H3C公司无线网络建设实践

　　H3C公司建设无线网络，需要覆盖国内31个省市的分支机构，并要满足以下几个方面需求：

　　l H3C公司内部员工的移动办公需求

　　员工以无线方式接入公司内部网络，要求无线网络实现安全接入，并且同有线接入实现账号统一;并要求无线网络支持在办公区、会议室、培训室、会客厅、休息区以及展厅等区域的无缝漫游。

　　l 合作伙伴无线VPN的接入需求

　　每天有大量的合作伙伴在H3C公司内部洽谈业务。无线网络需要满足通过VPN的方式访问合作伙伴网络的需求。

　　l 大客户、访客的无线Internet接入需求

　　每天有大量的客户到H3C公司参观、学习。在休息区、会客厅、餐厅以及会议室等区域无线网络需要满足访客接入Internet的需求。

　　l WiFi语音实验网需求

　　满足WiFi语音业务的开展，以及WiFi语音实验的要求。

　　l 无线定位等其他增值业务的开展需求

　　后续在无线网络上开展定位、视频点播等增值业务。

　　l 与公司原有线接入网络融合，实现一体化用户接入及网络管理。

　　H3C无线网络建设技术选择与产品模式

　　1. 802.11a/b/g与802.11n的选择

　　目前，IEEE 802.11a、802.11b和802.11g作为比较成熟的标准已经在企业中获得广泛的应用，支持802.11a/b/g的产品和终端类型也比较丰富。IEEE 802.11n作为WLAN的下一代标准，具有高带宽、高性能和高稳定性等优点，但目前它还没有正式标准化，其最新的版本为Draft2.0。

　　802.11a、11b、11g和11n的技术特点对比如表1所示。

　　表1 802.11a/b/g/n技术特点对比

　　综合802.11各种技术的特点，在H3C大型分支机构(比如北京)采用802.11n技术进行组网，可满足高密度覆盖的需求，在其他小型分支机构采用802.11g的技术进行组网，这样即能满足无线网络覆盖需求又能节约整体的建网成本。

　　2. 无线组网模式的选择

　　H3C企业内部接入用户多，覆盖分支广，若采用传统的FAT AP的组网形态，存在各AP之间不能协调工作、射频干扰无法调节、无线用户无法进行三层漫游等问题。并且每一台AP需要单独配置，在大规模组网中管理会十分复杂。因此，H3C选择无线交换机和FIT AP(即“瘦”AP)组网架构，由无线控制器(AC)及无线接入点(FIT AP)构成。FIT AP组网架构对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到WLAN交换机集中实现，同时加入许多重要的新功能，诸如无线网管、AP之间自适应、无线安全RF监测、无缝漫游以及QoS，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。

　　但是，引入无线网络后，如何与有线网络统一，如何在整个企业网络范围内实现用户管理及认证、服务质量控制和安全策略实施等功能，成为了新的难题。否则，整网的安全性会降低，网络管理更复杂，并且维护成本也比预期高。

　　H3C无线网络建设采用有线、无线一体化的组网策略，把AC功能集成到交换机或路由器平台之中，通过提供覆盖整个企业的设备管理、资源管理、安全策略、服务质量保证，构筑统一的、端到端的网络环境。并实现有线、无线用户一体化接入，有线设备和无线设备一体化管理。这样既降低了网络管理和维护的复杂度，又方便无线网络和有线网络实现有效的联动，便于后期开展无线语音、无线定位等增值业务。有效保证应用、保护投资、降低部署的复杂性、减少管理维护工作量，从而降低总体拥有成本(TCO)。

　　H3C无线网络建设方案分析

　　1. 方案部署

　　整个无线网络采用2台WX6103无线控制器实现冗余备份，并对无线用户的认证和权限进行区分;在接入层采用数百个无线AP，覆盖区域包括H3C公司杭州总部以及全国31个分支机构，整体的逻辑拓扑图如图1所示。

　　图1 H3C无线网络逻辑拓扑图

　　如图1所示，H3C无线网络在接入层采用了802.11n和802.11g混合组网的策略：大型分支机构采用802.11n的设备组网，中小型分支机构采用802.11g的设备进行无线接入。这样既能满足大型分支机构高密度覆盖的要求，又能充分利用网络资源;

　　在接入侧针对不同的用户群开启各自专用的SSID，对访客、合作伙伴、内部员工以及语音等不同的数据流进行隔离，避免产生互相干扰。

　　无线用户的认证、权限区分以及对AP的集中管理均在WX6103无线控制器上面实现，2台WX6103实现1+1热备，切换时间可以达到50ms，满足WiFi语音的QoS需求。同时WX6103将AP的故障信息通过SNMP Trap的方式统一报告给iMC智能管理中心。

