企業(yè)無(wú)線局域網(wǎng)的設(shè)計(jì)與實(shí)施

田智春

摘要：本文介紹了無(wú)線局域網(wǎng)的基本設(shè)計(jì)原則，針對(duì)企業(yè)的需求分析了無(wú)線局域網(wǎng)的整體架構(gòu)，并描述了具體實(shí)施方案、IP規(guī)劃和WLAN業(yè)務(wù)的配置方案，最后，結(jié)合實(shí)際講解了網(wǎng)管軟件和網(wǎng)絡(luò)認(rèn)證平臺(tái)在無(wú)線局域網(wǎng)中的應(yīng)用。

關(guān)鍵詞：無(wú)線局域網(wǎng)；虛擬化；AC

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）01-0021-02

隨著企業(yè)的發(fā)展和信息化平臺(tái)的建設(shè)，當(dāng)前沒(méi)有無(wú)線覆蓋的網(wǎng)絡(luò)辦公環(huán)境已不能應(yīng)對(duì)日益靈活的業(yè)務(wù)需求，因此部署無(wú)線認(rèn)證系統(tǒng)和無(wú)線網(wǎng)絡(luò)安全策略等無(wú)線管理系統(tǒng)對(duì)企業(yè)的發(fā)展就變得尤為迫切。本項(xiàng)目的設(shè)計(jì)和實(shí)施是結(jié)合企業(yè)有線網(wǎng)絡(luò)的升級(jí)和改造整體完成的。

1無(wú)線局域網(wǎng)的優(yōu)點(diǎn)和設(shè)計(jì)原則

無(wú)線局域網(wǎng)（WLAN，Wireless LAN）是基于無(wú)線通信技術(shù)在局部范圍內(nèi)建立起的網(wǎng)絡(luò)，它以無(wú)線多址信道作為傳輸媒介，與傳統(tǒng)的有線局域網(wǎng)相比，有可移動(dòng)性、靈活性、可擴(kuò)展性和低成本等優(yōu)點(diǎn)，可使用戶真正實(shí)現(xiàn)隨時(shí)、隨地、隨意的寬帶網(wǎng)絡(luò)接入。在近幾年來(lái)，WLAN主要應(yīng)用于家庭、辦公、學(xué)校與企業(yè)等場(chǎng)景。隨著經(jīng)過(guò)WLAN技術(shù)幾年的推進(jìn)和發(fā)展，其標(biāo)準(zhǔn)和產(chǎn)品已經(jīng)日漸成熟。

在本次無(wú)線局域網(wǎng)的設(shè)計(jì)和部署中，我們主要需要遵循以下幾個(gè)原則：

1）先進(jìn)性和適用性：技術(shù)的選型能夠滿足公司對(duì)信息化建設(shè)的要求，滿足公司未來(lái)五年信息系統(tǒng)建設(shè)的需要，完全體現(xiàn)信息技術(shù)和公司業(yè)務(wù)需求的完美結(jié)合，具有行業(yè)領(lǐng)先性；

2）可靠性和抗干擾能力：高可靠性是網(wǎng)絡(luò)的首要關(guān)注點(diǎn)。網(wǎng)絡(luò)的可靠性將直接影響到企業(yè)的經(jīng)濟(jì)效益、社會(huì)效益和管理水平。對(duì)于無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)，可靠性要求中最重要的一點(diǎn)就是無(wú)線網(wǎng)絡(luò)的抗干擾能力。無(wú)線設(shè)備需要識(shí)別微波爐、無(wú)線攝像頭等這些干擾設(shè)備以及干擾帶來(lái)的影響，在出現(xiàn)無(wú)線干擾時(shí)候能夠自動(dòng)恢復(fù)，保證業(yè)務(wù)的運(yùn)行；

