水平：各地“無線城市”建設(shè)進(jìn)一步促進(jìn)了WLAN和熱點(diǎn)的建設(shè)。中國電信股份有限公司（以下簡稱中國電信）也提出將WIAN建成第4張基礎(chǔ)網(wǎng)絡(luò)。

 WLAN技術(shù)以其標(biāo)準(zhǔn)統(tǒng)一、部署簡單、性價(jià)比高的特點(diǎn)，成為無線寬帶接入的重要手段。但WLAN本質(zhì)是個(gè)局域網(wǎng)技術(shù)，要適應(yīng)城域組網(wǎng)的技術(shù)要求，需要對組網(wǎng)技術(shù)進(jìn)行創(chuàng)新，實(shí)現(xiàn)對WLAN用戶接入的可管、可控，打造一張基于城域組網(wǎng)的運(yùn)營級WLAN。

 本文以上海電信WLAN城域組網(wǎng)技術(shù)為基礎(chǔ)，闡述基于城域組網(wǎng)的運(yùn)營級WLAN組網(wǎng)技術(shù)和要求。

2 WLAN組網(wǎng)架構(gòu)選擇和組網(wǎng)策略

 運(yùn)營級WLAN的特征是“大容量、高可靠、可擴(kuò)展、可管理”，其建設(shè)需要從網(wǎng)絡(luò)覆蓋、組網(wǎng)架構(gòu)、網(wǎng)絡(luò)質(zhì)量和網(wǎng)絡(luò)管理維護(hù)等多方面著手，以提升用戶體驗(yàn)為落腳點(diǎn)，全方位提升網(wǎng)絡(luò)質(zhì)量。運(yùn)營級WLAN主要特征有以下幾個(gè)方面。

 ·WLAN覆蓋將由零散熱點(diǎn)向數(shù)據(jù)熱區(qū)演進(jìn)；對構(gòu)建邏輯數(shù)據(jù)熱區(qū)進(jìn)行統(tǒng)一的網(wǎng)絡(luò)管理、數(shù)據(jù)分析和特色業(yè)務(wù)開展。

 ·網(wǎng)絡(luò)架構(gòu)扁平化，提高網(wǎng)絡(luò)運(yùn)營和管理效率。網(wǎng)絡(luò)部署時(shí)要按組建整網(wǎng)的思路進(jìn)行規(guī)劃和建設(shè)，構(gòu)筑集中、安全、扁平化的網(wǎng)絡(luò)架構(gòu)；同時(shí)能適應(yīng)不同業(yè)務(wù)的承載需求。

 ·著眼用戶體驗(yàn)，全面提升網(wǎng)絡(luò)質(zhì)量：保證網(wǎng)絡(luò)穩(wěn)定性，使用戶體驗(yàn)良好，滿足多用戶、高速率接入需求，支持各類WLAN終端方便接入；還需具備高安全性。

 ·網(wǎng)絡(luò)可管可控，提升維護(hù)和優(yōu)化水平。確保在網(wǎng)WLAN設(shè)備納入網(wǎng)管，快速定位網(wǎng)絡(luò)故障，確保網(wǎng)絡(luò)整體運(yùn)行良好。圖1為WLAN目標(biāo)組網(wǎng)架構(gòu)示意。

3  運(yùn)營級WLAN組網(wǎng)方案

 大規(guī)模WLAN組網(wǎng)均已采用集中控制型AC (APcontroller，AP控制器）+“瘦”AP（access point，接入點(diǎn)）架構(gòu)。傳統(tǒng)的組網(wǎng)方案是AC分散部署，就近旁掛BRAS（broadband remote access server，寬帶網(wǎng)絡(luò)接入服務(wù)器）。一臺AC只能管理該BRAS下同一廠商的AP，覆蓋范圍有限。由于不同BRAS下WLAN業(yè)務(wù)發(fā)展的不平衡，使接入的AP數(shù)量、用戶數(shù)量及流量不同，導(dǎo)致各臺AC負(fù)載能力不均衡，部分AC設(shè)備利用率偏低；如果實(shí)現(xiàn)AC備份機(jī)制，將會大大提高設(shè)備成本。AC分散部署，資源無法做到全網(wǎng)統(tǒng)一調(diào)度和管理，無法滿足多業(yè)務(wù)、個(gè)性化需求。

 為此，提出將不同廠商的AC集中部署，形成AC中心，通過采用AC池化技術(shù)提升AC覆蓋范圍和負(fù)載均衡能力，全網(wǎng)統(tǒng)一調(diào)度資源。圖2為WLAN組網(wǎng)拓?fù)涫疽狻?

