《企业无线局域网建设方式研究》由会员分享,可在线阅读,更多相关《企业无线局域网建设方式研究(3页珍藏版)》请在金锄头文库上搜索。
1、企业无线局域网建设方式研究一、背景在未来信息无所不在的时代,无线网将依靠其无法比拟的灵活性,极强的可扩容性, 使人们真正享受到简单、方便、快捷的连接。无线局域网在很多应用领域有独特的优势: 可移动性,它提供了不受线缆限制的应用,用户可随时上网;安装容易,无须布线或减少 布线,大大节约了建网时间;组网灵活,即插即用,网络管理人员可以迅速将其加入到现 有的网络中;成本低,特别适合于变化频繁的工作场合。因此,为满足企业生产、管理工 作流程优化,实现无线和移动工作管理,提高工作效率,需要在企业内部署无线局域网, 实现无线局域网信号覆盖,为各类数据提供无线高速传输通道。二、接入方式本文中的无线局域网是指
2、通过无线介质进行数据传送的局域网,工作于/频段,遵循 IEEE 系列协议无线局域技术,采用独立的无线局域网设备的网络。为避免出现带宽瓶颈, 应合理选择传输方式,目前网络覆盖主要有 LAN 接入方式和 PON 接入方式。LAN 接入方式LAN 接入方式,也称作以太网接入方式,点到点是最直接的以太网光纤接入技术, 也就是交换机级联方案。为满足无线局域网的接入,承载网络宜采用三级组网模式,由核 心层、汇聚层和接入层构成,实现二三层网络的分离,网络结构合理清晰,业务控制能力 强;为保证信息安全和用户管理,划分鉴权中心和综合管理两个区域,具体组网示意图如 下图所示。核心层。核心层部署两台高性能交换机,承
3、载所有业务数据的汇聚和快速转发。汇 聚层。汇聚层由汇聚交换机组成,负责区域接入交换机的收敛与汇聚。接入层。接入层由 POE 交换机组成,负责企业内生产区、办公区等相关需覆盖区域部署 AP 的接入。鉴权中 心。为保证企业信息安全,需对用户进行管理认证,部署无线控制器、鉴权服务器、入侵 检测系统等安全保障系统接入核心交换机,实现对用户的安全防护。目前主要有三种认证 方式:PPPoE、WEB 和。PPPoE 认证功能只有在 BAS 上实现,即 BRAS 做认证点;必须 在 AP 做认证点,可动态产生密钥,完成对无线链路加密;WEB 认证功能在 AP、AC 和 BAS 上都可以实现。所以企业大多采用
4、AC 作为认证点,支持 WEB 认证方式。综合管理。 为方便日常管理和对用户的行为进行分析,部署上网行为管理系统和运维管理系统,为网 络运行和用户行为分析提供基础数据,在日常网络管理工作中提供设备及链路的性能、故 障实时监测等。PON 接入方式PON 接入方式有 EPON/GPON 两种,趋势是 GPON 系统,GPON 系统可实现 WLAN 的 AP、宽带上网、电话、视频等多业务的承载。适用于多网合一的应用场景。若 增加 SBC/IP PBX 设备实现与运营商固定语音网络对接,可实现内部短号码,内外部呼叫 公网等功能。网络拓扑如下图示:GPON 采用上下行不对称带宽分配方式,下行,上行,高带
5、宽能更简单、通用、高 效地支持全业务。为增强系统可靠性,OLT 可以考虑 1+1 冗余备份。网管支撑系统。主要包括集中网管系统和认证计费系统。集中网管系统:OLT、路由器、交换机、防火墙等实现网络监控、配置和业务的 快速开通等。认证计费系统:通过宽带接入服务器、Radius 服务器、3A 服务器 Portal 服务器等 的部署实现有线、无线接入用户的认证、计费和管理等功能。安全系统。防火墙的部署,主要实现边界控制,过滤、屏蔽所有不安全的或不符合安全规则的数据包,杜绝越权访问,防止非法攻击等;部署高性能防火墙,实现双机热备,进一步 提高防火墙系统的可靠性。入侵防御系统部署。实现攻击防御、集中管理
6、、实时监控和网络审计等功能;可 对所有主流网络访问协议,包括网页访问、邮件收发、下载、远程登陆、聊天、P2P 等进 行有效地监测和动态防御,并对实时检测到的网络流量,进行及时地分析和响应;对攻击 检测、内容恢复、网络流量等操作进行实时审计和分析,并可以对产生的事件生成统计图 表、报表,通过图表数据直观地查看和分析网络信息的统计结果。WEB 应用防护。用于控制网络的 Web 访问管理系统,软件通过控制底层 TCP/IP 通讯数据,管理整个网络的 Web 访问权限和行为,对 DMZ 区服务器群进行防护。防病毒服务器。防病毒服务器可以对整个网络系统进行病毒查杀。统一身份认证系统。利用账号同步管理模块
