淺談有線網(wǎng)絡(luò)基礎(chǔ)上的無線規(guī)劃及其管理
如今,企業(yè)的新業(yè)務(wù)和新應(yīng)用對于無線網(wǎng)絡(luò)帶來的移動性需求十分迫切。然而,如何能在原有的網(wǎng)絡(luò)基礎(chǔ)上更好地添加無線層次,使其在不影響原有網(wǎng)絡(luò)的情況下完全融入企業(yè)網(wǎng),成為擺在下一代企業(yè)網(wǎng)面前的重要問題。在生物學(xué)上,接穗和砧木要在內(nèi)部組織結(jié)構(gòu)上、生理和遺傳上彼此相同或相近,嫁接的成活率才更高,無線嫁接同樣也有類似的指導(dǎo)方法。
企業(yè)移動性如何體現(xiàn)
要解決好無線網(wǎng)絡(luò)的嫁接問題,先要搞清楚企業(yè)移動性的含義。對此,Aruba中國區(qū)總經(jīng)理楊華表示:“在Aruba看來,企業(yè)網(wǎng)絡(luò)的移動性體現(xiàn)在對用戶身份的識別上,包括網(wǎng)絡(luò)使用范圍、訪問權(quán)限、策略和安全性等內(nèi)容都在跟隨用戶一起移動,用戶不只是局限在物理網(wǎng)絡(luò)的端口和接入點使用網(wǎng)絡(luò),而是可以在企業(yè)網(wǎng)范圍內(nèi),在任意的地點安全地使用網(wǎng)絡(luò)?!倍鳤ruba所提倡的構(gòu)建以“用戶為中心”的網(wǎng)絡(luò)策略正體現(xiàn)了企業(yè)的移動性,在這樣的架構(gòu)下,處于接入層邊緣的用戶得以在企業(yè)范圍內(nèi)任意移動,以不變的身份和策略訪問網(wǎng)絡(luò)。之所以用戶可以在網(wǎng)絡(luò)邊緣實現(xiàn)移動性,正是借助于無線交換機的集中管控。
惠普ProCurve也是積極倡導(dǎo)網(wǎng)絡(luò)邊緣架構(gòu)的一家廠商。該公司網(wǎng)絡(luò)業(yè)務(wù)部技術(shù)總監(jiān)儲斌認為,以前面向連接的傳統(tǒng)企業(yè)網(wǎng)正在發(fā)生改變,當(dāng)網(wǎng)絡(luò)業(yè)界和市場逐漸由技術(shù)為導(dǎo)向轉(zhuǎn)變?yōu)闃I(yè)務(wù)為導(dǎo)向時,移動性也會在現(xiàn)代企業(yè)網(wǎng)中體現(xiàn)出來,網(wǎng)絡(luò)將融入各個生產(chǎn)環(huán)節(jié),變成企業(yè)生產(chǎn)環(huán)境的一部分。對此,需要企業(yè)網(wǎng)絡(luò)在體系架構(gòu)上進行調(diào)整。
無線規(guī)劃的內(nèi)容及原則
既然開發(fā)企業(yè)的移動性就是要讓用戶在無線層面移動,那么在“嫁接”前期的無線網(wǎng)絡(luò)規(guī)劃工作就非常關(guān)鍵,需要企業(yè)在進行整體網(wǎng)絡(luò)架構(gòu)的重新規(guī)劃時,注意遵循相關(guān)的方法和設(shè)計原則。
對此儲斌表示,無線網(wǎng)絡(luò)規(guī)劃主要是考察無線信號的連通性,信號覆蓋和強度能否符合用戶要求。這需要進行現(xiàn)場勘查,借用各種工具,邊緣信號強度不低于 60%為最佳。而無線性能的規(guī)劃,實際是覆蓋、性能、安全“三位一體”的規(guī)劃,主要是AP的并發(fā)能力能否滿足企業(yè)要求的功能特征,以及AP動態(tài)ACL的分發(fā)能否做到與有線等效等。此外,更重要的還要在企業(yè)網(wǎng)中實現(xiàn)有線無線的統(tǒng)一安全。
Trapeze公司售后支持部工程師張耀升則就具體的規(guī)劃工作做出說明:“無線規(guī)劃大體分為三個部分,包括AP部署規(guī)劃、交換機部署規(guī)劃和網(wǎng)絡(luò)管理及控制。具體內(nèi)容主要包括AP數(shù)量、安裝位置、頻譜規(guī)劃,以及無線網(wǎng)絡(luò)的擴展性、安全性、可用性和可靠性(主要是冗余要求)等內(nèi)容?!本唧w來說,需要通過勘查現(xiàn)場環(huán)境,確定AP數(shù)量和位置規(guī)劃,再根據(jù)所需AP的數(shù)量,考慮可以滿足這些AP接入的交換機,最后還要注意網(wǎng)絡(luò)核心的連接匯聚性能問題,以免造成鏈路瓶頸。
