第一篇:浅析2011运营商DCN网络安全形势与解决方案
本文试图通过对2011年新形势下的运营商(以电信为例)DCN网络的安全性进行分析,对运营商内部业务运营支撑系统从各个角度讨论出其亟需解决的问题,并给出适合用户参考的解决方案。
以某省电信DCN网络为例,全网在内网安全管理和入网规范方面已 经做了很多工作,如划分了安全VLAN、部署了防火墙、Symantec 企业版病毒防护系统、补丁统一采用WSUS更新系统,制定了电信终端标准化项目(SMS、AD域、计算机命名规范、关闭默认共享)、并规定禁止安装游戏、聊天等与工作无关的软件等,但是已有的安全效果不佳,既有的规范无法真正落实,目前主要的安全隐患在于:
入网人员身份难以确认
由于运营商网络分散,业务众多,经常有各种身份的人员需要接入网 络,总体来看分为三类,包括公司正式员工、第三方合作单位项目实施人员及临时入网的来宾访客,目前已有的网络平台很难区分这三类入网人员,并难以在人员入 网后赋予相应的网络使用权限。这就造成全网的安全系数无法评估,一旦发生安全事件,无法及时定位,无法根据统计报表进行相关责任人的追溯。
违规外联造成数据泄露
“企业的核心价值就是商业数据,我们要保证这些数据的安全,”电 信的某位相关负责人向我们讲述到。在企业内某些禁止访问公网的区域,员工依然可以通过多种方式访问互联网,极易被植入木马程序;这些木马程序在内网计算机 违规外联的时候很有可能将机密信息秘密传送到公网,造成商业机密信息泄露;
终端随意开启服务或非法软件
如果终端用户随意开启伪DHCP、抢占IP资源的木马或者ARP欺骗病毒等程序,会直接影响网络正常运行,威胁网络安全。需要在内网中建立一种“威慑”控制机制,从端点上做好安全防护。
终端难以达到企业安全要求
企业办公网络中,任何一台终端的安全状态(如终端的补丁情况、防病毒软件安装和使用、病毒库更新、文件共享、密码复杂度等),都将直接影响到整个网络的安全。在终端数量众多且分散的情况下,无法掌握内网的安全性将导致随时发生重大安全事故的潜在威胁。
设备漏洞无法得到有效快速的修复
DCN网络中的终端机器数量大,分布范围广,各营业厅均为数台机器组成一个小范围的网络,因此对于存在安全隐患的终端进行及时有效的修复存在相当大的困难,如果需要网络管理人员现场修复将带来极大的工作量。对内部攻击缺乏隔离措施
由于DCN网也是IP网,因此黑客有可能从网络内部发起攻击。有些运营商虽然在DCN与公众网之间配置了防火墙,但是在网络内部的隔离措施还不完善。例如,当病毒泛滥时,一个地区的DCN网络内的病毒可能通过骨干 DCN网传播并影响其它地区的DCN网。通过以上分析我们可以看到,构建我国基础电信网安全保障体系,需要有的放矢,实用有效,针对现有的的安全威胁,进一步从技术和管理两方面加强网络的可用性。
引言:本文试图通过对电信DCN网的现状和安全性分析,对运营商内部业务运营支撑系统从各个角度讨论出其当下亟需解决的问题,并给出了合适的解决方案建议。
1.MBOSS系统与DCN网概况 1.1 MBOSS系统概况
MBOSS系统是电信运营商企业信息化的整体解决方案,由管理支撑系统(MSS)、业务支撑系统(BSS)、运营支撑系统(OSS)、企业数据架构(EDA)和基础平台构成。管理支撑系统(MSS):MSS系统包含了企业门户、协同办公系统、人力资源系统、信息数据管理统计系统等多个模块,其目标是要通过对协同办公、人力资源、工程项目、采购及库存的管理等方面应用的集成,为中国电信的管控流程提供IT支撑。
业务支撑系统(BSS):BSS系统依据以客户为中心、以信息为基础的建设方针,通过与运营商的各种业务系统互连,集成相关的客户信息,整合电信帐务管理流程来实现各项功能。总体功能分为:计费帐务、CRM、经营分析、电子渠道四大功能领域及企业数据总线EAI。
运营支撑系统(OSS):主要用于电信业务系统的后端运营支撑,通常由网络管理、网元管理、资源管理、业务开通、施工协调等主要系统组成。随着电信的转型,OSS不仅需要满足面向客户的OSS运营支撑,同时也需要逐步满足ICT等新业务的运营支撑。
1.1 DCN网概况
电信DCN网的概念来自于TMN体系结构。在早期,DCN网络用于承载电信网各种设备的网管信息,称为网管网。随着网络的演进和业务的扩展,目前的DCN网络除了承载网管数据之外,还承载着计费,97,OA,MBOSS等业务的数据信息,发展成为一个内部支撑网,是电信行业重要的内部IT支撑平台。目前,运营商的DCN网基本上都是单独规划、单独建设,是物理上独立的网络。
基于DCN网的重要性,各运营商都把安全性建设作为了DCN网络建设的重点。在网络建设过程中,运营商通过划分虚拟网、配置安全防护设备等手段降低了网络安全风险,提高了网络抗攻击的能力。
2.网络安全性分析
以某省电信DCN网络为例,全网在内网安全管理和入网规范方面已经做了很多工作,如划分了安全VLAN、部署了防火墙、Symantec 企业版病毒防护系统、补丁统一采用WSUS更新系统,制定了电信终端标准化项目(SMS、AD域、计算机命名规范、关闭默认共享)、并规定禁止安装游戏、聊天等与工作无关的软件等,但是已有的安全效果不佳,既有的规范无法真正落实,目前主要的安全隐患在于: 2.1 各部门或营业厅的终端设备性能严重下降
各部门及营业厅终端设备由于设备资源被异常占用导致终端处理速度下降、网络堵塞,致使终端业务系统速度很慢,造成大量的客户投诉。需要在管理中心实时监控终端设备的CPU 使用率、内存、硬盘占用、I/O读写字节数、建立TCP连接个数、UDP监听端口数目等,并对异常情况进行报警以便及时得到处理。2.2 违规外联造成企业商业数据泄露
