打印本文 关闭窗口 | |
浅谈有线网络上的无线规划及其管理 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 1:43:12 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
嫁接技术篇:在有线基础上开发无线移动性 如今,企业的新业务和新应用对于无线网络带来的移动性需求十分迫切。然而,如何能在原有的网络基础上更好地添加无线层次,使其在不影响原有网络的情况下完全融入企业网,成为摆在下一代企业网面前的重要问题。在生物学上,接穗和砧木要在内部组织结构上、生理和遗传上彼此相同或相近,嫁接的成活率才更高,无线嫁接同样也有类似的指导方法。 企业移动性如何体现 要解决好无线网络的嫁接问题,先要搞清楚企业移动性的含义。对此,Aruba中国区总经理杨华表示:“在Aruba看来,企业网络的移动性体现在对用户身份的识别上,包括网络使用范围、访问权限、策略和安全性等内容都在跟随用户一起移动,用户不只是局限在物理网络的端口和接入点使用网络,而是可以在企业网范围内,在任意的地点安全地使用网络。”而Aruba所提倡的构建以“用户为中心”的网络策略正体现了企业的移动性,在这样的架构下,处于接入层边缘的用户得以在企业范围内任意移动,以不变的身份和策略访问网络。之所以用户可以在网络边缘实现移动性,正是借助于无线交换机的集中管控。 惠普ProCurve也是积极倡导网络边缘架构的一家厂商。该公司网络业务部技术总监储斌认为,以前面向连接的传统企业网正在发生改变,当网络业界和市场逐渐由技术为导向转变为业务为导向时,移动性也会在现代企业网中体现出来,网络将融入各个生产环节,变成企业生产环境的一部分。对此,需要企业网络在体系架构上进行调整。 无线规划的内容及原则 既然开发企业的移动性就是要让用户在无线层面移动,那么在“嫁接”前期的无线网络规划工作就非常关键,需要企业在进行整体网络架构的重新规划时,注意遵循相关的方法和设计原则。 对此储斌表示,无线网络规划主要是考察无线信号的连通性,信号覆盖和强度能否符合用户要求。这需要进行现场勘查,借用各种工具,边缘信号强度不低于60%为最佳。而无线性能的规划,实际是覆盖、性能、安全“三位一体”的规划,主要是AP的并发能力能否满足企业要求的功能特征,以及AP动态ACL的分发能否做到与有线等效等。此外,更重要的还要在企业网中实现有线无线的统一安全。 Trapeze公司售后支持部工程师张耀升则就具体的规划工作做出说明:“无线规划大体分为三个部分,包括AP部署规划、交换机部署规划和网络管理及控制。具体内容主要包括AP数量、安装位置、频谱规划,以及无线网络的扩展性、安全性、可用性和可靠性(主要是冗余要求)等内容。”具体来说,需要通过勘查现场环境,确定AP数量和位置规划,再根据所需AP的数量,考虑可以满足这些AP接入的交换机,最后还要注意网络核心的连接汇聚性能问题,以免造成链路瓶颈。 那么,用户在进行无线规划时,还需要遵循哪些原则呢?Aruba中国区技术总监王卓表示:“原来的有线网络的设计并不是基于用户的,因此要在原有有线网络基础上提供无线移动的网络,让用户在无线层面移动,还需要注意无线设计上的三个原则:即保持有线网络的骨干网不动;保证原有应用不动;不带来安全性隐患。”此外,王卓还介绍了Aruba在设计思路方面的几个特点。首先是网络层次化设计——Aruba的无线相对有线是独立的,这与其他厂商把无线网络看作是有线网络的接入补充混合在一起有所不同;其次是移动化设计,即应用只有运行在无线网络上才能实现真正的移动;第三是安全设计,包括无线网络的安全和用户身份安全两个方面;最后是多业务设计,以便让多种应用能够运行起来。 注重实际部署 在了解无线规划的内容和原则之后,具体到实际部署又应该注意些什么呢?Fluke公司是一家专注于网络和通信测试设备的厂商,该公司北京办事处技术专家吴世军表示:无线规划包含初次部署和规划扩容两种类型。在做规划之前,首先要明确铺设无线网络的目标和覆盖要求。然后,就需要根据详细清晰的技术要求开始现场的站点勘察。这些技术参数包含期望的接入速率,AP的覆盖范围和AP的数量,现在和将来无线网络接入的用户数量,信号强度和信噪比的要求(允许的射频干扰强度)。特别要注意通过无线频谱分析确认将来的无线网络不会有严重的射频干扰问题。需要注意的是,在考虑无线规划技术要求时要有前瞻性。比如未来用户数量的增加,高带宽应用的部署等都需要规划方案相应调整。 Trapeze公司售前工程师林涛则介绍了北师大项目的经验:“具体到实际的规划过程,需要考察关键位置部署的密度和覆盖情况,以及用户的音、视频等实际应用。”