企業(yè)級無線不是新概念，但在中國，很多用戶仍將其與傳統(tǒng)的Wi-Fi解決方案相混淆。說它是“企業(yè)級”，意味著當(dāng)無線網(wǎng)絡(luò)規(guī)模越大時，它所呈現(xiàn)出的優(yōu)勢也就越大。集中治理、集中控制是它與以往方案的主要區(qū)別。

目前，全球僅數(shù)個廠商可以提供真正意義的企業(yè)級無線解決方案，即基于“無線交換機(jī)+瘦AP”架構(gòu)的產(chǎn)品。到底“企業(yè)級”有何獨道之處，用戶為什么要選擇它們，它們是否經(jīng)得起考驗？為此，我們希望通過測試向讀者展示企業(yè)級無線產(chǎn)品的特點，并給企業(yè)的CIO們提供參考。

我們向具有此類產(chǎn)品的如下廠商發(fā)出了邀請：阿爾卡特、Aruba、北電網(wǎng)絡(luò)、Cisco、HP、華為3Com。此次公開比較測試?yán)^續(xù)秉承公開、公正的原則，不向參測廠商收取任何費用?？墒?，最終只有Aruba積極響應(yīng)并完成了測試。他們送來了三個“瘦”AP——AP 61加兩臺無線交換機(jī)Aruba 800和Aruba 2400及其配套軟件（軟件版本2.5.4）的解決方案。盡管其他廠商以設(shè)備不能準(zhǔn)時到位等原因沒來參加測試，不過，據(jù)我們了解，這些方案具有很多相似的功能，通過Aruba的表現(xiàn)，讀者仍可以對企業(yè)級無線解決方案有所了解。

立足于如今企業(yè)網(wǎng)部署大型Wi-Fi網(wǎng)絡(luò)的需求，我們對參測產(chǎn)品的性能、安全性、治理與監(jiān)控進(jìn)行了全面的測試。值得注重的是，其中涉及到的無縫漫游、無線IDS/ipS、RF監(jiān)控、自動部署等內(nèi)容是企業(yè)級無線解決方案的優(yōu)勢所在。

三問性能“老大難”

一問漫游

漫游（Roaming）性能隨著VoWi-Fi和其他移動業(yè)務(wù)的開展，在企業(yè)網(wǎng)中的地位越來越突出。但以往的“漫游”大多不能遂人心愿。

實際上，整個漫游過程包含了兩個時間段：判定時間（Decision Time）和切換時間（Switch-over Time）。前者是無線網(wǎng)卡判定信號衰減到一定程度，并停止向AP1繼續(xù)發(fā)送數(shù)據(jù)流所花的時間。后者是前者發(fā)生后，無線網(wǎng)卡用來與AP2完成關(guān)聯(lián)的時間。準(zhǔn)確測試兩個時間片需要專用的測試儀，并在密閉環(huán)境中進(jìn)行，我們無意在此次測試中獲得產(chǎn)品漫游時的精確數(shù)字，只想站在用戶的角度上考量產(chǎn)品對應(yīng)用帶來的影響。

我們按照企業(yè)網(wǎng)中會出現(xiàn)的三種拓?fù)鋵y產(chǎn)品的漫游性能進(jìn)行了測試。分別是：“同一臺無線交換機(jī)+同一個子網(wǎng)”條件下的兩個AP之間、“兩臺無線交換機(jī)+同一個子網(wǎng)”條件下的兩個AP之間、“兩臺無線交換機(jī)+兩個子網(wǎng)”條件下的兩個AP之間。圖1顯示的是第一種拓?fù)洌珹P1和AP2處于同一個子網(wǎng)中，一臺內(nèi)置802.11g迅馳芯片的筆記本電腦接入到AP1，采用缺省參數(shù)Ping服務(wù)器，同時訪問該服務(wù)器上的FTP應(yīng)用。并以約1.5米/秒的速度勻速向AP2移動，直至漫游過程結(jié)束，觀察Ping與FTP業(yè)務(wù)是否受到影響，以及是否需要重新認(rèn)證等。

現(xiàn)象有點難以置信。一開始，三種拓?fù)錀l件下的漫游，Ping都出現(xiàn)了一個或多個“Request timed out”，即可以理解為“漫游時間”達(dá)到了數(shù)秒，盡管都不需要重新認(rèn)證，但FTP業(yè)務(wù)在多數(shù)情況下都中斷了。

