淺談有線網(wǎng)絡(luò)基礎(chǔ)上的無線規(guī)劃及其管理

淺談有線網(wǎng)絡(luò)基礎(chǔ)上的無線規(guī)劃及其管理

　如今，企業(yè)的新業(yè)務(wù)和新應(yīng)用對于無線網(wǎng)絡(luò)帶來的移動性需求十分迫切。然而，如何能在原有的網(wǎng)絡(luò)基礎(chǔ)上更好地添加無線層次，使其在不影響原有網(wǎng)絡(luò)的情況下完全融入企業(yè)網(wǎng)，成為擺在下一代企業(yè)網(wǎng)面前的重要問題。在生物學(xué)上，接穗和砧木要在內(nèi)部組織結(jié)構(gòu)上、生理和遺傳上彼此相同或相近，嫁接的成活率才更高，無線嫁接同樣也有類似的指導(dǎo)方法。

　　企業(yè)移動性如何體現(xiàn)

　　要解決好無線網(wǎng)絡(luò)的嫁接問題，先要搞清楚企業(yè)移動性的含義。對此，Aruba中國區(qū)總經(jīng)理楊華表示：“在Aruba看來，企業(yè)網(wǎng)絡(luò)的移動性體現(xiàn)在對用戶身份的識別上，包括網(wǎng)絡(luò)使用范圍、訪問權(quán)限、策略和安全性等內(nèi)容都在跟隨用戶一起移動，用戶不只是局限在物理網(wǎng)絡(luò)的端口和接入點使用網(wǎng)絡(luò)，而是可以在企業(yè)網(wǎng)范圍內(nèi)，在任意的地點安全地使用網(wǎng)絡(luò)?！倍鳤ruba所提倡的構(gòu)建以“用戶為中心”的網(wǎng)絡(luò)策略正體現(xiàn)了企業(yè)的移動性，在這樣的架構(gòu)下，處于接入層邊緣的用戶得以在企業(yè)范圍內(nèi)任意移動，以不變的身份和策略訪問網(wǎng)絡(luò)。之所以用戶可以在網(wǎng)絡(luò)邊緣實現(xiàn)移動性，正是借助于無線交換機的集中管控。

　　惠普ProCurve也是積極倡導(dǎo)網(wǎng)絡(luò)邊緣架構(gòu)的一家廠商。該公司網(wǎng)絡(luò)業(yè)務(wù)部技術(shù)總監(jiān)儲斌認為，以前面向連接的傳統(tǒng)企業(yè)網(wǎng)正在發(fā)生改變，當(dāng)網(wǎng)絡(luò)業(yè)界和市場逐漸由技術(shù)為導(dǎo)向轉(zhuǎn)變?yōu)闃I(yè)務(wù)為導(dǎo)向時，移動性也會在現(xiàn)代企業(yè)網(wǎng)中體現(xiàn)出來，網(wǎng)絡(luò)將融入各個生產(chǎn)環(huán)節(jié)，變成企業(yè)生產(chǎn)環(huán)境的一部分。對此，需要企業(yè)網(wǎng)絡(luò)在體系架構(gòu)上進行調(diào)整。

　　無線規(guī)劃的內(nèi)容及原則

　　既然開發(fā)企業(yè)的移動性就是要讓用戶在無線層面移動，那么在“嫁接”前期的無線網(wǎng)絡(luò)規(guī)劃工作就非常關(guān)鍵，需要企業(yè)在進行整體網(wǎng)絡(luò)架構(gòu)的重新規(guī)劃時，注意遵循相關(guān)的方法和設(shè)計原則。

　　對此儲斌表示，無線網(wǎng)絡(luò)規(guī)劃主要是考察無線信號的連通性，信號覆蓋和強度能否符合用戶要求。這需要進行現(xiàn)場勘查，借用各種工具，邊緣信號強度不低于 60%為最佳。而無線性能的規(guī)劃，實際是覆蓋、性能、安全“三位一體”的規(guī)劃，主要是AP的并發(fā)能力能否滿足企業(yè)要求的功能特征，以及AP動態(tài)ACL的分發(fā)能否做到與有線等效等。此外，更重要的還要在企業(yè)網(wǎng)中實現(xiàn)有線無線的統(tǒng)一安全。

