H3C中小企业无线解决方案.doc

1、H3C 中小企业无线解决方案根据中国互联网络信息中心（CNNIC）公布的数据，截至 2008 年 6 月底，中国网民数量达到了 2.53亿，首次大幅度超过美国，跃居世界第一位。中国也真正地步入网络时代。其中 WLAN 网络在提高企业效率、降低企业成本、提高用户满意度等方面有着突出的作用。对于中小规模网络，如何更方便地建设、部署 WLAN 网络，成为网络建设者首要面对的问题。针对网络规模的特点，以下内容，是网络规划、建设过程中，必须回答的问题。1. 为什么需要 FIT AP 解决方案对于中小规模网络，普遍存在管理能力不强的因素，客户倾向于简单、易管理的网络解决方案，对于无线部署尤其如此。目前业界

2、解决无线网络部署的技术，主要是 FAT(胖)AP 解决方案和 FIT(瘦)AP 解决方案。分析中小规模网络 WLAN 部署的需求，适用于家庭应用的 FAT AP 独立部署方式，因为管理和业务支撑的限制，并不适合企业组网。业界比较一致的观点是采用集中控制管理的 FIT AP 部署模式来建设企业 WLAN 网络，即通过无线控制器和无线 AP 共同满足企业无线覆盖需求，有效地解决企业 IT 人员对 AP 管理的后顾之忧，并满足企业对无线话音、视频等增值业务的需要。 配置简单：AP 零配置、所有的配置集中在无线交换机上完成，简单便捷； 维护方便：管理、维护针对无线交换机来实现，不需要对每一台 AP 进

3、行操作； 易于升级：针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线 AP 单独升级； 安全可控：可以集中进行射频及功率、信道调整，安全访问控制等功能； 更易扩展：根据需要，可以灵活增加补点 AP，支持三层漫游，方便扩展支持无线监控、话音应用等业务。2. 需要什么样的无线交换机既然如此，面对不同厂家、不同型号的无线交换机产品，如何选择适合网络需求的设备，就是一个重中之重的问题，选择什么样的无线交换机，建议从以下几个方面来分析。2.1. 控制器管理多少 AP 如何规划网络，需要部署多少个 AP，需要什么样规格的无线控制器，既保证覆盖要求，又不浪费投资。既能保

4、证现有应用，又能兼顾未来发展。配置管理多少个 AP 的无线控制器，可以从两个方面入手。 空间无线信号穿越门、窗、墙等障碍物会有衰减，因此，无线 AP 的数量和覆盖场所的物理格局关系密切，无线 AP 的覆盖原则是，首先保证覆盖区域内，AP 与无线终端之间无线信号的有效交互，其次，保证覆盖区域内每个终端的覆盖带宽要求。综合上述原则，可以确定覆盖的 AP 数量。 时间即保护投资，一个网络的生命周期，大致五年，五年内企业规模会壮大，企业网络也需要扩展，无线控制器的选择需要兼顾管理 AP 的可扩展能力，同时，企业应用业务也会发展，包括无线语音、视频的应用，无线控制器的性能需要能满足几年的应用。如今 IE

5、EE802.11a/b/g 是无线接入的主流，随着 IEEE802.11n的成熟，现有的网络需要无缝集成 IEEE802.11n AP，因此，无线控制器既要能满足 IEEE802.11a/b/g 的数据处理，又要能够满足 IEEE802.11n 的数据处理。一般而言，一个 AP 可以满足 20 个用户，每个用户 1Mbps 的流量要求，从这个角度，2030 个 AP 可以满足 400600 人的企业应用。因此，管理 2030 个 AP 的无线控制器可以满足大多数中小规模网络的需求。2.2. 需要什么样的性能保障大容量 AP 管理接入、无线话音、无线视频、IEEE802.11n 接入，这些都使无