“企业的核心价值就是商业数据,我们要保证这些数据的安全,”电信的某位相关负责人向我们讲述到。目前的很多行业用户在内外网隔离的环境下,员工依然可以随意的通过多种方式访问互联网,极易被植入木马程序;这些木马程序在内网计算机违规连入互联网的时候,在未被察觉的情况下机密信息就能很快的传送出去,造成严重的商业机密信息泄露事故;
2.3 移动存储设备随意使用带来安全隐患 对于带有涉密信息的隔离网络,涉密信息一般都保存在本地并可能通过移动存储介质进行传播。当涉密信息保存在流通的移动存储设备中时,未进行加密或保护的移动设备一旦遗失,在其他计算机就能够直接访问、修改,这将直接导致涉密信息外泄;同时外来人员如果随意把未经检查的移动存储设备接入到内网计算机中,极有可能传播病毒、木马,并且会很快的扩散到全网,直接影响每个终端的正常使用,甚至会造成全网业务瘫痪的严重事故。
2.4 终端用户的操作行为无法做到有据可查
安全事件最担心的是万一事故发生没有线索可追查,目前无法对员工在终端上的操作行为做审计,一旦发生了安全事件,很难定位到相应的事故发生源。本着“事先预防,事中控制,事后审计”的原则,应对每个员工的各项终端操作行为做好审计,以防患于未然。
2.5 终端随意开启服务或安装非法软件威胁网络安全
如果终端用户随意把类似于伪DHCP、抢占IP资源的木马或者ARP欺骗病毒程序开启,会直接影响网络正常运行,威胁网络安全。需要在内网中建立一种“威慑”及控制的机制,从端点的控制做好安全防护。
2.6 无法确认终端是否达到企业要求的安全防护规定
企业办公网络中,任何一台终端的安全状态(主要包括终端的补丁情况、防病毒软件安装和使用情况及版本、病毒库更新情况、系统安全设置、文件共享状况、必须和禁止安装软件、用户密码复杂度、屏保设置情况、企业自定义检查项等),都将直接影响到整个网络的安全。在终端数量众多且分散的情况下,无法掌握内网的安全性将给网络带来重大的安全隐患,随时有发生重大安全事故的潜在威胁。2.7 安全性低的设备无法得到有效快速的修复
DCN网络中的终端机器数量大,分布范围广,各营业厅均为数台机器组成一个小范围的网络,因此对于存在安全隐患的终端进行及时有效的修复存在相当大的困难,如果需要通过网络管理人员人工现场修复将带来极大的工作量和极低的工作效率。
2.8 对内部攻击没有有效的的隔离措施
由于DCN网也是IP网,因此黑客有可能从网络内部发起攻击。有些运营商虽然在DCN与公众网之间配置了防火墙,但是在网络内部的隔离措施还不完善。例如,当病毒泛滥时,一个地区的DCN网络内的病毒可能通过骨干DCN网传播并影响其它地区的DCN网。
通过以上分析我们可以看到,构建我国基础电信网安全保障体系,需要有的放矢,实用有效,针对现有的的安全威胁,进一步从技术和管理两方面加强网络的可用性,同时需要建立完善的应急通信体制,从而有效地保障我国基础电信网络的安全稳定运行。
3.法令法规上的明确要求
信息安全、网络安全在大型企业、机构中越来越受到重视,包括运营商和国家相关安全部门都相继出台了关于信息安全的法令法规;国际上早在上世纪就出现了很多信息行业相关性的标准,下面重点分析现有的法令法规以及行业标准: 3.1 《CTG-MBOSS安全规范体系V1.0》
为了进一步提高中国电信集团公司CTG-MBOSS的安全管理与技术控制水平,规范与指导CTG—MBOSS安全建设,中国电信集团公司在07年制定了《CTG-MBOSS安全规范体系》,其中对于终端安全做了详细的规定。包括终端自身安全防护(补丁、主机防火墙、防病毒软件)、终端行为监控(非法外联、上网行为、应用软件)、终端的网络接入控制(终端及用户的身份认证、终端安全性检查与智能修复、网络授权访问控制)等多项相关规定。
3.2 《信息安全等级保护管理办法》(公通字 [2007]43号)等法令。
等级保护明确规定,从技术和管理两个方面入手共同完成信息系统的安全保护。与内网安全相关主要涵盖了终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。
3.3 《ISO27001信息安全管理体系》
ISO27001指出信息安全是通过实现组合控制获得的,以防止信息受到的各种威胁,确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
安全控制可以是策略、惯例、规程、组织结构和软件功能。ISO27001中明确指出接入网络的管理规范和设备要求规范。
3.4 《萨班斯SOX法案》 IT内控体系 萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面,其中404条款(内部控制的管理评估)明确要求对企业内部的控制规范要求。
按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面: 一是针对网络准入控制;二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。
4.参考解决方案
运营商网络的重要性不言而喻,针对上述问题和背景,需要在网络中建立好网络准入控制的整体平台,从而对网络接入、终端安全防护、入网规范与管理、隔离与智能修复、安全整合等各项功能进行有效的实现,构建DCN网络健全的内网防御体系。