3）安全性：在部署無(wú)線網(wǎng)絡(luò)的時(shí)候，要注意信號(hào)輻射不得超過(guò)100mw，避免2.4GHz和5GHz對(duì)人體的影響；在樓層部署接入交換機(jī)時(shí)需要確保網(wǎng)絡(luò)間的溫度和供電等信息符合國(guó)家相關(guān)防火安全標(biāo)準(zhǔn)。無(wú)線網(wǎng)絡(luò)支持豐富的安全特性，采用集中認(rèn)證，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行加密，確保用戶的信息不會(huì)泄露的同時(shí)防止非法AP接入。

2 無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)施

某大型企業(yè)的辦公大樓在現(xiàn)有有線網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行無(wú)線網(wǎng)絡(luò)的覆蓋，建立一個(gè)靈活、便捷、高可用的無(wú)線網(wǎng)絡(luò)，此次無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)主要由AC控制器、接入交換機(jī)、AP接入點(diǎn)、集中管理平臺(tái)和WLAN準(zhǔn)入控制平臺(tái)組成。本設(shè)計(jì)采用了可以安裝在核心框式交換機(jī)上的無(wú)線控制單板作為AC無(wú)線控制器，在上面通過(guò)集中部署WLAN功能，集中管理大量的AP，對(duì)海量用戶提供Wi-Fi接入服務(wù)。圖1為無(wú)線網(wǎng)絡(luò)拓?fù)鋱D。

如圖所示，整個(gè)網(wǎng)絡(luò)屬于三層架構(gòu)。主、備兩臺(tái)核心交換機(jī)是堆疊關(guān)系。主、備兩塊AC無(wú)線控制單板分別位于兩臺(tái)核心交換機(jī)上，從邏輯關(guān)系上和核心交換機(jī)分屬于不同的設(shè)備，需要配置額外的管理地址，以用來(lái)對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備進(jìn)行管理。兩臺(tái)AC設(shè)備是采用雙鏈路備份的方式來(lái)提供高可靠性保證的。

樓層接入交換機(jī)通過(guò)萬(wàn)兆光路上連核心交換機(jī)。根據(jù)AP的數(shù)量在接入交換機(jī)上安裝相應(yīng)的POE板卡數(shù)量，為AP提供POE供電和接入服務(wù)。

每個(gè)AP使用兩條網(wǎng)線上連樓層接入交換機(jī)，可對(duì)這兩個(gè)電接口進(jìn)行鏈路聚合，在防止環(huán)路的同時(shí)可以拓展業(yè)務(wù)帶寬。在配置AP鏈路聚合前，還需先對(duì)AP上連的接入交換機(jī)的兩個(gè)端口做好鏈路聚合。由于是三層組網(wǎng)的關(guān)系，所有鏈路聚合組均為樓層本地聚合，和其他樓層是不會(huì)發(fā)生干擾的。

集中管理平臺(tái)：安裝項(xiàng)目需要的網(wǎng)管軟件，主要用途為實(shí)時(shí)監(jiān)控，告警和數(shù)據(jù)分析，以此來(lái)管理無(wú)線網(wǎng)絡(luò)設(shè)備AP和AC。

WLAN準(zhǔn)入控制平臺(tái)：網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)與WLAN、Portal交換機(jī)以及標(biāo)準(zhǔn)的802.1X交換機(jī)配合，提供多維度的網(wǎng)絡(luò)接入控制功能，能夠根據(jù)用戶的身份、使用終端的類型、當(dāng)前所處的接入位置、接入時(shí)間，以及終端安全性檢查的結(jié)果，組合起來(lái)提供靈活的網(wǎng)絡(luò)接入認(rèn)證、授權(quán)、策略。

3 IP規(guī)劃和WLAN業(yè)務(wù)的配置

在無(wú)線網(wǎng)絡(luò)建設(shè)中，為了便于項(xiàng)目的實(shí)施和后期的運(yùn)維及管理等工作，需要對(duì)網(wǎng)絡(luò)中的AP設(shè)備進(jìn)行統(tǒng)一命名， 并對(duì)AP均采用靜態(tài)地址分配方式，保證IP與AP之間嚴(yán)格的一一對(duì)應(yīng)關(guān)系。需要設(shè)定兩臺(tái)AC的VALN接口地址用于和AP通信。 在配置完AP管理地址的時(shí)候，還需要記錄相對(duì)應(yīng)的AP網(wǎng)卡物理地址用于后續(xù)的AP注冊(cè)功能。

