企業級無線不是新概念，但在中國，很多用戶仍將其與傳統的Wi-Fi解決方案相混淆。說它是“企業級”，意味著當無線網絡規模越大時，它所呈現出的優勢也就越大。集中治理、集中控制是它與以往方案的主要區別。

目前，全球僅數個廠商可以提供真正意義的企業級無線解決方案，即基于“無線交換機+瘦AP”架構的產品。到底“企業級”有何獨道之處，用戶為什么要選擇它們，它們是否經得起考驗？為此，我們希望通過測試向讀者展示企業級無線產品的特點，并給企業的CIO們提供參考。

我們向具有此類產品的如下廠商發出了邀請：阿爾卡特、Aruba、北電網絡、Cisco、HP、華為3Com。此次公開比較測試繼續秉承公開、公正的原則，不向參測廠商收取任何費用。可是，最終只有Aruba積極響應并完成了測試。他們送來了三個“瘦”AP——AP 61加兩臺無線交換機Aruba 800和Aruba 2400及其配套軟件（軟件版本2.5.4）的解決方案。盡管其他廠商以設備不能準時到位等原因沒來參加測試，不過，據我們了解，這些方案具有很多相似的功能，通過Aruba的表現，讀者仍可以對企業級無線解決方案有所了解。

立足于如今企業網部署大型Wi-Fi網絡的需求，我們對參測產品的性能、安全性、治理與監控進行了全面的測試。值得注重的是，其中涉及到的無縫漫游、無線IDS/ipS、RF監控、自動部署等內容是企業級無線解決方案的優勢所在。

三問性能“老大難”

一問漫游

漫游（Roaming）性能隨著VoWi-Fi和其他移動業務的開展，在企業網中的地位越來越突出。但以往的“漫游”大多不能遂人心愿。

實際上，整個漫游過程包含了兩個時間段：判定時間（Decision Time）和切換時間（Switch-over Time）。前者是無線網卡判定信號衰減到一定程度，并停止向AP1繼續發送數據流所花的時間。后者是前者發生后，無線網卡用來與AP2完成關聯的時間。準確測試兩個時間片需要專用的測試儀，并在密閉環境中進行，我們無意在此次測試中獲得產品漫游時的精確數字，只想站在用戶的角度上考量產品對應用帶來的影響。

我們按照企業網中會出現的三種拓撲對參測產品的漫游性能進行了測試。分別是：“同一臺無線交換機+同一個子網”條件下的兩個AP之間、“兩臺無線交換機+同一個子網”條件下的兩個AP之間、“兩臺無線交換機+兩個子網”條件下的兩個AP之間。圖1顯示的是第一種拓撲，AP1和AP2處于同一個子網中，一臺內置802.11g迅馳芯片的筆記本電腦接入到AP1，采用缺省參數Ping服務器，同時訪問該服務器上的FTP應用。并以約1.5米/秒的速度勻速向AP2移動，直至漫游過程結束，觀察Ping與FTP業務是否受到影響，以及是否需要重新認證等。

現象有點難以置信。一開始，三種拓撲條件下的漫游，Ping都出現了一個或多個“Request timed out”，即可以理解為“漫游時間”達到了數秒，盡管都不需要重新認證，但FTP業務在多數情況下都中斷了。

不僅是廠商的工程師，連我們也不相信企業級無線產品會存在如此漫長的漫游時間。問題出在迅馳網卡！

后來，我們下載了最新版的迅馳網卡驅動程序。結果發生了明顯的變化，我們反復多次地進行測試，從AP1漫游至AP2，再從AP2漫游回AP1，每次漫游都很“完美”，Ping測試沒有出現一個“Request timed out”，FTP電影下載持續進行，無須重新認證。

遺憾的是，由于一臺無線交換機到期被廠商取走，我們沒能重新測試跨越兩臺無線交換機情況下的漫游性能。不過，想提醒讀者的是，“漫游”測試切莫想當然！不同的客戶端、不同的網卡配置也會導致漫游的現象有所區別。有些丟包的產生是由漫游以外的原因造成，比如有的網卡會在信號中斷后仍會多次嘗試重關聯這個AP，而超過某個計數器后才會關聯到其他AP。我們的測試工程師會在后續的文章中談談這方面的體會。

二問QoS

QoS在WLAN中甚至比在LAN中還要重要，因為WLAN的接入帶寬還比較低，而且是所有的客戶端共享帶寬。在眾多接入點、多種業務條件下，只有通過部署QoS，才能在網絡繁忙時仍能保障企業要害業務的服務質量。

Aruba可以從用戶、地址、端口、應用等多個角度來實施QoS。比如，它可以識別SIP語音流，從而將VoWi-Fi業務與傳統的數據業務區別對待。而且，Aruba系統支持多SSID結構。比如在同一個WLAN范圍內設置教師、學生和訪客三個SSID，用戶在接入時不僅接受不同的認證方式和安全檢查，還會在成功接入后享受不同的QoS設置。

