時間:2023-06-05 09:56:04
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇無線網絡解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞 同頻干擾;鄰頻干擾;網絡優化
1 引言
近幾年來,隨著手機的普及,移動通信用戶激增,這就要求網絡規模不斷擴大。但是由于頻率資源有限,規劃或地理位置等原因,在多小區情況下就會產生同頻、鄰頻干擾,使通信質量下降,網絡服務性能變差。無線電波的傳播特性決定其在通信過程中必然受到外界多種因素的影響。但是網絡內部原因的存在,使其在一定程度上還受到網絡內部因素的影響,如同頻干擾、鄰頻干擾,以及其它因網絡參數設定不當而造成的干擾。這些干擾的存在給網絡的正常運行帶來了不良影響。作為網絡優化的核心問題,解決無線干擾就顯得越來越重要。本文對產生無線干擾的原因進行了分析,介紹了日常測試干擾的方法,并給出了解決方案。
2 干擾產生的原因分析
網絡干擾的原因主要分為兩大類:外界頻率干擾和設備交調干擾。
2.1 外界頻率干擾
外界頻率干擾的主要表現為小區規劃不合理、天線參數選擇不合理以及小區參數調整不當,致使用戶在同一地點收到相同或相連的頻點,在通信過程中產生嚴重的背景噪音甚至掉話。
(l)頻率規劃或頻點設定不正確,造成同頻、鄰頻干擾現象在短距離范圍內存在,從而造成干擾。這種現象主要出現在地區邊界和省際邊界的地方,在網絡擴容工程結束初期該現象出現。
(2)頻率復用不當或頻率復用的兩小區之間的距離不夠,造成同頻干擾。
(3)MS— TXPRW—MAX— CCH、 BS— TXPWR— CCH、 BS— TXPWR— MAX、 BS— TXPWR— MIN等小區功率參數設置不合理。如 MS— TXPWR— MAX— CCH參數設置過高,則在基站附近的移動臺會對本小區造成較大的鄰信道干擾,影響小區中其它移動臺的接通質量和通話質量;參數設置過小在小區邊緣的手機將很難占上信道,且受外界干擾更大。 BS— TX-PWR— MAX— CCH參數設置過大則會與相鄰小區產生覆蓋交疊,造成信道干擾,手機占用信道困難,通話質量差,過小又會產生盲區。
(4)同心圓內小區參數設置不當,而使得圓內小區的頻點覆蓋過大,而與鄰小區產生的同頻或鄰頻干擾。
(5)基站天線高度及俯仰角設計不合理,導致覆蓋范圍的不合理,使小區的覆蓋范圍超出設計覆蓋范圍,從而與鄰小區產生同頻干擾或鄰頻干擾。
2.2 交調干擾
交調干擾主要由設備本身的非線性以及設備故障引起。設備在長期運行過程中由于缺少定期的指標測試與調整,致使交調干擾在一定范圍存在。
(l)發射部分雜散輻射及接收部分雜散響應較大,從而造成對本信道和其它信道的干擾,嚴重的將不能正常通話。
(2)STSE板子內 13MHz時鐘頻偏較大,超過了 0.65Hz,造成實際輸出信道頻率與定義頻率不相符,手機無法占上信道,即使占上信道通話質量也極差。
(3) FUMO板中某個時隙損壞而導致在通信過程中產生嚴重的背景噪音。
(4)天線饋線系統駐波比過大,導致通信質量下降。
(5) RXGD、 FEG8接收部分的設備損壞,致使通信質量下降。
3 干擾測試
在維護與優化工作中衡量干擾程度的大小主要是通過小區上下行質量 Quality的大小即誤碼率的大小來測評測,通過對質量的研究分析,查找網絡中存在的問題確定頻率規劃、收發信設備是否有問題并進行調整與處理。下面對干擾的測試方法作一介紹。
3.1 手機現場撥打測試
該方法主要用于用戶反應強烈的熱點地區,解決背景噪音問題,查找壞的頻點時隙。手機可以采用西門子 S4、 S6手機,也可以采用 CD928+手機,但最好能夠使用薩基姆手機,以便更好的鎖定頻點進行測試。
3.2 亞倫無線場強測試儀
在干擾嚴重的地區,可以直接使用亞倫無線場強測試儀進行測試,直接觀察某一地點的場強的大小和各候選小區頻點與場強的大小,以確定是否存在干擾以及干擾的來源。
3.3 HP頻率計數器
測試小區的STSE時鐘板上時鐘是否超過±0.65Hz指標范圍,以確定小區的頻點是否漂移。
3.4 Kl103信令分析儀
在基站與 BSC之間的 ABIS接口跟蹤的結果分析中,干擾體現在上下行質量的大小上,質量的大小是通過誤碼率的高低來衡量的,定義情況如下:
QUALTY(質量) KRROR BIT(誤碼率)
0 < 0.2%
l < 0.4%
2 < 0.8%
3 < 1.6%
4 < 3.2%
5 < 6.4%
6 < 12.8%
7 < 25.6%
依據 Kll03在 ABIS口上的跟蹤結果,借助DAFNE軟件對小區的測量質量進行統計,并取平均值確定小區各個頻點質量的大小。
在實際工作中一般認為在一個 BTS中如果僅是少部分頻點的QUALTY值在 l左右是頻率干擾引起的,如果是大部分頻點值均在 l左右,在檢查無頻率干擾的情況下,一般認為是 COMBINER或天線系統的原因。 QUALITY值在3以上就認為是收發信部分的硬件有問題,需要更換硬件設備。
利用 Kl103還可以依據測量到的 TA值的大小確定小區覆蓋范圍,檢查小區覆蓋的基本依據是 TA(TIME ADVANCE)的分布情況。為了彌補手機上下行信號發射的時間差,保證同步,基站均會根據手機距離基站的遠近,來確定信號發射提前的時間,TA計算的依據是:
從基站發出信號到手機接收延時T,然后將該值除以 2,再乘以光速 300000000米/秒,即得到基站與手機的相對直線距離。TA原指的是時間值,但實際上是用距離來代替了時間,即用不同距離的代表值表示它的大小,具體表示如下:
TA值
距離值
550米
l
l100米
2
1650米
(用 550米表示一個級別)
某點TA的采樣次數,基本反映了該點的話務量的大小,同時結合該點的 RXLEV—DL、RXLEV— UL值的大小,綜合確定小區的覆蓋范圍是否合理,并據此進行進一步的調整,不斷優化小區的覆蓋,提高網絡服務質量不同的測試方法適合于不同的問題,在工作中要依據實際情況進行選擇,綜合使用排查問題。
4 減小干擾的方法分析
借助亞倫無線場強測試儀、HP頻率計數器、Kl103等工具,以及 OMC— R的參數調整窗口,CQT呼叫質量撥打測試結果,對產生干擾的原因具體分析,可以根據實際情況采取不同的措施減小干擾,提高通信質量,改善網絡的運行環境。
(l) 利用亞倫無線場強測試儀表,對干擾嚴重的小區進行實地測試,查出干擾源及受干擾的程度。在小區參數調整效果不明顯的情況可以,可以通過 A955無線規劃軟件,確定是否需要更改小區的頻點,以及更改后的頻點。
(2) 通過 K1103測量出的 TA值的大小確定小區的覆蓋范圍,判斷是否因覆蓋不合理造成干擾。對于天線較高的小區可以適當調整BTS發射功率參數,BS—TXPWR— MAX、 BS— TXPWR— MIN、 BS—TXPWR—MAX— CCH以降低基站發射功率,改變基站覆蓋范圍,減小對相鄰基站的干擾。在保證小區邊緣處移動臺有一定的接入成功率的前提下,盡可能減小移動臺的接入電平( MS— TXPWR— MAX、 MS—TXPWR— MIN),以減小對相鄰小區的干擾。可以通過多次 CQT測試,根據測試結果修正設計值,最終得出小區設置最佳參數。
(3) 調整天線的高度與天線的俯仰角來改變小區的覆蓋范圍以減少頻率干擾。盡量減少覆蓋交疊和覆蓋盲區的現象。
(4) 在通話過程中,可以選擇語音間歇系統的非連續傳送(DTX)方式,降低對無線信道的干擾,使網絡的平均通話質量得以改善且可以減小手機的功率損耗,增加電池使用時間。
(5) 利用 HP頻率計數器,調整BTS的 13MHz時鐘,使其頻偏越小越好,減小所使用信道受其它信道的干擾,提高通信質量及系統指標。
(6) 檢查 BTS中COMBINKR、 TXGM、 RXGD等收發信系統減少雜散發射與響應,提高收發信系統的性能,減小干擾。
(7) 檢查頻率復回情況。對于有頻率復用的基站盡量增大兩者之間的距離;同時注意兩小區的“U— TIME— ADVANCE”參數設定值,避免出現同頻干擾現象。
(8) 啟用新技術。在維護工作中發現,功率控制、調頻等新技術的運用,對于減小干擾,提高通信質量以及改善網絡指標均能起十分積極的作用。
5 總結
解決無線網絡干擾問題是目前網絡維護與優化的核心問題,以上幾點是本人在解決干擾問題上的一點認識。隨著技術水平的不斷提高,更多的新技術、新設備將會更好的解決這一問題。如智能天線的運用、設備性能的提高、小區參數有效調整等。
參考文獻
[1]郭榮平,沈連豐.多尋呼發射機互調干擾分析及避免方法的研究.南京航空航天大學學報,1997,29(2):236-241
1設計原則
根據上述的需求分析和部署環境的實際特點,學院無線網絡整體規劃,需要本著以下原則進行規劃與設計:
1)無縫覆蓋
天津交通職業學院校園無線網絡設計采取802.11ae,要求單個AP應具有不低于600Mbps無線帶寬接人能力,單個終端接人速率不低于6M,自由漫游實現無縫對接,無線覆蓋率達到(含室內外)99%以上,保證被覆蓋區域的網絡訪問流暢。無線系統需要具有IPv6協議和流量的分類轉發和管理能力。
2)安全性