　　Trapeze公司售后支持部工程師張耀升則就具體的規(guī)劃工作做出說明：“無線規(guī)劃大體分為三個部分，包括AP部署規(guī)劃、交換機部署規(guī)劃和網(wǎng)絡(luò)管理及控制。具體內(nèi)容主要包括AP數(shù)量、安裝位置、頻譜規(guī)劃，以及無線網(wǎng)絡(luò)的擴展性、安全性、可用性和可靠性(主要是冗余要求)等內(nèi)容?！本唧w來說，需要通過勘查現(xiàn)場環(huán)境，確定AP數(shù)量和位置規(guī)劃，再根據(jù)所需AP的數(shù)量，考慮可以滿足這些AP接入的交換機，最后還要注意網(wǎng)絡(luò)核心的連接匯聚性能問題，以免造成鏈路瓶頸。

　　那么，用戶在進行無線規(guī)劃時，還需要遵循哪些原則呢？Aruba中國區(qū)技術(shù)總監(jiān)王卓表示：“原來的有線網(wǎng)絡(luò)的設(shè)計并不是基于用戶的，因此要在原有有線網(wǎng)絡(luò)基礎(chǔ)上提供無線移動的網(wǎng)絡(luò)，讓用戶在無線層面移動，還需要注意無線設(shè)計上的三個原則：即保持有線網(wǎng)絡(luò)的骨干網(wǎng)不動;保證原有應(yīng)用不動;不帶來安全性隱患。”此外，王卓還介紹了Aruba在設(shè)計思路方面的幾個特點。首先是網(wǎng)絡(luò)層次化設(shè)計——Aruba的無線相對有線是獨立的，這與其他廠商把無線網(wǎng)絡(luò)看作是有線網(wǎng)絡(luò)的接入補充混合在一起有所不同;其次是移動化設(shè)計，即應(yīng)用只有運行在無線網(wǎng)絡(luò)上才能實現(xiàn)真正的移動;第三是安全設(shè)計，包括無線網(wǎng)絡(luò)的安全和用戶身份安全兩個方面;最后是多業(yè)務(wù)設(shè)計，以便讓多種應(yīng)用能夠運行起來。

　　注重實際部署

　　在了解無線規(guī)劃的內(nèi)容和原則之后，具體到實際部署又應(yīng)該注意些什么呢？Fluke公司是一家專注于網(wǎng)絡(luò)和通信測試設(shè)備的廠商，該公司北京辦事處技術(shù)專家吳世軍表示：無線規(guī)劃包含初次部署和規(guī)劃擴容兩種類型。在做規(guī)劃之前，首先要明確鋪設(shè)無線網(wǎng)絡(luò)的目標(biāo)和覆蓋要求。然后，就需要根據(jù)詳細清晰的技術(shù)要求開始現(xiàn)場的站點勘察。這些技術(shù)參數(shù)包含期望的接入速率，AP的覆蓋范圍和AP的數(shù)量，現(xiàn)在和將來無線網(wǎng)絡(luò)接入的用戶數(shù)量，信號強度和信噪比的要求(允許的射頻干擾強度)。特別要注意通過無線頻譜分析確認將來的無線網(wǎng)絡(luò)不會有嚴(yán)重的射頻干擾問題。需要注意的是，在考慮無線規(guī)劃技術(shù)要求時要有前瞻性。比如未來用戶數(shù)量的增加，高帶寬應(yīng)用的部署等都需要規(guī)劃方案相應(yīng)調(diào)整。

　　Trapeze公司售前工程師林濤則介紹了北師大項目的經(jīng)驗：“具體到實際的規(guī)劃過程，需要考察關(guān)鍵位置部署的密度和覆蓋情況，以及用戶的音、視頻等實際應(yīng)用。”在談到Trapeze的智能無線網(wǎng)絡(luò)架構(gòu)在北師大發(fā)揮的作用時，他表示，Trapeze倡導(dǎo)的瘦AP架構(gòu)涉及到幾個方面的問題：首先是統(tǒng)一管理，主要包括設(shè)備、無線資源和用戶等三個方面;其次是安全性，主要是非法AP問題，以及WIDS或WIPS功能;第三是增值方面，對無線漫游和定位的支持;最后是網(wǎng)管方面，利用Ring Master軟件，實現(xiàn)對MX控制器和AP的單點無線管理。而Trapeze的SmartMobile體系架構(gòu)也已經(jīng)為升級到802.11n網(wǎng)絡(luò)做好準(zhǔn)備。

　張耀升則談到了避免無線干擾的問題，如果檢測到干擾源是局域網(wǎng)內(nèi)未經(jīng)授權(quán)的惡意AP(或者稱為RogueAP)，需要對AP進行攻擊，使其停止工作，至少是不能接入用戶;如果是非惡意的干擾AP，通常就是調(diào)整企業(yè)網(wǎng)絡(luò)當(dāng)中相鄰AP的頻段盡量避開干擾。

