■

隨著網(wǎng)絡(luò)應(yīng)用需求的發(fā)展變化，我院現(xiàn)有的、在若干年前建立的、依靠傳統(tǒng)的綜合布線系統(tǒng)建立起來的有線局域網(wǎng)，在實際應(yīng)用中暴露出越來越多的不能滿足工作要求的不足之處。經(jīng)過仔細(xì)調(diào)查和研究，我單位決定吧、把無線網(wǎng)絡(luò)作為對有線網(wǎng)絡(luò)的重要補(bǔ)充，彌補(bǔ)有線網(wǎng)絡(luò)對工作需求的不足；充分利用已有的有線網(wǎng)絡(luò)的接入準(zhǔn)入系統(tǒng)一并為無線網(wǎng)絡(luò)客戶端提供網(wǎng)絡(luò)準(zhǔn)入認(rèn)證服務(wù)，防止無線網(wǎng)絡(luò)被盜用；讓無線網(wǎng)絡(luò)在各個網(wǎng)絡(luò)應(yīng)用中的使用習(xí)慣與有線網(wǎng)絡(luò)保持一致；為訪客配置專用的無線連接用以訪問互聯(lián)網(wǎng)。

無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計思路

原有線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖1所示，首先要考慮的是無線網(wǎng)絡(luò)信號的覆蓋范圍，這里面還要考慮到實際環(huán)境里可能對無線信號有屏蔽和干擾的因素，在我院的案例里，對無線信號影響比較大的是鋼筋混凝土的隔墻和成排擺放的金屬鐵皮柜。在對所有需要覆蓋無線信號的區(qū)域完成現(xiàn)場實際測試后，做出了AP位置的設(shè)計方案。然后是對建設(shè)無線局域網(wǎng)所需產(chǎn)品的選型。在一個需要數(shù)百個AP的無線網(wǎng)絡(luò)系統(tǒng)里，如再使用傳統(tǒng)的“胖”AP明顯是不可能的，按照設(shè)計的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，無線產(chǎn)品需要滿足的要求分別是：

無線控制器（WLC）

圖1 當(dāng)前有線網(wǎng)絡(luò)示意圖

WLC作為無線網(wǎng)絡(luò)的核心設(shè)備，既是所有AP的管理設(shè)備，也是所有無線客戶端的網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)設(shè)備，需要既有靈活的管理功能，也有強(qiáng)大的數(shù)據(jù)轉(zhuǎn)發(fā)性能；既可以支持傳統(tǒng)的SSID與VLAN做靜態(tài)映射，也支持使用我院已有的RADIUS服務(wù)器（思科的ACS系統(tǒng)）為連接同一個SSID的不同客戶端按RADIUS服務(wù)器里的策略動態(tài)分配VLAN。

無線接入點（AP）

要求可以用“瘦”AP的模式注冊到WLC上接受統(tǒng)一管理，支持802.11a/b/g/n協(xié)議，同時支持PoE供電。

PoE交換機(jī)

要求是可網(wǎng)管的二層PoE交換機(jī)，同時支持光模塊，用以通過光纖上聯(lián)到核心交換機(jī)。

經(jīng)過調(diào)研和論證，我院決定選用思科的無線局域網(wǎng)解決方案，WLC選用了思科的AIR-CT5508-K9，AP 選 用了思科的AIR-CAP2602IC-K9，PoE交換機(jī)選用了思科的 WS-C2960S-24PS-L，下面就以這些設(shè)備為例介紹我院無線網(wǎng)絡(luò)的設(shè)計方案。從部署方式上說，WLC部署在核心交換機(jī)上，各個PoE交換機(jī)通過光纖也上聯(lián)到核心交換機(jī)，各個AP通過雙絞線連接到PoE交換機(jī)的PoE端口上。

