企业无线局域网建设方式研究
2016-08-17吕伟
吕伟
【摘要】 本文对无线局域网的LAN接入方式和PON接入方式进行了分析和对比,简述了WLAN系统方案,笔者结合无线局域网发展的实践谈了自己的建议。
【关键词】 WLAN LAN PON
一、背景
在未来信息无所不在的时代,无线网将依靠其无法比拟的灵活性,极强的可扩容性,使人们真正享受到简单、方便、快捷的连接。无线局域网在很多应用领域有独特的优势:可移动性,它提供了不受线缆限制的应用,用户可随时上网;安装容易,无须布线或减少布线,大大节约了建网时间;组网灵活,即插即用,网络管理人员可以迅速将其加入到现有的网络中;成本低,特别适合于变化频繁的工作场合。因此,为满足企业生产、管理工作流程优化,实现无线和移动工作管理,提高工作效率,需要在企业内部署无线局域网,实现无线局域网信号覆盖,为各类数据提供无线高速传输通道。
二、接入方式
本文中的无线局域网是指通过无线介质进行数据传送的局域网,工作于2.4GHz/5.8GHz频段,遵循IEEE 802.11系列协议无线局域技术,采用独立的无线局域网设备的网络。为避免出现带宽瓶颈,应合理选择传输方式,目前网络覆盖主要有LAN接入方式和PON接入方式。
2.1 LAN接入方式
LAN接入方式,也称作以太网接入方式,点到点是最直接的以太网光纤接入技术,也就是交换机级联方案。为满足无线局域网的接入,承载网络宜采用三级组网模式,由核心层、汇聚层和接入层构成,实现二三层网络的分离,网络结构合理清晰,业务控制能力强;为保证信息安全和用户管理,划分鉴权中心和综合管理两个区域,具体组网示意图如下图所示。
(1)核心层。核心层部署两台高性能交换机,承载所有业务数据的汇聚和快速转发。(2)汇聚层。汇聚层由汇聚交换机组成,负责区域接入交换机的收敛与汇聚。(3)接入层。接入层由POE交换机组成,负责企业内生产区、办公区等相关需覆盖区域部署AP的接入。(4)鉴权中心。为保证企业信息安全,需对用户进行管理认证,部署无线控制器、鉴权服务器、入侵检测系统等安全保障系统接入核心交换机,实现对用户的安全防护。目前主要有三种认证方式:PPPoE、WEB和802.1X。PPPoE认证功能只有在BAS上实现,即BRAS做认证点;802.1X必须在AP做认证点,可动态产生密钥,完成对无线链路(AP到无线客户端)加密;WEB认证功能在AP、AC和BAS上都可以实现。所以企业大多采用AC作为认证点,支持WEB认证方式。(5)综合管理。为方便日常管理和对用户的行为进行分析,部署上网行为管理系统和运维管理系统,为网络运行和用户行为分析提供基础数据,在日常网络管理工作中提供设备及链路的性能、故障实时监测等。
2.2 PON接入方式
PON接入方式有EPON/GPON两种,趋势是GPON系统,GPON系统可实现WLAN的AP、宽带上网、电话、视频等多业务的承载。适用于多网合一的应用场景。若增加SBC/IP PBX设备实现与运营商固定语音网络对接,可实现内部短号码,内外部呼叫公网等功能。网络拓扑如下图示:
GPON采用上下行不对称带宽分配方式,下行2.5Gbps,上行1.2Gbps,高带宽能更简单、通用、高效地支持全业务。为增强系统可靠性,OLT可以考虑1+1冗余备份。
(1)网管支撑系统。主要包括集中网管系统和认证计费系统。
◆集中网管系统:OLT、路由器、交换机、防火墙等实现网络监控、配置和业务的快速开通等。
◆认证计费系统:通过宽带接入服务器、Radius服务器、3A服务器Portal服务器等的部署实现有线、无线接入用户的认证、计费和管理等功能。
(2)安全系统。
◆防火墙的部署,主要实现边界控制,过滤、屏蔽所有不安全的或不符合安全规则的数据包,杜绝越权访问,防止非法攻击等;部署高性能防火墙,实现双机热备,进一步提高防火墙系统的可靠性。
◆入侵防御系统部署。实现攻击防御、集中管理、实时监控和网络审计等功能;可对所有主流网络访问协议,包括网页访问(Http)、邮件收发(Smtp/Pop3)、下载(FTP/ BT)、远程登陆(Telnet)、聊天(MSN)、P2P等进行有效地监测和动态防御,并对实时检测到的网络流量,进行及时地分析和响应;对攻击检测、内容恢复、网络流量等操作进行实时审计和分析,并可以对产生的事件生成统计图表、报表,通过图表数据直观地查看和分析网络信息的统计结果。
◆WEB应用防护。用于控制网络的Web访问管理系统,软件通过控制底层TCP/IP通讯数据,管理整个网络的Web访问权限和行为,对DMZ区服务器群进行防护。