　　借助無線規(guī)劃利器

　　在實際部署過程中，還要用到無線規(guī)劃和性能分析的工具。吳世軍介紹說，網(wǎng)絡(luò)工程人員經(jīng)常使用的主要有三款Fluke工具：首先是 FlukeInterpretAir無線局域網(wǎng)分析軟件，該軟件可以在無線局域網(wǎng)部署之前和之后檢驗覆蓋情況和優(yōu)化網(wǎng)絡(luò)性能;其次是 AnalyzeAirWi-Fi智能頻譜分析儀，可通過檢測、識別和定位802.11WLAN中的RF干擾，進而規(guī)劃、部署、驗證和擴展用戶的無線局域網(wǎng)，確保無縫的無線局域網(wǎng)信號覆蓋;再次是EtherScope網(wǎng)絡(luò)通，該設(shè)備可用于10MB、100MB和1000MB銅線、光纖和WLAN的手持式網(wǎng)絡(luò)故障排除。

　　此外，還需要站點勘查軟件包來幫助顯示W(wǎng)LAN配置是如何改變性能和覆蓋的，更重要的是通過勘查修正AP的設(shè)置，通過添加AP或其他方式來提高WLAN性能和覆蓋。

　　實際上，各個無線網(wǎng)絡(luò)設(shè)備廠商都有自己的網(wǎng)絡(luò)測試和分析軟件。比如Trapeze的RingMaster軟件，通過輸入建筑樓層、房間CAD圖紙、墻壁損耗參數(shù)、每個AP所要提供的帶寬等參數(shù)，即可確定AP數(shù)量、位置、頻譜規(guī)劃和AP功率的預(yù)估值等輸出參數(shù)，用戶還可以得到一個形象的覆蓋圖以及無線網(wǎng)絡(luò)布置順序規(guī)劃表。

　　嫁接管理篇：有線/無線的統(tǒng)一管理和安全

　　對于無線嫁接來說，做好無線網(wǎng)絡(luò)規(guī)劃和實際部署的工作還只是走完了第一步。“嫁接容易成活難”的問題同樣存在于企業(yè)網(wǎng)當(dāng)中。目前，企業(yè)網(wǎng)對于移動設(shè)備的接入和管理做得并不好，由此引發(fā)的整網(wǎng)安全性隱患問題也比較嚴(yán)重。因此，做好有線和無線網(wǎng)絡(luò)的統(tǒng)一管理，進而保證網(wǎng)絡(luò)安全的一致性，對于具有無線網(wǎng)絡(luò)的企業(yè)網(wǎng)至關(guān)重要。

　　整合管理平臺

　　對于網(wǎng)絡(luò)管理來說，大致上包含網(wǎng)絡(luò)設(shè)備管理和用戶管理兩個方面。這里所說的統(tǒng)一管理，實際上是相對用戶管理層面而言，主要涉及到用戶在整個網(wǎng)絡(luò)中身份一致性的問題。林濤介紹說，目前在很多企業(yè)網(wǎng)中，都使用認證網(wǎng)關(guān)對用戶通過有線接入訪問Internet進行管理。加入無線網(wǎng)絡(luò)后，可以通過共享現(xiàn)有認證系統(tǒng)的用戶數(shù)據(jù)庫的方式實現(xiàn)統(tǒng)一管理，采用WebPortal方式對用戶無線接入進行認證。張耀升也認為網(wǎng)絡(luò)平臺對有線/無線的認證方式都差不多，有線和無線用戶可以使用相同的認證方式和接入網(wǎng)關(guān)，為用戶分配統(tǒng)一的接入權(quán)限，這樣不管用戶是由無線還是有線接入網(wǎng)絡(luò)，其訪問網(wǎng)絡(luò)的權(quán)限都是一樣的。另外，還可以將兩個網(wǎng)絡(luò)的管理工具整合起來。例如，Trapeze的RingMaster(支持SNMP)就可以融入到惠普ProCurve的OpenView構(gòu)成有線/無線的統(tǒng)一管理平臺。

　　而在設(shè)備管理上，無線與有線網(wǎng)絡(luò)也基本類似，都是配置和監(jiān)視等方面的問題。不過，兩者在細節(jié)上存在一個最大的差別。王卓表示，由于無線網(wǎng)絡(luò)的頻譜環(huán)境隨時都在發(fā)生變化，因此還需要無線網(wǎng)絡(luò)具有環(huán)境檢測和針對變化的自適應(yīng)及優(yōu)化功能。

