1、WLAN网络及安全网络解决方案1192020年5月29日文档仅供参考WLAN网络及安全网络解决方案版本:1.0 5月目录3. 无线网络技术的发展53.1 WLAN协议演进63.1.1. IEEE802.11协议63.1.2. IEEE802.11b协议63.1.3. IEEE 802.11a协议73.1.4. IEEE802.11g协议73.1.5. IEEE 802.11n协议83.2 802.11n技术详细剖析93.2.1. MIMO和空分复用93.2.2. 多频点捆绑103.2.3. 802.11 MAC的优化114. 企业无线网络架构134.1. 组网结构144.1.1. WIBB的部
2、署144.1.2. 无线交换机分布部署154.1.3. 集中部署164.1.4. 集中转发174.2 AP的两层部署和三层部署184.3 VLAN的设计194.4 IP地址的设计214.5 企业AP无线网络覆盖234.5.1 室外覆盖244.5.2 室内覆盖244.6 VoWLAN 部署265. 企业所关注的无线网络特性275.1 两层/三层的无缝切换275.1.1位于相同的无线交换机下的两个AP间的无缝切换285.1.2 位于不同的无线交换机下的两个AP间的无缝切换295.2 更可靠以及更便捷部署的MESH网络305.3 普通POE模式下的吞吐量测试325.4网络动态信道分配335.5 Sm
3、art RF:网络自愈/自动发射功率调整345.6 网络负载均衡355.7 WMM无线服务质量QoS365.8 VLAN Pooling395.9 高度的安全性405.10 高度的可管理性415.11 高度的可靠性415.12 卓越的加密性能416. 无线网络高可靠冗余方案416.1当AP发生故障426.2当链路发生故障426.3当接入交换机发生故障436.4当主用无线交换机和核心交换机链路发生故障446.5当主用无线交换机发生故障447. 无线网络安全方案457.1 基本的安全考虑457.1.1 侵占无线资源457.1.2服务区标示符(SSID):467.1.3(MAC)过滤:467.1.4
4、无线覆盖漏洞477.1.5无线信号干扰477.2 Motorola对无线网络的分析和建议477.2.1无线通讯安全加密487.2.2 防御潜在的无线网络攻击497.2.3 无线网络准入控制NAC507.3 无线入侵保护系统-Airdefense517.3.1 AirDefense的工作流程537.3.2设备的授权分类547.3.3检测连接至网络的非法设备547.3.4非法AP和用户定位567.3.5 非法AP和非法用户的阻断577.3.6 LiveView实时远程数据分析577.3.7 无线网络漏洞评估587.3.8 入侵侦测工具597.3.9 无线网络的入侵防御机制607.3.10 降低误判
5、率的机制617.3.11 报警627.3.12 智能型事件管理机制637.3.13 无线网络故障诊断647.3.14 网络数据取证667.3.15 整合有线网络687.3.16 频谱分析697.3.17 Reporting弹性化的报表707.3.18 符合企业的监管政策707.3.19 无线网络仿真717.3.20 Airdefense-企业级的可扩展性727.4 有线网络的安全方案738. 无线网络管理方案768.1配置管理768.2性能管理778.3故障管理788.4安全管理798.5备份管理793. 无线网络技术的发展 无线局域网,也被称为WLAN(Wireless LAN),一般用于大
6、楼内部以及园区内部,典型的覆盖距离从几十米到几百米,而Motorola的一些点对多点的设备可达几十公里,点对点设备甚至可达200公里。当前所采用的技术主要是802.11a/b/g/n。从1997年开始到 这 间,802.11WLAN技术从最早基于调频技术的802.11到最新的802.11n,支持的速率从最早的的2M发展到现在的802.11n的300M(单频)和600M (双频),吞吐量提高了300倍。 在WLAN技术发展过程中,Motorola最早参与制定无线网络标准的厂商之一。Mtorola公司在无线网络技术领域拥有非常高的权威和声誉,是IEEE802.11组织的五大缔造者和核心成员之一;是
7、WiFi组织的主要发起人和召集人;Motorola公司多次当选为IEEE802.11组织的轮值主席。 WLAN利用无线技术在空中传输数据、语音和视频信号,作为传统布线网络的一种替代方案或延伸。无线局域网络的出现使得原来有线网络所遇到的问题迎刃而解,它能够使用户任意对有线网络进行扩展和延伸。只要在有线网络的基础上经过无线接入点,无线网络、无线网卡等无线设备使无线通信得以实现。在不进行传统布线的同时,提供有线局域网的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用,无线局域网把个人从办公桌边解放了出来,使她们能够随时随地获取信息,提高了员工的办公效率。对于传统的有线网络,无线局域网的
