企业无线网络解决方案
无线网络有许多潜在的好处:灵活性强、可扩展性好、总体拥有成本低、提高工作效率、加强联系,不一而足。那么,为什么没有更多的企业付诸行动呢,尤其是中小企业?这里的原因可能有三个:由于对经济形势不看好,部分企业推迟了对技术进行重大改进的项目;有些企业对多种新出现的无线标准表示了困惑,不知道802.11a、802.11b或者802.11g哪种才是适合自身环境的协议;而有些企业对无线安全提出了合情合理的质问:无线网络果真同有线网络一样安全吗?
如今,我国经济蓬勃向上的事实无可争辩。而比较新的无线产品可以支持多种协议,所以企业可以放心采用WLAN技术,不必担心自己选择的不是最合理的标准。另外,最近发布的Wi-Fi受保护访问(WPA)标准,再加上IEEE802.11i规范很快将会发布,业界为无线网络提供了完全可以同有线网络相媲美的安全机制。
由于这些问题得到了解决。对中小企业来说,现在是时候采用无线技术了,而且是大规模采用。所需要的是能够满足新的安全标准的WLAN产品,通过易于使用、可靠、高性能、低成本的一揽子解决方案,提供企业级解决方案具有的特性和功能。
中小企业的特殊需求
为中小企业市场开发产品向来是一个挑战。那些为比较大的计算环境设计的产品很少也适用于比较小的网络。通常情况下,中小企业资源(包括资金和人力)有限,所以无力应对高昂的成本和复杂的产品。为了便于中小企业市场改用无线技术,厂商必须想方设法对企业级解决方案进行精简。无线网络面向中小企业环境的"必不可少的要素"包括如下:
安全:由于没多少时间去管理,中小企业需要尽可能地维护较少的设备但保证重要的数据和基础设施的安全。新的WPA标准能够满足这些需求。WPA借助临时密钥完整性协议(TKIP)提供增强的数据加密,通过802.1x和可扩展验证协议(EAP)提供用户验证机制,还提供第一代无线产品原先所使用的有线对等保密(WEP)规范具有的好处。
易于使用:无线系统的安装、管理、改动和扩展必须简单易行,以提供无线技术承诺的较高灵活性和较低TCO。由于中小企业人员不是很多,所以它们寻求不需要太操心的解决方案。
兼容性:基于标准的产品让中小企业能够保留现有的基础设施,方便地升级或迁移到新的技术。
企业级特性和功能:就像大型企业一样,中小企业也需要功能广泛、特性丰富的网络来提高工作效率。它们渴望的特性和功能包括:虚拟专用网(VPN)功能、先进的安全机制(WPA)和高级管理。
高性能/带宽:工作效率和易用性取决于最高性能和最大带宽。不管有无可能获得哪些其他效率,没有一家企业愿意回过头去,使用速度比较慢的技术。无线解决方案也不例外。
低TCO:为了证明必须投资采用无线这样的新技术,长期TCO必须大大低于有线网络。长期产品质量保证书、易于使用、灵活性和可扩展性都有助于降低TCO。
WLAN解决方案的选择
中小企业在选择无线接入网时,最要紧的是认真仔细分析自身的需求,然后根据自身的需求来选择适合的解决方案。因为中小企业的需求差别比较大,而针对中小企业的无线网设计却往往比较容易,一般选择适合自己的解决方案就主要集中在产品的选择和无线网的安装部署上面。
无线网技术由于无线网技术的成熟,无线网络产品的种类繁多。选择无线网络产品时最重要的是速度,同时,选择产品时还要注意产品的兼容性,注意产品所使用的技术和相应的无线网的标准,以便产品能够真正发挥作用。
当前的无线网络产品主要使用的网络协议为802.11a/b/g这三种。802.11a工作在5GHz的频段,虽然速度比较高,为54Mbps,但多用于无线的网桥,很少用于办公室;802.11.b的产品速度为11Mbps,现在已经不是主流产品了。当前室内办公用到的产品以802.11g为主,它使用2.4GHz的频段,速度可以达到54Mbps,而且使用此协议的产品,可以自适应到802.11b,与802.11b兼容。所以在选择产品时最好选择支持使用802.11g协议的产品。
要注意的事,尽管当前大多数产品都支持802.11g协议,但是不同的产品所使用的实现技术是不一样的。比如当前大多数产品使用的是DSSS技术,而最新的技术却是OFDM技术,这种新一代无线通信技术,抗干扰性强,而且信道利用率很高,只是目前这类产品价格较贵。