測試中，我們使用IXIA公司的性能測試軟件IXChariot模擬了兩種UDP流，依據端口號劃分高低優先級。測試拓撲如圖2所示。

我們分兩次進行測試，分別在無線交換機上關閉和開啟QoS功能情況下，比較它們的效果。
結果，當關閉QoS功能時，兩種UDP流得到了幾乎相同的服務質量。開啟QoS功能后，高優先級UDP流的性能明顯高于低優先級數據流的表現，如表1所示。

三問接入速率

WLAN的接入速率已經最高可達240Mbps，我們在這次測試中，還考察了產品是否支持最新的百兆無線標準。經測試，Aruba的方案仍然屬于802.11b/a/g的產品，其無線接入最高速率仍為54Mbps。

我們使用IXChariot對不同條件下的接入速率進行了測試。比如，在無線客戶端距離AP 2米的條件下，使用內置的迅馳網卡，測得與一臺有線客戶端進行通信的吞吐量為16.779Mbps。當然，接入距離、客戶端個數，以及是否加密等因素都會影響接入速率。我們變換這些條件，對Aruba的產品一一進行了測試，結果發現，隨著加密的采用、用戶的增多、與AP的距離變遠，都會使性能產生不同程度的下降。如表2所示。需要說明的是，實際環境下的測試對無線產品影響較大，且具有隨機性。比如，在進行接入性能的測試過程中，我們使用NetStumbler就掃描到了一臺相鄰單位使用干擾信道的AP。

由于接入用戶只能與其他客戶端共享而不是獨占無線帶寬，即便是“百兆”無線，分到每個人的帶寬仍非常有限。

考慮到對服務質量要求較高的無線多媒體業務仍以Wi-Fi語音為主，帶寬要求并不高，所以，在目前的企業網中，QoS與漫游的性能顯得更為重要。

安全“企業級”

防Rogue AP的獨到之處

Rogue AP是指那些未經授權就接入到有線網絡中的AP。Rogue AP可以作為通道，使黑客進入到企業網中，它也可能作為中間人竊取往來于無線客戶端的數據。那些企業員工非惡意架設Rogue AP不僅帶來網絡拓撲上的混亂，還可能由于治理上的先天缺陷被黑客利用。

防Rogue AP是Aruba IDS模塊中一項最為重要的功能。測試中，我們在接入交換機上架設一個未經Aruba無線交換機授權的AP。如圖3所示。

結果，觸發了對Rogue AP的告警。并在無線交換機的治理界面上顯示出Rouge AP的生產廠商和關聯到Rouge AP的客戶端等信息。此外，連接Rogue AP的無線交換機的有線端口指示燈呈紅色且不斷閃爍。在探測到Rogue AP后，Aruba解決方案可以對其做出兩個動作：一是利用3個AP進行三角定位，“揪”出Rogue AP。二是在交換機上進行策略設置，使得所有無線客戶端不能關聯到該Rogue AP上。

三角定位對于治理員來說非常必要！它可以幫助治理員準確定位Rogue AP，并解除其物理連接。

三角定位Rogue AP的原理是：3個Aruba “瘦”AP分別通過衡量距離Rogue AP的信號強度，從而測算出Rouge AP的位置。我們在一間面積約20平方米的屋內進行了定位測試。測試中，Aruba的三個“瘦AP隨意擺放于3點，Rouge AP連接在接入交換機上，接入交換機與Aruba無線交換機直接相連，除了第三方的Rouge AP外，其余三個“瘦”AP都采用以太網供電的方式。

要想定位Rogue AP需要用到Aruba的射頻規劃功能，它可以幫助企業用戶在部署WLAN前先做一個規劃，以估算在指定的覆蓋面積上所需的AP數量和AP應安裝的物理位置。

在治理界面上，負責支持的工程師首先定義了房間的長、寬、高等參數。然后生成了一張覆蓋范圍圖，工程師依據三個“瘦”AP在房間中所處位置，定位每個AP在圖中的位置。每個AP都在圖中顯示自己的名字。然后，Rogue AP的位置被自動描繪出來，且在圖中呈動態顯示，它每隔10秒鐘會自動刷新，我們試著移動了一下Rogue AP的位置，結果圖中Rogue AP的位置也會隨之移動。

假如能夠導入房間的平面施工圖作為背景，治理員顯然知道每個合法“瘦”AP的物理位置，將其描繪在覆蓋范圍圖上，那么三角定位Rogue AP將會更為精準，可以具體到Rogue AP是處于哪個員工座位上。

