在一两年前,当家庭用户已经在热情拥抱无线技术的时候,商业用户却表现出了十足的谨慎态度。在商业领域,绝大部分公司都认为使用无线技术就是在自己的安全体系上打开一个漏洞。并且无线网络的规模越大,你需要的AP越多,管理费用就越高,维护费用也越贵。但是另一方面他们又难以抵抗来自无线的便捷。 随着无线网络在传输性能、网络安全等方面所出现的翻天覆地的重大革新,以及许多无线应用的应运而生,更多的企业用户开始愿意采用无线网络。如今,越来越多的厂商致力于提供真正意义上的企业级无线解决方案,即基于“无线交换机+瘦AP”架构的产品。 什么是“无线交换机+瘦AP” 我们现有的无线局域网(WLAN)架构基本上都是采用了智能型接入点(胖AP)的传统分布式结构。它面临的问题显而易见:对AP必须逐一管理、单个进行;不可能在整个系统内查看到网络可能受到的攻击与干扰,从而影响了负载平衡的能力;AP不能区分无线话音等实时应用与数据传输应用的不同需求;如果某个接入点遭遇盗窃或破坏,安全将得不到保证。而以WLAN无线交换机为核心+简单接入点(瘦AP)的集中式管理架构会成为未来的发展方向。该架构通过集中管理、简化AP来解决这个问题。在这种构架中,无线交换机替代了原来二层交换机的位置,“瘦”AP取代了原有的企业级AP。通过这种方式,就可以在整个企业范围内把安全性、移动性、QoS和其他特性集中起来管理。 “无线交换机+瘦AP”优势 同传统智能接入点(胖AP)架构相比较,简单接入点(瘦AP)具有下列优势: 1. 瘦AP具有多层物理MAC地址,每个用户群都可以与同一AP的不同MAC地址通信,使用户与AP之间变成单通道通信,而非传统AP的广播信号,从而延长了移动设备的使用时间,提高了用户的工作效率。 2. 以往的胖AP不仅有内存与数据处理芯片等高成本部件,而且都具有IP地址,成为黑客攻入整个局域网的窗口和整个网络的安全漏洞。集中架构下的瘦AP只有多层MAC地址而没有IP地址,对WLAN交换机的多重保护使黑客很难获取它的IP地址,从而实现了真正的二层加密,大大提高了局域网安全的门槛。 3. 虽然分布式智能AP架构也可通过引入VPN 网关或防火墙等方式提高安全性能,但整体成本将进一步提高。而只需通过一个中央WLAN交换机即可将AP配置策略的集中式架构,不仅使部署更为简单,总体拥有成本也大大降低。 4. 这种集中式无线架构更易于升级,只需将前端成本低廉的AP更换和融入为不同标准,未来的WLAN交换机也可以支持WiMax、RFID甚至3G的设备。 下面我们来看看两款“无线交换机+瘦AP”架构上的无线交换机设备产品。 无线交换机产品 D-Link DWS-3024/DWS-3026 千兆无线交换机 498)this.style.width=498;" border=1> 图:D-Link DWS-3024/DWS-3026 千兆无线交换机 产品简介 D-Link DWS-3024/DWS-3026 二层千兆无线交换机为商业环境中的无线网络应用进行了最优化。通过这些设备,商业用户可以拥有高性能的 ,安全的,并且可管理和升级的一体化有线/无线局域网交换模式。通过combo SFP,可选10G连接的开放式插槽1以及基于以太网供电和冗余电源(RPS),这些千兆无线交换机使企业能轻易的升级到下一代802.11n无线局域网,无线设备的应用简便并且不受物理位置的影响,对安全的无线移动性和策略的执行提供集中管理。 产品功能特性 24个千兆端口, 端口使用无限制 每个DWS-3024/DWS-3026提供24个10/100/1000BASE-T千兆端口和4个comboSFP。每个10/100/1000BASE-T端口可连接一个无线介入点或者一个局域网设备,比如服务器,网络存储设备,或者另一个局域网交换机.combo SFP允许连接柔软光纤,而10G可选模块1允许交换机间无瓶颈堆叠或者连接高速光纤主干。 高性能,应用简便 针对配线房的分布式应用,每个无线交换机能支持最多48个无线接入点。硬件预先支持下一代更高速的802.11n无线标准设备千兆传输速率。关于电源管理,DWS-3024/DWS-3026允许管理员设置AP的传送输出电源以满足个别国家的规定,并且可在需要时远程重新启动AP。 简化的配置和应用 通过一个集中管理平台,网络维护和配置过程变得更加有效率。如果有任何一个接入点无法访问,管理员可以立刻识别出无法访问的AP所在位置并且立即用另外一个AP替换它。