電子發燒友App
淺談有線網絡基礎上的無線規劃及其管理
如今,企業的新業務和新應用對于無線網絡帶來的移動性需求十分迫切。然而,如何能在原有的網絡基礎上更好地添加無線層次,使其在不影響原有網絡的情況下完全融入企業網,成為擺在下一代企業網面前的重要問題。在生物學上,接穗和砧木要在內部組織結構上、生理和遺傳上彼此相同或相近,嫁接的成活率才更高,無線嫁接同樣也有類似的指導方法。
企業移動性如何體現
要解決好無線網絡的嫁接問題,先要搞清楚企業移動性的含義。對此,Aruba中國區總經理楊華表示:“在Aruba看來,企業網絡的移動性體現在對用戶身份的識別上,包括網絡使用范圍、訪問權限、策略和安全性等內容都在跟隨用戶一起移動,用戶不只是局限在物理網絡的端口和接入點使用網絡,而是可以在企業網范圍內,在任意的地點安全地使用網絡。”而Aruba所提倡的構建以“用戶為中心”的網絡策略正體現了企業的移動性,在這樣的架構下,處于接入層邊緣的用戶得以在企業范圍內任意移動,以不變的身份和策略訪問網絡。之所以用戶可以在網絡邊緣實現移動性,正是借助于無線交換機的集中管控。
惠普ProCurve也是積極倡導網絡邊緣架構的一家廠商。該公司網絡業務部技術總監儲斌認為,以前面向連接的傳統企業網正在發生改變,當網絡業界和市場逐漸由技術為導向轉變為業務為導向時,移動性也會在現代企業網中體現出來,網絡將融入各個生產環節,變成企業生產環境的一部分。對此,需要企業網絡在體系架構上進行調整。
無線規劃的內容及原則
既然開發企業的移動性就是要讓用戶在無線層面移動,那么在“嫁接”前期的無線網絡規劃工作就非常關鍵,需要企業在進行整體網絡架構的重新規劃時,注意遵循相關的方法和設計原則。
對此儲斌表示,無線網絡規劃主要是考察無線信號的連通性,信號覆蓋和強度能否符合用戶要求。這需要進行現場勘查,借用各種工具,邊緣信號強度不低于 60%為最佳。而無線性能的規劃,實際是覆蓋、性能、安全“三位一體”的規劃,主要是AP的并發能力能否滿足企業要求的功能特征,以及AP動態ACL的分發能否做到與有線等效等。此外,更重要的還要在企業網中實現有線無線的統一安全。
Trapeze公司售后支持部工程師張耀升則就具體的規劃工作做出說明:“無線規劃大體分為三個部分,包括AP部署規劃、交換機部署規劃和網絡管理及控制。具體內容主要包括AP數量、安裝位置、頻譜規劃,以及無線網絡的擴展性、安全性、可用性和可靠性(主要是冗余要求)等內容。”具體來說,需要通過勘查現場環境,確定AP數量和位置規劃,再根據所需AP的數量,考慮可以滿足這些AP接入的交換機,最后還要注意網絡核心的連接匯聚性能問題,以免造成鏈路瓶頸。
那么,用戶在進行無線規劃時,還需要遵循哪些原則呢?Aruba中國區技術總監王卓表示:“原來的有線網絡的設計并不是基于用戶的,因此要在原有有線網絡基礎上提供無線移動的網絡,讓用戶在無線層面移動,還需要注意無線設計上的三個原則:即保持有線網絡的骨干網不動;保證原有應用不動;不帶來安全性隱患。”此外,王卓還介紹了Aruba在設計思路方面的幾個特點。首先是網絡層次化設計——Aruba的無線相對有線是獨立的,這與其他廠商把無線網絡看作是有線網絡的接入補充混合在一起有所不同;其次是移動化設計,即應用只有運行在無線網絡上才能實現真正的移動;第三是安全設計,包括無線網絡的安全和用戶身份安全兩個方面;最后是多業務設計,以便讓多種應用能夠運行起來。
注重實際部署
