做过的企业无线工程(吐血分享)——无线工程第二季
上个星期,跟大家分享了酒店的无线工程,
其二:现在的无线之所以做到比有线安全,是因为他从外网到内网都能够保护到无线网络不受攻击,现在的无线控制器不单单是个管理无线AP的设备,实际上他更像是无线网络的保护神,
自带的WIP系统从内外网保护企业无线网络不受攻击破坏,
对于客户端来说 802.1X+WEB+WPA2的加密认证 足够保证接入端的安全。这些认证可以独立使用,也可以分开进行设置,要看客户具体的需求,
以 我的经验,如果企业有radius服务器的话,那我们最好用802.1X的无线认证,因为这个可以结合客户域资源,做到企业的有线无线的安全统一认证。另外还可以有效的预防病毒,真正的做到企业无线安全的保证。
二:企业无线的稳定需求
这个是企业的网管朋友又担心的一个问题, 稳定, 现在可能最头痛的就是无线老是掉线的问题,或者老师掉包的问题,而且经过无缘无故的很慢, 那么问题出现在哪里呢,对于大多数无线来讲,干扰是造成这个原因的罪魁祸首,那么造成干扰的原因是什么呢,
原因大概有下面几个:一同频干扰, 二同信道干扰
那么我们现在可以解决下面这些问题了吗,答案是肯定的 又来了 呵呵
瘦AP的结构就因为他能够自动识别周围射频的环境,自动分配AP的信道,达到蜂窝煤式的分布,同时每个厂家都有自己的小技术,比如频道的负载均衡,频段的负载均衡,这些都能有效的解决干扰问题。使无线的环境更加稳定。。(以后再详细讲一块)
三:企业无线的高带宽需求
快速发展的企业对无线的要求越来越高,那么我们能提供更快速,更高的无线带宽是我们企业对无线的更高要求,09年11n的出现,让这一要求成为了现实,现在的无线部署基本上都是11n的无线,但是现在企业大都存在着a/b/g的设备,那么这样环境让我们对带宽需求要求较高的企业比较头痛,
于是我们就针对这样的混杂环境,提出了双频AP的解决方案,针对于11n的新设备,我们可以让他在a/n的频段上去工作,针对于老旧设备,我们可以给他b/g的环境上去工作,两个频段互不干扰。当然最好的办法还是尽快把老旧的终端设备换掉。
这些是企业的基本要求把,之所以比较详细的说这些需求,是以为好多企业的朋友都认为无线不是很安全,很慢等等。
我们把话说回来,XX集团对这些需求肯定是需要的,
上张图,这张是XX集团的无线连接拓扑图,呵呵 大家说说有什么不懂的地方吗?
XX集团的应用需求:
一:满足集团总部大楼的无线全覆盖及分部的无线全覆盖(覆盖要求)
二:SSID需求:一个供员工使用,一个供客户使用,一个供语音使用
三:分别对员工和客户的使用权限划分(员工与域认证结合,客户使用WEB页面认证)同时对终端进行智能管理(新颖)
四:分公司与总部的GOLBE无线的统一,即分部的无线功能与总部无线功能一样(潮流),换句话说,分部的SSID也是三个,切功能和总部一样。 并且AP让总部统一管理
五:RF射频智能优化,各种非法AP的仰止,非法用户的识别与仰止。(干扰)
这5个大体的需求,不能不说这个集团的IT对无线系统的提出了更高的要求,也反应了当今企业的IT对无线的认识越来越高。 当然这些需求也是需要你引导客户的。毕竟为他们着想的话更能体现你的解决方案的魅力所在。这个时候越是对无线功能感兴趣的网管,我们越好沟通,毕竟能够帮他们解决技术难题,项目也就成功了一半了
通过对现场的勘测和信号的测试,AP的数目也有了具体的数字,具体的测试方法已经在上面酒店的测试中介绍过了,就不啰嗦了,上图吧
点位设计
可以看出图中的衰减在绿色的区域都是高于65dbm的 ,对于数据的传输和语音的通话都是没有问题的,根据衰减图,我们可以得出AP的点位规划和数目,从而确定控制器的型号。。也就是下面设计到的组网设计