從網(wǎng)絡(luò)結(jié)構(gòu)上說，只需要為新增的無線網(wǎng)絡(luò)系統(tǒng)新增加一個用于無線管理的VLAN，這個VLAN僅用于AP和WLC之間的通信，即所有的AP均處于這個VLAN，由PoE交換機(jī)和核心交換機(jī)來負(fù)責(zé)AP與WLC之間的數(shù)據(jù)轉(zhuǎn)發(fā)。具體的工作方式是：所有AP與WLC之間的通訊數(shù)據(jù)都由思科的私有隧道協(xié)議封裝在這個無線管理VLAN里，不同VLAN的無線客戶端的數(shù)據(jù)到達(dá)AP后，通過這個隧道傳到WLC，由WLC解封裝后，再由WLC上設(shè)置的不同VLAN的接口（interface）轉(zhuǎn)發(fā)到核心交換機(jī)上對應(yīng)的VLAN的interface。

從系統(tǒng)設(shè)計上說，要做到：

1、無線網(wǎng)絡(luò)不再增加新的工作VLAN，原有線網(wǎng)絡(luò)中VLAN是與部門一一對應(yīng)的，無線客戶端將也按部門劃入其部門原有VLAN，做到無線網(wǎng)絡(luò)作為對有線網(wǎng)絡(luò)的重要補(bǔ)充與有線網(wǎng)絡(luò)融為一體。

2、新增一個訪客VLAN單獨(dú)用于訪客使用

3、全網(wǎng)所有的AP都只發(fā)布兩個SSID，一個是工作用SSID，對應(yīng)所有的工作VLAN，另一個是訪客SSID，對應(yīng)單獨(dú)的訪客VLAN。

圖2 改造后無線/有線網(wǎng)絡(luò)示意圖

4、連接工作SSID的客戶端的VLAN，由已有的RADIUS服務(wù)器（即思科的ACS系統(tǒng)）動態(tài)發(fā)配，原有線網(wǎng)絡(luò)的客戶端是基于以太網(wǎng)卡的MAC地址動態(tài)分配VLAN，無線網(wǎng)絡(luò)的客戶端也將基于無線網(wǎng)卡的MAC地址動態(tài)分配VLAN。在我院的網(wǎng)絡(luò)環(huán)境里，要求不論是屬于哪個VLAN的無線客戶端，都可以連接在任意一個AP上，而在一個多達(dá)數(shù)十個VLAN的無線網(wǎng)絡(luò)環(huán)境里，是不能采用傳統(tǒng)的SSID與VLAN做靜態(tài)映射的方法的，一是因為如果每一個VLAN都發(fā)布一個SSID的話，過多的SSID會讓用戶感到易用性很差，不容易找到自己該連接的SSID；二是因為根據(jù)實際測試，一個AP最多只能發(fā)布四到五個SSID，如果再多就會造成其發(fā)布的這些SSID連接很不穩(wěn)定，經(jīng)常會掉線，而且即使不掉線的時候通信質(zhì)量也很差，網(wǎng)絡(luò)傳輸?shù)膩G包率很高，基本不能正常使用?？上驳氖?，利用已有的RADIUS服務(wù)器為無線客戶端動態(tài)分配VLAN的方式可以完美的解決這個問題。至于基于MAC地址來作RADIUS服務(wù)器認(rèn)證的優(yōu)點與不足之處，在以前的文章中已有過詳細(xì)論述，這里不再重復(fù)。

配置用于無線網(wǎng)絡(luò)的設(shè)備

加入無線網(wǎng)絡(luò)后的有線/無線網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

配置AP

由于選用的AP是“瘦”AP，也就是輕量級無線接入點（LAP），這意味著這些LAP是不能獨(dú)立于WLC工作的，LAP必須首先發(fā)現(xiàn)WLC并注冊在WLC上才能正常工作，而LAP本身是不需要單獨(dú)配置的，只需要讓LAP完成向WLC的注冊，注冊后如果LAP上的固件與WLC本地存儲的固件版本不一致的話，LAP會自動從WLC下載固件代碼，使之與WLC保持一致，然后WLC就會將無線網(wǎng)的配置自動部署到LAP上。

只要AP的型號是WLC所支持的型號，AP的VLAN和WLC的管理VLAN是同一VLAN，同時配置好WLC為AP提供DHCP服務(wù)，AP將自動從WLC獲得IP地址并完成向WLC的注冊。

配置PoE交換機(jī)

把對核心交換機(jī)的上聯(lián)口配置為trunk

switchport mode trunk

把連接AP的PoE口配置為無線管理VLAN

switchport access vlan 200（其中200是為無線管理VLAN設(shè)置的VLAN ID）

switchport mode access

配置核心交換機(jī)

