AC新时代 T-bit-S12700

随着中国企业真正地步入BYOD时代，WLAN网络凭借在提高企业效率、降低企业成本、提高员工满意度等方面的突出作用，成为了企业网络建设的热点。而如何更方便地建设、部署WLAN网络，成为企业网络信息所关注的和必须解决的下一步需要面对的问题。

一、足够的AP管理容量

无线网络规模膨胀，AC容量免为其难。随着无线办公的普及、BYOD的兴起，企业的无线网络在急剧增大。按照覆盖范围来讲，从最开始的点状补充(如独立的办公室、会议室等)，无线网络只作为有线网络的延伸，到面状全覆盖，企业内部到处覆盖无线信号，无线网络成为办公主体。从最开始一个企业部署几个、几十个AP，到目前的几百、几千个AP。以一个2万员工的大型企业为例，每位员工除了公司配备的笔记本外，还会有个人的PAD、手机智能终端等，因此，1个员工平均持有2~3个终端。2万人的企业则有4万个以上的终端，按照平均每个AP覆盖20个终端，则需要部署2000个以上AP。业界目前单台AC的管理容量一般在1000个AP左右，多为256~512个AP，要管理2000个AP，则至少需要2~3台独立AC，如果再考虑AC备份，起码需要4~6台AC，这么多AC的部署和管理给企业带来了很大的建设运维成本。802.11ac大带宽，AC性能捉襟见肘。802.11n的3*3MIMO带宽仅为450Mbps，而802.11ac 3*3MIMO时空口带宽则达到1.3Gbps，提升了3倍；另外，11ac的编码效率更高，除去空口开销，实际可用带宽达到1Gbps，跨越了有线无之间的带宽鸿沟，给企业无线应用带来了广阔的前景，然而，这也给负责集中转发的AC造成了很大的性能压力。以2000个AP来计算，按照3:1收敛，AC的转发性能就需要：2000AP×1Gbps/3＝660Gbps，而目前业界AC的集中转发性能约为10Gbps，远远无法满足11ac时代的业务要求。

S12700内置随板AC，无需额外购买AC硬件；整机可管理4K AP，64K用户；同时S12700也成为业界首款T-bit AC的核心交换机，解决外置AC处理性能瓶颈，从容面向高速无线时代。

S12700内置随板BRAS，有线无线统一集中到随板BRAS上认证，屏蔽了接入层设备能力和接入方式的差异，支持PPPoE/802.1X/MAC/Portal等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。

二、突出的产品性能

大容量AP管理、无线话音、无线视频、IEEE802.11AC接入，这些都使无线交换机的性能成为一个不容忽视的问题。考虑到投资成本，又不能无限制地通过提升硬件来解决性能限制。因此需要从硬件和软件体系两个方面来衡量无线交换机的性能。

首先，目前的企业网，千兆核心已经普及，而且IEEE802.11AC AP的上行端口多采用千兆，因此，无线控制器需要提供千兆处理性能，不仅提供千兆端口，最好能够提供万兆扩展能力，以便提供更高的网络链接适用性。

S12700采用自研ENP芯片，提供百万级硬件表项规格，远超传统交换机：高达1M MAC表项，3M FIB表项，满足广电、教育城域网核心等大路由应用；高达1M Netstream表项，满足校园网、大型企业等需要精细化流表统计的应用需求。

S12700每单板内置1.5G大缓存，确保突发流量不丢包，视频业务清晰流畅。传统交换机每板一般内置4M缓存，无法满足高质量视频传输的要求，如果要支持更大的缓存，则需要配置昂贵的TCAM，性价比低。

S12700支持48*10GE、8*100GE等高密线速线卡。整机最大支持576个10GE端口，96个100GE端口，充分满足多媒体视频会议、数据访问等大带宽应用需求，保护用户的投资。

其次，随着话音等延时敏感性业务的推广及IEEE802.11n AP处理的大流量要求，集中转发的无线控制器很容易成为性能瓶颈。因此，无线控制器最好能支持分布式转发模式，即控制、管理报文通过无线控制器进行统一处理，数据报文在无线AP上直接转化为以太网格式的报文，不需要通过隧道封装再交无线交换机处理，从而解决无线控制器的数据转发性能瓶颈问题。

三、降低管理成本

对于一般的企业而言，往往没有强大的IT维护力量，这也是选择FIT AP部署企业WLAN网络的一个重要因素，业界主流的FIT AP厂商都提供AP零配置，所有的AP配置操作都在无线控制器或交换机上完成，系统升级也统一由无线交换机来集中操作。因此，企业WLAN AP的管理问题，简化为对无线交换机的管理。