 每臺AC雙上聯(lián)到支持虛擬一體化的二臺交換機(jī)SW（switch，AC專用接入交換機(jī)），AC雙上聯(lián)均采用萬兆接口跨框聚合，AP專線接人的BRAS分別采用兩個(gè)端口分別與AC接入交換機(jī)互聯(lián)，端口綁定，確保網(wǎng)絡(luò)安全可靠。任一臺AC與BRAS均可通過IP路由可達(dá)，因此AP通過BRAS可接入任一臺AC;同時(shí)部署專用DHCP (dynamichost configuration protocol,動態(tài)主機(jī)配置協(xié)議)服務(wù)器。通過上述組網(wǎng)形成AC中心。

 其中，一部分AC設(shè)備配置私網(wǎng)地址，負(fù)責(zé)通過專線接入的AP;另一部分AC設(shè)備配置公網(wǎng)地址，負(fù)責(zé)通過Intemet接入的AP。

3.1 AC池化技術(shù)

 將為AP分配管理地址和下發(fā)AC地址的功能，從AC設(shè)備中剝離出來，AC僅負(fù)責(zé)AP接入注冊、AP管理和管理信息上報(bào)給網(wǎng)管平臺。AC池中心通過專用的DHCP服務(wù)器系統(tǒng)負(fù)責(zé)為AP分配管理地址，同時(shí)通過option 43屬性為AP下發(fā)AC地址。

 WLAN網(wǎng)管和后臺的資源庫根據(jù)新上線AP的需求、AC池中各AC的負(fù)載、同一熱點(diǎn)已在線AP所注冊的AC等情況進(jìn)行綜合考慮，為新上線AP分配合適的AC設(shè)備，并將AP與AC的對應(yīng)關(guān)系下發(fā)給專用DHCP系統(tǒng)和AC設(shè)備。

 通過AC池化技術(shù)，可以集中調(diào)度AC設(shè)備；利用網(wǎng)管系統(tǒng)檢測在網(wǎng)AC設(shè)備負(fù)載、設(shè)備CPU( central  processingunit，中央處理器)利用率等技術(shù)指標(biāo)及實(shí)時(shí)檢測AC設(shè)備的故障情況；靈活支持M+l、M+N或M:M等多種AC備份機(jī)制。其中．M+l備份指用一臺專用的備份AC設(shè)備作為肘臺主用AC的備份：M+N備份指用Ⅳ臺專用的備份AC設(shè)備作為M臺主用AC的備份，任意1臺主用AC出現(xiàn)故障時(shí)，可整機(jī)切換到備份AC設(shè)備上：M:M備份指不設(shè)置專用的備份AC，所有的M臺AC都正常工作，但不100%配置（如只配置AC能力的800/0的AP），留有一定的空余能力作為備份，當(dāng)有AC發(fā)生故障時(shí)，將故障AC上的AP靈活地分散調(diào)度到其他若干臺AC中。

3.2 AP兩種接入方式

 AP上聯(lián)主要有兩種接入方式，一種是專線接入．AP通過預(yù)配置管理VLAN（virtual local area network，虛擬局域網(wǎng)）接入BRAS．BRAS通過VIAN可識別AP業(yè)務(wù)并作相應(yīng)的轉(zhuǎn)發(fā)：另一種是AP通過Intemet接入與部署在公網(wǎng)的AC組網(wǎng)。AP通過Internet接人AC組網(wǎng)，作為AP專線接入組網(wǎng)的補(bǔ)充手段，極大地?cái)U(kuò)大了WLAN的覆蓋范圍，使任何場點(diǎn)都有可能接入基于城域組網(wǎng)的WLAN。

3.2.1 AP專線接入方式

 AP通過專線接入。傳統(tǒng)組網(wǎng)需要將不同廠商的AP分別配置不同的管理VLAN，BRAS根據(jù)管理VLAN識別廠商，將AP的DHCP報(bào)文轉(zhuǎn)發(fā)給對應(yīng)的AC。通過AC池化技術(shù)，實(shí)現(xiàn)將不同廠商的AP都配置成相同的管理VLAN，BRAS統(tǒng)一將AP的DHCP報(bào)文轉(zhuǎn)發(fā)給專用DHCP系統(tǒng)。DHCP系統(tǒng)為AP分配管理地址的同時(shí)，根據(jù)網(wǎng)管系統(tǒng)下發(fā)的AP和AC對應(yīng)關(guān)系，通過option43屬性為AP下發(fā)AC地址。

