根據中國互聯網絡信息中心(CNNIC)公佈的數據,截至2008年6月底,中國網民數量達到了2.53億,首次大幅度超過美國,躍居世界第一位。中國也真正地步入網絡時代。其中WLAN網絡在提高企業效率、降低企業成本、提高用戶滿意度等方面有着突出的作用。那麼隨着網絡使用範圍的擴大,中小企業H3C無線配置怎麼解決呢?下面跟yjbys小編一起來看看無線的最佳解決方案!
對於中小規模網絡,如何更方便地建設、部署WLAN網絡,成爲網絡建設者首要面對的問題。針對網絡規模的特點,以下內容,是網絡規劃、建設過程中,必須回答的問題。
1. 爲什麼需要FIT AP解決方案
對於中小規模網絡,普遍存在管理能力不強的因素,客戶傾向於簡單、易管理的網絡解決方案,對於無線部署尤其如此。目前業界解決無線網絡部署的技術,主要是FAT(胖)AP解決方案和FIT(瘦)AP解決方案。
分析中小規模網絡WLAN部署的需求,適用於家庭應用的FAT AP獨立部署方式,因爲管理和業務支撐的限制,並不適合企業組網。業界比較一致的觀點是採用集中控制管理的FIT AP部署模式來建設企業WLAN網絡,即通過無線控制器和無線AP共同滿足企業無線覆蓋需求,有效地解決企業IT人員對AP管理的後顧之憂,並滿足企業對無線話音、視頻等增值業務的需要。
² 配置簡單:AP零配置、所有的配置集中在無線交換機上完成,簡單便捷;
² 維護方便:管理、維護針對無線交換機來實現,不需要對每一臺AP進行操作;
² 易於升級:針對特性增加帶來的軟件版本升級需求,只需要對無線交換機進行操作即可,不需要對每一臺無線AP單獨升級;
² 安全可控:可以集中進行射頻及功率、信道調整,安全訪問控制等功能;
² 更易擴展:根據需要,可以靈活增加補點AP,支持三層漫遊,方便擴展支持無線監控、話音應用等業務。
2. 需要什麼樣的無線交換機
既然如此,面對不同廠家、不同型號的無線交換機產品,如何選擇適合網絡需求的設備,就是一個重中之重的問題,選擇什麼樣的無線交換機,建議從以下幾個方面來分析。
2.1. 控制器管理多少AP
如何規劃網絡,需要部署多少個AP,需要什麼樣規格的無線控制器,既保證覆蓋要求,又不浪費投資。既能保證現有應用,又能兼顧未來發展。
配置管理多少個AP的無線控制器,可以從兩個方面入手。
² 空間
無線信號穿越門、窗、牆等障礙物會有衰減,因此,無線AP的數量和覆蓋場所的`物理格局關係密切,無線AP的覆蓋原則是,首先保證覆蓋區域內,AP與無線終端之間無線信號的有效交互,其次,保證覆蓋區域內每個終端的覆蓋帶寬要求。
綜合上述原則,可以確定覆蓋的AP數量。
² 時間
即保護投資,一個網絡的生命週期,大致五年,五年內企業規模會壯大,企業網絡也需要擴展,無線控制器的選擇需要兼顧管理AP的可擴展能力,同時,企業應用業務也會發展,包括無線語音、視頻的應用,無線控制器的性能需要能滿足幾年的應用。如今IEEE802.11a/b/g是無線接入的主流,隨着IEEE802.11n的成熟,現有的網絡需要無縫集成IEEE802.11n AP,因此,無線控制器既要能滿足IEEE802.11a/b/g的數據處理,又要能夠滿足IEEE802.11n的數據處理。
一般而言,一個AP可以滿足20個用戶,每個用戶1Mbps的流量要求,從這個角度,20~30個AP可以滿足400~600人的企業應用。因此,管理20~30個AP的無線控制器可以滿足大多數中小規模網絡的需求。
2.2. 需要什麼樣的性能保障
大容量AP管理接入、無線話音、無線視頻、IEEE802.11n接入,這些都使無線控制器的性能成爲一個不容忽視的問題。考慮到投資成本,又不能無限制地通過提升硬件來解決性能限制。
