给大家分享一篇关于无线办公网络的文章,我觉得挺有价值的。
需求分析
我们先从无线网络的覆盖规划需求 分析说起。
第一点就是企业部署无线网络一般是对有线网络的扩展,用于支持笔记本、手机等无线办公的需求,所以现在是和有线网络融为一体,只是在安全上做一些相应的控制。 、
一般我们是采用集中管控的方式集中控制管理所有的AP,一般大于3个AP我们都建议采用集中管控的方式集中管理AP,否则的话管理员要针对每一台AP进行管理,AP的数量一多,简直就是管理员的噩梦,不仅效率低下,而且策略和安全的一致性也无法得到保证。
第三点就是AP的供电现在都不采用单独拉线了,都是采用POE供电方式,采用POE的供电方式配合POE交换机,只要有网线就可以布置AP,这使得在AP的布线和迁移上方便灵活了许多。
第四,安全性也是需求分析的一个重点,安全性主要是通过一些Mac地址的过滤、wpa2和PSK的加密,ACL访问控制,这些都是一些必不可少的安全保障条件。
第五就是无线局域网的系统要能方便灵活地调整与扩充。因为企业经常会有人员的变化,这个无线网络就应该能够灵活地根据人员的增加来调整扩容。
设计原则
下面我们来看看设计的一些原则。
1、无线局域网都是采用国际标准,符合802.11系列的传输协议,能够为各种WiFi的设备,包括智能手机、iPad、平板电脑提供一些接入。
2、采用“无线控制器+无线接入点”的方式组网,能够集中统一管理、配置和监控,具有高度的安全性和稳定可靠性。采用“无线控制器+无线接入点”这种AC+AP的组网方式是由AC统一管控所有的AP,在AC上设置的这些策略统一下发到所有的AP。
3、无线产品具有很高的安全性和可靠性,包括可以通过丰富的认证加密方式来确保网络和用户的安全性。认证方式的丰富就包括通过短信、微信、用户认证,还有Mac地址认证等多种方式进行认证。
4、系统具备易扩展性和升级性,支持通过软件的方式进行升级扩展。
5、易于管理和易于维护,无线控制器管理界面支持多语言,并能提供丰富的统计功能。统计功能丰富,就包括有用户统计、流量统计、top用户的统计,这些统计就可以方便地查看设备的使用状态,为无线网络的扩容提供依据。
部署案例
这是一个集团大厦的整栋楼的一个无线覆盖,包括一期还有二期的异地分支机构的无线覆盖。
首先是大厦的各个楼层所有的办公区域、会议室、会客区、展厅广场都要做无线覆盖。第二,用户的规模:内部员工达到1000人,访客在50-300人的规模。终端类型也是多种多样,有Pad、iPad,各种无线手机,还有无线笔记本。
这里面的需求就提到有用户感受,要求整体的网络稳定、网速快、无缝漫游、安全性,还有使用快捷、方便、用户分类、企业品牌logo、低辐射。
这里重点就是网络使用稳定,不掉线,速度快。第二,用户在AP之间的切换没有感知,实现无缝的漫游。还有连接无线的方式可以有多种方式,不同权限的人对应不同的SSID,认证页面可以展现出企业的logo。
不同权限的人对应不同的SSID,我们这里有一个例子,就是说把所有的用户分为三大类,第一类就是特权用户,就是领导层属于这类用户,可以通过Mac地址的验证,不需要输入密码就可以通过验证,来连入无线网络。第二类就是普通用户,就是一般的员工用户,都是通过域账号和无线网络绑定来进行验证。第三类就是来宾用户,一般是通过短信、微信来进行验证。
这张图就是无线发展的趋势,从802.11的标准就可以看出它是在四个方面是着重发展的。
第一个就是无线速率的标准,第二个就是无线安全的标准,第三就是无线Qos的标准,第四就是无线漫游的标准。
从网络运维的方面来看,内部办公网络与外来临时接入的网络在IT的范围内要安全可控。第二是后期的运维方便、快捷、简单,方便扩展升级。
我们这里内部用户与来宾用户登录的无线网络可以用VLAN隔离开来,通过acl的控制,来宾只能上外网,对其他的VLAN没有访问权限,从而增强内部网络的安全性。
这里是说无线建设的重点,首先是通过Mac地址的过滤、wpa2加密协议、ACL访问控制等加强无线网络安全性。第二个重点就是总部和分值的无线AP能够统一管理、统一配置,总部和分支机构一般是通过VPN相连,由总部统一管控分支机构的AP。
这个就是一个比较大型的无线网络的架构。
首先就是2台AC无线控制器做主备服务,提供高可用性,接入核心交换机。每层楼都有POE交换机提供AP的接入,接入核心的网络交换机。每层的这些AP都是接入到每层的POE交换机上。最后所有的无线终端都是通过AP接入。
还有就是分支机构比较大的就有AC+AP的这种模式,比较小的分支机构可能就是一两个AP。这些分支机构通过VPN和总部相连,然后由总部统一管控分支机构的AP。
这里就是一些网络设备,架构上来说就是AC-AP模式,涉及到的设备有无线控制器AC,还有无线接入点AP,负责AP接入的POE供电交换机。
