企业级无线不是新概念,但在中国,很多用户仍将其与传统的Wi-Fi解决方案相混淆。说它是“企业级”,意味着当无线网络规模越大时,它所呈现出的优势也就越大。集中治理、集中控制是它与以往方案的主要区别。
目前,全球仅数个厂商可以提供真正意义的企业级无线解决方案,即基于“无线交换机+瘦AP”架构的产品。到底“企业级”有何独道之处,用户为什么要选择它们,它们是否经得起考验?为此,我们希望通过测试向读者展示企业级无线产品的特点,并给企业的CIO们提供参考。
我们向具有此类产品的如下厂商发出了邀请:阿尔卡特、Aruba、北电网络、Cisco、HP、华为3Com。此次公开比较测试继续秉承公开、公正的原则,不向参测厂商收取任何费用。可是,最终只有Aruba积极响应并完成了测试。他们送来了三个“瘦”AP——AP 61加两台无线交换机Aruba 800和Aruba 2400及其配套软件(软件版本2.5.4)的解决方案。尽管其他厂商以设备不能准时到位等原因没来参加测试,不过,据我们了解,这些方案具有很多相似的功能,通过Aruba的表现,读者仍可以对企业级无线解决方案有所了解。
立足于如今企业网部署大型Wi-Fi网络的需求,我们对参测产品的性能、安全性、治理与监控进行了全面的测试。值得注重的是,其中涉及到的无缝漫游、无线IDS/IPS、RF监控、自动部署等内容是企业级无线解决方案的优势所在。
三问性能“老大难”
一问漫游
漫游(Roaming)性能随着VoWi-Fi和其他移动业务的开展,在企业网中的地位越来越突出。但以往的“漫游”大多不能遂人心愿。
实际上,整个漫游过程包含了两个时间段:判定时间(Decision Time)和切换时间(Switch-over Time)。前者是无线网卡判定信号衰减到一定程度,并停止向AP1继续发送数据流所花的时间。后者是前者发生后,无线网卡用来与AP2完成关联的时间。准确测试两个时间片需要专用的测试仪,并在密闭环境中进行,我们无意在此次测试中获得产品漫游时的精确数字,只想站在用户的角度上考量产品对应用带来的影响。
我们按照企业网中会出现的三种拓扑对参测产品的漫游性能进行了测试。分别是:“同一台无线交换机+同一个子网”条件下的两个AP之间、“两台无线交换机+同一个子网”条件下的两个AP之间、“两台无线交换机+两个子网”条件下的两个AP之间。图1显示的是第一种拓扑,AP1和AP2处于同一个子网中,一台内置802.11g迅驰芯片的笔记本电脑接入到AP1,采用缺省参数Ping服务器,同时访问该服务器上的FTP应用。并以约1.5米/秒的速度匀速向AP2移动,直至漫游过程结束,观察Ping与FTP业务是否受到影响,以及是否需要重新认证等。
现象有点难以置信。一开始,三种拓扑条件下的漫游,Ping都出现了一个或多个“Request timed out”,即可以理解为“漫游时间”达到了数秒,尽管都不需要重新认证,但FTP业务在多数情况下都中断了。
不仅是厂商的工程师,连我们也不相信企业级无线产品会存在如此漫长的漫游时间。问题出在迅驰网卡!
