企業(yè)無(wú)線局域網(wǎng)組網(wǎng)結(jié)構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

王軼琳， 錢(qián) 莉

（中海信息系統(tǒng)有限公司，上海200135）

0 引 言

隨著無(wú)線技術(shù)不斷發(fā)展，筆記本電腦、智能手機(jī)、平板電腦等智能移動(dòng)終端對(duì)于人們的日常生活而言越來(lái)越重要。無(wú)論是員工個(gè)人還是企業(yè)，目前對(duì)無(wú)線網(wǎng)絡(luò)的依賴(lài)性都很強(qiáng)，移動(dòng)終端隨時(shí)隨地“在線”已成為廣大企業(yè)的新需求。因此，如何在提供更穩(wěn)定、更便捷的無(wú)線接入的同時(shí)保障企業(yè)內(nèi)網(wǎng)安全，已經(jīng)成為企業(yè)近年來(lái)日益關(guān)注的焦點(diǎn)。

目前WLAN無(wú)線局域網(wǎng)技術(shù)是企業(yè)解決移動(dòng)終端接入問(wèn)題的最佳方案。利用無(wú)線通信技術(shù)在局部范圍內(nèi)建立的網(wǎng)絡(luò)，是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物，作為有線局域網(wǎng)絡(luò)的延伸，被各團(tuán)體、企事業(yè)單位廣泛采用。其以無(wú)線多址信道作為傳輸媒介，提供傳統(tǒng)有線局域網(wǎng)LAN的功能，能夠使用戶真正實(shí)現(xiàn)隨時(shí)、隨地、隨意的寬帶網(wǎng)絡(luò)接入。

1 需求分析

企業(yè)無(wú)線辦公網(wǎng)絡(luò)中的WLAN應(yīng)用一般是通過(guò)有線局域網(wǎng)絡(luò)的延伸而存在的，移動(dòng)終端通過(guò)部署在辦公環(huán)境中的無(wú)線接入點(diǎn)（Access Point，AP）接入企業(yè)內(nèi)部網(wǎng)絡(luò)，以訪問(wèn)各個(gè)辦公業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)。公司聚集型辦公的模式對(duì)AP的性能有一定要求，而作為一家信息技術(shù)公司，對(duì)數(shù)據(jù)傳輸過(guò)程中的高帶寬、低延時(shí)以及安全性要求更為嚴(yán)格。

1.1 無(wú)線網(wǎng)絡(luò)的高性能

不同于有線網(wǎng)絡(luò)，無(wú)線接入設(shè)備可能會(huì)隨著接入用戶的增加而反應(yīng)緩慢，甚至在業(yè)務(wù)量突增時(shí)，發(fā)生崩潰、中止和異常等現(xiàn)象。普通的無(wú)線路由器在接入用戶超過(guò)十個(gè)時(shí)后，其穩(wěn)定性及數(shù)據(jù)傳輸效率將急劇下降，因此采用高性能的無(wú)線設(shè)備是企業(yè)無(wú)線網(wǎng)絡(luò)組建的必要條件。

1.2 無(wú)線網(wǎng)絡(luò)的安全性

信息技術(shù)企業(yè)對(duì)網(wǎng)絡(luò)的安全性有非常高的要求。一般情況下企業(yè)在局域網(wǎng)和廣域網(wǎng)絡(luò)中傳遞的數(shù)據(jù)都很重要，因此一定要保證安全保密，防止非授權(quán)用戶接入。針對(duì)不同的用戶，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮采用嚴(yán)密的網(wǎng)絡(luò)安全措施。

1.3 無(wú)線網(wǎng)絡(luò)的可管理性

為保證員工在公司內(nèi)部任何地方、任何時(shí)間都能輕松接入到企業(yè)網(wǎng)絡(luò)，通常需要部署數(shù)十個(gè)無(wú)線接入點(diǎn)，因此需要一個(gè)統(tǒng)一的無(wú)線設(shè)備管理平臺(tái)，要求其不僅能夠?qū)λ袩o(wú)線設(shè)備進(jìn)行定性管理，而且能夠定量無(wú)線頻段使用、接入設(shè)備數(shù)量、網(wǎng)絡(luò)流量分析等，實(shí)時(shí)了解無(wú)線網(wǎng)絡(luò)健康狀況。

1.4 無(wú)線網(wǎng)絡(luò)接入的便捷性

在保證企業(yè)無(wú)線網(wǎng)絡(luò)安全的前提下，應(yīng)盡可能地減少用戶移動(dòng)終端接入的操作要求。授權(quán)用戶在認(rèn)證通過(guò)后，無(wú)論在企業(yè)內(nèi)部如何移動(dòng)，都不應(yīng)該有無(wú)線網(wǎng)絡(luò)中斷、不斷重復(fù)認(rèn)證等情況出現(xiàn)。