根據(jù)WLAN無(wú)線網(wǎng)絡(luò)用戶的數(shù)量，為其規(guī)劃獨(dú)立的IP地址段，避免與有線網(wǎng)絡(luò)用戶地址段混淆； AP設(shè)備也使用獨(dú)立的IP地址段， 把IP地址段的最后一個(gè)地址作為網(wǎng)關(guān)，并把網(wǎng)關(guān)地址設(shè)置在核心的VLAN三層邏輯接口上；AC設(shè)備管理地址與AP管理VLAN網(wǎng)段設(shè)為一致，同時(shí)要為兩臺(tái)AC設(shè)備虛出來(lái)一個(gè)地址做負(fù)載均衡；網(wǎng)關(guān)和DHCP均都部署在核心交換機(jī)上。兩臺(tái)AC采用二層VLAN透?jìng)鞯姆绞竭M(jìn)行雙鏈路備份。

WLAN業(yè)務(wù)的配置主要分為3個(gè)部分：

1） AC的基礎(chǔ)配置：在AC上設(shè)置對(duì)應(yīng)的國(guó)家碼；設(shè)置AC的管理地址；創(chuàng)建AC的VLAN三層接口以轉(zhuǎn)發(fā)數(shù)據(jù)和配置AC的源。

2） 配置AC與AP的互通；同一樓層的AP劃分為同一組，組名按AP的物理位置來(lái)命名；配置AP的模板；配置AP采用MAC地址的認(rèn)證模式，且MAC地址與AP編號(hào)綁定，根據(jù)位置進(jìn)行重命名。

3） AC對(duì)AP下發(fā)WLAN業(yè)務(wù)；創(chuàng)建兩個(gè)SSID，分別采用不同的轉(zhuǎn)發(fā)模式：一種是直接轉(zhuǎn)發(fā)，另一種是隧道轉(zhuǎn)發(fā)。將公司員工的流量設(shè)置為直接轉(zhuǎn)發(fā)模式，而來(lái)賓訪問(wèn)則使用隧道轉(zhuǎn)發(fā)模式。創(chuàng)建2.4G和5G的射頻模板，無(wú)線信道和發(fā)射功率需設(shè)置為固定；配置服務(wù)集，以綁定的用戶VLAN號(hào)命名，一個(gè)用戶VLAN號(hào)對(duì)應(yīng)一個(gè)服務(wù)集，配置服務(wù)集前必須先配置安全模板和流量模板。在射頻模板的基礎(chǔ)上創(chuàng)建VAP模板，配置VAP下發(fā)AP的WLAN服務(wù)。

最后，還要進(jìn)行安全配置。配置AP對(duì)非法設(shè)備的檢測(cè)功能：由于在WLAN網(wǎng)絡(luò)中有非法接入設(shè)備的安全隱患，可將AP的工作模式配置成監(jiān)測(cè)模式或者是混合模式，這樣可以使AP監(jiān)測(cè)無(wú)線設(shè)備的信息，并定時(shí)上報(bào)給AC，由AC識(shí)別非法接入的設(shè)備；為了避免無(wú)線網(wǎng)絡(luò)可能出現(xiàn)信息丟失，導(dǎo)致AP和AC保存的設(shè)備信息不一致，還可以配置一個(gè)較長(zhǎng)的時(shí)間間隔，監(jiān)測(cè)AP定時(shí)上報(bào)監(jiān)測(cè)到的全部設(shè)備信息，同步AP與AC上保存的無(wú)線設(shè)備的數(shù)據(jù)。