7、,将用户的身份信息和密码同步到各 个系统的数据库中,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。 在人员离职、岗位变动时,只需在管理平台一处更改,即可限制其访问权限,消除对后台 系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除给企业资 产带来的安全风险。三、WLAN 系统方案AP 建设方案常见的 WLAN AP 分类主要有 2 种:FAT AP 和 FIT AP。FAT AP 设备功能及典型组网。FAT AP 将 WLAN 的物理层、用户数据加密、用户 认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身,俗称胖 AP。胖 AP 组 网:包括 AP
8、、L2 交换机、管理软件和业务软件,适合规模较小并对管理和漫游要求比较 低的网络部署。 FIT AP 设备功能及典型组网。FAT AP 除了提供基本的无线连接功 能外,还提供安全、管理和性能增强功能。导致单一 AP 设备结构复杂,比较昂贵且难于 管理。无线交换机和 FIT AP 配合在一起提供传统 AP 的功能,无线交换机集中处理所有的 安全、控制和管理功能,FIT AP 只提供可靠、高性能的 RF 功能。 WLAN 交换机方案除 具有易于管理等特点外,还支持快速切换、QoS、无线网络安全防护、网络故障自愈等高 级功能。无线交换机和 FIT AP 之间的组网可以采用直连、跨越二层网络或者是跨越
9、三层网 络三种模式,用户原有的有线网络的拓朴和 VLAN 等配置不需要进行更改。AC 建设方案WLAN AC 设备,主要包括无线控制器设备和接入控制器设备。无线控制器设备。无线控制器设备需配合瘦 AP 使用,需通过设备控制 AP 进行 信道选择、BSS 切换、负载分担等功能,通过设备对 AP 实现集中控制、管理,提供统一 的网管,可以对流量进行汇接和处理。接入控制器设备。接入控制器设备主要完成用户的接入会话的终结和认证功能, 支持 RADIUS 认证和计费,可以实现流量的汇聚、用户的带宽和 Qos 的控制,支持对数据 IP 层的处理能力。AC 组网方案。AC 组网方案主要有以下三种。AC 旁挂
10、在接入控制器上的三层解决方案。此方案在接入控制器上对隧道 VLAN 不启用认证,通过三层转发到无线控制器上。此方案对现网的改动较小, “瘦”AP 管理地址 池可放在接入控制器或无线控制器上。此方案可以解决热点部署初期,用户量少且比较分 散的问题。当 WLAN 网络规模扩大时,可以考虑下移无线控制器到汇聚。热点中新增一台 “瘦”AP,接入控制器不用做任何处理。新增一个热点,接入控制器只需增加配置终结相应 的管理 VLAN 和用户 VLAN 即可。AC 旁挂在汇聚交换机的解决方案。对于规模较大,用户量较集中的热点,建议无线控制器布放在热点内部,或旁挂到汇聚交换机。AP 和用户数量较多时也可以作为热
11、点 部署的后期方案。AC 直挂方案。无线控制器直挂接入控制器的方案,可以利用汇聚交换机和接入 控制器之间的备用光纤,连接无线控制器。无线流量通过无线控制器转发,有线流量直接 到接入控制器处理。此方案有线流量没有迂回,可以针对汇聚交换机下用户密度比较高的 场景下。四、小结对比 LAN 接入和 PON 接入方式,主要有以下不同:接入带宽。LAN 接入主要有 FE/GE 100M/1000M 光电接口;PON 接入中的 GPON 能提供/带宽,EPON 能提供/带宽; 升级可支持 10G 或更高带宽。传输距离。LAN 接入在仅有以太接口情况下,支持最长 100M 有效距离;PON 接入能满足传输距离小于 20KM 的传输接入。可靠性。LAN 接入是 有源设备,故障率相对较高;PON 网络是无源光网络,故障率非常低。组网及供电。LAN 接入因为是有源设备,需要全程供电;PON 网络中的分光器可以任意处分纤,组网灵活, 而且分光器无源设备,传输中无需供电。综合比较两种接入方式,PON 接入是无源网络, 更可靠,系统扩展性更强更灵活,覆盖范围更广;PON 接入比 LAN 接入更符合视频监控 大带宽、高质量和高稳定的海量多场景接入需求,是更好的技术选择。