不僅是廠商的工程師，連我們也不相信企業(yè)級無線產(chǎn)品會存在如此漫長的漫游時間。問題出在迅馳網(wǎng)卡！

后來，我們下載了最新版的迅馳網(wǎng)卡驅(qū)動程序。結(jié)果發(fā)生了明顯的變化，我們反復(fù)多次地進(jìn)行測試，從AP1漫游至AP2，再從AP2漫游回AP1，每次漫游都很“完美”，Ping測試沒有出現(xiàn)一個“Request timed out”，F(xiàn)TP電影下載持續(xù)進(jìn)行，無須重新認(rèn)證。

遺憾的是，由于一臺無線交換機(jī)到期被廠商取走，我們沒能重新測試跨越兩臺無線交換機(jī)情況下的漫游性能。不過，想提醒讀者的是，“漫游”測試切莫想當(dāng)然！不同的客戶端、不同的網(wǎng)卡配置也會導(dǎo)致漫游的現(xiàn)象有所區(qū)別。有些丟包的產(chǎn)生是由漫游以外的原因造成，比如有的網(wǎng)卡會在信號中斷后仍會多次嘗試重關(guān)聯(lián)這個AP，而超過某個計數(shù)器后才會關(guān)聯(lián)到其他AP。我們的測試工程師會在后續(xù)的文章中談?wù)勥@方面的體會。

二問QoS

QoS在WLAN中甚至比在LAN中還要重要，因為WLAN的接入帶寬還比較低，而且是所有的客戶端共享帶寬。在眾多接入點、多種業(yè)務(wù)條件下，只有通過部署QoS，才能在網(wǎng)絡(luò)繁忙時仍能保障企業(yè)要害業(yè)務(wù)的服務(wù)質(zhì)量。

Aruba可以從用戶、地址、端口、應(yīng)用等多個角度來實施QoS。比如，它可以識別SIP語音流，從而將VoWi-Fi業(yè)務(wù)與傳統(tǒng)的數(shù)據(jù)業(yè)務(wù)區(qū)別對待。而且，Aruba系統(tǒng)支持多SSID結(jié)構(gòu)。比如在同一個WLAN范圍內(nèi)設(shè)置教師、學(xué)生和訪客三個SSID，用戶在接入時不僅接受不同的認(rèn)證方式和安全檢查，還會在成功接入后享受不同的QoS設(shè)置。

測試中，我們使用IXIA公司的性能測試軟件IXChariot模擬了兩種UDP流，依據(jù)端口號劃分高低優(yōu)先級。測試拓?fù)淙鐖D2所示。

我們分兩次進(jìn)行測試，分別在無線交換機(jī)上關(guān)閉和開啟QoS功能情況下，比較它們的效果。
結(jié)果，當(dāng)關(guān)閉QoS功能時，兩種UDP流得到了幾乎相同的服務(wù)質(zhì)量。開啟QoS功能后，高優(yōu)先級UDP流的性能明顯高于低優(yōu)先級數(shù)據(jù)流的表現(xiàn)，如表1所示。

三問接入速率

WLAN的接入速率已經(jīng)最高可達(dá)240Mbps，我們在這次測試中，還考察了產(chǎn)品是否支持最新的百兆無線標(biāo)準(zhǔn)。經(jīng)測試，Aruba的方案仍然屬于802.11b/a/g的產(chǎn)品，其無線接入最高速率仍為54Mbps。

我們使用IXChariot對不同條件下的接入速率進(jìn)行了測試。比如，在無線客戶端距離AP 2米的條件下，使用內(nèi)置的迅馳網(wǎng)卡，測得與一臺有線客戶端進(jìn)行通信的吞吐量為16.779Mbps。當(dāng)然，接入距離、客戶端個數(shù)，以及是否加密等因素都會影響接入速率。我們變換這些條件，對Aruba的產(chǎn)品一一進(jìn)行了測試，結(jié)果發(fā)現(xiàn)，隨著加密的采用、用戶的增多、與AP的距離變遠(yuǎn)，都會使性能產(chǎn)生不同程度的下降。如表2所示。需要說明的是，實際環(huán)境下的測試對無線產(chǎn)品影響較大，且具有隨機(jī)性。比如，在進(jìn)行接入性能的測試過程中，我們使用NetStumbler就掃描到了一臺相鄰單位使用干擾信道的AP。

由于接入用戶只能與其他客戶端共享而不是獨占無線帶寬，即便是“百兆”無線，分到每個人的帶寬仍非常有限。

考慮到對服務(wù)質(zhì)量要求較高的無線多媒體業(yè)務(wù)仍以Wi-Fi語音為主，帶寬要求并不高，所以，在目前的企業(yè)網(wǎng)中，QoS與漫游的性能顯得更為重要。

安全“企業(yè)級”

