中小企业wlan部署：wifi交换机选型指南

newmaker

随着中国企业真正地步入网络时代，wlan网络凭借在提高企业效率、降低企业成本、提高员工满意度等方面的突出作用，成为了企业网络建设的热点。而如何更方便地建设、部署wlan网络，成为企业管理者下一步需要面对的问题。

由于fat ap独立部署方式因为管理和业务支撑等方面的限制，并不适合企业组网，而更适用于家庭应用，对于企业wlan部署来说，业界比较一致的观点是采用集中控制管理的fit ap部署模式来建设企业wlan网络，即通过带有无线控制器的交换机和无线ap共同满足企业无线覆盖需求，有效地解决企业it人员对ap管理的后顾之忧，并满足企业对无线话音、视频等增值业务的需要。

解决了wlan部署模式的问题之后，企业网络建设管理者在选择无线交换机时，需要着重考虑以下几个问题。

一、足够的ap管理容量

企业部署wlan，首先需要考虑如何规划网络，需要部署多少个ap，需要什么样规格的无线交换机，能既保证覆盖要求，又不浪费投资。既能保证现有应用，又能兼顾未来发展。而配置能管理多少个ap的无线交换机，可以从两个方面入手。

首先要根据空间大小确定ap数量。无线信号穿越门、窗、墙等障碍物会有衰减，因此，无线ap 的数量和覆盖场所的物理格局关系密切，无线ap的覆盖原则是，首先保证覆盖区域内，ap与无线终端之间无线信号的有效交互，其次，保证覆盖区域内每个终端的覆盖带宽要求。综合上述原则，可以确定覆盖的ap数量。

其次从保护投资的角度考虑无线交换机的容量，一个网络的生命周期大致是五年，五年内企业规模会壮大，企业网络也需要扩展，无线交换机的选择需要兼顾管理ap的可扩展能力。同时，企业应用业务也会发展，如无线语音、视频的应用等，无线控制器的性能需要能满足几年的应用。如今ieee802.11a/b/g是无线接入的主流，随着ieee802.11n的成熟，现有的网络需要无缝集成 ieee802.11n ap，因此，无线控制器既要能满足ieee802.11a/b/g的数据处理，又要能够满足ieee802.11n的数据处理。

就以h3c的有线无线一体化交换机wx3024为例。wx3024集成了对无线ap的管理、控制、数据转发的功能，不仅同时兼容ieee802.11a/b/g/n协议，在最大情况下，更可接入48个ap。一般而言，一个ap可以满足20个用户，每个用户1mbps的流量要求，从这个角度，20～30个ap可以满足400～600人的企业应用。因此，足可以满足大多数中小规模网络的需求。

二、突出的产品性能

大容量ap管理、无线话音、无线视频、ieee802.11n接入，这些都使无线交换机的性能成为一个不容忽视的问题。考虑到投资成本，又不能无限制地通过提升硬件来解决性能限制。因此需要从硬件和软件体系两个方面来衡量无线交换机的性能。

首先，目前的企业网，千兆核心已经普及，而且ieee802.11n ap的上行端口多采用千兆，因此，无线控制器需要提供千兆处理性能，不仅提供千兆端口，最好能够提供万兆扩展能力，以便提供更高的网络链接适用性。

其次，随着话音等延时敏感性业务的推广及ieee802.11n ap处理的大流量要求，集中转发的无线控制器很容易成为性能瓶颈。因此，无线控制器最好能支持分布式转发模式，即控制、管理报文通过无线控制器进行统一处理，数据报文在无线ap上直接转化为以太网格式的报文，不需要通过隧道封装再交无线交换机处理，从而解决无线控制器的数据转发性能瓶颈问题。

满足这种性能要求的设备并不多，前面提到的wx3024就是其中一款。根据《网络世界》评测实验室评测报告显示，wx3024在64byte-1518byte下吞吐量均为100%。最低时延为轻载状态下64byte时的2.4微秒，最高时延为重载状态下1518byte时的14微秒，11n无线的平均传输速为144.055mbps，最大传输可以达到158.73mbps;两个ap间切换的时延平均在34.2毫秒。各项性能均十分突出，是满足用户wlan建设需求的优势产品之一。

三、方便实现无线ap供电

解决无线ap供电问题，是保障无线ap部署位置灵活性的重要前提。这就要求ap在具有本地供电能力的同时，可以通过poe实现远程供电。目前有两类解决方案，poe 供电模块和poe供电交换机。为了保证poe供电的可靠性，采用poe供电交换机为单路无线ap提供电源是首选，目前的poe交换机遵循的是 ieee802.3af标准，最大输出功率是15w左右，而业界主流的ieee802.11n ap需要的工作功率多大于15w，为了解决这样的供电需求，需要遵循ieee802.3at草案的poe+供电交换机，才能真正发挥 ieee802.11n的性能优势。