更为突出的是，企业WLAN网络的管理不仅仅是对AP的管理，用户IP地址分配，用户身份认证等系列用户管理也是重点考虑的内容。

内置的AC无线控制器和随板BRAS设备，对网络当中有线们、无线用户的IP地址一般采用DHCP 服务器来分配，用户认证可以采用MAC地址认证、IEEE802.1x认证、PORTAL认证等方式。就可以避免使企业IT管理员成为救火队员。

四、强调无线安全性

WLAN利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战，无线网络安全的复杂性一定程度上限制了企业部署无线。如何解决WLAN接入面临的安全问题，保证客户放心使用是一个重要问题。

仔细分析无线面临的安全挑战， 主要是防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁，又要防范内部威胁，既要防范来自用户端的威胁，又要防范网络端的威胁。

首先是防范未授权AP，即Rouge 设备的接入。IEEE802.11网络很容易受到大量网络威胁的影响，如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等，因此Rouge设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测（WIDS）功能来防范，通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测，检测WLAN网络中的rogue设备，上报管理中心，并对它们采取反制措施，最大程度地保护无线网络。

其次是防范非法用户，这主要通过认证技术及加密技术来保证。常用的认证方式包括802.1x认证、MAC地址认证、Portal认证等多种认证方式，保证无线用户身份的安全性， 结合WEP（64/128）、WPA、WPA2等多种加密方式保证无线用户的加密安全性。另外，通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改，网管人员可以轻松地对不同级别的人进行接入权限分配，实现精细的用户权限控制，从而大大增强了无线网络的可用度。

第三是防范ARP攻击。企业内部普遍存在ARP 攻击手段，通过伪造IP地址和无线交换机地址实现ARP欺骗，产生大量的ARP通信量使网络阻塞或者实现中间人攻击，严重的可以使网络不可用，危害企业应用。为了防止攻击者通过ARP报文实施“中间人”攻击，无线交换机需要具有ARP入侵检测功能，即通过对ARP报文进行合法性检测，转发合法的ARP报文，丢弃非法ARP报文，从而有效防御ARP欺骗。

第四是防范网络带宽滥用。这并不是直接的安全问题，但是会防碍企业内部正常网络应用，需要一些智能管理手段来解决这样的问题。在WLAN网络中，同一个无线AP下会同时接入多个无线终端，如果部分终端应用BT等下载应用，将占用所有的无线端口带宽，导致其它终端不能正常工作。为了避免上述问题，网络最好能支持智能带宽限速，限制终端使用固定带宽，或限制所有终端平均分享限定带宽，从而有效解决带宽占用的问题。

华为S12700随板AC的三大优势华为S12700敏捷交换机，采用高性能的ENP以太网络处理器，有效解决了AC性能瓶颈，开启了T-bit AC时代。

业界首款T-bit AC

传统的AC功能要么由独立的物理设备来实现，要么就由框式交换机的独立物理板卡来完成， 而S12700随板 T-bit AC 是基于ENP技术，融合AC处理和以太交换为一体，每块板卡支持80G线速转发，是业界独立AC性能的2倍以上，整机更高20华为敏捷交换机技术文集达960Gbps线速转发，整机可以提供高达T bit/s的CAPWAP隧道封装/解封装及二层/三层数据转发能力，相比于传统独立的AC，无论是管理AP数还是用户数，都有数倍的提升随板AC，节约用户投资

用户无需购买AC设备或AC板卡，只要利用S12700随板AC和随板BRAS的功能联动，就可实现有线无线用户的统一管理，既简化了网络部署，又节约了投资。另外，内置的随板AC不需占用额外机柜空间和端口资源，节省用户对机房建设的投资。最后，华为S12700随板AC可扩展性好，随着企业无线网络规模的增大，只要通过增加板卡即可实现平滑升级。

有线和无线的真正融合

华为S12700随板AC，创造性地将“AC管理AP”的优秀实践应用到“核心交换机管理接入交换机”上，具有随板AC功能的以太业务接口板，不仅负责有线无线业务的统一转发，还对AP和有线接入交换机进行统一设备管理，集中配置下发，在业界第一次实现了有线和无线网络的统一管理、统一策略和统一转发，做到了有线和无线网络的真正融合，大大降低了企业的运维成本，促进了企业的IT业务创新。
可以预见，在不远的将来，高性能的AC，集中式的认证，是不远的趋势，而S12700已经带领我们先一步走向了未来，T-bit，我们越来越近

总代理：联强国际贸易（中国）有限公司深圳分公司
联系人:刘先生
联系电话：15012667650  0755-33371818