　　至于網(wǎng)絡(luò)的維護和優(yōu)化，則主要是周期性地檢查WLAN，收集勘查數(shù)據(jù)并進行相應(yīng)的性能優(yōu)化。吳世軍表示，你可以更改AP的位置、天線類型和配置信息等。通過使用站點勘查工具或網(wǎng)絡(luò)分析儀查看接入點情況，可以確定超負荷AP及同頻段干擾現(xiàn)象，防止連接速度緩慢的用戶影響網(wǎng)絡(luò)的整體吞吐量。

　　實際上，在無線管理方面可以借助的工具還有很多。比如Aruba具有ICSA認證的基于個人狀態(tài)的防火墻(比傳統(tǒng)ACL的安全性級別更高)、惠普 ProCurve基于IDM身份驅(qū)動的訪問控制設(shè)備(如NAC800控制器)、Trapeze的SmartPass軟件等，都是進行有線/無線網(wǎng)絡(luò)管理的好助手。

　　警惕安全隱患

　　網(wǎng)絡(luò)管理離不開安全問題，一旦WLAN在有線網(wǎng)絡(luò)上啟動和運行起來，就要定期審查整個網(wǎng)絡(luò)的監(jiān)測情況，未經(jīng)許可的接入點或客戶端都意為著安全漏洞。

　　林濤表示，無線網(wǎng)絡(luò)的瘦AP架構(gòu)主要包括設(shè)備安全、設(shè)備間信息和協(xié)議交流的安全(包括AES加密等)、用戶網(wǎng)絡(luò)資源安全和無線安全幾個方面。其中用戶網(wǎng)絡(luò)資源的安全主要包括對客戶端安全完整性的檢查功能、WEP和WPA等加密認證手段，以及有線與無線結(jié)合的情況下對網(wǎng)絡(luò)資源的訪問控制(通過用戶名獲得權(quán)限進而得到網(wǎng)絡(luò)資源，可以在不同層次上實現(xiàn)安全控制)。而無線安全包括WIDS和WIPS等方式，通過對非法AP的監(jiān)測、定位和反擊，防止無線用戶接入到非法AP上。

　　儲斌著重強調(diào)了企業(yè)網(wǎng)安全管理的一致性，他表示，無線管理需要與有線的管理和調(diào)度相融合，看無線的擴展能否與原有的有線安全性相統(tǒng)一(不只是數(shù)據(jù)加密、日志、審計)，如果做不到，來自用戶的困惑和疑慮還是沒有得到解決。實際上，各種用戶口令造成的身份交叉是整個企業(yè)網(wǎng)最大的一個安全隱患。如果管理體系出現(xiàn)不一致，無疑是對整個企業(yè)網(wǎng)安全性的一個削弱。

　　無線嫁接實用手冊

　　定義：

　　即在企業(yè)原有的有線網(wǎng)絡(luò)基礎(chǔ)上部署無線網(wǎng)絡(luò)，構(gòu)建帶有移動性的相互融合的網(wǎng)絡(luò)。

　　場所：

　　無線嫁接通常發(fā)生在原有有線網(wǎng)絡(luò)擴展困難，或?qū)o線移動性有需求的場所。

　　影響因素：

　　影響無線嫁接的因素主要是無線網(wǎng)絡(luò)的前期規(guī)劃和后期管理。其中無線規(guī)劃包括AP部署規(guī)劃、無線交換機部署規(guī)劃和網(wǎng)絡(luò)管理及控制等方面的內(nèi)容，無線管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)安全和控制等。

　　工具和方法：

　　無線網(wǎng)絡(luò)規(guī)劃首先要根據(jù)實際應(yīng)用和場所進行初步設(shè)計，然后結(jié)合現(xiàn)場勘查的情況，根據(jù)業(yè)界計算空間損耗和覆蓋范圍的公式，或直接通過頻譜分析儀和 WLAN分析軟件等工具進行實際的無線規(guī)劃。特別要注意無線信號連通性和傳輸數(shù)據(jù)的Ping值，確定AP信號強度以及無線終端接入到有線網(wǎng)絡(luò)當(dāng)中的延遲和丟包率的情況。

　　網(wǎng)絡(luò)管理主要是對企業(yè)員工或訪客的身份管理，需要統(tǒng)一有線和無線的管理平臺(包括認證方式和數(shù)據(jù)庫等)，確保用戶權(quán)限在整個網(wǎng)絡(luò)的一致性。同時，還要注意監(jiān)測無線環(huán)境的變化，對無線接入點進行日?？辈楹途S護，確定無保護的接入點、新的RF干擾源，以及非法入侵AP等安全隱患。

