實(shí)現(xiàn)無線網(wǎng)絡(luò)布設(shè)與管理

寧波 張恒

最近筆者公司在結(jié)合實(shí)地勘察與網(wǎng)絡(luò)資料研究匯總，據(jù)現(xiàn)有公司的網(wǎng)絡(luò)布局，在不做大的變動(dòng)如墻面裝修工程等前提下，規(guī)劃并實(shí)施了關(guān)于公司辦公大樓無線網(wǎng)絡(luò)布設(shè)和統(tǒng)一管理工作，能基本滿足覆蓋與管理的需要。今后，全公司辦公網(wǎng)覆蓋范圍內(nèi)也可統(tǒng)一安全管理的無線網(wǎng)絡(luò)布設(shè)延展。

技術(shù)選擇和規(guī)劃

1.無線網(wǎng)絡(luò)連接覆蓋整體模式選擇

成熟的無線網(wǎng)絡(luò)控制器(AC)+無線熱點(diǎn)(AP)瘦客戶端方式統(tǒng)一安裝連接和實(shí)現(xiàn)統(tǒng)一管理，此方式好處除了可統(tǒng)一管理設(shè)置相關(guān)參數(shù)如無線密碼、不同無線名稱、支持vlan 等，且對于無線上網(wǎng)設(shè)備遷移中的網(wǎng)絡(luò)穩(wěn)定性也能根據(jù)信號強(qiáng)度自動(dòng)切換而使之保持較好狀態(tài)（能夠?qū)崿F(xiàn)自動(dòng)無線熱點(diǎn)轉(zhuǎn)接，不會(huì)出現(xiàn)網(wǎng)絡(luò)信號不好了可設(shè)備還連在上面導(dǎo)致網(wǎng)絡(luò)傳輸很不穩(wěn)定等情況）。

2.網(wǎng)絡(luò)安全考慮

默認(rèn)無線網(wǎng)絡(luò)隔離于現(xiàn)有OA 辦公網(wǎng)，經(jīng)過具體使用人向網(wǎng)絡(luò)管理員獲取無線密碼連接入無線網(wǎng)，同時(shí)訪問網(wǎng)絡(luò)可以設(shè)置每個(gè)人的登陸驗(yàn)證網(wǎng)頁，強(qiáng)化安全性。

3.網(wǎng)絡(luò)布設(shè)設(shè)備選型和方案

無線網(wǎng)絡(luò)連接拓?fù)浣Y(jié)構(gòu)

無線網(wǎng)絡(luò)控制器(AC)+無線熱點(diǎn)(AP)綜合考慮選擇國內(nèi)產(chǎn)品線較為完善的網(wǎng)絡(luò)設(shè)備制造上普聯(lián)科技(TP-link)產(chǎn)品，初步確定使用網(wǎng)絡(luò)控制器(AC) 為TLAC300（全千兆網(wǎng)絡(luò)接口能夠配套連接公司核心交換機(jī)的速率，支持微信等認(rèn)證方式連接無線網(wǎng)）。

以及根據(jù)我公司現(xiàn)有網(wǎng)絡(luò)布設(shè)不能大動(dòng)重新裝修的現(xiàn)狀，選擇：450M 無線面板式AP TL-AP450I-DC（在 同 時(shí)有電源和有線網(wǎng)絡(luò)插座處就可以安裝，節(jié)省購置大量Poe網(wǎng)線供電交換機(jī)經(jīng)費(fèi)和重新布線的工作量）、450MB 無線桌面式AP TL-AP450D（根據(jù)需要在適當(dāng)辦公室閑置網(wǎng)絡(luò)接口上安裝）、以及防潮防水高穿透無線AP TL-AP301P（根據(jù)需要安裝在每層樓道電纜間，重點(diǎn)是建筑物每層的樓道電纜間）等根據(jù)具體安裝位置高低搭配。

4.網(wǎng)絡(luò)初步規(guī)劃

計(jì)劃使用與辦公網(wǎng)相互網(wǎng)段隔離的192.X.X.0/27可連接外網(wǎng)的此網(wǎng)段為主安裝無線AP 提高安全性（無線網(wǎng)主要用于連接互聯(lián)網(wǎng)和訪問公司手機(jī)客戶端微信等）。