在谈到Trapeze的智能无线网络架构在北师大发挥的作用时,他表示,Trapeze倡导的瘦AP架构涉及到几个方面的问题:首先是统一管理,主要包括设备、无线资源和用户等三个方面;其次是安全性,主要是非法AP问题,以及WIDS或WIPS功能;第三是增值方面,对无线漫游和定位的支持;最后是网管方面,利用RingMaster软件,实现对MX控制器和AP的单点无线管理。而Trapeze的Smart Mobile体系架构也已经为升级到802.11n网络做好准备。 张耀升则谈到了避免无线干扰的问题,如果检测到干扰源是局域网内未经授权的恶意AP(或者称为Rogue AP),需要对AP进行攻击,使其停止工作,至少是不能接入用户;如果是非恶意的干扰AP,通常就是调整企业网络当中相邻AP的频段尽量避开干扰。 借助无线规划利器 在实际部署过程中,还要用到无线规划和性能分析的工具。吴世军介绍说,网络工程人员经常使用的主要有三款Fluke工具:首先是Fluke InterpretAir无线局域网分析软件,该软件可以在无线局域网部署之前和之后检验覆盖情况和优化网络性能;其次是AnalyzeAir Wi-Fi智能频谱分析仪,可通过检测、识别和定位802.11 WLAN中的RF干扰,进而规划、部署、验证和扩展用户的无线局域网,确保无缝的无线局域网信号覆盖;再次是EtherScope网络通,该设备可用于10MB、100MB和1000MB铜线、光纤和WLAN的手持式网络故障排除。此外,还需要站点勘查软件包来帮助显示WLAN配置是如何改变性能和覆盖的,更重要的是通过勘查修正AP的设置,通过添加AP或其他方式来提高WLAN性能和覆盖。 实际上,各个无线网络设备厂商都有自己的网络测试和分析软件。比如Trapeze的RingMaster软件,通过输入建筑楼层、房间CAD图纸、墙壁损耗参数、每个AP所要提供的带宽等参数,即可确定AP数量、位置、频谱规划和AP功率的预估值等输出参数,用户还可以得到一个形象的覆盖图以及无线网络布置顺序规划表。 嫁接管理篇:有线/无线的统一管理和安全 对于无线嫁接来说,做好无线网络规划和实际部署的工作还只是走完了第一步。“嫁接容易成活难”的问题同样存在于企业网当中。目前,企业网对于移动设备的接入和管理做得并不好,由此引发的整网安全性隐患问题也比较严重。因此,做好有线和无线网络的统一管理,进而保证网络安全的一致性,对于具有无线网络的企业网至关重要。 整合管理平台 对于网络管理来说,大致上包含网络设备管理和用户管理两个方面。这里所说的统一管理,实际上是相对用户管理层面而言,主要涉及到用户在整个网络中身份一致性的问题。林涛介绍说,目前在很多企业网中,都使用认证网关对用户通过有线接入访问Internet进行管理。加入无线网络后,可以通过共享现有认证系统的用户数据库的方式实现统一管理,采用Web Portal方式对用户无线接入进行认证。张耀升也认为网络平台对有线/无线的认证方式都差不多,有线和无线用户可以使用相同的认证方式和接入网关,为用户分配统一的接入权限,这样不管用户是由无线还是有线接入网络,其访问网络的权限都是一样的。另外,还可以将两个网络的管理工具整合起来。例如,Trapeze的RingMaster(支持SNMP)就可以融入到惠普ProCurve的OpenView构成有线/无线的统一管理平台。 而在设备管理上,无线与有线网络也基本类似,都是配置和监视等方面的问题。不过,两者在细节上存在一个最大的差别。王卓表示,由于无线网络的频谱环境随时都在发生变化,因此还需要无线网络具有环境检测和针对变化的自适应及优化功能。 至于网络的维护和优化,则主要是周期性地检查WLAN,收集勘查数据并进行相应的性能优化。吴世军表示,你可以更改AP的位置、天线类型和配置信息等。通过使用站点勘查工具或网络分析仪查看接入点情况,可以确定超负荷AP及同频段干扰现象,防止连接速度缓慢的用户影响网络的整体吞吐量。 实际上,在无线管理方面可以借助的工具还有很多。比如Aruba具有ICSA认证的基于个人状态的防火墙(比传统ACL的安全性级别更高)、惠普ProCurve 基于IDM身份驱动的访问控制设备(如NAC800控制器)、Trapeze的SmartPass软件等,都是进行有线/无线网络管理的好助手。 警惕安全隐患 网络管理离不开安全问题,一旦WLAN在有线网络上启动和运行起来,就要定期审查整个网络的监测情况,未经许可的接入点或客户端都意为着安全漏洞。林涛表示,无线网络的瘦AP架构主要包括设备安全、设备间信息和协议交流的安全(包括AES加密等)、用户网络资源安全和无线安全几个方面。其中用户网络资源的安全主要包括对客户端安全完整性的检查功能、WEP和WPA等加密认证手段,以及有线与无线结合的情况下对网络资源的访问控制(通过用户名获得权限进而得到网络资源,可以在不同层次上实现安全控制)。