那么,用戶在進行無線規(guī)劃時,還需要遵循哪些原則呢?Aruba中國區(qū)技術(shù)總監(jiān)王卓表示:“原來的有線網(wǎng)絡(luò)的設(shè)計并不是基于用戶的,因此要在原有有線網(wǎng)絡(luò)基礎(chǔ)上提供無線移動的網(wǎng)絡(luò),讓用戶在無線層面移動,還需要注意無線設(shè)計上的三個原則:即保持有線網(wǎng)絡(luò)的骨干網(wǎng)不動;保證原有應(yīng)用不動;不帶來安全性隱患。”此外,王卓還介紹了Aruba在設(shè)計思路方面的幾個特點。首先是網(wǎng)絡(luò)層次化設(shè)計——Aruba的無線相對有線是獨立的,這與其他廠商把無線網(wǎng)絡(luò)看作是有線網(wǎng)絡(luò)的接入補充混合在一起有所不同;其次是移動化設(shè)計,即應(yīng)用只有運行在無線網(wǎng)絡(luò)上才能實現(xiàn)真正的移動;第三是安全設(shè)計,包括無線網(wǎng)絡(luò)的安全和用戶身份安全兩個方面;最后是多業(yè)務(wù)設(shè)計,以便讓多種應(yīng)用能夠運行起來。
注重實際部署
在了解無線規(guī)劃的內(nèi)容和原則之后,具體到實際部署又應(yīng)該注意些什么呢?Fluke公司是一家專注于網(wǎng)絡(luò)和通信測試設(shè)備的廠商,該公司北京辦事處技術(shù)專家吳世軍表示:無線規(guī)劃包含初次部署和規(guī)劃擴容兩種類型。在做規(guī)劃之前,首先要明確鋪設(shè)無線網(wǎng)絡(luò)的目標(biāo)和覆蓋要求。然后,就需要根據(jù)詳細清晰的技術(shù)要求開始現(xiàn)場的站點勘察。這些技術(shù)參數(shù)包含期望的接入速率,AP的覆蓋范圍和AP的數(shù)量,現(xiàn)在和將來無線網(wǎng)絡(luò)接入的用戶數(shù)量,信號強度和信噪比的要求(允許的射頻干擾強度)。特別要注意通過無線頻譜分析確認將來的無線網(wǎng)絡(luò)不會有嚴(yán)重的射頻干擾問題。需要注意的是,在考慮無線規(guī)劃技術(shù)要求時要有前瞻性。比如未來用戶數(shù)量的增加,高帶寬應(yīng)用的部署等都需要規(guī)劃方案相應(yīng)調(diào)整。
Trapeze公司售前工程師林濤則介紹了北師大項目的經(jīng)驗:“具體到實際的規(guī)劃過程,需要考察關(guān)鍵位置部署的密度和覆蓋情況,以及用戶的音、視頻等實際應(yīng)用。”在談到Trapeze的智能無線網(wǎng)絡(luò)架構(gòu)在北師大發(fā)揮的作用時,他表示,Trapeze倡導(dǎo)的瘦AP架構(gòu)涉及到幾個方面的問題:首先是統(tǒng)一管理,主要包括設(shè)備、無線資源和用戶等三個方面;其次是安全性,主要是非法AP問題,以及WIDS或WIPS功能;第三是增值方面,對無線漫游和定位的支持;最后是網(wǎng)管方面,利用Ring Master軟件,實現(xiàn)對MX控制器和AP的單點無線管理。而Trapeze的SmartMobile體系架構(gòu)也已經(jīng)為升級到802.11n網(wǎng)絡(luò)做好準(zhǔn)備。
張耀升則談到了避免無線干擾的問題,如果檢測到干擾源是局域網(wǎng)內(nèi)未經(jīng)授權(quán)的惡意AP(或者稱為RogueAP),需要對AP進行攻擊,使其停止工作,至少是不能接入用戶;如果是非惡意的干擾AP,通常就是調(diào)整企業(yè)網(wǎng)絡(luò)當(dāng)中相鄰AP的頻段盡量避開干擾。
借助無線規(guī)劃利器
