锐捷无线方案

《锐捷无线方案》由会员分享，可在线阅读，更多相关《锐捷无线方案（10页珍藏版）》请在装配图网上搜索。

1、高性能、高稳定性的智能无线组网架构传统的自治型无线接入点（胖AP）架构中，每个无线接入点都是一个独立的管理与工作单元，无法 进行任何沟通，如果需要对全网设备进行管理，需要逐台进行配置和管理，不仅费时、费力、维护成本高， 而且所有的无线网络设备无法形成一个整体，也就无法具备整体协作的安全防御能力，最终导致整个网络 的融合性差。锐捷网络已经在三年前在教育行业率先推出的“智能无线交换架构”，已经经过三年的各大院校的实 践应用的检验。这种创新性的架构，通过无线交换机MX系列产品的控制，无线接入点可具备根据不同用户、 不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机，对于FT

2、P、视频点播 这类大量占用网络资源且安全性要求较低的应用，可以直接通过本地有线网络进行转发，而对于教务系统、 考试系统、身份认证系统这类安全性要求高的应用，则可以将流量通过加密隧道送到无线交换机，防止加 密数据在有线网络传输中的被非法用户窃取。*勺益岭粒理M艺巫* S02.Hn 童 丁三占ft畔不St鼻二比遵日;吐广翼丘詔呂O丸tin施亂不会冲击 智施无线仝换悴系制華的龄IT件诫的淡星这样不仅可以保持原有的无线交换机架构解决方案的优势，更可以根据网络的实际情况将时延敏感、 流量较大的数据流分离到有线网络直接处理，将管理控制报文、安全控制要求高的报文送交无线交换机处 理，避免无线交换机成为数据转

3、发的瓶颈。同时，这种架构可以确保无线网络承载业务的高稳定性。无线交换机产品通过支持集群和冗余能力， 可以实现多台无线交换机对同一个无线接入点提供服务。由于无线交换机之间采用了虚拟化技术，可实时 的实现AP与用户的在线信息同步，如果一台无线交换机出现宕机，与其控制的无线接入点失去联系，那么 将另一台或者多台无线交换机将立即接管这些无线接入点。在这个过程当中，用户不会掉线，并且仍然保 持正常通信状态。如果是一台无线接入点发生故障，无线交换机可支持自恢复功能，通过快速查询该故障无线接入点邻 近的无线接入点，调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作，迅速补充盲点， 并实时向网络中

4、心的无线交换机汇报，通知网管人员尽快更换故障无线接入点，更换之后，无线交换机将 原先的配置信息下发到新的无线接入点上，邻接的无线接入点的射频参数调节恢复成原有状态，接替工作 结束。在这整个切换期间，对用户的访问完全没有影响。因此，这种冗余特性将极大的保证了整网工作的 可靠性。同时，无线接入点支持双以太口上联，即一台无线接入点同时能连接到接入交换机的2个端口上，当 无线接入点的一个以太口与其中交换机的一个端口出现故障时，另一个以太口会按照先前设置的BIAS值切 换到另一台交换机上，而这个切换过程对于用户来说是透明的。除此之外，无线交换机支持同时对应多台RADIUS服务器，能够设置RADIUS组群

5、来实现服务器之间的 冗余和负载均衡。当网络某一时刻的认证请求数过多造成某台RADIUS服务器宕机，这时组群会按照当前的 RADIUS服务器的负载状态指定一台备用服务器来响应用户认证请求。永不中断的移动访问无缝漫游是无线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游，一旦 无线用户跨越网段，就会由于重新获取IP地址、重认证、重新验证加密等过程，而导致漫游的失败和通信 的中断。这对于无线用户众多的学校而言，是无法接受的。锐捷网络智能无线交换架构，由于所有用户信息并不保存在本地的无线接入点中，而是全部更新在无 线交换机上，因此无论是单台无线交换机还是多台无线交换机的集群体，包括

6、连接状态、认证状态、IP地 址分配信息、加密验证状态等用户信息总是实时共享的，即便是无线用户跨网段移动，由于还是处于一台 或多台无线交换机的控制下，所以还是会延续原有的IP地址、认证与加密方式，因此也不会中断连接。实 现这一过程，并不需要有线网络的参与，对有线网络和无线用户而言都是透明的。所以，这种三层漫游技 术对于延迟敏感的语音业务有重大的意义。3堂窗afm tsti 別户IMH眄 VMfnahFKi i-.m 酬户9fR-fr 匕 U 册目户丰富而强大的全网智能管理无线网络生命周期的管理有线网络的管理侧重与对网络设备和用户的管理，而无线网络的管理除了对设备和用户的管理外，更 强调的是对无线

