企業(yè)需要怎樣的無線交換機

隨著中國企業(yè)真正地步入網(wǎng)絡(luò)時代，WLAN網(wǎng)絡(luò)憑借在提高企業(yè)效率、降低企業(yè)成本、提高員工滿意度等方面的突出作用，成為了企業(yè)網(wǎng)絡(luò)建設(shè)的熱點。而如何更方便地建設(shè)、部署WLAN網(wǎng)絡(luò)，成為企業(yè)管理者下一步需要面對的問題。

由于FAT AP獨立部署方式因為管理和業(yè)務(wù)支撐等方面的限制，并不適合企業(yè)組網(wǎng)，而更適用于家庭應(yīng)用，對于企業(yè)WLAN部署來說，業(yè)界比較一致的觀點是采用集中控制管理的FIT AP部署模式來建設(shè)企業(yè)WLAN網(wǎng)絡(luò)，即通過帶有無線控制器的交換機和無線AP共同滿足企業(yè)無線覆蓋需求，有效地解決企業(yè)IT人員對AP管理的后顧之憂，并滿足企業(yè)對無線話音、視頻等增值業(yè)務(wù)的需要。

解決了WLAN部署模式的問題之后，企業(yè)網(wǎng)絡(luò)建設(shè)管理者在選擇無線交換機時，需要著重考慮以下幾個問題。

一、足夠的AP管理容量

企業(yè)部署WLAN，首先需要考慮如何規(guī)劃網(wǎng)絡(luò)，需要部署多少個AP，需要什么樣規(guī)格的無線交換機，能既保證覆蓋要求，又不浪費投資。既能保證現(xiàn)有應(yīng)用，又能兼顧未來發(fā)展。而配置能管理多少個AP的無線交換機，可以從兩個方面入手。

首先要根據(jù)空間大小確定AP數(shù)量。無線信號穿越門、窗、墻等障礙物會有衰減，因此，無線AP的數(shù)量和覆蓋場所的物理格局關(guān)系密切，無線AP的覆蓋原則是，首先保證覆蓋區(qū)域內(nèi)，AP與無線終端之間無線信號的有效交互，其次，保證覆蓋區(qū)域內(nèi)每個終端的覆蓋帶寬要求。綜合上述原則，可以確定覆蓋的AP數(shù)量。

其次從保護投資的角度考慮無線交換機的容量，一個網(wǎng)絡(luò)的生命周期大致是五年，五年內(nèi)企業(yè)規(guī)模會壯大，企業(yè)網(wǎng)絡(luò)也需要擴展，無線交換機的選擇需要兼顧管理AP的可擴展能力。同時，企業(yè)應(yīng)用業(yè)務(wù)也會發(fā)展，如無線語音、視頻的應(yīng)用等，無線控制器的性能需要能滿足幾年的應(yīng)用。如今IEEE802.11a/b/g是無線接入的主流，隨著IEEE802.11n的成熟，現(xiàn)有的網(wǎng)絡(luò)需要無縫集成IEEE802.11n AP，因此，無線控制器既要能滿足IEEE802.11a/b/g的數(shù)據(jù)處理，又要能夠滿足IEEE802.11n的數(shù)據(jù)處理。

就以H3C的有線無線一體化交換機WX3024為例。WX3024集成了對無線AP的管理、控制、數(shù)據(jù)轉(zhuǎn)發(fā)的功能，不僅同時兼容IEEE802.11a/b/g/n協(xié)議，在最大情況下，更可接入48個AP。一般而言，一個AP可以滿足20個用戶，每個用戶1Mbps的流量要求，從這個角度，20～30個AP可以滿足400～600人的企業(yè)應(yīng)用。因此，足可以滿足大多數(shù)中小規(guī)模網(wǎng)絡(luò)的需求。

二、突出的產(chǎn)品性能

大容量AP管理、無線話音、無線視頻、IEEE802.11n接入，這些都使無線交換機的性能成為一個不容忽視的問題�？紤]到投資成本，又不能無限制地通過提升硬件來解決性能限制。因此需要從硬件和軟件體系兩個方面來衡量無線交換機的性能。

首先，目前的企業(yè)網(wǎng)，千兆核心已經(jīng)普及，而且IEEE802.11n AP的上行端口多采用千兆，因此，無線控制器需要提供千兆處理性能，不僅提供千兆端口，最好能夠提供萬兆擴展能力，以便提供更高的網(wǎng)絡(luò)鏈接適用性。