防Rogue AP的獨到之處

Rogue AP是指那些未經(jīng)授權(quán)就接入到有線網(wǎng)絡(luò)中的AP。Rogue AP可以作為通道，使黑客進(jìn)入到企業(yè)網(wǎng)中，它也可能作為中間人竊取往來于無線客戶端的數(shù)據(jù)。那些企業(yè)員工非惡意架設(shè)Rogue AP不僅帶來網(wǎng)絡(luò)拓?fù)渖系幕靵y，還可能由于治理上的先天缺陷被黑客利用。

防Rogue AP是Aruba IDS模塊中一項最為重要的功能。測試中，我們在接入交換機(jī)上架設(shè)一個未經(jīng)Aruba無線交換機(jī)授權(quán)的AP。如圖3所示。

結(jié)果，觸發(fā)了對Rogue AP的告警。并在無線交換機(jī)的治理界面上顯示出Rouge AP的生產(chǎn)廠商和關(guān)聯(lián)到Rouge AP的客戶端等信息。此外，連接Rogue AP的無線交換機(jī)的有線端口指示燈呈紅色且不斷閃爍。在探測到Rogue AP后，Aruba解決方案可以對其做出兩個動作：一是利用3個AP進(jìn)行三角定位，“揪”出Rogue AP。二是在交換機(jī)上進(jìn)行策略設(shè)置，使得所有無線客戶端不能關(guān)聯(lián)到該Rogue AP上。

三角定位對于治理員來說非常必要！它可以幫助治理員準(zhǔn)確定位Rogue AP，并解除其物理連接。

三角定位Rogue AP的原理是：3個Aruba “瘦”AP分別通過衡量距離Rogue AP的信號強(qiáng)度，從而測算出Rouge AP的位置。我們在一間面積約20平方米的屋內(nèi)進(jìn)行了定位測試。測試中，Aruba的三個“瘦AP隨意擺放于3點，Rouge AP連接在接入交換機(jī)上，接入交換機(jī)與Aruba無線交換機(jī)直接相連，除了第三方的Rouge AP外，其余三個“瘦”AP都采用以太網(wǎng)供電的方式。

要想定位Rogue AP需要用到Aruba的射頻規(guī)劃功能，它可以幫助企業(yè)用戶在部署WLAN前先做一個規(guī)劃，以估算在指定的覆蓋面積上所需的AP數(shù)量和AP應(yīng)安裝的物理位置。

在治理界面上，負(fù)責(zé)支持的工程師首先定義了房間的長、寬、高等參數(shù)。然后生成了一張覆蓋范圍圖，工程師依據(jù)三個“瘦”AP在房間中所處位置，定位每個AP在圖中的位置。每個AP都在圖中顯示自己的名字。然后，Rogue AP的位置被自動描繪出來，且在圖中呈動態(tài)顯示，它每隔10秒鐘會自動刷新，我們試著移動了一下Rogue AP的位置，結(jié)果圖中Rogue AP的位置也會隨之移動。

假如能夠?qū)敕块g的平面施工圖作為背景，治理員顯然知道每個合法“瘦”AP的物理位置，將其描繪在覆蓋范圍圖上，那么三角定位Rogue AP將會更為精準(zhǔn)，可以具體到Rogue AP是處于哪個員工座位上。

此外，Aruba的方案還可以發(fā)現(xiàn)并定位干擾AP，干擾AP雖然沒有接入到有線網(wǎng)絡(luò)中來，安全威脅并不明顯，但它會形成一個無線干擾源，降低企業(yè)的無線訪問性能。

無線IDS/IPS

在防Rogue AP的測試中，Aruba無線交換機(jī)的IDS模塊發(fā)出告警。在Aruba方案中，其IDS/IPS是一組豐富的功能集，如DoS攻擊防御、中間人攻擊防御、發(fā)現(xiàn)特征等，其中DoS攻擊包含了針對Fake AP等諸多攻擊手段的發(fā)現(xiàn)和防御。我們沒有一一進(jìn)行測試，不過，我們針對Ad-hoc網(wǎng)絡(luò)對其進(jìn)行了驗證。結(jié)果其IDS模塊會準(zhǔn)確告警，并顯示出Ad-hoc網(wǎng)絡(luò)所使用的SSID和接入客戶端的MAC地址，幫助治理員找到該Ad-hoc網(wǎng)絡(luò)。也可以進(jìn)一步地在其IPS模塊中，設(shè)置策略將該Ad-hoc網(wǎng)絡(luò)“攻下”，我們也對此進(jìn)行了驗證。需要指出的是，是否被“攻下”也取決于無線網(wǎng)卡的配置，比如，我們使用可以自動更換信道的迅馳網(wǎng)卡就可以避免被“攻下”。