此外，Aruba的方案還可以發現并定位干擾AP，干擾AP雖然沒有接入到有線網絡中來，安全威脅并不明顯，但它會形成一個無線干擾源，降低企業的無線訪問性能。

無線IDS/IPS

在防Rogue AP的測試中，Aruba無線交換機的IDS模塊發出告警。在Aruba方案中，其IDS/IPS是一組豐富的功能集，如DoS攻擊防御、中間人攻擊防御、發現特征等，其中DoS攻擊包含了針對Fake AP等諸多攻擊手段的發現和防御。我們沒有一一進行測試，不過，我們針對Ad-hoc網絡對其進行了驗證。結果其IDS模塊會準確告警，并顯示出Ad-hoc網絡所使用的SSID和接入客戶端的MAC地址，幫助治理員找到該Ad-hoc網絡。也可以進一步地在其IPS模塊中，設置策略將該Ad-hoc網絡“攻下”，我們也對此進行了驗證。需要指出的是，是否被“攻下”也取決于無線網卡的配置，比如，我們使用可以自動更換信道的迅馳網卡就可以避免被“攻下”。

訪問控制

Aruba支持多個層次的用戶認證與授權。治理員可以給用戶定義不同的角色，并使某種角色必須通過相應的認證才能接入到網絡中，認證方式包括：Portal、802.1x、MAC、VPN、L2加密方法和AP的位置等，在通過認證后，用戶享有定制化的服務。

測試中，我們對Portal、802.1x、MAC、AP的位置等認證方式進行了驗證，結果準確。比如，在Portal認證時，無線客戶端在IE瀏覽器中鍵入一個網址，會彈出Aruba的認證界面，當無線交換機驗證用戶名/密碼正確后會幫助用戶重定向到該站點。當然，用戶的認證數據庫可以保存在無線交換機上，也可以外接RADIUS。

此外，Aruba方案通過與其他廠商合作，也可實現端點準入控制。比如沒有通過病毒防護檢查的無線客戶端可以被限制訪問網絡資源。

RF治理“大師”

企業級無線突出的特性之一就是其RF（Radio Frequency）治理的能力。除了我們前面提到的射頻規劃，Aruba解決方案還提供其他豐富的RF治理功能幫助治理員輕松部署、治理大型無線網絡。
集中治理Aruba系統答應用戶通過無線交換機治理整個網絡，開通、監控并維護所有AP及客戶端是很輕易的一件事。

測試中，我們從零開始部署Aruba方案。我們面對兩個選擇去部署多個AP。首先，可以讓所有AP按缺省方式運行，這種情況每個AP都無須進行任何配置，只要將AP與無線交換機相連即可。每個AP會采用缺省的電源等參數，并會根據RF環境自動選擇沒有干擾的信道。第二種方式，通過對AP進行“Location ID”的配置，就可獲得充分的定制服務。測試中，我們通過反向Telnet登錄每一臺AP，并為它們設置“Location ID”。然后，在無線交換機上為每個具有自己“Location ID”的AP進行個性化配置，如信道號、QoS、安全策略等。當AP重啟后，它從無線交換機取得屬于自己的完整配置信息并生效。

Aruba方案還是提出了“Master Switch”和“Local Switch”的概念，所有AP的配置存儲于“Master Switch”中，但眾多AP可以分成不同的群組，注冊到不同的“Local Switch”中。這樣一來，盡管配置信息仍要從“Master Switch”獲取，但兩臺本地AP下的無線客戶端之間的訪問流量就不必再迂回到“Master Switch”，而只是繞經“Local Switch”就可以了。這樣既實現了集中化的治理，又體現出分布式處理的高效率。

負載均衡

Aruba方案支持動態分配帶寬，它屬于負載均衡的一種表現形式。它可以控制當一個AP的流量超過限定額度時，其下屬無線客戶端將被重新關聯到其他輕負載的AP上。從而實現網絡繁忙時，WLAN中的所有AP均衡承擔負載。

測試中，一臺FTP服務器和兩個“瘦”AP接到同一臺無線交換機上（連接方式與圖1相同）。開始時，兩個無線客戶端都關聯到AP1，并限定AP1上流量的閾值為物理帶寬的70%。接著，我們利用其中一個客戶端引入重負載，讓它從FTP服務器下載一個大小為449MB的視頻文件。然后，我們觀察此條件下是否會發生負載均衡。

結果，在下載過程中，我們發現，連接AP1的無線交換機端口指示燈呈黃色且不斷閃爍，據負責支持的工程師介紹，這表明此端口所連接的AP正在發生負載均衡。果然，再次進入治理界面，看到那個沒有進行文件下載的無線客戶端被“擠”到了輕負載的AP2上。

其他治理特性，如自動信號調整，可以根據AP所監聽到的RF環境來自動調整AP的傳輸功率。例如，當某個AP中斷工作時，四周的AP會自動增加傳輸功率來覆蓋信號漏洞。