无线网产品无线网的产品大致有以下几类:无线网卡、无线接入点(AP)、无线网关、无线网桥。无线网卡主要用在电脑或终端上,目前网卡种类繁多,有PCMCIA接口、PCI接口的、CF接口、USB接口,要根据自己的终端进行选配。网桥是连接不同的网络的,在中小企业中网桥很少用到。
这里重点提一下AP。AP其实就是无线接入点,只要是能够通过他使终端链接到网络的都可以叫AP设备。有的无线AP其实就是一个无线的HUB,而有的其实是一个无线路由器。中小企业选择时最好选择具有路由器功能的AP,这样既可做AP,又具有路由功能,而且还能充当网关,一举多得。
市场上的多数无线网关是具有路由功能的无线AP的产品。现在的中小企业多采用无线路由AP+无线HUB的AP模式来组建自己的网络。笔者曾为一连锁咖啡厅建立无线网络,在咖啡厅中使用一个具有无线路由功能的AP和两个无线HUB,通过具有路由功能的AP经过2M的ADSL连接到互联网上。当用户在此处上网时,网络上会出现连锁咖啡厅的标识,不仅设置安装维护非常方便,成本也非常低。
无线网的安全由于无线网是通过空气作为媒介来进行数据传输的,不能像有线网那样进行方便的控制,所以安全就显得非常重要了。一般使用协议802.11b的产品中包括一些基本的安全措施,有无线网络设备的服务区域认证ID(ESSID)、MAC地址访问控制以及WEP加密等安全技术。使用ESSID时会在每一个AP内设置一个服务区域认证ID,每当无线终端设备连上AP时,AP会检查其ESSID是否与自己的ID一致。只有当AP和无线终端的ESSID相匹配时,AP才接受无线终端的访问并提供网络服务。对于MAC地址访问控制则是限制接入终端的MAC地址,以确保只有经过注册的设备才可以接入无线网络,由于每一块无线网卡拥有惟一的MAC地址,在AP内部可以建立一张"MAC地址控制表",只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。但这样的设置比较麻烦,一般应用在对安全性要求不是特别高的中小地方。
随着802.11i协议的推出,无线网的安全得到了一个很大的提高,它包含TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard),以及认证协议IEEE802.1x,不过当前产品中使用的仍然多为WPA规范的安全协议。
不过,并非对所有中小企业其安全问题都很重要,所以要根据自身的具体需求来选择和部署,以免造成不必要的资源浪费。比如连锁的酒吧或咖啡厅,可以提供给消费者免费的上网服务。这里的要求是,只要使用这些网络的时候,能够看到企业的标识就可以了,对安全性的要求不是很高。
无线网的部署
中小企业在选择完相应的产品后进行部署前,最好能够对办公的环境进行了解,并对信号进行实地测量,以便对选择原产品及时的进行调整。其实选择解决方案、产品、测试差不多是交差进行的。由于使用的是无线设备,所以为保证办公的场所能够连接到网络中,测试是必须的。测试的一个关键是保证信号足够强,并保证在任何上网的地方都能够连接到网络中。在前面提到的无线网连锁咖啡厅中,就花费了较长的时间进行测试,以保证咖啡厅中没有盲点,尤其是在房间的角落、拐角处、中间有较高大的物体遮挡时,这些地方容易出现信号很弱或者没有信号的现象。所以在这些地方尤其要注意测试,以提前对产品的天线或功率进行调换。
事实上,对于中小企业的应用来说,实施无线网的门槛儿要求不特别高。尽管你可以选择大型企业的无线网解决方案和相关的产品及实施人员来组建网络,但一般成本会比较高。所以,用户也可以选择一些口碑比较好的中小型无线网方案提供商。只要坚持根据企业自己的需求来选择方案,而不要盲目听从厂商的推荐。
最后还有一点需要特别提请读者注意,在我们选择使用无线网时,不要进入一个误区,认为可以使用无线网替代有线网,其实无线网是有线网的一个重要的补充,他们常常是互帮互助,共同来构建企业的网络。
企业为了保持赖以生存和发展的竞争优势,需要根据市场的变化对企业内部进行相应调整,人员增减、办公地点变换在所难免,因此不得不面临网络重组和优化的困扰。传统网络布线不仅费时费力,还影响到企业的正常办公,成为不少企业,尤其是成长型中小企业面前的一道难题,而无线局域网的出现则令上述问题迎刃而解。由于无线网络是利用无线技术进行数据传输,因此企业不再受固定的网络布局所累,可以随时根据企业规模的变化灵活组建、更改或扩充网络。同时,由于摆脱了线缆束缚,企业员工可以自由的进行移动办公,随时随地获取信息,在提高工作效率的同时,也促进了视频会议等新兴网络应用模式的顺利开展。因而无线网络得到了企业用户的广泛青睐,并逐渐取代传统的有线网络成为中小企业构建内部局域网的首选。