前文提到的wx3024就能够实现 24个千兆端口可同时提供poe供电功能，并支持poe+供电，每端口最大提供25w的功率，测试表明wx3024在打开poe供电功能后，其千兆网络接口可以对802.11g和802.11n的ap通过网线进行供电，并可以在控制台上对每个poe供电的ap的供电情况进行显示，尤其方便ieee802.11n ap的部署。这在未来802.11n可能“大行其道”的情况下，显得尤为重要。

四、降低管理成本

对于一般的企业而言，往往没有强大的it维护力量，这也是选择fit ap部署企业wlan网络的一个重要因素，业界主流的fit ap厂商都提供ap零配置，所有的ap配置操作都在无线控制器或交换机上完成，系统升级也统一由无线交换机来集中操作。因此，企业wlan ap的管理问题，简化为对无线交换机的管理。

更为突出的是，企业wlan网络的管理不仅仅是对ap的管理，用户ip地址分配，用户身份认证等系列用户管理也是重点考虑的内容。

无线用户的ip地址一般采用dhcp 服务器来分配，用户认证可以采用mac地址认证、ieee802.1x认证、portal认证等方式。一个完整的无线网络，一般需要radius 服务器，portal认证服务器及前面述及的dhcp 服务器。这些设备结合无线控制器及无线ap，对没有强大的it维护力量的企业而言，无疑是一个严峻的挑战，如果能集成dhcp服务、radius认证服务、portal认证服务，并通过简易直观的web管理界面方便企业it管理者的维护，就可以避免使企业it管理员成为救火队员。前文所提及的h3c wx3024即可做到这点。

五、强调无线安全性

wlan利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战，无线网络安全的复杂性一定程度上限制了企业部署无线。如何解决wlan接入面临的安全问题，保证客户放心使用是一个重要问题。

仔细分析无线面临的安全挑战， 主要是防止非法ap接入、防止非法用户接入、防止arp攻击、防止ap过载、防止不合理应用等。既要防范外部威胁，又要防范内部威胁，既要防范来自用户端的威胁，又要防范网络端的威胁。

首先是防范未授权ap，即rouge 设备的接入。ieee802.11网络很容易受到大量网络威胁的影响，如未经授权的ap用户、ad-hoc网络、拒绝服务型攻击等，因此rouge设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测(wids)功能来防范，通过wids对有恶意的用户攻击和入侵无线网络进行早期检测，检测wlan网络中的rogue设备，上报管理中心，并对它们采取反制措施，最大程度地保护无线网络。

其次是防范非法用户，这主要通过认证技术及加密技术来保证。常用的认证方式包括802.1x认证、mac地址认证、portal认证等多种认证方式，保证无线用户身份的安全性，结合wep(64/128)、wpa、wpa2等多种加密方式保证无线用户的加密安全性。另外，通过用户身份认证结合aaa服务器上对用户组进行权限的配置和修改，网管人员可以轻松地对不同级别的人进行接入权限分配，实现精细的用户权限控制，从而大大增强了无线网络的可用度。

第三是防范arp攻击。企业内部普遍存在arp 攻击手段，通过伪造ip地址和无线交换机地址实现arp欺骗，产生大量的arp通信量使网络阻塞或者实现中间人攻击，严重的可以使网络不可用，危害企业应用。为了防止攻击者通过arp报文实施“中间人”攻击，无线交换机需要具有arp入侵检测功能，即通过对arp报文进行合法性检测，转发合法的arp报文，丢弃非法arp报文，从而有效防御arp欺骗。

第四是防范网络带宽滥用。这并不是直接的安全问题，但是会防碍企业内部正常网络应用，需要一些智能管理手段来解决这样的问题。在wlan网络中，同一个无线ap下会同时接入多个无线终端，如果部分终端应用bt等下载应用，将占用所有的无线端口带宽，导致其它终端不能正常工作。为了避免上述问题，网络最好能支持智能带宽限速，限制终端使用固定带宽，或限制所有终端平均分享限定带宽，从而有效解决带宽占用的问题。

另外，为了避免无线网络中部分ap过载，部分ap闲置而影响网络使用，负载均衡功能也必不可少。智能负载分担方法可以动态地确定在当前时刻和当前位置下哪些ap可以彼此分担负载，通过控制无线客户端接入的ap，来实现这些ap间的负载分担。(end)