因此需要從硬件和軟件體系兩個方面來衡量無線控制器的性能。
首先,目前的企業網,千兆核心已經普及,而且IEEE802.11n AP的上行端口多采用千兆。因此,無線控制器需要提供千兆處理性能,不僅提供千兆端口,最好能夠提供萬兆擴展能力,以便提供更高的網絡鏈接適用性。
其次,隨着話音等延時敏感性業務的推廣及IEEE802.11n AP處理的大流量要求,集中轉發的無線控制器很容易成爲性能瓶頸。因此,需要無線控制器支持採用分佈式轉發模式,控制、管理報文通過無線控制器進行統一處理,數據報文在無線AP上直接轉化爲以太網格式的報文,不需要通過隧道封裝交無線交換機處理,從而解決無線控制器的數據轉發性能瓶頸問題。
2.3. 如何解決無線AP供電
如何解決供電,無線AP部署位置的靈活性,要求AP在具有本地供電能力的同時,要求其可以通過POE實現遠程供電,目前有兩類解決方案,POE供電模塊和POE供電交換機。爲了保證POE供電的可靠性,採用POE供電交換機爲單路供電的無線AP提供電源是首選,目前的POE交換機遵循的是IEEE802.3af標準,最大輸出功率是15W左右,而業界主流的IEEE802.11n AP需要的工作功率多大於15W,爲了解決這樣的供電需求,需要遵循IEEE802.3at草案的POE+供電交換機,才能真正發揮IEEE802.11n的性能優勢。
2.4. 如何降低管理成本
對於一般的客戶,往往沒有強大的IT維護力量,網絡建設從來不是一勞永逸的,因此,網絡管理是非常重要的問題。
但是,對於中小網絡客戶,並不需要過於完善、過於負載的網絡管理系統,簡易直觀的WEB管理界面,是中小網絡真正需要的網絡管理。這樣可以方便IT管理者的維護,可以避免使IT管理員成爲救火隊員。
另外,對於管理內容,包括用戶IP地址分配,用戶身份認證等系列用戶管理是重點考慮的內容。
無線用戶的IP地址一般採用DHCP 服務器來分配,用戶認證可以採用MAC地址認證、IEEE802.1x認證、PORTAL認證等方式。一個完整的無線網絡,一般需要RADIUS 服務器,PORTAL認證服務器及前面述及的DHCP 服務器。
這些設備結合無線控制器及無線AP,對沒有強大的IT維護力量的企業而言,無疑是一個嚴峻的挑戰,因此,客戶需要一種高集成的解決方案,即無線交換機集成DHCP服務、RADIUS認證服務、PORTAL認證服務,爲客戶提供統一的管理界面。
2.5. 如何保證無線安全
WLAN利用了不可見的公用媒介進行空中信號傳播,安全問題是部署無線的巨大挑戰,無線網絡安全的複雜性一定程度上限制了企業部署無線。如何解決WLAN接入面臨的安全問題,保證客戶放心使用是一個重要問題。
仔細分析無線面臨的安全挑戰, 主要是防止非法AP接入,防止非法用戶接入,防止ARP攻擊,防止AP過載,防止不合理應用等。
既要防範外部威脅,又要防範內部威脅,既要防範來自用戶端的威脅,又要防範網絡端的威脅。
首先,防範未授權AP
IEEE802.11網絡很容易受到大量網絡威脅的影響,如未經授權的AP用戶、Ad-hoc網絡、拒絕服務型攻擊等。Rouge設備對於企業網絡安全來說是一個很嚴重的威脅。這需要無線入侵檢測(WIDS)功能來防範,通過WIDS用於對有惡意的用戶攻擊和入侵無線網絡進行早期檢測,它用於檢測WLAN網絡中的rogue設備,上報管理中心,並對它們採取反制措施,以阻止其工作,最大程度地保護無線網絡。
其次, 防範非法用戶
