企业级无线不是新概念，但在中国，很多用户仍将其与传统的Wi-Fi解决方案相混淆。说它是“企业级”，意味着当无线网络规模越大时，它所呈现出的优势也就越大。集中治理、集中控制是它与以往方案的主要区别。

目前，全球仅数个厂商可以提供真正意义的企业级无线解决方案，即基于“无线交换机+瘦AP”架构的产品。到底“企业级”有何独道之处，用户为什么要选择它们，它们是否经得起考验？为此，我们希望通过测试向读者展示企业级无线产品的特点，并给企业的CIO们提供参考。

我们向具有此类产品的如下厂商发出了邀请：阿尔卡特、Aruba、北电网络、Cisco、HP、华为3Com。此次公开比较测试继续秉承公开、公正的原则，不向参测厂商收取任何费用。可是，最终只有Aruba积极响应并完成了测试。他们送来了三个“瘦”AP——AP 61加两台无线交换机Aruba 800和Aruba 2400及其配套软件（软件版本2.5.4）的解决方案。尽管其他厂商以设备不能准时到位等原因没来参加测试，不过，据我们了解，这些方案具有很多相似的功能，通过Aruba的表现，读者仍可以对企业级无线解决方案有所了解。

立足于如今企业网部署大型Wi-Fi网络的需求，我们对参测产品的性能、安全性、治理与监控进行了全面的测试。值得注重的是，其中涉及到的无缝漫游、无线IDS/IPS、RF监控、自动部署等内容是企业级无线解决方案的优势所在。

三问性能“老大难”

一问漫游

漫游（Roaming）性能随着VoWi-Fi和其他移动业务的开展，在企业网中的地位越来越突出。但以往的“漫游”大多不能遂人心愿。

实际上，整个漫游过程包含了两个时间段：判定时间（Decision Time）和切换时间（Switch-over Time）。前者是无线网卡判定信号衰减到一定程度，并停止向AP1继续发送数据流所花的时间。后者是前者发生后，无线网卡用来与AP2完成关联的时间。准确测试两个时间片需要专用的测试仪，并在密闭环境中进行，我们无意在此次测试中获得产品漫游时的精确数字，只想站在用户的角度上考量产品对应用带来的影响。

我们按照企业网中会出现的三种拓扑对参测产品的漫游性能进行了测试。分别是：“同一台无线交换机+同一个子网”条件下的两个AP之间、“两台无线交换机+同一个子网”条件下的两个AP之间、“两台无线交换机+两个子网”条件下的两个AP之间。图1显示的是第一种拓扑，AP1和AP2处于同一个子网中，一台内置802.11g迅驰芯片的笔记本电脑接入到AP1，采用缺省参数Ping服务器，同时访问该服务器上的FTP应用。并以约1.5米/秒的速度匀速向AP2移动，直至漫游过程结束，观察Ping与FTP业务是否受到影响，以及是否需要重新认证等。

现象有点难以置信。一开始，三种拓扑条件下的漫游，Ping都出现了一个或多个“Request timed out”，即可以理解为“漫游时间”达到了数秒，尽管都不需要重新认证，但FTP业务在多数情况下都中断了。

不仅是厂商的工程师，连我们也不相信企业级无线产品会存在如此漫长的漫游时间。问题出在迅驰网卡！

后来，我们下载了最新版的迅驰网卡驱动程序。结果发生了明显的变化，我们反复多次地进行测试，从AP1漫游至AP2，再从AP2漫游回AP1，每次漫游都很“完美”，Ping测试没有出现一个“Request timed out”，FTP电影下载持续进行，无须重新认证。

遗憾的是，由于一台无线交换机到期被厂商取走，我们没能重新测试跨越两台无线交换机情况下的漫游性能。不过，想提醒读者的是，“漫游”测试切莫想当然！不同的客户端、不同的网卡配置也会导致漫游的现象有所区别。有些丢包的产生是由漫游以外的原因造成，比如有的网卡会在信号中断后仍会多次尝试重关联这个AP，而超过某个计数器后才会关联到其他AP。我们的测试工程师会在后续的文章中谈谈这方面的体会。

二问QoS

QoS在WLAN中甚至比在LAN中还要重要，因为WLAN的接入带宽还比较低，而且是所有的客户端共享带宽。在众多接入点、多种业务条件下，只有通过部署QoS，才能在网络繁忙时仍能保障企业要害业务的服务质量。

