一、引言
隨著無(wú)線技術(shù)在近年來(lái)的飛速發(fā)展,無(wú)線網(wǎng)絡(luò)已經(jīng)迅速成為了企業(yè)園區(qū)網(wǎng)中所不可或缺的組成部分。無(wú)線網(wǎng)絡(luò)的可擴(kuò)展性、易獲取性等特點(diǎn)讓企業(yè)的日常工作中效率大大得以提升。然而,無(wú)線網(wǎng)絡(luò)給我們帶來(lái)便利的同時(shí),也帶來(lái)了一系列管理難題和安全隱患。
目前,企業(yè)所普遍采用的無(wú)線網(wǎng)絡(luò)架構(gòu)均屬于傳統(tǒng)方式。在該方式中,無(wú)線接入點(diǎn)(Wireless Access Point,下簡(jiǎn)稱(chēng)AP)相互獨(dú)立,缺乏統(tǒng)一部署和管理,無(wú)線數(shù)據(jù)流缺少匯聚點(diǎn),安全策略得不到有效部署。針對(duì)上述這些缺點(diǎn),企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)做出了諸多方面改進(jìn),包括AP的管理模式、無(wú)線數(shù)據(jù)流控制等。企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)在延續(xù)了無(wú)線網(wǎng)絡(luò)優(yōu)勢(shì)的同時(shí),更是完善了無(wú)線網(wǎng)絡(luò)的可管理性、安全性和可用性,使其更高效、安全地為企業(yè)的各類(lèi)業(yè)務(wù)應(yīng)用提供服務(wù)。
二、企業(yè)傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)
企業(yè)傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)由四大板塊組成,分別是:無(wú)線終端層、無(wú)線接入層、有線傳輸層和網(wǎng)絡(luò)控制層。在該架構(gòu)中,AP相互獨(dú)立部署于整個(gè)企業(yè)的園區(qū)內(nèi),用戶(hù)的無(wú)線數(shù)據(jù)終端可通過(guò)加密信道將數(shù)據(jù)發(fā)送至AP,由AP再將數(shù)據(jù)轉(zhuǎn)發(fā)至有線傳輸層,繼而訪問(wèn)企業(yè)內(nèi)部資源或是互聯(lián)網(wǎng)資源,詳情可參考圖一。
圖一 企業(yè)傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)
(一)企業(yè)無(wú)線網(wǎng)絡(luò)傳統(tǒng)架構(gòu)數(shù)據(jù)流
傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)的確擴(kuò)展了企業(yè)園區(qū)網(wǎng)絡(luò)的覆蓋范圍,實(shí)現(xiàn)企業(yè)的各類(lèi)無(wú)線業(yè)務(wù),使得用戶(hù)對(duì)于應(yīng)用的獲取更為靈活和方便。在傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)中,其無(wú)線應(yīng)用的數(shù)據(jù)流主要以下幾個(gè)步驟:
1.用戶(hù)的無(wú)線終端設(shè)備通過(guò)加密信道連接至離自己最近的AP,這也是該架構(gòu)中唯一可以實(shí)施安全性的環(huán)節(jié)。
2.無(wú)線加密數(shù)據(jù)傳輸?shù)紸P后,由AP負(fù)責(zé)數(shù)據(jù)的解密,然后將數(shù)據(jù)橋接到企業(yè)的有線交換網(wǎng)絡(luò)。
3.橋接至有線交換網(wǎng)絡(luò)后,無(wú)線應(yīng)用數(shù)據(jù)流與企業(yè)中的有線數(shù)據(jù)流完全一致。
(二)企業(yè)無(wú)線網(wǎng)絡(luò)傳統(tǒng)架構(gòu)缺點(diǎn)
通過(guò)上述圖一所示以及無(wú)線數(shù)據(jù)流模的描述,可以清楚的知道,在傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)中無(wú)線數(shù)據(jù)流缺少統(tǒng)一的匯聚節(jié)點(diǎn),存在著諸多缺點(diǎn):
1.AP缺乏統(tǒng)一部署和管理。在企業(yè)傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)中,各個(gè)AP獨(dú)立運(yùn)行,企業(yè)管理員必須對(duì)每個(gè)AP進(jìn)行單獨(dú)配置,如此分散式的AP部署模式給管理帶來(lái)很大的不方便性。同時(shí),在網(wǎng)絡(luò)規(guī)劃中,一般會(huì)將無(wú)線用戶(hù)歸入同一個(gè)網(wǎng)段,以便在網(wǎng)絡(luò)中做簡(jiǎn)單的安全控制。然而,由于AP將部署在企業(yè)園區(qū)中不同的交換設(shè)備,為了滿(mǎn)足之前的要求,就不得不將無(wú)線網(wǎng)段在所有交換機(jī)上互相連通,這樣的部署容易造成地址在整個(gè)園區(qū)網(wǎng)中泛洪,顯然這并不符合最佳的網(wǎng)絡(luò)設(shè)計(jì)實(shí)踐的要求。