8、应用价值主要体现在:可移动性:由于没有线缆的限制,用户能够在不同的地方移动工作,网络用户不论在任何地方都能够实时地访问信息。布线容易:由于不需要布线,消除了穿墙或过天花板布线的繁琐工作,因此安装容易,建网时间可大大缩短。组网灵活:WLAN能够组成多种拓扑结构,能够十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络成本优势:这种优势体现在用户网络需要租用大量的电信专线进行通信的时候,自行组建的WLAN会为用户节约大量的租用费用,在需要频繁移动和变化的动态环境中,无线局域网的投资各有回报。而Motorola的整体解决方案具有更低的成本。虽然有些专家将无线LAN列为”商品”市场,但不同解决
9、方案之间仍有很大的差异,难以进行对等比较。 以成本为例,每个厂商都有自己的公式来证明她们的成本是最低的。在比较基本设备时,可能看不出太大的差异,特别是作为升级交换式架构的交换,厂商C会提供很低的折扣。不过,当你开始增加必要配置时,你就会看到资金成本以及运营成本之间的差距拉大。这些配置需要年度维护,费用一般是标价的20%,没有折扣。而这些配置是摩托罗拉的标准配置,包括机箱、机位和电源。 除此以外,摩托罗拉无线企业解决方案无疑是最易于实施和运行的解决方案。特别当您加入自复位、先进的故障排查及稳定的操作系统后,就能够避免大笔隐性无线成本。因此,您的IT工作人员就能把更多的时间用在创造有用的解决方案上
10、,而不是浪费在照顾无线网络上。 3.1 WLAN协议演进3.1.1. IEEE802.11协议 在1997年,IEEE发布802.11无线网络规范协议,这也是在无线局域网领域内的第一个国际上被认可的协议,定义了基本的信令规范和一些服务规范。和其它IEEE802标准一样,802.11主要工作在IS0协议最低两层(物理层和数据链路层)。802.11技术采取跳频技术FHSS和直序扩频技术DSSS。在这个标准中,提供了1M和2M的数据传输率。请注意这1M和2M是编码的速率,实际的吞吐量比编码速率的一半还要小一点。因此802.11的最高的有效吞吐量还不到1M。802.11远远达不到无线通信多媒体信息和视
11、频监控信息传递的要求。3.1.2. IEEE802.11b协议 1999年9月IEEE Task Group B(TGb) 在原来802.11的基础上做了修正,802.11b被正式批准,该标准规定WLAN工作频段在2.4-2.4835 GHz,数据传输速率达到11Mbps,该标准是对IEEE 802.11的一个补充,采用补偿编码键控调制方式,采用点对点模式和基本模式两运作模式,在数据传输速率方面能够根据实际情况在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps的不同速率间自动切换。同样11M也是最高编码速率,802.11b的最高的有效吞吐量在5.5M左右。3.1.3. IEEE 8
12、02.11a协议 1999年,IEEE 802.11a标准制定完成,该标准规定WLAN工作频段在5.15-8.825 GHz,数据传输速率达到54Mbps/72Mbps(Turbo),传输距离控制在10-100米。该标准也是IEEE 802.11的一个补充,扩充了标准的物理层,采用正交频分复用(OFDM)的独特扩频技术,采用QFSK调制方式,可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,支持多种业务如话音、数据和图像等,一个扇区可接入多用户,每个用户可带多个用户终端。 8月,IEEE802.11a协议推出,无线通讯速率能够在6M、9 M、12 M、24 M、36 M、
13、48 M、54 M间,根据通信质量进行调整。54M也是最高编码速率,802.11a的最高的有效吞吐量在25M左右。另外需要注意的是IEEE 802.11a标准工作于5.15-8.825 GHz频带需要执照的。在中国国内5GHz频段还没有开放,产品必须经过无线委员会的批准才能使用。这也带来一个好处就和一些无线企业设备系统完全没有冲突。另外802.11a使用5.8G频段,传输的距离比2.4G距离也稍近一些,因此同样范围部署802.11a的AP数目也会稍多一些。3.1.4. IEEE802.11g协议 IEEE将OFDM等802.11a上的技术应用到2.4G频段上,在此基础上制定了IEEE 802.