今后，只要是在辦公網(wǎng)等網(wǎng)絡(luò)聯(lián)通延伸所需的地點(diǎn)都可擴(kuò)展安裝無線AP，都可實(shí)現(xiàn)統(tǒng)一管理。具體公司辦公大樓與食堂等其他建筑物的無線熱點(diǎn)安裝位置根據(jù)實(shí)際公司現(xiàn)有網(wǎng)線布設(shè)情況初步確定，基本實(shí)現(xiàn)主要的區(qū)域都能夠連接入該無線網(wǎng)絡(luò)。

根據(jù)上述規(guī)劃采購了相關(guān)設(shè)備后，具體實(shí)施過程

1.設(shè)置無線控制器TLAC300

（1）連接電腦設(shè)置為192.168.1.9/24 地址，連接設(shè)備出廠默認(rèn)管理地址192.168.1.253/24，設(shè)置管理員賬戶密碼；

（2）進(jìn)入“網(wǎng)絡(luò)設(shè)置”/“接口設(shè)置”，由于該AC 控制器每個(gè)接口（包括虛擬vlan 接口）只能有一個(gè)IP（及其網(wǎng)段），需要設(shè)置與各個(gè)vlan聯(lián)通的IP 及其對應(yīng)子網(wǎng)參數(shù)（這里需要配套統(tǒng)一網(wǎng)絡(luò)中核心交換機(jī)和網(wǎng)關(guān)的網(wǎng)絡(luò)設(shè)置），最好是能夠獨(dú)立設(shè)置一個(gè)無線控制器和無線AP通訊的專用網(wǎng)絡(luò)或虛擬局域網(wǎng)vlan 接口，以便于統(tǒng)一管理（當(dāng)然也可以把這個(gè)網(wǎng)段和具體某個(gè)無線網(wǎng)AP 自身和無線端用戶連接后自動(dòng)獲取的地址放到同一個(gè)vlan里）。

可以先改原有缺省的vlan 1 的管理地址為公司內(nèi)網(wǎng)絡(luò)中的企業(yè)統(tǒng)一交換機(jī)管理網(wǎng)段中地址，使用辦公網(wǎng)絡(luò)vlan 12 為公司內(nèi)部無線網(wǎng)絡(luò)單獨(dú)設(shè)置了通訊網(wǎng)絡(luò)接口地址172.x.x.x/24，設(shè)置了網(wǎng)關(guān)地址172.x.x.y/24（主要是為了今后訪客網(wǎng)絡(luò)微信認(rèn)證和獲取時(shí)間等對外通訊需要）。

進(jìn)一步設(shè)置新增了其 他vlan 14 和16，分 別是公司內(nèi)部員工無線網(wǎng)vlan 14:192.168.w.2/23和訪客用的無線網(wǎng)vlan 16:192.168.v.2/23，上述兩個(gè)網(wǎng)段每個(gè)都預(yù)留可提供近500 個(gè)終端設(shè)備聯(lián)通。

（3）在無線控制器AC300中“網(wǎng)絡(luò)設(shè)置”/“DHCP 服務(wù)”中新增開啟該上述網(wǎng)段的地址DHCP 自動(dòng)分配，設(shè)好相關(guān)參數(shù)，如網(wǎng)關(guān)地址、地址池范圍，域名解析服務(wù)器DNS 地址等，以及作用的具體端口>服務(wù)接口(具體的vlan)。

這樣就可以為各個(gè)vlan中聯(lián)網(wǎng)設(shè)備（包括各個(gè)無線AP）自動(dòng)分配地址進(jìn)行與AC控制器的聯(lián)通通訊，從而實(shí)現(xiàn)統(tǒng)一設(shè)置和管理。

（4）在“網(wǎng)絡(luò)設(shè)置”/“vlan設(shè)置”中，設(shè)置vlan 名稱和vlan 號（對應(yīng)上述接口設(shè)置中參數(shù)，主要vlan 號id），劃分具體物理端口所屬的vlan，以及數(shù)據(jù)包出入是否加減具體vlan 標(biāo)簽(+tag或-tag)。

