企业无线局域网组网结构设计与实现

王轶琳， 钱 莉

（中海信息系统有限公司，上海200135）

0 引 言

随着无线技术不断发展，笔记本电脑、智能手机、平板电脑等智能移动终端对于人们的日常生活而言越来越重要。无论是员工个人还是企业，目前对无线网络的依赖性都很强，移动终端随时随地“在线”已成为广大企业的新需求。因此，如何在提供更稳定、更便捷的无线接入的同时保障企业内网安全，已经成为企业近年来日益关注的焦点。

目前WLAN无线局域网技术是企业解决移动终端接入问题的最佳方案。利用无线通信技术在局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，作为有线局域网络的延伸，被各团体、企事业单位广泛采用。其以无线多址信道作为传输媒介，提供传统有线局域网LAN的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。

1 需求分析

企业无线办公网络中的WLAN应用一般是通过有线局域网络的延伸而存在的，移动终端通过部署在办公环境中的无线接入点（Access Point，AP）接入企业内部网络，以访问各个办公业务系统、数据库。公司聚集型办公的模式对AP的性能有一定要求，而作为一家信息技术公司，对数据传输过程中的高带宽、低延时以及安全性要求更为严格。

1.1 无线网络的高性能

不同于有线网络，无线接入设备可能会随着接入用户的增加而反应缓慢，甚至在业务量突增时，发生崩溃、中止和异常等现象。普通的无线路由器在接入用户超过十个时后，其稳定性及数据传输效率将急剧下降，因此采用高性能的无线设备是企业无线网络组建的必要条件。

1.2 无线网络的安全性

信息技术企业对网络的安全性有非常高的要求。一般情况下企业在局域网和广域网络中传递的数据都很重要，因此一定要保证安全保密，防止非授权用户接入。针对不同的用户，在网络建设的开始就考虑采用严密的网络安全措施。

1.3 无线网络的可管理性

为保证员工在公司内部任何地方、任何时间都能轻松接入到企业网络，通常需要部署数十个无线接入点，因此需要一个统一的无线设备管理平台，要求其不仅能够对所有无线设备进行定性管理，而且能够定量无线频段使用、接入设备数量、网络流量分析等，实时了解无线网络健康状况。

1.4 无线网络接入的便捷性

在保证企业无线网络安全的前提下，应尽可能地减少用户移动终端接入的操作要求。授权用户在认证通过后，无论在企业内部如何移动，都不应该有无线网络中断、不断重复认证等情况出现。

2 企业无线组网结构设计

2.1 企业统一无线网络部署

一般可以采取两种WLAN架构：独立WLAN解决方案和基于控制器的WLAN解决方案。其中，独立WLAN使用独立接入点作为部署策略，而基于控制器的WLAN会使用集中的管理系统对各个接入点进行控制，两种解决方案拥有不同的特点和优势。由于基于控制器的解决方案可以实现资源的集中，因此大型企业组网环境中普遍用。

基于控制器的WLAN设计方案中，无线局域网由AP、无线控制器（WLAN Controller，WLC）及POE交换机组成。

（1）无线接入点AP负责信号的探查及响应、数据包的确认与传输；

（2）负责无线的安全认证与解除、移动终端漫游处理、数据帧的转发与桥接等；

（3）POE交换机则为AP设备进行供电并提供二层数据交换。

针对WLC承担功能的重要性，采用双机热备冗余结构。

图1 基于控制器的无线网络拓扑结构

表1 独立WLAN与基于控制器WLAN比较表

在核心交换区，采用两台无线控制器，其中一台为主，另一台作为热备份。每台控制器配置2个千兆光纤端口，分别与两台有线网络核心交换设备作双千兆上联，形成基于VRRP的active－standby模式的冗余网络架构。

所有无线AP通过现有配线间的接入层交换机，以POE方式供电，分别连接到局域网内，通过原有的局域网的IP层连接到无线控制器，再经过控制器的认证加密等策略，实施管理和传输数据。

基于控制器的WLAN组网结构中数据包的二层传输过程为：

AP收到移动终端的数据包后，CAPWAP协议（IETF国际标准协议）将整个数据包封装，并打上无线控制器的管理VLAN标签，通过CAPWAP隧道由交换机转发至WLC；WLC对数据包进行解封装，判断移动终端所属VLAN，再转发回交换机，最终发送给目标地址。

对于大型企业分支机构和远程办公室无线部署，各无线厂商针对本地用户局域网无线访问有相应优化方案。如思科的H－reap模式，可以选择AP接入交换机直接转发无线客户端的本地网络数据流量，而无需通过远端WLC再进行转发回传，减少了不必要的数据转发延时。

图2 数据包二层传输过程示意图

2.2 无线标准兼容性及信道选择

无线局域网工作在2.4 GHz（11个频道）及5 GHz频段下，随着无线传输技术不断发展，为了改进无线数据传输速率，IEEE 802.11根据不同的工作频段先后制定了一系列的技术标准；2.4 G频段在信号穿透能力及覆盖范围上占优，而5 GHz频段在信道带宽及防干扰上占优，两者均为目前主流移动终端所使用。无线连接时，选用的标准需移动终端的无线网卡支持，随着智能手机、平板电脑不断普及，越来越多的移动终端网卡开始支持5 GHz频段协议标准，选用双频的无线AP设备可有效避免2.4 GHz频段的信道压力。

