企业无线局域网建设方式的研究.doc

企业无线局域网建设方式的研究 　　【摘要】 本文对无线局域网的LAN接入方式和PON接入方式进行了分析和对比，简述了WLAN系统方案，笔者结合无线局域网发展的实践谈了自己的建议。 　　【关键词】 WLAN LAN PON 　　一、背景 　　在未来信息无所不在的时代，无线网将依靠其无法比拟的灵活性，极强的可扩容性，使人们真正享受到简单、方便、快捷的连接。无线局域网在很多应用领域有独特的优势：可移动性，它提供了不受线缆限制的应用，用户可随时上网；安装容易，无须布线或减少布线，大大节约了建网时间；组网灵活，即插即用，网络管理人员可以迅速将其加入到现有的网络中；成本低，特别适合于变化频繁的工作场合。因此，为满足企业生产、管理工作流程优化，实现无线和移动工作管理，提高工作效率，需要在企业内部署无线局域网，实现无线局域网信号覆盖，为各类数据提供无线高速传输通道。 　　二、接入方式 　　本文中的无线局域网是指通过无线介质进行数据传送的局域网，工作于2.4GHz/5.8GHz频段，遵循IEEE 802.11系列协议无线局域技术，采用独立的无线局域网设备的网络。为避免出现带宽瓶颈，应合理选择传输方式，目前网络覆盖主要有LAN接入方式和PON接入方式。 　　2.1 LAN接入方式 　　LAN接入方式，也称作以太网接入方式，点到点是最直接的以太网光纤接入技术，也就是交换机级联方案。为满足无线局域网的接入，承载网络宜采用三级组网模式，由核心层、汇聚层和接入层构成，实现二三层网络的分离，网络结构合理清晰，业务控制能力强；为保证信息安全和用户管理，划分鉴权中心和综合管理两个区域，具体组网示意图如下图所示。 　　（1）核心层。核心层部署两台高性能交换机，承载所有业务数据的汇聚和快速转发。（2）汇聚层。汇聚层由汇聚交换机组成，负责区域接入交换机的收敛与汇聚。（3）接入层。接入层由POE交换机组成，负责企业内生产区、办公区等相关需覆盖区域部署AP的接入。（4）鉴权中心。为保证企业信息安全，需对用户进行管理认证，部署无线控制器、鉴权服务器、入侵检测系统等安全保障系统接入核心交换机，实现对用户的安全防护。目前主要有三种认证方式：PPPoE、WEB和802.1X。PPPoE认证功能只有在BAS上实现，即BRAS做认证点；802.1X必须在AP做认证点，可动态产生密钥，完成对无线链路（AP到无线客户端）加密；WEB认证功能在AP、AC和BAS上都可以实现。所以企业大多采用AC作为认证点，支持WEB认证方式。（5）综合管理。为方便日常管理和对用户的行为进行分析，部署上网行为管理系统和运维管理系统，为网络运行和用户行为分析提供基础数据，在日常网络管理工作中提供设备及链路的性能、故障实时监测等。 　　2.2 PON接入方式 　　PON接入方式有EPON/GPON两种，趋势是GPON系统，GPON系统可实现WLAN的AP、宽带上网、电话、视频等多业务的承载。适用于多网合一的应用场景。若增加SBC/IP PBX设备实现与运营商固定语音网络对接，可实现内部短号码，内外部呼叫公网等功能。网络拓扑如下图示： 　　GPON采用上下行不对称带宽分配方式，下行2.5Gbps，上行1.2Gbps，高带宽能更简单、通用、高效地支持全业务。为增强系统可靠性，OLT可以考虑1+1冗余备份。 　　（1）网管支撑系统。主要包括集中网管系统和认证计费系统。 　　◆集中网管系统：OLT、路由器、交换机、防火墙等实现网络监控、配置和业务的快速开通等。 　　◆认证计费系统：通过宽带接入服务器、Radius服务器、3A服务器Portal服务器等的部署实现有线、无线接入用户的认证、计费和管理等功能。 　　（2）安全系统。 　　◆防火墙的部署，主要实现边界控制，过滤、屏蔽所有不安全的或不符合安全规则的数据包，杜绝越权访问，防止非法攻击等；部署高性能防火墙，实现双机热备，进一步提高防火墙系统的可靠性。 　　◆入侵防御系统部署。实现攻击防御、集中管理、实时监控和网络审计等功能；可对所有主流网络访问协议，包括网页访问（Http）、邮件收发（Smtp/Pop3）、下载（FTP/ BT）、远程登陆（Telnet）、聊天（MSN）、P2P等进行有效地监测和动态防御，并对实时检测到的网络流量，进行及时地分析和响应；对攻击检测、内容恢复、网络流量等操作进行实时审计和分析，并可以对产生的事件生成统计图表、报表，通过图表数据直观地查看和分析网络信息的统计结果。 　　◆WEB应用防护。用于控制网络的Web访问管理系统，软件通过控制底层TCP/IP通讯数据，管理整个网络的Web访问权限和行为，对DMZ区服务器群进行防护。 　　◆防病毒服务器。防病毒服务器可以对整个网络系统进行病毒查杀。 　　◆统