在了解無線規劃的內容和原則之后,具體到實際部署又應該注意些什么呢?Fluke公司是一家專注于網絡和通信測試設備的廠商,該公司北京辦事處技術專家吳世軍表示:無線規劃包含初次部署和規劃擴容兩種類型。在做規劃之前,首先要明確鋪設無線網絡的目標和覆蓋要求。然后,就需要根據詳細清晰的技術要求開始現場的站點勘察。這些技術參數包含期望的接入速率,AP的覆蓋范圍和AP的數量,現在和將來無線網絡接入的用戶數量,信號強度和信噪比的要求(允許的射頻干擾強度)。特別要注意通過無線頻譜分析確認將來的無線網絡不會有嚴重的射頻干擾問題。需要注意的是,在考慮無線規劃技術要求時要有前瞻性。比如未來用戶數量的增加,高帶寬應用的部署等都需要規劃方案相應調整。
Trapeze公司售前工程師林濤則介紹了北師大項目的經驗:“具體到實際的規劃過程,需要考察關鍵位置部署的密度和覆蓋情況,以及用戶的音、視頻等實際應用。”在談到Trapeze的智能無線網絡架構在北師大發揮的作用時,他表示,Trapeze倡導的瘦AP架構涉及到幾個方面的問題:首先是統一管理,主要包括設備、無線資源和用戶等三個方面;其次是安全性,主要是非法AP問題,以及WIDS或WIPS功能;第三是增值方面,對無線漫游和定位的支持;最后是網管方面,利用Ring Master軟件,實現對MX控制器和AP的單點無線管理。而Trapeze的SmartMobile體系架構也已經為升級到802.11n網絡做好準備。
張耀升則談到了避免無線干擾的問題,如果檢測到干擾源是局域網內未經授權的惡意AP(或者稱為RogueAP),需要對AP進行攻擊,使其停止工作,至少是不能接入用戶;如果是非惡意的干擾AP,通常就是調整企業網絡當中相鄰AP的頻段盡量避開干擾。
借助無線規劃利器
在實際部署過程中,還要用到無線規劃和性能分析的工具。吳世軍介紹說,網絡工程人員經常使用的主要有三款Fluke工具:首先是 FlukeInterpretAir無線局域網分析軟件,該軟件可以在無線局域網部署之前和之后檢驗覆蓋情況和優化網絡性能;其次是 AnalyzeAirWi-Fi智能頻譜分析儀,可通過檢測、識別和定位802.11WLAN中的RF干擾,進而規劃、部署、驗證和擴展用戶的無線局域網,確保無縫的無線局域網信號覆蓋;再次是EtherScope網絡通,該設備可用于10MB、100MB和1000MB銅線、光纖和WLAN的手持式網絡故障排除。
此外,還需要站點勘查軟件包來幫助顯示WLAN配置是如何改變性能和覆蓋的,更重要的是通過勘查修正AP的設置,通過添加AP或其他方式來提高WLAN性能和覆蓋。
實際上,各個無線網絡設備廠商都有自己的網絡測試和分析軟件。比如Trapeze的RingMaster軟件,通過輸入建筑樓層、房間CAD圖紙、墻壁損耗參數、每個AP所要提供的帶寬等參數,即可確定AP數量、位置、頻譜規劃和AP功率的預估值等輸出參數,用戶還可以得到一個形象的覆蓋圖以及無線網絡布置順序規劃表。
嫁接管理篇:有線/無線的統一管理和安全
對于無線嫁接來說,做好無線網絡規劃和實際部署的工作還只是走完了第一步。“嫁接容易成活難”的問題同樣存在于企業網當中。目前,企業網對于移動設備的接入和管理做得并不好,由此引發的整網安全性隱患問題也比較嚴重。因此,做好有線和無線網絡的統一管理,進而保證網絡安全的一致性,對于具有無線網絡的企業網至關重要。
整合管理平臺