14、11g认证标准,该标准拥有IEEE 802.11a的传输速率,安全性较IEEE 802.11b好,采用2种调制方式,含802.11a中采用的OFDM与IEEE802.11b中采用的CCK,做到与802.11a和802.11b兼容.802.11g标准理论上最高数据传输速率可达到54Mbps,在实际应用中,一般有一半的”原始速度”被分组负载、校验和、帧位、错误恢复数据和其它”无用”的信息占用。即使不考虑传播范围和障碍物对性能削弱影响,实际吞吐率也仅能达到最高传输速率的一半甚至更低约为2026Mbps。即便这样,其速率仍远高于802.11b标准5.5Mbps左右的实际吞吐率。 单一模式的802.11
15、g网络可支持三个无重叠或无干扰信道。每个信道可同时达到54Mbps的速度。因此三个无干扰信道的集合数据吞吐率可达到54Mbps3,即162Mbps的理论数据传输速率。而802.11b只能支持三个信道,最高吞吐率仅有11Mbps3=33Mbps。 由于802.11g采用不同的编码和压缩方法,因此它在进行传输时需要向同一频谱范围内的802.11b设备发送低速告警数据包。这一过程将会使已经从802.11g设备的最高有效吞吐率减至2026Mbps(无线网络的一般速率)的速率骤然降至13Mbps左右。如果传输范围内没有802.11b设备,802.11g网络能够全速运行。当这两种标准混合使用时,由于802
16、.11g和802.11b网络使用相同的频谱,它们的吞吐率也必须相同。由于802.11g需要向下兼容802.11b,因此它在部分时间需要以较低速率的”兼容模式”运行,从而性能大幅降低。 802.11g模式的最高有效吞吐量和802.11a相同,最高吞吐量在25M左右。802.11g使用2.4G频段,使用是完全免费的,无需申请。传输的距离比5.8G距离也稍远一些,因此同样距离的路段部署802.11a的AP数目也会更少一些,因2.4G的只有三个可用无重叠或无干扰信道,就需要仔细规划频点,否则会带来冲突,对系统吞吐量有着严重的影响,会导致WLAN系统无法顺利运行。3.1.5. IEEE 802.11n协
17、议 ,IEEE已经确定经过了 802.11n 的2.0草案。802.11n也分成2.4G和5.8G,即802.11 bgn和802.11an,分别和原来的802.11bg和802.11a兼容。相比较于先前的 IEEE 802.11b、802.11a、802.11g等标准,IEEE 802.11n更加侧重于高吞吐量方面性能提升。 802.11n的无线传输速率有了很大的提高。对于使用者来说,速率已经超过了接入层有线局域网交换机的速率。最高速率可达300Mbps,双频能够到600Mbps(双频)。因此802.11n的上行接口使用千兆GE口。而且由于802.11n使用了MIMO技术,有效地降低了多径干
18、扰的影响,有效地改进覆盖距离,而且信号覆盖更加稳定。802.11n预计在 下半年正式经过,2.0草案版本和最终的正式版本相差不会太多,能够经过软件版本升级就来支持正式标准。 802.11n单频300M和双频600M也是最高编码速率。802.11n实际上能够根据需要使用2.4G和5.8G频段,802.11bgn或者802.11an单频最高有效吞吐量在120170M左右,有效地克服了数据、语音、视频同时传输的瓶颈,能够传输更丰富的信息内容。 需要注意的是如果使用2.4G的802.11bgn,同样需要考虑频段规划问题。而且由于802.11bgn能够使用20M或者40M的带宽,如果需要充分发挥802.