3.2.2AP Intemet接入方式

 AP通過場點(diǎn)部署的企業(yè)網(wǎng)關(guān)／家庭網(wǎng)關(guān)接入Internet，如中小商鋪通過部署企業(yè)網(wǎng)關(guān)／家庭網(wǎng)關(guān)PPPoE (PPP overethernet，以太網(wǎng)上傳送PPP)撥號接入Internet。AP由網(wǎng)關(guān)設(shè)備分配地址，通過域名解析獲得AC地址，與部署在公網(wǎng)的AC通信建立隧道。

3,3 AC啟用二、三層混用功能

 中國電信的WLAN組網(wǎng)利用現(xiàn)網(wǎng)已有的BRAS設(shè)備，對WIAN用戶實(shí)現(xiàn)地址分配、認(rèn)證、管理等功能。用戶數(shù)據(jù)通過AP-AC隧道，經(jīng)AC二層轉(zhuǎn)發(fā)至BRAS，用戶二層報(bào)文終結(jié)于BRAS。

 隨著多SSID（service set identifier，服務(wù)集標(biāo)識）的開啟，AC二層透傳各SSID用戶數(shù)據(jù)到BRAS，會過多消耗BRAS的資源，勢必會影響到BRAS原來承載的寬帶業(yè)務(wù)。為此，AC會承載部分SSID的用戶地址分配、認(rèn)證和管理等功能，近階段AC主要承載便捷認(rèn)證業(yè)務(wù)的SSID、行業(yè)SSID用戶的認(rèn)證和管理：其他SSID用戶數(shù)據(jù)仍由AC二層轉(zhuǎn)發(fā)到BRAS。將結(jié)合BRAS功能的AC稱為融合AC，在現(xiàn)網(wǎng)中融合AC同時(shí)啟用二層用戶數(shù)據(jù)轉(zhuǎn)發(fā)和三層用戶數(shù)據(jù)終結(jié)的功能。

3.4多業(yè)務(wù)承載

 中國電信WLAN原本承載ChinaNet業(yè)務(wù)，隨著廣大用戶和終端類型對WLAN接入的日益普及，各地市級政府和區(qū)級政府都有建設(shè)“無線城市”和應(yīng)用的需求，不少行業(yè)也提出WLAN業(yè)務(wù)需求，互聯(lián)網(wǎng)企業(yè)也與運(yùn)營商合作開展WLAN后向經(jīng)營業(yè)務(wù)的需求。為此，同一張WLAN網(wǎng)絡(luò)需同時(shí)承載多種業(yè)務(wù)，且能夠滿足個(gè)性化業(yè)務(wù)需求。

 采用AC集中部署的池化技術(shù)，可以很好地滿足上述多業(yè)務(wù)需求。通過規(guī)劃用戶雙層業(yè)務(wù)VLAN，用外層VLAN標(biāo)識業(yè)務(wù)類型、內(nèi)層VLAN標(biāo)識AP或場點(diǎn)，就能實(shí)現(xiàn)用戶位置和業(yè)務(wù)的精確定位。集中部署的AC可以在全局層面靈活地部署個(gè)性化業(yè)務(wù)策略，可以推送全局性的個(gè)性化portal認(rèn)證頁面，也可在同一業(yè)務(wù)下根據(jù)不同AP或場點(diǎn)推送不同的portal認(rèn)證頁面，也支持基于場點(diǎn)和業(yè)務(wù)進(jìn)行的個(gè)性化計(jì)費(fèi)。

3.5大數(shù)據(jù)挖掘

 WLAN以AP、SSID為單位對熱點(diǎn)運(yùn)營數(shù)據(jù)進(jìn)行采集，包括WLAN終端的MAC地址、AP設(shè)備地址、RSSI(received signal strength indication．接收的信號強(qiáng)度指示)、時(shí)間戳等信息，并發(fā)給大數(shù)據(jù)分析平臺。大數(shù)據(jù)分析平臺能按AP、SSID、場點(diǎn)等進(jìn)行數(shù)據(jù)統(tǒng)計(jì)；按PV（page view，頁面瀏覽量或點(diǎn)擊量）數(shù)據(jù)、UV(unique visitor,訪問某個(gè)站點(diǎn)或點(diǎn)擊某條新聞的不同IP地址的人數(shù))數(shù)據(jù)、CPC (costper click，每次點(diǎn)擊付費(fèi)廣告)數(shù)據(jù)、CPM (cost per thousandclick-through，網(wǎng)上廣告產(chǎn)生每1 000個(gè)廣告印象(顯示)數(shù)的費(fèi)用）數(shù)據(jù)、流量／人均流量、時(shí)長／人均時(shí)長等多個(gè)維度進(jìn)行數(shù)據(jù)展示和業(yè)務(wù)分析。

