北京金桥世纪H3C认证培训全国总代理

H3C中小企业无线解决方案

2011/11/15 13:41:30互联网

  根据中国互联网络信息中心(CNNIC)公布的数据,截至2008年6月底,中国网民数量达到了2.53亿,首次大幅度超过美国,跃居世界第一位。中国也真正地步入网络时代。其中WLAN网络在提高企业效率、降低企业成本、提高用户满意度等方面有着突出的作用。

  对于中小规模网络,如何更方便地建设、部署WLAN网络,成为网络建设者首要面对的问题。针对网络规模的特点,以下内容,是网络规划、建设过程中,必须回答的问题。

  1. 为什么需要FIT AP解决方案

  对于中小规模网络,普遍存在管理能力不强的因素,客户倾向于简单、易管理的网络解决方案,对于无线部署尤其如此。目前业界解决无线网络部署的技术,主要是FAT(胖)AP解决方案和FIT(瘦)AP解决方案。

  分析中小规模网络WLAN部署的需求,适用于家庭应用的FAT AP独立部署方式,因为管理和业务支撑的限制,并不适合企业组网。业界比较一致的观点是采用集中控制管理的FIT AP部署模式来建设企业WLAN网络,即通过无线控制器和无线AP共同满足企业无线覆盖需求,有效地解决企业IT人员对AP管理的后顾之忧,并满足企业对无线话音、视频等增值业务的需要。

  ² 配置简单:AP零配置、所有的配置集中在无线交换机上完成,简单便捷;

  ² 维护方便:管理、维护针对无线交换机来实现,不需要对每一台AP进行操作;

  ² 易于升级:针对特性增加带来的软件版本升级需求,只需要对无线交换机进行操作即可,不需要对每一台无线AP单独升级;

  ² 安全可控:可以集中进行射频及功率、信道调整,安全访问控制等功能;

  ² 更易扩展:根据需要,可以灵活增加补点AP,支持三层漫游,方便扩展支持无线监控、话音应用等业务。

  2. 需要什么样的无线交换机

  既然如此,面对不同厂家、不同型号的无线交换机产品,如何选择适合网络需求的设备,就是一个重中之重的问题,选择什么样的无线交换机,建议从以下几个方面来分析。

  2.1. 控制器管理多少AP

  如何规划网络,需要部署多少个AP,需要什么样规格的无线控制器,既保证覆盖要求,又不浪费投资。既能保证现有应用,又能兼顾未来发展。

  配置管理多少个AP的无线控制器,可以从两个方面入手。

  ² 空间

  无线信号穿越门、窗、墙等障碍物会有衰减,因此,无线AP的数量和覆盖场所的物理格局关系密切,无线AP的覆盖原则是,首先保证覆盖区域内,AP与无线终端之间无线信号的有效交互,其次,保证覆盖区域内每个终端的覆盖带宽要求。

  综合上述原则,可以确定覆盖的AP数量。

  ² 时间

  即保护投资,一个网络的生命周期,大致五年,五年内企业规模会壮大,企业网络也需要扩展,无线控制器的选择需要兼顾管理AP的可扩展能力,同时,企业应用业务也会发展,包括无线语音、视频的应用,无线控制器的性能需要能满足几年的应用。如今IEEE802.11a/b/g是无线接入的主流,随着IEEE802.11n的成熟,现有的网络需要无缝集成IEEE802.11n AP,因此,无线控制器既要能满足IEEE802.11a/b/g的数据处理,又要能够满足IEEE802.11n的数据处理。

  一般而言,一个AP可以满足20个用户,每个用户1Mbps的流量要求,从这个角度,20~30个AP可以满足400~600人的企业应用。因此,管理20~30个AP的无线控制器可以满足大多数中小规模网络的需求。

  2.2. 需要什么样的性能保障

  大容量AP管理接入、无线话音、无线视频、IEEE802.11n接入,这些都使无线控制器的性能成为一个不容忽视的问题。考虑到投资成本,又不能无限制地通过提升硬件来解决性能限制。