19、11n的优势,需要使用40M的带宽,这实际上也是使用了2个频段。因此需要更细致地做频率规划,避免和其它2.4G频段的应用一起造成冲突。 如果使用802.11an,和802.11a一样,由于中国国内5GHz频段还没有开放,产品必须经过无线委员会的批准才能使用。这样带来的好处也是5.8G的可用频点比较多,能够更加合理的规划频点。另外和802.11a相比,802.11an传输的距离会比802.11a距离也更远,同样距离的路段部署802.11a的AP数目也会更少。下表是几种WLAN技术的简单汇总表,技术标准使用频率物理层最高速率受干扰情况802.112.4G2Mbps采用调频技术或直序调频技术,抗干扰
20、能力强802.11a5.8G54Mbps使用OFDM技术,对抗多径干扰能力较好5.8G信道本身干扰较少,因此11a设备受到干扰更少802.11b2.4G11Mbps抗干扰能力一般802.11g2.4G54Mbps使用OFDM技术,对抗多径干扰能力较好802.11n2.4G & 5.8G600Mbps(双频)使用MIMO技术和多频捆绑技术,有效提高吞吐量和覆盖距离,具有很强的抗干扰能力 综合上面的802.11协议发展的情况的比较分析,802.11n技术无疑是WLAN发展的趋势,最符合长远用户的投资收益,下面我们对802.11n进行更详细的技术剖析。3.2 802.11n技术详细剖析 802.11
21、n 结合了多种技术,其中包括 Spatial Multiplexing MIMO(Multi-In, Multi-Out)(空间多路复用多入多出)、20和 40MHz 信道和双频带(2.4 GHz 和5 GHz),同时又能与以前的 IEEE 802.11b/g 以及802.11a设备兼容。802.11n在高吞吐量上和覆盖距离都有比较大的突破,是下一代的无线网络技术的标准。3.2.1. MIMO和空分复用 MIMO(多入多出)或MTMRA(多发多收天线)技术是无线移动通信领域智能天线技术的重大突破,该技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率,是新一代移动通信系统必须采用的关
22、键技术。MIMO系统在发射端和接收端均采用多天线(或阵列天线)和多通道。传输信息流S(k)经过空时编码形成N个信息子流Ci(k),i=1,N。这N个子流由N个天线发射出去,经空间信道后由M个接收天线接收,多天线接收机利用先进的空时编码处理能够分开并解码这些数据子流。这样,MIMO系统能够创造多个并行空间信道,解决了带宽共享的问题。802.11n天线数量能够支持到33,同时传送两路流量,比802.11g增加了n倍。 MIMO实际上有效利用了多径干扰,利用多路不相关的传输信道进行空分复用。将MIMO与OFDM技术相结合,就产生了MIMO OFDM技术,该技术经过在OFDM传输系统中采用阵列天线实现
23、空间分集,提高了信号质量,并增加了多径的容限,使无线网络的有效传输速率有质的提升。得益于将MIMO与OFDM技术相结合而应用的MIMOOFDM技术,802.11n在支持2.4GHz频段和5GHz频段的基础上,使无线传输的质量和速度得到极大提升。 而为了提升整个网络的吞吐量。 而在天线方面,智能天线技术的应用也解决了802.11n的传输覆盖范围问题,经过多组独立天线组成的天线阵列系统,动态地调整波束的方向,使得802.11n能保证用户能接收到稳定的信号,同时也能有效减少其它噪音信号的干扰,使无线网络的传输距离大大增加,移动性大大增强。3.2.2. 多频点捆绑 IEEE 802.11n经过将两个相
24、邻的20MHz带宽捆绑在一起组成一个40MHz通讯带宽,在实际工作时能够作为两个20MHz的带宽使用(一个为主带宽,一个为次带宽,收发数据时既能够40MHz的带宽工作,也能够单个20MHz带宽工作),这样可将速率提高一倍。同时,对于IEEE 802.11a/b/g,为了防止相邻信道干扰,20MHz带宽的信道在其两侧预留了一小部分的带宽边界。而经过频带绑定技术,这些预留的带宽也能够用来通讯,从而进一步提高了吞吐量。下图是2.4G频段在20M和40M的频谱分布图,我们能够看到2.4G很难进行40M带宽频率的分配。下图是5.8G频段的分布图,我们能够看到在5.8G更容易进行40M带宽的分配。3.2.