ASM盈高入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承“不改变网络、不装客户端”的特性,重点解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能,满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。通过ASM网络准入控制的平台建设,能够规范以下基本入网流程: 1.统一分配唯一的准入登录帐号,入网人员使用此唯一帐号登录DCN; 2.身份认证后将对终端进行安全扫描,扫描内容包括补丁升级、杀毒软件的安装和更新、进程是否安全、服务及端口控制、其他自定义的入网规范等,对于存在重大安全隐患的机器,必须立即进行隔离,并对不符合入网规范的机器进行智能修复,免去管理员手工修复的巨大工作量;
3.安全设备登录DCN后,能够根据业务需求,有限制的访问DCN资源,并由终端安全策略统一进行管理;
总体来看,通过建设ASM网络准入控制平台将实现以下功能点:
4.1 双实名制
ASM盈高入网规范管理系统在提供多样化的身份认证,保障接入网络人员合法性的同时,支持对设备的实名认证,保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。
4.2 多样化身份认证
ASM盈高入网规范管理系统既提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动,保障身份认证功能的多样化。
4.3 来宾管理
随着各项业务的开展,访客来往将必不可少。ASM盈高入网规范管理系统提供“我是来宾”选择访问模式,管理员可以事先配置来宾区资源(如互联网、收发邮件等)。基于应用的方式对来宾访问权限进行控制,可以实现既满足业务需要,又保护好用户内网资源的目标。
4.4 多样化引导
ASM盈高入网规范管理系统在提供传统的网页智能引导的功能的同时,更拓展支持通过QQ界面引导,通过邮件客户端引导,进一步地方便了用户的入网体验和快速入网的流程。
4.5 综合入网控制、检查引擎及规范执行审计
ASM盈高入网规范管理系统以入网强制技术为基础,先在网络边界设立岗哨,将之前无序的接入网络行为加以控制;再结合具有优化的高效检查引擎--“基于安全策略可配置引擎”(国家科技部创新基金编号-09C26223301274),进行安全检查修复,并且可持续在线升级引擎及规范库;监视合法终端在网络内的操作行为。技术的组合可以有效解决网络安全规范落实的问题。
4.6 人机对应
ASM盈高入网规范管理系统采用可以实现非常灵活的设备分组、分级分域管理,对所有设备建立责任人对应管理制度;这样将IP设备与用户ID建立对应关系,对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产,可以采取不同的安全检查规范。4.7 可定制化特色安全检查规范
ASM盈高入网规范管理系统针对不同的行业,提供了可定制化的行业特性规范模版;并以此模版为依据,通过系统设置落实在管理手段上。
4.8 “一键式”智能安全修复
ASM盈高入网规范管理系统为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能,解决终端用户面对漏洞而无从下手,导致不能及时接入网络进行业务操作的问题,减少安全隐患修复的复杂性和专业性,同时大大减少了管理员的工作量。
4.9 定期更新的安全检查引擎及规则库
安全检查规范作为准入控制系统对接入设备审核安全性的依据,应具有丰富性、扩充性、行业性。ASM盈高入网规范管理系统不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项,也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项,还可以根据用户的实际需求进行扩充。盈高科技可以为用户提供符合安全管理需求的安全检查规范库在线或离线更新服务,给用户带去的不仅仅是产品更是个性化的服务。4.10 国内最优秀的网络适应性
ASM盈高入网规范管理系统集成了思科的EOU、H3C的PORTAL/PORTAL+、策略路由、L2-OOB-VG虚拟网关、DHCP强制、SNMP强制以及透明网桥等多种入网强制认证技术,可以适应于各种复杂的网络环境,灵活的部署到网络中。作为独立的第三方专业厂商,可以兼容不同厂家的网络或安全设备,具有目前国内最优秀的网络适应性。
4.11 基于角色的动态授权
在用户认证及设备通过病毒、补丁等安全信息检查后,ASM可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。可以事先做好安全管理规划,根据需要划分多个安全域,管理员可以通ASM设备根据角色的不同配置可访问的安全域。这样就可以在内网中做好区域访问布控。
4.12 严格管理内网外联行为
在机器数量众多且分散的情况下,内网的机器容易利用管理的漏洞私自通过3G网卡拨号上网或者其他方式进行非法的外网访问,这就给涉密内网带来了信息外泄、中毒或成为外网黑客木马跳板的安全风险。
ASM入网规范管理系统通过入网时的安全规范检查确保进入内网机器的访问规范,对于扫描到有非法外联行为的机器进行有效的阻断,并可以在终端设备上进行实时的外联行为检测,对于任何情况下的非法外联均能进行有效的发现和及时处理,从而确保涉密内网的入网规范和信息安全。
4.13 联动与整合
