一、电力业务发展对WLAN的需求分析
随着电力业务的不断扩充,电力营业网点、计量、报修站点如雨后春笋在各地区成立,有些地区电力城域网络网络布线系统无法满足终端快速增长的要求,同时越来越普及的移动办公,手持电力数据采集、检测、抄表终端的广泛采用,使电力客户对无线网络(WLAN)的需求更加强烈。
传统的WLAN网络都是为企业或家庭内少量移动用户的接入而组建的,这类网络典型的组网方式是采用FAT AP+有线交换机的分布式WLAN组网模式,由AP来完成用户的无线接入、用户权限认证、用户安全策略实施,对WLAN网络设备的管理也是分布式的。随着WLAN技术的成熟和应用的普及,越来越多的电力企业开始大规模部署WLAN网络,接入的用户数和无线设备的规模都在成倍增长,网络维护人员在建设和维护WLAN网络时发现采用传统的WLAN组网和管理模式已经很难适应现有的WLAN网络规模。目前在电力城域网部署中大型WLAN网络的建设和维护中遇到的主要问题有:
1. WLAN建网时需要对成百上千的AP进行逐一配置:网管IP地址、SSID和加密认证方式等无线业务参数、信道和发射功率等射频参数、ACL和QOS等服务策略,很容易因误配置而造成配置不一致。
2. 为了管理AP,需要维护大量AP的IP地址和设备的映射关系,每新增加一批AP设备都需要进行地址关系维护。
3. 接入AP的边缘网络需要更改VLAN、ACL等配置以适应无线用户的接入,为了能够支持用户的无缝漫游,需要在边缘网络上配置所有无线用户可能使用的VLAN和ACL。
4. 察看网络运行状况和用户统计时需要逐一登录到AP设备才能完成察看。在线更改服务策略和安全策略设定时也需要逐一登录到AP设备才能完成设定。
5. 升级AP软件无法自动完成,维护人员需要手动逐一对设备进行软件升级,费时费力
6. AP设备的丢失意味着网络配置的丢失,在发现设备丢失前,网络存在入侵隐患,在发现设备丢失后又需要全网重配置。
随着建网、组网问题的不断出现,一种全新的WLAN网络架构-无线控制器+FIT AP集中式WLAN管理模式应运而生。无线控制器+FIT AP控制架构对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP和无线控制器中,以便于给用户呈现统一的网络管理接口:
1. FIT AP的配置保存在无线控制器中,FIT AP启动时会自动从无线控制器下载合适的设备配置信息
2. FIT AP需要能够自动获取IP地址,同时FIT AP需要能够自动发现可接入的无线控制器,并对无线控制器和FIT AP之间的网络拓扑不敏感
3. 无线控制器支持FIT AP的配置代理和查询代理,能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备,同时可以实时察看FIT AP的状态和统计信息
4. 无线控制器保存FIT AP的最新软件,并负责FIT AP软件的自动更新
H3C公司通过这一全新的网络管理接口可以很好的解决目前电力系统中大型WLAN网络组网中存在的管理问题:
1. 用户只需要建立业务参数模板和设备参数模板,并设定指定的AP引用这些模板,当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置,用户的配置工作量大大减少。
2. 用户对FIT AP的管理是通过无线控制器来代理完成,网管不再关心FIT AP的IP地址,FIT AP和无线控制器之间的关联是自动完成,不再需用户对AP进行的配置干预。
3. 无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中,接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置
4. 无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息,维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代理完成,因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备,而只需要登录到指定的无线控制器就可以完成设置,无线控制器会自动把新的配置下发到指定的FIT AP。
5. 用户不再需要手动逐一对AP设备进行软件升级,AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,FIT AP会自动更新本地的软件影像。
6. AP本地不再保存配置信息,即使设备丢失也不存在因配置丢失而出现的安全隐患。
二、H3C方案特色概述
根据客户的实际情况,推荐在电力城域网中采用FIT AP组网方案,一般总部核心无线控制器设备采用有线无线一体化的H3C SS9500/S7500E等系列中高端万兆交换机加无线控制器插卡,本部和分支机构无线接入AP采用WA2110等,通过POE提供AP工作电源。
方案拓扑如下所示:
方案有如下特点:
H3C公司FIT AP解决方案,采用集中式架构,在原有网络增加无线功能时,可以轻松地把原来有线企业网络,在不改变其网络的原有规划和部署的情况下,甚至不需要中断原有网络就可以轻松叠加一个无线网络,该无线网络和原有的有线网络可以形成有线无线一体化的接入方案,这种保护客户已有投资的升级方法,可以大大减少网络升级和部署的成本。
Ø 易于管理、AP“零配置”
传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个AP,工作量巨大,且容易出错。而采用无线控制器和FIT AP配合组网时,只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置文件。另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联,真正做到了零配置,免维护,即插即用,极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后,无线控制器对所管理的AP以及AP所接入的用户进行实时监控,并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。
Ø 方便升级
AP还支持软件自动更新功能,在其每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。
Ø 三层漫游
无线控制器支持三层漫游,并支持快速漫游,漫游切换时间小于50ms,满足对切换时间要求最苛刻的语音业务。
Ø 支持虚拟AP
WA2110-AG支持多SSID实现虚拟AP特性,每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。
Ø 丰富的RF管理和安全
RF管理功能,可以使得无线网络的布网灵活性大大增强,网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段,信道和功率还需要按照国家代码自动设置,无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新,更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离,从而可以采取相应的策略来提升网络可用性。
Ø 支持智能的负载均衡
支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP,但如果无线用户不在AP的重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。H3C公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
Ø IPv6
无线控制器实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联,从而使组网方式更加灵活,可以满足今后电力网络发展的需要,保护用户投资。
Ø 完善的QoS
无线控制器基于H3C公司最新的Comware V5平台开发,不但对Diff-Serv标准进行了完善,同时还增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,可为用户提供具有不同服务质量等级的服务保证, 真正成为同时承载数据、语音和视频业务的综合网络。
Ø 有线无线一体化的网管系统
在网络管理上,对有线与无线网络实现统一的管理,避免传统方式管理分离的尴尬。
Ø 支持EAD无线接入
H3C端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。H3C系列无线控制器支持无线用户的EAD接入,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了电力城域网络的整体安全性。
Ø 电源热备份
有线无线一体化方式有效的借用了中高端有线网络的优势,实现电源的热备份,从而最大限度的保证了网络稳定运行。
Ø 支持硬件加解密
WA2110-AG采用了业界先进的无线芯片,支持WEP/TKIP/AES等硬件加解密算法,使系统应用更加安全。