有線網(wǎng)絡(luò)的無線規(guī)劃及管理

1、有線網(wǎng)絡(luò)的無線規(guī)劃及管理 如果把部署看做 是一種網(wǎng)絡(luò)移植的過程，企業(yè)在原有的有線網(wǎng)絡(luò)上 部署無線網(wǎng)絡(luò)其 實就是一種無線嫁接。從生物學(xué)的角度上來說，要 實現(xiàn)一次成功的嫁接，除了要看接穗和砧木的親和力之外，更關(guān)鍵 的是嫁接的技術(shù)和嫁接后的管理，這對于無線嫁接也是一樣。正所 謂：無線嫁接亦 有道，融入環(huán)境最重要?？煽堪踩毐Ｕ希?guī)劃管 理要做好。嫁接 技術(shù)篇：在有線基礎(chǔ)上開發(fā)無線移動性如今，企業(yè) 的新業(yè)務(wù)和新應(yīng)用對于無線網(wǎng)絡(luò)帶來的移動性需求十分迫切 如果把部署看做 是一種網(wǎng)絡(luò)移植的過程，企業(yè)在原有的有線網(wǎng)絡(luò)上 部署無線網(wǎng)絡(luò)其 實就是一種無線嫁接。從生物學(xué)的角度上來說，要 實現(xiàn)一次成功的嫁接，除了要看

2、接穗和砧木的親和力之外，更關(guān)鍵 的是嫁接的技術(shù)和嫁接后的管理，這對于無線嫁接也是一樣。正所 謂：無線嫁接亦 有道，融入環(huán)境最重要?？煽堪踩毐Ｕ?，規(guī)劃管 理要做好。 嫁接技術(shù)篇：在有線基礎(chǔ)上開發(fā)無線移動性 如今，企業(yè)的新業(yè)務(wù)和新應(yīng)用對于無線網(wǎng)絡(luò)帶來的移動性需求 十分迫切。然而，如何能在原有的網(wǎng)絡(luò)基礎(chǔ)上更好地添加無線層次, 使其在不影響原有網(wǎng)絡(luò)的情況下完全融入企業(yè)網(wǎng)，成為擺在下一代 企業(yè)網(wǎng)面前的重 要問題。在生物學(xué)上，接穗和砧木要在內(nèi)部組織結(jié) 構(gòu)上、生理和遺 傳上彼此相同或相近，嫁接的成活率才更高，無線 嫁接同樣也有類 似的指導(dǎo)方法。 企業(yè)移動性 如何體現(xiàn) 要解決好無 線網(wǎng)絡(luò)的嫁接問題，先要搞清

3、楚企業(yè)移動性的含義。 對此， Aruba 中國區(qū)總經(jīng)理楊華表示： “在 Aruba 看來， 企業(yè)網(wǎng)絡(luò) 的移動性體現(xiàn)在 對用戶身份的識別上，包括網(wǎng)絡(luò)使用范圍、訪問權(quán) 限、策略和安全 性等內(nèi)容都在跟隨用戶一起移動，用戶不只是局限 在物理網(wǎng)絡(luò)的端 口和接入點使用網(wǎng)絡(luò)，而是可以在企業(yè)網(wǎng)范圍內(nèi)， 在任意的地點安 全地使用網(wǎng)絡(luò)?！倍?Aruba 所提倡的構(gòu)建以“用戶 為中心”的網(wǎng)絡(luò) 策略正體現(xiàn)了企業(yè)的移動性，在這樣的架構(gòu)下， 處 于接入層邊緣的 用戶得以在企業(yè)范圍內(nèi)任意移動， 以不變的身份和 策略訪問網(wǎng)絡(luò)。 之所以用戶可以在網(wǎng)絡(luò)邊緣實現(xiàn)移動性，正是借助 于無線交換機(jī)的 集中管控。 惠普 ProCurve