ASM盈高入网规范管理系统在端点上采用Agentless可分解代理(无客户端)技术,主动检查各项规范落实情况,能够与防病毒软件、桌面管理等终端安全防护强强联动;并且结合终端资源、IP资源、补丁资源、规范策略以及集中报警事件,有效改变之前的单点防御、无序分散管理的局面。
4.14 实名制报警与审计报表
ASM盈高入网规范管理系统能够对新接入网络的设备、等待审核设备、统计报表及网络中的异常情况以邮件提醒、手机短信等形式进行及时报警。ASM能够收集接入设备的相关信息,对各检查项数据进行统计分析并提供报表便于查看,管理员能一目了然地掌控全网的安全状态。
第二篇:电信运营商解决方案
中英文日报导航站 www.xiexiebang.com
电信运营商解决方案
电信级VOIP业务提供商:
作为传统行业的电信运营商,凭借成熟的基础网络以及知名度,在VOIP新兴业务的发展中,可以更为前瞻的做出市场定位,同时通过更为低廉的运维成本,巩固竞争地位,占据更为领先的发展优势。利用互联网这一媒体作为接入网系统来收集话务量,实现跳跃式的发展,迅速介入高额利润的公用电话及企业长途电话的市场。电信级VOIP业务提供商的VOIP的组网方式如下图
此套系统方案适用电信级、城域级的VOIP业务提供商,可以完成从终端IP语音压缩、端口号码分配、用户端主叫计费、通过任意接入方式进入该系统进行网络语音传输;直到中心呼叫认证管理、IP地址解析、媒体流转发、互联网与运营商骨干传输网的交换等一系列功能。已形成了一套完善的低成本、高回报的IP语音系统接入方案。作为成熟的VoIP解决方案已被多家电信运营商所采用。
此方案的中心接入管理系统由软交换平台、网络电话、综合计费系统组成。所有用户端网关发出的呼叫首先到软交换平台上进行呼叫认证,可以通过主叫号码、网关ID号、IP地址、网关MAC地址进行认证、最优化路由选择、地址的转换等程序后,将媒体流转发给接入网关,通过传输网连接,再发送到骨干传输网上完成长途传输、和市话落地。其中话费的记费由电信机房的记费系统(Keep Account System)完成(如图),从而最终实现IP Phone落地话费的解决方案。
与此同时,此方案在结构上看,具有很强的可扩展性能,为今后提供更多的VOIP综合业务能力提供了有利的网络环境。
中英文日报导航站 www.xiexiebang.com
中英文日报导航站 www.xiexiebang.com VOIP业务运营商(IP超市项目):
本解决方案适用于已申请具有VOIP运营资格的用户,可由我司的网络电话作为终端网络构架,与电信级VOIP业务提供商结合,以较低的运维成本开展IP Phone—PSTN固话与移动的语音业务。同时以极具市场竞争力的资费价格优势占据一定的语音业务市场。IP话吧组网方式如下:
如图所示,在Internet的上方左边GK系统模块和右边的电信PSTN组成了一个标准的VOIP系统平台。从而实现了点对点,点对面的功能。
在Internet的下方有两组Internet接入方式不同的IP超市方式,左边是以ADSL宽带接入方式;右边是光缆专线接入方式。
该方案主要用于架设好一个GK Server(双机热备、磁盘阵列)平台作为运营中心,在要从事IP 电话超市的地方因地置宜架设一个小局域网络,构成一个虚拟IP 电话亭。再利用一套IP 电话超市管理软件来进行IP电话亭的收费和管理。由于该方案成本极低,利用便利的网络条件就近服务大众,在目前的校园和居民区等人口集中且话务需求量大的地区具有很大的市场。在较大的营业网点可以在计算机上安装一个ABS软件来管理的,而在较小的营业网点,可以通过直接在网关上接票据(串口)打印机的方式来进行记费管理。
中英文日报导航站 www.xiexiebang.com
第三篇:电信运营商无线城市运营解决方案
电信运营商无线城市运营解决方案
成都星锐蓝海网络科技有限公司
2014-7-16
目录
一、项目背景...................................................................................................................................3
二、需求分析...................................................................................................................................3
三、方案设计原则...........................................................................................................................4
四、方案详细说明...........................................................................................................................5
4.1方案拓扑图........................................................................................................................6 4.2方案特色说明....................................................................................................................7