需求分析:
随着企业业务的日益丰富以及网络融合趋势的不断显现,打造一个能够承载多元化业务的统一网络平台已是大势所趋,这就要求企业无线网络具有快速的数据处理与转发能力,以保证各项业务并行不悖。目前存在802.11b、802.11a、802.11g等多种无线标准,因此不同标准之间的产品兼容以及无缝协作显得尤为重要。用户在无线组网时选择符合国际权威认证的无线产品,一方面有利于获得最佳的整体性能表现,另一方面能够有效保护投资。与传统的有线网络一样,无线局域网技术的发展也是基于开放式网络架构。为了保证企业机密免遭非法读取、篡改和破坏,多重的安全防护机制不可或缺。概括而言,成长中的企业所需要的是一个强大、灵活、稳定、安全的无线网络,能够为其不同职能部门的多元化需求提供多样化的网络支持。
解决方案:
D-Link
从整体网络的中心看起。作为对内、对外提供网络服务的关键部门,IT机房在整个企业网络体系中的地位举足轻重。为此方案采用DI-602MB+担当出口路由器,用于外部Internet与企业内部网络应用的转换中心。作为一款专门针对企业宽带接入环境设计的路由器,DI-602MB+采用领先的INTEL IXP高速芯片,为企业网提供了超强核心。灵活的多WAN口设计,不仅有效提高连网速度,而且实现了负载均衡,及网络带宽备份等作用,确保网络通信的稳定可靠。
由于IT机房中需要部署无线AP、打印机等外设终端,为了免于复杂的综合布线,方案选定D-Link PoE智能交换机DES-1228P作为网络骨干,一方面用于连接WEB、FTP、MAIL服务器群组。另一方面,通过以太网为各个部门的无线接入点提供高效的数据传输以及电力支持,解决了对于本地电源的依赖,实现了集中式的电源供应,在大大降低施工难度的同时,也为需要控制成本的企业节省了架设外部电源线路以及后期电源更换的不菲支出。并且DES-1228P可以同时管理16个瘦AP(DWL-3140AP),构建一个无缝链接的无线网络做到所有DWL-3140AP在机房统一管理,统一配置一个智能型的无线网络。
为了企业网络的安全稳定运行,D-Link特别在路由器与交换机之间设置了DFL-800高性能防火墙。该产品提供了方便企业传输的VPN专用通道,支持DoS防护,并提供了丰富的过滤功能,能够有效阻挡经由IM/SPIM途径传播的病毒,对当前企业网络安全的各种潜在威胁予以有力防护。最重要的是,DFL-800通过引入D-Link区域联防机制为企业带来了即时、互动和有效的网络安全新架构。它与D-Link交换机DES-1228P紧密配合,在发现恶意电脑后将会立即进行有效隔离。当用户的电脑出现不正常的网络行为时,会被及时切断网络连接和服务,从而有效避免病毒在网络内部扩散,防止由黑客攻击导致的企业内部关键应用服务瘫痪的现象发生,为企业网构筑了一个可靠的安全屏障。
在企业的会议楼层,由于视频会议是基于视频、音频的流媒体传输,对网络时延十分敏感,为了保证多人视频会议的实时性以及流畅性,方案为会议室构建了一个完全基于 11N技术的300M高速无线环境。此外,会议室的空间相比普通办公室更大,对无线产品的信号覆盖能力要求也比较高。因此,D-Link选用了专门针对企业环境的11N最新技术产品DAP-2553无线接入点。凭借高达300M的传输速度,和基于MIMO的收发技术DAP-2553不仅充分保证了音频、视频等流媒体数据得以快速无延迟转发,而且还具备优于普通无线产品的高功率,进一步扩大了无线覆盖范围,尤其适合空间较大的会议室使用,配合11N的网卡DWA-645(笔记本使用)、DWA-546(台式机使用)、DWA-140(usb接口)使用效果更加明显,与DAP-2553形成了多条高速通道,有力的保障了视频会议等会议室常用应用的顺利开展。DAP-2553支持多SSID功能,企业可以设置一个SSID支持普通员工接入,另外的SSID则选择授权使用者,为企业内的特殊用户群提供接入,在更灵活的为不同企业用户群提供差异化支持的同时,有效节省网络资源。这款接入点还内置PoE模块,灵活的将以太网供电技术与无线优势结合在一起,彻底摆脱了电源对产品的束缚,使网络搭建更加便捷。