4 無(wú)線網(wǎng)絡(luò)的認(rèn)證管理

網(wǎng)管軟件可以為現(xiàn)有網(wǎng)絡(luò)內(nèi)的所有設(shè)備提供一個(gè)便捷的統(tǒng)一管理平臺(tái)。本項(xiàng)目使用的是華為的eSgiht軟件，該軟件安裝在公司的虛擬機(jī)資源內(nèi)。使用的是V2C版本的SNMP協(xié)議，該協(xié)議在提高的安全性的同時(shí)也更容易配置。首先要在設(shè)備中配置SNMP參數(shù)，然后再在網(wǎng)管軟件eSgiht里添加所需要自動(dòng)發(fā)現(xiàn)設(shè)備所對(duì)應(yīng)的IP地址范圍，把這些設(shè)備添加到對(duì)應(yīng)的分組，選擇相應(yīng)的SNMP協(xié)議模板，如此一來(lái)，通過(guò)SNMP協(xié)議對(duì)所有設(shè)備的事實(shí)狀態(tài)進(jìn)行監(jiān)控，還可以對(duì)相應(yīng)設(shè)備進(jìn)行一些簡(jiǎn)單的命令推送，從而避免了管理員需要登錄不同設(shè)備才能進(jìn)行維護(hù)的繁瑣操作。

無(wú)線局域網(wǎng)的認(rèn)證平臺(tái)Agile controller 是也安裝在公司的虛擬機(jī)資源中，具體安裝方式為業(yè)務(wù)控制器（Service Controller，SC）組件的雙機(jī)備份，業(yè)務(wù)管理器（Service Manager，SM）組件的單機(jī)部署方式。該系統(tǒng)總共需要2臺(tái)虛擬機(jī)資源，其中一臺(tái)服務(wù)器安裝SM+SC+數(shù)據(jù)庫(kù)，另外一臺(tái)僅需安裝SC組件。業(yè)務(wù)管理器SM承擔(dān)業(yè)務(wù)管理的角色，系統(tǒng)管理員通過(guò)WEB管理界面，可以完成用戶管理、準(zhǔn)入控制和業(yè)務(wù)隨行策略配置、安全協(xié)防業(yè)務(wù)配置等管理工作。作為Agile Controller系統(tǒng)的管理器，SM管理其下的各個(gè)業(yè)務(wù)控制器SC，向已經(jīng)連接的SC發(fā)送實(shí)時(shí)指令，完成各種業(yè)務(wù)；業(yè)務(wù)控制器SC中集成的有標(biāo)準(zhǔn)的RADIUS服務(wù)器、Portal服務(wù)器等，負(fù)責(zé)與網(wǎng)絡(luò)接入設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)基于用戶的網(wǎng)絡(luò)訪問(wèn)控制策略。具體配置如：在Agile controller的外部認(rèn)證源中添加AD域服務(wù)器地址，以實(shí)現(xiàn)與公司的AD域賬戶同步；自定義不同的用戶組，配置不同的認(rèn)證和授權(quán)策略，與公司內(nèi)部的AD域服務(wù)器進(jìn)行聯(lián)動(dòng)；入網(wǎng)使用Portal + Mac的認(rèn)證方式，公司員工的身份認(rèn)證使用公司的AD域賬戶，根據(jù)被加入的組享用不同的上網(wǎng)權(quán)限，而來(lái)賓訪問(wèn)的用戶由本地創(chuàng)建方式，而相應(yīng)的被加入到來(lái)賓組。

5 結(jié)束語(yǔ)

無(wú)線局域網(wǎng)的部署填補(bǔ)了辦公環(huán)境內(nèi)無(wú)線接入網(wǎng)絡(luò)的空白，并在管理、認(rèn)證平臺(tái)使用了虛擬化技術(shù)，實(shí)現(xiàn)了到AP端的整網(wǎng)虛擬化，簡(jiǎn)化了網(wǎng)絡(luò)管理，極大地提升了維護(hù)效率。通過(guò)有線無(wú)線深度融合，協(xié)同管理，在降低網(wǎng)絡(luò)管理復(fù)雜度的同時(shí)，極大地提升了無(wú)線網(wǎng)絡(luò)的性能。