 同時(shí)，將大數(shù)據(jù)平臺分析得到的數(shù)據(jù)反饋回WLAN，根據(jù)用戶特征和場點(diǎn)性能，可實(shí)時(shí)對個(gè)性化portal頁面的展示內(nèi)容和熱點(diǎn)接入帶寬等進(jìn)行動態(tài)調(diào)整。

4 WLAN安全防范策略

 在建設(shè)高效、靈活的WLAN的同時(shí)，還要考慮WLAN的安全，其安全包括用戶接入安全、用戶數(shù)據(jù)空口傳輸安全、網(wǎng)絡(luò)安全、設(shè)備安全等方面，下面分別進(jìn)行描述。

4.1  用戶接入安全防范

 用戶接入安全問題主要有：在同- AP/AC下用戶二層互訪、IP地址欺騙、MAC（media access control，媒體訪問控制）地址欺騙。

 如果在同- AP/AC下，用戶通過二層網(wǎng)絡(luò)能相互通信（用戶未通過接人認(rèn)證），則存在如下安全隱患：

 ·用戶通過某一用戶作代理訪問公網(wǎng)：

 ·某一終端中毒，則會不斷發(fā)送ARP( addressresolution protocol．地址解析協(xié)議)廣播或協(xié)議類攻擊報(bào)文或進(jìn)行病毒傳播、木馬植入等網(wǎng)絡(luò)攻擊，影響整個(gè)WLAN二層網(wǎng)絡(luò)：

 ·用戶之間如在同一個(gè)局域網(wǎng)，惡意用戶（未通過接人認(rèn)證）能夠攻擊其他同一個(gè)二層網(wǎng)絡(luò)的用戶或竊聽其他用戶信息。

 IP地址欺騙存在如下安全隱患：用戶地址由BRAS/融合AC負(fù)責(zé)分配，如果某一終端配置靜態(tài)IP地址，會造成與其他終端地址沖突，造成合法用戶不能正常上網(wǎng)；如果用戶配置用戶網(wǎng)關(guān)地址，會造成整個(gè)網(wǎng)絡(luò)癱瘓。

 MAC地址欺騙存在如下安全隱患：在無線環(huán)境中，非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比在有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。

 用戶接人應(yīng)采取的安全防范措施為：

 ·同- AP和同- AC下啟用用戶二層隔離功能，只有認(rèn)證通過的用戶才能通過三層相互訪問：

 ·在BRAS設(shè)備上啟用DHCP snooping功能，用戶地址與MAC地址綁定，防范IP地址和MAC地址欺騙。

4.2用戶數(shù)據(jù)傳輸安全防范

 在WLAN中，在同一個(gè)AP下用戶是共享帶寬，如果個(gè)別用戶使用P2P（peer-to-peer，伙伴對伙伴）、BT (bittorrent，比特流)等這類占用大量帶寬的應(yīng)用，就會影響其他用戶正常使用WLAN業(yè)務(wù)。

 通過對用戶限速，可以防止個(gè)別用戶占用過多帶寬，提升所有用戶使用WLAN業(yè)務(wù)的體驗(yàn)。

4.3無線網(wǎng)絡(luò)安全防范

 IEEE 802.11網(wǎng)絡(luò)很容易受到威脅網(wǎng)絡(luò)安全的攻擊，如DoS(denlal of servlce，拒絕服務(wù))/DDoS( distributeddenial of service，分布式拒絕服務(wù))攻擊、泛洪攻擊、欺騙攻擊等。通過啟用AC設(shè)備的WIDS (wireless intrusiondetection system，無線入侵檢測系統(tǒng))/WIPS (wirelessintrusion detection system，無線入侵保護(hù)系統(tǒng))功能，監(jiān)視分析無線用戶的活動、判斷入侵事件的類型、檢測非法網(wǎng)絡(luò)行為、對異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警，并根據(jù)策略采取相應(yīng)的措施，確保WLAN的安全。