值得一提的是,鉴于用户对于数据安全的重视程度与日俱增,DAP-2553,DWA-645、DWA-546、DWA-140等D-Link无线产品先行一步,不仅全面支持WEP、WPA(Wi-Fi保护访问)的个人与企业加密以提供更高的数据传输安全级别,而且率先引入了业界最新的无线安全标准WPA2.0, 以领先的安全机制充分满足了商用环境中对于数据保密的更高要求。
在企业的办公区域,有着各个科室,如技术部、工程部、商务部、财务部等等。这是支撑整个企业业务发展的部门。但是各个部门间的工作不一样,各部门都有各自的保密文档,所以在无线网络上需要设定不同的SSID来划分不同的VLAN,使得各个部门都再同一个VLAN下工作,又不影响登陆外网的需求。
在办公区域我们使用与DES-1228P配合使用的瘦AP DWL-3140AP,两者将组件出一个可以无缝漫游的无线网络,协助企业客户更轻松且更有效控制他们的无线网络,以及更流畅的规划网络。我们提供独特的企业无线方案,通过DES-1228P的管理界面统一管理最大16个DWL-3140AP,可以为其设置多个SSID进行VLAN划分,可以设置AP之间的负载均衡,与信号强度控制。这个DES-1228P整合的企业无线方案强调有线、无线、安全性的整体融合。DWL-3140AP支持WMM(Wi-Fi多媒体应用),对于图像、语音、视频等数据有最高优先级使其快速传输。提供了新一代无线交换机系统以支持有线/无线整合,满足客户对于可延展、高效能、集中化管理无线系统的需求,协助企业克服其在规划、企业整合、管理、安全性、无线射频(RF)涵盖。
新一代无线交换机解决方案简化了企业无线网络的规划,因为交换机管理软件可以根据楼板空间配置图进行客户化的预先部署计划,然后IT管理者可以透过一台中央桌上电脑安装和管理无线交换机网络。这项自动化和集中化的工具,协助IT管理者降低网络维运成本,例如免除以往分布式环境必须个别地一次为一台基地台进行升级的方法,而可以藉由集中化方法显著降低升级成本。
希望寻求可以支持多重基地台(例如数十台无线AP基地台)、复杂的高安全环境、以及未来无线LAN语音等方案的客户,将可以藉由DES-1228P构建一个完备的涵盖无线、有线LAN、语音和安全性的完整企业无线设施。如果万一AP损坏可以直接更换,只要将存档的配置文件在IT机房导入新AP中,无需其它操作就可以使用,有效节省后续的管理成本。
PC终端接入方面,方案采用了108M无线网卡DWL-G520、DWL-G650实现本地、移动PC的无线接入。值得一提的是,由于工程部经常需要外出作业,因此不少员工移动PC的PCI插槽中都装有GPRS、CDMA1X无线网卡或存储卡,在这种情况下就没有空闲的PCI插槽提供给DWL-G650。为此D-Link提供了一套备选方案,借助DWL-G132自带的USB接口即可帮助这些员工的移动PC轻松实现与AP的连接。此方案还可应用于本地PC,从而免除了打开机箱安装无线网卡的繁琐。也可以采用54M的无线笔记本网卡DWL-G650+A以及无线台式机网卡DWL-G520+A。这些产品不仅耗电低,而且无线性能出众。不仅如此,该系列产品还在无线接收灵敏度方面有了巨大突破,大大提升了无线信号的传输质量与覆盖范围,在全面满足工作应用需求的同时,做到物尽其用,节省投资。
同时,方案还针对办公文件资料众多的特点,灵活的引入了无线网络存储器DSM-G600,并为打印设备提供了打印服务器DP-1260,进而帮助企业创建了一个集合数据传输、存储、打印功能的一体化无线办公环境。
一、 企业网络建设的特点
企业信息化的基础是企业网,企业都在致力于建设一个高速、安全、可靠、可扩充的网络系统,以实现企业内信息的高度共享、传递,大大提高工作效率 ;为了实现对外信息的交流,还需要建立出口通道,实现与 Internet 互联,可以方便地进行资料查询。企业所需要的信息化服务要求较高,其网络应具有以下特点:
· 作为一个基于企业 Intranet 的信息管理和应用的网络系统,提供相应的各种服务
· 网络上各种软、硬件资源能得到共享,并能快速、稳定地传输各种信息,提供有效的网络信息管理手段
· 采用开放式、标准化的系统结构,以利于功能扩充和技术升级
· 能够与外界进行广域网的连接,提供、享用各种信息服务
· 具有完善的网络安全机制。