7、网络生命周期的管理，这其中包含了建设前的射频规划管理，建设中的射频优化管理以及 无线网络建成后的设备运行状态管理。对于习惯了使用SNMP软件管理有线网络的网络管理员来说，尝试管理一套无线网络的确是个不小的 挑战。怎样布放AP会达到最好的效果？如何判断无线网络的射频环境有没有干扰？如果网络中有无线攻击 现象，该怎么解决呢？这些问题都将会出现在网络管理员面前。如何通过一种简单的工具或者方法来配置和管理无线网络，是网络管理员最需要的。锐捷网络“面向 无线网络生命周期”的管理系统强调无线网络生命周期的管理，涵盖了无线网络的规划、部署、优化、监 测和报表五大方面。无线射频规划在无线网络的初期规划阶段，确

8、定AP的安放位置是一件工作量巨大且需要专业人员从事的工作。以 往通常是由专业的无线网络规划人员对安装现场进行详细的实地勘察，并在重点区域架设测试设备以确定 AP的具体安放位置和数量。由于此项工作耗时耗力且大量依赖于经验数据，对于规模较大并且楼栋较多的 无线网络项目来说，计算出AP的数目可能会与实际需求数量产生比较大的差异。智能无线交换解决方案能够提供对覆盖区域的3D软件仿真，通过向仿真软件中导入建筑物CAD图和 相应的建筑参数，仿真程序能够自动计算出覆盖区域的AP数量和具体安装位置，同时生成信号覆盖的热敏 图。为了提高网络管理员管理无线网络时的便利性，锐捷网络智能无线解决方案中提供了三种配置方

9、法: 命令行、web界面管理和RingMaster网管软件，其中RingMaster网管系统是三种管理方式中最强大也是 最专业的一种，并且提供了全图形化的操作界面。管理员配置无线网络时，无需单独对每个设备的功能和性能参数进行设置和调整，只需要选择好相应 的配置模板，由配置模板的向导来指导管理员的操作。配置完成后，网管软件会自动对配置进行检查和检 验，在确认无误的情况下，提供用户确认配置并将配置参数下发到所有的无线交换机和AP中。2bl t-uwm. itk4(7u-ibih iida J ij J M111-i rllhW IHiitahtrtt U d.IHMHHri ril rtairpi

10、l二IWI71Iwl rrr- 1 iEUl Ml 出石円 ii 1 lO- llfl L A F.L JR- Hl 用 X 2- iH 1 r .i-.?nrfiMdxR nr vi Ur罠亠4nhrJiAi VLUKKP 丄 snh 4111 la u * 卜耳FiKina.!)-a .I. idiri-i d ij 单 th* i ftFi lii hJ -julh DkTTJkBHtJ*MrJvhlM-Hi 1 HWRfRiH :t-xaii ii iwiuM-ih. 啓nifll-lbBTF.*U. UH U L piflijoiip = r,42丿上01 丄，4_H_! AU .

11、u m 1.11. VkLJlta多维度的状态监控锐捷网络智能无线交换解决方案中的无线监控组件，让用户直观了解网络部署情况及设备和链路的当 前状态。它可根据不同的维度进行分类显示，实时的提供网络运行中的各方面参数。通过RingMaster网络管理平台，管理人员可以对移动终端的信息进行查看，包括用户名、IP地址、 MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在无线交换机、所在AP设备等，并能查看 各移动终端的全部漫游记录，可以随时了解最终接入用户的情况，并对其接入轨迹进行审计。此外，RingMaster提供服务策略和射频策略的管理，通过模板的方式对设备进行批量管理，使用户

12、快速完成网络配置。策略模板除手工添加外，还提供从文件导入和设备导入功能，用户可以从系统导出或 导入模板，也可从某一标准配置设备上导入配置形成模板，下发到其它设备，完成策略的批量下发功能， 极大地减少用户的维护工作量，降低维护成本。对于无线校园网，射频环境的优劣将直接影响无线网络的稳定性和链路带宽的品质，因此，对全校需 要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石。锐捷网络的无线交换机支持先进的智能化无线电射频监测和调控能力，这种强大的射频监测能力不仅 表现在对大规模无线网络的后期管理工作中，即便是在初次安装无线网络时，网管人员也可以在网络中心 机房，通过无线交换机来自动调节整网所有无

13、线接入点的射频参数，比如频率、信道、功率等。无线接入点之间会自动协调射频参数，直到相邻的无线接入点之间达到最优无线电射频运行环境，并把最终调整结 果返回给无线交换机。精细化的负载均衡在锐捷网络的智能无线交换体系中，负载均衡是体现“智能”的重要指标。一般无线网络的负载均衡 包含两个层面：用户的负载均衡和AP的负载均衡。在用户的负载均衡方面，由于受到客户端无线网卡底层驱动算法机制的限制，用户总是会连上信号最 强的AP，而并没有考虑到该AP是否能够提供最佳的服务。锐捷网络无线交换机可以根据周围无线信号覆 盖情况以及用户的流量需求，动态的将用户迁移连接到其他可用AP上，将用户流量分配到其他可用AP,