而无线安全包括WIDS和WIPS等方式,通过对非法AP的监测、定位和反击,防止无线用户接入到非法AP上。 储斌着重强调了企业网安全管理的一致性,他表示,无线管理需要与有线的管理和调度相融合,看无线的扩展能否与原有的有线安全性相统一(不只是数据加密、日志、审计),如果做不到,来自用户的困惑和疑虑还是没有得到解决。实际上,各种用户口令造成的身份交叉是整个企业网最大的一个安全隐患。如果管理体系出现不一致,无疑是对整个企业网安全性的一个削弱。 无线嫁接实用手册 定义: 即在企业原有的有线网络基础上部署无线网络,构建带有移动性的相互融合的网络。 场所: 无线嫁接通常发生在原有有线网络扩展困难,或对无线移动性有需求的场所。 影响因素: 影响无线嫁接的因素主要是无线网络的前期规划和后期管理。其中无线规划包括AP部署规划、无线交换机部署规划和网络管理及控制等方面的内容,无线管理包括设备管理、用户管理、网络安全和控制等。 工具和方法: 无线网络规划首先要根据实际应用和场所进行初步设计,然后结合现场勘查的情况,根据业界计算空间损耗和覆盖范围的公式,或直接通过频谱分析仪和WLAN分析软件等工具进行实际的无线规划。特别要注意无线信号连通性和传输数据的Ping值,确定AP信号强度以及无线终端接入到有线网络当中的延迟和丢包率的情况。 网络管理主要是对企业员工或访客的身份管理,需要统一有线和无线的管理平台(包括认证方式和数据库等),确保用户权限在整个网络的一致性。同时,还要注意监测无线环境的变化,对无线接入点进行日常勘查和维护,确定无保护的接入点、新的RF干扰源,以及非法入侵AP等安全隐患。 案例一:北京师范大学一次性部署500个接入点 上个月,北京师范大学在校园原有的有线网络设施基础上,成功在教学楼和办公楼进行了无线网络的覆盖,弥补了这些场所有线扩展能力较差的不足。新的无线网络解决方案采用瘦AP架构,包含超过500台Trapeze智能WLAN接入点(MP-71接入点和MP-372接入点的结合),4台完全冗余的高性能MX-200RWLAN控制器。这不仅是教育行业中一次性采购AP数量最多的项目,并且在网络互联、认证计费、安全防御等方面与有线网络进行良好的兼容和互补,而对校园有线网络各部分主体结构内部不做任何变更。在AP实际部署上,北师大的案例采取“零配置”方式——即AP设备启动后插电即可直接工作,用户无须为每个AP配置IP地址、SSID和加密等参数。瘦AP架构给无线网络的规划和部署带来很大便利。 案例二:北京某运营商WLAN非法入侵检测 北京某运营商的无线网络中存在非法入侵AP,严重影响了公司WLAN网络的平稳运行。由于非法入侵设备位置隐蔽,因此需要借助灵敏度极高的定向(全向)天线,才能够实现精确定位。网络管理人员使用Fluke公司的EtherScope网络通设备(可定位最远515米,功率-100dBm的无线AP),根据定向天线的方向指示在房间漫游,通过读取非法入侵AP的功率变化,找到非法入侵AP的信号最强点,EtherScope发出“哔哔”声音指示确定非法入侵AP(包含WLAN和ad-hoc网络)的实际物理位置。原来,该非法入侵AP是在没有得到允许的情况下,由办公人员私自接入网络的。将无线网络成功部署到原有的有线基础上并非万事大吉,对于设备和网络的管理也比维护来得更加重要。 下一代企业网是什么样 同样是解决下一代企业网络移动性的问题,不用厂商之间却旗帜鲜明:ProCurve始终强调用户边缘的AEA架构,Aruba则坚持以用户为中心的策略,Trapeze更倾向于采取分散式的架构来避免网络瓶颈……看上去每个厂商都拥有各自不同的网络架构和解决方案,但实际上彼此之间也有共通的地方,就是更好地将无线网络嫁接到有线网络上。同时,几家公司都认为移动性是下一代企业网的重要特征。 王卓表示,VoIP其实是一个很好的应用,但为什么现在应用不起来?主要是因为原来的VoIP终端都是运行在有线网络上。而只有利用无线网络,才可以让VoIP终端随用户的移动真正应用起来。除了移动性以外,杨华认为下一代企业网还应该包含以用户为中心、集中式管控、强调个性化安全服务,以及可运营化等几个趋势。 储斌认为,与以前面向连接的网络不同,现在的企业网正在已经开始朝面向业务的方向转变,不再是处于封闭园区内的一个互联平台了。原来通过各种技术手段和安全措施层层打补丁的管理方式也已经落伍,只有调整企业网的体系架构才是根本的解决之道。下一代企业网应当以业务为驱动,更加靠近企业的组织架构,通过融入无线移动性和体系架构上的安全性,变成企业的生产环境,让网络去适应人。 |
|
打印本文 关闭窗口 |