无线网络的设计要求
无线网络的设计要求
(1) 采用统一管理的无线网络架构,以保证无线网络可维护性、安全性、 QoS、无线漫游等功能要求,无需改变现有网络拓扑结构。
(2) 侧重实际应用,保证信号覆盖区域无线 AP 信号接入点的质量。
(3) 采取通行的网络协议标准:目前无线局域网普遍采用802.11 系列标准,因此 WLAN需要支持 802.11g(54M 带宽 )或以上标准以提供可供实际应用的相对稳定的网络通讯服务。
(4) 安全、认证和管理要求:为了阻止非授权用户访问无线网络,以防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段。
主要包含:用户认证、物理地址( MAC)过滤、服务区标识符( SSD)匹配、有线等效保密( WEP)、二层隔离、WPA 支持等;用户认证要求区分公司内部人员(使用域用户,可访问有网络) ,外来用户(不需要认证,仅可访问特定网络)和不使用用户的移动终端(如无线扫描仪,不需要认证,可访问所有网络) ,以及基于策略的用户访问控制。
(5) 产品能力要求:具有无线委员会核准证;产品支持 AES、 WEP 加密等安全标准,无线控制器要求具备管理 200 个 AP 的能力; 漫游切换; 支持较为复杂室内环境下的可靠运行。
(6) AP 电源:要求不具备 PoE功能的接入交换机也可以使用类似 PoE 的供电方式给无线AP 直接供电,从而解决了AP的电源接入功能。
无线网络的搭建
根据设计要求,我们采用了统一管理的“瘦 AP”无线网络架构。所谓“瘦 AP”就是每个 AP只单独负责 RF和通信的工作, 其作用就是一个简单的 RF底层传感器设备, 所有 AP接受到的 RF信号,经过 802.11 的 编码后,通过加密隧道协议穿过以太网传送到无线控制器,进而由无线控制器对编码进行加密、验证、安全控制等更高层次的工作。因此“瘦 AP”的无线网络具有统一管理的特性和扩展性强、自动 RF管理和负载均衡等优势。
整个无线网络主要由无线控制器、无线接入点( AP)、无线管理系统和 Radius 认证服务器组成。无线控制器集中配置和管理整个无线网络, 全网络 AP接受统一管理,AP以及下面的用户按策略分配接入到接入层交换机上。无线网络管理系统提供无线网络的优化、 排障、 用户跟踪、 安全监控等功能。 Radius 认证服务器提供用户接入身份验证。 这种组网方式保持了原有网络的结构,简易灵活并方便扩容。
在网络核心层, 两台无线控制器分别接入两台核心交换机, 采用集群技术, 通过任意一台无线控制器可以对整个无线网络进行配置和管理, 无需到每台无线控制器上作配置, 减少两台无线控制器之间配置不同步故障的发生, 同时配置了系统冗余备份, 当某台无线控制器发生故障后,另一台无线控制器自动接收故障设备管理的 AP,保障无线网络的正常运行,提高可靠性。无线网络管理系统 RFMS服务器和 Radius 认证服务器接入核心交换机。
各覆盖区域内 AP 通过无线网络连接至接入交换机中, 无线 AP自动从无线控制器下载配置,所有的 AP 即插即用,部署便捷,维护方便。 AP的供电采用 PoE供电模块,使得不具备 PoE功能的接入交换机也可以使用类似 PoE的供电方式给无线 AP 直接供电, 从而解决了无线 AP的电源接入功能,也大大降低了 AP的无线系统布线难度。
为了区分不同用户的业务类型, 提高无线接入安全, 我们采用虚拟 AP技术同时广播 3个SSID供公司内部员工、外部用户和生产移动终端三种不同类型的用户使用,每个 SSID采取不同的加密认证方式和访问控制策略。同时对每个 SSID的覆盖范围进行限制,内部员工使用的SSID覆盖全公司,外部用户使用的 SSID只能覆盖会议室和接待室,生产移动终端 SSID覆盖生产区域。
