呂偉

【摘要】 本文對(duì)無(wú)線局域網(wǎng)的LAN接入方式和PON接入方式進(jìn)行了分析和對(duì)比，簡(jiǎn)述了WLAN系統(tǒng)方案，筆者結(jié)合無(wú)線局域網(wǎng)發(fā)展的實(shí)踐談了自己的建議。

【關(guān)鍵詞】 WLAN LAN PON

一、背景

在未來(lái)信息無(wú)所不在的時(shí)代，無(wú)線網(wǎng)將依靠其無(wú)法比擬的靈活性，極強(qiáng)的可擴(kuò)容性，使人們真正享受到簡(jiǎn)單、方便、快捷的連接。無(wú)線局域網(wǎng)在很多應(yīng)用領(lǐng)域有獨(dú)特的優(yōu)勢(shì)：可移動(dòng)性，它提供了不受線纜限制的應(yīng)用，用戶(hù)可隨時(shí)上網(wǎng)；安裝容易，無(wú)須布線或減少布線，大大節(jié)約了建網(wǎng)時(shí)間；組網(wǎng)靈活，即插即用，網(wǎng)絡(luò)管理人員可以迅速將其加入到現(xiàn)有的網(wǎng)絡(luò)中；成本低，特別適合于變化頻繁的工作場(chǎng)合。因此，為滿(mǎn)足企業(yè)生產(chǎn)、管理工作流程優(yōu)化，實(shí)現(xiàn)無(wú)線和移動(dòng)工作管理，提高工作效率，需要在企業(yè)內(nèi)部署無(wú)線局域網(wǎng)，實(shí)現(xiàn)無(wú)線局域網(wǎng)信號(hào)覆蓋，為各類(lèi)數(shù)據(jù)提供無(wú)線高速傳輸通道。

二、接入方式

本文中的無(wú)線局域網(wǎng)是指通過(guò)無(wú)線介質(zhì)進(jìn)行數(shù)據(jù)傳送的局域網(wǎng)，工作于2.4GHz/5.8GHz頻段，遵循IEEE 802.11系列協(xié)議無(wú)線局域技術(shù)，采用獨(dú)立的無(wú)線局域網(wǎng)設(shè)備的網(wǎng)絡(luò)。為避免出現(xiàn)帶寬瓶頸，應(yīng)合理選擇傳輸方式，目前網(wǎng)絡(luò)覆蓋主要有LAN接入方式和PON接入方式。

2.1 LAN接入方式

LAN接入方式，也稱(chēng)作以太網(wǎng)接入方式，點(diǎn)到點(diǎn)是最直接的以太網(wǎng)光纖接入技術(shù)，也就是交換機(jī)級(jí)聯(lián)方案。為滿(mǎn)足無(wú)線局域網(wǎng)的接入，承載網(wǎng)絡(luò)宜采用三級(jí)組網(wǎng)模式，由核心層、匯聚層和接入層構(gòu)成，實(shí)現(xiàn)二三層網(wǎng)絡(luò)的分離，網(wǎng)絡(luò)結(jié)構(gòu)合理清晰，業(yè)務(wù)控制能力強(qiáng)；為保證信息安全和用戶(hù)管理，劃分鑒權(quán)中心和綜合管理兩個(gè)區(qū)域，具體組網(wǎng)示意圖如下圖所示。