2 企業(yè)無(wú)線組網(wǎng)結(jié)構(gòu)設(shè)計(jì)

2.1 企業(yè)統(tǒng)一無(wú)線網(wǎng)絡(luò)部署

一般可以采取兩種WLAN架構(gòu)：獨(dú)立WLAN解決方案和基于控制器的WLAN解決方案。其中，獨(dú)立WLAN使用獨(dú)立接入點(diǎn)作為部署策略，而基于控制器的WLAN會(huì)使用集中的管理系統(tǒng)對(duì)各個(gè)接入點(diǎn)進(jìn)行控制，兩種解決方案擁有不同的特點(diǎn)和優(yōu)勢(shì)。由于基于控制器的解決方案可以實(shí)現(xiàn)資源的集中，因此大型企業(yè)組網(wǎng)環(huán)境中普遍用。

基于控制器的WLAN設(shè)計(jì)方案中，無(wú)線局域網(wǎng)由AP、無(wú)線控制器（WLAN Controller，WLC）及POE交換機(jī)組成。

（1）無(wú)線接入點(diǎn)AP負(fù)責(zé)信號(hào)的探查及響應(yīng)、數(shù)據(jù)包的確認(rèn)與傳輸；

（2）負(fù)責(zé)無(wú)線的安全認(rèn)證與解除、移動(dòng)終端漫游處理、數(shù)據(jù)幀的轉(zhuǎn)發(fā)與橋接等；

（3）POE交換機(jī)則為AP設(shè)備進(jìn)行供電并提供二層數(shù)據(jù)交換。

針對(duì)WLC承擔(dān)功能的重要性，采用雙機(jī)熱備冗余結(jié)構(gòu)。

圖1 基于控制器的無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

表1 獨(dú)立WLAN與基于控制器WLAN比較表

在核心交換區(qū)，采用兩臺(tái)無(wú)線控制器，其中一臺(tái)為主，另一臺(tái)作為熱備份。每臺(tái)控制器配置2個(gè)千兆光纖端口，分別與兩臺(tái)有線網(wǎng)絡(luò)核心交換設(shè)備作雙千兆上聯(lián)，形成基于VRRP的active－standby模式的冗余網(wǎng)絡(luò)架構(gòu)。

所有無(wú)線AP通過(guò)現(xiàn)有配線間的接入層交換機(jī)，以POE方式供電，分別連接到局域網(wǎng)內(nèi)，通過(guò)原有的局域網(wǎng)的IP層連接到無(wú)線控制器，再經(jīng)過(guò)控制器的認(rèn)證加密等策略，實(shí)施管理和傳輸數(shù)據(jù)。

基于控制器的WLAN組網(wǎng)結(jié)構(gòu)中數(shù)據(jù)包的二層傳輸過(guò)程為：

AP收到移動(dòng)終端的數(shù)據(jù)包后，CAPWAP協(xié)議（IETF國(guó)際標(biāo)準(zhǔn)協(xié)議）將整個(gè)數(shù)據(jù)包封裝，并打上無(wú)線控制器的管理VLAN標(biāo)簽，通過(guò)CAPWAP隧道由交換機(jī)轉(zhuǎn)發(fā)至WLC；WLC對(duì)數(shù)據(jù)包進(jìn)行解封裝，判斷移動(dòng)終端所屬VLAN，再轉(zhuǎn)發(fā)回交換機(jī)，最終發(fā)送給目標(biāo)地址。

對(duì)于大型企業(yè)分支機(jī)構(gòu)和遠(yuǎn)程辦公室無(wú)線部署，各無(wú)線廠商針對(duì)本地用戶局域網(wǎng)無(wú)線訪問(wèn)有相應(yīng)優(yōu)化方案。如思科的H－reap模式，可以選擇AP接入交換機(jī)直接轉(zhuǎn)發(fā)無(wú)線客戶端的本地網(wǎng)絡(luò)數(shù)據(jù)流量，而無(wú)需通過(guò)遠(yuǎn)端WLC再進(jìn)行轉(zhuǎn)發(fā)回傳，減少了不必要的數(shù)據(jù)轉(zhuǎn)發(fā)延時(shí)。