25、3. 802.11 MAC的优化 802.11abg在信道的竞争中所产生的冲突,以及为解决冲突而引入的退避机制都大大降低了系统的吞吐量。802.11n还对802.11标准的单一MAC层协议进行了优化,改变了数据帧结构,对数据帧进行聚合,增加了净负载所占的比重,减少管理检错所占的字节数大大提升了网络的吞吐量。802.11n为了解决MAC层的问题,采用了以下技术: A-MSDUA-MSDU技术是指把多个MSDU经过一定的方式聚合成一个较大的载荷。这里的MSDU能够认为是Ethernet报文。一般,当AP或无线客户端从协议栈收到报文(MSDU)时,会打上Ethernet报文头,这里我们称之为A-MS
26、DU Subframe;而在经过射频口发送出去前,需要逐一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起,并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC头的开销,同时减少了应答帧的数量,提高了报文发送的效率 A-MPDU 与A-MSDU不同的是,A-MPDU聚合的是经过802.11报文封装后的MPDU,这里的MPDU是指经过802.11封装过的数据帧。经过一次性发送若干个MPDU,减少了发送每个802.11报文所需的PLCP Pream
27、ble、PLCP Header,从而提高系统吞吐量。 Block Acknowledgement 为保证数据传输的可靠性,802.11协议规定每收到一个单播数据帧,都必须立即回应ACK帧。接收端在收到A-MPDU后,需要对其中的每一个MPDU进行处理,并针对每一个MPDU发送应答帧。而Block Acknowledgement经过使用一个ACK帧来完成对多个MPDU的应答,以降低这种情况下ACK帧的数量。Short Guard Interval Short GI(Guard Interval)是802.11n针对802.11a/g所做的改进。射频芯片在使用OFDM调制方式发送数据时,整个帧是被
28、划分成不同的数据块进行发送的,为了数据传输的可靠性,数据块之间会有GI,用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延,如果后续数据块发送过快,会和前一个数据块形成干扰,而GI就是用来规避这个干扰的。11a/g的GI时长为800us,而Short GI时长为400us,在使用Short GI的情况下,可提高10%的速率。另外,Short GI与带宽无关,支持20MHz、40MHz带宽。4. 企业无线网络架构 传统的无线网络构架,是由网络访问接点Access Point(以下简称胖AP)来实现的。胖AP是个单点设备,也就是说,每个胖AP有自己独立的运算
29、单元CPU、存储内存和管理软件,当我们构成一个大中型的网络时,这些单点之间并没有太多的相关性,管理和维护很不方便。同时在漫游切换过程中,胖AP与有线网络之间需要频繁更新路径信息,使得切换时延大大增加。 因此,在企业,摩托罗拉建议使用无线控制交换机对所有AP接入点进行统一的管理和配置。 使用中央无线控制交换机有以下好处: 系统具有和有线网络构架的无缝整合性:无线控制交换机系统重新定义了对无线网络的构架,使之和有线网络一样具有接入层和交换层。这种结构让我们的IT管理更易于理解和掌握。经过虚拟子网的构架将无线系统有机地结合到整个企业网络中,网络的规划不是独立,而是与企业的有线网络结合在一起。系统具有
30、多重安全性:无线控制交换机固有的安全机制由访问控制、身份验证和数据加密等一整套完整的体系组成,能够在企业网络的不同层次上进行部署,从而形成分层式的安全模式,提供非常强健的端到端安全性。同时我们也提供基于物理层(无线电波)的安全防护AirDefense系统,一套可选的安全防护系统将彻底屏蔽无线网络黑客的侵袭,这是一个非常完美的解决方案。 系统具有高度的可管理性和可维护性:无线控制交换机体系对于硬件、软件配置和网络策略进行统一管理,向所有接入点自动部署配置,大大降低了初始化工作量。同时,系统的维护非常方便,无需专业管理人员,接入端能够作到即插即用,节省了日常维护成本。 系统具有高度可扩展性:无线控