6、线控制器的性能成为一个不容忽视的问题。考虑到投资成本，又不能无限制地通过提升硬件来解决性能限制。因此需要从硬件和软件体系两个方面来衡量无线控制器的性能。首先，目前的企业网，千兆核心已经普及，而且 IEEE802.11n AP 的上行端口多采用千兆。因此，无线控制器需要提供千兆处理性能，不仅提供千兆端口，最好能够提供万兆扩展能力，以便提供更高的网络链接适用性。其次，随着话音等延时敏感性业务的推广及 IEEE802.11n AP 处理的大流量要求，集中转发的无线控制器很容易成为性能瓶颈。因此，需要无线控制器支持采用分布式转发模式，控制、管理报文通过无线控制器进行统一处理，数据报文在无线 AP 上直

7、接转化为以太网格式的报文，不需要通过隧道封装交无线交换机处理，从而解决无线控制器的数据转发性能瓶颈问题。2.3. 如何解决无线 AP 供电如何解决供电，无线 AP 部署位置的灵活性，要求 AP 在具有本地供电能力的同时，要求其可以通过 POE 实现远程供电，目前有两类解决方案，POE 供电模块和 POE 供电交换机。为了保证 POE 供电的可靠性，采用POE 供电交换机为单路供电的无线 AP 提供电源是首选，目前的 POE 交换机遵循的是 IEEE802.3af 标准，最大输出功率是 15W 左右，而业界主流的 IEEE802.11n AP 需要的工作功率多大于 15W，为了解决这样的供电需求

8、，需要遵循 IEEE802.3at 草案的 POE+供电交换机，才能真正发挥 IEEE802.11n 的性能优势。2.4. 如何降低管理成本对于一般的客户，往往没有强大的 IT 维护力量，网络建设从来不是一劳永逸的，因此，网络管理是非常重要的问题。但是，对于中小网络客户，并不需要过于完善、过于负载的网络管理系统，简易直观的 WEB 管理界面，是中小网络真正需要的网络管理。这样可以方便 IT 管理者的维护，可以避免使 IT 管理员成为救火队员。另外，对于管理内容，包括用户 IP 地址分配，用户身份认证等系列用户管理是重点考虑的内容。无线用户的 IP 地址一般采用 DHCP 服务器来分配，用户认证

9、可以采用 MAC 地址认证、IEEE802.1x 认证、PORTAL 认证等方式。一个完整的无线网络，一般需要 RADIUS 服务器，PORTAL 认证服务器及前面述及的DHCP 服务器。这些设备结合无线控制器及无线 AP，对没有强大的 IT 维护力量的企业而言，无疑是一个严峻的挑战，因此，客户需要一种高集成的解决方案，即无线交换机集成 DHCP 服务、RADIUS 认证服务、PORTAL 认证服务，为客户提供统一的管理界面。2.5. 如何保证无线安全WLAN 利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战，无线网络安全的复杂性一定程度上限制了企业部署无线。如何解决 WL

10、AN 接入面临的安全问题，保证客户放心使用是一个重要问题。仔细分析无线面临的安全挑战， 主要是防止非法 AP 接入，防止非法用户接入，防止 ARP 攻击，防止 AP过载，防止不合理应用等。既要防范外部威胁，又要防范内部威胁，既要防范来自用户端的威胁，又要防范网络端的威胁。首先，防范未授权 AP IEEE802.11 网络很容易受到大量网络威胁的影响，如未经授权的 AP 用户、Ad-hoc 网络、拒绝服务型攻击等。Rouge 设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测（WIDS）功能来防范，通过 WIDS 用于对有恶意的用户攻击和入侵无线网络进行早期检测，它用于检测 WLAN