◆防病毒服务器。防病毒服务器可以对整个网络系统进行病毒查杀。
◆统一身份认证系统。利用账号同步管理模块,将用户的身份信息和密码同步到各个系统的数据库中,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。在人员离职、岗位变动时,只需在管理平台一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。
三、WLAN系统方案
3.1 AP建设方案
常见的WLAN AP分类主要有2 种:FAT AP和FIT AP。
(1)FAT AP设备功能及典型组网。FAT AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身,俗称胖AP。胖AP组网:包括AP、L2交换机、管理软件和业务软件,适合规模较小并对管理和漫游要求比较低的网络部署。
(2)FIT AP设备功能及典型组网。FAT AP除了提供基本的无线连接功能外,还提供安全、管理和性能增强功能。导致单一AP设备结构复杂,比较昂贵且难于管理。无线交换机和FIT AP配合在一起提供传统AP的功能,无线交换机集中处理所有的安全、控制和管理功能,FIT AP只提供可靠、高性能的RF功能。 WLAN交换机方案除具有易于管理等特点外,还支持快速切换、QoS、无线网络安全防护、网络故障自愈等高级功能。无线交换机和FIT AP之间的组网可以采用直连、跨越二层网络或者是跨越三层网络三种模式,用户原有的有线网络的拓朴和VLAN等配置不需要进行更改。
3.2 AC建设方案
(1) WLAN AC设备,主要包括无线控制器设备和接入控制器设备。
◆无线控制器设备。无线控制器设备需配合瘦AP使用,需通过设备控制AP进行信道选择、BSS切换、负载分担等功能,通过设备对AP实现集中控制、管理,提供统一的网管,可以对流量进行汇接和处理。
◆接入控制器设备。接入控制器设备主要完成用户的接入会话的终结和认证功能,支持RADIUS认证和计费,可以实现流量的汇聚、用户的带宽和Qos的控制,支持对数据IP层的处理能力。
(2)AC组网方案。AC组网方案主要有以下三种。
◆AC旁挂在接入控制器上的三层解决方案。此方案在接入控制器上对隧道VLAN不启用认证,通过三层转发到无线控制器上。此方案对现网的改动较小,“瘦”AP管理地址池可放在接入控制器或无线控制器上。此方案可以解决热点部署初期,用户量少且比较分散的问题。当WLAN网络规模扩大时,可以考虑下移无线控制器到汇聚。热点中新增一台“瘦”AP,接入控制器不用做任何处理。新增一个热点,接入控制器只需增加配置终结相应的管理VLAN和用户VLAN即可。
◆AC旁挂在汇聚交换机的解决方案。对于规模较大,用户量较集中的热点,建议无线控制器布放在热点内部,或旁挂到汇聚交换机。AP和用户数量较多时也可以作为热点部署的后期方案。
◆AC直挂方案。无线控制器直挂接入控制器的方案,可以利用汇聚交换机和接入控制器之间的备用光纤,连接无线控制器。无线流量通过无线控制器转发,有线流量直接到接入控制器处理。此方案有线流量没有迂回,可以针对汇聚交换机下用户密度比较高的场景下。
四、小结
对比LAN接入和PON接入方式,主要有以下不同:(1)接入带宽。LAN接入主要有FE/GE 100M/1000M光电接口;PON接入中的GPON能提供2.5G(下行)/1.25G(上行)带宽,EPON能提供1.25G(下行)/1.25G(上行)带宽;升级可支持10G或更高带宽。(2)传输距离。LAN接入在仅有以太接口情况下,支持最长100M有效距离;PON接入能满足传输距离小于20KM的传输接入。(3)可靠性。LAN接入是有源设备,故障率相对较高;PON网络是无源光网络,故障率非常低。(4)组网及供电。LAN接入因为是有源设备,需要全程供电;PON网络中的分光器可以任意处分纤,组网灵活,而且分光器无源设备,传输中无需供电。综合比较两种接入方式,PON接入是无源网络,更可靠,系统扩展性更强更灵活,覆盖范围更广;PON接入比LAN接入更符合视频监控大带宽、高质量和高稳定的海量多场景接入需求,是更好的技术选择。
参 考 文 献
[1] 中华人民共和国工业和信息化部;无线局域网工程设计规范[Z];2015.
[2] 杨秋晨;WLAN网络设计与应用分析[D];北京邮电大学;2012.
[3] 刘璇;中国移动WLAN的设计方案研究[D];北京邮电大学;2012.