（1）核心層。核心層部署兩臺(tái)高性能交換機(jī)，承載所有業(yè)務(wù)數(shù)據(jù)的匯聚和快速轉(zhuǎn)發(fā)。（2）匯聚層。匯聚層由匯聚交換機(jī)組成，負(fù)責(zé)區(qū)域接入交換機(jī)的收斂與匯聚。（3）接入層。接入層由POE交換機(jī)組成，負(fù)責(zé)企業(yè)內(nèi)生產(chǎn)區(qū)、辦公區(qū)等相關(guān)需覆蓋區(qū)域部署AP的接入。（4）鑒權(quán)中心。為保證企業(yè)信息安全，需對(duì)用戶(hù)進(jìn)行管理認(rèn)證，部署無(wú)線控制器、鑒權(quán)服務(wù)器、入侵檢測(cè)系統(tǒng)等安全保障系統(tǒng)接入核心交換機(jī)，實(shí)現(xiàn)對(duì)用戶(hù)的安全防護(hù)。目前主要有三種認(rèn)證方式：PPPoE、WEB和802.1X。PPPoE認(rèn)證功能只有在BAS上實(shí)現(xiàn)，即BRAS做認(rèn)證點(diǎn)；802.1X必須在AP做認(rèn)證點(diǎn)，可動(dòng)態(tài)產(chǎn)生密鑰，完成對(duì)無(wú)線鏈路（AP到無(wú)線客戶(hù)端）加密；WEB認(rèn)證功能在AP、AC和BAS上都可以實(shí)現(xiàn)。所以企業(yè)大多采用AC作為認(rèn)證點(diǎn)，支持WEB認(rèn)證方式。（5）綜合管理。為方便日常管理和對(duì)用戶(hù)的行為進(jìn)行分析，部署上網(wǎng)行為管理系統(tǒng)和運(yùn)維管理系統(tǒng)，為網(wǎng)絡(luò)運(yùn)行和用戶(hù)行為分析提供基礎(chǔ)數(shù)據(jù)，在日常網(wǎng)絡(luò)管理工作中提供設(shè)備及鏈路的性能、故障實(shí)時(shí)監(jiān)測(cè)等。

2.2 PON接入方式

PON接入方式有EPON/GPON兩種，趨勢(shì)是GPON系統(tǒng)，GPON系統(tǒng)可實(shí)現(xiàn)WLAN的AP、寬帶上網(wǎng)、電話(huà)、視頻等多業(yè)務(wù)的承載。適用于多網(wǎng)合一的應(yīng)用場(chǎng)景。若增加SBC/IP PBX設(shè)備實(shí)現(xiàn)與運(yùn)營(yíng)商固定語(yǔ)音網(wǎng)絡(luò)對(duì)接，可實(shí)現(xiàn)內(nèi)部短號(hào)碼，內(nèi)外部呼叫公網(wǎng)等功能。網(wǎng)絡(luò)拓?fù)淙缦聢D示：

GPON采用上下行不對(duì)稱(chēng)帶寬分配方式，下行2.5Gbps，上行1.2Gbps，高帶寬能更簡(jiǎn)單、通用、高效地支持全業(yè)務(wù)。為增強(qiáng)系統(tǒng)可靠性，OLT可以考慮1+1冗余備份。

（1）網(wǎng)管支撐系統(tǒng)。主要包括集中網(wǎng)管系統(tǒng)和認(rèn)證計(jì)費(fèi)系統(tǒng)。

◆集中網(wǎng)管系統(tǒng)：OLT、路由器、交換機(jī)、防火墻等實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、配置和業(yè)務(wù)的快速開(kāi)通等。

◆認(rèn)證計(jì)費(fèi)系統(tǒng)：通過(guò)寬帶接入服務(wù)器、Radius服務(wù)器、3A服務(wù)器Portal服務(wù)器等的部署實(shí)現(xiàn)有線、無(wú)線接入用戶(hù)的認(rèn)證、計(jì)費(fèi)和管理等功能。

（2）安全系統(tǒng)。

◆防火墻的部署，主要實(shí)現(xiàn)邊界控制，過(guò)濾、屏蔽所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包，杜絕越權(quán)訪問(wèn)，防止非法攻擊等；部署高性能防火墻，實(shí)現(xiàn)雙機(jī)熱備，進(jìn)一步提高防火墻系統(tǒng)的可靠性。

◆入侵防御系統(tǒng)部署。實(shí)現(xiàn)攻擊防御、集中管理、實(shí)時(shí)監(jiān)控和網(wǎng)絡(luò)審計(jì)等功能；可對(duì)所有主流網(wǎng)絡(luò)訪問(wèn)協(xié)議，包括網(wǎng)頁(yè)訪問(wèn)（Http）、郵件收發(fā)（Smtp/Pop3）、下載（FTP/ BT）、遠(yuǎn)程登陸（Telnet）、聊天（MSN）、P2P等進(jìn)行有效地監(jiān)測(cè)和動(dòng)態(tài)防御，并對(duì)實(shí)時(shí)檢測(cè)到的網(wǎng)絡(luò)流量，進(jìn)行及時(shí)地分析和響應(yīng)；對(duì)攻擊檢測(cè)、內(nèi)容恢復(fù)、網(wǎng)絡(luò)流量等操作進(jìn)行實(shí)時(shí)審計(jì)和分析，并可以對(duì)產(chǎn)生的事件生成統(tǒng)計(jì)圖表、報(bào)表，通過(guò)圖表數(shù)據(jù)直觀地查看和分析網(wǎng)絡(luò)信息的統(tǒng)計(jì)結(jié)果。