在實際部署過程中,還要用到無線規(guī)劃和性能分析的工具。吳世軍介紹說,網(wǎng)絡(luò)工程人員經(jīng)常使用的主要有三款Fluke工具:首先是 FlukeInterpretAir無線局域網(wǎng)分析軟件,該軟件可以在無線局域網(wǎng)部署之前和之后檢驗覆蓋情況和優(yōu)化網(wǎng)絡(luò)性能;其次是 AnalyzeAirWi-Fi智能頻譜分析儀,可通過檢測、識別和定位802.11WLAN中的RF干擾,進而規(guī)劃、部署、驗證和擴展用戶的無線局域網(wǎng),確保無縫的無線局域網(wǎng)信號覆蓋;再次是EtherScope網(wǎng)絡(luò)通,該設(shè)備可用于10MB、100MB和1000MB銅線、光纖和WLAN的手持式網(wǎng)絡(luò)故障排除。
此外,還需要站點勘查軟件包來幫助顯示W(wǎng)LAN配置是如何改變性能和覆蓋的,更重要的是通過勘查修正AP的設(shè)置,通過添加AP或其他方式來提高WLAN性能和覆蓋。
實際上,各個無線網(wǎng)絡(luò)設(shè)備廠商都有自己的網(wǎng)絡(luò)測試和分析軟件。比如Trapeze的RingMaster軟件,通過輸入建筑樓層、房間CAD圖紙、墻壁損耗參數(shù)、每個AP所要提供的帶寬等參數(shù),即可確定AP數(shù)量、位置、頻譜規(guī)劃和AP功率的預(yù)估值等輸出參數(shù),用戶還可以得到一個形象的覆蓋圖以及無線網(wǎng)絡(luò)布置順序規(guī)劃表。
嫁接管理篇:有線/無線的統(tǒng)一管理和安全
對于無線嫁接來說,做好無線網(wǎng)絡(luò)規(guī)劃和實際部署的工作還只是走完了第一步。“嫁接容易成活難”的問題同樣存在于企業(yè)網(wǎng)當(dāng)中。目前,企業(yè)網(wǎng)對于移動設(shè)備的接入和管理做得并不好,由此引發(fā)的整網(wǎng)安全性隱患問題也比較嚴(yán)重。因此,做好有線和無線網(wǎng)絡(luò)的統(tǒng)一管理,進而保證網(wǎng)絡(luò)安全的一致性,對于具有無線網(wǎng)絡(luò)的企業(yè)網(wǎng)至關(guān)重要。
整合管理平臺
對于網(wǎng)絡(luò)管理來說,大致上包含網(wǎng)絡(luò)設(shè)備管理和用戶管理兩個方面。這里所說的統(tǒng)一管理,實際上是相對用戶管理層面而言,主要涉及到用戶在整個網(wǎng)絡(luò)中身份一致性的問題。林濤介紹說,目前在很多企業(yè)網(wǎng)中,都使用認證網(wǎng)關(guān)對用戶通過有線接入訪問Internet進行管理。加入無線網(wǎng)絡(luò)后,可以通過共享現(xiàn)有認證系統(tǒng)的用戶數(shù)據(jù)庫的方式實現(xiàn)統(tǒng)一管理,采用WebPortal方式對用戶無線接入進行認證。張耀升也認為網(wǎng)絡(luò)平臺對有線/無線的認證方式都差不多,有線和無線用戶可以使用相同的認證方式和接入網(wǎng)關(guān),為用戶分配統(tǒng)一的接入權(quán)限,這樣不管用戶是由無線還是有線接入網(wǎng)絡(luò),其訪問網(wǎng)絡(luò)的權(quán)限都是一樣的。另外,還可以將兩個網(wǎng)絡(luò)的管理工具整合起來。例如,Trapeze的RingMaster(支持SNMP)就可以融入到惠普ProCurve的OpenView構(gòu)成有線/無線的統(tǒng)一管理平臺。
而在設(shè)備管理上,無線與有線網(wǎng)絡(luò)也基本類似,都是配置和監(jiān)視等方面的問題。不過,兩者在細節(jié)上存在一個最大的差別。王卓表示,由于無線網(wǎng)絡(luò)的頻譜環(huán)境隨時都在發(fā)生變化,因此還需要無線網(wǎng)絡(luò)具有環(huán)境檢測和針對變化的自適應(yīng)及優(yōu)化功能。
至于網(wǎng)絡(luò)的維護和優(yōu)化,則主要是周期性地檢查WLAN,收集勘查數(shù)據(jù)并進行相應(yīng)的性能優(yōu)化。吳世軍表示,你可以更改AP的位置、天線類型和配置信息等。通過使用站點勘查工具或網(wǎng)絡(luò)分析儀查看接入點情況,可以確定超負荷AP及同頻段干擾現(xiàn)象,防止連接速度緩慢的用戶影響網(wǎng)絡(luò)的整體吞吐量。