  因此需要从硬件和软件体系两个方面来衡量无线控制器的性能。

  首先,目前的企业网,千兆核心已经普及,而且IEEE802.11n AP的上行端口多采用千兆。因此,无线控制器需要提供千兆处理性能,不仅提供千兆端口,最好能够提供万兆扩展能力,以便提供更高的网络链接适用性。

  其次,随着话音等延时敏感性业务的推广及IEEE802.11n AP处理的大流量要求,集中转发的无线控制器很容易成为性能瓶颈。因此,需要无线控制器支持采用分布式转发模式,控制、管理报文通过无线控制器进行统一处理,数据报文在无线AP上直接转化为以太网格式的报文,不需要通过隧道封装交无线交换机处理,从而解决无线控制器的数据转发性能瓶颈问题。

  2.3. 如何解决无线AP供电

  如何解决供电,无线AP部署位置的灵活性,要求AP在具有本地供电能力的同时,要求其可以通过POE实现远程供电,目前有两类解决方案,POE供电模块和POE供电交换机。为了保证POE供电的可靠性,采用POE供电交换机为单路供电的无线AP提供电源是首选,目前的POE交换机遵循的是IEEE802.3af标准,最大输出功率是15W左右,而业界主流的IEEE802.11n AP需要的工作功率多大于15W,为了解决这样的供电需求,需要遵循IEEE802.3at草案的POE+供电交换机,才能真正发挥IEEE802.11n的性能优势。

  2.4. 如何降低管理成本

  对于一般的客户,往往没有强大的IT维护力量,网络建设从来不是一劳永逸的,因此,网络管理是非常重要的问题。

  但是,对于中小网络客户,并不需要过于完善、过于负载的网络管理系统,简易直观的WEB管理界面,是中小网络真正需要的网络管理。这样可以方便IT管理者的维护,可以避免使IT管理员成为救火队员。

  另外,对于管理内容,包括用户IP地址分配,用户身份认证等系列用户管理是重点考虑的内容。

  无线用户的IP地址一般采用DHCP 服务器来分配,用户认证可以采用MAC地址认证、IEEE802.1x认证、PORTAL认证等方式。一个完整的无线网络,一般需要RADIUS 服务器,PORTAL认证服务器及前面述及的DHCP 服务器。

  这些设备结合无线控制器及无线AP,对没有强大的IT维护力量的企业而言,无疑是一个严峻的挑战,因此,客户需要一种高集成的解决方案,即无线交换机集成DHCP服务、RADIUS认证服务、PORTAL认证服务,为客户提供统一的管理界面。

  2.5. 如何保证无线安全

  WLAN利用了不可见的公用媒介进行空中信号传播,安全问题是部署无线的巨大挑战,无线网络安全的复杂性一定程度上限制了企业部署无线。如何解决WLAN接入面临的安全问题,保证客户放心使用是一个重要问题。

  仔细分析无线面临的安全挑战, 主要是防止非法AP接入,防止非法用户接入,防止ARP攻击,防止AP过载,防止不合理应用等。

  既要防范外部威胁,又要防范内部威胁,既要防范来自用户端的威胁,又要防范网络端的威胁。

  首先,防范未授权AP

  IEEE802.11网络很容易受到大量网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测(WIDS)功能来防范,通过WIDS用于对有恶意的用户攻击和入侵无线网络进行早期检测,它用于检测WLAN网络中的rogue设备,上报管理中心,并对它们采取反制措施,以阻止其工作,最大程度地保护无线网络。

  其次, 防范非法用户

  这主要通过认证技术及加密技术来保证。通过802.1x认证、MAC地址认证、Portal认证等多种认证方式,保证无线用户身份的安全性, 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性。

  另外,通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改,实现精细的用户权限控制,从而大大增强了无线网络的可用度,网管人员可以轻松地对不同级别的人进行接入权限分配。

  第三,防范ARP攻击

  企业内部普遍存在ARP 攻击手段,通过伪造IP地址和M无线交换机地址实现ARP欺骗,产生大量的ARP通信量使网络阻塞或者实现中间人攻击,严重的可以使网络不可用,危害企业应用。

  为了防止攻击者通过ARP报文实施“中间人”攻击,要求无线控制器具有ARP入侵检测功能,即通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文。从而有效防御ARP欺骗。