　　2. 方案特点

　　l 有线、无线网络一体化管理

　　传统的企业网络管理方式大多数采用有线和无线两套网管平台，这种管理方式不但给企业网络管理人员的管理工作带来极大的困难，更重要的是这会导致有线用户和无线用户无法统一管理、漫游困难等问题。割裂的管理方式已经成为企业无线网络发展的桎梏。

　　图2 传统管理方式

　　H3C iMC智能管理中心可以实现无线网络与有线网络的统一管理。通过iMC管理平台，管理人员不但可以查看移动终端的信息，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，还能查看各移动终端的全部漫游记录，以随时了解接入用户的情况，并对其接入轨迹进行审计。

　　此外，H3C iMC提供服务策略和Radio(无线射频)策略的管理，通过模板的方式对设备进行批量管理，使管理员快速完成网络配置。策略模板除手工添加外，还提供从文件导入和设备导入功能，管理员既可以从系统导出或导入模板，也可从某一标准配置设备上导入配置形成模板，下发到其它设备上，完成策略的批量克隆功能，极大地减少管理员的维护工作量，降低维护成本。

　　H3C公司各个分支机构的AP数量加起来近数百台，每个AP可以接入几十个无线用户。面对庞大的无线网络，如何有效地加以管理，保证整个无线网络的持续正常工作，是一项非常复杂的工作。H3C采用FIT AP集中式管理的架构可以简化对AP的管理，可以实现AP的零配置。当AP通过网线接入网络后能够自动获取IP地址 ，然后会自动发起连接AC的请求，一旦AP成功注册到AC之后将会自动下载软件版本以及配置文件。无线用户的数据信息将会通过一条CAPWAP隧道传送到AC，由AC对用户权限(包括认证方式、VLAN、QoS、防火墙策略等)进行集中控制。接入层的数百台AP相当于AC的逻辑端口，AC可以通过SNMP连接网管中心。整个管理架构如图3所示。

　　图3 FIT AP集中式管理

　　l 一体化的安全接入策略

　　H3C一体化无线网络解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上，创新性的提出了分层的安全体系架构理念，将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理等多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。

　　同时，AC可以对不同的用户群的SSID采取不同的加密、认证方式。内部员工采用Portal认证方式，在无线用户和AP之间采用PSK的方式加密。同时，为了确保客户端的桌面安全，无线接入和有线接入统一采用H3C EAD(终端准入控制)的接入方式，EAD智能接入客户端iNode内置Portal认证方式。访客以及合作伙伴采用Portal认证方式，无线用户和AP之间采用明文的方式，用户数据的安全由上层协议保证，这样既满足访客简单接入要求，同时又能保障访客的接入安全。语音SSID则采用MAC地址的认证方式，满足WiFi手机的认证要求。

　　l WiFi语音业务开展

　　WiFi语音网络继承了VoIP为企业节省话费的优点，所有长途通讯或者本地通讯都通过网络解决，企业内部的语音通讯也可以通过网络实现，企业只需要支付网络使用费即可。

　　H3C在建设无线网络之初就考虑到语音业务的开展，并在建设时采用无线信号区域覆盖重叠原则。WiFi语音的业务架构如图4所示。

　　图4 WIFI语音业务架构

　　与数据业务相比，WiFi语音部署对无线网络的要求相对较高。由于WiFi语音终端一般在贴近人体处使用，需要考虑人体对无线电波的吸收，信号强度一般要高于-65dbm。同时，由于WiFi手机在通话过程中会随处移动，任何盲区的存在都会导致通话中断或掉线，因此AP之间的信号需要保留重叠覆盖区域。

　　H3C WiFi语音网络验证了无线、语音产品混合组网能力，并和业界的部分主流WiFi语音终端做了互通测试，为WiFi网络开展语音业务积累了丰富的经验。

　　l 灵活的数据转发策略

　　传统的FIT AP组网架构都是基于集中式转发的，即以无线方式接入的所有的用户数据都要集中送到AC进行集中式转发。对于小规模或者局域网网的组网来说这种方式可以由AC对数据流进行集中处理、区分;但对于大规模的网络尤其是跨广域网的组网模式，集中式转发往往会造成数据转发效率下降、占用大量的广域网带宽资源。

　　H3C公司的无线网络遍布国内31个分支机构，AC集中部署在位于杭州的公司总部，并采用基于SSID和AP的转发策略：即分支机构的用户数据在认证通过之后不必经过AC，直接在分支机构的路由器上进行快速本地转发，而对于杭州内部的无线网络则采用集中式转发，很大程度上提高了用户数据报文的转发效率。

　　总结

　　H3C公司的无线网络基于FIT AP的组网架构，采用灵活的数据转发策略对中国31个分支机构的无线网络进行统一管理，并且将无线网络与有线网络充分融合，采用统一的网络管理平台，统一的有线、无线接入方式，使H3C公司员工可以在有线和无线网络之间无缝切换，同时满足访客、合作伙伴以及WIFI语音等业务的开展。