无线控制器一般是放在数据中心机房,POE供电交换机一般是放在各个楼层接入的小机房,无线的AP就一般放在走廊的位置或者各个区域吊顶的位置。
下面是安全性,首先是接入认证的授权,这里分两种:一种是基于用户身份,这种方式一般是读取企业内的预域控用户信息,基于域控的验证身份。还有一种是基于设备类型,这种方式一般基于用户使用的设备,指定的设备给予认证。 信号控制,信号就是通过加密协议进行加密传输,然后信号通过设备的合理部署,还有一些功率上的调节,使它控制在一定的范围以内。 安全策略就是一些内置的防火墙模块,还有一些颗粒化的策略配置,包括智能的QOS服务这些策略。
无线数据日志报表,就是通过这些日志报表可以很方便地查看到用户的登录、管理员的登录,还有一些流量的监控,让管理员很方便地查找、排错。
这个是集中化管理,设备集中进行管理,无线AP、分支机构的AC、AP都由总部的AP统一进行集中管控,一方面方便统一管控,另一方面方便进行故障转移。
信号集中管理,就是说根据需要,各个楼层、各个分支机构使用统一的SSID。
无线测试
下面我们来看一看无线的一些测试。
首先是信号强度的测试,也就是在离AP不同距离的地方分别进行信号强度的测试。我们这里通过距离AP3米、10米、25米、30米等不同的距离来对AP进行测试。
这个就是一个测试结果,在距离AP3米的时候,信号强度为-49dbm,距离AP10米的时候是-52dbm,距离AP25米信号强度为57dbm,距离AP30米信号强度为65dbm。
这个测试是多用户并发吞吐量的测试,主要是在看多用户并发的情况下吞吐量能达到多少,能支持到多少用户。 我们预计每个AP在每个频段上能够支持到60个客户端同时在线,并且吞吐量能达到500Kbps,但实际上结果并没有这么好,大概是在30个用户能达到这个速率就已经不错了。
这个是数据处理模式的一个测试,业务的数据处理模式分为两种:一种是tunnel采用集中的转发模式,另外一个就是local采用本地的转发。
从这张图可以看出采用集中式的转发,如果是AC和交换机中断了以后,再次连通,这个中间会有ping值的中断。通过本地的转发模式,如果是AC和交换机断开,测试中的ping值是不会中断的。
最后一个是做了一个终端漫游的测试,我们拿着移动终端从一个AP的覆盖区域移动到另外一个AP的覆盖区域,然后再来查看这个日志。从日志当中可以看到这个测试的结果,AP之间的切换是毫秒级的,用户是没有感知的。
(这里接下来是提问和回答的环节了……)
Q&A
1、
Q:我们公司有两层,但是我们公网只用了电信的一条线,请问我怎么去部署我的路由器?
A:第一点,应该还是使用AC+若干AP的模式。第二,应该根据办公室的面积,还有用户数去估算每一层需要的AP的数量。第三,每层部署一个POE交换机,然后接入核心交换机,再通过防火墙,就是电信的公网的线路再连到外网,最后是每层的AP就接入POE交换机,提供终端的服务。
2、
Q:路由器的密码安全怎么来管控?
A:这个跟我们平时的密码管控也是类似的,首先就是管理员的密码一定要有一定的复杂性,定期修改。第二个,普通用户的密码最好通过结合域控来进行验证,在域控上设置用户的密码安全策略。第三,来宾一般通过微信、短信认证,尽量不使用公用账号和密码。第四,限制用户的尝试登录次数,减少这种攻击。第五,禁止以任何明文的格式进行传送,还有传输账号密码。
3、
Q:公司扩招时怎么在不影响原无线的情况先部署新的无线?
A:原则上是在公司内一般是只有一套无线系统的,如果原先部署的这个企业级的无线就是AC+AP的模式,那就非常容易扩张,无非就是在行政的区域增加AP的数量,在AC上增加AP的授权许可。如果原先的不是企业级的无线,那么可能就要考虑到更换企业级的无线设备。如果前期做好这些测试,其实无线设备的更换是很快的,只是要找一个合适的时间来做一个切割。
4、
Q:如何保证网络稳定性,如何保证稳定不掉线?
A:首先在部署无线网络前就要做好前期规划,包括设备选型,要考虑到设备的信号强度,还有吞吐量的测试,尽量选择高性能的无线设备。第二点,避免频段的干扰,因为在不同的AP之间要使用不同的频段,要尽量避免干扰。第三个,覆盖范围盲点的考虑,尽量使无线覆盖没有盲点。还有就是限制每个AP的用户数量,当一个AP的用户数量超出允许的分配值,就自动切换到附近的AP上面。再有一个就是AC控制器做主备的负载均衡,排除单点故障。还有增强安全性的设置,包括密码加密上网等等。
5、
Q:我要布置Wi-Fi,8个培训教室,每个70-80平方,在同一楼层,石膏板隔墙,每个AP间隔10米左右,每班有40名左右学员,学员要在线考试,最多同时4个班同时考试,我现在初步定用 (飞鱼星6300路由,利用原有三层交换机和锐捷8口POE交换机,这是原有设备)新增深信服旗下信锐6100AC管理器+信锐2800AP(每个教室1个),这样能满足需求吗?