◆WEB應(yīng)用防護(hù)。用于控制網(wǎng)絡(luò)的Web訪問(wèn)管理系統(tǒng)，軟件通過(guò)控制底層TCP/IP通訊數(shù)據(jù)，管理整個(gè)網(wǎng)絡(luò)的Web訪問(wèn)權(quán)限和行為，對(duì)DMZ區(qū)服務(wù)器群進(jìn)行防護(hù)。

◆防病毒服務(wù)器。防病毒服務(wù)器可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行病毒查殺。

◆統(tǒng)一身份認(rèn)證系統(tǒng)。利用賬號(hào)同步管理模塊，將用戶(hù)的身份信息和密碼同步到各個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)中，系統(tǒng)管理員在一個(gè)平臺(tái)上統(tǒng)一管理用戶(hù)在各個(gè)系統(tǒng)中的賬號(hào)和密碼。在人員離職、崗位變動(dòng)時(shí)，只需在管理平臺(tái)一處更改，即可限制其訪問(wèn)權(quán)限，消除對(duì)后臺(tái)系統(tǒng)非法訪問(wèn)的威脅。方便了用戶(hù)管理，也防止過(guò)期的用戶(hù)身份信息未及時(shí)刪除給企業(yè)資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn)。

三、WLAN系統(tǒng)方案

3.1 AP建設(shè)方案

常見(jiàn)的WLAN AP分類(lèi)主要有2 種：FAT AP和FIT AP。

（1）FAT AP設(shè)備功能及典型組網(wǎng)。FAT AP將WLAN的物理層、用戶(hù)數(shù)據(jù)加密、用戶(hù)認(rèn)證、QoS、網(wǎng)絡(luò)管理、漫游技術(shù)以及其他應(yīng)用層的功能集于一身，俗稱(chēng)胖AP。胖AP組網(wǎng)：包括AP、L2交換機(jī)、管理軟件和業(yè)務(wù)軟件，適合規(guī)模較小并對(duì)管理和漫游要求比較低的網(wǎng)絡(luò)部署。

（2）FIT AP設(shè)備功能及典型組網(wǎng)。FAT AP除了提供基本的無(wú)線連接功能外，還提供安全、管理和性能增強(qiáng)功能。導(dǎo)致單一AP設(shè)備結(jié)構(gòu)復(fù)雜，比較昂貴且難于管理。無(wú)線交換機(jī)和FIT AP配合在一起提供傳統(tǒng)AP的功能，無(wú)線交換機(jī)集中處理所有的安全、控制和管理功能，F(xiàn)IT AP只提供可靠、高性能的RF功能。 WLAN交換機(jī)方案除具有易于管理等特點(diǎn)外，還支持快速切換、QoS、無(wú)線網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)故障自愈等高級(jí)功能。無(wú)線交換機(jī)和FIT AP之間的組網(wǎng)可以采用直連、跨越二層網(wǎng)絡(luò)或者是跨越三層網(wǎng)絡(luò)三種模式，用戶(hù)原有的有線網(wǎng)絡(luò)的拓樸和VLAN等配置不需要進(jìn)行更改。

3.2 AC建設(shè)方案

（1） WLAN AC設(shè)備，主要包括無(wú)線控制器設(shè)備和接入控制器設(shè)備。

◆無(wú)線控制器設(shè)備。無(wú)線控制器設(shè)備需配合瘦AP使用，需通過(guò)設(shè)備控制AP進(jìn)行信道選擇、BSS切換、負(fù)載分擔(dān)等功能，通過(guò)設(shè)備對(duì)AP實(shí)現(xiàn)集中控制、管理，提供統(tǒng)一的網(wǎng)管，可以對(duì)流量進(jìn)行匯接和處理。

