作者 老韩 | 2012-05-19 22:51 | 类型 互联网, 移动互联网, 网络安全, 通讯产品 |
38条用户评论 »
受陈首席委托,本人于5月17日对车库咖啡的网络部署情况进行了实地考察,总结了一些目前存在的问题,并给出改造建议。水平所限,文中定有不妥之处,还望各位弯曲网友多给把关,集思广益得到最合理的解决方案。
网络现状
车库咖啡采用8线ADSL接入,速度均为下行2Mbps/上行512Kbps,服务商为北京联通。(据创始人介绍,除联通ADSL外,车库咖啡所在建筑无其他互联网接入服务可供选择。)线路由图中所示B点入户,在A点与B点各放置了4台ADSL Modem,再由位于同一位置的4台路由器做PPPoE/NAT,其中包括D-Link DI-7200企业级上网行为管理路由器(最大支持4路WAN接入,使用3路连接ADSL)2台、Cisco/Netgear家用级无线宽带路由器各1台。
车库咖啡营业面积大约800平米,分为会议室、书房、大厅三大功能区。为实现全面的Wi-Fi信号覆盖,4台路由器LAN口又连接了若干家用级无线宽带路由器,当做AP使用;在大厅中部分区域,采用了无线网桥的方式拓展信号。整个车库咖啡共有4个SSID供顾客使用,它们彼此独立,无法实现无线漫游等特性。
现存问题
经过调查分析,车库咖啡网络目前存在如下比较明显的问题:
- 网络割裂:缺少核心交换设备的车库咖啡网络被分割成孤立的4个区域,接入不同SSID的用户无法实现高速数据传输;接入资源也未进行聚合及统一调度,导致带宽利用率失衡。例如考察当天下午(非高峰时间),接入Netgear产品提供Wi-Fi服务的用户数量一度超过拥有3条ADSL接入的D-Link DI-7200,前者的2M下行带宽已满,后者仍有很大余量。
- 应用流控失控影响网络使用体验:D-Link DI-7200具有一定的应用控制能力,也配置了屏蔽P2P下载的策略,效果却不尽人意。在使用迅雷下载热门应用时,3条ADSL的上下行带宽很快饱和,影响到其他顾客的上网体验。多数在线视频服务也会对网络造成很大压力,例如打开优酷超清视频后,下行带宽很快从1M左右达到饱和。Cisco/Netgear的家用级设备则不具备任何应用识别及控制能力,且在提供Wi-Fi服务的同时要处理DHCP、NAT等业务,网络使用体验难以保证。
- Wi-Fi接入体验欠佳:现有无线方案采用家用级产品部署,在顾客较多时效果欠佳,例如考察当晚金山公司在大厅做活动(目测来宾超过200人)时,几个接入点都会有拒绝连接的情况发生。即便侥幸连上Wi-Fi,网络也几乎不可访问。下图是连接后PING路由器内网口IP及百度时的延迟及抖动情况。
- 不合理配置:个别AP启用了NAT,导致D-Link DI-7200上的MAC/IP绑定、ARP抗攻击、连接数控制及监控统计功能失效,对网络安全性及可管理性造成影响。
改造建议
综上所述,对车库咖啡网络提出如下改造建议:
- 统一调度接入资源:将8条ADSL线路进行整合,提高带宽利用率。从保护原有投资角度考虑,可使用两台D-Link DI-7200各接4条ADSL。开启其中一台上的DHCP、MAC/IP绑定及ARP抗攻击服务。
- 对应用进行识别、控制及分流:从车库咖啡“创新孵化器”的具体需求出发,结合日常顾客对互联网的使用习惯,针对应用设定不同的QoS及访问控制策略。同时可基于上述的双网关部署,实现关键应用及非关键应用分流。根据陈首席公布的认捐情况,可使用Panabit专业版实现此功能。
- 集中交换:局域网需实现物理上的统一,保证性能及可管理性,同时划分不同VLAN给创业团队、VIP用户及普通顾客使用。为简化Wi-Fi方案的部署难度,交换机需支持PoE供电。根据陈首席公布的认捐情况,可使用盛科交换机实现此功能。
