根據中國網際網路絡資訊中心(CNNIC)公佈的資料,截至2008年6月底,中國網民數量達到了2.53億,首次大幅度超過美國,躍居世界第一位。中國也真正地步入網路時代。其中WLAN網路在提高企業效率、降低企業成本、提高使用者滿意度等方面有著突出的作用。那麼隨著網路使用範圍的擴大,中小企業H3C無線配置怎麼解決呢?下面跟yjbys小編一起來看看無線的最佳解決方案!
對於中小規模網路,如何更方便地建設、部署WLAN網路,成為網路建設者首要面對的問題。針對網路規模的特點,以下內容,是網路規劃、建設過程中,必須回答的問題。
1. 為什麼需要FIT AP解決方案
對於中小規模網路,普遍存在管理能力不強的因素,客戶傾向於簡單、易管理的網路解決方案,對於無線部署尤其如此。目前業界解決無線網路部署的技術,主要是FAT(胖)AP解決方案和FIT(瘦)AP解決方案。
分析中小規模網路WLAN部署的需求,適用於家庭應用的FAT AP獨立部署方式,因為管理和業務支撐的限制,並不適合企業組網。業界比較一致的觀點是採用集中控制管理的FIT AP部署模式來建設企業WLAN網路,即通過無線控制器和無線AP共同滿足企業無線覆蓋需求,有效地解決企業IT人員對AP管理的後顧之憂,並滿足企業對無線話音、視訊等增值業務的需要。
² 配置簡單:AP零配置、所有的配置集中在無線交換機上完成,簡單便捷;
² 維護方便:管理、維護針對無線交換機來實現,不需要對每一臺AP進行操作;
² 易於升級:針對特性增加帶來的軟體版本升級需求,只需要對無線交換機進行操作即可,不需要對每一臺無線AP單獨升級;
² 安全可控:可以集中進行射頻及功率、通道調整,安全訪問控制等功能;
² 更易擴充套件:根據需要,可以靈活增加補點AP,支援三層漫遊,方便擴充套件支援無線監控、話音應用等業務。
2. 需要什麼樣的無線交換機
既然如此,面對不同廠家、不同型號的無線交換機產品,如何選擇適合網路需求的裝置,就是一個重中之重的問題,選擇什麼樣的無線交換機,建議從以下幾個方面來分析。
2.1. 控制器管理多少AP
如何規劃網路,需要部署多少個AP,需要什麼樣規格的無線控制器,既保證覆蓋要求,又不浪費投資。既能保證現有應用,又能兼顧未來發展。
配置管理多少個AP的無線控制器,可以從兩個方面入手。
² 空間
無線訊號穿越門、窗、牆等障礙物會有衰減,因此,無線AP的數量和覆蓋場所的`物理格局關係密切,無線AP的覆蓋原則是,首先保證覆蓋區域內,AP與無線終端之間無線訊號的有效互動,其次,保證覆蓋區域內每個終端的覆蓋頻寬要求。
綜合上述原則,可以確定覆蓋的AP數量。
² 時間
即保護投資,一個網路的生命週期,大致五年,五年內企業規模會壯大,企業網路也需要擴充套件,無線控制器的選擇需要兼顧管理AP的可擴充套件能力,同時,企業應用業務也會發展,包括無線語音、視訊的應用,無線控制器的效能需要能滿足幾年的應用。如今IEEE802.11a/b/g是無線接入的主流,隨著IEEE802.11n的成熟,現有的網路需要無縫整合IEEE802.11n AP,因此,無線控制器既要能滿足IEEE802.11a/b/g的資料處理,又要能夠滿足IEEE802.11n的資料處理。
一般而言,一個AP可以滿足20個使用者,每個使用者1Mbps的流量要求,從這個角度,20~30個AP可以滿足400~600人的企業應用。因此,管理20~30個AP的無線控制器可以滿足大多數中小規模網路的需求。
2.2. 需要什麼樣的效能保障
大容量AP管理接入、無線話音、無線視訊、IEEE802.11n接入,這些都使無線控制器的效能成為一個不容忽視的問題。考慮到投資成本,又不能無限制地通過提升硬體來解決效能限制。
