無(wú)線交換機(jī)可不可靠?
無(wú)線交換機(jī)在網(wǎng)絡(luò)構(gòu)建中有著重要的地位,那么它的可靠性又從何體現(xiàn)呢?現(xiàn)在,為大家分享一篇文章,為大家詳細(xì)介紹一下相關(guān)內(nèi)容。從文中我們將了解到無(wú)線交換機(jī)的幾個(gè)性能分析。
為了保證POE供電的可靠性,目前市場(chǎng)主流的無(wú)線交換機(jī)都具備了單路無(wú)線AP,同時(shí)采取了IEEE802.3af標(biāo)準(zhǔn),輸出功率已經(jīng)達(dá)到了十五萬(wàn)左右。解決無(wú)線AP供電問(wèn)題,是保障無(wú)線AP部署位置靈活性的重要前提。這就要求AP在具有本地供電能力的同時(shí),可以通過(guò)POE實(shí)現(xiàn)遠(yuǎn)程供電。目前有兩類(lèi)解決方案,POE供電模塊和POE供電無(wú)線交換機(jī)。
為了保證POE供電的可靠性,采用POE供電無(wú)線交換機(jī)為單路無(wú)線AP提供電源是首選,目前的POE交換機(jī)遵循的是IEEE802.3af標(biāo)準(zhǔn),最大輸出功率是15W左右,而業(yè)界主流的IEEE802.11n AP需要的工作功率多大于15W,為了解決這樣的供電需求,需要遵循IEEE802.3at草案的POE+供電無(wú)線交換機(jī),才能真正發(fā)揮IEEE802.11n的性能優(yōu)勢(shì)。
前文提到的WX3024就能夠?qū)崿F(xiàn) 24個(gè)千兆端口可同時(shí)提供POE供電功能,并支持PoE+供電,每端口最大提供25W的功率,測(cè)試表明WX3024在打開(kāi)POE供電功能后,其千兆網(wǎng)絡(luò)接口可以對(duì)802.11g和802.11n的AP通過(guò)網(wǎng)線進(jìn)行供電,并可以在控制臺(tái)上對(duì)每個(gè)POE供電的AP的供電情況進(jìn)行顯示,尤其方便IEEE802.11n AP的部署。這在未來(lái)802.11n可能"大行其道"的情況下,顯得尤為重要。
降低管理成本
對(duì)于一般的企業(yè)而言,往往沒(méi)有強(qiáng)大的IT維護(hù)力量,這也是選擇FIT AP部署企業(yè)WLAN網(wǎng)絡(luò)的一個(gè)重要因素,業(yè)界主流的FIT AP廠商都提供AP零配置,所有的AP配置操作都在無(wú)線控制器或交換機(jī)上完成,系統(tǒng)升級(jí)也統(tǒng)一由無(wú)線交換機(jī)來(lái)集中操作。因此,企業(yè)WLAN AP的管理問(wèn)題,簡(jiǎn)化為對(duì)無(wú)線交換機(jī)的管理。更為突出的是,企業(yè)WLAN網(wǎng)絡(luò)的管理不僅僅是對(duì)AP的管理,用戶(hù)IP地址分配,用戶(hù)身份認(rèn)證等系列用戶(hù)管理也是重點(diǎn)考慮的內(nèi)容。
無(wú)線用戶(hù)的IP地址一般采用DHCP 服務(wù)器來(lái)分配,用戶(hù)認(rèn)證可以采用MAC地址認(rèn)證、IEEE802.1x認(rèn)證、PORTAL認(rèn)證等方式。一個(gè)完整的無(wú)線網(wǎng)絡(luò),一般需要RADIUS 服務(wù)器,PORTAL認(rèn)證服務(wù)器及前面述及的DHCP 服務(wù)器。這些設(shè)備結(jié)合無(wú)線控制器及無(wú)線AP,對(duì)沒(méi)有強(qiáng)大的IT維護(hù)力量的企業(yè)而言,無(wú)疑是一個(gè)嚴(yán)峻的挑戰(zhàn),如果能集成DHCP服務(wù)、RADIUS認(rèn)證服務(wù)、PORTAL認(rèn)證服務(wù),并通過(guò)簡(jiǎn)易直觀的WEB管理界面方便企業(yè)IT管理者的維護(hù),就可以避免使企業(yè)IT管理員成為救火隊(duì)員。前文所提及的H3C WX3024即可做到這點(diǎn)。
強(qiáng)調(diào)無(wú)線安全性
WLAN利用了不可見(jiàn)的公用媒介進(jìn)行空中信號(hào)傳播,安全問(wèn)題是部署無(wú)線的巨大挑戰(zhàn),無(wú)線網(wǎng)絡(luò)安全的復(fù)雜性一定程度上限制了企業(yè)部署無(wú)線。如何解決WLAN接入面臨的安全問(wèn)題,保證客戶(hù)放心使用是一個(gè)重要問(wèn)題。仔細(xì)分析無(wú)線面臨的安全挑戰(zhàn), 主要是防止非法AP接入、防止非法用戶(hù)接入、防止ARP攻擊、防止AP過(guò)載、防止不合理應(yīng)用等。既要防范外部威脅,又要防范內(nèi)部威脅,既要防范來(lái)自用戶(hù)端的威脅,又要防范網(wǎng)絡(luò)端的威脅。
