企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)設(shè)計

一、引言

    隨著無線技術(shù)在近年來的飛速發(fā)展，無線網(wǎng)絡(luò)已經(jīng)迅速成為了企業(yè)園區(qū)網(wǎng)中所不可或缺的組成部分。無線網(wǎng)絡(luò)的可擴展性、易獲取性等特點讓企業(yè)的日常工作中效率大大得以提升。然而，無線網(wǎng)絡(luò)給我們帶來便利的同時，也帶來了一系列管理難題和安全隱患。

    目前，企業(yè)所普遍采用的無線網(wǎng)絡(luò)架構(gòu)均屬于傳統(tǒng)方式。在該方式中，無線接入點（Wireless Access Point，下簡稱AP）相互獨立，缺乏統(tǒng)一部署和管理，無線數(shù)據(jù)流缺少匯聚點，安全策略得不到有效部署。針對上述這些缺點，企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)做出了諸多方面改進，包括AP的管理模式、無線數(shù)據(jù)流控制等。企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)在延續(xù)了無線網(wǎng)絡(luò)優(yōu)勢的同時，更是完善了無線網(wǎng)絡(luò)的可管理性、安全性和可用性，使其更高效、安全地為企業(yè)的各類業(yè)務(wù)應(yīng)用提供服務(wù)。

二、企業(yè)傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)

    企業(yè)傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)由四大板塊組成，分別是：無線終端層、無線接入層、有線傳輸層和網(wǎng)絡(luò)控制層。在該架構(gòu)中，AP相互獨立部署于整個企業(yè)的園區(qū)內(nèi)，用戶的無線數(shù)據(jù)終端可通過加密信道將數(shù)據(jù)發(fā)送至AP，由AP再將數(shù)據(jù)轉(zhuǎn)發(fā)至有線傳輸層，繼而訪問企業(yè)內(nèi)部資源或是互聯(lián)網(wǎng)資源，詳情可參考圖一。

圖一 企業(yè)傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)

    （一）企業(yè)無線網(wǎng)絡(luò)傳統(tǒng)架構(gòu)數(shù)據(jù)流

    傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)的確擴展了企業(yè)園區(qū)網(wǎng)絡(luò)的覆蓋范圍，實現(xiàn)企業(yè)的各類無線業(yè)務(wù)，使得用戶對于應(yīng)用的獲取更為靈活和方便。在傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)中，其無線應(yīng)用的數(shù)據(jù)流主要以下幾個步驟：

    1.用戶的無線終端設(shè)備通過加密信道連接至離自己最近的AP，這也是該架構(gòu)中唯一可以實施安全性的環(huán)節(jié)。

    2.無線加密數(shù)據(jù)傳輸?shù)紸P后，由AP負責數(shù)據(jù)的解密，然后將數(shù)據(jù)橋接到企業(yè)的有線交換網(wǎng)絡(luò)。

    3.橋接至有線交換網(wǎng)絡(luò)后，無線應(yīng)用數(shù)據(jù)流與企業(yè)中的有線數(shù)據(jù)流完全一致。

    （二）企業(yè)無線網(wǎng)絡(luò)傳統(tǒng)架構(gòu)缺點

    通過上述圖一所示以及無線數(shù)據(jù)流模的描述，可以清楚的知道，在傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)中無線數(shù)據(jù)流缺少統(tǒng)一的匯聚節(jié)點，存在著諸多缺點：

    1.AP缺乏統(tǒng)一部署和管理。在企業(yè)傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)中，各個AP獨立運行，企業(yè)管理員必須對每個AP進行單獨配置，如此分散式的AP部署模式給管理帶來很大的不方便性。同時，在網(wǎng)絡(luò)規(guī)劃中，一般會將無線用戶歸入同一個網(wǎng)段，以便在網(wǎng)絡(luò)中做簡單的安全控制。然而，由于AP將部署在企業(yè)園區(qū)中不同的交換設(shè)備，為了滿足之前的要求，就不得不將無線網(wǎng)段在所有交換機上互相連通，這樣的部署容易造成地址在整個園區(qū)網(wǎng)中泛洪，顯然這并不符合最佳的網(wǎng)絡(luò)設(shè)計實踐的要求。