通過防火墻、堡壘主機、入侵檢測等安全防范設備,配合加密通訊、身份識別、權限控制等措施和完備的密碼保護技術,增強校園無線網絡系統防范各種形式的非法入侵和內部攻擊等行為,保證實體安全、網絡安全、系統安全和信息安全。
3)兼容性
本次建設的無線網絡能夠很好地與現有校園網兼容,采用統一身份準入系統,將原有SAM認證與新部署的AAA認證系統進行無縫對接,實現對學生訪問資源的統一管理和認證。
4)擴展性
預留AC、AP可升級的能力,為未來無線校園網建設提供基礎,無線網絡要支持AC冗余擴展N+1的冗余備份能力。
5)高性能
無線網絡的網絡鏈路層應具有較強的數據轉發能力、交換容量、多服務支持等能力,保證數據通訊質量。
2無線網絡規劃設計
此次無線網絡規劃建設是在學院校園原有的有線網絡上,采用有線無線整體融合的方式進行無線網絡建設。無線網絡覆蓋所有教學樓、圖書館、宿舍樓、體育場,宿舍樓,戶外等區域,完成全方位立體式無線覆蓋。
1)分布式加集中式的無線部署方式
室內區域要求提供多角度立體式覆蓋,角落采樣信號強度均達到了70%以上,設計上采用高射頻全向天線。穩定性方面要求保證長時間無間斷Ping測試無丟包現象。同時考慮到在同一區域內還有其他廠商的AP設備,所以本次設計還需要具備較強的抗同頻干擾能力和高接收靈敏度。
室外區域在以上滿足以上要求的同時還必須具備防雷擊、防水、防火等能力。
由于網絡規模較大,整個無線網絡采用FIT AP的運行模式,在核心N18007上配置無線控制器板卡AC,各區域的無線POE交換機通過千兆單模光纖直連,實現無線數據的集中轉發。由網絡中心無線控制器直接管理維護,通過在網絡中心部署無線控制器捷無線,每臺可實現對最多4000個AP的集中管控,實現對宿舍區和教學辦公區的區別管理的同時實現無線控制器1+1熱備。
2)集中式的身份認證系統,支持802.11f協議,用戶在不同的AP之間移動時,切換零延遲、無中斷漫游。全網絡的統一的認證方式和無縫漫游,對學院所有校園用戶進行統一認證。無線網絡認證同學院現有認證系統實現完全融合,并結合有線系統實現有線無線一體化,實現統一認證,統一運營管理。
3)無線供電設計
本次規劃的無線校園網采用802.11n的AP,需要充足電源。傳統的802.11a、b/g的AP采用802.3af標準,15W,802.11n的AP需要提供802.3at標準,24W。采用兼容802.2af供電方式的802.11n的AP既充分利舊采用原有的POE交換機等設備,也能夠在日后的維護成本又很大的降低,將極大地節省了無線網絡的電源消耗。在高密度的無線AP的覆蓋場景下,建議采用POE交換機供電方式,選用支持802.3af兼容AP。采用低功耗的802.11nAP,兼容802.2af,利用原有設備,節省投資;低碳、節能、綠色環保。POE電源注入器的方式,在AP數量不多場景下,如果采用POE交換機供電,會有浪費,增加了用戶的成本,同時,無線和有線一般是同時部署的。在有線接入交換機的接口有剩余的情況下,采用外接POE注入器的方式,將能充分利用現有的有線交換機,不用再增加專用的POE交換機,而極大地節省了用戶的投資。POE電源注入器方式,該方式適合于無線AP節點數量不多的場所。
3無線網絡分場景部署
1)宿舍區域場景
走廊:空間形狀狹長,信號出現多次反射形成多徑干擾問題。
覆蓋:墻壁厚、獨立衛生間、信號穿不透。
性能要求:宿舍網人數多,對無線的性能要求高。
本次覆蓋的宿舍區域主要為1-12號學生宿舍,宿舍區域的房間比較密集墻壁較厚而且靠近走廊側沒有窗戶。對于無線信號的穿透有著一定的影響。因為對于無線部署提出了較高的要求,不僅要同時滿足良好覆蓋和性能需求并解決干擾問題。如果采用AP放裝部署在走廊,無線信號輻射進宿舍對宿舍單邊分布的建筑結構覆蓋3~4個房間的這種部署方式,容易產生無線覆蓋的盲區和AP的干擾問題,最終導致無線使用效果極差。
本次方案中對于學校的學生宿舍的無線部署采用了高密度部署方案,通過采用墻面式AP進行無線信號覆蓋,每房間均部署了一臺AP。在實地部署和測試中,每個房間的信號可達到65db以上,保證了房間內無線信號滿格。
2)教學辦公樓場景
開間區域場景特點:
典型區域:教室、階梯教室、報告廳等;
人數多:用戶密度高,對用戶性能要求高;
空間大:面積大,比較空曠;
便利性:終端種類多,移動性強。
采用的內置智能天線的放裝AP,在對于簡單環境下的用戶接入,使用近似于交換波束的天線選擇方式去完成用戶快速高性能接入,而在復雜和干擾環境下,控制多天線的組合來達到更好的效果,提供對移動終端無線接人的識別和優化。
3)重點辦公區域
場景特點:
典型區域:辦公室、教室、實驗室等;
信號要求高:承重厚墻,對無線覆蓋效果影響很大;
美觀性:不能破壞整體裝修、對美觀性要求非常高;
用戶密集:行政樓辦公室、教研室。
行政樓、教研室、小型辦公室等區域采用面板式AP進行部署,可在86mm面板盒上安裝,而且還集成了以太網口和IP電話接口,整機設計簡潔美觀、部署便捷,可以在不破壞墻面裝修的情況下安裝在接線盒上,是辦公室等環境無線網絡建設的最佳選擇。
4)室外操場場景
場景特點:
典型區域:主廣場、體育場、主要道路等;
條件惡劣:雷擊、雨水、高溫、塵土;
部署困難:元器件中間件多;
信號遠:遠距離覆蓋;
用戶少:室外人數不多,性能要求不是很高。
無線網絡應用的不斷普及,也產生對其連接性能、穩定性、安全性等方面的憂慮。實現可見性、更細致的管理是當下無線網絡管理的趨勢。
隨著無線網絡應用的普及,確保無線連接的穩定性、質量和無線網絡的性能至關重要。不過,要確保無線局域網擁有最佳性能,通常需要投入大量人力對無線網絡進行修正和維護。即便如此,許多可變因素仍使客戶端的連接故障難以進行定位。準確地查出問題所在,尤其是必須進行現場分析的情況下,可能需要花費數小時。當網絡中增加新用戶、應用或進行網絡結構變更時,管理無線網絡將需要花費更多時間,而支持難度也將隨之上升,因而導致無線業務連續性遭到破壞。
摩托羅拉系統(中國)有限公司無線網絡解決方案業務中國區總經理蔡鹵硎荊骸岸雜諼尷咄絡提供商或企業IT 部門而言,將重點放在對無線網絡的修正和維護上耗時耗力,他們所需的其實是一款智能的網絡管理工具。”
此外,因所處行業、規模不同,企業對于網絡管理的重點也不盡相同。在運營商群體中,由于面向規模、需求不斷變化的公共用戶,因此親睞對網絡優化和故障排除。而對于企業而言,由于面向特定用戶,因此,企業通常在無線網絡建設初期就將投入重點放在網絡設計與優化上。在后期使用過程中,無線網絡的安全性、故障排除能力以及可管理性成為企業的最大需求。
地處市中心核心地段的英國電信公司,許多辦公室里都能檢測出超過30個其它企業或機構的無線局域網。因此,英國電信需要一個能夠經濟高效地自動檢測出入侵者和流氓接入點、確保其無線通信安全的解決方案,該方案還必須同時支持其基于非摩托羅拉系統的無線網絡。根據英國電信的需求,摩托羅拉系統為其提供了AirDefense企業級解決方案,并在英國電信的15家機構中實際部署,不僅提高了企業員工的工作效率,還幫助網管員高效制定并執行安全策略、考核遵守情況,確保網絡實現最高安全性和作業完善性。
摩托羅拉AirDefense基礎設施安全管理及網絡優化解決方案主要由遠程探測器(傳感器)、服務器和中央管理器組成,可對無線網絡進行24X7全時段監測,提供實時無線覆蓋熱圖,網管員可以借此及時了解當前無線網絡覆蓋情況,以及網絡變更和干擾源影響相關情況,獲得管理無線網絡所需的可見性,進而在用戶受到影響之前確定并解決問題。
此外,AirDefense支持涉及多廠商、多架構、多代際和多版本無線局域網的多種后臺管理協議,因此,可幫助網絡管理員通過單一控制臺控制全部無線網絡基礎設施,幫助客戶簡化網絡管理并實現管理的自動化。
關鍵詞:無線局域網;瘦AP;移動醫護平臺
Abstract:Mhealth becomes popular in hospitals due to the development of WLAN technologies.Mhealth platform can improve the efficiency of daily rounds and nursing, and monitor the patients' physiological index.The Affliated Hospital of SouthWest Medical University chooses a wireless solution based on fit AP.On the basis of existing network frames, a wireless network is designed and built.besides, a management scheme is proposed to manage the wireless network.The wireless network has been test and optimized.It is safe and reliable according to medical staff.