實際上,在無線管理方面可以借助的工具還有很多。比如Aruba具有ICSA認證的基于個人狀態(tài)的防火墻(比傳統(tǒng)ACL的安全性級別更高)、惠普 ProCurve基于IDM身份驅(qū)動的訪問控制設(shè)備(如NAC800控制器)、Trapeze的SmartPass軟件等,都是進行有線/無線網(wǎng)絡(luò)管理的好助手。
警惕安全隱患
網(wǎng)絡(luò)管理離不開安全問題,一旦WLAN在有線網(wǎng)絡(luò)上啟動和運行起來,就要定期審查整個網(wǎng)絡(luò)的監(jiān)測情況,未經(jīng)許可的接入點或客戶端都意為著安全漏洞。
林濤表示,無線網(wǎng)絡(luò)的瘦AP架構(gòu)主要包括設(shè)備安全、設(shè)備間信息和協(xié)議交流的安全(包括AES加密等)、用戶網(wǎng)絡(luò)資源安全和無線安全幾個方面。其中用戶網(wǎng)絡(luò)資源的安全主要包括對客戶端安全完整性的檢查功能、WEP和WPA等加密認證手段,以及有線與無線結(jié)合的情況下對網(wǎng)絡(luò)資源的訪問控制(通過用戶名獲得權(quán)限進而得到網(wǎng)絡(luò)資源,可以在不同層次上實現(xiàn)安全控制)。而無線安全包括WIDS和WIPS等方式,通過對非法AP的監(jiān)測、定位和反擊,防止無線用戶接入到非法AP上。
儲斌著重強調(diào)了企業(yè)網(wǎng)安全管理的一致性,他表示,無線管理需要與有線的管理和調(diào)度相融合,看無線的擴展能否與原有的有線安全性相統(tǒng)一(不只是數(shù)據(jù)加密、日志、審計),如果做不到,來自用戶的困惑和疑慮還是沒有得到解決。實際上,各種用戶口令造成的身份交叉是整個企業(yè)網(wǎng)最大的一個安全隱患。如果管理體系出現(xiàn)不一致,無疑是對整個企業(yè)網(wǎng)安全性的一個削弱。
無線嫁接實用手冊
定義:
即在企業(yè)原有的有線網(wǎng)絡(luò)基礎(chǔ)上部署無線網(wǎng)絡(luò),構(gòu)建帶有移動性的相互融合的網(wǎng)絡(luò)。
場所:
無線嫁接通常發(fā)生在原有有線網(wǎng)絡(luò)擴展困難,或?qū)o線移動性有需求的場所。
影響因素:
影響無線嫁接的因素主要是無線網(wǎng)絡(luò)的前期規(guī)劃和后期管理。其中無線規(guī)劃包括AP部署規(guī)劃、無線交換機部署規(guī)劃和網(wǎng)絡(luò)管理及控制等方面的內(nèi)容,無線管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)安全和控制等。
工具和方法:
無線網(wǎng)絡(luò)規(guī)劃首先要根據(jù)實際應(yīng)用和場所進行初步設(shè)計,然后結(jié)合現(xiàn)場勘查的情況,根據(jù)業(yè)界計算空間損耗和覆蓋范圍的公式,或直接通過頻譜分析儀和 WLAN分析軟件等工具進行實際的無線規(guī)劃。特別要注意無線信號連通性和傳輸數(shù)據(jù)的Ping值,確定AP信號強度以及無線終端接入到有線網(wǎng)絡(luò)當(dāng)中的延遲和丟包率的情況。
網(wǎng)絡(luò)管理主要是對企業(yè)員工或訪客的身份管理,需要統(tǒng)一有線和無線的管理平臺(包括認證方式和數(shù)據(jù)庫等),確保用戶權(quán)限在整個網(wǎng)絡(luò)的一致性。同時,還要注意監(jiān)測無線環(huán)境的變化,對無線接入點進行日??辈楹途S護,確定無保護的接入點、新的RF干擾源,以及非法入侵AP等安全隱患。
案例一:北京師范大學(xué)一次性部署500個接入點