31、制交换机的集中式特性使之能够方便地扩展,无线接入端能够扩展使之适应未来出现的新的无线接入标准,交换机管理系统能够轻松升级以满足企业对无线网络新的要求,如802.11i或AES等,是一套具有很高投资保护的系统。4.1. 组网结构 当前各个企业的核心数据机房一般放置在IDC机房或者总部的机房内,经过租用运营商专线连接到各个分部。对于租用的运营商的专线,能够使用WIBB产品(无线桥接设备),能够提供高达300M的实际速率。对于无线交换机的放置有两种放置方式,一种是无线交换机放在每个分部,管理各个所属区域的AP。另一种方式是无线交换机集中放在IDC机房或者总部的机房内管理各个分部的AP。Motorol
32、a下面详细描述WIBB产品的部署和无线交换机放置的两种部署方式:4.1.1. WIBB的部署 当前大型企业在同一城市都开设有分部,或者在企业占地面积大楼宇众多。各个分部和总部之间的数据通信只能依靠租用运营商的专线链路来实现,而各个楼宇之间的通信需要进行挖沟布线来实现,大大增加了通信的成本,而且不利于随着业务的发展而及时的调整网络架构。采用WIBB来部署实现分部与总部、楼宇之间的通信,有利于节约通信的成本和及时的调整网络架构。 楼宇之间的部署 一般情况下各个楼宇之间位于同一个院区内,楼间的距离比较近,而且是一对多的通信模式,点对多点的设备进行连接和汇聚。Motorola的点对多点设备通信距离最远
33、距离可达18公里,每个扇区角度为60度,能够实现45Mbps的全双工实际吞吐量,如果进行全方位360度的覆盖,中心点吞吐量可达270Mbps的全双工实际吞吐量。 分部和总部之间的部署 分部和总部之间的距离位于一个城市内,距离比较远可达几十公里或一两百公里,而且数据量大。这种情况下,我们建议使用点对点的设备进行连接。Motorola的点对点设备通信距离可达250公里,能够实现300Mbps的实际吞吐量。 总院点对点点对多点分院楼宇分院楼宇 4.1.2. 无线交换机分布部署 分布部署方案是相对比较传统的部署方式,部署比较简单。在这种部署方案中,无线交换机放在各个分部,管理各自所属区域的AP。在无线
34、交换机上的配置能够自动下载到AP。网络架构如下所述:1. 现有的核心网络,主要由企业的核心数据服务器以及对应的核心交换机以及智能负载分担设备和网络管理设备组成。2. 各个分部局域网,主要由无线交换机和分部的AP组成,本地的无线交换机只能管理本地的AP,无线交换机和AP之间采用以太网进行连接。而且AP能够采用二层或者三层部署。分布部署的层次清楚、每个分部所都具有相对独立的管理权限4.1.3. 集中部署 集中部署方式为一种扁平化部署的方式,在这种部署方案中,无线交换机不再放在每个分部,而是统一放置在总部。所有的AP都由位于IDC或者总部机房的无线交换机管理。网络架构如下所述: 现有的核心网络,主要
35、由企业的核心数据服务器、对应的核心交换机、智能负载分担设备、无线交换机、网络管理设备组成。 各个分部局域网,主要架设AP组成,各个分部的AP全部由位于IDC或者总部机房的无线交换机统一管理。这种模式下,建议AP采用三层部署。 这种集中部署的优点在于集中化管理以及节省大量投资,整个分部的无线网络策略由总部统一制定下发到每个分部的AP,各个分部无需部署无线交换机,从而节省了大量投资。对于集中部署的方案来说还有两种转发方式,集中转发和本地转发。集中转发是传统瘦AP的转发技术,而本地转发是Motorola无线交换技术的一大创新。集中转发和本地转发的区别主要在于AP和无线交换机数据传输方式不同,分别试用