Key words:Wireless LAN; Thin AP; Mobile healthcare platform
隨著醫院信息化的發展,移動醫護平臺在醫院越來越普及。通過移動醫療平臺,醫生可以在床旁查閱患者病歷記錄,并實時更新醫囑,護理人員可以在床旁完成護理操作,或者采集患者生理指標,并實時更新到系統,有效地提高了醫護人員的工作效率[1]。移動醫護平臺將成為醫院信息系統的重要組成部分。無線局域網(WLAN)技術,適合在高數據業務的熱點區域,提供高速接入率、低QoS的接入服務[2]。隨著WLAN空中接口協議從802.11a發展到802.11n,無線覆蓋的范圍和傳輸速率顯著提高,為移動醫療的實現提供了有效的解決方案。本文基于WLAN技術,選取了瘦AP的無線解決方案,完成了無線網絡的設計與部署,形成了完整的管理方案,搭建測試環境測試無線網絡并優化,最后在該解決方案的基礎上測試了移動醫護平臺,并收集整理使用情況。
1 無線網絡的設計與部署
我院醫護人員在使用移動醫護平臺時,主要功能包括床旁電子病歷查閱,醫囑查詢與下達,PACS影像查看,輸液與用藥管理,床旁心電監護等。無線網絡要求達到零漫游,零丟包,低延遲,高速率以滿足上述功能。結合實際使用需求,選取的解決方案參數,見表1。
1.1無線網絡的設計 我院的無線網絡的部署,是在現有網絡的基礎上完成。在需要部署無線網絡的外科樓,內科樓,腫瘤科,傳染科以及綜合樓等建筑中,垂直子系統采用兩路4芯光纜,分別連接建筑底層的兩臺匯聚交換機,水平子系統使用五類雙絞線,接入到各樓層弱電間交換機。無線網絡基于802.11n協議,選取了無線接入POE供電交換機,瘦AP以及超柔饋線。接入無線網絡之后的網絡拓撲圖,見圖1。
1.2無線網絡的部署 POE供電交換機作為接入交換機,連接到樓層的交換機。瘦AP通過超柔饋線,連接到接入交換機上。瘦AP作為無線漫游的基站,下聯多個智分單元,以片區為單位,分布在樓層的各個位置。智分單元再通過超柔饋線,將美化天線延伸到各個房間。部署的方案,見圖2。
智分單元可認為是瘦AP的延伸,美化天線是智分單元的延伸。故整個科室的信號都是由瘦AP發出。醫護人員在科室內部移動時,不會出現漫游的情況。每個病室和走廊上都部署有美化天線,保證信號全覆蓋。
為方便無線網絡管理,為每棟樓劃分一個VLAN,每個VLAN關聯一個SSID,用于移動醫護平臺業務。考慮到擴展不同的業務,瘦AP可根據實際需求,多個SSID,分別對應不同的業務。我院目前在醫護人員使用的基礎上,還劃分了單獨的VLAN,用于監護儀器的使用。
2 無線網絡的管理方案
在設計和部署無線網絡的同時,我院也形成了一套無線管理的方案,主要包含安全性能管理、信號強度檢測、流量監測、故障查找及排除、報表統計。
安全性能管理通過主動防御和被動防御完成。被動防御即給不同樓棟的設置不同SSID,同時設置不同的密碼[3],保證患者的移動終端不能連入無線網絡。由于密碼比較容易泄露,因此安全性較低。主動防御,即給醫護人員使用的移動終端設備,安裝監控軟件,通過后臺服務器檢測連入無線網絡的設備,禁止非內網用戶接入。同時禁止終端設備修改接入的SSID和密碼,保證設備只能在特定的科室環境中使用。主動防御的安全性較高。
信號強度的檢測和流量檢測,主要通過引入管理軟件來完成。管理軟件基于SNMP協議,通過無線接入控制器(AC),x取POE接入交換機以及瘦AP的MIB信息庫,獲取當前連入的無線設備數目,數據流量以及相應的信號強度。并且可以根據科室的實際環境,制作無線熱圖,實時查看科室各個位置的信號質量。
通過AC,可以遠程批量配置上線的瘦AP,根據不同的使用科室,將瘦AP命名。通過監控軟件可以實時監控瘦AP的在線狀態,在瘦AP退服時發出告警,并記錄日志。還可以通過AC查看瘦AP天線的在線情況,以便在病室出現信號不穩定,但瘦AP正常工作時,迅速查找到工作狀態異常的天線并進行處理。
最后,通過管理軟件,可以記錄瘦AP在一段時間內的退服時間,退服率,內存使用率,CPU使用率,流量使用情況等數據,并形成相應的報表,作為無線網絡后續調整和維護的參數依據。
3 無線網絡的測試與優化
在部署完成之后,需要對無線網絡進行測試,保證移動醫護平臺上線之后正常的使用。測試的項目包括了ping包測試、信號強度測試、FTP上傳和下載測試等。
Ping包測試,通過選取支持802.11n協議的PDA,在無線網絡中進行ping包測試,記錄丟包率以及平均ping包延遲。信號強度測試,是通過安裝信號測試軟件,在實際環境中測試信號強度并記錄,同時對比管理軟件讀取的信號強度。FTP上傳和下載測試,是通過搭建FTP服務器,在終端設備上傳輸文件,記錄上傳和下載的平均速度。以我院外科樓肝膽外科為例,測試結果,見表2。
在測試結果的基礎上,可通過瘦AP的信道調整,功率調整,取消其他無線信號源等手段,對科室無線網絡環境進行優化。
4 結論
我院無線網絡部署和測試完成之后,已投入試用階段。基于無線網絡開展了相應的移動醫護業務,可滿足醫護人員的實際使用需求,有效地提高了醫護人員的工作效率。
參考文獻:
[1]楊宏橋,吳元立,李學斯,等.移動醫療技術的研究與應用[J].中國數字醫學,2011 6(11):49-51.
關鍵詞:無線網絡;安全隱患;防范;安全方案
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9599 (2012) 09-0000-02
隨著智能手機以及各種便攜式移動終端在校園內的逐漸普及,傳統的有線校園網受布線以及空間的限制已經無法完全滿足廣大師生的需求。因此,搭建成本更低、靈活性、移動性更好的無線網絡早已成為各大高校彌補有線網絡不足的重要措施。借助開放性的電磁波傳輸,無線網絡在信息傳遞的速度和質量上給校園帶來了革命性的變化。但是,由于無線網絡固有的開放性,又大大增加了網絡管理人員管理無線網絡的難度和增大了外部設備對校園網絡的威脅。
一、校園無線網絡的安全隱患
由于無線網絡的信號難以控制,數據可能出現在預期之外的地方。這增加了網絡被入侵的機率。同時因為無線網絡依靠的是邏輯鏈路而不需要提供物理上的連接,所以任何在無線網絡廣播范圍內并獲得網絡訪問權的人都可以監聽網絡,并通過非法手段獲得一些敏感的數據及信息。
類似其他領域的無線網絡,校園無線網絡也存在著以下幾點安全隱患:
(一)不易管理
首先,由于無線網絡開發的特殊性,管理人員很難對無線網絡進行管理。其次,由于無線網絡的便捷性,只要在無線廣播范圍內,任何地點都具有接入方便的特點,所以,通過布置防火墻等硬件措施并不適合于無線校園網。再者,無線網絡協議一直以來都存在著缺憾。IEEE在802.11標準之后,雖然有針對性的提出了一些加密的方法來實現數據的保密性和完整性,但是WEP協議依舊存在著嚴重的缺陷,對于之后改進的802.11i,雖然大幅度的改善了網絡的安全性,但是否還存在問題,任然需要時間來衡量。
(二)信息泄密
對于有線網絡,由于其物理空間的界定,在傳送數據包時,技術人員可以通過對物理網絡的處理以提高傳送的安全性。然而,由于無線網絡采用無線通信的方式,所以傳送的數據包更容易被截獲,截獲者甚至不需要將竊聽設備連入網絡便可進行截獲,而任何截獲數據包的人都對其進行破譯、分析,從而導致信息的泄密。
(三)網絡資源遭竊
網絡資源遭竊就是一般所說的“蹭網”,一旦發生蹭網行為,則大量的網絡帶寬將會喪失,資源減少,將會影響到網絡的性能及傳輸效率。
(四)存在地址欺騙的隱患
這是基于IEEE802.11協議所產生的問題,由于802.11協議對數據幀沒有認證操作,網絡中站點的MAC地址容易丟失,所以攻擊者可以使用虛假地址的數據幀進行ARP攻擊。更嚴重時,攻擊者可以冒充AP進入網絡,獲得真實的認證信息。
(五)其他安全隱患
無線網絡還存在著拒絕服務攻擊、Web攻擊、DNS欺騙、緩沖區攻擊等安全隱患。
校園無線網作為無線網絡具有以上的一些安全隱患,但同時校園無線網也存在著另外一些安全問題。
由于安全意識不強、校園無線網布置水平的參差不齊,校園無線網的安全性并不高。甚至,很多的無線接入點都沒有考慮到無線接入的安全問題。無線網絡接入的認證存在缺陷,MAC地址的認證、共享密鑰的認證等基本認證方法并沒有完全普及,只有少數高等院校配備了更高級的802.1x認證協議。同時,相比大型無線網絡來說,一般校園無線網還需要一套更加統一、細致的安全體系!
