leileo11 发表于 2012-3-29 12:03

企业无线网络工程(吐血分享)-无线第二季

上个星期,跟大家分享了酒店的无线工程,http://bbs.51cto.com/thread-916299-1.html看到大家这么喜欢无线工程,作为无线行业工作者,我希望分享更多的工程案例给大家,同时,也希望大家能够更多的参与互动到这个帖子里来,多提问题,这样我们才能共同学习到更多的知识。qq群:220152213
   这次跟大家分享一下企业的无线工程,谈到企业,大家首先会想到各种各样的有线设备,防火墙,路由器,交换机,这些设备大家都已经很熟悉了,而且随着时代的发展,越来越多的移动终端的出现,就需要我们的办公更快,更MOVE,效率更高, 那么我现在问大家了,企业对无线的需求是什么?就这个问题,我们今天开展我们企业工程案例的分享
简单介绍一下企业的情况,XX集团公司,总部有一9层办公楼需要全覆盖,以及全国各地18个办事处的无线AP的覆盖。下面我们就此企业的无线需求进行逐步剖析。
首先企业对无线的功能上的要求,这个是大多数企业根本的需求,也就是无线的立足之本
一,企业无线的安全需求
提到安全,大多数朋友以为无线是不安全的,为什么,顾名思义,无线,就是信号漂浮在空中,那么我们所担心的是黑客利用这个介质进行破坏网络的安全,应该是很轻松的事情,实时也是如此 ,尽管现在的加密技术比以前更加稳固,但是我们常常听到周围朋友说WPA被PJ了等等,固然CW的行为是触犯了别人的隐私,这里还是吧赞成大家去这么做,
但是现在的企业无线是不是做到已经比有线安全的了呢, 答案是肯定的,其一:现在有些厂家的AP和控制器之间的数据是通过加密隧道进行传输,而AP对数据不进行任何处理,加密解密都是做在控制器端,所以就避免了黑客利用空气进行破坏,
http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120306_bdb22fffef07509190275Am9uDEh4cMA.jpg http://bbs.51cto.com/images/attachicons/image.gif 123.jpg (10.49 KB)
2012-3-6 19:17


其二:现在的无线之所以做到比有线安全,是因为他从外网到内网都能够保护到无线网络不受攻击,现在的无线控制器不单单是个管理无线AP的设备,实际上他更像是无线网络的保护神,
自带的WIP系统从内外网保护企业无线网络不受攻击破坏,
对于客户端来说 802.1X+WEB+WPA2的加密认证 足够保证接入端的安全。这些认证可以独立使用,也可以分开进行设置,要看客户具体的需求,
以 我的经验,如果企业有radius服务器的话,那我们最好用802.1X的无线认证,因为这个可以结合客户域资源,做到企业的有线无线的安全统一认证。另外还可以有效的预防病毒,真正的做到企业无线安全的保证。
二:企业无线的稳定需求
这个是企业的网管朋友又担心的一个问题, 稳定, 现在可能最头痛的就是无线老是掉线的问题,或者老师掉包的问题,而且经过无缘无故的很慢, 那么问题出现在哪里呢,对于大多数无线来讲,干扰是造成这个原因的罪魁祸首,那么造成干扰的原因是什么呢,
原因大概有下面几个:一同频干扰, 二同信道干扰
那么我们现在可以解决下面这些问题了吗,答案是肯定的   又来了 呵呵
瘦AP的结构就因为他能够自动识别周围射频的环境,自动分配AP的信道,达到蜂窝煤式的分布,同时每个厂家都有自己的小技术,比如频道的负载均衡,频段的负载均衡,这些都能有效的解决干扰问题。使无线的环境更加稳定。。(以后再详细讲一块)
三:企业无线的高带宽需求
快速发展的企业对无线的要求越来越高,那么我们能提供更快速,更高的无线带宽是我们企业对无线的更高要求,09年11n的出现,让这一要求成为了现实,现在的无线部署基本上都是11n的无线,但是现在企业大都存在着a/b/g的设备,那么这样环境让我们对带宽需求要求较高的企业比较头痛,
于是我们就针对这样的混杂环境,提出了双频AP的解决方案,针对于11n的新设备,我们可以让他在a/n的频段上去工作,针对于老旧设备,我们可以给他b/g的环境上去工作,两个频段互不干扰。当然最好的办法还是尽快把老旧的终端设备换掉。