36、于不同场合。Motorola的无线交换机同时支持这两种模式,下面我们对这两种模式进行比较:4.1.4. 集中转发在传统的瘦AP技术中,瘦AP和无线交换机需要同时建立控制隧道和数据隧道。 控制隧道用来传输AP和无线交换机之间的信令,如用户的身份认证信息、心跳信息以及配置信息的下发以及状态信息的上传;数据隧道用来传输用户的实际数据,所有用户的数据到达AP后,AP将这些用户数据封装到AP到无线交换机的数据隧道中,在无线交换机从数据隧道收到这些数据包后,解包后再更加用户数据包进行数据转发。因此所有用户的数据都会经由无线交换机,数据有迂回,数据传输的路径不是最优的。当同时进行大量数据传递时,无线交换机将
37、成为性能的瓶颈。 4.1.5 本地转发 Motorola率先推出的本地转发模式克服了集中转发的弊端。在本地转发模式中,瘦AP也具有一定的智能性。瘦AP和无线交换机只建立一条隧道:控制隧道,用来传输用户身份认证信息、AP和无线交换机之间的信令,如心跳信息以及配置信息的下发以及状态信息的上传。用户的实际数据不再封装在隧道里,而是由瘦AP直接进行进行数据转发。同时进行大量数据传递时,不再出现无线交换机的瓶颈问题。在本地转发模式下数据无迂回,数据传输的路径是最优的。4.2 AP的两层部署和三层部署 集中控制型AP的部署方式能够分为两层部署和三层部署。1. 两层部署是指AP和无线交换机在同一个网段内,A
38、P和无线交换机之间经过两层数据帧进行相互通信,无线用户的数据包也封装在两层数据帧里经过AP传送给无线交换机。两层部署无需增加任何设备。可是两层部署需要保证AP和无线交换机在一个VLAN里。 2. 三层部署是指AP和无线交换机在不同网段内,AP和无线交换机之间存在三层设备如:路由器或者三层交换机。AP和无线交换机之间经过三层IP包进行相互通信,无线用户的数据包也封装在三层IP包里经过AP传送给无线交换机。在三层部署时,AP能够静态设置或者动态获取。在三层部署的情况下, 无线交换机只要和AP IP地址可达。AP IP地址静态配置情况无需增加任何配置。在AP地址动态获取的AP能够经过DHCP Opt
39、ion 189动态学习无线交换机的IP地址列表。4.3 VLAN的设计 一般厂家的无线网络产品在网络规划时都需要二层交换机连接或者划分VLAN,否则将导致整体性能的降低和漫游特性的缺失。 在Motorola的无线网络中,VLAN分为AP接入VLAN和用户接入VLAN,这两个VLAN是完全独立的。AP接入VLAN仅仅是保证AP和无线交换机建立WISPe Tunnel,真正和用户相关的是用户接入VLAN,这个VLAN位于无线交换机和汇聚层交换机连接的链路上,这个VLAN决定了无线用户获得的地址。 如上图所示: AP 所在的VLAN 为VLAN 10,无线用户的VLAN为VLAN100 ,AP获得1
40、92.168.1.0/24的地址,这个IP 地址能够经过DHCP 服务器或者是以静态IP 地址方式配置在AP 上。由于无线用户的传输是经过AP 内已建立的WISPe 隧道和无线 交换机互连的,获得10.1.1.0/24的地址。因此实际上无线用户的VLAN 是无须在接入层和汇聚层存在。当大规模开展无线局域网时,就无须把在不同接入层上新增的无线终端VLAN/IP 子网逐一在局域网上打通。无线用户的VLAN 是可透过无线 交换机和骨干交换机互连互通。事实上,Motorola的无线交换机对于接入AP的VLAN没有任何要求,只要IP地址可达,经过广域网链路都能够。无线交换机也能够统一管理所有AP。由于M
41、otorola 的AP 是经过WISPe 的隧道连接到MOTOROLA 交换机上,因此Motorola 产品在规划上能够完全不改变原有的网络结构,同时实现无缝的二三层漫游。而且所有的AP 都统一规划统一集中管理。 下面详细叙述一下无线交换机在规划配置实施时需要考虑的问题:1. AP 的VLAN 和无线用户的VLAN 第一代的无线局域网对AP 所在的VLAN(AP 为网络设备)和无线用户所在的VLAN 是没有明确的区分。第一代无线组网无论对无线用户、AP 和网络的管理都有一定困难,而且很容易造成混乱。对网络管理而然,网络设备的VLAN/IP 子网应当和用户是分开,这样才可确保正常网络运行和维护。