    2.網(wǎng)絡(luò)安全難以保證。在企業(yè)園區(qū)網(wǎng)中，無線網(wǎng)絡(luò)的出現(xiàn)一方面擴大了網(wǎng)絡(luò)覆蓋范圍，但另一方面也帶來了更多的安全隱患。由于每個AP獨立運行，因此管理無線網(wǎng)絡(luò)的安全性變得十分困難，每個獨立的AP處理其各自的安全策略。無線數(shù)據(jù)流缺少統(tǒng)一的匯集點，這意味著無法對無線數(shù)據(jù)流進行集中統(tǒng)一的監(jiān)控，以實現(xiàn)入侵檢測和防范、服務(wù)質(zhì)量、帶寬控制等。同時，用戶無線終端雖然可以與AP之間通過加密信道進行數(shù)據(jù)傳輸，但由于無線通信環(huán)境的易獲取性和復(fù)雜性，黑客可以比較方便地對無線數(shù)據(jù)進行截取、分析和解密，從而竊取到數(shù)據(jù)內(nèi)容。

    3.AP間信號重疊，漫游功能欠靈活。在傳統(tǒng)的無線網(wǎng)絡(luò)架構(gòu)中，各個AP獨立運行，相互之間沒有通信機制，因此每個AP都會將功率信號放到最大，這便會使得AP之間的信號重疊區(qū)域可能超過20%，而一般合理的信號重疊區(qū)域應(yīng)維持在10%左右。然而在重疊區(qū)域的用戶無線終端會出現(xiàn)時斷時續(xù)的現(xiàn)象。此外，由于AP之間相互獨立，當用戶在從AP1的信號范圍移動到AP2時，無線終端需離開AP1范圍即造成信號中斷后再連接AP2的信號，在整個漫游過程中將造成數(shù)據(jù)包的大量丟失。

    通過上述章節(jié)，我們簡單回顧了企業(yè)傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)流，指出該架構(gòu)的諸多不足之處。那么在接下來的論述中，針對安全和管理的問題，文章引入一種新的架構(gòu)方式，即企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)，該架構(gòu)不但可為企業(yè)獲取靈活的無線業(yè)務(wù)應(yīng)用，同時還能保證其可管理性和安全性。

三、企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)

    與傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)一樣，統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)也可分為四大區(qū)域。其中，無線接入層和網(wǎng)絡(luò)控制層的設(shè)備部署與傳統(tǒng)架構(gòu)相比存在較大不同：

    在網(wǎng)絡(luò)控制層中，該架構(gòu)增加了無線控制器（Wireless LanController，下簡稱WLC）和無線控制系統(tǒng)（Wireless ControlSystem，下簡稱WCS）。WLC主要對AP進行統(tǒng)一集中管理，以實現(xiàn)網(wǎng)絡(luò)的安全性和管理的靈活性，是無線網(wǎng)絡(luò)統(tǒng)一架構(gòu)的關(guān)鍵設(shè)備之一。WCS屬于配套管理系統(tǒng)，在該架構(gòu)中可查看整個無線網(wǎng)絡(luò)覆蓋的信號強度和范圍，并能管理連接無線的用戶，查看其身份，IP地址和具體的位置等功能，為統(tǒng)一無線架構(gòu)的更是增加了靈活方便的元素。

    在無線接入層中，該架構(gòu)部署的AP為輕量級AP（LAP），俗稱“瘦AP”，其意義在于LAP并不需要單獨配置，其配置通過WLC處自動下發(fā)獲取，LAP與WLC之間實現(xiàn)基于LWAPP隧道封裝的通信機制，以確保無線網(wǎng)絡(luò)系統(tǒng)的統(tǒng)一性和安全性，詳情可參考圖二。

圖二 企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)

    （一）企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)數(shù)據(jù)流

    統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)針對傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)中的諸多缺點，有了各方面的改進。在論述該架構(gòu)之前，我們先對該架構(gòu)中的無線數(shù)據(jù)流進行必要的描述：

    1.用戶無線終端設(shè)備通過加密的無線信道接入至附近的LAP。

    2.LAP接收到用戶無線終端的數(shù)據(jù)，以LWAPP協(xié)議在二層通道對數(shù)據(jù)進行隧道封裝（可參考圖二中的數(shù)據(jù)流描述），并通過證書方式對WLC進行認證。合法的WLC在通過認證后，LAP才會將封裝后的用戶數(shù)據(jù)發(fā)送至WLC。此時，LAP不負責對用戶數(shù)據(jù)進行解密，解密過程由遠端WLC完成。