圖2 數(shù)據(jù)包二層傳輸過(guò)程示意圖

2.2 無(wú)線標(biāo)準(zhǔn)兼容性及信道選擇

無(wú)線局域網(wǎng)工作在2.4 GHz（11個(gè)頻道）及5 GHz頻段下，隨著無(wú)線傳輸技術(shù)不斷發(fā)展，為了改進(jìn)無(wú)線數(shù)據(jù)傳輸速率，IEEE 802.11根據(jù)不同的工作頻段先后制定了一系列的技術(shù)標(biāo)準(zhǔn)；2.4 G頻段在信號(hào)穿透能力及覆蓋范圍上占優(yōu)，而5 GHz頻段在信道帶寬及防干擾上占優(yōu)，兩者均為目前主流移動(dòng)終端所使用。無(wú)線連接時(shí)，選用的標(biāo)準(zhǔn)需移動(dòng)終端的無(wú)線網(wǎng)卡支持，隨著智能手機(jī)、平板電腦不斷普及，越來(lái)越多的移動(dòng)終端網(wǎng)卡開(kāi)始支持5 GHz頻段協(xié)議標(biāo)準(zhǔn)，選用雙頻的無(wú)線AP設(shè)備可有效避免2.4 GHz頻段的信道壓力。

由于無(wú)線技術(shù)日益普及，商業(yè)辦公樓宇不僅需要排除周邊運(yùn)營(yíng)商或其他公司的無(wú)線信號(hào)的干擾，還需排除公司內(nèi)部相鄰AP的信號(hào)干擾，而2.4 GHz頻段可用信道僅有3個(gè)，靠手工選擇很難避免與周邊信道重疊，因此選用帶有信道動(dòng)態(tài)切換功能的無(wú)線控制器，根據(jù)AP所處環(huán)境自動(dòng)計(jì)算、切換無(wú)線信道。

表2 無(wú)線工作頻段可選分布

2.3 無(wú)線安全策略

在企業(yè)無(wú)線網(wǎng)絡(luò)環(huán)境中，人員構(gòu)成復(fù)雜，僅靠單一的口令認(rèn)證難以防止非授權(quán)移動(dòng)終端接入企業(yè)內(nèi)網(wǎng)，且一旦發(fā)生網(wǎng)絡(luò)安全事件難以追溯及定位攻擊源；此外，太過(guò)復(fù)雜的安全策略又難以適應(yīng)企業(yè)外部訪客、會(huì)議等需要臨時(shí)接入無(wú)線的實(shí)際需求，因此根據(jù)用戶的不同，制定一套靈活可控的無(wú)線認(rèn)證安全策略。

根據(jù)接入用戶角色的不同，以無(wú)線SSID（Service Set Identifier）作為標(biāo)識(shí)進(jìn)行區(qū)分，制定不同的安全接入策略。如：企業(yè)內(nèi)部員工采用口令＋MAC地址雙重認(rèn)證；企業(yè)外來(lái)訪客通過(guò)登記發(fā)放臨時(shí)賬戶，結(jié)合802.1x認(rèn)證方式，通過(guò)WEB界面登陸后接入企業(yè)內(nèi)網(wǎng)；對(duì)于臨時(shí)中型會(huì)議，可發(fā)放統(tǒng)一賬戶口令登陸，無(wú)線控制器可根據(jù)會(huì)議舉行時(shí)間自動(dòng)開(kāi)放無(wú)線接入認(rèn)證。

需要注意的是，基于口令的無(wú)線加密方式，選用不同無(wú)線加密技術(shù)會(huì)影響到無(wú)線網(wǎng)絡(luò)的傳輸速率，目前主流的無(wú)線網(wǎng)絡(luò)加密方式有3種：WEP加密、WPA加密、WPA2加密，前兩種加密方式已相繼宣告破解，不建議采用；而WPA2又分為AES及TKIP兩種不同的加密算法，在采用TKIP算法時(shí)，無(wú)線的最高傳輸速率會(huì)限制在54 Mbps，因此，對(duì)于對(duì)無(wú)線傳輸帶寬要求較高的企業(yè)，應(yīng)采用 WPA／WPA2 AES算法加密口令。

3 企業(yè)無(wú)線組網(wǎng)實(shí)現(xiàn)

3.1 現(xiàn)場(chǎng)勘查

現(xiàn)場(chǎng)勘查可為無(wú)線方案的完善與實(shí)施提供充足的數(shù)據(jù)依據(jù)。根據(jù)企業(yè)辦公場(chǎng)所的具體環(huán)境測(cè)試無(wú)線AP的覆蓋能力。

圖3為兩個(gè)AP在某企業(yè)內(nèi)部測(cè)試情況，兩個(gè)AP大概間隔15 m，測(cè)試位置（五角心代表）及AP所放置位置（圓圈代表）。