五、案例赏析...................................................................................................................................8
5.1 政务服务中心...................................................................................................................8 5.2景区....................................................................................................................................9 5.3商场/商城........................................................................................................................11 5.4电信运营商......................................................................................................................11
六、产品型号和报价.....................................................................................错误!未定义书签。
一、项目背景
6月27日,工信部宣布发放FDD试验网牌照,电信获得包括上海、西安、成都、杭州、武汉、南京、济南、合肥、石家庄、海口、郑州、重庆、深圳、南昌、南宁、兰州等16个城市的TD-LTE/LTE FDD混合组网试验许可。不过相对中国电信年内部署300个城市的4G发展目标,显然差距明显。在3G时代,中国电信依靠CDMA EVDO相对TD-SCDMA网络的比较优势,并结合光域覆盖,取得了良好的口碑和用户增长。不过在中国移动广域部署100 Mbps的TD-LTE 4G网络、中国联通发展HSPA 42 Mbps 3G网络的情况下,其EVDO Rev A网络下行速率只有3.1 Mbps,基本上“一朝回到解放前”,发展WLAN网络将成为中国电信3G网络的有力补充。
在这样的背景下,某地电信运营商决定在市区的主城区和人口密集地带建设WLAN网络,向自己的电信用户提供免费的WIFI上网服务,以提高品牌知名度和效应,并以此拉动新入网用户数量的增长,进一步提高市场占有率。
二、需求分析
实际证明,无论是3G还是4G,在城市热点地区,在大用户使用情况下,都无法在带宽和覆盖上满足用户的良好体验。而WLAN成本相对较低、部署方式灵活,并可缓解室内4G高频段覆盖不良的问题。
针对目前该电信运营商无线城市运营的背景,充分考虑到无线网络建设及未来运营中可能出现的问题,由蓝海卓越提供的无线认证解决方案需要满足以下需求:
1、电信用户通过手机获取密码短信的方式方便的接入到无线网络中,只需要填写手机获取到的短信密码即可进行认证上网;
2、可以对认证页面、认证成功页面进行高度定制,支持多种网页设计语言,以实现对认证页面自由设计的需求;
3、方便管理,能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理;
4、认证成功后可以实现强制跳转至电信官网或其他指定网站,可以有效进行广告宣传和推广;
5、第一次需要手机短信认证上网,之后不再需要认证,而是通过观看广告页面后自动完成认证并上网;
6、部署方便,维护简单,同时对整体设备需要易操作易管理,维护简单;将来增加覆盖范围和用户数量能够方便的进行扩展升级。
三、方案设计原则
蓝海卓越基于多年的产品运营经验及对无线网络运营需求的深刻理解,针对某地电信无线接入认证需求并结合现有产品推出“电信运营商无线城市运营解决方案”,从打造可管理、可运营的无线网络角度出发,致力于为客户建设一个高效可靠、运营成本低的商用无线网络,使无线网络部署轻松、可靠、高效。根据用户需求及用户网络特点,该方案设计遵循以下原则:
1、高可靠性,无线网络运行的稳定可靠是接入认证系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,适合7×24不间断运行;
2、技术先进性和实用性,在保证满足无线接入认证的同时,又要体现出接入认证系统的先进性,充分考虑到系统应用的现状和未来发展趋势,能够方便的对功能进行扩展;
3、标准开放性,支持国际上通用标准的网络协议、支持中国移动WLAN业务Portal协议规范,有利于保证与其它网络及设备之间的平滑连接互通,以及将来网络的扩展;
4、灵活性及可扩展性,根据未来业务的增长和变化,网络及设备可以平滑地扩容和升级,并在扩容和升级过程中最大程度的减少对网络架构和现有设备的更换调整;
5、可管理性,对网络状况实行集中监测、分析,具有对接入用户、设备、网络、流量等进行统计分析和管理的功能。