4、也是積極倡導(dǎo)網(wǎng)絡(luò)邊緣架構(gòu)的一家廠商。該公司 網(wǎng)絡(luò)業(yè)務(wù)部技術(shù) 總監(jiān)儲斌認(rèn)為， 以前面向連接的傳統(tǒng)企業(yè)網(wǎng)正在發(fā) 生改變， 當(dāng)網(wǎng)絡(luò) 業(yè)界和市場逐漸由技術(shù)為導(dǎo)向轉(zhuǎn)變?yōu)闃I(yè)務(wù)為導(dǎo)向時， 移動性也會在現(xiàn) 代企業(yè)網(wǎng)中體現(xiàn)出來，網(wǎng)絡(luò)將融入各個生產(chǎn)環(huán)節(jié)， 變成企業(yè)生產(chǎn)環(huán) 境的一部分。對此，需要企業(yè)網(wǎng)絡(luò)在體系架構(gòu)上進(jìn) 行調(diào)整。 無線規(guī)劃的 內(nèi)容及原則 既然開發(fā)企 業(yè)的移動性就是要讓用戶在無線層面移動，那么在 “嫁接”前期的 無線網(wǎng)絡(luò)規(guī)劃工作就非常關(guān)鍵，需要企業(yè)在進(jìn)行整 體網(wǎng)絡(luò)架構(gòu)的重 新規(guī)劃時，注意遵循相關(guān)的方法和設(shè)計原則。 對此儲斌表 示，無線網(wǎng)絡(luò)規(guī)劃主要是考察無線信號的連通性， 信號覆蓋和強度 能否符合用戶要求

5、。這需要進(jìn)行現(xiàn)場勘查，借用各 種工具，邊緣信 號強度不低于 60%為最佳。而無線性能的規(guī)劃，實 際是覆蓋、性能、安全“三位一體”的規(guī)劃，主要是 AP的并發(fā)能力 能否滿足企業(yè)要 求的功能特征，以及AP動態(tài)ACL的分發(fā)能否做到與 有線等效等。此 外，更重要的還要在企業(yè)網(wǎng)中實現(xiàn)有線無線的統(tǒng)一 安全。 Trapeze 公司售后支持部工程師張耀升則就具體的規(guī)劃工作做 出說明：“無線 規(guī)劃大體分為三個部分，包括 AP部署規(guī)劃、交換機(jī) 部署規(guī)劃和網(wǎng)絡(luò) 管理及控制。具體內(nèi)容主要包括 AP數(shù)量、安裝位置、 頻譜規(guī)劃，以及 無線網(wǎng)絡(luò)的擴(kuò)展性、安全性、可用性和可靠性（主 要是冗余要求） 等內(nèi)容。”具體來說，需要通過

6、勘查現(xiàn)場環(huán)境，確 定AP數(shù)量和位置規(guī)劃，再根據(jù)所需 AP的數(shù)量，考慮可以滿足這些 AP接入的交換機(jī)，最后還要注意網(wǎng)絡(luò)核心的連接 匯聚性能問題，以 免造成鏈路瓶頸 。 那么，用戶 在進(jìn)行無線規(guī)劃時，還需要遵循哪些原則呢？ Aruba 中國區(qū)技術(shù)總監(jiān) 王卓表示： “原來的有線網(wǎng)絡(luò)的設(shè)計并不是基于用 戶的， 因此要在 原有有線網(wǎng)絡(luò)基礎(chǔ)上提供無線移動的網(wǎng)絡(luò)，讓用戶 在無線層面移動 ，還需要注意無線設(shè)計上的三個原則：即保持有線 網(wǎng)絡(luò)的骨干網(wǎng)不 動；保證原有應(yīng)用不動；不帶來安全性隱患?！贝?外，王卓還介紹了 Aruba在設(shè)計思路方面的幾個特點。首先是網(wǎng)絡(luò) 層次化設(shè)計 Aruba 的無線相對有線是獨立的，這

