降低成本 有效管理无线交换机

　　无线交换机有很多值得学习的地方，这里我们主要介绍如何有效的管理无线交换机，解决无线AP供电问题，是保障无线AP部署位置灵活性的重要前提。这就要求AP在具有本地供电能力的同时，可以通过POE实现远程供电。

　　目前有两类解决方案，POE供电模块和POE供电无线交换机。为了保证POE供电的可靠性，采用POE供电无线交换机为单路无线AP提供电源是首选，目前的POE交换机遵循的是IEEE802.3af标准，最大输出功率是15W左右，而业界主流的IEEE802.11n AP需要的工作功率多大于15W，为了解决这样的供电需求，需要遵循IEEE802.3at草案的POE+供电无线交换机，才能真正发挥IEEE802.11n的性能优势。

　　前文提到的WX3024就能够实现 24个千兆端口可同时提供POE供电功能，并支持PoE+供电，每端口最大提供25W的功率，测试表明WX3024在打开POE供电功能后，其千兆网络接口可以对802.11g和802.11n的AP通过网线进行供电，并可以在控制台上对每个POE供电的AP的供电情况进行显示，尤其方便IEEE802.11n AP的部署。这在未来802.11n可能"大行其道"的情况下，显得尤为重要。

　　降低管理成本

　　对于一般的企业而言，往往没有强大的IT维护力量，这也是选择FIT AP部署企业WLAN网络的一个重要因素，业界主流的FIT AP厂商都提供AP零配置，所有的AP配置操作都在无线控制器或交换机上完成，系统升级也统一由无线交换机来集中操作。因此，企业WLAN AP的管理问题，简化为对无线交换机的管理。更为突出的是，企业WLAN网络的管理不仅仅是对AP的管理，用户IP地址分配，用户身份认证等系列用户管理也是重点考虑的内容。

　　无线用户的IP地址一般采用DHCP 服务器来分配，用户认证可以采用MAC地址认证、IEEE802.1x认证、PORTAL认证等方式。一个完整的无线网络，一般需要RADIUS 服务器，PORTAL认证服务器及前面述及的DHCP 服务器。这些设备结合无线控制器及无线AP，对没有强大的IT维护力量的企业而言，无疑是一个严峻的挑战，如果能集成DHCP服务、RADIUS认证服务、PORTAL认证服务，并通过简易直观的WEB管理界面方便企业IT管理者的维护，就可以避免使企业IT管理员成为救火队员。前文所提及的H3C WX3024即可做到这点。

　　强调无线安全性

　　WLAN利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战，无线网络安全的复杂性一定程度上限制了企业部署无线。如何解决WLAN接入面临的安全问题，保证客户放心使用是一个重要问题。仔细分析无线面临的安全挑战， 主要是防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁，又要防范内部威胁，既要防范来自用户端的威胁，又要防范网络端的威胁。

　　首先是防范未授权AP，即Rouge 设备的接入。IEEE802.11网络很容易受到大量网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等，因此Rouge设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测(WIDS)功能来防范，通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测，检测WLAN网络中的rogue设备，上报管理中心，并对它们采取反制措施，最大程度地保护无线网络。

　　其次是防范非法用户，这主要通过认证技术及加密技术来保证。常用的认证方式包括802.1x认证、MAC地址认证、Portal认证等多种认证方式，保证无线用户身份的安全性， 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性。另外，通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改，网管人员可以轻松地对不同级别的人进行接入权限分配，实现精细的用户权限控制，从而大大增强了无线网络的可用度。第三是防范ARP攻击。企业内部普遍存在ARP 攻击手段，通过伪造IP地址和无线交换机地址实现ARP欺骗，产生大量的ARP通信量使网络阻塞或者实现中间人攻击，严重的可以使网络不可用，危害企业应用。为了防止攻击者通过ARP报文实施"中间人"攻击，无线交换机需要具有ARP入侵检测功能，即通过对ARP报文进行合法性检测，转发合法的ARP报文，丢弃非法ARP报文，从而有效防御ARP欺骗。

　　第四是防范网络带宽滥用。这并不是直接的安全问题，但是会防碍企业内部正常网络应用，需要一些智能管理手段来解决这样的问题。在WLAN网络中，同一个无线AP下会同时接入多个无线终端，如果部分终端应用BT等下载应用，将占用所有的无线端口带宽，导致其它终端不能正常工作。为了避免上述问题，网络最好能支持智能带宽限速，限制终端使用固定带宽，或限制所有终端平均分享限定带宽，从而有效解决带宽占用的问题。

　　另外，为了避免无线网络中部分AP过载，部分AP闲置而影响网络使用，负载均衡功能也必不可少。智能负载分担方法可以动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。

　　在安全性方面，WX3024也是一把"好手"。其拥有802.1X、MAC地址、PORTAL等多种安全认证、AP的安全管理能力，提供防ARP攻击，无线入侵检测(WIDS)，多种加密技术等安全技术，能够有效解决企业网络面临的安全挑战。综上所述，一款集成48个无线AP管理，具有无线交换机性能，具备POE供电能力，并集成DHCP 服务器，PORTAL 认证服务器，RADIUS服务器及WEB管理等应用服务的无线交换机，可以为企业网络体现最高的性能价格比。既能够带来网络的经济性、高效率、自由度，又不增加网络建设、维护使用的成本，是每一个网络建设者的追求。