訪問控制

Aruba支持多個層次的用戶認(rèn)證與授權(quán)。治理員可以給用戶定義不同的角色，并使某種角色必須通過相應(yīng)的認(rèn)證才能接入到網(wǎng)絡(luò)中，認(rèn)證方式包括：Portal、802.1x、MAC、VPN、L2加密方法和AP的位置等，在通過認(rèn)證后，用戶享有定制化的服務(wù)。

測試中，我們對Portal、802.1x、MAC、AP的位置等認(rèn)證方式進(jìn)行了驗證，結(jié)果準(zhǔn)確。比如，在Portal認(rèn)證時，無線客戶端在IE瀏覽器中鍵入一個網(wǎng)址，會彈出Aruba的認(rèn)證界面，當(dāng)無線交換機(jī)驗證用戶名/密碼正確后會幫助用戶重定向到該站點。當(dāng)然，用戶的認(rèn)證數(shù)據(jù)庫可以保存在無線交換機(jī)上，也可以外接RADIUS。

此外，Aruba方案通過與其他廠商合作，也可實現(xiàn)端點準(zhǔn)入控制。比如沒有通過病毒防護(hù)檢查的無線客戶端可以被限制訪問網(wǎng)絡(luò)資源。

RF治理“大師”

企業(yè)級無線突出的特性之一就是其RF（Radio Frequency）治理的能力。除了我們前面提到的射頻規(guī)劃，Aruba解決方案還提供其他豐富的RF治理功能幫助治理員輕松部署、治理大型無線網(wǎng)絡(luò)。
集中治理Aruba系統(tǒng)答應(yīng)用戶通過無線交換機(jī)治理整個網(wǎng)絡(luò)，開通、監(jiān)控并維護(hù)所有AP及客戶端是很輕易的一件事。

測試中，我們從零開始部署Aruba方案。我們面對兩個選擇去部署多個AP。首先，可以讓所有AP按缺省方式運行，這種情況每個AP都無須進(jìn)行任何配置，只要將AP與無線交換機(jī)相連即可。每個AP會采用缺省的電源等參數(shù)，并會根據(jù)RF環(huán)境自動選擇沒有干擾的信道。第二種方式，通過對AP進(jìn)行“Location ID”的配置，就可獲得充分的定制服務(wù)。測試中，我們通過反向Telnet登錄每一臺AP，并為它們設(shè)置“Location ID”。然后，在無線交換機(jī)上為每個具有自己“Location ID”的AP進(jìn)行個性化配置，如信道號、QoS、安全策略等。當(dāng)AP重啟后，它從無線交換機(jī)取得屬于自己的完整配置信息并生效。

Aruba方案還是提出了“Master Switch”和“Local Switch”的概念，所有AP的配置存儲于“Master Switch”中，但眾多AP可以分成不同的群組，注冊到不同的“Local Switch”中。這樣一來，盡管配置信息仍要從“Master Switch”獲取，但兩臺本地AP下的無線客戶端之間的訪問流量就不必再迂回到“Master Switch”，而只是繞經(jīng)“Local Switch”就可以了。這樣既實現(xiàn)了集中化的治理，又體現(xiàn)出分布式處理的高效率。

負(fù)載均衡

Aruba方案支持動態(tài)分配帶寬，它屬于負(fù)載均衡的一種表現(xiàn)形式。它可以控制當(dāng)一個AP的流量超過限定額度時，其下屬無線客戶端將被重新關(guān)聯(lián)到其他輕負(fù)載的AP上。從而實現(xiàn)網(wǎng)絡(luò)繁忙時，WLAN中的所有AP均衡承擔(dān)負(fù)載。

測試中，一臺FTP服務(wù)器和兩個“瘦”AP接到同一臺無線交換機(jī)上（連接方式與圖1相同）。開始時，兩個無線客戶端都關(guān)聯(lián)到AP1，并限定AP1上流量的閾值為物理帶寬的70%。接著，我們利用其中一個客戶端引入重負(fù)載，讓它從FTP服務(wù)器下載一個大小為449MB的視頻文件。然后，我們觀察此條件下是否會發(fā)生負(fù)載均衡。

結(jié)果，在下載過程中，我們發(fā)現(xiàn)，連接AP1的無線交換機(jī)端口指示燈呈黃色且不斷閃爍，據(jù)負(fù)責(zé)支持的工程師介紹，這表明此端口所連接的AP正在發(fā)生負(fù)載均衡。果然，再次進(jìn)入治理界面，看到那個沒有進(jìn)行文件下載的無線客戶端被“擠”到了輕負(fù)載的AP2上。

其他治理特性，如自動信號調(diào)整，可以根據(jù)AP所監(jiān)聽到的RF環(huán)境來自動調(diào)整AP的傳輸功率。例如，當(dāng)某個AP中斷工作時，四周的AP會自動增加傳輸功率來覆蓋信號漏洞。