无线网的组网设计具体可以分为两个部分
控制器的设计,
这个是整个无线工作的大脑,策略认证的限制都会做在上面,可以根据AP的数量,以及客户用户数目来选择控制器的型号,考虑到日后无线系统的扩展,AP数增加,无线控制器的上联接口势必会成为数据传输的瓶颈,所以我们推荐使用支持三个以上千兆端口的无线控制器,一方面可以保证有足够的传输带宽,另一方面是可以减少用户的反复投资。也就是ARUBA的3000系列,最大支持128个AP 也适合主备这种控制器管理模式,很适合中小企业网络的应用。关于AP的设计的话,
设计到的问题是用户是混杂环境,所以选用11n的双频设备,这样对于高密度的部署同样也试用。a/b/g/n的环境比较适合高带宽,高密度部署的环境。。但是还是建议用户尽快的统一使用11n的终端设备,原理的话以后具体会讲到。。。
下面插个技术的话题
有人问到为什么11n的带宽会能满足当今企业的需求,下面给大家介绍一下11n的技术呵呵 献丑了
11n是09年开始投入使用的无线传输机制,他通常运行在2.4GHZ 或者5GHZ的频段上,也就是我们所说的b/g/n 或者a/n
他可以和流媒体,无线VOIP共存,如可以提供更高带宽的视频传送,他的理论带宽是300M/S 但是实际的速率测试也就在100到200M/S之间,他使用MIMO的传输机制,翻译过来叫多输入多输出,实际上就是使用多个天线使传输速率增加和传输范围增大, 在一定的时间内,传输更多的东西,所以我们感觉速率快了很多,同时他又在频道上使用更宽40MZ的频道传输,我们了解到所有的802.11设备都使用天线发射(传播)无线电波。基本偶极天线会将这些电波向所有方向发射,这有点像往平静水池里丢一个小石头所产生的水波。想象一下,当这些水波碰到水池的边缘时会发生什么?会有一些水波在碰到墙壁后被反弹回来,然后与基本还在向前的水波发生碰撞。当水波发生碰撞时,会有一些波纹变得更高而有些则会变小或消失。
类似的情况发生在无线电波遇到发射器和接收器之间的门窗或其他阻挡物上。这就是我们所说的多重路径(Multi-path)现象,它会导致同一个传输会有许多反射波,从而它到达接收器的次数变得不稳定。在这个过程中,这些反射可能会加强、减弱或者干扰另一个信号。
当供应商开始致力于增加802.11n WLAN速度和性能时,他们会利用到多重路径。具体的就是,每一个2.4GHz或5GHz频道都有非常多的信息。然而,如果你将802.11帧分割成多个片断并通过不同的路径传输这些片断,就能加快帧到达接收者的速度——也就是说在固定的时间内会有更多的帧被发送出去。当然,接收者必须知道如果如何将这些片断组合成原始的帧。这种提升速度和性能的技术叫做三维多路技术
MIMO设备是通过他们同时用来发送(M)或接收(N)的天线数来描述的。比如,2x1 MIMO AP通过两个天线发送信号,一个天线接收信号;而3x3 MIMO AP则分别通过三个天线发送或接收信号。虽然在实际操作中有着更细微的差异,但是粗略地说,使用两个发送天线通常能提供的带宽会比使用3三个天线的少。因此MIMO天线的配置是判断802.11n产品好坏的一个重要的因素。
下面继续,说到哪里了,控制器和AP都设计好了,点位也设计好了,那么方案中还有比较详细的地方就是用户认证的设置,这个在你写方案的时候是已经测试过了得,具体的测试步骤已经在酒店的工程案例中设计到,此集团要求是员工,客户分别作认证,员工结合域进行802.1X认证,客户进行WEB认证,