7、與其他廠商把 無線網(wǎng)絡(luò)看作是 有線網(wǎng)絡(luò)的接入補充混合在一起有所不同；其次是 移動化設(shè)計，即 應(yīng)用只有運行在無線網(wǎng)絡(luò)上才能實現(xiàn)真正的移動； 第三是安全設(shè)計 ，包括無線網(wǎng)絡(luò)的安全和用戶身份安全兩個方面； 最后是多業(yè)務(wù)設(shè) 計，以便讓多種應(yīng)用能夠運行起來。 注重實際部 署 在了解無線 規(guī)劃的內(nèi)容和原則之后，具體到實際部署又應(yīng)該注 意些什么呢？ Fluke 公司是一家專注于 網(wǎng)絡(luò)和通信測試設(shè)備的廠商， 該公司北京辦事 處技術(shù)專家吳世軍表示：無線規(guī)劃包含初次部署和 規(guī)劃擴(kuò)容兩種類 型。在做規(guī)劃之前，首先要明確鋪設(shè)無線網(wǎng)絡(luò)的目 標(biāo)和覆蓋要求。 然后，就需要根據(jù)詳細(xì)清晰的技術(shù)要求開始現(xiàn)場的 站點勘察。這些 技

8、術(shù)參數(shù)包含期望的接入速率，AP的覆蓋范圍和AP 的數(shù)量，現(xiàn)在和 將來無線網(wǎng)絡(luò)接入的用戶數(shù)量，信號強度和信噪比 的要求（允許的 射頻干擾強度）。特別要注意通過無線頻譜分析確 認(rèn)將來的無線網(wǎng) 絡(luò)不會有嚴(yán)重的射頻干擾問題。需要注意的是，在 考慮無線規(guī)劃技 術(shù)要求時要有前瞻性。比如未來用戶數(shù)量的增加， 高帶寬應(yīng)用的部 署等都需要規(guī)劃方案相應(yīng)調(diào)整。 Trapeze 公司售前工程師林濤則介紹了北師大項目的經(jīng)驗： “具體到實際的 規(guī)劃過程，需要考察關(guān)鍵位置部署的密度和覆蓋情 況，以及用戶的 音、視頻等實際應(yīng)用?！痹谡劦?Trapeze 的智能無 線網(wǎng)絡(luò)架構(gòu)在北 師大發(fā)揮的作用時，他表示， Trapeze 倡

9、導(dǎo)的瘦 AP 架構(gòu)涉及到幾個 方面的問題：首先是統(tǒng)一管理，主要包括設(shè)備、無 線資源和用戶等三個方面；其次是安全性，主要是非法 AP問題，以 及WIDS或 WIPS功能；第三是增值方面，對無線漫游和定位的支持； 最后是網(wǎng)管方面，利用RingMaster軟件，實現(xiàn)對MX控制器和AP的 單點無線管理。 而 Trapeze 的 Smart Mobile 體系架構(gòu)也已經(jīng)為升級 到 802.11n 網(wǎng)絡(luò) 做好準(zhǔn)備。 張耀升則談到了避免無線干擾的問題，如果檢測到干擾源是局域網(wǎng)內(nèi)未 經(jīng) 授權(quán)的惡意 AP AP （或者稱為 Rogue APRogue AP）,需要對 APAP 進(jìn)行攻擊，使其停止工作， 至少是不

10、能接入用戶；如果是非惡意的干擾 AP,AP,通常就是調(diào)整企業(yè)網(wǎng)絡(luò)當(dāng)中相 鄰 APAP 的頻段盡量避開干擾。 借助無線規(guī)劃利器 在實際部署 過程中，還要用到無線規(guī)劃和性能分析的工具。吳 世軍介紹說，網(wǎng) 絡(luò)工程人員經(jīng)常使用的主要有三款 Fluke 工具：首 先是 Fluke InterpretAir 無線局域網(wǎng)分析軟件，該軟件可以在無線 局域網(wǎng)部署之前 和之后檢驗覆蓋情況和優(yōu)化網(wǎng)絡(luò)性能；其次是 AnalyzeAir Wi-Fi 智能頻譜分析儀，可通過檢測、識別和定位 802.11 WLAN中的RF干擾，進(jìn)而規(guī)劃、部署、驗 證和擴(kuò)展用戶的無 線局域網(wǎng)，確保 無縫的無線局域網(wǎng)信號覆蓋；再次是 Ethe