这些是企业的基本要求把,之所以比较详细的说这些需求,是以为好多企业的朋友都认为无线不是很安全,很慢等等。
我们把话说回来,XX集团对这些需求肯定是需要的, http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120305_d1ad358841e5e71468b26xruMP0qHI2V.jpg http://bbs.51cto.com/images/attachicons/image.gif 11111.jpg (32.56 KB)
2012-3-5 12:16


上张图,这张是XX集团的无线连接拓扑图,呵呵 大家说说有什么不懂的地方吗?

XX集团的应用需求:
一:满足集团总部大楼的无线全覆盖及分部的无线全覆盖(覆盖要求)
二:SSID需求:一个供员工使用,一个供客户使用,一个供语音使用
三:分别对员工和客户的使用权限划分(员工与域认证结合,客户使用WEB页面认证)同时对终端进行智能管理(新颖)
四:分公司与总部的GOLBE无线的统一,即分部的无线功能与总部无线功能一样(潮流),换句话说,分部的SSID也是三个,切功能和总部一样。 并且AP让总部统一管理
五:RF射频智能优化,各种非法AP的仰止,非法用户的识别与仰止。(干扰)


这5个大体的需求,不能不说这个集团的IT对无线系统的提出了更高的要求,也反应了当今企业的IT对无线的认识越来越高。 当然这些需求也是需要你引导客户的。毕竟为他们着想的话更能体现你的解决方案的魅力所在。这个时候越是对无线功能感兴趣的网管,我们越好沟通,毕竟能够帮他们解决技术难题,项目也就成功了一半了

通过对现场的勘测和信号的测试,AP的数目也有了具体的数字,具体的测试方法已经在上面酒店的测试中介绍过了,就不啰嗦了,上图吧
点位设计
http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120305_3cd7f6c23f617c70d3e5sdmwqsqTsnD6.jpg http://bbs.51cto.com/images/attachicons/image.gif 1lou.jpg (49.26 KB)
2012-3-5 13:29

http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120305_b138e810308e98b1967bPiyyHExxtA1k.jpg http://bbs.51cto.com/images/attachicons/image.gif 2lou.jpg (43.83 KB)
2012-3-5 13:29