由于无线技术日益普及，商业办公楼宇不仅需要排除周边运营商或其他公司的无线信号的干扰，还需排除公司内部相邻AP的信号干扰，而2.4 GHz频段可用信道仅有3个，靠手工选择很难避免与周边信道重叠，因此选用带有信道动态切换功能的无线控制器，根据AP所处环境自动计算、切换无线信道。

表2 无线工作频段可选分布

2.3 无线安全策略

在企业无线网络环境中，人员构成复杂，仅靠单一的口令认证难以防止非授权移动终端接入企业内网，且一旦发生网络安全事件难以追溯及定位攻击源；此外，太过复杂的安全策略又难以适应企业外部访客、会议等需要临时接入无线的实际需求，因此根据用户的不同，制定一套灵活可控的无线认证安全策略。

根据接入用户角色的不同，以无线SSID（Service Set Identifier）作为标识进行区分，制定不同的安全接入策略。如：企业内部员工采用口令＋MAC地址双重认证；企业外来访客通过登记发放临时账户，结合802.1x认证方式，通过WEB界面登陆后接入企业内网；对于临时中型会议，可发放统一账户口令登陆，无线控制器可根据会议举行时间自动开放无线接入认证。

需要注意的是，基于口令的无线加密方式，选用不同无线加密技术会影响到无线网络的传输速率，目前主流的无线网络加密方式有3种：WEP加密、WPA加密、WPA2加密，前两种加密方式已相继宣告破解，不建议采用；而WPA2又分为AES及TKIP两种不同的加密算法，在采用TKIP算法时，无线的最高传输速率会限制在54 Mbps，因此，对于对无线传输带宽要求较高的企业，应采用 WPA／WPA2 AES算法加密口令。

3 企业无线组网实现

3.1 现场勘查

现场勘查可为无线方案的完善与实施提供充足的数据依据。根据企业办公场所的具体环境测试无线AP的覆盖能力。

图3为两个AP在某企业内部测试情况，两个AP大概间隔15 m，测试位置（五角心代表）及AP所放置位置（圆圈代表）。

图3 AP现场勘察及实测点分布

（1）在AP正下方的信号强度约为－30 d B（相当5格信号），见图4；

（2）在AP中间测试信号强度约为－42 d B（相当4格半信号），见图5；

图4 AP正下方信号强度

图5 AP中间测试信号强度

（3）在电梯口相隔一堵墙测试信号强度约为－52 d B（相当于4格信号），见图6；

（4）根据AP现场测试结果，规划该楼层AP点位分布图（见图7）。

3.2 无线局域网策略规划

3.2.1 用户认证策略规划

根据角色的不同，接入不同的SSID（见表3）。

图6 电梯口测试信号强度

图7 AP点位规划图

表3 SSID规划示例

3.2.2 用户角色策略（Policy）控制

根据接入用户端MAC地址识别用户角色，各个角色通过不同VLAN隔离，以便于上网行为管理设备控制访问策略（见表4）。

表4 用户角色策略规划示例

3.2.3 IP网段规划

无线控制器IP单独划分一个网段，与用户网段隔离；无线客户端通过DHCP获取，DHCP功能由核心交换机进行处理（见表5）。

表5 IP网段规划示例

3.2.3 无线网络性能测试

在对无线设备进行正确配置之后，对整个无线网络进行性能测试，以确定现有无线网络是否满足各项设计指标（无线覆盖面积、数据丢包率、数据吞吐率、无线控制器冗余备份、WLAN管理监控等），以及运转是否正常。

3.3 无线局域网管理平台

1）对无线AP的运行状态进行监控管理，包括：

（1）AP上下行吞吐量数据；

（2）AP上下行802.11帧的速率和构成；

（3）所有AP所处无线环境的噪声水平分布；

（4）所有AP所处无线环境的信道利用率分布；

（5）所有AP所处无线环境的non－wifi干扰程度分布。

2）对接入的无线终端各项状态进行监控、识别，包括：

（1）当前在线的无线终端总数；

（2）当前在线的无线终端的网卡种类及数量；

（3）当前在线的无线终端的信噪比分布状况；

（4）当前在线的无线终端的连接速率分布。

图8 无线AP监控管理界面

4 结 语

无线局域网具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，因此得到了越来越广泛的使用。随着无线局域网在技术上不断发展成熟，越来越多的新技术将与应用相结合，给个人及企业用户带来生活、商业上的利益，配合不断普及的3G技术，真正做到随时随、不受约束地访问互联网。

［1］ Cisco Systems，Inc.Implementing Cisco Unified Wireless Mobility Services （IUWMS）v1.0 ［CP／OL］.2009.http：／／www.docin.com／p－89165675.ht ml.

［2］ Richar d，F.CCNP SWITCH学习指南［M］.田果，刘丹宁，译.北京：人民邮电出版社，2011.

［3］ 厚立群，毛玉明.无线局域网用户安全接入解决方案对比分析［C］.北京：全国网络与信息安全技术研讨会，2004.

［4］ 傲丹，方旭明，马忠建.无线网格网关键技术及其应用［J］.电讯技术，2005（2）：16－22.