四、方案详细说明
蓝海卓越结合广泛无线认证市场需求,推出自有Portal无线认证系统及AC、AP等无线网络产品,最大限度的满足现有无线接入认证的市场需求。通过蓝海卓越Portal系列产品,用户可以方便的组建无线网络,实现WEB认证、广告推送、用户管理等多种功能。4.1方案拓扑图
蓝海卓越额无线认证系统主要由:移动终端(智能手机、平板电脑、笔记本等)、AC控制器、AP、Portal服务器、Radius服务器以及短信网关组成。在整体方案中,它们充当的角色分别如下:
1、移动终端:用户使用手机、平板等移动终端设备连接到电信WLAN无线网络中;
2、AP:无线接入点,实现一定区域内无线信号的覆盖;
3、AC控制器:集中控制管理所有AP设备,根据需求建立统一的SSID;
4、Portal服务器:同AC设备对接,实现Portal认证页面的弹出和无线认证流程,认证页面支持任意网页语言进行定制设计;
5、短信网关:负责发送密码短信给电信手机用户,以便用户通过输入密码进行无线认证上网;
6、Radius:能够建立套餐和账户,实现对上网用户的账户密码信息进行认证。4.2方案特色说明 1)无线接入认证
所有具备无线功能的移动终端均可以方便的接入到无线网络中,当发起http访问请求后会被重定向到Portal认证页面; 2)认证页面定制
认证页面/认证成功页面均可以按照自己的要求进行定制设计,支持任意网页设计语言,达到良好的页面展示效果;在认证页面和认证成功页面可以自由设计承载广告信息; 3)页面跳转
当用户完成手机短信认证后,自动跳转至电信官网或其他指定网址,实现对电信品牌的二次营销,增强品牌知名度,提高服务水平; 4)手机短信认证
支持手机获取随机密码短信的方式认证上网,用户只需要输入自己的手机号码即可收到随机密码,在规定的时间内输入密码提交验证即可无线认证上网; 5)电信卡用户认证 支持对接入用户的手机服务运营商进行判断,只有是该区域电信用户方可获取短信密码进行认证上网,非电信用户无法获得密码短信不能上网; 6)用户管理
强大的用户管理功能,可以实现对手机短信认证用户的上传、下载速度以及在线时长等进行设置,实现对无线接入用户的速度、在线用户数、上网时长等管理; 6)广告推送
当用户第一次完成正常的手机短信认证上网流程后,以后均不再需要输入手机号码和密码进行无线认证,而是直接跳转至某广告页面,观看10秒广告后自动跳转至电信官网,实现广告的推送功能。
五、案例赏析
5.1 政务服务中心
5.2景区
商场/商城
5.4电信运营商
蓝海卓越无线Portal认QQ群 :22623254 COOVA免费广告路由器 :372194965 小区宽带运营交流群:328518596
第四篇:电信运营商“搅局”网络视频
电信运营商“搅局”网络视频
2009年3G时代到来之时,手机视频曾被认为是一项“杀手级应用”,电信运营商开始跑马圈地,加大对手机视频业务的投入力度。包括优酷在内的互联网视频网站也纷纷布局手机视频,一时之间,视频成为万众瞩目的焦点。
但是在随后的一年时间之内,3G用户的增长情况并不理想。3G应用发展不成熟、套餐收费过高、消费者消费习惯尚未形成等因素都限制了3G用户的增长。而手机视频相对于其他业务种类,对无线宽带的要求更高,而且更加消耗流量,用户增长更加不容乐观。
随着智能手机价格大幅下调,智能手机的销量迅速上升,据易观国际的统计数字,2011年第一季度,智能手机销量的市场占有率已经逼近30%,也就是说在新增的手机用户中,有接近三分之一的用户选择智能手机。而且电信运营商为了普及3G,下调了3G套餐的最低额度,3G网络也更加成熟,这些都为手机视频业务的爆发积聚了条件。
根据工信部近期发布的报告,我国手机视频用户数量超过3500万,已经初具规模。不过电信运营商在手机视频业务领域的市场占有率并不理想,艾瑞咨询发布的《2010年中国手机视频用户行为研究报告》的数据显示,2010年中国手机视频用户经常访问的手机视频网站类型中,选择“综合视频网站”的用户占比为76.2%,用户比重最大;选择“门户类视频网站”的用户比重为43.6%,排在第二位;“网络电视台”的占比为30.4%;选择“电信运营商的手机视频服务”的用户占比最小,仅为12.1%。
优酷、土豆、酷
6、新浪视频、搜狐视频等视频网站在消费者中间已经形成了比较大的品牌影响力,而电信运营商的视频产品却尚未形成多高的用户认知,而且电信运营商的手机视频服务更多地选择与视频网站合作,例如激动网、土豆网和优酷网等均是电信运营商内容合作伙伴。
不过这种局面正在发生改变。7月15日,中国电信天翼视讯网站开始试运营,不同于传统的合作模式的是,这家网站上所有的视频全是购买而来,拥有独立的版权授权。依靠原来在互联星空平台上积累的大量内容合作伙伴和视频业务运营经验,中国电信力争三年内将视讯业务规模进入行业前列。
更早时间,中国移动的互联网视频门户移动视频也已悄然上线。中国联通也在近日与优酷建立战略合作关系,共同推出国内首个移动视频UGC平台联通视频分享平台。
电信运营商的相继发力搅动视频业“一池春水”,国内视频业发展呈现变局。
三网融合的必然
2010年通过的三网融合试点方案将音视频节目的播控权交给广电独家拥有,电信运营商则成为技术“传声筒”,负责视频数据的传输。不过电信运营商还争取到部分视频节目的制作权。
近期,工信部官方网站透露,在工信部党组理论学习中心组(扩大)学习会上,工信部党组书记、部长苗圩强调“尽快发放电信、广电双向进入业务经营许可证,制定下一步试点范围扩大到省会城市的工作方案。”这意味着三网融合的进程可能会加快。