可以看出图中的衰减在绿色的区域都是高于65dbm的 ,对于数据的传输和语音的通话都是没有问题的,根据衰减图,我们可以得出AP的点位规划和数目,从而确定控制器的型号。。也就是下面设计到的组网设计
无线网的组网设计具体可以分为两个部分
控制器的设计,
这个是整个无线工作的大脑,策略认证的限制都会做在上面,可以根据AP的数量,以及客户用户数目来选择控制器的型号,考虑到日后无线系统的扩展,AP数增加,无线控制器的上联接口势必会成为数据传输的瓶颈,所以我们推荐使用支持三个以上千兆端口的无线控制器,一方面可以保证有足够的传输带宽,另一方面是可以减少用户的反复投资。也就是ARUBA的3000系列,最大支持128个AP 也适合主备这种控制器管理模式,很适合中小企业网络的应用。关于AP的设计的话,
设计到的问题是用户是混杂环境,所以选用11n的双频设备,这样对于高密度的部署同样也试用。a/b/g/n的环境比较适合高带宽,高密度部署的环境。。但是还是建议用户尽快的统一使用11n的终端设备,原理的话以后具体会讲到。。。
下面插个技术的话题
有人问到为什么11n的带宽会能满足当今企业的需求,下面给大家介绍一下11n的技术呵呵献丑了
11n是09年开始投入使用的无线传输机制,他通常运行在2.4GHZ 或者5GHZ的频段上,也就是我们所说的b/g/n 或者a/n
他可以和流媒体,无线VOIP共存,如可以提供更高带宽的视频传送,他的理论带宽是300M/S 但是实际的速率测试也就在100到200M/S之间,他使用MIMO的传输机制,翻译过来叫多输入多输出,实际上就是使用多个天线使传输速率增加和传输范围增大, 在一定的时间内,传输更多的东西,所以我们感觉速率快了很多,同时他又在频道上使用更宽40MZ的频道传输,我们了解到所有的802.11设备都使用天线发射(传播)无线电波。基本偶极天线会将这些电波向所有方向发射,这有点像往平静水池里丢一个小石头所产生的水波。想象一下,当这些水波碰到水池的边缘时会发生什么?会有一些水波在碰到墙壁后被反弹回来,然后与基本还在向前的水波发生碰撞。当水波发生碰撞时,会有一些波纹变得更高而有些则会变小或消失。
类似的情况发生在无线电波遇到发射器和接收器之间的门窗或其他阻挡物上。这就是我们所说的多重路径(Multi-path)现象,它会导致同一个传输会有许多反射波,从而它到达接收器的次数变得不稳定。在这个过程中,这些反射可能会加强、减弱或者干扰另一个信号。
当供应商开始致力于增加802.11n WLAN速度和性能时,他们会利用到多重路径。具体的就是,每一个2.4GHz或5GHz频道都有非常多的信息。然而,如果你将802.11帧分割成多个片断并通过不同的路径传输这些片断,就能加快帧到达接收者的速度——也就是说在固定的时间内会有更多的帧被发送出去。当然,接收者必须知道如果如何将这些片断组合成原始的帧。这种提升速度和性能的技术叫做三维多路技术
MIMO设备是通过他们同时用来发送(M)或接收(N)的天线数来描述的。比如,2x1 MIMO AP通过两个天线发送信号,一个天线接收信号;而3x3 MIMO AP则分别通过三个天线发送或接收信号。虽然在实际操作中有着更细微的差异,但是粗略地说,使用两个发送天线通常能提供的带宽会比使用3三个天线的少。因此MIMO天线的配置是判断802.11n产品好坏的一个重要的因素。

下面继续,说到哪里了,控制器和AP都设计好了,点位也设计好了,那么方案中还有比较详细的地方就是用户认证的设置,这个在你写方案的时候是已经测试过了得,具体的测试步骤已经在酒店的工程案例中设计到,此集团要求是员工,客户分别作认证,员工结合域进行802.1X认证,客户进行WEB认证,
802.1x认证是二层的认证 ,可以进行证书认证 EAP-TLS的认证方式,也可以进行EAP-PEAP的认证方式,同样支持WPA,WPA2的加密。一般情况下,有些无线控制器集成了内部的服务器认证,如果和公司域的资源进行集成的话,那我们可能要用到客户的外部radius服务器,或者LDAP服务器,当然认证过程的话还是要根据客户的情况而定,我们在此项目中就用到了客户的LADP服务器,和域进行联动,测试情况很理想,但是往往有些客户的内网资源比较复杂,有的可能有一些做到出口的行为管理的设备,这个要求对客户的情况进行行为控制,那么他可能也是一种认证服务器,这需要厂商和厂商之间的接口联动,有些厂商支持第三方的认证服务器,但是标准都是RAIUS接口。

WEB认证是中DNS截取访问IP 重定向认证页面的认证方式,一般用于客户的认证,同样可以和公司资源进行联动 ,做法和1X认证大同小异。
同样智能终端的认证 ,这个是认证中比较新颖的认证方式,他可以识别终端类型,IPADiphone ,windows,htc,
在集团中我们可以用来归类,比如IPAD上来的用户给他一个权限,andiro系统上来的给他一个权限。但是可能只有部分厂商做得到这点。。。呵呵 比较时髦。

认证完后就是权限的划分了,可以给用户定义时间,地点的限制,带宽的限制,会话数的限制等 这个要看客户的需求了。。集团中他们规定员工只能访问内网,那我们就定义认证过来员工进行网络权限的限制,可以细化到具体的服务端口号,比如8080端口禁止等。。。同样客户过来只允许访问外网。。不能访问内网。。。。。
http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120306_398c643cd3aaf34cfd6feSIvb2U8qmFX.jpg http://bbs.51cto.com/images/attachicons/image.gif 45.jpg (29.87 KB)
2012-3-6 15:08



http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120306_9ef984fd789f5808326dUMR2dr3oyt4o.jpg http://bbs.51cto.com/images/attachicons/image.gif 56.jpg (44.19 KB)
2012-3-6 15:08