11、rScope 網(wǎng) 絡(luò)通，該設(shè)備可 用于10MB 100M餉1000MB銅線、光纖和WLAN勺 手持式網(wǎng)絡(luò)故障 排除。此外，還需要站點勘查軟件包來幫助顯示 WLAN配置是如何改變性能和覆蓋的，更重要的是 通過勘查修正AP 的設(shè)置，通過添 加AP或其他方式來提高 WLAf性能和覆蓋。 實際上，各 個無線網(wǎng)絡(luò)設(shè)備廠商都有自己的網(wǎng)絡(luò)測試和分析軟 件。比如 Trapeze 的 RingMaster 軟件，通過輸入建筑樓層、房間 CAD圖紙、墻壁損耗參數(shù)、每個 AP所要提供的帶寬等參數(shù)，即可確 定AP數(shù)量、位置、頻譜規(guī)劃和 AP功率的預(yù)估值等輸出參數(shù)，用戶 還可以得到一個 形象的覆蓋圖以及無線網(wǎng)絡(luò)布置順序

12、規(guī)劃表。 嫁接管理篇 ：有線/無線的統(tǒng)一 管理和安全 對于無線嫁 接來說，做好無線網(wǎng)絡(luò)規(guī)劃和實際部署的工作還只 是走完了第一步 ?！凹藿尤菀壮苫铍y”的問題同樣存在于企業(yè)網(wǎng)當(dāng) 中。目前，企業(yè) 網(wǎng)對于移動設(shè)備的接入和管理做得并不好，由此引 發(fā)的整網(wǎng)安全性 隱患問題也比較嚴(yán)重。因此，做好有線和無線網(wǎng)絡(luò) 的統(tǒng)一管理，進(jìn) 而保證網(wǎng)絡(luò)安全的一致性，對于具有無線網(wǎng)絡(luò)的企 業(yè)網(wǎng)至關(guān)重要。 整合管理平 臺 對于網(wǎng)絡(luò)管 理來說，大致上包含網(wǎng)絡(luò)設(shè)備管理和用戶管理兩個 方面。這里所說 的統(tǒng)一管理，實際上是相對用戶管理層面而言，主 要涉及到用戶在 整個網(wǎng)絡(luò)中身份一致性的問題。林濤介紹說，目前 在很多企業(yè)網(wǎng)中 ，都使用認(rèn)

13、證網(wǎng)關(guān)對用戶通過有線接入訪問 Internet 進(jìn)行管理。加入無線網(wǎng)絡(luò)后，可以通過 共享現(xiàn)有認(rèn)證系統(tǒng) 的用戶數(shù)據(jù)庫的 方式實現(xiàn)統(tǒng)一管理，采用 Web Portal 方式對用戶無 線接入進(jìn)行認(rèn)證 。張耀升也認(rèn)為網(wǎng)絡(luò)平臺對有線 / 無 線的認(rèn)證方式都 差不多，有線和 無線用戶可以使用相同的認(rèn)證方式和接入網(wǎng)關(guān)，為 用戶分配統(tǒng)一的 接入權(quán)限，這樣不管用戶是由無線還是有線接入網(wǎng) 絡(luò)，其訪問網(wǎng)絡(luò) 的權(quán)限都是一樣的。另外，還可以將兩個網(wǎng)絡(luò)的管 理工具整合起來 。例如， Trapeze 的 RingMaster （支持 SNM）P 就可 以融入到惠普ProCurve的OpenView構(gòu)成有線/無線的統(tǒng)一管理平