其次，隨著話音等延時敏感性業(yè)務(wù)的推廣及IEEE802.11n AP處理的大流量要求，集中轉(zhuǎn)發(fā)的無線控制器很容易成為性能瓶頸。因此，無線控制器最好能支持分布式轉(zhuǎn)發(fā)模式，即控制、管理報文通過無線控制器進行統(tǒng)一處理，數(shù)據(jù)報文在無線AP上直接轉(zhuǎn)化為以太網(wǎng)格式的報文，不需要通過隧道封裝再交無線交換機處理，從而解決無線控制器的數(shù)據(jù)轉(zhuǎn)發(fā)性能瓶頸問題。
滿足這種性能要求的設(shè)備并不多，前面提到的WX3024就是其中一款。根據(jù)《網(wǎng)絡(luò)世界》評測實驗室評測報告顯示，WX3024在64Byte-1518Byte下吞吐量均為100%。最低時延為輕載狀態(tài)下64Byte時的2.4微秒，最高時延為重載狀態(tài)下1518Byte時的14微秒，11n無線的平均傳輸速為144.055Mbps，最大傳輸可以達到158.73Mbps；兩個AP間切換的時延平均在34.2毫秒。各項性能均十分突出，是滿足用戶WLAN建設(shè)需求的優(yōu)勢產(chǎn)品之一。

三、方便實現(xiàn)無線AP供電

解決無線AP供電問題，是保障無線AP部署位置靈活性的重要前提。這就要求AP在具有本地供電能力的同時，可以通過POE實現(xiàn)遠程供電。目前有兩類解決方案，POE供電模塊和POE供電交換機。為了保證POE供電的可靠性，采用POE供電交換機為單路無線AP提供電源是首選，目前的POE交換機遵循的是IEEE802.3af標準，最大輸出功率是15W左右，而業(yè)界主流的IEEE802.11n AP需要的工作功率多大于15W，為了解決這樣的供電需求，需要遵循IEEE802.3at草案的POE+供電交換機，才能真正發(fā)揮IEEE802.11n的性能優(yōu)勢。

前文提到的WX3024就能夠?qū)崿F(xiàn) 24個千兆端口可同時提供POE供電功能，并支持PoE+供電，每端口最大提供25W的功率，測試表明WX3024在打開POE供電功能后，其千兆網(wǎng)絡(luò)接口可以對802.11g和802.11n的AP通過網(wǎng)線進行供電，并可以在控制臺上對每個POE供電的AP的供電情況進行顯示，尤其方便IEEE802.11n AP的部署。這在未來802.11n可能“大行其道”的情況下，顯得尤為重要。

四、降低管理成本

對于一般的企業(yè)而言，往往沒有強大的IT維護力量，這也是選擇FIT AP部署企業(yè)WLAN網(wǎng)絡(luò)的一個重要因素，業(yè)界主流的FIT AP廠商都提供AP零配置，所有的AP配置操作都在無線控制器或交換機上完成，系統(tǒng)升級也統(tǒng)一由無線交換機來集中操作。因此，企業(yè)WLAN AP的管理問題，簡化為對無線交換機的管理。

更為突出的是，企業(yè)WLAN網(wǎng)絡(luò)的管理不僅僅是對AP的管理，用戶IP地址分配，用戶身份認證等系列用戶管理也是重點考慮的內(nèi)容。

無線用戶的IP地址一般采用DHCP 服務(wù)器來分配，用戶認證可以采用MAC地址認證、IEEE802.1x認證、PORTAL認證等方式。一個完整的無線網(wǎng)絡(luò)，一般需要RADIUS 服務(wù)器，PORTAL認證服務(wù)器及前面述及的DHCP 服務(wù)器。這些設(shè)備結(jié)合無線控制器及無線AP，對沒有強大的IT維護力量的企業(yè)而言，無疑是一個嚴峻的挑戰(zhàn)，

如果能集成DHCP服務(wù)、RADIUS認證服務(wù)、PORTAL認證服務(wù)，并通過簡易直觀的WEB管理界面方便企業(yè)IT管理者的維護，就可以避免使企業(yè)IT管理員成為救火隊員。前文所提及的H3C WX3024即可做到這點。

五、強調(diào)無線安全性

WLAN利用了不可見的公用媒介進行空中信號傳播，安全問題是部署無線的巨大挑戰(zhàn)，無線網(wǎng)絡(luò)安全的復(fù)雜性一定程度上限制了企業(yè)部署無線。如何解決WLAN接入面臨的安全問題，保證客戶放心使用是一個重要問題。

仔細分析無線面臨的安全挑戰(zhàn)， 主要是防止非法AP接入、防止非法用戶接入、防止ARP攻擊、防止AP過載、防止不合理應(yīng)用等。既要防范外部威脅，又要防范內(nèi)部威脅，既要防范來自用戶端的威脅，又要防范網(wǎng)絡(luò)端的威脅。

