【编者按】前不久,IT168与ChinaUnix共同举办了“企业无线网络部署大讨论”的活动,得到了很多网友与厂商的支持。根据厂商提供的案例,从中选取了六篇典型用户的案例,邀请资深网络管理专家、IT168专家组成员张翔先生进行点评。六篇案例从六个不同典型用户角度入手,阐述了各自企业在无线网络部署方案中的特点,值得大家在无线网络架设中借鉴。
【专家点评】锐捷网络一向在校园网建设中有独到之处,在中国教育行业的网络建设中有极高的知名度,相信对用户需求的准确把握是其中的最大要素。智能无线交换网络在这个案子中得到了切实的应用,而不仅仅是推销产品的噱头。这种智能化体现在有线无线结合上、无线电射频监测和调控上尤为明显。在北师大较大规模的无线网项目中,锐捷很好地解决了稳定性、安全性和灵活性的问题,表明了锐捷无线产品也已走向成熟,将进一步增强锐捷在校园无线网,甚至企业无线网建设中的信心。
案例背景
随着笔记本电脑越来越普及,北京师范大学发现,校内使用笔记本电脑的学生越来越多,根据校计算机爱好协会协助统计结果显示,截至到2007年3月,全校学生拥有笔记本电脑笔记已经达到53%,学生们对无线上网需求强烈,经常反映到网络中心来,这引起了网络中心和校领导的关注,同时,校内老师们使用笔记本电脑办公的情况也越来越普遍。另外,学校经常承办很多大型的国内、国际会议,为此,北师大筹建无线网络则成为学校信息发展的重中之重。
2007年4月,北京师范大学立即着手开始了无线校园网的选型和规划工作。通过与锐捷网络携手,北京师范大学采用了锐捷网络的智能无线交换网络解决方案,建成了目前国内无线接入点规模最大、覆盖比例最高的无线校园网,共使用智能管理型无线接入点五百余台,通过集中的网管平台的统一监控、配置、入侵检测防护,并与认证系统顺利完成对接与融合,使其成为北京师范大学信息化校园的新亮点。
选型
针对北师大对于筹建校园无线网络的疑虑,锐捷网络建议其采用先进的智能无线交换网络架构作为校园无线网络解决方案的核心思想,采用支持智能转发功能的无线局域网交换机,配合部署在各楼栋接入层的智能管理型无线接入点产品,以及无线网络集中管理平台,完成整个无线网络的构建。
锐捷网络的智能无线交换网络解决方案的最大价值点在于对传统的“无线交换机+瘦无线接入点”解决方案中流量模型不合理的解决,尤其是在大型无线网络中。
在传统的“无线交换机+瘦无线接入点”解决方案架构中,全部的无线接入点设备的数据流量(用户数据、设备管理数据)都要通过加密隧道,集中的流经无线局域网交换机承载与处理,再通过其转发给相应的有线网络送达目的地,这必然会导致无线局域网交换机成为大流量数据汇聚的中心。在大规模的无线校园网使用中,这种模型将导致无线局交换机成为流量瓶颈,必须再增加无线交换机设备才能扩充解决。特别是随着802.11n传输协议的即将到来,单个无线接入点的转发效率将提高到100Mbps以上,无线交换机架构将不再适合承担所有流量的集中处理,同时对于延迟敏感的语音传输等也无法适应。
而锐捷网络的智能无线交换网络架构技术,通过智能无线交换机的控制,智能无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机,这样不仅可以保持原有的无线交换机架构解决方案的优势,更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交智能无线交换机处理,避免成为无线交换机的转发瓶颈,这种解决方案将非常适合大规模的无线网络环境使用。不仅如此,这种先进的架构,将使得面对今后的校园VoWLAN(无线语音通话)和802.11n高速传输,都可以从容地升级和扩充,而无需淘汰现有设备,保护用户投资。
同时,智能无线交换网络解决方案可支持无线交换机的集群和冗余,锐捷网络为北师大设计了多台无线交换机的冗余架构而不是单台设备架构,如果一台无线交换机发生故障,网络连接将迅速由另一台备份无线交换机接管,而用户信息不会丢失,仍然保持正常通信状态。
第三,该解决方案将通过集中的网管系统,对全网无线接入点的行为和用户信息统一监控和管理,校园网络管理人员只需在智能无线交换机上就可开通、管理、维护所有处于接入层的智能无线接入点设备,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略。
第四,该解决方案支持先进的智能化无线电射频监测和调控能力,可确保某个智能无线接入点在发生故障时,可以自动切换到邻近的智能无线接入点,由于用户信息全部同步在智能无线交换机上,因此不会影响无线的接入服务。
第五,该解决方案中的无线交换机支持多种认证策略,可针对后台的认证网关进行Radius联动,就可以保证全网用户有线与无线的认证账号统一,而此过程中,用户无需安装任何客户端产品即可完成上网登录,完全避免了反复登录和二次认证的尴尬。
最后,该解决方案针对非法的SOHO设备侵占合法无线接入点而带来的干扰和网络入侵问题,通过每个无线接入点支持全校物理环境动态扫描其所处的环境,并将扫描到的设备信息送交无线交换机及网管平台查询,这样网络管理人员即可实时发现是否有非法无线接入点存在,随后可以开启自动保护机制,阻止无线用户通过非法无线接入点进入无线网络。
实施过程
(1)前期规划阶段需要注意和明确的方面:
―――哪些地方需要无线上网?哪些重点的地方是要首先实现的?