这两张图说明认证和权限的对于无线的安全是多么重要的事情,他是一个七层的工作范畴,从物理层到应用层都在保护着你的无线安全。。。
最近身体不好,所以没有及时更新

认证和权限划分好了,那么企业的安全也就有保障了,另外还有个应用也是比较重要的应用----分支机构的无线应用,集团公司的18个办事处说明此集团的全国营销很成功,每个省都有自己的分公司,当然随着公司的壮大,数据的共享越来越重要,以前可能通过专线,或者VPN练到总部,花费不菲,应用也得不到拓展,随着公司的应用越来越多,无线平台的集成也越来越多,语音 视频的应用更加促进了集团和分支机构需要统一的资源共享,那么在无线平台上进行这些应用的建设就必不可少。。

首先大家不明白分支机构怎么样部署无线,无线怎么样管理,无线的策略和安全怎么样设置等。
随着企业业务的不断发展,分支机构和移动办公用户越来越多出现在
企业业务网络中。通过Aruba VBN“虚拟分支机构网络”, 分支机构和移动办公用户可与企业总部构建安全的虚拟网络专线,使分支机构和移动办公用户可随时实现收发内部信息、视频会议、内部语音通信等功能。帮助企业网络成本与
电话成本并提高内部管理效率与工作业绩现在我们根据此集团的特点,充分利用无线的分支机构解决方案的特点,分支机构的AP通过公网与总部的控制器建设连接,通过VPN连接,建立远程AP,相当于在公司内部的AP,无线的策略和安全设置与集团总部统一,同样管理也是被集团总部统一管理和分配。方便简单。下面有个示意图大家可以看下。
http://bbs.51cto.com/images/default/attachimg.gif http://img2.51cto.com/attachments/month_1203/20120329_399a7519a1fe66af45cbo6VzLhB0XY7J.jpg http://bbs.51cto.com/images/attachicons/image.gif 111.jpg (81.01 KB)
2012-3-29 10:22



cgel 发表于 2012-3-29 12:05

好长的帖子,顶完慢慢看

rake_yin 发表于 2012-3-29 12:43

marked,慢慢看,学习进步

挑战北京 发表于 2012-3-29 17:57

赚一金币走人

非常大自然2 发表于 2012-3-29 19:40

谢谢分享目前我们这里也在做无线覆盖目前看来 信道干扰太严重了无线部分运行1个小时不到全部都掉包严重上不了网

jiyiliwangyou 发表于 2012-3-29 19:45

谢谢分享:):)

leileo11 发表于 2012-3-30 11:11

非常大自然2 发表于 2012-3-29 19:40 static/image/common/back.gif
谢谢分享目前我们这里也在做无线覆盖目前看来 信道干扰太严重了无线部分运行1个小时不到全部都掉包 ...

什么设备啊,重新选设备吧

缘分的天空 发表于 2012-3-30 15:22

真够复杂的..

花花无缺 发表于 2012-3-30 19:47

好贴..

顶~~~!!!!!!!!!!!!!!!1

darling930 发表于 2012-4-6 16:54

非常大自然2 发表于 2012-3-29 19:40 static/image/common/back.gif
谢谢分享目前我们这里也在做无线覆盖目前看来 信道干扰太严重了无线部分运行1个小时不到全部都掉包 ...

直入话题喽!有需要无线覆盖或疑问的请加QQ:892336310,本人愿尽绵力!祝大虾们工作愉快,合家欢乐!

benshaobing 发表于 2012-4-9 16:21

好贴,学习了

tange 发表于 2012-4-9 16:36

比较系统性的。楼主原创的么?要是就加分了~~~
页: [1] 2 3 4
查看完整版本: 企业无线网络工程(吐血分享)-无线第二季