14、臺。 而在設(shè)備管 理上，無線與有線網(wǎng)絡(luò)也基本類似，都是配置和監(jiān) 視等方面的問題 。不過，兩者在細(xì)節(jié)上存在一個最大的差別。王卓 表示，由于無線 網(wǎng)絡(luò)的頻譜環(huán)境隨時都在發(fā)生變化，因此還需要無 線網(wǎng)絡(luò)具有環(huán)境 檢測和針對變化的自適應(yīng)及優(yōu)化功能。 至于網(wǎng)絡(luò)的 維護(hù)和優(yōu)化，則主要是周期性地檢查 WLA，N 收集勘 查數(shù)據(jù)并進(jìn)行相 應(yīng)的性能優(yōu)化。吳世軍表示，你可以更改 AP的位置、 天線類型和配置 信息等。通過使用站點勘查工具或網(wǎng)絡(luò)分析儀查看 接入點情況，可以確定超負(fù)荷AP及同頻段干擾現(xiàn)象，防止連接速度 緩慢的用戶影響 網(wǎng)絡(luò)的整體吞吐量。 實際上，在 無線管理方面可以借助的工具還有很多。比如 Aruba具

15、有ICSA認(rèn)證的基于個人狀態(tài)的防火墻（比傳統(tǒng) ACL的安全 性級別更高）、惠普ProCurve基于IDM身份驅(qū)動的訪問控制設(shè)備 （如NAC8O0空制器）、Trapeze的SmartPass軟件等，都是進(jìn)行有 線/ 無線網(wǎng)絡(luò)管理的好助手。 警惕安全隱 患 網(wǎng)絡(luò)管理離不開安全問題，一旦 WLA在有線網(wǎng)絡(luò)上啟動和運行 起來，就要定期 審查整個網(wǎng)絡(luò)的監(jiān)測情況， 未經(jīng)許可的接入點或客 戶端都意為著安 全漏洞。林濤表示，無線網(wǎng)絡(luò)的瘦 AP架構(gòu)主要包括 設(shè)備安全、設(shè)備間信息和協(xié)議交流的安全（包括 AES加密等）、用 戶網(wǎng)絡(luò)資源安全 和無線安全幾個方面。其中用戶網(wǎng)絡(luò)資源的安全主 要包括對客戶端 安全完整性的檢

16、查功能、 WE和WP蒔加密認(rèn)證手 段，以及有線與 無線結(jié)合的情況下對網(wǎng)絡(luò)資源的訪問控制（通過用 戶名獲得權(quán)限進(jìn) 而得到網(wǎng)絡(luò)資源，可以在不同層次上實現(xiàn)安全控制） 。而無線安全包 括WIDS和WIPS等方式，通過對非法AP的監(jiān)測、定 位和反擊，防止 無線用戶接入到非法AP上。 儲斌著重強 調(diào)了企業(yè)網(wǎng)安全管理的一致性，他表示，無線管理 需要與有線的管 理和調(diào)度相融合，看無線的擴(kuò)展能否與原有的有線 安全性相統(tǒng)一（ 不只是數(shù)據(jù)加密、日志、審計），如果做不到，來 自用戶的困惑和 疑慮還是沒有得到解決。實際上，各種用戶口令造 成的身份交叉是 整個企業(yè)網(wǎng)最大的一個安全隱患。如果管理體系出 現(xiàn)不一致，無疑 是對