11、 网络中的 rogue 设备，上报管理中心，并对它们采取反制措施，以阻止其工作，最大程度地保护无线网络。其次， 防范非法用户这主要通过认证技术及加密技术来保证。通过 802.1x 认证、MAC 地址认证、Portal 认证等多种认证方式，保证无线用户身份的安全性， 结合 WEP（64/128）、WPA、WPA2 等多种加密方式保证无线用户的加密安全性。另外，通过用户身份认证结合 AAA 服务器上对用户组进行权限的配置和修改，实现精细的用户权限控制，从而大大增强了无线网络的可用度，网管人员可以轻松地对不同级别的人进行接入权限分配。第三，防范 ARP 攻击企业内部普遍存在 ARP 攻击手段，通过伪

12、造 IP 地址和 M 无线交换机地址实现 ARP 欺骗，产生大量的 ARP通信量使网络阻塞或者实现中间人攻击，严重的可以使网络不可用，危害企业应用。为了防止攻击者通过 ARP 报文实施“中间人”攻击，要求无线控制器具有 ARP 入侵检测功能，即通过对ARP 报文进行合法性检测，转发合法的 ARP 报文，丢弃非法 ARP 报文。从而有效防御 ARP 欺骗。第四，防范网络带宽滥用这并不是直接的安全问题，但是会防碍企业内部正常网络应用。需要一些智能管理手段来解决这样的问题。在 WLAN 网络中，同一个无线 AP 下会同时接入多个无线终端，如果部分终端应用 BT 等下载应用，将占用所有的无线端口带宽，

13、导致其它终端不能正常工作。为了避免上述问题，需要网络支持智能带宽限速，可以限制终端使用为固定带宽，也可以限制所有终端平均分享限定带宽，从而有效解决带宽占用的问题。另外，为了避免无线网络中部分 AP 过载，部分 AP 闲置而影响网络使用，需要通过负载均衡来实现。智能负载分担方法可以动态地确定在当前时刻和当前位置下哪些 AP 可以彼此分担负载，通过控制无线客户端接入的 AP，来实现这些 AP 间的负载分担。3. H3C WX3000 有线无线一体化交换机综上所述，既能够带来网络的经济性、高效率、自由度，又不增加网络建设、维护使用的成本，是每一个网络建设者的追求。H3C WX3000 系列一体化交换

14、机是杭州华三通信技术有限公司（以下简称 H3C 公司）自主研发的集成无线控制器和千兆以太网交换机功能的产品。H3C WX3000 系列一体化交换机提供纯千兆以太网有线接入口，支持 PoE+供电，每端口最大提供 25W 的功率，同时兼容 802.11a/b/g/n 协议。H3C WX3000 系列一体化交换机目前包含 H3C WX3010 和 H3C WX3024 两款型号，WX3024 提供 24 个千兆电口及 4 个 Combo SFP 千兆光接口，WX3010 提供 8 个千兆电口及 2 个 SFP 千兆光接口，其中，WX3024 后面板提供两个 10GE 接口插槽，解决了 WLAN 网络

15、核心的传输瓶颈。WX3000 定位于中小网络和大型企业分支机构的一体化接入，是中小网络，大企业分支机构有线无线一体化接入最理想的一体化交换机。WX3024/WX3010 集成对无线 AP 的管理、控制、数据转发的功能，千兆端口可同时提供 POE 供电功能，并支持 PoE+供电，每端口最大提供 25W 的功率，方便 IEEE802.11n AP 的部署；WX3024/WX3010 提供防 ARP攻击，无线入侵检测（WIDS），多种加密认证安全技术，有效解决企业网络面临的安全挑战；WX3024/WX3010 还集成了多种应用服务，包括 DHCP 服务器，PORTAL 认证服务器，RADIUS 服务器等，以及 WEB 管理应用，有效地降低了网络部署成本。业界知名媒体网络世界发布的评测显示，H3C 有线无线一体化无线交换机 WX3024 凭借像风一样自由连接、像林一样支持高密度接入、像火一样可以快速便捷的部署、像山一样稳健安全，完全地展示了WX3024 在中小规模网络部署的技术特点。