802.1x认证是二层的认证 ,可以进行证书认证 EAP-TLS的认证方式,也可以进行EAP-PEAP的认证方式,同样支持WPA,WPA2的加密。一般情况下,有些无线控制器集成了内部的服务器认证,如果和公司域的资源进行集成的话,那我们可能要用到客户的外部radius服务器,或者LDAP服务器,当然认证过程的话还是要根据客户的情况而定,我们在此项目中就用到了客户的LADP服务器,和域进行联动,测试情况很理想,但是往往有些客户的内网资源比较复杂,有的可能有一些做到出口的行为管理的设备,这个要求对客户的情况进行行为控制,那么他可能也是一种认证服务器,这需要厂商和厂商之间的接口联动,有些厂商支持第三方的认证服务器,但是标准都是RAIUS接口。
WEB认证是中DNS截取访问IP 重定向认证页面的认证方式,一般用于客户的认证,同样可以和公司资源进行联动 ,做法和1X认证大同小异。
同样智能终端的认证 ,这个是认证中比较新颖的认证方式,他可以识别终端类型,IPAD iphone ,windows,htc,
在集团中我们可以用来归类,比如IPAD上来的用户给他一个权限,andiro系统上来的给他一个权限。但是可能只有部分厂商做得到这点。。。呵呵 比较时髦。
认证完后就是权限的划分了,可以给用户定义时间,地点的限制,带宽的限制,会话数的限制等 这个要看客户的需求了。。集团中他们规定员工只能访问内网,那我们就定义认证过来员工进行网络权限的限制,可以细化到具体的服务端口号,比如8080端口禁止等。。。 同样客户过来只允许访问外网。。不能访问内网。。。。。
这两张图说明认证和权限的对于无线的安全是多么重要的事情,他是一个七层的工作范畴,从物理层到应用层都在保护着你的无线安全。。。
其二:现在的无线之所以做到比有线安全,是因为他从外网到内网都能够保护到无线网络不受攻击,现在的无线控制器不单单是个管理无线AP的设备,实际上他更像是无线网络的保护神,
自带的WIP系统从内外网保护企业无线网络不受攻击破坏,
对于客户端来说 802.1X+WEB+WPA2的加密认证 足够保证接入端的安全。这些认证可以独立使用,也可以分开进行设置,要看客户具体的需求,
以 我的经验,如果企业有radius服务器的话,那我们最好用802.1X的无线认证,因为这个可以结合客户域资源,做到企业的有线无线的安全统一认证。另外还可以有效的预防病毒,真正的做到企业无线安全的保证。
二:企业无线的稳定需求
这个是企业的网管朋友又担心的一个问题, 稳定, 现在可能最头痛的就是无线老是掉线的问题,或者老师掉包的问题,而且经过无缘无故的很慢, 那么问题出现在哪里呢,对于大多数无线来讲,干扰是造成这个原因的罪魁祸首,那么造成干扰的原因是什么呢,
原因大概有下面几个:一同频干扰, 二同信道干扰
那么我们现在可以解决下面这些问题了吗,答案是肯定的 又来了 呵呵
瘦AP的结构就因为他能够自动识别周围射频的环境,自动分配AP的信道,达到蜂窝煤式的分布,同时每个厂家都有自己的小技术,比如频道的负载均衡,频段的负载均衡,这些都能有效的解决干扰问题。使无线的环境更加稳定。。(以后再详细讲一块)
三:企业无线的高带宽需求
快速发展的企业对无线的要求越来越高,那么我们能提供更快速,更高的无线带宽是我们企业对无线的更高要求,09年11n的出现,让这一要求成为了现实,现在的无线部署基本上都是11n的无线,但是现在企业大都存在着a/b/g的设备,那么这样环境让我们对带宽需求要求较高的企业比较头痛,
于是我们就针对这样的混杂环境,提出了双频AP的解决方案,针对于11n的新设备,我们可以让他在a/n的频段上去工作,针对于老旧设备,我们可以给他b/g的环境上去工作,两个频段互不干扰。当然最好的办法还是尽快把老旧的终端设备换掉。
这些是企业的基本要求把,之所以比较详细的说这些需求,是以为好多企业的朋友都认为无线不是很安全,很慢等等。
我们把话说回来,XX集团对这些需求肯定是需要的,
上张图,这张是XX集团的无线连接拓扑图,呵呵 大家说说有什么不懂的地方吗?