把所有連接PoE交換機(jī)以及連接WLC的端口配置為trunk

switchport mode trunk

新建無線管理VLAN和訪客VLAN的VLAN interface

interface vlan200

ip address 10.10.103.254/23（配 置 無 線 管 理VLAN的interface IP為10.10.103.254，VLAN ID 是200）

interface vlan54

ip address 10.10.123.254/22（配 置 訪 客VLAN的interface IP為10.10.123.254，VLAN ID是54）

ip dhcp-relay serveraddress 10.10.100.10（在訪客VLAN里開啟dhcp-relay，指向DHCP 服務(wù)器，IP是 10.10.100.10，同 時 在DHCP服務(wù)器里為這個新建的訪客VLAN開啟DHCP服務(wù)）

配置WLC

1、進(jìn)入WLC的console對WLC做初始化配置。

具體的配置步驟和方法可以參閱思科的WLC無線網(wǎng)絡(luò)控制器的配置手冊，這里不做祥細(xì)介紹，只介紹本案列里必須配置的基本網(wǎng)絡(luò)設(shè)置，以便初始化完成后能利用Web管理界面做詳細(xì)配置。

System Name：WLC（設(shè)置WLC的系統(tǒng)名稱為WLC）

Enter Administrative User Name：admin（設(shè) 置WLC的管理員名稱為admin）

Enter Administrative Password：****（設(shè) 置 WLC的管理員密碼為****）

Re-enter Administrative Password：****（確 認(rèn) 設(shè) 置WLC的管理員密碼為****）

Service Interface IP Address Configuration：none（不開啟本地Web管理口的DHCP服務(wù)）

Service Interface IP Address：1.1.1.1（設(shè) 置 本地Web管理口的IP地址為1.1.1.1）

S e r v i c e I n t e r f a c e Netmask ：255.255.255.0（設(shè)置本地Web管理口的IP地址的子網(wǎng)掩碼為255.255.255.0）

Enable Link Aggregation(LAG)：yes（開啟鏈路聚合功能，本案例里WLC到核心交換機(jī)采用了雙鏈路連接）

Management Interface IP Address：10.10.103.253（設(shè)置WLC的管理地址為10.10.103.253）

Management Interface Netmask ：255.255.254.0（設(shè)置WLC的管理VLAN網(wǎng)段的掩碼為255.255.254.0，由于本案列的AP數(shù)量超過了256個，為了所有AP都能加入這個網(wǎng)段，子網(wǎng)掩碼設(shè)置為512個地址的網(wǎng)段）

Management Interface Default Router：10.10.103.254（設(shè)置WLC管理VLAN網(wǎng)段的默認(rèn)網(wǎng)關(guān)為10.10.103.254）

Management Interface VLAN Identifier ：200（設(shè) 置WLC管理VLAN的ID為200）

Management Interface DHCP Server IP Address：10.10.103.254（設(shè)置管理端口的DHCP服務(wù)器的IP地址為10.10.103.254）

Virtual Gateway IP Address：2.2.2.2（設(shè) 置 虛擬的網(wǎng)關(guān)地址為2.2.2.2，這個虛擬網(wǎng)關(guān)是用來當(dāng)作Web authentication登錄窗口重定向服務(wù)器和給無線客戶端充當(dāng)DHCP代理的，它必須設(shè)置，并且不能和其它地址產(chǎn)生沖突，盡管它不能被ping也不會出現(xiàn)在任何路由表當(dāng)中。本例中，所有無線DHCP客戶端將看到自己的DHCP服務(wù)器地址為2.2.2.2）

Mobility/RF Group Na me：test（設(shè)置三層漫游時的組名為test）

Network Name（SSID）：test（臨時設(shè)置一個測試用SSID為test）

Configure DHCP Bridg ing Mode：NO（設(shè)置為不使用DHCP橋模式，在本案例里我們將使用WLC內(nèi)部的DHCP為AP分配IP，同時使用WLC的DHCP代理功能為無線客戶端分配IP，而啟用DHCP橋模式將導(dǎo)致以上兩項功能被禁用）