DWS-3024/ DWS-3026交换机将自动使用之前AP的相同配置对新的AP进行设置。 最高性能 除了进行增强的二层转发,DWS-3024/DWS-3026也提供三层和四层服务以及身份跟踪功能。得益于交换机间漫游,网间漫游和AP到交换机的千兆速率传送,使得不同AP间能迅速漫游,并提供一些弹性功能,比如冗余负载分配千兆连接,802.1q VLAN流量分段和致命IGMP侦测,以便支持IP多播数据流。 最大网络保护 每个连接到无线网络的用户要通过一个严格的认证过程以确保最大的安全性。安全协议包括WPA/WPA2,802.1x用户认证和802.11i标准安全。 可扩展、和安全认证 扩展简便,支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由,简化并且一体化了一个特别复杂的WLAN环境,轻松的为将来的技术升级准备了一个现有的网络,为用户提供最大投资保护;虚拟个人工作组身份,加密类型,认证,位置跟踪和关联网络统计等安全认证,无论漫游到任何网络,用户始终保留认证。 产品规格 规格 内容 设备接口 - 24个10/100/1000BASE-T 集成802.3af PoE的千兆端口 - 4个Combo SFP插槽 - RS-232 Console端口 - 2个可选10G模块 1的开放插槽 二层特性 - MAC 地址表容量:8K的条目 - IGMP 侦测:1K多播组 - 分布树: 8021.D分布树 802.1w快速分布树 802.1s多分布树 - 802.3ad 链路聚集: 最多32个工作组 每个工作组最多8个端口 - 端口监视: 一对一端口监视 多对一端口监视 - 大数据帧长度:最大9KBytes 冗余电源 - 可选外部DP-600 RPS连接器 基于以太网供电 - 标准:802.3af - 每个端口输出功率:15.4 W - 总输出功率 : 370 W - 端口电流超过350mA自动禁用 - 线缆要求:在RJ-45端口运行PoE使用5类UTP或者STP的第4,5(节点)和7,8针(返回)Category 5 UTP or STP 性能 - 交换机性能: DWS-3024: 48Gbps DWS-3026: 88Gbps - 最大转发速率: DWS-3024: 35.71Mpps DWS-3026: 65.47Mpps - 交换模式:存储转发 - 包缓存容量:750KBytes 流控制 - 全双工模式802.3x标准 - 半双工模式背压流控 可选10G级联模块 - DEM-410X 1-插槽10-Gigabit XFP模块 (用于连接光纤主干) - DEM-410CX 1-插槽10-Gigabit CX4模块 (用于交换机堆叠) 可选10-Gigabit XFP收发器 - DEM-421XT XFP 收发器 (10GBASE-SR标准,多模光纤最大距离300 m,3.3/5V工作电压) - DEM-422XT XFP收发器 (10GBASE-LR标准,单模光纤最大距离10 km,3.3/5V工作电压) - DEM-423XT XFP收发器 (10GBASE-ER标准,单模光纤最大距离40 km,3.3/5V工作电压) WLAN管理能力 - 最多48个AP (直接连接或通过局域网交换机间接连接) - 最多512个无线用户 漫游 - 快速漫游 - 交换机间漫游 - 网间漫游 访问控制和带宽管理 - 每个AP最多16个SSID (每个RF频段8个SSID) - AP负载平衡 AP管理 - AP自动发现 - AP远程重新启动 - AP 监视:列出受管理的AP,非法AP,认证失败的AP - 客户端监视:列出与每个受管理的AP相关联的客户 - Ad-hoc客户端监视 - AP认证支持本地数据库和外部RADIUS服务器 - 集中的RF/安全策略管理 WLAN安全 - WPA个人/企业级 - WPA2个人/企业级 - 64/128/152位WEP数据加密 - 基于RF信道,MAC地址,SSID和时间的无线工作站和AP分类 - 基于MAC地址的非法和有效AP分类 - 支持加密类型:WEP,WPA,动态WEP,TKIP,AES-CCMP,EAP-TLS,TTLS,PEAP-GTC,PEAP-MS-CHAPv2,EAP-FAST VLAN - 802.1QVLAN标记 - VLAN工作组: 最多4094个 - GVRP 三层特性 - IPv4静态路由 - 路由表容量: 