扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
H3C公司建设无线网络,需要覆盖国内31个省市的分支机构,并要满足以下几个方面需求:
l H3C公司内部员工的移动办公需求
员工以无线方式接入公司内部网络,要求无线网络实现安全接入,并且同有线接入实现账号统一;并要求无线网络支持在办公区、会议室、培训室、会客厅、休息区以及展厅等区域的无缝漫游。
l 合作伙伴无线VPN的接入需求
每天有大量的合作伙伴在H3C公司内部洽谈业务。无线网络需要满足通过VPN的方式访问合作伙伴网络的需求。
l 大客户、访客的无线Internet接入需求
每天有大量的客户到H3C公司参观、学习。在休息区、会客厅、餐厅以及会议室等区域无线网络需要满足访客接入Internet的需求。
l WiFi语音实验网需求
满足WiFi语音业务的开展,以及WiFi语音实验的要求。
l 无线定位等其他增值业务的开展需求
后续在无线网络上开展定位、视频点播等增值业务。
l 与公司原有线接入网络融合,实现一体化用户接入及网络管理。
H3C无线网络建设技术选择与产品模式
1. 802.11a/b/g与802.11n的选择
目前,IEEE 802.11a、802.11b和802.11g作为比较成熟的标准已经在企业中获得广泛的应用,支持802.11a/b/g的产品和终端类型也比较丰富。IEEE 802.11n作为WLAN的下一代标准,具有高带宽、高性能和高稳定性等优点,但目前它还没有正式标准化,其最新的版本为Draft2.0。
802.11a、11b、11g和11n的技术特点对比如表1所示。
表1 802.11a/b/g/n技术特点对比
综合802.11各种技术的特点,在H3C大型分支机构(比如北京)采用802.11n技术进行组网,可满足高密度覆盖的需求,在其他小型分支机构采用802.11g的技术进行组网,这样即能满足无线网络覆盖需求又能节约整体的建网成本。
2. 无线组网模式的选择
H3C企业内部接入用户多,覆盖分支广,若采用传统的FAT AP的组网形态,存在各AP之间不能协调工作、射频干扰无法调节、无线用户无法进行三层漫游等问题。并且每一台AP需要单独配置,在大规模组网中管理会十分复杂。因此,H3C选择无线交换机和FIT AP(即“瘦”AP)组网架构,由无线控制器(AC)及无线接入点(FIT AP)构成。FIT AP组网架构对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到WLAN交换机集中实现,同时加入许多重要的新功能,诸如无线网管、AP之间自适应、无线安全RF监测、无缝漫游以及QoS,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。
但是,引入无线网络后,如何与有线网络统一,如何在整个企业网络范围内实现用户管理及认证、服务质量控制和安全策略实施等功能,成为了新的难题。否则,整网的安全性会降低,网络管理更复杂,并且维护成本也比预期高。
H3C无线网络建设采用有线、无线一体化的组网策略,把AC功能集成到交换机或路由器平台之中,通过提供覆盖整个企业的设备管理、资源管理、安全策略、服务质量保证,构筑统一的、端到端的网络环境。并实现有线、无线用户一体化接入,有线设备和无线设备一体化管理。这样既降低了网络管理和维护的复杂度,又方便无线网络和有线网络实现有效的联动,便于后期开展无线语音、无线定位等增值业务。有效保证应用、保护投资、降低部署的复杂性、减少管理维护工作量,从而降低总体拥有成本(TCO)。
H3C无线网络建设方案分析
1. 方案部署
整个无线网络采用2台WX6103无线控制器实现冗余备份,并对无线用户的认证和权限进行区分;在接入层采用数百个无线AP,覆盖区域包括H3C公司杭州总部以及全国31个分支机构,整体的逻辑拓扑图如图1所示。
图1 H3C无线网络逻辑拓扑图
如图1所示,H3C无线网络在接入层采用了802.11n和802.11g混合组网的策略:大型分支机构采用802.11n的设备组网,中小型分支机构采用802.11g的设备进行无线接入。这样既能满足大型分支机构高密度覆盖的要求,又能充分利用网络资源;
在接入侧针对不同的用户群开启各自专用的SSID,对访客、合作伙伴、内部员工以及语音等不同的数据流进行隔离,避免产生互相干扰。
无线用户的认证、权限区分以及对AP的集中管理均在WX6103无线控制器上面实现,2台WX6103实现1+1热备,切换时间可以达到50ms,满足WiFi语音的QoS需求。同时WX6103将AP的故障信息通过SNMP Trap的方式统一报告给iMC智能管理中心。
2. 方案特点
l 有线、无线网络一体化管理
传统的企业网络管理方式大多数采用有线和无线两套网管平台,这种管理方式不但给企业网络管理人员的管理工作带来极大的困难,更重要的是这会导致有线用户和无线用户无法统一管理、漫游困难等问题。割裂的管理方式已经成为企业无线网络发展的桎梏。