這里設(shè)物理端口1 為所有vlan 上聯(lián)口，除了vlan 1以外所有vlan 此口皆是數(shù)據(jù)包加tag 進(jìn)出，以對接核心交換機(jī)類似的trunk 口，這里的“端口設(shè)置”里pvid參數(shù)設(shè)置是去tag(untag或-tag)出去的數(shù)據(jù)包默認(rèn)所述具體某個(gè)vlan 聯(lián)通普通口，1 號口默認(rèn)PVID 為1，2 號口3 號口暫設(shè)為聯(lián)通管理vlan 12 的普通端口，用于直接連接測試設(shè)置無線ap。

（5）進(jìn)入“無線管理”/“無線服務(wù)”界面，新增設(shè)置所需要的無線網(wǎng)絡(luò)做下一步設(shè)置的備用，包括設(shè)置網(wǎng)絡(luò)名稱SSID、加密方式、密碼，是否需要內(nèi)部相互隔離以及帶寬限制等參數(shù)，這里分別新增設(shè)置了：aaa 和aaa-fangke兩個(gè)無線網(wǎng)，選擇加密方式wpa2-psk 模式加密，設(shè)置無線網(wǎng)aaa 的密碼，另一個(gè)作為今后訪客使用，并啟用其內(nèi)部隔離和用戶的帶寬限制。

（6）此時(shí)連接一個(gè)無線AP 上電，接入無線控制器2號口，之后就會(huì)在無線控制器“系統(tǒng)狀態(tài)”/“AP 狀態(tài)”中看到此無線AP。并已經(jīng)分配172.x.x.x/24 網(wǎng)段的地址。

在“AP 管理”中可以設(shè)置具體無線AP 的名稱和進(jìn)行新增分組等，可以安裝建筑物分組，或者按照AP 具體所處vlan 網(wǎng)絡(luò)分組。AP 可以識(shí)別+tag 的不同vlan 數(shù)據(jù)包，因此可為一個(gè)AP 綁定多個(gè)vlan，也可設(shè)定面板上的有線物理線路的網(wǎng)口所屬vlan。

（7）在“射頻管理”/“射頻設(shè)置”中，可以調(diào)整具體AP 的無線發(fā)射功率等參數(shù)，建議根據(jù)需要調(diào)大一些，其他具體無線參數(shù)一般采取默認(rèn)即可。

（8）再次進(jìn)入“無線管理”/“無線服務(wù)”界面，用“射頻綁定”為具體的無線AP 設(shè)置綁定上面第5 步設(shè)置的無線網(wǎng)名稱，同時(shí)填入vlan 號將此無線名稱綁定到具體的vlan 接口上，這樣就可以使得具體AP 發(fā)射哪些無線網(wǎng)，并且該無線網(wǎng)絡(luò)隸屬哪些vlan 網(wǎng)絡(luò)。此地可以按照分組統(tǒng)一設(shè)置綁定等操作。

由于AP 可以識(shí)別網(wǎng)絡(luò)中+tag 的不同vlan 的數(shù)據(jù)包，因此可以為一個(gè)AP 綁定多個(gè)vlan 對應(yīng)到需要的無線網(wǎng)絡(luò)中。

（9）在“認(rèn)證管理”/“用戶管理”中，添加新增用戶列表，設(shè)置有關(guān)屬性，包括帳戶密碼、允許聯(lián)網(wǎng)時(shí)間段、時(shí)限等。

然后再在“Portal 認(rèn)證”中的“Web 認(rèn)證”里將上述條目綁定到具體的vlan ID 號上，這樣連接入無線網(wǎng)絡(luò)者的設(shè)備還需要經(jīng)過網(wǎng)頁認(rèn)證通過才能真正經(jīng)該無線網(wǎng)聯(lián)通網(wǎng)絡(luò)。

這里暫時(shí)是同步手動(dòng)公司OA 賬戶密碼的辦法來維護(hù)該無線網(wǎng)公司員工認(rèn)證列表，每年定期幾次以O(shè)A 賬戶密碼為準(zhǔn)。

（10）也可設(shè)置訪客在微信關(guān)注本公司公眾號后獲得聯(lián)網(wǎng)，需要在公眾號管理員登記公司門店以后，在WiFi小工具中獲得有關(guān)參數(shù)后設(shè)置。