二.無線網絡問題的傳統解決方法
一般來說,無線網絡安全問題的傳統解決方法有以下幾種,它們同時也適用于校園無線網絡。
(一)MAC地址過濾
由于MAC地址的唯一性,MAC地址過濾方法成為了解決無線網絡問題的常見方法。技術人員可以通過將合法的MAC地址下放到每一個AP中,或者存儲在無線控制器中以實現MAC地址過濾的功能。
(二)隱藏SSID并禁止廣播
SSID是指用來區分不同網絡的標識符,是無線網絡用來進行定位服務的一項功能。一臺計算機只能和一個SSID網絡連接并進行通信。SSID設置在無線接入點AP上。通常來說,為了使接入的終端能獲知周圍的無線網絡,AP會廣播SSID。然而,這將大大降低無線網絡的安全性。為了提高網絡的安全性,AP最好不進行廣播,并將SSID映射成一串無規律的長字符串。這樣,任何未被授權的移動終端即使通過自動掃描功能感知到無線網絡的存在也無法接入。
(三)使用VPN技術
VPN(虛擬專用網絡)技術是目前最安全的解決方案。它可以通過隧道和加密技術提高信息的安全性。
(四)數據加密
對傳輸數據的加密是提高安全性的必要條件。這樣,即使在未授權的情況下,數據被截獲,也能使損失降低到最小。
(五)其他方法
其他方法如:禁止動態主機配置協議、使用802.1x控制網絡接入等都能起到很好的提高安全性的作用。
三、綜合性的校園無線網絡安全方案
校園無線網絡相比一般無線網絡來說,雖然具有一般性,但同時也有自己的特殊性。所以,要想提出一個綜合性的校園無線網絡安全方案,不但需要以上提到的各種無線網絡安全技術,還需要做到以下幾點:
(一)規劃優先
在構建校園無線網絡之前需要對設計方案及規劃進行充分的考量,這包括網絡環境的設計、設備的購買、AP的布置、服務器的管理和技術人員的培訓等。對于天線的選用需謹慎,桿狀全向天線覆蓋范圍過大,增大了入侵者入侵校園無線網的可能性。在不同的區域應布置不同類型的天線。而對于AP來說,在配置時,應在滿足要求的前提下,盡量使發射功率最低,以降低入侵的可能性。
另外,對技術人員的培訓也是至關重要的,技術人員水平的參差不齊會導致校園無線網布置漏洞的出現。對軟、硬件技術人員應該分開培訓,使其懂得網絡的正常管理和故障維修。對工作人員來說,必須提高他們的安全意識和專業水平。
同時,在規劃校園無線網絡的時候,還要考慮到整個互聯網大環境的影響。在設計階段,可以借助建立小范圍模型的方法,模擬可能出現的各種問題,攻擊模型,觀察所規劃的網絡的表現,從而得出設計漏洞,進行改進。建模的方法能節約成本,使設計更加完善,提高安全性。
(二)提高校園無線網身份認證的水平
由于校園無線網的特殊性,要想得到一套綜合的安全方案,需要在身份認證時,對使用人群進行分類,不同的人群使用不同的認證方法。一般來說,可以分為以下幾類:1.固定使用群。一般是指校園內的師生及一些固定的校內工作人員。這類人群需要經常性地接入校園無線網。對于這類人群,安全性要求較高,所以可以使用比較復雜,但是安全系數更高的802.1x進行認證。2.流動使用群。這類用戶通常是臨時的在校園內生活,他們可能是交流訪問的學者或者是受邀而來的賓客,他們只需要在一個特定的時間段接入校園無線網,并非長久性的。所以,對于這類人群,安全性要求顯得并沒有那么高,可使用簡單的Portal認證。
(三)更加統一的校園無線網標準的建立
為了更加方便、系統地管理校園無線網,需要建立更加健全、安全、完善的統一標準。這將避免由于各高校標準不一而帶來的漏洞問題。而且,各高校最好能共享無線網絡技術,定時進行互相交流與學習,從而避免校園無線網絡技術的層次不齊所帶來的影響。同時,還需建立更加完善的法律法規,對構成嚴重網絡損害的入侵者進行相應的懲罰,這樣才能達到事半功倍的效果。
四、結束語
無線網絡技術給校園帶來了便捷性,但同時也帶來了許多的安全隱患。構建校園無線網絡不但需要安全技術的不斷改善、實現有線網和無線網的無縫連接,更需要一套更加綜合、更加完善的解決方案。只有這樣才能保證校園無線網絡的安全性,才能真正達到服務校園的目的!
參考文獻:
[1]鄭東興.淺談無線網絡安全防范措施分析及其在校園網絡中的應用研究[J].職業技術,2012,01
[2]張洪.淺談校園無線網絡的安全現狀與解決方案[J].職教研究,2011,02
[3]王雙劍,丁輝.無線網絡安全的機制及相關技術措施[J].科技傳播,2012,06
[4]陳亮.無線網絡安全防范措施探討.信息與電腦(理論版)[J].2011,03
[5]宋玲.淺議無線網絡的安全隱患與防范措施[J].科技信息,2012,10
[6]張麗.無線網絡安全的思考[J].硅谷,2012,01
[7]任偉.無線網絡安全問題初探[J].信息網絡安全,2012,01
[8]呂明化.無線網絡在校園網中的應用[J].魅力中國,2009,18
[9]張景文.校園無線網絡安全技術分析[J].電腦知識與技術,2010,12
[10]劉宏.無線網絡安全缺陷與應對策略分析[J].信息與電腦(理論版),2010,06
光纖市場需求強勁
在“2009中國光通信發展與競爭力論壇”上,亞太光通信委員會主任、中國通信學會光通信委員會主任毛謙教授表示,隨著通信業務向分組域的發展,對光纖網絡的需求已經從原先的集中于核心網和城域網向無線接入網發展。中國移動設計院唐紅炬預測,2009年國內光纖需求總量將超過5000萬芯公里,這其中包括中國移動的1500一1600萬芯公里。中國電信的1200~1500萬芯公里,中國聯通的1000萬芯公里,以及其他一些行業如廣電、鐵路等行業的需求等。但他同時指出,2009年光纖市場的高增長是由三大偶發原因導致的:一是2008年奧運會的封網以及運營商的應急通信保障,耽誤了三大運營商至少三個月的網絡建設進度;二是今年中國4萬億的拉動內需投資功不可沒;三是2008年底3G牌照的發放和全業務運營政策。他認為,上述三個偶發因素導致今年中國光纖市場的供不應求,未來光纖光纜設備商則要把握運營商需求,提高產品核心競爭力,嚴把質量關才能在競爭中立于不敗之地。
適用于FTTX最佳性能
總部位于荷蘭的帝斯曼從事光纖材料的開發已有30多年的歷史。擁有全球光纖涂料80%的市場份額,是光纖涂料領域名副其實的技術領導者和市場主導者。帝斯曼中國區總經理林為斌介紹,帝斯曼從上世紀70年代第一代光纖通信剛剛出現的時候,就開始了第一代紫外光固化光纖涂料的研發和商用。目前斯曼的光纖涂料已經發展到第三代――DeSomeSupercoatingsTM。DeSolite SupercoatingsTM對微彎衰減的敏感性降低了90%,這種性能在FTTX設計中具有非常重要的優勢。此外,DeSolite SupercoatingsTM在極端溫度條件下能表現出高度的穩定性,從而為低溫條件提供了強大的解決方案。產品的低揮發性和快速固化特點,也為保障光纖在高速拉絲生產過程中的性能穩定起到重要作用。帝斯曼亞太區市場發展經理柳懿說。DeSolite SupercoatingsTM的抗微彎性就是保護光纖在外界壓力和低溫情況下,將外界對光纖產生的壓力和由熱脹冷縮對光纖造成的壓力降到最小,降低信號衰減,從而確保光纖牢固結實,保護運營商的網絡投資。
光纖微彎的產生,是由于隨機的不均勻受力,如光纖軸產生微小的變形、振幅發生微米變化、長度發生毫米變化而引起的。微彎能引起信號衰減,甚至永久性信號傳輸終止。在全球范圍內,帝斯曼日前還宣布與領先的通信網絡軟件與服務提供商Telcordia簽署協議,雙方將致力于推動光纖光纜微彎性能的標準制定,希望在定義規范、標準制定及實施等方面進行有效合作。帶動世界光通信行業綜合競爭力的提升。網絡標準的發展不僅將保障網絡投資,而且確保有效的的網絡架構部署以浦足未來高帶寬需求,盡管這個需求還是未知數,但是終將能夠實現。
摩托羅拉無線網絡渠道峰會闡釋未來構想
近日,摩托羅拉公司在青島舉辦了中國地區首次無線網絡渠道峰會,多名來自總部和亞太區的高管親臨現場,向中國的渠道合作伙伴介紹了摩托羅拉無線網絡解決方案業務在全球以及中國未來發展的方向和市場策略。
今年早些時候。摩托羅拉進行了企業移動解決方案部門的戰略性調整。企業無線LAN業務和無線寬帶業務進行了整合。成為新的無線網絡解決方案業務。合并后的新業務涵蓋摩托羅拉無線寬帶業務(MOTO MESH、點對點、點對多點),WLAN、Air Defense和TEAM(Total Enterprise Access and Mobility)解決方案的銷售和交付工作。通過這次重組,摩托羅拉開始以統一的架構為亞太區客戶提供各種無線寬帶、無線室內網絡、安全和IP語音解決方案。
會上。摩托羅拉向中國的渠道合作伙伴們詳細介紹了此次業務整合的情況,新任的亞太區無線網絡解決方案部(WNS)主管Benhur Mesfin和亞太區銷售主管John Fogarasi在峰會上中介紹說,摩托羅拉整合企業無線LAN和無線寬帶業務,主要是希望能為企業無線LAN和無線寬帶業務的客戶、渠道合作伙伴創造更可觀的價值。客戶將從摩托羅拉得到更豐富的產品組合和服務,而渠道合作伙伴也可以因此獲得更多商機。經過整合,摩托羅拉現在的無線網絡解決方案可以實時、高速地傳輸多媒體信息,無論用戶身處何方,都可以方便地相互溝通。
環境,使得部署打印設備時需要考慮更多問題。在部門級應用中,采用USB接口連接打印機是最常見的,但是這種模式需要單獨的打印服務器,會造成設備、空間以及能源的浪費:其次是有線網絡連接,這種模式也比較常見,部署比較方便,但是擺放的位置依然要受到網絡布線的限制。而在無線網絡越來越普及的今天,企業已經可以考慮采用無線打印的模式。
目前部分打印設備同時具備USB、有線網絡,無線網絡三種接口,方便用戶根據不同的應用環境進行部署。從之前讀者的反饋和具體辦公環境的考察來看,需要網絡打印的企業部門通常有三種類型
1 無線路由器擺放在開放的公共區域內,周圍空間較大,有專門的工作臺可以擺放打印設備。
2 同樣是部門內,但是無線路由器的周圍空間較小,沒有太多空間供打印設備擺放,或者是打印設備需要擺放在特定的位置,距離無線路由器有一定的距離。
3 最后還有一種情況,就是在會客廳,會議室等半獨立環境內擺放的打印設備。在這些環境內使用的筆記本電腦有些是不允許被連人企業內部網絡的,此時就需要一臺專門的無線打印設備供其使用。
解決方案
在傳統的共享打印機方案中,打印機通過USB方式連接到PC上,企業用戶將這臺PC作為打印機服務器來使用。這種方案的優點是部署起來相對簡單,可選的打印機也很多,但它也有很明顯的缺點,常常讓企業用戶頭痛不已
1 USB打印機需要單獨占用一臺PC,以便提供共享打印機服務。這不但可能造成PC資產和資源的浪費,同時也在無形中增加了電費的支出,提高了企業的長期運營成本。
2 作為打印機服務器的PC由于處于內網,其殺毒軟件和防火墻不能經常進行更新,往往會在新病毒和木馬面前“中招”,導致打印機服務中斷,影響企業正常運營,此外,在長時間不斷電運行的情況下,PC的穩定性也難以保證。