Allow Static IP Address：yes（設(shè)置為允許手工配置靜態(tài)IP）

Configure a RADIUS Server now? ：yes（配 置RADIUS服務(wù)器）

Enter the RADIUS Ser ver’s Address：10.10.50.252（設(shè)置RADIUS服務(wù)器的IP地址為10.10.50.252）

Enter the RADIUS Server’s Port：1812（設(shè) 置RADIUS服務(wù)器的認(rèn)證端口為1812）

Enter the RADIUS Ser ver’s Secret：****（設(shè) 置RADIUS服務(wù)器的共享密鑰為****）

Enter Country Code list(enter ‘help’ for a list of countries)：CN（設(shè)置國家代碼為CN，CN是中國的國家代碼）

Enable 802.11b Net work：yes（設(shè) 置 為 啟 用802.11b協(xié)議的網(wǎng)絡(luò)）

Enable 802.11a Net work：yes（設(shè) 置 為 啟 用802.11a協(xié)議的網(wǎng)絡(luò)）

Enable 802.11g Net work：yes（設(shè) 置 為 啟 用802.11g協(xié)議的網(wǎng)絡(luò)）

Enable Auto-RF ：yes（設(shè)置為啟用自動射頻）

Configure a NTP Server now?：no（暫不配置 NTP 時間服務(wù)器）

Configure the system time now?：no（暫不調(diào)整系統(tǒng)時間）

保存設(shè)置并重啟WLC后初始化完成，下面將可以進(jìn)入圖形界面做詳細(xì)配置。

2、登入WLC管理頁面，可以看到初始化時一些配置。

3、為了讓AP能從WLC獲取IP，以便向WLC注冊成功，在“CONTROLLER”下配置“Internal DHCP Server”，建立名為“newap-dhcp”的DHCP Scope，定義DHCP 地址池和網(wǎng)段，由于本案例里設(shè)計的所有AP和WLC管理地址在同一網(wǎng)段，不涉及三層通信，這里可以不設(shè)置默認(rèn)網(wǎng)關(guān)（即 Default Routers）。

AP在WLC上注冊成功后可以在“WIRELESS”菜單里，從“Access Points”的“All APs”里看到。

4、在“CONTROLLER”菜單下的“Interfaces”里為訪客VLAN以及所有工作VLAN配置在WLC里的interface，把各VLAN的網(wǎng)關(guān)指向核心交換機(jī)里相應(yīng)VLAN的interface，并定義各個VLAN的無線客戶端所使用的外部DHCP服務(wù)器的地址。

5、在“WLANs”菜單里，為訪客建立名為“CAUPDGUEST”的訪客SSID。

編輯該 SSID，在“General”里 的“Interface/Interface Group(G)”把 該SSID下 的無線客戶端設(shè)定為屬于訪客VLAN，即VLAN54。

在“Security”的“Layer2”里定義該SSID的連接密碼。

在“Security” 的“AAA Servers”里不定義任何RADIUS服務(wù)器，因為訪客是不需要做RADIUS認(rèn)證的。

在“Advanced” 里，“P2P Blocking Action”選“Drop”，代表不允許連接該SSID的客戶端之間互訪；鉤選“DHCP Addr. Assignment”，代 表 連接該SSID的客戶端必須使用DHCP來獲取IP地址。

6、在“WLANs”菜單里，為各個工作部門建立名為“CAUPD”的工作SSID。

編輯該 SSID，在“General”里 的“Interface/Interface Group(G)”可以保持默認(rèn)的“management”，即無線管理VLAN，因為連接這個工作SSID的無線客戶端的所屬VLAN將由RADIUS服務(wù)器的認(rèn)證決定，這里設(shè)定的VLAN將在通過RADIUS認(rèn)證后被RADIUS服務(wù)器返回的VLAN信息覆蓋。

在“Security”的“Layer2”里定義該SSID的連接密碼。

在“Security” 的“AAA Servers” 里，開 啟“Radius Server Overwrite interface”,表示無線客戶端的VLAN將由RADIUS服務(wù)器決定；認(rèn)證服務(wù)器里選擇RADIUS服務(wù)器10.10.50.252。