2.設(shè)置公司華為核心三層交換機(jī)

（1）在交換機(jī)中添加vlan 虛擬子網(wǎng)接口。需注意配套上述在無線控制器中設(shè)置的對應(yīng)vlan 號，分別添加vlan 14、vlan 16 等子接口并設(shè)置對應(yīng)在無線控制器中設(shè)置的對應(yīng)IP 地址192.168.w.1/23、192.168.v.1/23（作為該虛擬局域網(wǎng)的網(wǎng)段中下屬各個(gè)聯(lián)網(wǎng)設(shè)備的網(wǎng)關(guān)地址）；

（2）隸屬各vlan 的交換機(jī)端口去其tag 口，其他vlan 則是在該端口為+tag出入。比如隸屬辦公網(wǎng)的vlan 12 的交換機(jī)端口數(shù)據(jù)包是-tag12（untag 12），+tag2/4/6/8/10/14/16/18等。trunk 口則是除默認(rèn)vlan 1 外全部數(shù)據(jù)包都是+tag 口。

（3）設(shè)置各子網(wǎng)的ACL訪問控制列表，禁止訪客網(wǎng)訪問各辦公子網(wǎng)，允許公司認(rèn)證員工無線網(wǎng)訪問OA 辦公網(wǎng)資源（但禁止訪問其他）。

3.設(shè)置辦公大樓等建筑物的各樓層智能網(wǎng)管交換機(jī)

（1）對公司大樓各樓層24 口全千兆智能網(wǎng)管交換機(jī)進(jìn)行設(shè)置，增加上聯(lián)口識(shí)別新添加的虛擬局域網(wǎng)vlan號，即vlan 14 和vlan 16在所有端口上數(shù)據(jù)包都+tag加標(biāo)簽出入，全局Pvid 設(shè)置不變。這樣與核心交換機(jī)的與智能管理交換機(jī)的下聯(lián)口對應(yīng)連接各虛擬子網(wǎng)。

（2）對其他各處建筑物的上聯(lián)千兆智能Web 管理交換機(jī)也做此類似設(shè)置，發(fā)送相應(yīng)vlan 加標(biāo)簽的數(shù)據(jù)包。

4.設(shè)置核心路由器

（1）設(shè)置允許無線網(wǎng)絡(luò)網(wǎng)段192.168.w.0/23 以及192.168.v.0/24 允許被地址轉(zhuǎn)換nat，以及AC 無線控制器地址172.16.x.2/24 允許被地址轉(zhuǎn)換nat。這樣這些地址才能聯(lián)通外網(wǎng)。命令是：/ip firewall nat add action=masquerade chain=srcnat action=masquerade src-address=192.168.w.0/23 和/ip firewall nat add chain=srcnat action=masquerade srcaddress=192.168.v.0/23

（2）設(shè)置路由，打通路由器網(wǎng)關(guān)（內(nèi)網(wǎng)地址是192.168.x.254/24）與核心3層交換機(jī)（地址是192.168.x.4/24）的反身路由，添加無線網(wǎng)絡(luò)網(wǎng)段192.168.w.0/23以及192.168.v.0/24 的路由指向三層交換機(jī)的路由條目。這樣路由器網(wǎng)關(guān)才能聯(lián)通三層交換機(jī)上的子網(wǎng)絡(luò)。

5.現(xiàn)場安裝聯(lián)網(wǎng)各個(gè)無線AP 設(shè)備

（1）在辦公大樓各層的樓梯間安裝防潮防水高穿透無線AP：TP-link TLAP301P；

（2）在辦公大樓各個(gè)大廳會(huì)議室處的靠建筑物中心位置安裝TP-link TLAP450D 桌面型AP；

（3）在各層辦公室安裝TP-link TL-AP450I-DC 無線面板式AP，疊層錯(cuò)位安裝，相互補(bǔ)充無線信號覆蓋。

6.其他建筑物的無線網(wǎng)安裝覆蓋可以如上類同操作，只要辦公網(wǎng)絡(luò)等通達(dá)的都可以統(tǒng)一管理。

7.微信認(rèn)證供訪客使用方面需開通公司門店信息認(rèn)證，以便進(jìn)一步設(shè)置操作。