上個月,北京師范大學(xué)在校園原有的有線網(wǎng)絡(luò)設(shè)施基礎(chǔ)上,成功在教學(xué)樓和辦公樓進行了無線網(wǎng)絡(luò)的覆蓋,彌補了這些場所有線擴展能力較差的不足。新的無線網(wǎng)絡(luò)解決方案采用瘦AP架構(gòu),包含超過500臺Trapeze智能WLAN接入點(MP-71接入點和MP-372接入點的結(jié)合),4臺完全冗余的高性能MX-200RWLAN控制器。這不僅是教育行業(yè)中一次性采購AP數(shù)量最多的項目,并且在網(wǎng)絡(luò)互聯(lián)、認證計費、安全防御等方面與有線網(wǎng)絡(luò)進行良好的兼容和互補,而對校園有線網(wǎng)絡(luò)各部分主體結(jié)構(gòu)內(nèi)部不做任何變更。在AP實際部署上,北師大的案例采取“零配置”方式——即AP設(shè)備啟動后插電即可直接工作,用戶無須為每個AP配置IP地址、SSID和加密等參數(shù)。
瘦AP架構(gòu)給無線網(wǎng)絡(luò)的規(guī)劃和部署帶來很大便利。
案例二:北京某運營商WLAN非法入侵檢測
北京某運營商的無線網(wǎng)絡(luò)中存在非法入侵AP,嚴(yán)重影響了公司W(wǎng)LAN網(wǎng)絡(luò)的平穩(wěn)運行。由于非法入侵設(shè)備位置隱蔽,因此需要借助靈敏度極高的定向(全向)天線,才能夠?qū)崿F(xiàn)精確定位。網(wǎng)絡(luò)管理人員使用Fluke公司的EtherScope網(wǎng)絡(luò)通設(shè)備(可定位最遠515米,功率-100dBm的無線 AP),根據(jù)定向天線的方向指示在房間漫游,通過讀取非法入侵AP的功率變化,找到非法入侵AP的信號最強點,EtherScope發(fā)出“嗶嗶”聲音指示確定非法入侵AP(包含WLAN和ad- hoc網(wǎng)絡(luò))的實際物理位置。原來,該非法入侵AP是在沒有得到允許的情況下,由辦公人員私自接入網(wǎng)絡(luò)的。將無線網(wǎng)絡(luò)成功部署到原有的有線基礎(chǔ)上并非萬事大吉,對于設(shè)備和網(wǎng)絡(luò)的管理也比維護來得更加重要。
下一代企業(yè)網(wǎng)是什么樣
同樣是解決下一代企業(yè)網(wǎng)絡(luò)移動性的問題,不用廠商之間卻旗幟鮮明:ProCurve始終強調(diào)用戶邊緣的AEA架構(gòu),Aruba則堅持以用戶為中心的策略,Trapeze更傾向于采取分散式的架構(gòu)來避免網(wǎng)絡(luò)瓶頸……看上去每個廠商都擁有各自不同的網(wǎng)絡(luò)架構(gòu)和解決方案,但實際上彼此之間也有共通的地方,就是更好地將無線網(wǎng)絡(luò)嫁接到有線網(wǎng)絡(luò)上。同時,幾家公司都認為移動性是下一代企業(yè)網(wǎng)的重要特征。
王卓表示,VoIP其實是一個很好的應(yīng)用,但為什么現(xiàn)在應(yīng)用不起來?主要是因為原來的VoIP終端都是運行在有線網(wǎng)絡(luò)上。而只有利用無線網(wǎng)絡(luò),才可以讓VoIP終端隨用戶的移動真正應(yīng)用起來。除了移動性以外,楊華認為下一代企業(yè)網(wǎng)還應(yīng)該包含以用戶為中心、集中式管控、強調(diào)個性化安全服務(wù),以及可運營化等幾個趨勢。
儲斌認為,與以前面向連接的網(wǎng)絡(luò)不同,現(xiàn)在的企業(yè)網(wǎng)正在已經(jīng)開始朝面向業(yè)務(wù)的方向轉(zhuǎn)變,不再是處于封閉園區(qū)內(nèi)的一個互聯(lián)平臺了。原來通過各種技術(shù)手段和安全措施層層打補丁的管理方式也已經(jīng)落伍,只有調(diào)整企業(yè)網(wǎng)的體系架構(gòu)才是根本的解決之道。下一代企業(yè)網(wǎng)應(yīng)當(dāng)以業(yè)務(wù)為驅(qū)動,更加靠近企業(yè)的組織架構(gòu),通過融入無線移動性和體系架構(gòu)上的安全性,變成企業(yè)的生產(chǎn)環(huán)境,讓網(wǎng)絡(luò)去適應(yīng)人。
評論
查看更多