AP电源的供给对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素;为了解决这上述问题,我们采用支持IEEE802.3af标准的PoE供电AP,因此可以通过位于各个楼层内的POE交换机为每一个AP供电。
分布式的AP部署目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在酒店进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,酒店网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:
为了解决传统有线与无线混合组网存在的上述问题,采用一种被称作“THIN AP”代替传统AP的方法来解决这一问题。此AP本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的无线交换机MX-200的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机取得通信,随后由无线交换机将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置。在AP启动完毕后,AP与无线交换机MX之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入无线交换机,由于数据全部被封入TUNNEL,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。
采用“THIN AP”组网的优势在于:
由于采用THIN AP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。
提供灵活的多业务支持(Multi-SSID)早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如Cisco Aironet系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。本方案提供的可以根据用户属性,动态的分配用户认证方式、加密方法、QoS及所属VLAN,实现了基于用户的动态业务策略。基于用户的动态业务策略能够实现全网范围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多、更为灵活。
AP的集中管理与自动配置在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。由于传统AP是一种称作为“FAT AP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于酒店网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。
而采用Trapeze Mobility System架构下的无线网络,AP是一种被称作“THIN AP”的结构,由于AP本身没有任何需要配置的参数,同时AP与中心无线交换机之间采用CAPWAP协议进行通信,AP的固件、配置信息均由中心的无线交换机MX-200提供,并且AP与Trapeze无线交换之间采用“心跳”机制定时保持通讯,为了解决传统“FAT AP”能够集中管理、配置、升级AP;AP与Trapeze无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给Trapeze RingMaster网管系统,RingMaster工作状态,并记入日志,以被日后查验。
用户认证及加密众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。
本方案支持国际最为先进的认证及加密技术:
基于策略的用户访问控制本方案不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
用户漫游及QoS保障由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300-500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如无线点菜的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
而本方案以无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。另外,本方案还率先支持WMM(Wireless Media-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。
用户动态负载均衡传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。
无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。
例如在正常情况下大厅里有10人左右在点餐,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
无线信号自动优化与调整传统“FAT AP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。
采用本解决方案,支持RF Auto-Tune技术。AP可以监听、扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的无线交换机上,根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,可以动态改变该区域内相关AP的发射功率;当AP报告该区域内有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠。
RF Auto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。
非法信号的侦测、告警感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的网络性能与安全非常必要。
感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的网络性能与安全非常必要。
采用AP组合,能够支持两种模式来对非法电磁信号进行监测:一种方式为AP在做Data AP的同时,每隔一段时间主动进行ActiveScan;另一种方式为AP本身支持双频信号(IEEE802.11a/b/g),若平时只使用IEEE802.11b/g一个频段,则可以将802.11a频段用于监听,(称之为SentryScan)与前一种方式不同的是,此种方式为连续监控。
AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址, Channel,类型及SSID等,自动识别并警告未授权的AP或Ad-Hoc网络,以避免潜在的干扰或与无线入侵者。另外,对于某些重点区域,还可以部署专用 AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。
非法信号的主动反制当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的Attack list中,当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出IEEE802.11 disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全。
无线网络的可扩展性采用基于Trapeze Mobility System系统架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制,还保持着良好的网络可扩展性。Trapeze Mobility System采用了THIN AP+无线交换机架构,AP与无线交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