XX集团的应用需求:
一:满足集团总部大楼的无线全覆盖及分部的无线全覆盖(覆盖要求)
二:SSID需求:一个供员工使用,一个供客户使用,一个供语音使用
三:分别对员工和客户的使用权限划分(员工与域认证结合,客户使用WEB页面认证)同时对终端进行智能管理(新颖)
四:分公司与总部的GOLBE无线的统一,即分部的无线功能与总部无线功能一样(潮流),换句话说,分部的SSID也是三个,切功能和总部一样。 并且AP让总部统一管理
五:RF射频智能优化,各种非法AP的仰止,非法用户的识别与仰止。(干扰)
这5个大体的需求,不能不说这个集团的IT对无线系统的提出了更高的要求,也反应了当今企业的IT对无线的认识越来越高。 当然这些需求也是需要你引导客户的。毕竟为他们着想的话更能体现你的解决方案的魅力所在。这个时候越是对无线功能感兴趣的网管,我们越好沟通,毕竟能够帮他们解决技术难题,项目也就成功了一半了
通过对现场的勘测和信号的测试,AP的数目也有了具体的数字,具体的测试方法已经在上面酒店的测试中介绍过了,就不啰嗦了,上图吧
点位设计
可以看出图中的衰减在绿色的区域都是高于65dbm的 ,对于数据的传输和语音的通话都是没有问题的,根据衰减图,我们可以得出AP的点位规划和数目,从而确定控制器的型号。。也就是下面设计到的组网设计
无线网的组网设计具体可以分为两个部分
控制器的设计,
这个是整个无线工作的大脑,策略认证的限制都会做在上面,可以根据AP的数量,以及客户用户数目来选择控制器的型号,考虑到日后无线系统的扩展,AP数增加,无线控制器的上联接口势必会成为数据传输的瓶颈,所以我们推荐使用支持三个以上千兆端口的无线控制器,一方面可以保证有足够的传输带宽,另一方面是可以减少用户的反复投资。也就是ARUBA的3000系列,最大支持128个AP 也适合主备这种控制器管理模式,很适合中小企业网络的应用。关于AP的设计的话,
设计到的问题是用户是混杂环境,所以选用11n的双频设备,这样对于高密度的部署同样也试用。a/b/g/n的环境比较适合高带宽,高密度部署的环境。。但是还是建议用户尽快的统一使用11n的终端设备,原理的话以后具体会讲到。。。
下面插个技术的话题
有人问到为什么11n的带宽会能满足当今企业的需求,下面给大家介绍一下11n的技术呵呵 献丑了
11n是09年开始投入使用的无线传输机制,他通常运行在2.4GHZ 或者5GHZ的频段上,也就是我们所说的b/g/n 或者a/n
他可以和流媒体,无线VOIP共存,如可以提供更高带宽的视频传送,他的理论带宽是300M/S 但是实际的速率测试也就在100到200M/S之间,他使用MIMO的传输机制,翻译过来叫多输入多输出,实际上就是使用多个天线使传输速率增加和传输范围增大, 在一定的时间内,传输更多的东西,所以我们感觉速率快了很多,同时他又在频道上使用更宽40MZ的频道传输,我们了解到所有的802.11设备都使用天线发射(传播)无线电波。基本偶极天线会将这些电波向所有方向发射,这有点像往平静水池里丢一个小石头所产生的水波。想象一下,当这些水波碰到水池的边缘时会发生什么?会有一些水波在碰到墙壁后被反弹回来,然后与基本还在向前的水波发生碰撞。当水波发生碰撞时,会有一些波纹变得更高而有些则会变小或消失。