42、但在具体实施时,很多为了方便都会把AP 和无线用户设置在同一个VLAN 内。这种组网方式在现今的非常普遍,因此一般用户都误解无线局域网的SSID为局域网的VLAN。2. VLAN 和无线SSID 的关系 一般用户都误解无线局域网的SSID 为局域网的VLAN,这可能是由于第一代的无线局域网都是经过”FAT AP”组网的原因。其实二者之间的关系并非是一对一,即一个SSID 必须对应有一个VLAN。当然把一SSID 设定在一个VLAN 内对传统的无线局域网只能够支持第二层的无线用户漫游是唯一可实现的方式。但这样的组网必须在现有的网络上做出很多改动,AP 数量多时,无线用户VLAN/IP 子网也增多
43、,无线用户IP 子网在局域网内必须全打通,(即汇聚层和骨干层的路由开通)否则无线用户就不能访问局域网上其它网点,包括在不同接入层的无线用户。 MOTOROLA 交换机组网,当无线用户加入到无线网上的一个SSID 时,很容易与VLAN 绑定,无线用户漫游到不同AP 上,因SSID 的缺省VLAN 实际上是穿越接入层到MOTOROLA 交换机上,用户的VLAN 是无需在每个接入层上开通。但亦有可能SSID 在不同的AP 接入点时,它设置的缺省VLAN 是不一样的。当有这样的情况出现时,无线用户从一个AP 接入点漫游到另一个AP 接入点时, DHCP 协议应会重分发给无线终端新的IP 地址,但如果无
44、线终端的IP 地址更新的话,它先前建立的所有应用连接就会被切断。这样的无线局域网实际上就不能支持跨三层无线漫游。在公司网络中实现无线局域网接入,不需要在现有的局域网上做很多路由的修改,MOTOROLA AP 所在的VLAN 和无线用户的VLAN 是独立分开的,用户只须在MOTOROLA AP 的接入点分配给它IP 地址即可,这个IP 地址能够是经过DHCP 服务器来分发,能够是以静态IP 地址方式配置在MOTOROLA AP 上。由于无线用户的传输是经过MOTOROLA AP 内已建立的WISPe 隧道和MOTOROLA 交换机互连的,因此实际上无线用户的VLAN 是无须在接入层和汇聚层存在。
45、当大规模开展无线局域网时,就无须把在不同接入层上新增的无线终端VLAN/IP 子网逐一在局域网上打通。无线用户的VLAN 是可透过MOTOROLA 交换机和骨干交换机互连互通。4.4 IP地址的设计 IP 地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响。在对IP 地址进行规划建设的同时,应充分考虑本地网对IP 地址的需求,以满足未来业务发展对IP 地址的需求。 IP 地址规划遵循以下几点: IP 地址的规划与划分应该考虑到IP 网络的飞速发展,能够满足网络未来发展的需要;既要满足本期工程对IP 地址的需求,同时要充分考虑
46、未来业务发展,预留相应的地址段。IP 地址规划应该是网络整体规划的一部分,即IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。 经过预测网络的规模,应该为一个网络区域分配的网络地址留有一定的容量,便于系统扩展。大型局域网规划,应该首先把整个网络划分为几个大区域,方法是根据地域、设备分布及区域内用户数量来划分,每个大区域又能够分为几个子区域,每个子区域从它的上一级区域里获取IP 地址段(子网段)。这种方式充分考虑了网络层次和路由协议的规划,经过聚合网络减少网络中路由的数目和地址维护的数量,充分体现了分层管理的思想。尽量保证本地网内IP 地址的较大范围的连续性,经过汇总缩小路由表,提高转发效率。IP 地址的分配必须采用VLSM 技术,保证IP 地址的利用效率。采用CIDR 技术,这样能够减小路由器路由表的大小,加快路由器路由的收敛速度,也能够减小网络中广播的路由信息的大小。充分合理利用已申请的地址
浙ICP备2021020529号-1 | 浙B2-20240490 