Aruba可以从用户、地址、端口、应用等多个角度来实施QoS。比如，它可以识别SIP语音流，从而将VoWi-Fi业务与传统的数据业务区别对待。而且，Aruba系统支持多SSID结构。比如在同一个WLAN范围内设置教师、学生和访客三个SSID，用户在接入时不仅接受不同的认证方式和安全检查，还会在成功接入后享受不同的QoS设置。

测试中，我们使用IXIA公司的性能测试软件IXChariot模拟了两种UDP流，依据端口号划分高低优先级。测试拓扑如图2所示。

我们分两次进行测试，分别在无线交换机上关闭和开启QoS功能情况下，比较它们的效果。
结果，当关闭QoS功能时，两种UDP流得到了几乎相同的服务质量。开启QoS功能后，高优先级UDP流的性能明显高于低优先级数据流的表现，如表1所示。

三问接入速率

WLAN的接入速率已经最高可达240Mbps，我们在这次测试中，还考察了产品是否支持最新的百兆无线标准。经测试，Aruba的方案仍然属于802.11b/a/g的产品，其无线接入最高速率仍为54Mbps。

我们使用IXChariot对不同条件下的接入速率进行了测试。比如，在无线客户端距离AP 2米的条件下，使用内置的迅驰网卡，测得与一台有线客户端进行通信的吞吐量为16.779Mbps。当然，接入距离、客户端个数，以及是否加密等因素都会影响接入速率。我们变换这些条件，对Aruba的产品一一进行了测试，结果发现，随着加密的采用、用户的增多、与AP的距离变远，都会使性能产生不同程度的下降。如表2所示。需要说明的是，实际环境下的测试对无线产品影响较大，且具有随机性。比如，在进行接入性能的测试过程中，我们使用NetStumbler就扫描到了一台相邻单位使用干扰信道的AP。

由于接入用户只能与其他客户端共享而不是独占无线带宽，即便是“百兆”无线，分到每个人的带宽仍非常有限。

考虑到对服务质量要求较高的无线多媒体业务仍以Wi-Fi语音为主，带宽要求并不高，所以，在目前的企业网中，QoS与漫游的性能显得更为重要。

安全“企业级”

防Rogue AP的独到之处

Rogue AP是指那些未经授权就接入到有线网络中的AP。Rogue AP可以作为通道，使黑客进入到企业网中，它也可能作为中间人窃取往来于无线客户端的数据。那些企业员工非恶意架设Rogue AP不仅带来网络拓扑上的混乱，还可能由于治理上的先天缺陷被黑客利用。

防Rogue AP是Aruba IDS模块中一项最为重要的功能。测试中，我们在接入交换机上架设一个未经Aruba无线交换机授权的AP。如图3所示。

结果，触发了对Rogue AP的告警。并在无线交换机的治理界面上显示出Rouge AP的生产厂商和关联到Rouge AP的客户端等信息。此外，连接Rogue AP的无线交换机的有线端口指示灯呈红色且不断闪烁。在探测到Rogue AP后，Aruba解决方案可以对其做出两个动作：一是利用3个AP进行三角定位，“揪”出Rogue AP。二是在交换机上进行策略设置，使得所有无线客户端不能关联到该Rogue AP上。

三角定位对于治理员来说非常必要！它可以帮助治理员准确定位Rogue AP，并解除其物理连接。

三角定位Rogue AP的原理是：3个Aruba “瘦”AP分别通过衡量距离Rogue AP的信号强度，从而测算出Rouge AP的位置。我们在一间面积约20平方米的屋内进行了定位测试。测试中，Aruba的三个“瘦AP随意摆放于3点，Rouge AP连接在接入交换机上，接入交换机与Aruba无线交换机直接相连，除了第三方的Rouge AP外，其余三个“瘦”AP都采用以太网供电的方式。

要想定位Rogue AP需要用到Aruba的射频规划功能，它可以帮助企业用户在部署WLAN前先做一个规划，以估算在指定的覆盖面积上所需的AP数量和AP应安装的物理位置。

在治理界面上，负责支持的工程师首先定义了房间的长、宽、高等参数。然后生成了一张覆盖范围图，工程师依据三个“瘦”AP在房间中所处位置，定位每个AP在图中的位置。每个AP都在图中显示自己的名字。然后，Rogue AP的位置被自动描绘出来，且在图中呈动态显示，它每隔10秒钟会自动刷新，我们试着移动了一下Rogue AP的位置，结果图中Rogue AP的位置也会随之移动。

假如能够导入房间的

前一篇：

后一篇：