14、从而保证了整个无线网络的高效能和高可用度。例如在一个用户较多的会议室，正常情况下大约有15人左 右，采用一个AP即可满足需求，但当用户数突然增加后，导致该AP无法连接数过多，而此时，位于会议 室外的AP由于相对于会议室来说，信号虽然比较弱，但仍然是可以满足一定的网络用量，此时无线交换机 则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡，保障了网络的畅通。在AP的负载均衡方面，通过无线交换机的集群配置，当集群中增加无线交换机时，集群中所有AP会 根据各个无线交换机上注册的AP数量，进行AP的负载均衡，如图所示：当增加新的AP时，新AP立刻根据集群中的各个无线交换机的AP负载情况，负载

15、均衡到所有能够提供 资源的无线交换机上，如图所示：定制化的日志报表输出公安部第八十二号令中规定，“互联网提供者必须记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。”网络由于其物理特性，无法实现像有线网络一样对接入用户进行IP、端口和MAC地址的绑定，以及 对用户的上网行为进行一对一的监察。因此，管理员对无线用户的访问历史进行记录和查询提出明确的需RingMaster网络管理平台具有长达30天的日志报表记录功能，并能提供个性化的日志记录和报表输 出，例如对用户上网时间、IP、MAC地址、访问地点、漫游情况进行全程记录，对无线网络设备的运行状态、端口流量、系

16、统负载进行报表输出。|为R irrriMiKrrf 1 rnffli; Rrfiittt WIntrirnci EniiKirnren圈1匚it辻 pw hiorte-sflplp饕冃八Q Out iD-i.k-KLb- Errur附 rt-旳婚15iflH总LiSl! PM mr阴105311fl5 ：5d： 3u PM PEI-3J阳1311 303TrdpeicAiEr - TTI irouyilBfLilThroughput-J55ITQ厂 i J T4j c&rrpiE? _精细化的带宽控制和QoS策略通过无线交换机的全局控制，可以轻松地实现对每一台无线接入点的上行带宽、甚至每一个用

17、户带宽 的控制。同时，针对不同的用户业务类型（如语音通信），无线交换机可以集中设置定义不同的QoS队列， 比如将SIP和RTP协议可设定在高的队列，而一般应用如HTTP、FTP则可设定在较低的队列。这样将对于 语音、视频等对时延敏感的业务，将可以得到最佳的带宽与传输质量保证。安枕无忧的移动化校园网 安全策略的集中实现智能无线交换解决方案在安全方面可分为四个方面：1、合法用户的安全准入：判断用户身份是否合法，可通过无线交换机内置的身份认证系统来实现。2、合法设备的安全准入：用户虽然合法，但是合法设备如果代理一台外来的设备入网，该设备可能 带来入侵和安全隐患。无线交换机可比对用户设备的合法性，比如

18、IP和MAC地址等，来保证合法设备的安 全。3、合法网络的安全准入：合法的无线网内，经常存在用户私自搭建小无线网，并对用户提供非法服 务，通常表现为私自搭建SOHO无线局域网，并接入在有线网络端口。由于SOHO设备缺乏足够的安全功能， 无形中将网络范围扩大，很有可能带来安全隐患。无线交换机能够提供240种入侵检测与防护规则来发现 和屏蔽非法AP,必要时可采取反制行为。4、合法射频环境的安全准入：情景同第三种，非法的AP占用合法的无线信道，必然会影响合法AP 的正常工作，无线交换机扫描到这种情况后，立即上报网管平台，管理员通过网管可以定位到非法设备的 物理位置，并进行现场排查、消除隐患。Iden

19、tity drives Trust町療爭输的必竝仪隹卅扎 J-*.冷註円馆的Bonded Atrf &ntion无线网络入侵检测无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。这其中 包括非法无线接入点的防范与非法用户连接访问的防范。非法无线接入点一旦进入无线接入点的扫描范围内，立即会被无线交换机识别为Rouge设备，并根据 当前安全策略的等级实施无线反击。tt JfiV f?fVr&AP器jLo 曲旌阿广畑上事扶AP0兀红用址蛾测评迎历手祜很越帘輪主VI另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵 和攻击工具，而原

20、先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DDOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线，但网 管人员却无法在第一时间得到报警。利用锐捷网络的active-scanning技术，可以实时检测异常的无线数 据包，当无线系统侦测出有入侵时，它会记录和显示入侵的模式，并对入侵做出自动保护响应和报警，并 提醒网管人员注意并提示相应的解决措施。病毒入侵防护对无线终端的病毒防护可分为无线终端的准入检查和对无线终端发出数据进行有效的检查。当无线终端试图访问网络，在该用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操 作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，如果不能通过检查，可以 设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软 件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。通过了准入检查后，如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 通过和第三方的防病毒厂家合作，锐捷网络的无线交换机可以允许设定安全策略，对于某些用户以及某些 可能沾染病毒的数据，将其重定向到防病毒设备上进行防病毒检查，检查完成后，才允许通过，否则会将 数据丢弃。