- 部署企业级Wi-Fi解决方案:根据车库咖啡在Wi-Fi接入方面的复杂需求,需部署企业级Wi-Fi解决方案,以无线控制器+瘦AP的方式解决兼容性、可靠性及性能问题。建议开启多SSID特性,将VLAN划分策略延展至Wi-Fi接入层面。
关于车库咖啡(本节内容摘自百度百科)
车库咖啡于2011年4月开始营业,是一家以创业和投资为主题的咖啡厅,创业者只需每人每天点一杯咖啡就可以在这里享用一天的免费开放式办公环境。可以说,车库咖啡不仅是创业者的低成本办公场所,也是投资人的项目库。
车库咖啡的“常驻”创业团队大约有10个,并仍有新的团队不定期“入驻”。在过去半年时间内,车库咖啡已经促成12个创业团队获得天使投资。
车库咖啡的访客不仅有大量的创业者和投资人,还包括关注创新和创业的媒体记者。
|
| |
雁过留声
H3C有WX3000系列的无线有线一体化设备,可以把图中核心交换机和无线控制器合二为一。有8口、10口和24口三款。
无线控制器 就没必要了 个人感觉 在无线ap的情况下12个团队一个团队一个ssid 这样也利于团队资源的保密 至于漫游的情况 在节省资源的情况下 可以改装下 无线天线 最简单的就是用易拉罐 一般团队就在固定位置办公(我的猜测)在公共区域例如会议室等开放一个ssid 这个无线ap性能好点 关于panabit 老韩用的比较好 当然老韩对panabit做过评测了,可见弯曲上的文章 panabit在应用识别的非常棒 将网页资源指定从一个网关出去 下载等其他从另一个网关出去 非常棒,交换机 路由之类的硬件 让陈首席提供 ,至于panabit 老韩和派网的人比较熟 估计5折优惠 老毛笑呵呵
每团队一个ssid,没有负载和选择机制,可行度需要商确。漫游和覆盖的不是单纯信号增益的问题,每个ap的处理能力是有限的,就算信号全满时用户太多或者处理连接流量大时一样挂掉,车库配的ap品牌比较杂,以常见家用低端为主,我估计每个ap能承受30左右用户。
还有易拉罐的事情我看就算了,他没有放大的功能,只有折射的功能,容易造成信号漂移,得不偿失,在家没事玩玩可以,可不是啥高招。
利用Pa的分流是不错的方案,视频下载随便用,但是不会影响www等正常应用。另外可以试试,如果通过pa把p2p的链接数调小点是不是减低无线ap的负载度。
回路上:应首席号召,我们对此0.000001折!:)
无线控制器是不是打算走CAPWAP方式?那样的话,不妨考虑用软方案,与panabit位置合并,共享一台server,业务功能扩展容易。目前最便宜的x86搞定这点流量小儿科
其实最理想的方案是把DLink变成傻modem(二层桥接),直接把8条链路也透到panabit所在server上,路由/nat功能于是放在这里。这样一台集中智能管理节点对上直接管理所有路由,对下直接管理到每个无线mac的逻辑端口,实现彻底的全方位、全功能控制,把其它专有设备变成傻硬件只管接入。
所以需要的新投资就是:
1)一台廉价pc
2) 一台傻廉价switch
3)最核心的:软件。一套跑在x86上支持路由及ip服务,安全管理,无线ac控制的软件,类似ISR。按理说,这里不涉及复杂多样化接口,只有多个lan/wlan端口,panabit应该扩展下能搞定,不妨单个试验田,以后产品范围也可以从纯粹的安全管理延伸到全方位的企业edge管理
5楼有创意。其实我一开始想联系清华土著,让他把在FIT楼里搭的那套基于openflow的方案挪到车库咖啡,整体解决接入、交换、流控、无线问题。要么撺掇他一下,整个实验局?