  第四,防范网络带宽滥用

  这并不是直接的安全问题,但是会防碍企业内部正常网络应用。需要一些智能管理手段来解决这样的问题。

  在WLAN网络中,同一个无线AP下会同时接入多个无线终端,如果部分终端应用BT等下载应用,将占用所有的无线端口带宽,导致其它终端不能正常工作。

  为了避免上述问题,需要网络支持智能带宽限速,可以限制终端使用为固定带宽,也可以限制所有终端平均分享限定带宽,从而有效解决带宽占用的问题。

  另外,为了避免无线网络中部分AP过载,部分AP闲置而影响网络使用,需要通过负载均衡来实现。智能负载分担方法可以动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。

  3. H3C WX3000有线无线一体化交换机

  综上所述,既能够带来网络的经济性、高效率、自由度,又不增加网络建设、维护使用的成本,是每一个网络建设者的追求。

  H3C WX3000系列一体化交换机是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的集成无线控制器和千兆以太网交换机功能的产品。H3C WX3000系列一体化交换机提供纯千兆以太网有线接入口,支持PoE+供电,每端口最大提供25W的功率,同时兼容802.11a/b/g/n协议。

  H3C WX3000系列一体化交换机目前包含H3C WX3010和H3C WX3024两款型号,WX3024提供24个千兆电口及4个Combo SFP千兆光接口,WX3010提供8个千兆电口及2个SFP千兆光接口,其中,WX3024后面板提供两个10GE接口插槽,解决了WLAN网络核心的传输瓶颈。WX3000定位于中小网络和大型企业分支机构的一体化接入,是中小网络,大企业分支机构有线无线一体化接入最理想的一体化交换机。

  WX3024/WX3010集成对无线AP的管理、控制、数据转发的功能,千兆端口可同时提供POE供电功能,并支持PoE+供电,每端口最大提供25W的功率,方便IEEE802.11n AP的部署;WX3024/WX3010提供防ARP攻击,无线入侵检测(WIDS),多种加密认证安全技术,有效解决企业网络面临的安全挑战;WX3024/WX3010还集成了多种应用服务,包括DHCP 服务器,PORTAL 认证服务器,RADIUS服务器等,以及WEB管理应用,有效地降低了网络部署成本。

  业界知名媒体《网络世界》发布的评测显示,H3C有线无线一体化无线交换机WX3024凭借像风一样自由连接、像林一样支持高密度接入、像火一样可以快速便捷的部署、像山一样稳健安全,完全地展示了WX3024在中小规模网络部署的技术特点。


·[知识课堂]H3C S7500交换机上isolate-user-vlan的配置 
·[知识课堂]H3C AR28AR46系列路由器OSPF引入自治区域外部路由 
·[知识课堂]IPSec基础-IPSec服务 
·[知识课堂]【华三培训】配置IS-IS 链路度量值配置 
·[知识课堂]AR18-22-24 路由配置文件 
·[知识课堂]关于静态路由和动态路由综合详解 


点击这里给我发消息 点击这里给我发消息 点击这里给我发消息 点击这里给我发消息 点击这里给我发消息


开班信息

05月07

H3CNE认证

热报中

05月21

H3C-IMC认证

热报中

05月07

H3CNE认证

热报中

05月07

H3CTE认证

热报中

05月21

H3C-IMC认证

热报中

05月07

H3CNE培训

热报中

05月28

H3CSE认证

热报中

05月21

H3C无线

热报中

05月28

H3CSE培训

热报中

05月21

H3CIMC培训

热报中

05月28

H3C无线培训

热报中

05月28

H3CEAD培训

热报中

05月28

H3CPME认证

热报中

05月21

H3C安全认证

热报中

05月28

H3CIMC培训

热报中

05月21

H3C无线培训

热报中

05月28

H3CEAD培训

热报中

05月21

H3CPME认证

热报中

05月21

H3C安全认证

热报中

05月21

H3CIMC培训

热报中

05月28

H3C无线培训

热报中

05月28

H3CEAD培训

热报中

05月28

H3CPME认证

热报中

05月21

H3C安全认证

热报中

点击咨询开班情况>>

在线咨询