最多128条静态路由 - 浮动静态路由 - VRRP 服务质量 - 802.1p优先级序列(每个端口最多8个序列) - CoS 基于:交换机端口,VLAN, DSCP,TCP/UDP端口,TOS,目的/源MAC地址,目的/源IP地址 - 带宽控制: 64Kb/s粒度 ACL(访问控制列表) - ACL基于:交换机端口,MAC地址,802.1p优先级序列,VLAN,以太网类型 段,DSCP,IP地址,协议类型,TCP/UDP端口 LAN安全 - RADIUS认证进行访问管理 - TACACS+认证进行访问管理 - SSH v1,v2 - SSL v3 - 端口安全: 每个端口20个MAC地址 陷阱损害通知 - 802.1x基于端口访问控制 - 拒绝服务攻击保护 - 0到255Kps粒度的广播风暴控制 管理模式 - 基于Web的图形用户界面 - Telnet服务器:最多5个对话 - TFTP客户端 - 多个配置文件 - BOOTP/DHCP客户端 - SNTP - 双镜像 网件 WFS709TP 千兆无线交换机 498)this.style.width=498;" border=1> 图:网件 WFS709TP 千兆无线交换机 产品简介 网件 WFS709TP 智能无线控制器是一款全特性的控制器,可集中管理16台无线接入点,为有线和无线用户提供了完整的无线漫游,安全以及整合服务。 每台 WFS709TP 智能无线控制器支持最多256个用户,并且所有8个10/100端口都支持 PoE 供电。特别增加了一个千兆以太网端口,用于把无线控制器连接到网络骨干。WFS709TP 支持众多高级安全特性,诸如802.1x,EAP-PEAP,EAP-TLS,EAP-TTLS,802.11i,MAC 地址、SSID 以及基于位置的认证。 带有身份认证的安全特性,比如支持 RADIUS、LDAP 和 AAA 服务器,网件 WFS709TP 智能无线控制器能真正的统一有线和无线网络,而没有降低安全性。 产品功能特性 部署 WFS709TP 能集中管理、配置、监控以及控制您的无线架构,可作为原有的网络基础的总包层。支持多级部署结构,包括分等级的单独设置控制器为 master/local 模式。当 NETGEAR ProSafe 智能无线控制器能配置为“master” 模式时,可管理整个无线网络的所有配置和安全参数。另外,WFS709TP 还能配置为 “local” 模式,作为 “master” 控制器的策略执行点,成为分级设置的一部分。最多支持32个无线接入点;而配置为非冗余的 master/local 模式时,最多支持48个无线接入点。一台独立的WFS709TP可以支持16台无线接入点 IntelliFi RF 管理 针对成长型的商业企业 NETGEAR ProSafe 智能无线控制器提供了带有 IntelliFi RF 管理的连续无线覆盖。IntelliFi RF 管理能够自动的自我配置所有无线电参数,包括发射功率水平、信道、负载平衡和干扰规避。 接入点 网络中的无线用户现在可以在 ProSafe 智能无线控制器统一规划的多个 AP 之间无缝的漫游了。所有用户状态,包括安全和移动信息,都在智能无线控制器上集中进行维护。支持的无线接入点包括 NETGEAR ProSafe 双频瘦无线接入点(WAGL102)和 NETGEAR ProSafe 802.11g 瘦无线接入点(WGL102)。 RF 计划工具 使用完善的 RF 计划工具,管理员可输入建筑平面图,楼层数,建筑尺寸,需要覆盖的范围以及容错重叠因素。计划工具计算建筑预测的 RF 特性,测定 AP 最理想的位置,并显示预测的覆盖范围。 访客接入和冗余 通过内置的 captive portal,让来访客户只能使用有限的访客级别权限进入无线网络,从而防止他们接触到敏感的企业数据网络。对于网络冗余,WFS709TP 提供硬件容错,包括工业标准的 N+1无线控制器冗余和接入点交错形成的接入点冗余,最大限度的保证了可用性。 