车库咖啡网络很凌乱,不但布线乱、设备乱,与IT服务公司的身份不符合。
回mjj :说说而已 具体的 老韩 到过现场 肯定调研过用户终端数量 所以在硬件选择上 老韩最有发言权
至于每个团队一个ssid 我说的意思侧重于网络安全方面毕竟无线网络的安全环境比较差,至于漫游与覆盖方面 要到现场具体问题具体分析了,说易拉罐纯属开玩笑 但是具体下来要看无线ap的天线方向了,信号的放大与增益 关键还在硬件资源 还有无线信号的覆盖范围这个是需要计算的。最好选择无线ap双天线 或者多天线的,至于panabit 目前这个情况 肯定要用的 panabit的 强项就在于应用的识别分流 控制 行为的管理,最新版本的 其实已经包含了路由这个功能 只是老毛比较小气 给一个专业版本的阉割了这个功能,过去这样算下来的话 费用可剩了不少
回复Panabit 为何不提供一台 带路由版本panabit
这样车库的改造费用就更少了,你没事也可以看看跑的测试情况,Y的太小气了
回复 老韩 别太想软的事情 网络这个事情关键点还是要 硬件来支撑的,这样来说 两台ros 一台 isp版的panabit 就可以处理了 一台ros负责路由,中间连接到 isp版本的panabit panabit下面挂一个 ros 这个ros 用来处理无线ap的接入,最新版本的ros 有这个功能 多搞几个扩展卡 多搞几个无线ap天线 都成了 软的ros终端可以处理500个点左右 ,关键看老韩咋做了,具体应用分析,拭目以待 改造完成后的网络
借贵宝地请教众位大虾,如果想做一个山寨版的ac+ fit ap产品,大概需要多大的投入?需要多少man/month(以国内有三年嵌入式工作经验的工程师估计)?这个市场是否还有切入的机会?
ac的硬件配置选择上有那些注意事项?如果不打算做成盒子,是不是搞台台式机就可以应付过去?
fit ap这块据说要自己修改很多底层无线驱动?现在home router的开发模式是拿无线芯片厂商的代码,无线驱动这块基本只需要编译配置一下就ok,如果要自己修改底层无线驱动,那这把活可不是那么容易山寨出来的!
CAPWAP的开源实现是否ok?是否是一个可以直接用的版本?还是需要自己大动刀子。。。
望众大仙不吝指点!
路由功能还不太完善,如果要路由功能的话,可以考虑一下基于Panabit引擎的流控大师,它是有完整路由功能的,我和他们商量一下。
车库的环境就是一个大厅,对于无线来将,信号强度不是问题,问题是ap本身的承载量。增加ap数量与增加数量后干扰解决应该是无线接入的关键。
其次,不建议使用无线控制器,搞200人的小区无线接入,也不需要,所以不建议。当然这个只是个人建议。
总体看:车库无非解决的是2部分,1、有线网络的qos。 2、无线ap的承载量。
车库咖啡网络现状及改造建议…
“统一调度接入资源:将8条ADSL线路进行整合,提高带宽利用率。从保护原有投资角度考虑,可使用两台D-Link DI-7200各接4条ADSL。开启其中一台上的DHCP、MAC……
这里不需要OF,因为所有的流量全部汇聚到中间那台server上了, 估计随便捡个CPU处理能力轻松超过那一堆dlink router和ap. OF场景是能力很差的CPU四两拨千斤带一大堆能力超强的高速switch, N多流量是在switch上直接datapath过掉,和现在的场景完全不同。
关键还是看能不能找到一个all-in-one的software,这在专门的ISR之类设备里是很现成的,但x86上的暂时不太清楚成熟度。期待panabit,路由/nat/安全控制/接口管理(capwap),和一般soho router区别是这里的接口很多,wan有8个,lan侧可能多达几百个(注意这里因为要执行AC控制功能,必须把每个动态接入的wifi终端直接当一个单独的接口,而不是把整个ap当一个bridge,这也是capwap目的所在)
补充下:
ap最好配成集中转发模式(split mac),虽然理论上local mac方式能降低ac的压力,但为这点低速流量(GE级别以下),不值得。上面软件大致相当于一个Brouter(每个capwap隧道抽象为一个端口)。
AP之间的传输始终是个问题啊。别的不说就是单纯的720P视频的局域网共享,这个方案就搞不定~~用户超过几个以后,无线的本地交换能力下降严重~~
期待能够线速的无线AP登场啊~把我家装修的时候没有布线的遗憾弥补一下~
11n差不多300M可以达到,理论值有600M,差不多够了。ap之间传输更不是问题,每个ap一个GE通过switch接入中心server,也就不到10GE,这个带宽的line rate轻松搞定(越是传送大文件,所需pps越小)
是不是图有问题,怎么无线网桥会挂在Cisco设备上,这样挂的话,Cisco这台设备上行不应该直接接ADSL了吧,上行带宽明显不足。
个人理解,如果物理口不够用,采用无线网桥组网的话,网桥应该挂在Dlink的设备下才合理,上行带宽好歹大一点。
802.11n’s 300M throughput is theoretic already. Think about concurrent connections & multiple APs.