因此需要從硬體和軟體體系兩個方面來衡量無線控制器的效能。
首先,目前的企業網,千兆核心已經普及,而且IEEE802.11n AP的上行埠多采用千兆。因此,無線控制器需要提供千兆處理效能,不僅提供千兆埠,最好能夠提供萬兆擴充套件能力,以便提供更高的網路連結適用性。
其次,隨著話音等延時敏感性業務的推廣及IEEE802.11n AP處理的大流量要求,集中轉發的無線控制器很容易成為效能瓶頸。因此,需要無線控制器支援採用分散式轉發模式,控制、管理報文通過無線控制器進行統一處理,資料報文在無線AP上直接轉化為乙太網格式的報文,不需要通過隧道封裝交無線交換機處理,從而解決無線控制器的資料轉發效能瓶頸問題。
2.3. 如何解決無線AP供電
如何解決供電,無線AP部署位置的靈活性,要求AP在具有本地供電能力的同時,要求其可以通過POE實現遠端供電,目前有兩類解決方案,POE供電模組和POE供電交換機。為了保證POE供電的可靠性,採用POE供電交換機為單路供電的無線AP提供電源是首選,目前的POE交換機遵循的是IEEE802.3af標準,最大輸出功率是15W左右,而業界主流的IEEE802.11n AP需要的工作功率多大於15W,為了解決這樣的供電需求,需要遵循IEEE802.3at草案的POE+供電交換機,才能真正發揮IEEE802.11n的效能優勢。
2.4. 如何降低管理成本
對於一般的客戶,往往沒有強大的IT維護力量,網路建設從來不是一勞永逸的,因此,網路管理是非常重要的問題。
但是,對於中小網路客戶,並不需要過於完善、過於負載的網路管理系統,簡易直觀的WEB管理介面,是中小網路真正需要的網路管理。這樣可以方便IT管理者的維護,可以避免使IT管理員成為救火隊員。
另外,對於管理內容,包括使用者IP地址分配,使用者身份認證等系列使用者管理是重點考慮的內容。
無線使用者的IP地址一般採用DHCP 伺服器來分配,使用者認證可以採用MAC地址認證、IEEE802.1x認證、PORTAL認證等方式。一個完整的無線網路,一般需要RADIUS 伺服器,PORTAL認證伺服器及前面述及的DHCP 伺服器。
這些裝置結合無線控制器及無線AP,對沒有強大的IT維護力量的企業而言,無疑是一個嚴峻的挑戰,因此,客戶需要一種高整合的解決方案,即無線交換機整合DHCP服務、RADIUS認證服務、PORTAL認證服務,為客戶提供統一的管理介面。
2.5. 如何保證無線安全
WLAN利用了不可見的公用媒介進行空中訊號傳播,安全問題是部署無線的巨大挑戰,無線網路安全的複雜性一定程度上限制了企業部署無線。如何解決WLAN接入面臨的安全問題,保證客戶放心使用是一個重要問題。
仔細分析無線面臨的安全挑戰, 主要是防止非法AP接入,防止非法使用者接入,防止ARP攻擊,防止AP過載,防止不合理應用等。
既要防範外部威脅,又要防範內部威脅,既要防範來自使用者端的威脅,又要防範網路端的威脅。
首先,防範未授權AP
IEEE802.11網路很容易受到大量網路威脅的影響,如未經授權的AP使用者、Ad-hoc網路、拒絕服務型攻擊等。Rouge裝置對於企業網路安全來說是一個很嚴重的威脅。這需要無線入侵檢測(WIDS)功能來防範,通過WIDS用於對有惡意的使用者攻擊和入侵無線網路進行早期檢測,它用於檢測WLAN網路中的rogue裝置,上報管理中心,並對它們採取反制措施,以阻止其工作,最大程度地保護無線網路。
其次, 防範非法使用者