为了实现不同用户对网络资源的访问控制,我们在核心交换机上给每个 SSID 分配了一个VLAN,并配置相应的路由和访问控制策略。分配 VLAN 42用于无线网络管理,无线控制器,管理系统和认证服务器的 IP 地址属于该子网。 VLAN 43 用于该公司内部员工 SSID,可访问公司授权的资源和应用。 VLAN 44 用于外部用户 SSID,仅可访问互联网。 VLAN 7 用于生产移动终端 SSID,可访问所有网络。不同的用户接入不同的 SSID就会自动获得相应 VLAN 的 IP 地址,被授以不同的网络访问权限。
为了实现无线网络多个 VLAN 的通信,连接无线控制器的核心交换对应端口应启用 VLAN 的Trunk 功能,配置成 Trunk 模式。 AP接入的接入交换机与 DHCP服务器在不同的子网中,需要启用接入交换机的 DHCP中继功能,并配置相应的 DHCP服务器地址。连接 AP 的接入交换机对应端口应启用无线网络管理 VLAN( VLAN42)的 Access 功能,将端口配置成 Access模式,划分到 VLAN42。
除了用多 SSID区分不同用户并配置不同访问控制策略外,我们还采用了不同用户不同的身份认证和加密方式来提高无线网络的安全性。 公司内部员工采用 AD+IAS的 802.1x 身份认证和WPA-PSK通讯加密,在保证安全的同时还能对用户进行管理;外部用户采用密钥认证和WEP加密,既保证一定的安全性又提供方便快捷的无线服务;生产移动终端采用 MAC 地址认证方式和 WPA-PSK进行加密。
为了增强无线网络的安全性, 我们还采用带宽控制对外来用户设定其可以使用的带宽, 一方面可以限制其对网络资源的占有, 另一方面, 当该客户端中了病毒以后, 其病毒发作时不会占用网络全部的带宽。
我们采用了网络负载均衡和故障自动恢复来提高无线网络的可用性。 网络负载均衡可在无线覆盖范围内把无线用户或终端分散连接到附近的 AP 上。在一个 AP 的覆盖范围内,无线连接的带宽是共享, 即无线终端数目越多, 每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个 AP 上无线终端的数目或 AP 带宽传输总和或每个无线终端的带宽上限。负载均衡可以有效的缓解单个 AP 的负担,有效的利用临近的 AP 做接入,从而确保应用的质量得到保证。 故障自动恢复功能能实时侦测出网上 AP是否失效, 当发觉有 AP出现故障时,无线控制器能自动调节临近的 AP 的功率(覆盖范围)来接替失效 AP 的工作。
公司统一无线网络建成之后, 不仅满足了公司生产和办公无线应用的要求, 而且作为有线网络的延伸,使得企业局域网的扩展变得更加灵活简单。
迪浮科技课程服务承诺:
1、免费重修:
学员缺课或者学校效果不理想,可以免费重修,确保课程内容完全掌握。重修过程中绝对不收取任何费用!
2、单独辅导:
如果学生在学习过程中,因各种原因无法跟班级进度同步,公司安排专家讲师一对一辅导,手把手带你成为IT精英!
3、自由实验:
清默网络有先进完善的实验中心,全天开放,实验机时不限,不断提高动手操作能力!
4、考试辅导:
学员考试前先通过清默内部模拟考试,技术确定达到考试要求并提供考前辅导及考试技巧讲解。
如果模拟考试未能通过,专家讲师会给予建议和辅导,合格后再参加正式考试,确保学员能高分通过认证考试。
5、企业实战项目:
即通过先进的设备完全搭建和企业项目完全一致的网络环境,把学习内容融会贯通并在实际项目中加以应用,以达到学员迅速掌握实际技能并弥补经验不足的目的,让学员的学习内容不再纸上谈兵,理论与实战完全吻合
咨询老师:郭老师
咨询电话:15056089769
咨询Q Q :1027831018
- 上一篇: 常见网络攻击以及防御方法
- 下一篇:CCNA命令大全汇总