17、整個企業(yè)網(wǎng)安全性的一個削弱。 無線嫁接實 用手冊 定義： 即在企業(yè)原 有的有線網(wǎng)絡(luò)基礎(chǔ)上部署無線網(wǎng)絡(luò)，構(gòu)建帶有移動 性的相互融合的 網(wǎng)絡(luò)。 場所： 無線嫁接通 常發(fā)生在原有有線網(wǎng)絡(luò)擴(kuò)展困難，或?qū)o線移動性 有需求的場所。 影響因素： 影響無線嫁 接的因素主要是無線網(wǎng)絡(luò)的前期規(guī)劃和后期管理。 其中無線規(guī)劃包 括AP部署規(guī)劃、無線交換機(jī)部署規(guī)劃和網(wǎng)絡(luò)管理及 控制等方面的內(nèi) 容，無線管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)安全 和控制等。 工具和方法 ： 無線網(wǎng)絡(luò)規(guī) 劃首先要根據(jù)實際應(yīng)用和場所進(jìn)行初步設(shè)計，然后 結(jié)合現(xiàn)場勘查的 情況，根據(jù)業(yè)界計算空間損耗和覆蓋范圍的公式， 或直接通過頻譜 分析儀和WLAN分

18、析軟件等工具進(jìn)行實際的無線規(guī)劃 特別要注意無線信號連通性和傳輸數(shù)據(jù)的Ping值，確定AP信號強 度以及無線終端 接入到有線網(wǎng)絡(luò)當(dāng)中的延遲和丟包率的情況。 網(wǎng)絡(luò)管理主 要是對企業(yè)員工或訪客的身份管理，需要統(tǒng)一有線 和無線的管理平 臺（包括認(rèn)證方式和數(shù)據(jù)庫等），確保用戶權(quán)限在 整個網(wǎng)絡(luò)的一致 性。同時，還要注意監(jiān)測無線環(huán)境的變化，對無線 接入點進(jìn)行日?？辈楹途S護(hù)，確定無保護(hù)的接入點、新的 RF干擾源, 以及非法入侵AP等安全隱患。 案例一：北 京師范大學(xué)一次性部署 500 個接入點 上個月，北 京師范大學(xué)在校園原有的有線網(wǎng)絡(luò)設(shè)施基礎(chǔ)上，成 功在教學(xué)樓和辦 公樓進(jìn)行了無線網(wǎng)絡(luò)的覆蓋，彌補了這些場所有

19、線 擴(kuò)展能力較差的不足。新的無線網(wǎng)絡(luò)解決方案采用瘦 AP架構(gòu)，包含 超過500臺Trapeze智能WLAN接入點（MP-71接入點和MP-372接 入點的結(jié)合），4臺完全冗余的高性能MX-200RWLA控制器。這不 僅是教育行業(yè)中一次性采購AP數(shù)量最多的項目，并且在網(wǎng)絡(luò)互聯(lián)、 認(rèn)證計費、安全 防御等方面與有線網(wǎng)絡(luò)進(jìn)行良好的兼容和互補，而 對校園有線網(wǎng)絡(luò) 各部分主體結(jié)構(gòu)內(nèi)部不做任何變更。在 AP實際部署 上，北師大的案例采取“零配置”方式一一即 AP設(shè)備啟動后插電即 可直接工作，用 戶無須為每個AP配置IP地址、SSID和加密等參數(shù)。 瘦AP架構(gòu)給無線網(wǎng)絡(luò)的規(guī)劃和部署帶來很大便利。 案例二：北京某運營商WLAI非法入侵檢測 北京某運營商的無線網(wǎng)絡(luò)中存在非法入侵 AP,嚴(yán)重影響了公司 WLAr網(wǎng)絡(luò)的平穩(wěn)運行。 由于非法入侵設(shè)備位置隱 蔽， 因此需要借助 靈敏度極高的定 向（全向）天線，才能夠?qū)崿F(xiàn)精確定位。網(wǎng)絡(luò)管理 人員使用 Fluke 公司的 EtherScope 網(wǎng)絡(luò)通設(shè)備（可定位最遠(yuǎn) 515 米， 功率-100dBm的無線AP）,根據(jù)定向天線的方向指示在房間漫游， 通過讀取非法入 侵AP的功率變化，找到非法入侵 AP的信號最強點， EtherScope發(fā)出“嗶嗶”聲音指示確定非法入侵 AP （包含WLA