三网融合的最终目标是实现广电、电信的双向进入,广电可以发展宽带业务,电信运营商也可以经营IPTV、手机电视等视频类业务。电信运营商在视频业务上的集体发力,可能与政策的新动向相关。
三网融合迈不过视频这道坎。电视、电脑和手机三屏之上,视频都是最主要的应用之
一、而电信运营商在视频业务上拥有多重优势。
目前视频业务最主要的费用来自于宽带和版权,而电信运营商在互联网接入和宽带服务上具有天然的优势,这可以帮助电信运营商降低视频业务的经营成本。
而且电信运营商有超过9亿的手机用户,即使其视频业务可以获得九分之一的用户,其规模也达到了1亿,这样的用户规模足够发展网络广告、收费视频、版权分销等多种业务模式。
电信运营商还有便捷的收费渠道。话费支付简单方便,可以覆盖高达数亿的用户人群,这比利用支付宝等第三方支付工具要便捷得多,也更加安全。
更别说电信运营商本身强大的资金实力和技术能力,它们以前在互联网业务领域拥有深厚的积累,在整个产业链中拥有终端、应用、渠道等多方面的优势,所缺乏的只是内容资源。而这个缺陷可以通过购买版权或者自制内容加以填补。
正是意识到自身的优势,电信运营商一直试图在视频业务领域分一杯羹,例如之前极力推进的IPTV和手机电视等业务。只是受限于体制因素,三网融合的步伐一直非常迟缓,而电信运营商又无法获得政策支持,其视频业务才迟迟未能形成规模。一旦政策的藩篱得以取消,电信运营商有强大的实力成为视频领域的“黑马”。
多方角力
视频领域的竞争非常激烈,整个行业虽然经过多年的发展,但是仍然没有脱离“跑马圈地”的阶段,包括优酷、土豆在内的众多视频网站尚未实现盈利,还在烧钱购买版权等内容资源,争夺用户。
越来越多的“角色”加入到阵营之中,有线运营商、电视台、电视厂商都成为视频领域强有力的竞争者。有线运营商在北京市、上海市、苏州市、济南市、杭州市、金华市、新疆等20多个省市通过免费赠送机顶盒、业务捆绑等多种方式发展本地高清双向业务,以“高清”为主要诉求点,掀起高清电视发展的小高潮。
广电旗下的各大电视台也纷纷争抢视频蛋糕,2009年底CNTV实现开播,2011年8月25日,由深圳、苏州、柳州广播电视台等全国19家媒体组成的“城市联合网络电视台”举行开播仪式,“城市联合网络电视台柳州台”作为首批成员台也同步正式开播。国家广电总局网络视听节目管理司司长罗建辉表示,鼓励有条件的电视台创办网络电视台,鼓励传统媒体进入新媒体。
与此同时,广电还利用自身手中的视频节目播控权,对其他的视频厂商进行打压。国家广电总局近期下发了《关于严禁通过互联网经机顶盒向电视机终端提供视听节目服务的通知》(以下简称“通知”),通知要求视频网站立即开展自查整改,自行关闭互联网电视平台,停止一切销售、宣传活动。业内人士认为,此举是为了限制智能电视的发展。
而广电限制的对象――电视生产厂商,也是视频领域的一个强有力的竞争者。在互联网电视、智能电视潮流兴起之后,传统的电视厂商找到了提高电视产品附加值,扩大扩大收入来源的渠道,这对于利润日益摊薄的国内电视产业无疑是利好的消息。而广电从自身利益出发,携监管之名限制互联网电视、智能电视的发展,既做“裁判员”又做“运动员”,遭到很多非议。
从电信运营商的角度来说,视频固然是一个不容忽视的机会,而且随着三网融合的逐渐推进,电信运营商的获益会更加明显。但是从整个视频业务发展的整体来看,其承担的责任也是显而易见的。目前国内宽带成本居高不下,与电信运营商的宽带垄断直接相关。而电信运营商为了维护各自的利益造成的国内宽带服务南北分割的局面,更是大幅增加了视频网站的运行成本。解决通信网络的“互联互通”问题虽然是一个老话题,但是在今天视频业务面临十字路口、三网融合推进力度日益加大的今天,电信运营商应该拿出一些更加实际的行动了。
多方角力,视频行业还需要一个更加强大的监管者,不是广电总局,也不是电信运营商,而应当是一家更加中立和权威的部门,来维护整个行业的公平竞争和健康运行。
第五篇:运营商小区无线宽带接入网络(范文模版)
无线热点宽带运营网络建设
无线热点宽带运营网络建设
随着用户对Internet接入服务需求的上升,电信市场的竞争愈加激烈。采用先进的无线宽带网络系统,使得运营商能在最短的时间、以最有效的投入,为广大用户提供便利的Internet接入服务,最大程度降低了运营商的投资成本,为运营商带来新的利润增长。
无线宽带运营网络的优势: 1.投资成本低
2.系统稳定可靠,维护简单,运营成本低
3.系统扩展方便,系统覆盖范围灵活,方便用户数量增加 4.业务数据流多样性保障 5.用户接入灵活方便
6.系统技术先进,软件升级容易,投资得到保护
从商务上分析成功案例,我们发现,对于宾馆酒店、住宅小区、商务楼宇以及大专院校学生宿舍区等上网客户群比较集中的区域,运营商投入无线局域网设备进行区域无线宽带网络覆盖,取得了立竿见影的投资回报。无线上网用户发展迅速,超出经营者的预期。从技术角度分析,运营商无线网络建设的多种应用环境,可以归纳为以下几种典型结构:
一、多层楼房的无线覆盖
目前,大多数学校宿舍和普通住宅小区,都是多层结构楼房。最典型的是高度在7层左右,长度约60米的建筑形式,建议分别从楼房前后两面来完成无线覆盖。
无线热点宽带运营网络建设
二、高层建筑的无线覆盖
高层建筑目前在我国已成为宾馆酒店、现代小区以及商务楼的主体形式,楼层高度一般在20层以上。采用室外覆盖方式,一般一套设备配合天线,可以覆盖约7层楼。为保证较高楼层的信号强度,在该建筑附近,需要有一定高度的其它建筑,以供天线的架设。如图所示,对一座20层左右的高楼,一个方向至少需要采用3套设备,分别完成对不同高度楼层区域的无线覆盖,当然,同时还需根据用户的数量来设计合理的设备使用数量。