· 能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。
二、方案设计
(1) 无线网络组网
使用无线组网的技术,通过安装 AP 和 PCMCIA 无线网卡或 USB 无线网卡,就可以在公司内部架构起无线局域网,使得办公区、会议室、会客室、展示厅及休息区都可以移动上网,为移动办公创造了条件。
(2) 业务方案说明
· 用户隔离
由于无线用户的流动性和不确定性,需要对用户之间互访的进行隔离,首先必须要求 AP 具有二层隔离功能。但是,仅仅 AP 具有二层隔离功能,只能保证连接在同一个 AP 下的两个无线用户之间的隔离,而连接在不同 AP 下的用户之间却可以通过上一级交换机进行通讯,因此仅 AP 实现隔离不能从根本上解决用户之间隔离的问题。为此,必须在连接 AP 的上一级交换机上为交换机的每个端口配置 VLAN,以保证连接在不同 AP 下的用户之间的隔离,同时在 Ocamar AC 上的也应设置为用户隔离状态,这样就可以从根本上利用不同的网络设备实现用户之间的访问隔离。
· 认证方式
用户认证采用 WEB DHCP 方式,即用户打开 IE 浏览器,输入一个 URL,这时 Ocamar AC将用户的浏览器重定向到认证页面,要求用户在认证页面提供用户名和密码,当用户成功认证后 ,AC 将用户浏览器重新带回刚才所键入的 URL。基于 WEB 方式的认证,用户电脑设置简单,用户无须安装任何客户端软件,仅仅需要将用户网卡设为自动获得 IP 地址,Ocamar AC 会自动为用户分配正确的 IP;即使用户将无线网卡设置了固定的 IP 地址,也可利用 AC 中的即插即用功能。认证通过后,为了提高安全性,Ocamar AC 对 MAC 地址、IP 地址以及用户名三者实施了绑定策略。
· 用户权限和网络访问控制
根据业务模式和对用户权限管理的需要,需要对用户访问本地网络的权限进行控制。比如,公司员工允许通过 WLAN 访问本地网络资源,诸如文件服务器、打印服务器、MIS、视频服务等,同时允许访问 INTERNET;对于来访人员,根据其不同身份级别,对其能否访问本地网络资源加以控制。根据这些需求,Ocamar AC 有两个 Internet 的出口,用于让某些不允许访问本地网络资源的用户直接访问 INTERNET。Ocamar AC 的一个端口(出口 2)和企业收敛交换机相连,用于提供给某些用户(比如访客)上网出口,因为这些用户不允许访问企业内部网络。而 Ocamar AC 的另一个端口(出口 1)接企业内部局域网,这样,企业内部员工可以通过这条路由访问本地网络资源以及访问 INTERNET,从而实现用户权限的控制和本地网络资源的控制。
此外,根据实际的业务需要,可增加 MAC 地址绑定方式,只有指定的 MAC 地址,并通过对应的用户名和密码进行认证,才能合法接入网络;或采用 MAC 地址验证方式,可根据不同的 MAC地址为无线用户分配不同网段的 IP 地址,实现基于不同用户的业务策略和访问控制;也可根 据Ocamar AC 上不同的网口,对应交换机的 VLAN 分配不同网段的 IP 地址,实现基于不同区域的业务策略和访问控制。
· 无线网络设备管理
为了便于网络管理员对整个无线网络进行有效的管理,Ocamar AC 上内建了一个基于 WEB的管理平台,提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对 AC 的管理包括对 AC运行等参数的配置,各模块运行状况监控等;对无线接入点的管理包括扫描指定网段的所有 AP,实时报告所有 AP 运行状态,发现非法 AP 立即报警,群组更改 AP 的设置,如 ESSID 等,以便对所有 AP 进行集中化的管理。
· 用户管理
用户管理是一个基于 WEB 方式的管理员界面,也可以是一个客户端程序,在其中可以添加新用户,添加新的用户组别,修改用户属性以及修改用户组的属性,另外,可以对每个用户是否允许使用 VPN、是否需要进行 MAC 地址的验证等内容进行设置。
Ocamar AC 还可以记录用户上网日志,日志包括用户名、目的 IP 地址、访问时间、用户的主机 IP 地址、MAC 地址、VLAN 接入位置等信息。用户访问日志可以记录用户的整个网上活动过程,便于追查恶意用户的物理位置,实现网络的安全控制。