3 由于USB數據線的長度有限,決定了uSB打印機不可能離PC太遠,從而對打印機的擺放位置造成了限制。
從讀者來信可以發現,如今的企業對于打印機共享有了新需求,能夠獨立提供共享打印服務的網絡打印機越來越受到關注。網絡打印機恰好將普通USB打印機的缺點變為了自己的優點:不再需要占用PC、安全性和穩定性更高,擺放位置更靈活。因此,針對企業用戶在網絡打印方面的三類不同需求,微型計算機評測室給出了相應的三套解決方案。
有線網絡打印方案
針對第一類應用需求,我們推薦企業用戶采用有線網絡打印方案。在該方案的服務端中,網絡打印機通過網線與無線路由器相連,向企業內網提供網絡打印服務。在客戶端,企業內網的用戶不論是使用臺式機(有線網絡用戶),還是使用筆記本電腦(無線網絡用戶),都能通過無線路由器訪問到網絡打印機,隨時進行打印,在使用感受上和傳統方式完全一致。
無線網絡打印方案A
在第二類應用需求中,要求打印機的擺放位置更靈活,以便擺脫網線的束縛,可以放置在企業內的任何位置,同時也能隨時搬移。因此在這套無線網絡打印方案A中,和有線網絡打印方案唯一的不同就在于網絡打印機和無線路由器之間采用無線連接。網絡打印機內置的無線模塊就相當于一塊無線網卡,能夠讓打印機加入企業內部的無線網絡并網絡打印服務此時無線網絡采用的是AP模式(基礎架構)。客戶端用戶在使用感受上和有線網絡打印方案完全相同,服務端的不同對使用沒有影響。
無線網絡打印方案B
第三類應用需求比較特殊,客戶端用戶需要使用筆記本電腦與網絡打印機直接進行無線連接,從而實現臨時,靈活的快速打印。在這套無線網絡打印方案B中,筆記本電腦和網絡打印機使用Ad-hoc模式進行點對點的連接,兩者“單線聯系”,不會對企業內網造成任何影響。
網絡打印方案的部署
在這三種應用環境中,打印設備分別應該如何部署,在具體設置時又應該注意哪些問題呢?我們特意選擇了兩款部門常用的噴墨一體機進行了實際部署體驗。
在實際部署企業網絡打印時,有很多種安裝方法,這里我們以兄弟My Mio MFC,790CW為例,介紹一種相對簡單快速的安裝方法。部署網絡打印主要有三個步驟:
1 將網絡打印機接入企業網絡或自建點對點網絡。
2 將PC(包括企業的臺式機和筆記本電腦)連接到企業網絡或網絡打印機建立的點對點網絡。
3 在PC上安裝網絡打印機的驅動程序,建立相互的連接,完成網絡打印的安裝。
由于有線網絡打印方案和無線網絡打印方案A/B在部署上有許多共通的步驟,因此我們采用豎向并行的操作步驟來進行安裝方法的講解。
寫在最后
企業部門級無線網絡正在普及,越來越多的SOHO用戶也開始采用無線網絡,這都是無線網絡打印設備被采用的基礎,與此同時,無線網絡辦公環境或者有線無線混合網絡辦公也讓用戶在選擇打印設備時需要考慮更加全面。從目前情況看,支持有線無線網絡功能的打印設備本身已經內置了各種比較常見的連接方式,可以適應多變的部署環境。
關鍵詞:網絡設備;SSID;AP;無線網絡控制器;VLAN
一無線網絡技術簡介
無線網絡的飛速發展給人們的工作和生活帶來了極大的便利。(一)靈活以及廉價。(二)沒線纜約束。
二無線網絡安全隱患分析
非授權的用戶若獲得了無線網絡的訪問權限,將會破壞系統數據,消耗網絡帶寬,降低網絡的性能。
三無線網絡安全措施分析
(一)轉向企業級加密用戶們使用PSK模式進行登錄,對每一個用戶和會話都是唯一的。(二)確保物理上的安全性一定要保證你的接入點AP遠離公眾可以接觸的地方,最起碼應該將其掛到墻上或天花板上。(三)裝入侵檢測和入侵防御系統這兩種系統通常靠一個軟件來工作,并且使用戶的無線網卡來嗅探無線信號并查找問題。(四)構建無線使用策略正如需要其它網絡設備的使用指南一樣,你也應當有一套針對無線訪問的使用策略。
四東莞市某職業院校無線網絡安全技術應用方案
學校對無線網絡的需求特征分析上,安全因素被放在了首位。(一)校園無線網絡安全問題的提出在當今使用中,大多數校園的無線局域網主要是依靠WEP方式對數據進行加密。其次,如果AP不做任何安全設定,則任何一個符合Wi-Fi的網卡都可以接入網絡。另外,黑客還可能會使用MAC欺騙技術入侵網絡。下面根據東莞市某職業院校無線網絡應用的需求和要達到的目標,整體規劃設計出一套適用于東莞市某職業院校的無線安全應用方案。(二)東莞市某職業院校無線網絡安全技術應用方案概述該解決方案采用了WPA安全架構的設計,還應用了基于英特爾架構的無線網絡控制器和支持多SSID的AP。(三)東莞市某職業院校無線網絡安全技術應用方案實施下面以東莞市某職業院校的校園無線網項目為例,詳細地闡述應用方案。(1)無線網絡呈現的問題分析與應用解決方案由于存在不同地點的校區,學校的教職員工不得不在不同的校區來回,同時教學場所也經常在各校區之間變換,這讓校園網絡出現了難題:①如何讓校園網絡覆蓋兩個不同位置的校區?②如何提供無縫的網絡連接?③如何保證網絡安全通暢?④如何提高教學和學習效率?針對學校面臨的以上難題,對無線網絡應用方案確定如下:⑤無線網絡信號覆蓋兩個不同的校區。⑥提供無縫的網絡漫游。⑦保障無線網絡安全性。⑧提供不同的接入認證方式。(2)無線網絡技術應用方案的確定為了構建一個統一的、易接入的、穩定安全的校園無線網絡環境,現決定采用以下解決方案:①全面采用筆記本電腦作為無線終端。②采用符合802.11標準的產品,架構采用WPA標準。③采用具有多SSID和VLAN特性的AP進行基礎覆蓋。④采用無線網絡接入控制器。⑤采用無線網絡管理系統。(3)無線網絡安全技術應用的實施該方案使得整個校園無線網絡具有高度可擴展性和可升級性,提出了校園無線網絡的整體應用方案。如圖4.1所示:在無線網絡方案中,各無線覆蓋區域的AP就近接到接入層交換機上。因為存在校內教師、學生和校外來訪用戶等不同的無線用戶群,出于不同用戶群對安全性、易用性要求不同的考慮,采取802.1x和WEB認證相結合的方式來提供用戶身份認證。為了區分這兩種接入方式并將其分別關聯到一個對應的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①對于在校內的學生和教師用戶,將采用符合WPA安全架構的802.1x標準認證的接入方式,通過的用戶將獲得一個唯一的主密鑰,通過該主密鑰客戶端和負責接入的AP將根據TKIP方法動態生成唯一的加密密鑰。在校園有線網L3分布層交換機上配置VLAN的子接口,利用該子接口作為這個SSID所代表的VLAN的網關,對其進行路由轉發,從而使通過認證的內部用戶訪問整個網絡,但是由于對無線通信進行了動態加密,保證了校園的敏感數據在空中傳輸的安全。②對于用WEB方式認證的校外來訪用戶,連接上無線接入點后,可以通過AC設備的DHCP服務或企業的專用DHCP服務器獲得IP地址、網關和DNS信息,無須安裝客戶端軟件,直接利用瀏覽器就可以通過充當RNC設備進行WEB方式認證,認證通過后就可以接入到Internet。為保證整個園區網絡的安全性,對于該SSID接入的用戶必須以無線網絡控制器(RNC)作為其網關設備,L3分布層交換機無須對該SSID所代表的VLAN進行路由轉發。如果這些用戶需要訪問校園內部網絡,可以通過在這一無線網絡控制器(RNC)設備上啟用用戶級的策略路由來實現。(四)校園無線網絡安全技術應用方案總結(1)安全性高這套無線局域網系統支持符合WPA安全架構的802.1x認證方式,借助TKIP技術動態生成的數據加密密鑰使空中無線數據通信如同在一條加密隧道中傳輸,保證了信息傳輸的高安全性。(2)支持多SSID和VLAN劃分CiscoAironet1200系列AP支持多SSID,每個都可以映射到有線網絡的一個VLAN,將符合802.1q標準的VLAN延伸到無線網絡上。(3)利用策略路由進行訪問控制在方案中,將校園無線用戶分成兩類,一是教師用戶,一是學生用戶。為了讓學生能通過網絡與其它院校的師生進行交流,但同時又不想Internet上的垃圾信息和不良網站干擾學生的生活,那么可以設置學生用戶的下一跳路由到CERNET,而教師用戶的下一跳則是路由到Internet出口,從而實現了不同無線用戶群體的訪問需求。(4)流量控制保證用戶帶寬通過RNC的流量控制功能將不同用戶的帶寬按不同需要進行管理,保證某些重要用戶的帶寬暢通,有效防止了帶寬過量占用的拒絕服務攻擊。(5)AP管理和用戶管理通過RNC的AP管理功能,可以把其所連的AP作為一個網絡單元進行管理,結合網管系統還可以將RNC作為SNMP(簡單網絡管理協議),對這些AP進行管理。無線網絡管理員可以通過“Web3.教學管理制度與考核制度教學管理工作由院校雙方共同承擔,遵照共同制定的人才培養方案和教學計劃開展教學,學徒制工作小組定期巡視現場教學,了解教學基本情況,收集意見和建議。考核制度上實行理論課程考核、專業核心課程考核和畢業考核。理論課程的教學主要在學校完成,由學校組織筆試+實踐考核;專業核心課程主要在合作醫院完成,由現代學徒制工作小組組織臨床實踐+技能考核;畢業考核采用綜合專業理論筆試+專業核心能力鑒定+病案報告考核,由現代學徒制工作小組組織實施。學生只有通過以上考核才能獲取康復治療技術專業專科畢業證。4.現代學徒制實施存在的問題現代學徒制教育是高職院校發展的基本趨勢,是推動我國職業教育發展的有力武器,但目前我國現代學徒制成功應用到衛生職業教育的模式還很少,離醫教結合、工學交替模式還有很大的差距,主要表現在以下幾個問題:(1)法律體制不健全。合理、完善、有效的職業教育法律法規是保障學徒制推行的基本前提,衛計委和教育行政部門應當充分發揮宏觀調控和管理功能,修訂和完善相關法律法規,在政策、經費上給予充足的保障,充分調動醫院、衛生行業的積極性,使醫院在人才培養意識上具有社會責任感和使命感。(2)行業學會支持力度不夠。行業協會應對職業教育充分發揮其引導和管理作用,一方面積極鼓勵醫院參與到職業教育中來,在科研、繼續教育、職稱晉升等方面給予醫院兼職教師相關優惠政策。另一方面在人才培養規格上引導學校和醫院結合康復治療師的崗位需求與國際標準接軌,不斷更新修訂康復治療技術專業標準、教學內容和執業資格考試標準。(3)雙導師師資力量薄弱。學校導師應定期到醫院臨床實踐予以相關的考核和激勵機制,提高學校導師實踐教學能力;醫院導師應有計劃的進行職業教育教學理念的學習、教學方法執教能力的培訓,使其具備先進的職業教育教學理念和教育教學方法。現代學徒制能讓康復治療技術專業實現符合現代職業教育理念的產教融合,是目前所提倡的工學結合教學模式的載體和有效實現形式,更是當前發達國家職業教育的主導模式。高等院校和相關醫院深度合作、雙導師聯合傳授技能,符合行業發展規律,有利于加速衛生事業的發展、服務當地區域經濟轉型升級。
參考文獻
[1]趙蕾.現代學徒制對高職高專院校人才培養模式的影響及應用研究[J].職業教育,2015(9):37.
