中国电信 W L A N 解决方案

中国电信ＷＬＡＮ解决方案

一．概述

１．１ 当前运营级ＷＬＡＮ的状况

无线局域网（ＷＬＡＮ）技术的发展使人们摆脱了线缆的束缚，更方便、灵活、快捷地访问网

络资源，也给运营商提供了寻找新的增值点的机会。ＩＤＣ（国际数据集团）的报告指出，运营

商对ＷＬＡＮ的需求体现在三个方面：一是传统运营商利用ＷＬＡＮ补充固网的覆盖；二是移动运

营商将ＷＬＡＮ与３Ｇ互补，由此培育业务与用户市场；三是ＩＣＰ和ＩＳＰ将借助ＷＬＡＮ提供更加

丰富而有特色的服务。然而，作为运营商级的ＷＬＡＮ解决方案，其面临的问题远比企业级和

个人用户要复杂得多，而首当其冲的就是安全问题。

此外，运营商还要考虑ＷＬＡＮ的可管理性与运营维护成本。虽然ＷＬＡＮ的架设和维护相对

简单，但如果安全问题的解决方案选择的不好会大大增加管理的复杂性和运营维护成本。

1.2中国电信现有WLAN状况

目前，中国电信在上海推出“天翼通”无线宽带上网业务，使用这项业务，人们可以在

家中或上海电信网络所覆盖的酒店、展馆、商务楼、休闲中心、连锁咖啡吧等场所进行无线

上网或远程移动办公。预计到到今年年底，上海“天翼通”的用户数量将达到三万户；成熟

的ＡＤＳＬ接入，为中国电信的ＷＬＡＮ接入提供了其他运营商所不具备的优势。

但正如上所述，天翼通目前方案的安全性并不尽人意，漏洞还是非常大的：

目前天翼通构架

现有中国电信WLAN接入中无线链路仅使用WEP静态密钥加密，客户端和认证服务

器使用PPPoE/WEB单向的认证方式完成身份认证及计费；无法抵挡MAN-IN-MIDDLE的

攻击，安全性较差；在尤其在公共热点，安全漏洞太多，只是现在电信WLAN推广初期使

用的方案。

二． 正诚科技电信ＷＬＡＮ解决方案

正诚科技电信WLAN解决方案利用现有可行的技术及设备，为运营级WLAN提供了最

大限度的安全保障；

正诚科技电信WLAN解决方案

本方案提出了基于802.1X的PPPoE/WEB认证的WLAN安全机制，在AP上进行基于

802.1X流程的密钥分发，AP和终端见的遵循WPA的定义的加密流程和加密算法，做到一

户一密。

在BRAS或AC上完成用户的认证，完成对于用户的业务的控制。同时支持的认证方式

为PPPoE，DHCP+WEB。

为了解决在AP上进行802.1X流程和BRAS或AC上进行PPPoE/DHCP+WEB认证不

兼容的问题，本方案提出了AP在802.1X过程中仅完成密钥分发的功能而不进行用户认证

的过程，AP也不进行端口控制的功能。

为了完成拥护在AP间的快速切换，AC作为认证点的同时也缓存WLAN拥护的动态密

钥，这样发生自动切换的移动中断通过切换到AP和AC之间通过模拟快速重认证的过程实

现密钥的迁移。使用改进的安全策略，基于802.1X 部分功能的PPPoE双向认证方式即两次

认证的式：网络认证和用户认证；

网络认证：

l 用户终端与支持802.1X EAP/TLS的认证服务器需要事先安装证书，客户端需

要安装专用客户端软件；

l 当客户端连接AP时，客户端通过AC与服务器自动完成802.1X流程，通过证

书确保连接到正确网络；

l 服务器通过AC将密钥分发给AP，此时AP和客户端有一对动态密钥为双方的

无线链路加密；

l AC将密钥缓起来，当用户越区时，AC即可将密钥分发给新AP，无需用户从

新认证，即可使用户实现无缝切换；

用户认证：

l 在无线链路安全的情况下，AP能与BRAS完成PPPoE认证，允许客户端安全

接入

本方案以上述改进的安全策略，即两次认证的方式使客户安全接入网络，有效避免了

接入伪服务器的可能；动态分配的密钥有效对无线链路加密，不断变化的密钥使破解密文成

为徒劳；正诚公司提供的上述整套解决方案，不仅仅是AP（P320/P380）、AC（G-6000）、