2.網(wǎng)絡(luò)安全難以保證。在企業(yè)園區(qū)網(wǎng)中,無(wú)線網(wǎng)絡(luò)的出現(xiàn)一方面擴(kuò)大了網(wǎng)絡(luò)覆蓋范圍,但另一方面也帶來(lái)了更多的安全隱患。由于每個(gè)AP獨(dú)立運(yùn)行,因此管理無(wú)線網(wǎng)絡(luò)的安全性變得十分困難,每個(gè)獨(dú)立的AP處理其各自的安全策略。無(wú)線數(shù)據(jù)流缺少統(tǒng)一的匯集點(diǎn),這意味著無(wú)法對(duì)無(wú)線數(shù)據(jù)流進(jìn)行集中統(tǒng)一的監(jiān)控,以實(shí)現(xiàn)入侵檢測(cè)和防范、服務(wù)質(zhì)量、帶寬控制等。同時(shí),用戶(hù)無(wú)線終端雖然可以與AP之間通過(guò)加密信道進(jìn)行數(shù)據(jù)傳輸,但由于無(wú)線通信環(huán)境的易獲取性和復(fù)雜性,黑客可以比較方便地對(duì)無(wú)線數(shù)據(jù)進(jìn)行截取、分析和解密,從而竊取到數(shù)據(jù)內(nèi)容。
3.AP間信號(hào)重疊,漫游功能欠靈活。在傳統(tǒng)的無(wú)線網(wǎng)絡(luò)架構(gòu)中,各個(gè)AP獨(dú)立運(yùn)行,相互之間沒(méi)有通信機(jī)制,因此每個(gè)AP都會(huì)將功率信號(hào)放到最大,這便會(huì)使得AP之間的信號(hào)重疊區(qū)域可能超過(guò)20%,而一般合理的信號(hào)重疊區(qū)域應(yīng)維持在10%左右。然而在重疊區(qū)域的用戶(hù)無(wú)線終端會(huì)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象。此外,由于AP之間相互獨(dú)立,當(dāng)用戶(hù)在從AP1的信號(hào)范圍移動(dòng)到AP2時(shí),無(wú)線終端需離開(kāi)AP1范圍即造成信號(hào)中斷后再連接AP2的信號(hào),在整個(gè)漫游過(guò)程中將造成數(shù)據(jù)包的大量丟失。
通過(guò)上述章節(jié),我們簡(jiǎn)單回顧了企業(yè)傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)流,指出該架構(gòu)的諸多不足之處。那么在接下來(lái)的論述中,針對(duì)安全和管理的問(wèn)題,文章引入一種新的架構(gòu)方式,即企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu),該架構(gòu)不但可為企業(yè)獲取靈活的無(wú)線業(yè)務(wù)應(yīng)用,同時(shí)還能保證其可管理性和安全性。
三、企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)
與傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)一樣,統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)也可分為四大區(qū)域。其中,無(wú)線接入層和網(wǎng)絡(luò)控制層的設(shè)備部署與傳統(tǒng)架構(gòu)相比存在較大不同:
在網(wǎng)絡(luò)控制層中,該架構(gòu)增加了無(wú)線控制器(Wireless LanController,下簡(jiǎn)稱(chēng)WLC)和無(wú)線控制系統(tǒng)(Wireless ControlSystem,下簡(jiǎn)稱(chēng)WCS)。WLC主要對(duì)AP進(jìn)行統(tǒng)一集中管理,以實(shí)現(xiàn)網(wǎng)絡(luò)的安全性和管理的靈活性,是無(wú)線網(wǎng)絡(luò)統(tǒng)一架構(gòu)的關(guān)鍵設(shè)備之一。WCS屬于配套管理系統(tǒng),在該架構(gòu)中可查看整個(gè)無(wú)線網(wǎng)絡(luò)覆蓋的信號(hào)強(qiáng)度和范圍,并能管理連接無(wú)線的用戶(hù),查看其身份,IP地址和具體的位置等功能,為統(tǒng)一無(wú)線架構(gòu)的更是增加了靈活方便的元素。
在無(wú)線接入層中,該架構(gòu)部署的AP為輕量級(jí)AP(LAP),俗稱(chēng)“瘦AP”,其意義在于LAP并不需要單獨(dú)配置,其配置通過(guò)WLC處自動(dòng)下發(fā)獲取,LAP與WLC之間實(shí)現(xiàn)基于LWAPP隧道封裝的通信機(jī)制,以確保無(wú)線網(wǎng)絡(luò)系統(tǒng)的統(tǒng)一性和安全性,詳情可參考圖二。
圖二 企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)
(一)企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)數(shù)據(jù)流
統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)針對(duì)傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)中的諸多缺點(diǎn),有了各方面的改進(jìn)。在論述該架構(gòu)之前,我們先對(duì)該架構(gòu)中的無(wú)線數(shù)據(jù)流進(jìn)行必要的描述:
1.用戶(hù)無(wú)線終端設(shè)備通過(guò)加密的無(wú)線信道接入至附近的LAP。
2.LAP接收到用戶(hù)無(wú)線終端的數(shù)據(jù),以LWAPP協(xié)議在二層通道對(duì)數(shù)據(jù)進(jìn)行隧道封裝(可參考圖二中的數(shù)據(jù)流描述),并通過(guò)證書(shū)方式對(duì)WLC進(jìn)行認(rèn)證。合法的WLC在通過(guò)認(rèn)證后,LAP才會(huì)將封裝后的用戶(hù)數(shù)據(jù)發(fā)送至WLC。此時(shí),LAP不負(fù)責(zé)對(duì)用戶(hù)數(shù)據(jù)進(jìn)行解密,解密過(guò)程由遠(yuǎn)端WLC完成。
3.WLC接收到LAP發(fā)送的數(shù)據(jù),先對(duì)LWAPP隧道進(jìn)行解封裝,如果數(shù)據(jù)加密則進(jìn)行解密,完成后根據(jù)原數(shù)據(jù)包目標(biāo)地址按路由轉(zhuǎn)發(fā),同時(shí)將原數(shù)據(jù)包源地址更改為自身設(shè)備的出口地址。4.由于WLC在轉(zhuǎn)發(fā)數(shù)據(jù)前將原數(shù)據(jù)包的源地址更改成自身設(shè)備的接口地址,因此回包數(shù)據(jù)將先被統(tǒng)一轉(zhuǎn)發(fā)至WLC,再由WLC進(jìn)行LWAPP隧道封裝發(fā)送給相應(yīng)的LAP,LAP收到數(shù)據(jù)進(jìn)行解封裝后發(fā)送至用戶(hù)的無(wú)線終端設(shè)備。其中,加密解密過(guò)程分別由WLC和用戶(hù)無(wú)線終端分別進(jìn)行,LAP并不參與。
(二)企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)優(yōu)點(diǎn)
根據(jù)對(duì)該架構(gòu)數(shù)據(jù)流的描述,不難發(fā)現(xiàn)企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)的優(yōu)勢(shì)主要有以下幾點(diǎn):
1.統(tǒng)一的AP管理和控制。在該架構(gòu)中,LAP并非獨(dú)立部署于企業(yè)園區(qū)中,它們的配置策略和運(yùn)行情況由WLC進(jìn)行統(tǒng)一管理和協(xié)調(diào)。接入的LAP會(huì)自動(dòng)同步WLC上的配置文件。在WLC中也能夠管理所有已注冊(cè)的合法LAP,當(dāng)某個(gè)LAP發(fā)生故障時(shí),WLC能夠及時(shí)針對(duì)指定LAP進(jìn)行排障。這使得管理員對(duì)于LAP的部署和管理非常的靈活便捷。
與此同時(shí),由于用戶(hù)無(wú)線終端與目標(biāo)應(yīng)用間的通信被LAP和WLC用LWAPP協(xié)議進(jìn)行隧道封裝傳送,因此無(wú)線用戶(hù)可以被設(shè)計(jì)在同一個(gè)網(wǎng)段中而并不需要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行二層的貫通,LAP本身的地址可以與歸屬的二層交換機(jī)同一網(wǎng)段。這樣的設(shè)計(jì)并不會(huì)對(duì)企業(yè)園區(qū)網(wǎng)造成地址泛洪的影響,是比較優(yōu)化的網(wǎng)絡(luò)設(shè)計(jì)實(shí)踐。
2.網(wǎng)絡(luò)安全性有保障。在傳統(tǒng)無(wú)線網(wǎng)絡(luò)架構(gòu)中,無(wú)線數(shù)據(jù)流缺少集中的匯聚點(diǎn),這導(dǎo)致安全策略難以集中統(tǒng)一部署。然而在該架構(gòu)中的無(wú)線數(shù)據(jù)流在WLC處有統(tǒng)一的匯聚點(diǎn)。在該匯聚點(diǎn)上,管理員可統(tǒng)一實(shí)施相應(yīng)的安全策略,如認(rèn)證授權(quán)、防入侵檢測(cè)、服務(wù)質(zhì)量控制等一系列的管理功能,這將大大提升無(wú)線網(wǎng)絡(luò)的自身的安全性。同時(shí),在此架構(gòu)中,無(wú)線數(shù)據(jù)的加密解密分別由用戶(hù)的無(wú)線終端與WLC之相互交替進(jìn)行,并且在整個(gè)傳輸過(guò)程中都是被隧道封裝在LWAPP隧道中,這使得黑客比較難以從中通過(guò)對(duì)數(shù)據(jù)包的監(jiān)聽(tīng)到而實(shí)施破解,也從另一個(gè)方面加強(qiáng)了無(wú)線數(shù)據(jù)的安全性。
3.支持靈活漫游機(jī)制。在該架構(gòu)中,利用WLC的功能,LAP之間存在信號(hào)的交互,也可自動(dòng)收斂信號(hào),使得信號(hào)重疊的區(qū)域始終維持在10%左右,從而保證最佳的無(wú)線通信環(huán)境。WLC還可自動(dòng)為每個(gè)LAP分配信道。以避免各個(gè)LAP之間使用相同的信道而產(chǎn)生沖突。同時(shí),用戶(hù)在移動(dòng)過(guò)程中可實(shí)現(xiàn)在LAP之間的自動(dòng)切換漫游機(jī)制,最大程度提升無(wú)線通信的效率。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083943750.html