[2]關晶,石偉平.西方現代學徒制的特征及啟示[J].職業技術教育,2011(31)32:77-79.
近幾年來,為了加快學校教育信息化的進一步發展,作為對有線局域網的補充和擴充,校園無線網絡得到了快速發展。校園有線網由于是“有線”的,所以在應用中存在相當多的問題。例如,很多學校只在部分區域接入網絡,而無法顧及所有區域;擁有多個校區的學校在校區間聯網成本較高;布置網線的教室、圖書館、會議室節點數量受到限制,無法實現多人同時上網,這些傳統有線校園網的“網絡盲點”問題,都可以通過發展無線網絡得到解決。無線局域網絡(WirelessLocalAreaNetworks;簡稱WLAN),它利用射頻(RadioFrequency;RF)技術,使用電磁波,在空中進行通信連接,使得無線局域網絡能利用簡單的存取架構讓用戶透過它,達到“信息隨身化、便利走天下”的理想境界。WLAN無線覆蓋已經成為信息化校園建設一種必不可少的接入方式。無線網絡技術具有無縫覆蓋、可移動通信等優點,可與有線網絡互為補充。在校園網絡中,完善的解決方案將開辟無線網絡在教育行業的應用,進而引發深刻的網絡教育變革。此處以我校無線網絡解決方案為例,分析如何有效地緩解校園網建設中存在的傳統有線網絡無法解決的難題,推進信息化建設的發展。
二、無線網絡建設方案
以我校無線網絡建設為例,在本次建設方案中,采用最為專業的、具有優秀的可擴展性和可管理型的“FIT-AP+AC”(AP+無線控制器)的無線組網模式。這種組網模式具備以下優勢: 集中管理FITAP的配置保存在無線控制器中,FITAP啟動時會自動從無線控制器下載合適的設備配置信息。 統一安全策略因為無線數據轉發通過集中的AC處理,便于在AC上進行集中的安全策略部署。 有線無線一體化管理目前學校的有線基礎架構已經較為成熟,本次在有線基礎上進行無線部署,可形成統一的拓撲呈現、性能監視等,簡化管理壓力。 保護已有投資學校圖書館核心交換機S7506R已經配置無線控制器插卡,本次建設可以直接利用AC插卡實現控制器功能,實現投資保護。校園無線網絡的開通,可以突破有線網絡節點限制,大大擴展了用戶使用網絡的空間,方便了我校師生通過網絡獲取信息,進一步提升了我校的信息化水平。我校無線網絡建設項目,一期工程包括了1-2號教學樓、圖書館、南餐廳、北餐廳、體育館、行政樓、室外廣場、室外體育場以及老校區教學樓、餐廳等場所。共安裝120個室內AP,6個室外AP以實現以上場所的無線信號覆蓋。無線網絡環境的引入,為嶄新的無線多媒體提供了應用平臺,從而將我校教育信息化帶入一個新的天地。
三、項目實施
3.1綜合布線
室內區域:鑒于節約成本及避免浪費的原則,本項目室內布線部分信號的傳輸、設備的供電全部采用超5類非屏蔽雙絞線。室外區域:室外環境的惡劣,及復雜多變決定了室外區域的布線不能采用普通的非屏蔽雙絞線,而應采用室外屏蔽型,抗拉伸超5類雙絞線。設備的級聯:項目中涉及到交換機之間需要級聯的部分,應當采用傳輸質量更高的6類雙絞線。布線應注意以下事項: 雙絞線在走廊和室內走線應在電纜槽內,應平直走線; 交換機到AP的雙絞線最長距離為100米,超過100米的可用雙絞線連結器連結加長; 雙絞線在機房內走線要捆成線札,走線要有一定的規則,不可亂放; 雙絞線兩端要標明編號,便于了解結點與AP接口的對應關系; 雙絞線應牢靠地插入交換機、配線架和AP的網卡上; 結點不用時,不必拔下雙絞線,它不影響其它結點工作; 選用八芯雙絞線,自己安裝接頭時,八根線都應安裝好,不要只安裝四根線、剪斷另外四根線。
3.2AP安裝
AP在無線網絡中扮演著集線器的角色,它其實就是無線網絡信號的發射“基站”,因此它的安裝位置必須選擇好,才能不影響整個無線網絡信號的傳輸穩定。由于無線通信信號是按直線方向傳播的,要是在傳輸的過程中,遇到有障礙物的話,無線通信信號的強度就會受到削弱,特別是遇到金屬障礙物時,無線信號的衰減幅度更是巨大。為了避免無線信號遭受到外來障礙物的干擾,在安裝無線AP時,將AP盡量安裝到高處。在安裝無線AP時,將每個AP的覆蓋范圍進行少量的交叉覆蓋,確保每一個無線子網之間能夠實現無縫連接在對無線AP進行信道劃分時交叉使用信道1、6、11,使重疊區域不受干擾。在無線AP安裝完成后,對AP的配置進行優化。對無線信號的場強和信噪比進行測試,并調整AP的頻點和AP的發射功率來細微的對該區域無線局域網的整體性能進行調節。在安裝室外AP時應當注意惡劣氣候的防護,如大風天氣、雨雪天氣、雷雨天氣都應考慮在內,做好防護措施。室外AP的供電采用POE供電模塊,在布設網線時使用兩根網線,一根用來供電,一根用來傳輸數據,供電電源線長度不超過70米。AP安裝時應當緊密固定,可使用膨脹螺絲加扁鐵對AP進行固定。由于室外比較空曠,且室外AP的安裝位置比較高,雷雨天氣容易遭到雷擊,在安裝時應做好避雷設施,以確保設備的安全。
四、無線網絡的應用
無線校園網具有很多優點,得到了迅速發展,加快了高等教育信息化進程。無線網絡為高校進一步實現教育教學改革、圖書館數字資源的充分利用、形成移動學習環境打下基礎。
4.1在教育教學中的應用
首先,無線校園網具有便攜、移動、寬帶等特點,學生和教師人手一臺無線終端(筆記本電腦、PDA、手機等),教師可以通過無線網絡進行教學,并且可以最大限度地加強教與學之間的溝通和互動,使教學模式發生根本性的改變:其次,在無線校園網的環境下,所有教學過程通過教學管理平臺進行,可以方便地對教學過程進行檢查、監督和調整,便于教學管理。無線校園網還帶來了整個教育資源的重新整合,包含了教師、教學資料、教學設備、教學模式和教學理念,這必然推動著校園消息化的發展。
4.2圖書館數字資源得到最大應用
圖書館無線網絡的鋪設,解決了學術報告廳、電子閱覽室、檢索大廳、閱覽區、書庫、自習室、讀者休息區等信息點少、難于布線的問題。這些地方充分發揮無線網絡易于擴展、移動靈活的優勢,擴大圖書館網絡覆蓋范圍,形成無死角區域的上網可能,隨時隨地查閱圖書館數字資源,給學生撰寫論文、學習提供最大方便,使圖書館的數字資源得到充分利用。
五、結束語
關鍵詞:無線網絡;IEEE802.11;安全;SSID
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)28-6843-02
On Wireless Network Security and Precaution Measures
HUANG Shi-ping
(Department of Modern Educational Technology, Nanjing Medical University, Nanjing 210029, China)
Abstract: Today as the wireless network technology is growing mature, it has been extensively applied in many areas. However, its security is also becoming an issue of concern as its rapid development. In this thesis, the current situation of wireless network has been briefly analyzed, and a number of security measures have been brought forth, for the purpose of a better secure and reliable wireless network.