◆接入控制器設(shè)備。接入控制器設(shè)備主要完成用戶(hù)的接入會(huì)話(huà)的終結(jié)和認(rèn)證功能，支持RADIUS認(rèn)證和計(jì)費(fèi)，可以實(shí)現(xiàn)流量的匯聚、用戶(hù)的帶寬和Qos的控制，支持對(duì)數(shù)據(jù)IP層的處理能力。

（2）AC組網(wǎng)方案。AC組網(wǎng)方案主要有以下三種。

◆AC旁?huà)煸诮尤肟刂破魃系娜龑咏鉀Q方案。此方案在接入控制器上對(duì)隧道VLAN不啟用認(rèn)證，通過(guò)三層轉(zhuǎn)發(fā)到無(wú)線控制器上。此方案對(duì)現(xiàn)網(wǎng)的改動(dòng)較小，“瘦”AP管理地址池可放在接入控制器或無(wú)線控制器上。此方案可以解決熱點(diǎn)部署初期，用戶(hù)量少且比較分散的問(wèn)題。當(dāng)WLAN網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，可以考慮下移無(wú)線控制器到匯聚。熱點(diǎn)中新增一臺(tái)“瘦”AP，接入控制器不用做任何處理。新增一個(gè)熱點(diǎn)，接入控制器只需增加配置終結(jié)相應(yīng)的管理VLAN和用戶(hù)VLAN即可。

◆AC旁?huà)煸趨R聚交換機(jī)的解決方案。對(duì)于規(guī)模較大，用戶(hù)量較集中的熱點(diǎn)，建議無(wú)線控制器布放在熱點(diǎn)內(nèi)部，或旁?huà)斓絽R聚交換機(jī)。AP和用戶(hù)數(shù)量較多時(shí)也可以作為熱點(diǎn)部署的后期方案。

◆AC直掛方案。無(wú)線控制器直掛接入控制器的方案，可以利用匯聚交換機(jī)和接入控制器之間的備用光纖，連接無(wú)線控制器。無(wú)線流量通過(guò)無(wú)線控制器轉(zhuǎn)發(fā)，有線流量直接到接入控制器處理。此方案有線流量沒(méi)有迂回，可以針對(duì)匯聚交換機(jī)下用戶(hù)密度比較高的場(chǎng)景下。

四、小結(jié)

對(duì)比LAN接入和PON接入方式，主要有以下不同：（1）接入帶寬。LAN接入主要有FE/GE 100M/1000M光電接口；PON接入中的GPON能提供2.5G（下行）/1.25G（上行）帶寬，EPON能提供1.25G（下行）/1.25G（上行）帶寬；升級(jí)可支持10G或更高帶寬。（2）傳輸距離。LAN接入在僅有以太接口情況下，支持最長(zhǎng)100M有效距離；PON接入能滿(mǎn)足傳輸距離小于20KM的傳輸接入。（3）可靠性。LAN接入是有源設(shè)備，故障率相對(duì)較高；PON網(wǎng)絡(luò)是無(wú)源光網(wǎng)絡(luò)，故障率非常低。（4）組網(wǎng)及供電。LAN接入因?yàn)槭怯性丛O(shè)備，需要全程供電；PON網(wǎng)絡(luò)中的分光器可以任意處分纖，組網(wǎng)靈活，而且分光器無(wú)源設(shè)備，傳輸中無(wú)需供電。綜合比較兩種接入方式，PON接入是無(wú)源網(wǎng)絡(luò)，更可靠，系統(tǒng)擴(kuò)展性更強(qiáng)更靈活，覆蓋范圍更廣；PON接入比LAN接入更符合視頻監(jiān)控大帶寬、高質(zhì)量和高穩(wěn)定的海量多場(chǎng)景接入需求，是更好的技術(shù)選擇。

參 考 文 獻(xiàn)

[1] 中華人民共和國(guó)工業(yè)和信息化部；無(wú)線局域網(wǎng)工程設(shè)計(jì)規(guī)范[Z]；2015.

[2] 楊秋晨；WLAN網(wǎng)絡(luò)設(shè)計(jì)與應(yīng)用分析[D]；北京郵電大學(xué)；2012.

[3] 劉璇；中國(guó)移動(dòng)WLAN的設(shè)計(jì)方案研究[D]；北京郵電大學(xué)；2012.