企业无线局域网的设计与实施

田智春

摘要：本文介绍了无线局域网的基本设计原则，针对企业的需求分析了无线局域网的整体架构，并描述了具体实施方案、IP规划和WLAN业务的配置方案，最后，结合实际讲解了网管软件和网络认证平台在无线局域网中的应用。

关键词：无线局域网；虚拟化；AC

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）01-0021-02

随着企业的发展和信息化平台的建设，当前没有无线覆盖的网络办公环境已不能应对日益灵活的业务需求，因此部署无线认证系统和无线网络安全策略等无线管理系统对企业的发展就变得尤为迫切。本项目的设计和实施是结合企业有线网络的升级和改造整体完成的。

1无线局域网的优点和设计原则

无线局域网（WLAN，Wireless LAN）是基于无线通信技术在局部范围内建立起的网络，它以无线多址信道作为传输媒介，与传统的有线局域网相比，有可移动性、灵活性、可扩展性和低成本等优点，可使用户真正实现随时、随地、随意的宽带网络接入。在近几年来，WLAN主要应用于家庭、办公、学校与企业等场景。随着经过WLAN技术几年的推进和发展，其标准和产品已经日渐成熟。

在本次无线局域网的设计和部署中，我们主要需要遵循以下几个原则：

1）先进性和适用性：技术的选型能够满足公司对信息化建设的要求，满足公司未来五年信息系统建设的需要，完全体现信息技术和公司业务需求的完美结合，具有行业领先性；

2）可靠性和抗干扰能力：高可靠性是网络的首要关注点。网络的可靠性将直接影响到企业的经济效益、社会效益和管理水平。对于无线网络来说，可靠性要求中最重要的一点就是无线网络的抗干扰能力。无线设备需要识别微波炉、无线摄像头等这些干扰设备以及干扰带来的影响，在出现无线干扰时候能够自动恢复，保证业务的运行；

3）安全性：在部署无线网络的时候，要注意信号辐射不得超过100mw，避免2.4GHz和5GHz对人体的影响；在楼层部署接入交换机时需要确保网络间的温度和供电等信息符合国家相关防火安全标准。无线网络支持丰富的安全特性，采用集中认证，对每个数据包进行加密，确保用户的信息不会泄露的同时防止非法AP接入。

2 无线网络的设计和实施

某大型企业的办公大楼在现有有线网络的基础上，进行无线网络的覆盖，建立一个灵活、便捷、高可用的无线网络，此次无线网络的设计主要由AC控制器、接入交换机、AP接入点、集中管理平台和WLAN准入控制平台组成。本设计采用了可以安装在核心框式交换机上的无线控制单板作为AC无线控制器，在上面通过集中部署WLAN功能，集中管理大量的AP，对海量用户提供Wi-Fi接入服务。图1为无线网络拓扑图。

如图所示，整个网络属于三层架构。主、备两台核心交换机是堆叠关系。主、备两块AC无线控制单板分别位于两台核心交换机上，从逻辑关系上和核心交换机分属于不同的设备，需要配置额外的管理地址，以用来对整个无线网络设备进行管理。两台AC设备是采用双链路备份的方式来提供高可靠性保证的。

楼层接入交换机通过万兆光路上连核心交换机。根据AP的数量在接入交换机上安装相应的POE板卡数量，为AP提供POE供电和接入服务。

每个AP使用两条网线上连楼层接入交换机，可对这两个电接口进行链路聚合，在防止环路的同时可以拓展业务带宽。在配置AP链路聚合前，还需先对AP上连的接入交换机的两个端口做好链路聚合。由于是三层组网的关系，所有链路聚合组均为楼层本地聚合，和其他楼层是不会发生干扰的。

集中管理平台：安装项目需要的网管软件，主要用途为实时监控，告警和数据分析，以此來管理无线网络设备AP和AC。

WLAN准入控制平台：网络准入控制系统与WLAN、Portal交换机以及标准的802.1X交换机配合，提供多维度的网络接入控制功能，能够根据用户的身份、使用终端的类型、当前所处的接入位置、接入时间，以及终端安全性检查的结果，组合起来提供灵活的网络接入认证、授权、策略。

3 IP规划和WLAN业务的配置

在无线网络建设中，为了便于项目的实施和后期的运维及管理等工作，需要对网络中的AP设备进行统一命名， 并对AP均采用静态地址分配方式，保证IP与AP之间严格的一一对应关系。需要设定两台AC的VALN接口地址用于和AP通信。 在配置完AP管理地址的时候，还需要记录相对应的AP网卡物理地址用于后续的AP注册功能。