产品规格 产品名 智能无线控制器 物理规格 - 尺寸:4.45 x 44.2 x 33 cm(1.75 x 17.4 x 13 英寸) - 重量:4.5 公斤(10 磅) 硬件信息 - 外部功率:最大200W - AC 输入电压:90-132VAC,180-246VAC - 输入频率:47-63Hz - 内存:Flash/RAM - 256M,Compact Flash - 256M RAM - CPU - 8个10/100Base-T PoE 端口和1 个10/100/1000Base-T 上连端口 - 自动 MDIX-MDI-X - 串行端口:仅用于 console 管理 - 平均无故障间隔 (MTBF):43,800 小时(大约5 年) - LEDs:电源灯,端口配置和活动 - 工作温度:0° - 40°C - 存放温度:0° - 50°C - 工作湿度:10% - 70% - 存放湿度:5% - 95% RH 性能规范 - 控制接入点:16个,平均每台支持16个用户 - NETGEAR ProSafe WGL102 - NETGEAR ProSafe WAGL102 - 用户:256 - MAC 地址:4096 - VLAN IP 接口:128 - 快速以太网端口:8个 - 千兆端口:1个10/100/1000Base-T 端口 - 总吞吐量:1Gbps - 加密吞吐量(3DES & AES-CCM):200 Mbps 无线安全和控制特性 - 802.11i 安全(WFA 认证的 WPA2 和 WPA) - 802.1x 用户和机器认证 - EAP-PEAP,EAP-TLS,和 EAP-TTLS 支持 - 为高速漫游应用提供的802.1i PMK 缓存 - EAP 卸载用于 AAA 服务器量测和存活 - 为独立 AP 提供的可记录状态的802.1x 认证 - MAC 地址、SSID 和基于位置的认证 - 多 SSID 构建多个 WLAN - 基于 SSID 的 RADIUS 服务器选择 - 使用 IPSec 或 GRE 的安全 AP 控制和管理 - 支持集中和分布式的 WLAN 同时管理 基于身份的安全特性 - 有线和无线的用户认证 - Captive portal;802.1x 和 MAC 地址认证 - 为身份绑定用户名,IP 地址,MAC 地址和密钥 - 每个包的身份验证,防止假冒 - 基于 AAA 服务器的 RADIUS 和 LDAP - 内部的用户数据库作为 AAA 服务器的失效保护 - 每用户的使用统计 - 使用基于 Web 的 Aruba Guest-Connect" 的访客登入 - 可为访客接入配置允许的策略 集中特性 - 在汇聚设备上单独 SSID 传递语音和数据 - 使用语音流分级的基于流量的 QoS(VFC) - SIP,Spectralink SVP,Cisco SCCP 和 Vocera ALG - over-the-air QoS 的严格优先级队列 - 支持网络 QoS 的 Diffserv 标记和 802.1p - On-hook 和 off-hook VoIP 客户端检测 - 使用 VFC 的 VoIP 呼叫允许控制(CAC) - 呼叫保留阙值用于移动 VoIP - 确保语音质量的语音察觉 RF 管理 - 确保语音质量的快速漫游支持 - SIP 初期媒体和响铃音形成(RFC 3960) - Port 中继链路聚合 - 每用户和每任务的速率限制(带宽合约) IntelliFi Radio的无线管理特性 - 为受控 AP 自动设置频道和功率 - 同时进行无线监控和终端用户服务 - 基于动态 RF 条件的自愈覆盖 - 密集配置选项提供容量最优化 - 根据用户数量的 AP 负载均衡 - 覆盖盲区和 RF 干扰侦察 - 802.11h 提供雷达探测和规避 无线入侵保护特性 - 综合无线架构体系 - 同时或单独监控性能指标 - 虚假 AP 探测和内置的可见定位 网络特性和高级服务 - 无线和有线的 L2/L3 层交换 - VLAN pooing 提供简易、可升级的网络设计 - 移动 VLAN 提供二层无缝漫游 - 移动 IP 代理和代理 DHCP 提供三层漫游 - 内置DHCP服务器和 DHCP-Relay - 基于 VRRP 的 N+1控制器冗余(L2) - 基于 AP 预备的 N+1控制器冗余(L3) - 802.1d 生成树协议 无线交换管理特性 - RF 计划和 AP 设计工具包 - 集中的 AP 供应和映像管理 - 实时覆盖和形象的 heat map - 详细的统计用于清晰的监控 - 远程抓包用于RF排错 - 可与Ethereal®, Airopeek和AirMagnet |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司