后来,我们下载了最新版的迅驰网卡驱动程序。结果发生了明显的变化,我们反复多次地进行测试,从AP1漫游至AP2,再从AP2漫游回AP1,每次漫游都很“完美”,Ping测试没有出现一个“Request timed out”,FTP电影下载持续进行,无须重新认证。
遗憾的是,由于一台无线交换机到期被厂商取走,我们没能重新测试跨越两台无线交换机情况下的漫游性能。不过,想提醒读者的是,“漫游”测试切莫想当然!不同的客户端、不同的网卡配置也会导致漫游的现象有所区别。有些丢包的产生是由漫游以外的原因造成,比如有的网卡会在信号中断后仍会多次尝试重关联这个AP,而超过某个计数器后才会关联到其他AP。我们的测试工程师会在后续的文章中谈谈这方面的体会。
二问QoS
QoS在WLAN中甚至比在LAN中还要重要,因为WLAN的接入带宽还比较低,而且是所有的客户端共享带宽。在众多接入点、多种业务条件下,只有通过部署QoS,才能在网络繁忙时仍能保障企业要害业务的服务质量。
Aruba可以从用户、地址、端口、应用等多个角度来实施QoS。比如,它可以识别SIP语音流,从而将VoWi-Fi业务与传统的数据业务区别对待。而且,Aruba系统支持多SSID结构。比如在同一个WLAN范围内设置教师、学生和访客三个SSID,用户在接入时不仅接受不同的认证方式和安全检查,还会在成功接入后享受不同的QoS设置。
测试中,我们使用IXIA公司的性能测试软件IXChariot模拟了两种UDP流,依据端口号划分高低优先级。测试拓扑如图2所示。
我们分两次进行测试,分别在无线交换机上关闭和开启QoS功能情况下,比较它们的效果。
结果,当关闭QoS功能时,两种UDP流得到了几乎相同的服务质量。开启QoS功能后,高优先级UDP流的性能明显高于低优先级数据流的表现,如表1所示。
三问接入速率
WLAN的接入速率已经最高可达240Mbps,我们在这次测试中,还考察了产品是否支持最新的百兆无线标准。经测试,Aruba的方案仍然属于802.11b/a/g的产品,其无线接入最高速率仍为54Mbps。
我们使用IXChariot对不同条件下的接入速率进行了测试。比如,在无线客户端距离AP 2米的条件下,使用内置的迅驰网卡,测得与一台有线客户端进行通信的吞吐量为16.779Mbps。当然,接入距离、客户端个数,以及是否加密等因素都会影响接入速率。我们变换这些条件,对Aruba的产品一一进行了测试,结果发现,随着加密的采用、用户的增多、与AP的距离变远,都会使性能产生不同程度的下降。如表2所示。需要说明的是,实际环境下的测试对无线产品影响较大,且具有随机性。比如,在进行接入性能的测试过程中,我们使用NetStumbler就扫描到了一台相邻单位使用干扰信道的AP。
由于接入用户只能与其他客户端共享而不是独占无线带宽,即便是“百兆”无线,分到每个人的带宽仍非常有限。
考虑到对服务质量要求较高的无线多媒体业务仍以Wi-Fi语音为主,带宽要求并不高,所以,在目前的企业网中,QoS与漫游的性能显得更为重要。
安全“企业级”
防Rogue AP的独到之处
Rogue AP是指那些未经授权就接入到有线网络中的AP。Rogue AP可以作为通道,使黑客进入到企业网中,它也可能作为中间人窃取往来于无线客户端的数据。那些企业员工非恶意架设Rogue AP不仅带来网络拓扑上的混乱,还可能由于治理上的先天缺陷被黑客利用。
防Rogue AP是Aruba IDS模块中一项最为重要的功能。测试中,我们在接入交换机上架设一个未经Aruba无线交换机授权的AP。如图3所示。
结果,触发了对Rogue AP的告警。并在无线交换机的治理界面上显示出Rouge AP的生产厂商和关联到Rouge AP的客户端等信息。此外,连接Rogue AP的无线交换机的有线端口指示灯呈红色且不断闪烁。在探测到Rogue AP后,Aruba解决方案可以对其做出两个动作:一是利用3个AP进行三角定位,“揪”出Rogue AP。二是在交换机上进行策略设置,使得所有无线客户端不能关联到该Rogue AP上。
三角定位对于治理员来说非常必要!它可以帮助治理员准确定位Rogue AP,并解除其物理连接。
三角定位Rogue AP的原理是:3个Aruba “瘦”AP分别通过衡量距离Rogue AP的信号强度,从而测算出Rouge AP的位置。我们在一间面积约20平方米的屋内进行了定位测试。测试中,Aruba的三个“瘦AP随意摆放于3点,Rouge AP连接在接入交换机上,接入交换机与Aruba无线交换机直接相连,除了第三方的Rouge AP外,其余三个“瘦”AP都采用以太网供电的方式。
要想定位Rogue AP需要用到Aruba的射频规划功能,它可以帮助企业用户在部署WLAN前先做一个规划,以估算在指定的覆盖面积上所需的AP数量和AP应安装的物理位置。