Key words: wireless network; IEEE802.11; security; SSID
隨著信息技術的飛速發展,人們對Internet訪問的持續性、移動性和適應性等方面取得了很大的進展,加上無線網絡技術的日益成熟,以及筆記本的不斷普及,無線網絡已成為一種普及的網絡訪問方式,并已經占據了主流地位。無線網絡具有安裝簡便、可移動性、開放性、高靈活性等特點,這些都為人們帶來了極大地方便,但也決定了無線網絡存在諸多安全隱患。如何有效的安全防范,發揮無線網絡的優勢,讓使用無線網絡更安全可靠,已經成為無線網絡發展的重要問題。
1 無線網絡的安全問題
1.1 無線網絡隱蔽性差
無線網絡是采用射頻技術進行網絡連接及傳順的開放式物理系統,一般采用2.4-2.4835GHz頻道范圍內傳輸信號[1],肉眼看不到信號傳輸過程,但只要擁有一臺具有無線網卡的電腦,黑客可能很容易登錄到無線網絡,對網絡發起攻擊而不需要任何物理方式的連接。
1.2 用戶的安全防范意識不強
現在很多無線網絡都沒有采取安全措施,尤其是家庭用戶,超過一半的無線網絡不使用加密功能。這樣就很容易被他人建立網絡連接,實現非法目的。
1.3 拒絕服務
攻擊者可能會以各種方式發出DOS攻擊,發出無線電干擾信號攻擊低層無線協議或向網絡發送大量的隨機數據而使網絡堵塞。
1.4 竊聽、截取網絡資源
攻擊者可將無線網卡設定成監聽模式來對未使用加密認證的通信內容進行監聽,利用監聽軟件將通信內容以仿真終端機的形式展現出來[2]。攻擊者利用一些網絡軟件,如TCPDumpl等一些監控軟件分析流量,推斷出WEP密鑰的明文信息。
1.5 WEP易被破解
利用互聯網上的軟件,能夠捕捉位于AP信號區域內的數據包,收集到足夠的密鑰包,并進行分析。根據監聽無線通信的速度、發射信號的主機數量,以及802.11幀沖突引起的IV重發數量,可以在短時間攻破WEP密鑰。
2 防范措施
2.1 更改無線路由器的默認設置
無線網絡中最重要的設備之一就是無線路由器。同一品牌設備出廠時用戶名、密碼、IP地址、SSID等默認值都是相同的,如果不修改這些默認的設置,那么入侵者則非常容易發現設備并進入管理界面,獲得網絡的全面信息和控制權限。因此,這是無線網絡安全設防的第一道關。
1)更改設備用戶名和密碼
默認情況下,出廠狀態下的無線路由器的用戶名和口令均為admin,ip地址為192.168.1.1,這些數值都會在說明書中有說明,用戶可以通過筆記本連至無線路由器,更改為較為復雜的數值。
2)隱藏SSID和禁用SSID廣播
SSID[3]是無線接入點的標識符,默認情況下啟用SSID廣播,無線網絡客戶端能夠搜索到相應的標識符,建立連接即可訪問網絡。為了安全起見,SSID名稱必須更改,同時禁用SSID廣播,這樣,只有知道SSID標識符的用戶,其自己手動創建對應的SSID標識,才可以進入網絡。如圖1所示。
3)禁止DHCP,縮小ip地址范圍
默認情況下無線路由器的DHCP是打開的,它會自動為每臺電腦分配IP地址,很容易就暴露了設備的ip地址,帶來安全隱患,因此,禁用DHCP,手動分配ip告之用戶很有必要。
4)MAC地址過濾
MAC地址過濾是事先在無線節點設備中正確導入合法的MAC地址列表,只有客戶端的用戶MAC地址與該地址列表中的內容完全匹配時,AP才允許普通工作站與無線網絡進行通信,從而從根本上杜絕非法攻擊者使用無線網絡偷竊隱私信息。如圖2所示。
2.2 數據加密
1)WPA
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。
WPA使用802.1x標準彌補了WEP的另一個缺陷,它采用802.1x和一個加密協議EAPOL(Extensible Authentication Protocolover LAN),這個協議可以實現用戶到網絡的認證[4]。
2)WPA2
WPA2與WPA向后兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。但是WPA2方式還不夠成熟,因為部分無線設備和大部分客戶端均不支持WPA2加密,可以通過微軟提供的WPA2補丁來解決。
3)802.11i
IEEE802.11標準對以前的安全協議進行改進,采用雙向認證機制,有效地消除了中間人攻擊。集中化認證管理和動態分配加密密鑰機制。解決了由于WEP使用RC4分配靜態密鑰帶來的隱患,防止非法用戶利用丟失的設備進行非法登錄。重新定義集中策略控制,一旦會話超時,將觸發重新認證和生成新的密鑰[5]。802.11i標準中主要包含加密技術TKIP(Temporal Key Integrity Protocol)和AES(Advanced Encryption Standard),以及認證協議802.1x。
2.3 建立無線虛擬專用網(VPN)
VPN即虛擬專用網,是指在一個公共網絡平臺上通過隧道及加密技術保證專用數據的網絡安全性,vpn可以替代專線對等保密解決方案以及物理地址過濾解決方案。同時vpn還可以提供基于Radius的用戶認證及計費。極大增強了數據傳輸的安全性。
3 結束語
無線網絡安全越來越受到人們的重視,本文淺析了無線網絡存在的一些安全隱患,并探討了幾種安全防范措施。無線網絡安全技術的研究仍在繼續,網絡應用范圍的不斷推廣,使人們對無線網絡依賴的程度增加,也對無線網絡信息安全提出了更高的要求。除了通過各種方法和技術手段之外,對于制定相應完善的管理及使用制度也是非常有必要的。
參考文獻:
[1] 譚潤芳,無線網絡安全性探討[J].信息科技,2008,37(6):24-26.
[2] 趙琴.淺談無線網絡的安全性研究[J].機械管理開發,2008(1).
[3] 馬建峰,吳振強.無線局域網安全體系結構[M].北京:高等教育出版術社,2008.
相對于傳統的有線網絡,無線網絡因其布置便捷、靈活及優越的可拓展性得到越來越多的企業的青睞。同時隨著無線網絡技術的發展,之前受人質疑的速度和安全性都已經有了很大的改善,因此這兩項已經不再是無線網絡進一步推廣的技術瓶頸。而且隨著越來越多的廠商推出更多款式的無線產品也給企業的無線應用提供了更多的產品選擇,同時無線覆蓋的成本也以比以前大大的降低。但選擇合適的無線產品和擁有一套完善的無線解決方案仍舊是無線應用及推廣的成功關鍵。
為了給員工和訪客提供便捷的網絡接入,計劃在該廠的辦公區域和訪客區域實施無線網絡覆蓋。初步的無線規劃先針對目前全廠的訪客區域進行無線網絡覆蓋。目前全部訪客區域包括以下各廠:F1,F2,F4,F6,F7,QBUS,H1和H2。各廠區的具體覆蓋范圍為各廠區的大廳會議室和廠區內部會議室。具體的應用需求如下:
1、大廳會議室要求發送兩個無線ESSID:Staff和Guest。其中Staff供內部員工(包括普通員工和VIP員工)使用;Guest供到訪的來賓使用。
2、廠內辦公區域部分發送一個ESSID:Staff供內部員工使用(包括普通員工和VIP員工),訪客用戶無權通過Staff使用內部網絡。
其中普通員工在大廳會議室或在廠內辦公區域通過Staff只能訪問訪問內部網絡,無權訪問Internet;VIP員工通過Staff既可以訪問內部網絡也可以訪問Internet。當員工通過Staff這個ESSID連接到網絡時,無需提供無線連接密碼,自動會獲取到公司內部網段IP地址。此時還無權訪問任何內部資源。當員工打開一個網頁時,自動顯示無線網絡登陸驗證畫面。員工輸入公司內部的AD帳號和密碼后方可登陸無線網絡。之后員工就可以正常公司的內部網絡,而VIP員工在訪問內部網絡的同時還可以訪問Internet網絡。
而訪客到大廳會議室時,先到前臺獲取一組無線網絡訪問的用戶名和密碼。訪客通過無線網絡先獲取到一個非內部網段的私有IP地址。打開網頁時,出現無線網絡登陸驗證畫面,輸入從前臺獲取的用戶名和密碼后,則可正常訪問Internet,但無權訪問內部網絡。
二、無線網絡覆蓋方案介紹
2.1方案應用介紹
為了實現內部員工和訪客對無線網絡的使用需求,本技術方案主要會應用到以下幾個技術要點:
2.1.1無線訪問的使用者權限要和內部的活動目錄(ActiveDirectory)整合
為了控制不同的內部員工的無線訪問權限,在進行無線登陸驗證時員工輸入自己在公司內部分配的活動目錄中的帳號。驗證服務器根據不同的帳號傳遞給無線控制器相關的帳號信息,而無線控制則根據預先設定好的不同使用者權限進行驗證和區分。
2.1.2利用Windows本身的驗證服務器(IAS)來整合活動目錄和無線控制器的帳號
為了整合活動目錄中的使用者帳號和無限控制對不同帳號的使用權限進行控制,需要用到Radius服務器來整合帳號的認證和權限的控制。雖然目前第三方的Radius服務器也有很多,如cisco的ACS、TekRadius、WinRadius等的,但WindowsServer2003系統本身自帶的IAS作為Radius有其必然的優越性。IAS作為Microsoft本身的一款服務器系統能夠很好的和Windows活動目錄進行整合,而且沿用windows所有產品的方便操作、容易上手的特點為部署IAS提供了很好的條件。
在活動目錄中對不同的內部員工分成兩個組一個是普通員工組(StaffGroup),另外一組是特權用戶組(VIPGroup)。把只能訪問內部網絡而不能訪問Internet的內部員工加入到StaffGroup中;把既能夠訪問內部網絡又需要訪問Internet的內部員工加入到VIPGroup中。在IAS中設定不同的訪問策略來區分StaffGroup和VIPGroup的訪問權限,并把不同組的ID號傳遞給無限控制器來處理。
2.1.3利用無線控制器的角色(Role)功能來區分不同的Windows帳號的訪問網絡權限