三、低层建筑群的无线覆盖
对低层建筑群,如别墅群的覆盖,一般选用多套设备覆盖整个建筑群区域,根据现场情况,选用多套电信级无线AP配合定向天线或全向天线进行覆盖。相邻设备间的频道隔开在5个频道以上。所有设备的ESSID设成一样,以满足用户在无线覆盖区域做无缝漫游的需求。
无线热点宽带运营网络建设
四、室内覆盖技术
前面几种方案主要适用于用户密度较小的区域,比如入住率不高的小区等。对于用户密度大的区域,应当以采用室内覆盖为主室外覆盖为辅的建设原则。
三、低层建筑群的无线覆盖
对低层建筑群,如别墅群的覆盖,一般选用多套设备覆盖整个建筑群区域,根据现场情况,选用多套电信级无线AP配合定向天线或全向天线进行覆盖。相邻设备间的频道隔开在5个频道以上。所有设备的ESSID设成一样,以满足用户在无线覆盖区域做无缝漫游的需求。
一般来讲,针对局部开放的室内大环境,如卖场、礼堂、体育馆、酒店大堂等,网络用户数量较多而集中,推荐设计以单个AP小面积覆盖,多个AP整合交叉覆盖形成大面积覆盖区域,每个AP都独立接到交换机上,以保证有足够高的带宽。实际项目中,采用艾克赛尔(Axelwave)无线网络802.11n标准的室内壁挂式EZW6280和室内吸顶式EZRM6205无线AP设备,完成无线网络的室内信号覆盖。
五、盲区的补点和CPE的使用
根据经验,若使用标准电信级无线网络产品实现热点中100%区域的WLAN无线信号覆盖,业主需要的经费预算往往非常高昂。为追求更好的投入产出比,可以使用AX9800ARA无线中继器,将信号盲区进行补点覆盖。或者给位于特定位置的少数用户提供CPE无线客户端产品,使他们可以在弱信号地区接入无线网络。这样的选择一方面提高了无线网络的有效覆盖范围,同时也大大降低了业主的总投资成本预算。
六、大规模无线网络系统中设备的集中管理
热点可大可小,大的可能达到万户数量级,小的也可能有近千个用户。网络中部署的无线网络设备多的时候超过千台,少的时候也会近百台。对于这样的规模网络,必须配置高性能的设备集中管理平台,才可能保证网络稳定连续运行。
艾克赛尔(Axelwave)无线网络集多年的网络设备开发生产经验,为这类用户设计了非常实用的性能先进的集中管理平台。该AC2000平台软件运行于通用的网络和计算机设备上,而无需专用设备,大大降低了业主的投资预算,获得广大用户的好评。其主要功能有:
无线热点宽带运营网络建设
1、系统管理权限分级功能:
根据用户的具体身份级别(可按照用户名)对无线网络系统内设备的管理操作权限进行划分。基础级别的,比如一般的工作人员,可仅授予“只读”权限,即他们仅仅可以了解到设备的状态,而不能修改任何网络内无线设备的配置。系统管理员级别的,授予“读写”功能,即具有观测和修改网络内全部无线网络设备的状态和配置的权限。
本功能将有助于提升系统的安全级别。避免因人为原因造成系统紊乱。
2、设备探测功能:
软件本身可对网络内已经上电的无线网络设备进行搜索,并将设备自动加入管理列表中。本功能将大大提高管理自动化水平,提高工作效率,实现网内全部无线设备的管理。
3、设备分区管理功能:
对于大型网络,无线网络设备数量众多。为方便实施管理,本管理平台提供对设备按照架设的地理位置区域,分组别进行管理的功能。支持人工设定分类标识,自动对设备分类分组管理;针对不同类别,显示各分组内的无线网络设备的全部配置信息和状态信息。
4、设备工作状态监测管理功能:
可实时显示出各无线网络设备的CPU使用率、内存占用率、连续上电时间、当前数据流量和无线客户端接入数量等设备状态信息。
5、批量配置功能:
本功能适用于在大规模网络内,需要对某分组内的多台设备进行内容相同的参数配置时使用。也可以用于对网内指定设备进行部分参数的批量配置修改。同时,该功能还支持对批量管理配置参数的导出和导入,便于日后使用。这样的功能对规模化的网络设备管理十分重要,将大大提高管理效率。
6、自动负载均衡功能:
本功能可根据系统管理员的设定,统筹设定管理各个无线接入点的用户数和上下行
无线热点宽带运营网络建设
流量,可分别实现按照“用户数”、“上行数据流量”、“下行数据流量”或“用户数与数据流量”的自动负载均衡。本功能的使用可以改善整体网络的性能,让用户体会到更好的无线网络服务。
7、日志记录功能:
本功能可将每日网络内全部设备的运行状态、各个网络系统管理员的设备修改过程和接入的无线客户端的变动状态等信息进行记录。便于日后优化系统的时候参考。
8、扩展功能:
本功能属于底层功能。本管理平台软件按照模块化标准设计,本扩展功能提供了扩展接口,便于需要时增添其他高级管理功能,如无线客户端定位功能等。
9、支撑Axelwave无线网络设备集中管理平台AC2000的网络硬件无需专用设备,其应该满足如下性能: a)交换机: i.ii.企业级可网管交换机,可为每台无线设备提供1000Mbps级接入能力; 支持802.1q的VLAN划分。
b)路由器: i.ii.企业级可网管路由器; 支持多种路由协议
c)服务器: i.ii.iii.X86平台双核以上处理器; 不低于4G容量的内存; 正版Windows操作系统。
业主在此基础上再配套计费认证服务器和配套的路由器后,即可开始无线网络的商业运行。
关键字:大容量,无线接入,近距离
相关设备:NAG, EZRM, CPE, ARA, AX2000,EZW 5