這主要通過認證技術及加密技術來保證。通過802.1x認證、MAC地址認證、Portal認證等多種認證方式,保證無線使用者身份的安全性, 結合WEP(64/128)、WPA、WPA2等多種加密方式保證無線使用者的加密安全性。
另外,通過使用者身份認證結合AAA伺服器上對使用者組進行許可權的配置和修改,實現精細的使用者許可權控制,從而大大增強了無線網路的可用度,網管人員可以輕鬆地對不同級別的人進行接入許可權分配。
第三,防範ARP攻擊
企業內部普遍存在ARP 攻擊手段,通過偽造IP地址和M無線交換機地址實現ARP欺騙,產生大量的ARP通訊量使網路阻塞或者實現中間人攻擊,嚴重的可以使網路不可用,危害企業應用。
為了防止攻擊者通過ARP報文實施“中間人”攻擊,要求無線控制器具有ARP入侵檢測功能,即通過對ARP報文進行合法性檢測,轉發合法的ARP報文,丟棄非法ARP報文。從而有效防禦ARP欺騙。
第四,防範網路頻寬濫用
這並不是直接的安全問題,但是會防礙企業內部正常網路應用。需要一些智慧管理手段來解決這樣的問題。
在WLAN網路中,同一個無線AP下會同時接入多個無線終端,如果部分終端應用BT等下載應用,將佔用所有的無線埠頻寬,導致其它終端不能正常工作。
為了避免上述問題,需要網路支援智慧頻寬限速,可以限制終端使用為固定頻寬,也可以限制所有終端平均分享限定頻寬,從而有效解決頻寬佔用的問題。
另外,為了避免無線網路中部分AP過載,部分AP閒置而影響網路使用,需要通過負載均衡來實現。智慧負載分擔方法可以動態地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載,通過控制無線客戶端接入的AP,來實現這些AP間的負載分擔。
3. H3C WX3000有線無線一體化交換機
綜上所述,既能夠帶來網路的經濟性、高效率、自由度,又不增加網路建設、維護使用的成本,是每一個網路建設者的追求。
H3C WX3000系列一體化交換機是杭州華三通訊技術有限公司(以下簡稱H3C公司)自主研發的整合無線控制器和千兆乙太網交換機功能的產品。H3C WX3000系列一體化交換機提供純千兆乙太網有線接入口,支援PoE+供電,每埠最大提供25W的功率,同時相容802.11a/b/g/n協議。
H3C WX3000系列一體化交換機目前包含H3C WX3010和H3C WX3024兩款型號,WX3024提供24個千兆電口及4個Combo SFP千兆光介面,WX3010提供8個千兆電口及2個SFP千兆光介面,其中,WX3024後面板提供兩個10GE介面插槽,解決了WLAN網路核心的傳輸瓶頸。WX3000定位於中小網路和大型企業分支機構的一體化接入,是中小網路,大企業分支機構有線無線一體化接入最理想的一體化交換機。
WX3024/WX3010整合對無線AP的管理、控制、資料轉發的功能,千兆埠可同時提供POE供電功能,並支援PoE+供電,每埠最大提供25W的功率,方便IEEE802.11n AP的部署;WX3024/WX3010提供防ARP攻擊,無線入侵檢測(WIDS),多種加密認證安全技術,有效解決企業網路面臨的安全挑戰;WX3024/WX3010還集成了多種應用服務,包括DHCP 伺服器,PORTAL 認證伺服器,RADIUS伺服器等,以及WEB管理應用,有效地降低了網路部署成本。
業界知名媒體《網路世界》釋出的評測顯示,H3C有線無線一體化無線交換機WX3024憑藉像風一樣自由連線、像林一樣支援高密度接入、像火一樣可以快速便捷的部署、像山一樣穩健安全,完全地展示了WX3024在中小規模網路部署的技術特點。