在治理界面上,负责支持的工程师首先定义了房间的长、宽、高等参数。然后生成了一张覆盖范围图,工程师依据三个“瘦”AP在房间中所处位置,定位每个AP在图中的位置。每个AP都在图中显示自己的名字。然后,Rogue AP的位置被自动描绘出来,且在图中呈动态显示,它每隔10秒钟会自动刷新,我们试着移动了一下Rogue AP的位置,结果图中Rogue AP的位置也会随之移动。
假如能够导入房间的平面施工图作为背景,治理员显然知道每个合法“瘦”AP的物理位置,将其描绘在覆盖范围图上,那么三角定位Rogue AP将会更为精准,可以具体到Rogue AP是处于哪个员工座位上。
此外,Aruba的方案还可以发现并定位干扰AP,干扰AP虽然没有接入到有线网络中来,安全威胁并不明显,但它会形成一个无线干扰源,降低企业的无线访问性能。
无线IDS/IPS
在防Rogue AP的测试中,Aruba无线交换机的IDS模块发出告警。在Aruba方案中,其IDS/IPS是一组丰富的功能集,如DoS攻击防御、中间人攻击防御、发现特征等,其中DoS攻击包含了针对Fake AP等诸多攻击手段的发现和防御。我们没有一一进行测试,不过,我们针对Ad-hoc网络对其进行了验证。结果其IDS模块会准确告警,并显示出Ad-hoc网络所使用的SSID和接入客户端的MAC地址,帮助治理员找到该Ad-hoc网络。也可以进一步地在其IPS模块中,设置策略将该Ad-hoc网络“攻下”,我们也对此进行了验证。需要指出的是,是否被“攻下”也取决于无线网卡的配置,比如,我们使用可以自动更换信道的迅驰网卡就可以避免被“攻下”。
访问控制
Aruba支持多个层次的用户认证与授权。治理员可以给用户定义不同的角色,并使某种角色必须通过相应的认证才能接入到网络中,认证方式包括:Portal、802.1x、MAC、VPN、L2加密方法和AP的位置等,在通过认证后,用户享有定制化的服务。
测试中,我们对Portal、802.1x、MAC、AP的位置等认证方式进行了验证,结果准确。比如,在Portal认证时,无线客户端在IE浏览器中键入一个网址,会弹出Aruba的认证界面,当无线交换机验证用户名/密码正确后会帮助用户重定向到该站点。当然,用户的认证数据库可以保存在无线交换机上,也可以外接RADIUS。
此外,Aruba方案通过与其他厂商合作,也可实现端点准入控制。比如没有通过病毒防护检查的无线客户端可以被限制访问网络资源。
RF治理“大师”
企业级无线突出的特性之一就是其RF(Radio Frequency)治理的能力。除了我们前面提到的射频规划,Aruba解决方案还提供其他丰富的RF治理功能帮助治理员轻松部署、治理大型无线网络。
集中治理Aruba系统答应用户通过无线交换机治理整个网络,开通、监控并维护所有AP及客户端是很轻易的一件事。
测试中,我们从零开始部署Aruba方案。我们面对两个选择去部署多个AP。首先,可以让所有AP按缺省方式运行,这种情况每个AP都无须进行任何配置,只要将AP与无线交换机相连即可。每个AP会采用缺省的电源等参数,并会根据RF环境自动选择没有干扰的信道。第二种方式,通过对AP进行“Location ID”的配置,就可获得充分的定制服务。测试中,我们通过反向Telnet登录每一台AP,并为它们设置“Location ID”。然后,在无线交换机上为每个具有自己“Location ID”的AP进行个性化配置,如信道号、QoS、安全策略等。当AP重启后,它从无线交换机取得属于自己的完整配置信息并生效。
Aruba方案还是提出了“Master Switch”和“Local Switch”的概念,所有AP的配置存储于“Master Switch”中,但众多AP可以分成不同的群组,注册到不同的“Local Switch”中。这样一来,尽管配置信息仍要从“Master Switch”获取,但两台本地AP下的无线客户端之间的访问流量就不必再迂回到“Master Switch”,而只是绕经“Local Switch”就可以了。这样既实现了集中化的治理,又体现出分布式处理的高效率。
负载均衡
Aruba方案支持动态分配带宽,它属于负载均衡的一种表现形式。它可以控制当一个AP的流量超过限定额度时,其下属无线客户端将被重新关联到其他轻负载的AP上。从而实现网络繁忙时,WLAN中的所有AP均衡承担负载。
测试中,一台FTP服务器和两个“瘦”AP接到同一台无线交换机上(连接方式与图1相同)。开始时,两个无线客户端都关联到AP1,并限定AP1上流量的阈值为物理带宽的70%。接着,我们利用其中一个客户端引入重负载,让它从FTP服务器下载一个大小为449MB的视频文件。然后,我们观察此条件下是否会发生负载均衡。
结果,在下载过程中,我们发现,连接AP1的无线交换机端口指示灯呈黄色且不断闪烁,据负责支持的工程师介绍,这表明此端口所连接的AP正在发生负载均衡。果然,再次进入治理界面,看到那个没有进行文件下载的无线客户端被“挤”到了轻负载的AP2上。
其他治理特性,如自动信号调整,可以根据AP所监听到的RF环境来自动调整AP的传输功率。例如,当某个AP中断工作时,四周的AP会自动增加传输功率来覆盖信号漏洞。