 DoS/DDoS利用軟件（含操作系統(tǒng)）的缺陷、協(xié)議的漏洞（如Syn flood攻擊）進(jìn)行資源比拼（如發(fā)送大量的垃圾數(shù)據(jù)侵占系統(tǒng)資源），利用攻擊程序（如smurf、trinoo、tfn、tfn2k、stacheldraht告示DoS攻擊程序）進(jìn)行攻擊。

 當(dāng)一臺無線設(shè)備試圖在網(wǎng)絡(luò)內(nèi)泛洪時(shí)，會在短時(shí)間內(nèi)發(fā)送大量的同種類型的報(bào)文。此時(shí)AC和AP會被泛洪設(shè)備發(fā)送的攻擊報(bào)文淹沒而無法處理正常無線終端（合法用戶）的報(bào)文。

 泛洪攻擊類型的報(bào)文主要有：

 ·認(rèn)證請求／解除認(rèn)證請求；

 ·關(guān)聯(lián)請求／解除關(guān)聯(lián)請求／重新關(guān)聯(lián)請求：

 ·探查請求；

 ·空數(shù)據(jù)幀：

 ·action幀。

 欺騙攻擊：這種攻擊是借合法終端MAC地址來發(fā)送攻擊報(bào)文，如一個(gè)欺騙的解除認(rèn)證的報(bào)文會導(dǎo)致合法無線客戶端下線。

 通過啟用AC設(shè)備的WIDS/WIPS功能，監(jiān)視分析無線用戶的活動、判斷入侵事件的類型、檢測非法網(wǎng)絡(luò)行為、對異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警，并根據(jù)策略采取相應(yīng)的措施，以確保WLAN的安全。

4.4 WLAN設(shè)備的安全防范

 DHCP池的安全性。當(dāng)AC負(fù)責(zé)分配AP的地址時(shí)，即AC啟用DHCP池功能，如果AC不檢測DHCP請求的終端（如AP）的合法性而直接分配IP地址，則DHCP池的地址可能被耗盡并帶來安全隱患。

 對于DHCP池的安全性問題，要求AP支持DHCPoption60，即AP攜帶企業(yè)碼，這樣AC就不會為任意一個(gè)DHCP請求的終端分配地址。

 AC設(shè)備的安全性，主要有以下幾個(gè)方面。

 (1)AC配置公網(wǎng)IP地址，若黑客破解了AC設(shè)備賬號，入侵了主機(jī)，植入了非法進(jìn)程（如tirqd）與非法服務(wù)項(xiàng)（如tblockd），并啟用8080端口發(fā)送了大量的垃圾郵件，會造成惡劣的影響。

 應(yīng)采取的安全措施有：AC配私網(wǎng)管理地址，與公網(wǎng)隔離；AC啟用ACL策略，只允許特定IP地址的終端訪問，并設(shè)置登人賬號：只打開特定端口，其他端口關(guān)閉。

 (2)當(dāng)AP到AC注冊建立隧道時(shí)，如果AC不檢測／認(rèn)證AP的合法性，而直接允許AP注冊，則存在非法AP接入的風(fēng)險(xiǎn)。

 應(yīng)采取的安全措施有：AC應(yīng)檢查AP的序列號、MAC地址等，確認(rèn)所接入的AP是預(yù)先允許接入的AP。

5  結(jié)束語

 將AC集中部署、通過AC池化技術(shù)組網(wǎng)，大大減少了AC部署數(shù)量和占用機(jī)房空間，節(jié)省了管理、維護(hù)和人力成本；支持AP通過中國電信的有線網(wǎng)絡(luò)和移動網(wǎng)絡(luò)以及其他運(yùn)營商網(wǎng)絡(luò)接入AC中心，實(shí)現(xiàn)WLAN城域組網(wǎng)，極大地?cái)U(kuò)展了WLAN覆蓋范圍。利用豐富的VLAN資源實(shí)現(xiàn)外層業(yè)務(wù)VLAN標(biāo)識業(yè)務(wù)、內(nèi)層業(yè)務(wù)VLAN標(biāo)識AP或場點(diǎn)等技術(shù)，強(qiáng)化網(wǎng)絡(luò)及設(shè)備的安全性能．通過建設(shè)運(yùn)營級WLAN，滿足“無線城市”、行業(yè)WLAN、商業(yè)WLAN和公共無線寬帶上網(wǎng)需求。通過自建或與互聯(lián)網(wǎng)企業(yè)合作開展后向經(jīng)營，極大地提升了WLAN價(jià)值，為廣大用戶提供了高帶寬、低資費(fèi)的無線寬帶接入。