對于網絡管理來說,大致上包含網絡設備管理和用戶管理兩個方面。這里所說的統一管理,實際上是相對用戶管理層面而言,主要涉及到用戶在整個網絡中身份一致性的問題。林濤介紹說,目前在很多企業網中,都使用認證網關對用戶通過有線接入訪問Internet進行管理。加入無線網絡后,可以通過共享現有認證系統的用戶數據庫的方式實現統一管理,采用WebPortal方式對用戶無線接入進行認證。張耀升也認為網絡平臺對有線/無線的認證方式都差不多,有線和無線用戶可以使用相同的認證方式和接入網關,為用戶分配統一的接入權限,這樣不管用戶是由無線還是有線接入網絡,其訪問網絡的權限都是一樣的。另外,還可以將兩個網絡的管理工具整合起來。例如,Trapeze的RingMaster(支持SNMP)就可以融入到惠普ProCurve的OpenView構成有線/無線的統一管理平臺。
而在設備管理上,無線與有線網絡也基本類似,都是配置和監視等方面的問題。不過,兩者在細節上存在一個最大的差別。王卓表示,由于無線網絡的頻譜環境隨時都在發生變化,因此還需要無線網絡具有環境檢測和針對變化的自適應及優化功能。
至于網絡的維護和優化,則主要是周期性地檢查WLAN,收集勘查數據并進行相應的性能優化。吳世軍表示,你可以更改AP的位置、天線類型和配置信息等。通過使用站點勘查工具或網絡分析儀查看接入點情況,可以確定超負荷AP及同頻段干擾現象,防止連接速度緩慢的用戶影響網絡的整體吞吐量。
實際上,在無線管理方面可以借助的工具還有很多。比如Aruba具有ICSA認證的基于個人狀態的防火墻(比傳統ACL的安全性級別更高)、惠普 ProCurve基于IDM身份驅動的訪問控制設備(如NAC800控制器)、Trapeze的SmartPass軟件等,都是進行有線/無線網絡管理的好助手。
警惕安全隱患
網絡管理離不開安全問題,一旦WLAN在有線網絡上啟動和運行起來,就要定期審查整個網絡的監測情況,未經許可的接入點或客戶端都意為著安全漏洞。
林濤表示,無線網絡的瘦AP架構主要包括設備安全、設備間信息和協議交流的安全(包括AES加密等)、用戶網絡資源安全和無線安全幾個方面。其中用戶網絡資源的安全主要包括對客戶端安全完整性的檢查功能、WEP和WPA等加密認證手段,以及有線與無線結合的情況下對網絡資源的訪問控制(通過用戶名獲得權限進而得到網絡資源,可以在不同層次上實現安全控制)。而無線安全包括WIDS和WIPS等方式,通過對非法AP的監測、定位和反擊,防止無線用戶接入到非法AP上。
儲斌著重強調了企業網安全管理的一致性,他表示,無線管理需要與有線的管理和調度相融合,看無線的擴展能否與原有的有線安全性相統一(不只是數據加密、日志、審計),如果做不到,來自用戶的困惑和疑慮還是沒有得到解決。實際上,各種用戶口令造成的身份交叉是整個企業網最大的一個安全隱患。如果管理體系出現不一致,無疑是對整個企業網安全性的一個削弱。
無線嫁接實用手冊
定義:
即在企業原有的有線網絡基礎上部署無線網絡,構建帶有移動性的相互融合的網絡。
場所:
無線嫁接通常發生在原有有線網絡擴展困難,或對無線移動性有需求的場所。
影響因素:
影響無線嫁接的因素主要是無線網絡的前期規劃和后期管理。其中無線規劃包括AP部署規劃、無線交換機部署規劃和網絡管理及控制等方面的內容,無線管理包括設備管理、用戶管理、網絡安全和控制等。
工具和方法:
無線網絡規劃首先要根據實際應用和場所進行初步設計,然后結合現場勘查的情況,根據業界計算空間損耗和覆蓋范圍的公式,或直接通過頻譜分析儀和 WLAN分析軟件等工具進行實際的無線規劃。特別要注意無線信號連通性和傳輸數據的Ping值,確定AP信號強度以及無線終端接入到有線網絡當中的延遲和丟包率的情況。
網絡管理主要是對企業員工或訪客的身份管理,需要統一有線和無線的管理平臺(包括認證方式和數據庫等),確保用戶權限在整個網絡的一致性。同時,還要注意監測無線環境的變化,對無線接入點進行日常勘查和維護,確定無保護的接入點、新的RF干擾源,以及非法入侵AP等安全隱患。
案例一:北京師范大學一次性部署500個接入點
上個月,北京師范大學在校園原有的有線網絡設施基礎上,成功在教學樓和辦公樓進行了無線網絡的覆蓋,彌補了這些場所有線擴展能力較差的不足。新的無線網絡解決方案采用瘦AP架構,包含超過500臺Trapeze智能WLAN接入點(MP-71接入點和MP-372接入點的結合),4臺完全冗余的高性能MX-200RWLAN控制器。這不僅是教育行業中一次性采購AP數量最多的項目,并且在網絡互聯、認證計費、安全防御等方面與有線網絡進行良好的兼容和互補,而對校園有線網絡各部分主體結構內部不做任何變更。在AP實際部署上,北師大的案例采取“零配置”方式——即AP設備啟動后插電即可直接工作,用戶無須為每個AP配置IP地址、SSID和加密等參數。
瘦AP架構給無線網絡的規劃和部署帶來很大便利。
案例二:北京某運營商WLAN非法入侵檢測
北京某運營商的無線網絡中存在非法入侵AP,嚴重影響了公司WLAN網絡的平穩運行。由于非法入侵設備位置隱蔽,因此需要借助靈敏度極高的定向(全向)天線,才能夠實現精確定位。網絡管理人員使用Fluke公司的EtherScope網絡通設備(可定位最遠515米,功率-100dBm的無線 AP),根據定向天線的方向指示在房間漫游,通過讀取非法入侵AP的功率變化,找到非法入侵AP的信號最強點,EtherScope發出“嗶嗶”聲音指示確定非法入侵AP(包含WLAN和ad- hoc網絡)的實際物理位置。原來,該非法入侵AP是在沒有得到允許的情況下,由辦公人員私自接入網絡的。將無線網絡成功部署到原有的有線基礎上并非萬事大吉,對于設備和網絡的管理也比維護來得更加重要。
下一代企業網是什么樣
同樣是解決下一代企業網絡移動性的問題,不用廠商之間卻旗幟鮮明:ProCurve始終強調用戶邊緣的AEA架構,Aruba則堅持以用戶為中心的策略,Trapeze更傾向于采取分散式的架構來避免網絡瓶頸……看上去每個廠商都擁有各自不同的網絡架構和解決方案,但實際上彼此之間也有共通的地方,就是更好地將無線網絡嫁接到有線網絡上。同時,幾家公司都認為移動性是下一代企業網的重要特征。
王卓表示,VoIP其實是一個很好的應用,但為什么現在應用不起來?主要是因為原來的VoIP終端都是運行在有線網絡上。而只有利用無線網絡,才可以讓VoIP終端隨用戶的移動真正應用起來。除了移動性以外,楊華認為下一代企業網還應該包含以用戶為中心、集中式管控、強調個性化安全服務,以及可運營化等幾個趨勢。
儲斌認為,與以前面向連接的網絡不同,現在的企業網正在已經開始朝面向業務的方向轉變,不再是處于封閉園區內的一個互聯平臺了。原來通過各種技術手段和安全措施層層打補丁的管理方式也已經落伍,只有調整企業網的體系架構才是根本的解決之道。下一代企業網應當以業務為驅動,更加靠近企業的組織架構,通過融入無線移動性和體系架構上的安全性,變成企業的生產環境,讓網絡去適應人。
工商網監
評論