―――无线网络容易受到其他无线电的干扰,要先对校内各个地方的无线电环境进行评估,是否存在干扰,有问题要提前解决;
―――每一台无线AP对用户上网数量是有限制的,所以要对每个需要无线覆盖的地方,可能的上网用户数量有一个大致的估算;
―――学校现有网络采用什么认证方式,无线网络是采用单独的认证方式,还是和现有网络的认证整合统一;
―――无线AP的安装相对复杂,对施工有较高要求,所以需要对每个需要放AP的地方的安装条件提前评估;
―――无线用户的IP地址和VLAN的规划,需要提前给出预留,以便后期的施工方便;
―――对于不同地方的学生或老师的无线上网,主要是什么应用,可能对带宽有多大需求,这个也需要注意,方便在规划时对应AP的数量。
(2)中期实施阶段需要注意和明确的方面:
在规划完成之后,项目招标完毕,进入实施阶段,由于在这个阶段会碰到很多意想不到的问题,因此,在这个阶段要比规划阶段更复杂,需要仔细地考虑,到底要上什么功能,哪些是必须要先完成的,哪些可以在后期逐步完成,各种功能带来的工作量有多大?如何保证工期和质量?具体的配置如何完成?
在这个阶段,主要考虑从信道、干扰、覆盖效率、IP、VLAN、加密、认证、ACL、QOS、入侵防护、漫游、定位等多方面逐个完成配置。
(3)后期使用与维护阶段需要注意和明确的方面:
实施完毕之后,到了运行阶段,也是网络中心日常重要的工作内容了。在这个阶段,针对无线网络的管理,需要重点针对设备拓扑的维护、各种无线入侵威胁的告警跟踪处理、各种分类无线流量的检测、是否还存在信号覆盖的盲区、无线AP和链路信道的使用状况、无线环境的ARP欺骗的监视和防范。
效果
北师大无线网络投入使用以来,已经走过了半年的时间,由于合理的规划和稳步的实施,如此大规模的无线网络开始运转,网络中心并没有因此而忙乱不堪,对此,北师大感到非常满意。总体来看,北师大无线校园网络在建成之后,不但实现了先前设计的所有功能,并且在很多新技术的应用上,进行了有效的探索:
(1) 无线网络的稳定性很重要,因此这次北师大采用了4台核心无线交换机集群架构,无线交换机之间通过负载均衡来分配对AP的控制,同时,任何一台无线交换机出现问题,其他无线交换机都可以随时接管AP;
(2) 因为学校经常有外来访客,特别是国外友人,很多外国人都是采用802.11a上网,因此在很多重点场合进行了802.11a和802.11g双网覆盖,这一点得到了校内各方面的充分肯定,这个经验很有必要介绍给很多面临国际化的国内高校;
(3) 全网五百余台无线设备可通过一套网管平台在线检测包括运行状况、流量、拓扑、安全、漫游、配置等多方面的工作,这一点比预期的还要好,目前来看管理的目的全部达到,包括每个用户的接入信号品质都能看的一清二楚,在很多方面的管理精细度远远超过的有线网络,网管人员在网络中心机房随时可以看出无线网络的所有运行状态,这对于大型高校的网络中心的人力投入带来的极大的节省;
(4) 所有无线接入点全部采用零配置完成,整个配置过程仅用了一天时间,对于这种规模的网络,在有线网络时代是不可想象的,这种批量的零配置技术,可随时通过批量配置完成配置的下发和更改,大大简化了网管人员的工作量,即便是今后的设备维护,版本升级都变得自动化,无需人工干预,这可以称得上是网络管理的创新;
(5) 先前的统一认证疑虑看来是不必要的,这种全网认证统一在一套认证平台上的模式已经是非常成熟的技术,对于师生的身份认证不需要做调整,网络开通很容易。