首先是防范未授權(quán)AP,即Rouge 設(shè)備的接入。IEEE802.11網(wǎng)絡(luò)很容易受到大量網(wǎng)絡(luò)威脅的影響,如未經(jīng)授權(quán)的AP用戶(hù)、Ad-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等,因此Rouge設(shè)備對(duì)于企業(yè)網(wǎng)絡(luò)安全來(lái)說(shuō)是一個(gè)很?chē)?yán)重的威脅。這需要無(wú)線入侵檢測(cè)(WIDS)功能來(lái)防范,通過(guò)WIDS對(duì)有惡意的用戶(hù)攻擊和入侵無(wú)線網(wǎng)絡(luò)進(jìn)行早期檢測(cè),檢測(cè)WLAN網(wǎng)絡(luò)中的rogue設(shè)備,上報(bào)管理中心,并對(duì)它們采取反制措施,最大程度地保護(hù)無(wú)線網(wǎng)絡(luò)。
其次是防范非法用戶(hù),這主要通過(guò)認(rèn)證技術(shù)及加密技術(shù)來(lái)保證。常用的認(rèn)證方式包括802.1x認(rèn)證、MAC地址認(rèn)證、Portal認(rèn)證等多種認(rèn)證方式,保證無(wú)線用戶(hù)身份的安全性, 結(jié)合WEP(64/128)、WPA、WPA2等多種加密方式保證無(wú)線用戶(hù)的加密安全性。另外,通過(guò)用戶(hù)身份認(rèn)證結(jié)合AAA服務(wù)器上對(duì)用戶(hù)組進(jìn)行權(quán)限的配置和修改,網(wǎng)管人員可以輕松地對(duì)不同級(jí)別的人進(jìn)行接入權(quán)限分配,實(shí)現(xiàn)精細(xì)的用戶(hù)權(quán)限控制,從而大大增強(qiáng)了無(wú)線網(wǎng)絡(luò)的可用度。第三是防范ARP攻擊。企業(yè)內(nèi)部普遍存在ARP 攻擊手段,通過(guò)偽造IP地址和無(wú)線交換機(jī)地址實(shí)現(xiàn)ARP欺騙,產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)中間人攻擊,嚴(yán)重的可以使網(wǎng)絡(luò)不可用,危害企業(yè)應(yīng)用。為了防止攻擊者通過(guò)ARP報(bào)文實(shí)施"中間人"攻擊,無(wú)線交換機(jī)需要具有ARP入侵檢測(cè)功能,即通過(guò)對(duì)ARP報(bào)文進(jìn)行合法性檢測(cè),轉(zhuǎn)發(fā)合法的ARP報(bào)文,丟棄非法ARP報(bào)文,從而有效防御ARP欺騙。
第四是防范網(wǎng)絡(luò)帶寬濫用。這并不是直接的安全問(wèn)題,但是會(huì)防礙企業(yè)內(nèi)部正常網(wǎng)絡(luò)應(yīng)用,需要一些智能管理手段來(lái)解決這樣的問(wèn)題。在WLAN網(wǎng)絡(luò)中,同一個(gè)無(wú)線AP下會(huì)同時(shí)接入多個(gè)無(wú)線終端,如果部分終端應(yīng)用BT等下載應(yīng)用,將占用所有的無(wú)線端口帶寬,導(dǎo)致其它終端不能正常工作。為了避免上述問(wèn)題,網(wǎng)絡(luò)最好能支持智能帶寬限速,限制終端使用固定帶寬,或限制所有終端平均分享限定帶寬,從而有效解決帶寬占用的問(wèn)題。
另外,為了避免無(wú)線網(wǎng)絡(luò)中部分AP過(guò)載,部分AP閑置而影響網(wǎng)絡(luò)使用,負(fù)載均衡功能也必不可少。智能負(fù)載分擔(dān)方法可以動(dòng)態(tài)地確定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些AP可以彼此分擔(dān)負(fù)載,通過(guò)控制無(wú)線客戶(hù)端接入的AP,來(lái)實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。
在安全性方面,WX3024也是一把"好手"。其擁有802.1X、MAC地址、PORTAL等多種安全認(rèn)證、AP的安全管理能力,提供防ARP攻擊,無(wú)線入侵檢測(cè)(WIDS),多種加密技術(shù)等安全技術(shù),能夠有效解決企業(yè)網(wǎng)絡(luò)面臨的安全挑戰(zhàn)。綜上所述,一款集成48個(gè)無(wú)線AP管理,具有無(wú)線交換機(jī)性能,具備POE供電能力,并集成DHCP 服務(wù)器,PORTAL 認(rèn)證服務(wù)器,RADIUS服務(wù)器及WEB管理等應(yīng)用服務(wù)的無(wú)線交換機(jī),可以為企業(yè)網(wǎng)絡(luò)體現(xiàn)最高的性能價(jià)格比。既能夠帶來(lái)網(wǎng)絡(luò)的經(jīng)濟(jì)性、高效率、自由度,又不增加網(wǎng)絡(luò)建設(shè)、維護(hù)使用的成本,是每一個(gè)網(wǎng)絡(luò)建設(shè)者的追求。