图2 传统管理方式
H3C iMC智能管理中心可以实现无线网络与有线网络的统一管理。通过iMC管理平台,管理人员不但可以查看移动终端的信息,包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等,还能查看各移动终端的全部漫游记录,以随时了解接入用户的情况,并对其接入轨迹进行审计。
此外,H3C iMC提供服务策略和Radio(无线射频)策略的管理,通过模板的方式对设备进行批量管理,使管理员快速完成网络配置。策略模板除手工添加外,还提供从文件导入和设备导入功能,管理员既可以从系统导出或导入模板,也可从某一标准配置设备上导入配置形成模板,下发到其它设备上,完成策略的批量克隆功能,极大地减少管理员的维护工作量,降低维护成本。
H3C公司各个分支机构的AP数量加起来近数百台,每个AP可以接入几十个无线用户。面对庞大的无线网络,如何有效地加以管理,保证整个无线网络的持续正常工作,是一项非常复杂的工作。H3C采用FIT AP集中式管理的架构可以简化对AP的管理,可以实现AP的零配置。当AP通过网线接入网络后能够自动获取IP地址 ,然后会自动发起连接AC的请求,一旦AP成功注册到AC之后将会自动下载软件版本以及配置文件。无线用户的数据信息将会通过一条CAPWAP隧道传送到AC,由AC对用户权限(包括认证方式、VLAN、QoS、防火墙策略等)进行集中控制。接入层的数百台AP相当于AC的逻辑端口,AC可以通过SNMP连接网管中心。整个管理架构如图3所示。
图3 FIT AP集中式管理
l 一体化的安全接入策略
H3C一体化无线网络解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上,创新性的提出了分层的安全体系架构理念,将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理等多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。
同时,AC可以对不同的用户群的SSID采取不同的加密、认证方式。内部员工采用Portal认证方式,在无线用户和AP之间采用PSK的方式加密。同时,为了确保客户端的桌面安全,无线接入和有线接入统一采用H3C EAD(终端准入控制)的接入方式,EAD智能接入客户端iNode内置Portal认证方式。访客以及合作伙伴采用Portal认证方式,无线用户和AP之间采用明文的方式,用户数据的安全由上层协议保证,这样既满足访客简单接入要求,同时又能保障访客的接入安全。语音SSID则采用MAC地址的认证方式,满足WiFi手机的认证要求。
l WiFi语音业务开展
WiFi语音网络继承了VoIP为企业节省话费的优点,所有长途通讯或者本地通讯都通过网络解决,企业内部的语音通讯也可以通过网络实现,企业只需要支付网络使用费即可。
H3C在建设无线网络之初就考虑到语音业务的开展,并在建设时采用无线信号区域覆盖重叠原则。WiFi语音的业务架构如图4所示。
图4 WIFI语音业务架构
与数据业务相比,WiFi语音部署对无线网络的要求相对较高。由于WiFi语音终端一般在贴近人体处使用,需要考虑人体对无线电波的吸收,信号强度一般要高于-65dbm。同时,由于WiFi手机在通话过程中会随处移动,任何盲区的存在都会导致通话中断或掉线,因此AP之间的信号需要保留重叠覆盖区域。
H3C WiFi语音网络验证了无线、语音产品混合组网能力,并和业界的部分主流WiFi语音终端做了互通测试,为WiFi网络开展语音业务积累了丰富的经验。
l 灵活的数据转发策略
传统的FIT AP组网架构都是基于集中式转发的,即以无线方式接入的所有的用户数据都要集中送到AC进行集中式转发。对于小规模或者局域网网的组网来说这种方式可以由AC对数据流进行集中处理、区分;但对于大规模的网络尤其是跨广域网的组网模式,集中式转发往往会造成数据转发效率下降、占用大量的广域网带宽资源。
H3C公司的无线网络遍布国内31个分支机构,AC集中部署在位于杭州的公司总部,并采用基于SSID和AP的转发策略:即分支机构的用户数据在认证通过之后不必经过AC,直接在分支机构的路由器上进行快速本地转发,而对于杭州内部的无线网络则采用集中式转发,很大程度上提高了用户数据报文的转发效率。
总结
H3C公司的无线网络基于FIT AP的组网架构,采用灵活的数据转发策略对中国31个分支机构的无线网络进行统一管理,并且将无线网络与有线网络充分融合,采用统一的网络管理平台,统一的有线、无线接入方式,使H3C公司员工可以在有线和无线网络之间无缝切换,同时满足访客、合作伙伴以及WIFI语音等业务的开展。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。