以太网供电交换机（E-820）的硬件设备，还包括后台的网络管理系统（S-6000）的软件产

品，为电信的安全构架WLAN提供了可靠的保障。

三． 正诚科技电信解决方案优势：

l 安全性：保障了用户认证过程中用户名和帐号的安全，用户数据通讯过程中用户数

据的安全及WLAN接入网络的安全；

l 简单性：使得AP，AC，RADIUS SERVER可以通过简单的软件修改就可以实现；

l 标准性和开发性：尽可能使用标准协议（IEEE，IETF），业界事实标准并符合标准

的发展方向；

l 扩展性：方案易于根据WLAN技术的发展而升级到新技术（ 如TKIP，AES加密 ），

而且易于根据市场的需要而扩展功能（ 如802.1X认证）；

l 保护现有投资：使得现有设备如城域网的交换机，路由器，接如服务器等可以通过

简单的调整适应WLAN接入的需要；

l 兼容性：保证同一AP下，加密用户，非加密用户在不需要用户干预的情况下都可

以使用网络；保证同一网络下PPPoE，DHCP+WEB认证方式的用户都可以接入网

络；

l 可运营性（用户管理和计费）:G6000配合后台计费及用户管理软件，基于Radius

的方式进行认证计费及用户管理保证网络安全的同时，可以进行运营级的计费、统

计、打印报表及基于策略的用户管理及用户监控。

l 可管理性（网管S-6000）:在机房中心安装的图形化见面的网络管理软件S6000可

以以图形化的方式直观地反映整个酒店网络的结构和运行状况，满足性能管理、配

置管理、故障管理、安全管理、计费管理等运营级的集中网络管理

四． 方案采用的产品介绍 (详细请访问)

1．电信级室内型AP--P320/P360

工作模式：ＡＰ，Ｒｏｕｔｅｒ（Ｐ３６０）

硬件：

l 支持８０２．１１ｂ标准

l 内置６ｄＢｉ（垂直极化）、４ｄＢｉ （水平极化）天线

l 发射功率１５￣２０ｄＢｍ可调

l 内置ＩＥＥＥ ８０２．３ａｆ ＰＯＥ供电模块

软件：

l ＤＨＣＰ Ｓｅｒｖｅｒ／Ｒｅｌａｙ

l 支持８０２．１ｘ认证

l 可网管，支持ＳＮＭＰ ＭＩＢ Ｉ ＆ ＩＩ ｗｉｔｈ Ｔｒａｐ

l 现场勘测／自动信道选择

l 远程软件升级（可保留原有配置）

l 负载均衡

l 用户隔离

l 支持ＩＡＰＰ漫游标准

l ＶＰＮ Ｃｌｉｅｎｔ

2．电信级室外型AP—P380

工作模式：ＡＰ／Ｂｒｉｄｇｅ／Ｒｏｕｔｅｒ

硬件：

l 支持８０２．１１ａ／ｂ／ｇ标准

l 内置１０ｄＢｉ天线

l 发射功率１５￣２０ｄＢｍ可调

l 内置ＩＥＥＥ ８０２．３ａｆ ＰＯＥ供电模块

软件：

l 支持ＩＰ静态路由，支持ＮＡＴ功能

l ＤＨＣＰ Ｓｅｒｖｅｒ／Ｒｅｌａｙ

l 支持８０２．１ｘ认证

l ＤＮＳ ／ ＳＭＴＰ重定向

l ＶＰＮ透传带宽管理 （通过Ｒａｄｉｕｓ ＷＩＳＰｒ ＶＳＡ）

l 支持ＧＲＥ隧道连接

l 支持ＷＥＢ、ＳＮＭＰ网管

l 内置ＷＥＢ浏览器，支持远程配置ＡＰ

l 配置文件上传下载

l

支持远程ＷＥＢ方式升级

4．以太网供电交换机E—820

l ２层交换，八个可供电端口

l ｎ符合ＩＥＥＥ ８０２．３ａｆ 标准

l 以太网供电距离１００米

l 可堆叠至３２口

l １９” 标准尺寸

l 支持端口ＶＬＡＮ

l ＷＥＢ管理界面

l 支持ＳＮＭＰ远程网管

５． 网络管理系统Ｓ－６０００

正诚的Ｓ－６０００网络管理软件，网络管理人员可以有以下的便利：基于地理信息系统的

拓扑管理；满足配置管理、故障管理、安全管理、性能管理、分布式管理，一个管理者可同

时连接和使用多个CORBA/SNMP网关（简称网关）

五．联系方式：

WEB: www. ( E-amil: cyberhome@ )