    3.WLC接收到LAP發(fā)送的數(shù)據(jù)，先對LWAPP隧道進行解封裝，如果數(shù)據(jù)加密則進行解密，完成后根據(jù)原數(shù)據(jù)包目標地址按路由轉(zhuǎn)發(fā)，同時將原數(shù)據(jù)包源地址更改為自身設(shè)備的出口地址。4.由于WLC在轉(zhuǎn)發(fā)數(shù)據(jù)前將原數(shù)據(jù)包的源地址更改成自身設(shè)備的接口地址，因此回包數(shù)據(jù)將先被統(tǒng)一轉(zhuǎn)發(fā)至WLC，再由WLC進行LWAPP隧道封裝發(fā)送給相應(yīng)的LAP，LAP收到數(shù)據(jù)進行解封裝后發(fā)送至用戶的無線終端設(shè)備。其中，加密解密過程分別由WLC和用戶無線終端分別進行，LAP并不參與。

    （二）企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)優(yōu)點

    根據(jù)對該架構(gòu)數(shù)據(jù)流的描述，不難發(fā)現(xiàn)企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)的優(yōu)勢主要有以下幾點：

    1.統(tǒng)一的AP管理和控制。在該架構(gòu)中，LAP并非獨立部署于企業(yè)園區(qū)中，它們的配置策略和運行情況由WLC進行統(tǒng)一管理和協(xié)調(diào)。接入的LAP會自動同步WLC上的配置文件。在WLC中也能夠管理所有已注冊的合法LAP，當某個LAP發(fā)生故障時，WLC能夠及時針對指定LAP進行排障。這使得管理員對于LAP的部署和管理非常的靈活便捷。

    與此同時，由于用戶無線終端與目標應(yīng)用間的通信被LAP和WLC用LWAPP協(xié)議進行隧道封裝傳送，因此無線用戶可以被設(shè)計在同一個網(wǎng)段中而并不需要對整個網(wǎng)絡(luò)進行二層的貫通，LAP本身的地址可以與歸屬的二層交換機同一網(wǎng)段。這樣的設(shè)計并不會對企業(yè)園區(qū)網(wǎng)造成地址泛洪的影響，是比較優(yōu)化的網(wǎng)絡(luò)設(shè)計實踐。

    2.網(wǎng)絡(luò)安全性有保障。在傳統(tǒng)無線網(wǎng)絡(luò)架構(gòu)中，無線數(shù)據(jù)流缺少集中的匯聚點，這導(dǎo)致安全策略難以集中統(tǒng)一部署。然而在該架構(gòu)中的無線數(shù)據(jù)流在WLC處有統(tǒng)一的匯聚點。在該匯聚點上，管理員可統(tǒng)一實施相應(yīng)的安全策略，如認證授權(quán)、防入侵檢測、服務(wù)質(zhì)量控制等一系列的管理功能，這將大大提升無線網(wǎng)絡(luò)的自身的安全性。同時，在此架構(gòu)中，無線數(shù)據(jù)的加密解密分別由用戶的無線終端與WLC之相互交替進行，并且在整個傳輸過程中都是被隧道封裝在LWAPP隧道中，這使得黑客比較難以從中通過對數(shù)據(jù)包的監(jiān)聽到而實施破解，也從另一個方面加強了無線數(shù)據(jù)的安全性。

    3.支持靈活漫游機制。在該架構(gòu)中，利用WLC的功能，LAP之間存在信號的交互，也可自動收斂信號，使得信號重疊的區(qū)域始終維持在10%左右，從而保證最佳的無線通信環(huán)境。WLC還可自動為每個LAP分配信道。以避免各個LAP之間使用相同的信道而產(chǎn)生沖突。同時，用戶在移動過程中可實現(xiàn)在LAP之間的自動切換漫游機制，最大程度提升無線通信的效率。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.hanmeixuan.com/

本文標題：企業(yè)統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)設(shè)計

本文網(wǎng)址：http://www.hanmeixuan.com/html/consultation/1083943750.html