首先是防范未授權(quán)AP，即Rouge 設(shè)備的接入。IEEE802.11網(wǎng)絡(luò)很容易受到大量網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP用戶、Ad-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等，因此Rouge設(shè)備對于企業(yè)網(wǎng)絡(luò)安全來說是一個很嚴重的威脅。這需要無線入侵檢測（WIDS）功能來防范，通過WIDS對有惡意的用戶攻擊和入侵無線網(wǎng)絡(luò)進行早期檢測，檢測WLAN網(wǎng)絡(luò)中的rogue設(shè)備，上報管理中心，并對它們采取反制措施，最大程度地保護無線網(wǎng)絡(luò)。

其次是防范非法用戶，這主要通過認證技術(shù)及加密技術(shù)來保證。常用的認證方式包括802.1x認證、MAC地址認證、Portal認證等多種認證方式，保證無線用戶身份的安全性， 結(jié)合WEP（64/128）、WPA、WPA2等多種加密方式保證無線用戶的加密安全性。另外，通過用戶身份認證結(jié)合AAA服務(wù)器上對用戶組進行權(quán)限的配置和修改，網(wǎng)管人員可以輕松地對不同級別的人進行接入權(quán)限分配，實現(xiàn)精細的用戶權(quán)限控制，從而大大增強了無線網(wǎng)絡(luò)的可用度。

第三是防范ARP攻擊。企業(yè)內(nèi)部普遍存在ARP 攻擊手段，通過偽造IP地址和無線交換機地址實現(xiàn)ARP欺騙，產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實現(xiàn)中間人攻擊，嚴重的可以使網(wǎng)絡(luò)不可用，危害企業(yè)應(yīng)用。為了防止攻擊者通過ARP報文實施“中間人”攻擊，無線交換機需要具有ARP入侵檢測功能，即通過對ARP報文進行合法性檢測，轉(zhuǎn)發(fā)合法的ARP報文，丟棄非法ARP報文，從而有效防御ARP欺騙。

第四是防范網(wǎng)絡(luò)帶寬濫用。這并不是直接的安全問題，但是會防礙企業(yè)內(nèi)部正常網(wǎng)絡(luò)應(yīng)用，需要一些智能管理手段來解決這樣的問題。在WLAN網(wǎng)絡(luò)中，同一個無線AP下會同時接入多個無線終端，如果部分終端應(yīng)用BT等下載應(yīng)用，將占用所有的無線端口帶寬，導致其它終端不能正常工作。為了避免上述問題，網(wǎng)絡(luò)最好能支持智能帶寬限速，限制終端使用固定帶寬，或限制所有終端平均分享限定帶寬，從而有效解決帶寬占用的問題。

另外，為了避免無線網(wǎng)絡(luò)中部分AP過載，部分AP閑置而影響網(wǎng)絡(luò)使用，負載均衡功能也必不可少。智能負載分擔方法可以動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。

在安全性方面，WX3024也是一把“好手”。其擁有802.1X、MAC地址、PORTAL等多種安全認證、AP的安全管理能力，提供防ARP攻擊，無線入侵檢測（WIDS），多種加密技術(shù)等安全技術(shù)，能夠有效解決企業(yè)網(wǎng)絡(luò)面臨的安全挑戰(zhàn)。因此，《網(wǎng)絡(luò)世界》評測報告中認為，保障無線網(wǎng)絡(luò)的安全是WX3024的另一大功能特色。

一體化無線設(shè)備優(yōu)選：H3C WX3024

綜上所述，一款集成48個無線AP管理，具有千兆交換機性能，具備POE供電能力，并集成DHCP 服務(wù)器，PORTAL 認證服務(wù)器，RADIUS服務(wù)器及WEB管理等應(yīng)用服務(wù)的有線無線一體化交換機，可以為企業(yè)網(wǎng)絡(luò)體現(xiàn)最高的性能價格比。既能夠帶來網(wǎng)絡(luò)的經(jīng)濟性、高效率、自由度，又不增加網(wǎng)絡(luò)建設(shè)、維護使用的成本，是每一個網(wǎng)絡(luò)建設(shè)者的追求。

作為杭州華三通信技術(shù)有限公司自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機功能的產(chǎn)品，H3C WX3024有線無線一體化交換機在近日業(yè)界知名媒體《網(wǎng)絡(luò)世界》發(fā)布的評測報告中，取得了令人滿意的測試結(jié)果。WX3024憑借像風一樣自由連接、像林一樣支持高密度接入、像火一樣可以快速便捷的部署、像山一樣穩(wěn)健安全，能有效滿足用戶的無線網(wǎng)絡(luò)建設(shè)需求，是用戶采購無線交換機的不二之選。