通過購買高級角色安全證書可以激活無線控制器的角色(Role)管理功能。在無線控制其中設定不同的組,這些組和活動目錄中的組一一對應。當IAS根據不同的訪問者組傳遞回不同的組ID(GroupID)時,利用角色管理功能,無線控制可以接收這些不同的GroupID。并根據不同的GroupID和訪問列表進行綁定,從而達到不同使用者組訪問不通網絡的目的。
2.1.4利用核心無線控制器的本地的驗證服務器來來驗證訪客的使用權限
無線控制器本身提供了內置的驗證服務器功能,這可以為訪客系統提供相關的訪客帳號信息。前臺工作人員可以根據管理提供的帳號和密碼登陸無線控制,無限控制器根據前臺工作人員帳號權限提供給前臺創建訪客帳號權限。通過簡單且易操作的帳號設置畫面,前臺可以為訪客打印一張含有訪客帳號信息的卡片,卡片中包含了帳號、密碼及可訪問的時間段等信息。訪客可根據這張帳號卡片方便的訪問的無線網絡。
考慮到這次的無線網絡覆蓋點較多及后續的拓展性,在本次方案中選用Motorola最新的無線控制交換機RFS7000來作為無線網絡控制中心,選用AP300作為各個無線訪問接入點。
RFS7000是基于Motorola下一代無線技術架構Wi-NG之上的核心級無線網絡控制交換機。RFS7000提供支持最大、要求最苛刻的環境所需的性能、安全性、靈活性和擴展性。可通過企業內部和外部交付運營商級的移動語音和數據服務簡化企業的運營。并且可通過其強大的綜合功能降低移動性的成本,這些功能包括:摩托羅拉的下一代無線(Wi-NG)體系架構、Wi-Fi和RFID;自適應AP技術、定位服務、802.11n高數據速率連接(支持Mesh)、綜合分層安全性、集中管理以及許多摩托羅拉獨特的移動功能。
摩托羅拉的AP300提供了豐富的802.11a/b/g連接性。通過與無線交換控制器RFS7000的配合使用,為本方案的整個無線網絡提供了極其靈活的可拓展性。AP300是摩托羅拉的“瘦”下一代無線接入訪問點,可通過摩托絡的無限控制進行集中和遠程管理,所有的配置和設置都是在無線訪問控制器上來實現。此設備的配置迅速,并可輕松、迅速升級以支持新的功能、特性和安全協議,從而可大大降低部署、實現和管理無線網絡的成本;同時可顯著增強無線網絡基礎架構的特性、功能和安全性。
2.2方案架構分析
該應用方案系統架構圖如下所示:
在活動目錄中定義兩個組,一個組名是StaffGroup,這個組的成員為普通內部員工,其權限定義為只能訪問內部網絡;另外一個組名為VIPGroup,這個組的成員是特權內部員工,其權限定義為既可以訪問內部網絡,也可以訪問Internet。
在RFS7000中也定義兩個組,組名也分別為StaffGroup和VIPGroup,這個組用來分別接收活動目錄中傳遞過來的兩個同名組的帳號和權限。
另外在RFS7000中再定義一個GuestGroup,這個Group主要用來存放訪客的帳號。這部分的帳號直接存儲在RFS7000的本地Radius數據庫中。這些帳號由前臺工作人員創建,主要用來驗證訪客的權限信息等。
在IAS中設定兩組策略,一組策略為StaffPolicy,主要用來驗證StaffGroup中的成員信息,并把帳號認證信息傳遞給RFS7000中的StaffGroup;另外一組策略為VIPPolicy,主要用來驗證VIPGroup中的成員信息,并把帳號認證信息傳遞給RFS7000中的VIPGroup。
在RFS7000中分別設定StaffGroup和VIPgroup兩個角色的規則,分別接收AD中傳過來的帳號信息,并根據這些信息訪問不同的IP地址段。而對訪客的控制則直接通過綁定訪問列表的方式來實現。
當內部員工訪問Staff無線網絡時,首先獲取到內部的合法IP。根據輸入的用戶名和密碼,RFS7000判斷該帳號是域帳號,并將帳號傳遞給IAS去認證。IAS會判斷該用戶是屬于StaffGroup還是VIPGroup,并把相關的帳號信息傳遞給RFS7000。在RFS7000收到這些帳號信息時,根據定義好的角色規則去匹配,從而正確的控制內部員工對授權網絡的訪問。
當訪客從前臺工作人員獲取帳號后,訪問Guest無線網時,首先獲取到是RFS7000定義的本地網段。RFS7000發現該帳號是本地帳號,直接和本地的訪問列表去匹配,從而授權訪客正確的訪問Internet網。
2.3方案優勢分析
該無線方案的實施和部署考慮到了最大化優化無線網絡的目的,同時相對于其他品牌的設備來講,又可以大大降低部署的成本;而且為今后無線網絡的拓展又有很大的延伸空間。相對于Aruba等其他競爭廠商和Motorola的整體優勢總結如下:
解決方案成本:RFS7000內置了VPN網關,狀態防火墻和Radius服務器等特性,這些特性不需要額外購買License。而Aruba需要為單獨功能購買License,而且WPA2AES/遠程部署AP和通過ARM實現的AP自動調整功能也需要購買License。RFS7000的備份無線交換機不需要額外購買相關的APLicense,而Aruba的備機需要購買和主機相同數量的APLicense。
三層移動/冗余:RFS7000通過移動對等實現無縫的三層移動,移動對等中的成員地位平等,所以不存在單點故障。基于cluster可以通過L2,L3實現冗余且非常易于配置和維護;而Aruba需要一個專用的移動服務器實現三層移動,這樣就存在單點故障。并且Aruba的主機和備機無法實現Active:Active負載分擔
網絡安全:RFS7000集成IDS功能,同時Motorola提供一個專業的功能強大的無線入侵防御系統(AirDefense),該系統可以保存數個月的數據供分析和問題追溯;而Aruba的Airwave偵測的攻擊種類非常少,并且打開此功能會影響性能。交換機上的數據庫也只能保存很短時間的數據。而且目前該廠已經購買了一套AirDefense,以后如果需要監控office部分的網絡只需要購買額外的Sensor和License就可以實現強大的入侵防御功能。如果office部分也是采用Motorola的無線設備,這就為省去了一筆額外購買一套入侵防御系統的成本開支,同時也能和QMS的無線網絡能更好的協調和配合,給構建一整套完整的無線網絡,提供可靠的保證。
體系架構:32路專用CPU,RFS7000管理平面獨立于數據和控制層面,所以設備不但易于管理,而且擴展能力和穩定性好;而且對于帶寬有限的廣域網鏈路,提供本地轉發解決方案。而Aruba的配置只能通過Master交換機來完成,所以難于配置,同時擴展性和可靠性差。對控制器的備份還需要備份數據庫,備份復雜并且無法提供本地轉發解決方案
AP性能和功能:硬件加密解密,在起用最高強度WPAAES最高強度加密的情況下性能幾乎沒有下降.AP支持MESH,在AP和無線交換機的廣域網鏈路的故障情況下,本地流量仍然可以轉發;而Aruba在起用最高強度WPAAES最高強度加密的情況下性能下降明顯.;在AP和無線交換機的廣域網鏈路的故障情況下,AP完全無法工作
移動特性:30年的企業移動解決方案經驗,提供非常好的粒度控制(可以基于BSSID配置DTIM,基于組播標記的負載分擔,搶先切換漫游等),對于Motorola手持終端可以最大限度的延長終端的電池使用時間并增強切換等性能。而Aruba缺少企業移動經驗和相應的對終端電池使用時間和性能增強的優化。
倉儲無線遭遇“痛點”
嚴重影響工作效率
作為中國的時尚界零售領軍者,瑪絲菲爾成立于1993年,旗下擁有MASFER SU、AUM、男裝MARISFROLG等時尚品牌,并于2014年2月成功收購意大利著名時裝品牌Krizia。目前,瑪絲菲爾旗下已擁有超過600間的直營商店,分布在中國、韓國、新加坡和澳門的各個高端商場,企業管理員工4000多名,年銷售額近30億元。
“時尚”這個詞不僅體現在瑪絲菲爾成衣產品上,在信息化融合應用環節,這家企業也一直追逐最新的技術與理念。作為國內較早部署無線網絡的廠商之一,瑪絲菲爾之前的無線部署已經覆蓋了辦公、生產、倉儲等各個場景。在倉儲區域中,無線應用主要是掃描槍掃描物料條碼和庫位條碼,及時將信息傳送到物流系統中。但是,在這個非常重要的場景中,卻遇到了棘手的“無線障礙”。
瑪絲菲爾的庫房十分龐大,每層超過7000平方米,高度有5米,堆放的貨架高度也達到3米以上,并且頂部布滿了管道。據瑪絲菲爾網絡管理工程師介紹,之前廠商把無線AP部署在管道上,離貨架頂端1米左右,為防止貨架間信號覆蓋不到,只能加大AP的布放數量,花費不菲。但布放完成后,無線網絡卻非常“不好用”,掃描設備經常掉線,有時甚至需要庫房管理員先將掃描信息存儲到掃描槍中,然后走到貨架外連接無線,將信息傳送到物流系統。導致在一天的工作中,管理員需要反復連接無線網絡,在掃描槍中多次輸入用戶名和密碼。而庫房管理員的績效和工作量直接掛鉤,時斷時續的無線網絡信號不僅沒有幫到他們,反而“拖了后腿”,成為庫房管理員的“重點抱怨對象”。
以“場景化”為突破口
“1分48”穿越貨架
多次現場勘察之后,銳捷網絡的工程師很快找到了無線網“不好用”的原因。首先,由于庫房貨架較高,貨架間距離窄,頂上的放裝型AP信號斜穿效果差,導致貨架間信號很弱,部分甚至沒有信號。而大量AP部署在同一區域,導致相互間干擾的問題,使信號進一步惡化。同時,在倉儲環境中,庫房管理員拿著掃描槍來回移動,處于不同AP的交界處時,也存在著漫游掉線的情況。
針對以上問題,銳捷網絡從“場景化”應用特點出發,為瑪絲菲爾推薦了“無線工廠”解決方案。針對倉庫貨架林立的特點,采用“1分48零漫游技術”,通過智分基站和智分單元擴展出48根無線天線,將48根無線天線均勻分布在倉庫區頂部,每根天線的實際覆蓋半徑7-8米空間。