圖3 AP現(xiàn)場(chǎng)勘察及實(shí)測(cè)點(diǎn)分布

（1）在AP正下方的信號(hào)強(qiáng)度約為－30 d B（相當(dāng)5格信號(hào)），見(jiàn)圖4；

（2）在AP中間測(cè)試信號(hào)強(qiáng)度約為－42 d B（相當(dāng)4格半信號(hào)），見(jiàn)圖5；

圖4 AP正下方信號(hào)強(qiáng)度

圖5 AP中間測(cè)試信號(hào)強(qiáng)度

（3）在電梯口相隔一堵墻測(cè)試信號(hào)強(qiáng)度約為－52 d B（相當(dāng)于4格信號(hào)），見(jiàn)圖6；

（4）根據(jù)AP現(xiàn)場(chǎng)測(cè)試結(jié)果，規(guī)劃該樓層AP點(diǎn)位分布圖（見(jiàn)圖7）。

3.2 無(wú)線局域網(wǎng)策略規(guī)劃

3.2.1 用戶認(rèn)證策略規(guī)劃

根據(jù)角色的不同，接入不同的SSID（見(jiàn)表3）。

圖6 電梯口測(cè)試信號(hào)強(qiáng)度

圖7 AP點(diǎn)位規(guī)劃圖

表3 SSID規(guī)劃示例

3.2.2 用戶角色策略（Policy）控制

根據(jù)接入用戶端MAC地址識(shí)別用戶角色，各個(gè)角色通過(guò)不同VLAN隔離，以便于上網(wǎng)行為管理設(shè)備控制訪問(wèn)策略（見(jiàn)表4）。

表4 用戶角色策略規(guī)劃示例

3.2.3 IP網(wǎng)段規(guī)劃

無(wú)線控制器IP單獨(dú)劃分一個(gè)網(wǎng)段，與用戶網(wǎng)段隔離；無(wú)線客戶端通過(guò)DHCP獲取，DHCP功能由核心交換機(jī)進(jìn)行處理（見(jiàn)表5）。

表5 IP網(wǎng)段規(guī)劃示例

3.2.3 無(wú)線網(wǎng)絡(luò)性能測(cè)試

在對(duì)無(wú)線設(shè)備進(jìn)行正確配置之后，對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)進(jìn)行性能測(cè)試，以確定現(xiàn)有無(wú)線網(wǎng)絡(luò)是否滿足各項(xiàng)設(shè)計(jì)指標(biāo)（無(wú)線覆蓋面積、數(shù)據(jù)丟包率、數(shù)據(jù)吞吐率、無(wú)線控制器冗余備份、WLAN管理監(jiān)控等），以及運(yùn)轉(zhuǎn)是否正常。

3.3 無(wú)線局域網(wǎng)管理平臺(tái)

1）對(duì)無(wú)線AP的運(yùn)行狀態(tài)進(jìn)行監(jiān)控管理，包括：

（1）AP上下行吞吐量數(shù)據(jù)；

（2）AP上下行802.11幀的速率和構(gòu)成；

（3）所有AP所處無(wú)線環(huán)境的噪聲水平分布；

（4）所有AP所處無(wú)線環(huán)境的信道利用率分布；

（5）所有AP所處無(wú)線環(huán)境的non－wifi干擾程度分布。

2）對(duì)接入的無(wú)線終端各項(xiàng)狀態(tài)進(jìn)行監(jiān)控、識(shí)別，包括：

（1）當(dāng)前在線的無(wú)線終端總數(shù)；

（2）當(dāng)前在線的無(wú)線終端的網(wǎng)卡種類(lèi)及數(shù)量；

（3）當(dāng)前在線的無(wú)線終端的信噪比分布狀況；

（4）當(dāng)前在線的無(wú)線終端的連接速率分布。

圖8 無(wú)線AP監(jiān)控管理界面

4 結(jié) 語(yǔ)

無(wú)線局域網(wǎng)具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn)，因此得到了越來(lái)越廣泛的使用。隨著無(wú)線局域網(wǎng)在技術(shù)上不斷發(fā)展成熟，越來(lái)越多的新技術(shù)將與應(yīng)用相結(jié)合，給個(gè)人及企業(yè)用戶帶來(lái)生活、商業(yè)上的利益，配合不斷普及的3G技術(shù)，真正做到隨時(shí)隨、不受約束地訪問(wèn)互聯(lián)網(wǎng)。

［1］ Cisco Systems，Inc.Implementing Cisco Unified Wireless Mobility Services （IUWMS）v1.0 ［CP／OL］.2009.http：／／www.docin.com／p－89165675.ht ml.

［2］ Richar d，F(xiàn).CCNP SWITCH學(xué)習(xí)指南［M］.田果，劉丹寧，譯.北京：人民郵電出版社，2011.

［3］ 厚立群，毛玉明.無(wú)線局域網(wǎng)用戶安全接入解決方案對(duì)比分析［C］.北京：全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)，2004.

［4］ 傲丹，方旭明，馬忠建.無(wú)線網(wǎng)格網(wǎng)關(guān)鍵技術(shù)及其應(yīng)用［J］.電訊技術(shù)，2005（2）：16－22.