类似的情况发生在无线电波遇到发射器和接收器之间的门窗或其他阻挡物上。这就是我们所说的多重路径(Multi-path)现象,它会导致同一个传输会有许多反射波,从而它到达接收器的次数变得不稳定。在这个过程中,这些反射可能会加强、减弱或者干扰另一个信号。
当供应商开始致力于增加802.11n WLAN速度和性能时,他们会利用到多重路径。具体的就是,每一个2.4GHz或5GHz频道都有非常多的信息。然而,如果你将802.11帧分割成多个片断并通过不同的路径传输这些片断,就能加快帧到达接收者的速度——也就是说在固定的时间内会有更多的帧被发送出去。当然,接收者必须知道如果如何将这些片断组合成原始的帧。这种提升速度和性能的技术叫做三维多路技术
MIMO设备是通过他们同时用来发送(M)或接收(N)的天线数来描述的。比如,2x1 MIMO AP通过两个天线发送信号,一个天线接收信号;而3x3 MIMO AP则分别通过三个天线发送或接收信号。虽然在实际操作中有着更细微的差异,但是粗略地说,使用两个发送天线通常能提供的带宽会比使用3三个天线的少。因此MIMO天线的配置是判断802.11n产品好坏的一个重要的因素。
下面继续,说到哪里了,控制器和AP都设计好了,点位也设计好了,那么方案中还有比较详细的地方就是用户认证的设置,这个在你写方案的时候是已经测试过了得,具体的测试步骤已经在酒店的工程案例中设计到,此集团要求是员工,客户分别作认证,员工结合域进行802.1X认证,客户进行WEB认证,
802.1x认证是二层的认证 ,可以进行证书认证 EAP-TLS的认证方式,也可以进行EAP-PEAP的认证方式,同样支持WPA,WPA2的加密。一般情况下,有些无线控制器集成了内部的服务器认证,如果和公司域的资源进行集成的话,那我们可能要用到客户的外部radius服务器,或者LDAP服务器,当然认证过程的话还是要根据客户的情况而定,我们在此项目中就用到了客户的LADP服务器,和域进行联动,测试情况很理想,但是往往有些客户的内网资源比较复杂,有的可能有一些做到出口的行为管理的设备,这个要求对客户的情况进行行为控制,那么他可能也是一种认证服务器,这需要厂商和厂商之间的接口联动,有些厂商支持第三方的认证服务器,但是标准都是RAIUS接口。
WEB认证是中DNS截取访问IP 重定向认证页面的认证方式,一般用于客户的认证,同样可以和公司资源进行联动 ,做法和1X认证大同小异。
同样智能终端的认证 ,这个是认证中比较新颖的认证方式,他可以识别终端类型,IPAD iphone ,windows,htc,
在集团中我们可以用来归类,比如IPAD上来的用户给他一个权限,andiro系统上来的给他一个权限。但是可能只有部分厂商做得到这点。。。呵呵 比较时髦。
认证完后就是权限的划分了,可以给用户定义时间,地点的限制,带宽的限制,会话数的限制等 这个要看客户的需求了。。集团中他们规定员工只能访问内网,那我们就定义认证过来员工进行网络权限的限制,可以细化到具体的服务端口号,比如8080端口禁止等。。。 同样客户过来只允许访问外网。。不能访问内网。。。。。
这两张图说明认证和权限的对于无线的安全是多么重要的事情,他是一个七层的工作范畴,从物理层到应用层都在保护着你的无线安全。。。
发表评论