根据WLAN无线网络用户的数量，为其规划独立的IP地址段，避免与有线网络用户地址段混淆； AP设备也使用独立的IP地址段， 把IP地址段的最后一个地址作为网关，并把网关地址设置在核心的VLAN三层逻辑接口上；AC设备管理地址与AP管理VLAN网段设为一致，同时要为两台AC设备虚出来一个地址做负载均衡；网关和DHCP均都部署在核心交换机上。两台AC采用二层VLAN透传的方式进行双链路备份。

WLAN业务的配置主要分为3个部分：

1） AC的基础配置：在AC上设置对应的国家码；设置AC的管理地址；创建AC的VLAN三层接口以转发数据和配置AC的源。

2） 配置AC与AP的互通；同一楼层的AP划分为同一组，组名按AP的物理位置来命名；配置AP的模板；配置AP采用MAC地址的认证模式，且MAC地址与AP编号绑定，根据位置进行重命名。

3） AC对AP下发WLAN业务；创建两个SSID，分别采用不同的转发模式：一种是直接转发，另一种是隧道转发。将公司员工的流量设置为直接转发模式，而来宾访问则使用隧道转发模式。创建2.4G和5G的射频模板，无线信道和发射功率需设置为固定；配置服务集，以绑定的用户VLAN号命名，一个用户VLAN号对应一个服务集，配置服务集前必须先配置安全模板和流量模板。在射频模板的基础上创建VAP模板，配置VAP下发AP的WLAN服务。

最后，还要进行安全配置。配置AP对非法设备的检测功能：由于在WLAN网络中有非法接入设备的安全隐患，可将AP的工作模式配置成监测模式或者是混合模式，这样可以使AP监测无线设备的信息，并定时上报给AC，由AC识别非法接入的设备；为了避免无线网络可能出现信息丢失，导致AP和AC保存的设备信息不一致，还可以配置一个较长的时间间隔，监测AP定时上报监测到的全部设备信息，同步AP与AC上保存的无线设备的数据。

4 无线网络的认证管理

网管软件可以为现有网络内的所有设备提供一个便捷的统一管理平台。本项目使用的是华为的eSgiht软件，该软件安装在公司的虚拟机资源内。使用的是V2C版本的SNMP协议，该协议在提高的安全性的同时也更容易配置。首先要在设备中配置SNMP参数，然后再在网管软件eSgiht里添加所需要自动发现设备所对应的IP地址范围，把这些设备添加到对应的分组，选择相应的SNMP协议模板，如此一来，通过SNMP协议对所有设备的事实状态进行监控，还可以对相应设备进行一些简单的命令推送，从而避免了管理员需要登录不同设备才能进行维护的繁琐操作。

无线局域网的认证平台Agile controller 是也安装在公司的虚拟机资源中，具体安装方式为业务控制器（Service Controller，SC）组件的双机备份，业务管理器（Service Manager，SM）组件的单机部署方式。该系统总共需要2台虚拟机资源，其中一台服务器安装SM+SC+数据库，另外一台仅需安装SC组件。业务管理器SM承担业务管理的角色，系统管理员通过WEB管理界面，可以完成用户管理、准入控制和业务随行策略配置、安全协防业务配置等管理工作。作为Agile Controller系統的管理器，SM管理其下的各个业务控制器SC，向已经连接的SC发送实时指令，完成各种业务；业务控制器SC中集成的有标准的RADIUS服务器、Portal服务器等，负责与网络接入设备联动实现基于用户的网络访问控制策略。具体配置如：在Agile controller的外部认证源中添加AD域服务器地址，以实现与公司的AD域账户同步；自定义不同的用户组，配置不同的认证和授权策略，与公司内部的AD域服务器进行联动；入网使用Portal + Mac的认证方式，公司员工的身份认证使用公司的AD域账户，根据被加入的组享用不同的上网权限，而来宾访问的用户由本地创建方式，而相应的被加入到来宾组。

5 结束语

无线局域网的部署填补了办公环境内无线接入网络的空白，并在管理、认证平台使用了虚拟化技术，实现了到AP端的整网虚拟化，简化了网络管理，极大地提升了维护效率。通过有线无线深度融合，协同管理，在降低网络管理复杂度的同时，极大地提升了无线网络的性能。