　　案例一：北京師范大學(xué)一次性部署500個接入點

　　上個月，北京師范大學(xué)在校園原有的有線網(wǎng)絡(luò)設(shè)施基礎(chǔ)上，成功在教學(xué)樓和辦公樓進行了無線網(wǎng)絡(luò)的覆蓋，彌補了這些場所有線擴展能力較差的不足。新的無線網(wǎng)絡(luò)解決方案采用瘦AP架構(gòu)，包含超過500臺Trapeze智能WLAN接入點(MP-71接入點和MP-372接入點的結(jié)合)，4臺完全冗余的高性能MX-200RWLAN控制器。這不僅是教育行業(yè)中一次性采購AP數(shù)量最多的項目，并且在網(wǎng)絡(luò)互聯(lián)、認證計費、安全防御等方面與有線網(wǎng)絡(luò)進行良好的兼容和互補，而對校園有線網(wǎng)絡(luò)各部分主體結(jié)構(gòu)內(nèi)部不做任何變更。在AP實際部署上，北師大的案例采取“零配置”方式——即AP設(shè)備啟動后插電即可直接工作，用戶無須為每個AP配置IP地址、SSID和加密等參數(shù)。

　　瘦AP架構(gòu)給無線網(wǎng)絡(luò)的規(guī)劃和部署帶來很大便利。

　　案例二：北京某運營商WLAN非法入侵檢測

　　北京某運營商的無線網(wǎng)絡(luò)中存在非法入侵AP，嚴(yán)重影響了公司W(wǎng)LAN網(wǎng)絡(luò)的平穩(wěn)運行。由于非法入侵設(shè)備位置隱蔽，因此需要借助靈敏度極高的定向(全向)天線，才能夠?qū)崿F(xiàn)精確定位。網(wǎng)絡(luò)管理人員使用Fluke公司的EtherScope網(wǎng)絡(luò)通設(shè)備(可定位最遠515米，功率-100dBm的無線 AP)，根據(jù)定向天線的方向指示在房間漫游，通過讀取非法入侵AP的功率變化，找到非法入侵AP的信號最強點，EtherScope發(fā)出“嗶嗶”聲音指示確定非法入侵AP(包含WLAN和ad- hoc網(wǎng)絡(luò))的實際物理位置。原來，該非法入侵AP是在沒有得到允許的情況下，由辦公人員私自接入網(wǎng)絡(luò)的。將無線網(wǎng)絡(luò)成功部署到原有的有線基礎(chǔ)上并非萬事大吉，對于設(shè)備和網(wǎng)絡(luò)的管理也比維護來得更加重要。

　　下一代企業(yè)網(wǎng)是什么樣

　　同樣是解決下一代企業(yè)網(wǎng)絡(luò)移動性的問題，不用廠商之間卻旗幟鮮明：ProCurve始終強調(diào)用戶邊緣的AEA架構(gòu)，Aruba則堅持以用戶為中心的策略，Trapeze更傾向于采取分散式的架構(gòu)來避免網(wǎng)絡(luò)瓶頸……看上去每個廠商都擁有各自不同的網(wǎng)絡(luò)架構(gòu)和解決方案，但實際上彼此之間也有共通的地方，就是更好地將無線網(wǎng)絡(luò)嫁接到有線網(wǎng)絡(luò)上。同時，幾家公司都認為移動性是下一代企業(yè)網(wǎng)的重要特征。

　　王卓表示，VoIP其實是一個很好的應(yīng)用，但為什么現(xiàn)在應(yīng)用不起來？主要是因為原來的VoIP終端都是運行在有線網(wǎng)絡(luò)上。而只有利用無線網(wǎng)絡(luò)，才可以讓VoIP終端隨用戶的移動真正應(yīng)用起來。除了移動性以外，楊華認為下一代企業(yè)網(wǎng)還應(yīng)該包含以用戶為中心、集中式管控、強調(diào)個性化安全服務(wù)，以及可運營化等幾個趨勢。

　　儲斌認為，與以前面向連接的網(wǎng)絡(luò)不同，現(xiàn)在的企業(yè)網(wǎng)正在已經(jīng)開始朝面向業(yè)務(wù)的方向轉(zhuǎn)變，不再是處于封閉園區(qū)內(nèi)的一個互聯(lián)平臺了。原來通過各種技術(shù)手段和安全措施層層打補丁的管理方式也已經(jīng)落伍，只有調(diào)整企業(yè)網(wǎng)的體系架構(gòu)才是根本的解決之道。下一代企業(yè)網(wǎng)應(yīng)當(dāng)以業(yè)務(wù)為驅(qū)動，更加靠近企業(yè)的組織架構(gòu)，通過融入無線移動性和體系架構(gòu)上的安全性，變成企業(yè)的生產(chǎn)環(huán)境，讓網(wǎng)絡(luò)去適應(yīng)人。