這主要通過認證技術及加密技術來保證。通過802.1x認證、MAC地址認證、Portal認證等多種認證方式,保證無線用戶身份的安全性, 結合WEP(64/128)、WPA、WPA2等多種加密方式保證無線用戶的加密安全性。
另外,通過用戶身份認證結合AAA服務器上對用戶組進行權限的配置和修改,實現精細的用戶權限控制,從而大大增強了無線網絡的可用度,網管人員可以輕鬆地對不同級別的人進行接入權限分配。
第三,防範ARP攻擊
企業內部普遍存在ARP 攻擊手段,通過僞造IP地址和M無線交換機地址實現ARP欺騙,產生大量的ARP通信量使網絡阻塞或者實現中間人攻擊,嚴重的可以使網絡不可用,危害企業應用。
爲了防止攻擊者通過ARP報文實施“中間人”攻擊,要求無線控制器具有ARP入侵檢測功能,即通過對ARP報文進行合法性檢測,轉發合法的ARP報文,丟棄非法ARP報文。從而有效防禦ARP欺騙。
第四,防範網絡帶寬濫用
這並不是直接的安全問題,但是會防礙企業內部正常網絡應用。需要一些智能管理手段來解決這樣的問題。
在WLAN網絡中,同一個無線AP下會同時接入多個無線終端,如果部分終端應用BT等下載應用,將佔用所有的無線端口帶寬,導致其它終端不能正常工作。
爲了避免上述問題,需要網絡支持智能帶寬限速,可以限制終端使用爲固定帶寬,也可以限制所有終端平均分享限定帶寬,從而有效解決帶寬佔用的問題。
另外,爲了避免無線網絡中部分AP過載,部分AP閒置而影響網絡使用,需要通過負載均衡來實現。智能負載分擔方法可以動態地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載,通過控制無線客戶端接入的AP,來實現這些AP間的負載分擔。
3. H3C WX3000有線無線一體化交換機
綜上所述,既能夠帶來網絡的經濟性、高效率、自由度,又不增加網絡建設、維護使用的成本,是每一個網絡建設者的追求。
H3C WX3000系列一體化交換機是杭州華三通信技術有限公司(以下簡稱H3C公司)自主研發的集成無線控制器和千兆以太網交換機功能的產品。H3C WX3000系列一體化交換機提供純千兆以太網有線接入口,支持PoE+供電,每端口最大提供25W的功率,同時兼容802.11a/b/g/n協議。
H3C WX3000系列一體化交換機目前包含H3C WX3010和H3C WX3024兩款型號,WX3024提供24個千兆電口及4個Combo SFP千兆光接口,WX3010提供8個千兆電口及2個SFP千兆光接口,其中,WX3024後面板提供兩個10GE接口插槽,解決了WLAN網絡核心的傳輸瓶頸。WX3000定位於中小網絡和大型企業分支機構的一體化接入,是中小網絡,大企業分支機構有線無線一體化接入最理想的一體化交換機。
WX3024/WX3010集成對無線AP的管理、控制、數據轉發的功能,千兆端口可同時提供POE供電功能,並支持PoE+供電,每端口最大提供25W的功率,方便IEEE802.11n AP的部署;WX3024/WX3010提供防ARP攻擊,無線入侵檢測(WIDS),多種加密認證安全技術,有效解決企業網絡面臨的安全挑戰;WX3024/WX3010還集成了多種應用服務,包括DHCP 服務器,PORTAL 認證服務器,RADIUS服務器等,以及WEB管理應用,有效地降低了網絡部署成本。
業界知名媒體《網絡世界》發佈的評測顯示,H3C有線無線一體化無線交換機WX3024憑藉像風一樣自由連接、像林一樣支持高密度接入、像火一樣可以快速便捷的部署、像山一樣穩健安全,完全地展示了WX3024在中小規模網絡部署的技術特點。