Channel bonding substantially increases the risk of interfering with nearby Wi-Fi networks due to the increased spectrum and power.
Should go with mixed wi-fi and wireline access. 802.1x role-based access control.
回复18楼的
根据我公司的企业级AP测试结果:标称300M的11n在屏蔽屋内,四台电脑的情况下,10个连接以上吞吐量最高80Mbps左右。注意这个是屏蔽屋内无干扰情况下的数据~ 现实中就是随便一搜都是一堆AP信号,想要无干扰~ 换成5G频段吧~ 更别说同一个AP下都是软转,连个几台PC互拷高清电影也不算大,8G左右的吧,大约都是2小时的级别~~
现在企业级AP工作在几个频段?以前记得有些厂商推4频段设备(3个2.4G频道+1个5G频道),不知效果如何?
AP有2.4和 5.8双频的 ,但是终端基本都是2.4的,苹果4s和IPAD2支持2.4和5.8.
早期AP设计双频一般是用来做无线中继用,5.8做桥,2.4做覆盖。
回复:路上
如果考虑安全可以做个无线隔离。那个是很安全的。
突然想起去年还是前年测过HP Procurve的Colubris无线解决方案,里面有个通过PoE供电的AP+交换设备MSM317,做成墙插的样式,很不错。那个东西本身是个胖AP,但是如果上联有AC设备或AC插板,也可以配置成瘦AP。不知H3C等厂商有无类似的解决方案。
to 老韩:
网络设备主要要的是稳定性,速度可以慢点,但是别动不动拒绝服务,所以建议可能的话,别用那8条2Mad了,换成4条4M如何?我们公司有买过4m的企业ad,一个月1000。条件如果再许可,那用一条10M光纤更好了,上下行都稳定,方便来访用户发新闻稿、传图。毕竟ad的上下行不对等,车库的面向受众可能更需要上传流量。至于网络设备这块,思科的300M的AP是不到3000一个,如果用家用级的Linksys的E4500或者E4200,大概价格1000出头(可以当AP用),或者1500买华硕的N66,可以刷DD,功能方面也能满足
To 九叔:
文中已写明“据创始人介绍,除联通ADSL外,车库咖啡所在建筑无其他互联网接入服务可供选择。”我再补充下,带宽最高只有2M。要是有速度更高的产品,相信他们早就换了,毕竟大部分SMB用户在网络体验不佳时首先想到的就是加带宽。
北京能装4M和8M的ADSL的地方不多,我几乎每个月去东小口联通营业厅缴费的时候都问啥时候天通苑的ADSL能升4M/8M,两年了仍然不行。最近搞什么免费提速,还劫持我HTTP推弹窗告诉我可以2M免费升10M,15个工作日内保证改造完成。我TM申请了一个月了,还“资源核查中”呢。不过无所谓了,听毛工说联通宽带升级后会加入一些限制性策略,比如限连接数啥的,我也不打算换了。大晚上的发发牢骚,别当回事。
整个建筑面积是多少?好像没有看到。
文中已写明“车库咖啡营业面积大约800平米”,房型就是第一张图里的那个。
无线控制器成本有点贵啊。起码上5位数
5.8G 做网桥性能不错。可以跑100M 5KM
to 老韩
天通苑现在换得很快啊,我家提申请2天就给换了,速度快了一些,没联通吹的那么多罢了。
To路人乙:
您住在哪个区啊?
为什么要以“车库”为卖点呢,改名改名,强烈要求改名。最反感这类拾人牙慧、信手沾来的搭快车行为,来点本土的东西好吗,别玷污硅谷的车库创业史。人家车库能做出一个产业,那是人家有那个外界环境,你用车库这个名字似乎有点外强中干,卖弄孱头的味道~~~
叫吊丝咖啡如何?
to 老韩
东一
To路人乙:
我去打听过了,营业厅的人告诉我说老区和西一归东小口局管,属于朝阳,市局;天通苑其他区归昌平分公司管,属于郊县局。这两个区的资源都不通用,可能老区这边会比较慢。两个区的一些产品在资费和细节上都有不同。
一个54M的室内无线接入,撑死同时在线也就15人吧,再多正常浏览网页就别再想了吧,800平方你打算布多少个才能够完全无缝覆盖?