A:从每个教室的面积上来看,一个AP的信号就应该可以支持得到。但是每个班有40个左右的学员,这40个学员是否是并发地使用无线网络,还有他们使用的应用流量都要考虑在里面,所以从这里看,每个教室至少是要两个以上的AP,这个还要具体看测试他们使用的流量情况。
6、
Q:您认为一个规划合理、运转良好,适合中小企业IT预算的无线网络应该是一个什么样的理想情况?
A:首先是规划布局要非常合理,根据你办公的场地、用户数来合理地布置这些AP。再一个信号的覆盖需要全面,信号的强度要良好,网络稳定,使用中间不能掉线。还有Qos、流量控制、安全策略,还有设置这方面,都要比较全面地进行设置管控。最后带宽要有一定的冗余量来应对这个突发的流量。
7、
Q:如何选择企业级的无线设备?
A:从我的经验看,首先可以找一些特定网站看一些企业级无线设备的评测、参数这些方面。第二,根据自己企业办公区域人员的数量,还有企业所需要的无线的功能,选择两到三款合适的设备,来进行实地的测试。第三,在测试中对比产品的性能的差异,还有功能上是否满足企业的需求。最后来确定适合自己企业的无线产品设备。
8、
Q:怎么用路由器大范围覆盖无线网?
A:大范围地覆盖,首先还是需要使用我们所说的这种AC+多AP的模式,一般路由器是很难做到的。
9、
Q:如何不改动现有的网络,实现wifi覆盖 ?
A:实际上增加WiFi的覆盖只是对现有的有线网络做一个延伸的无线覆盖,一般不会改动到现有的网络架构。按我们上面所说的,就是在核心交换机处增加AC的控制器,接入一些合适的AP,在合适的地点接入AP,这样来实现无线的覆盖。
10、
Q:500用户的无线用户的部署大概的费用?
A:500个用户的话,还要根据地点的场地范围来看,使用到的AP大概是20来个,加上AC控制器,还有认证服务器,几样加起来,不同的产品的价格应该差别有很大的,至少到一二十万以上,大概是这个范围。
11、
Q:怎么样让AP在用户数量或者吞吐量达到一定饱和后自动切换到另外一个AP上面?A:我们测试的AP是有这个功能的,就是AC有这个管控的功能,AC上面可以设置你的每个AP终端的用户数量的峰值,当这个AP上面的用户数量达到这个峰值以后,那么再有用户接入,这个AC会智能地分配到它附近的其他的AP上面去。实际上吞吐量也是一样,也是可以进行在AC上面预先设置。
12、
Q:在实际的使用效果中怎么样?
A:我们也有做过一个测试,设置每个AP的上限是60人,确实是达到这个接入的数量之后,再接入的用户是被分配到旁边的AP上面去。
13、
Q:因为曾经听西门子工业软件的销售说过,工厂的MES系统是实时性很强的系统,所以工厂里不适合部署无线进行智能设备的信息交换,是这样吗?
A:实际上这要看实时的流量有多大,还有无线网络能支撑的用户数,还有吞吐量,这实际上要看需求和实际的测试的效果。
14、
Q:这些AC加AP都会了,应该说说一些品牌的AP带机量,跟部署距离等,打个比方,我用过华为的AP一个才带机30个,我用其它杂品牌一个AP带60用户还很稳定,价格也比华为便宜多了。
A:实际上我测试过一些AP,大致是这样的,一般在30个带机量左右是比较稳定的,去到50以上,这个稳定性就变得比较差了,这还要看用户的并发请求,还有流量的问题,如果只是带机量稍微比较多一点,并发的请求不是很多的话,这样也可能不会影响到它的稳定性。
15、
Q:N年前,我实施失败过一个医院的无线项目覆盖,就是解决不了漫游导致的,还请老师赐教。
A:其实你也说了,是N年前,现在的无线漫游设备应该是已经很成熟了,包括我刚才上面所说的测试,在两个不同的AP之间,它的切换对用户来说毫秒级的,应该是感知不到的,所以这个现在应该已经不是问题了。
16、
Q:其实我对那个不同SSID权限设置也有兴趣,也是AC自带的功能吗?
A:实际上我们是把不同的SSID划分为不同的子网,然后通过三层交换机不同的VLAN,在访问控制列表里面做一些不同权限的设置,让它访问不同的网络,是这样来做的。
这个文章整理于e企学院的在线分享,之后他们的在线分享我会持续给大家分享出来的,如果有感兴趣的朋友,也可以像我一样,去报名上课,之后还有很多关于IT技术的课程,比如下一期就是关于用户名统一认证和权限管理的,感觉对我们IT人有实际的价值,我也报名了哈哈,有想一起的朋友直接加群助手的微信吧LenovoSME,我们可以一起交流呢。
252
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