在“Advanced” 里，“P2P Blocking Action” 選“Disable”，代表允許連接該SSID的客戶端之間互訪；鉤選“DHCP Addr. Assignment”，代表連接該SSID的客戶端必須使用DHCP來獲取IP地 址；開 啟“Allow AAA Override”，代表如果 RADIUS服務(wù)器返回的配置與WLC里的默認(rèn)配置有沖突時，將按RADIUS服務(wù)器的配置執(zhí)行。

7、在“SECURITY”菜單的“AAA”下的“AAA”里。

配 置“RADIUS” 里 的“Authentication”， 把“Acct Call Station ID Type”選為“System MAC Address”，“Auth Call Station ID Type”選 為“AP MAC Address:SSID”,表示向RADIUS服務(wù)器發(fā)送認(rèn)證請求的用戶名和密碼相同，均為無線客戶端的無線網(wǎng)卡MAC地址。

配 置“RADIUS” 里 的“Accounting”，“MAC Delimit er”選“Hyphen”，表示 MAC地址的格式為大寫字母同時每兩位之間用“-”分隔，如：11-22-33-AA-BB-CC。至此WLC的基本配置完成。

配置ACS

把WLC配置為ACS里的AAA Client，同時為WLC這個AAA Clients配置AAA認(rèn)證使用的協(xié)議端口和共享密鑰。為每個MAC地址建立一個user，并定義這個MAC地址所屬VLAN。有關(guān)ACS系統(tǒng)具體的相關(guān)配置方法，在以前的《基于MAC地址實現(xiàn)動態(tài)VLAN的實踐總結(jié)》里有更系統(tǒng)詳細(xì)的介紹，這里不再重述。配置ACS完成后，在ACS里可看到如下認(rèn)證過程，其中綠色的記錄表示認(rèn)證通過，紅色的記錄表示認(rèn)證未通過；而沒有分隔符的小寫字母的username是有線網(wǎng)卡的認(rèn)證，帶有分隔符的大寫字母的username是無線網(wǎng)卡的認(rèn)證：

應(yīng)用中需要注意的幾點事項

1、WLC是個單一故障點

由于在網(wǎng)絡(luò)里只部署了一臺WLC，如果WLC本身出現(xiàn)設(shè)備故障將導(dǎo)致所有的無線客戶端無法連接網(wǎng)絡(luò)，因此必須做好WLC的數(shù)據(jù)備份工作和備機(jī)服務(wù)準(zhǔn)備工作。

2、可以考慮從網(wǎng)絡(luò)中消除802.11b

因為WLAN技術(shù)的基本原理還是基于一些碰撞機(jī)制，所以在一個AP下的相同信道下的用戶將會共享同一帶寬。因為802.11b和802.11g使用的調(diào)制技術(shù)不同而AP為了響應(yīng)一些低速率的用戶端的請求將調(diào)整資源分配，去響應(yīng)802.11b終端，所以會降低AP的處理能力。為了解決這個問題，可以采用禁用802.11b的數(shù)據(jù)速率的方式，即禁用1，2，5.5和11Mbps這些數(shù)據(jù)速率，這樣可以在禁用802.11b的同時支持802.11g和802.11n。當(dāng)然了，還可以設(shè)計成不對802.11b和802.11g提供支持，只需取消鉤選“802.11b/g Network Status”的“Enabl ed”，讓2.4G頻段的無線網(wǎng)只支持802.11n的無線客戶端。

3、AP的信號強(qiáng)度可調(diào)

在個別無線信號強(qiáng)度不夠的區(qū)域，可以通過調(diào)整相應(yīng)AP的信號強(qiáng)度的方式來改善?！癈urrent Tx Power Level ”是可調(diào)的，“1”始終代表國家代碼（country code）設(shè)置中允許的最大功率，后續(xù)的功率等級為上一個等級的50%。例如：1表示最大功率，2表示50%的功率，3表示25%的功率，4表示12.5%的功率，5表示6.25%的功率。

調(diào) 整 后，“Power Level”中數(shù)字后面無星號的表示是手工定制功率；數(shù)字后有星號的表示自動協(xié)商功率。

4、對“流氓AP”的管控

往往在WLC上可以看到“流氓AP”（即Rogue AP）的大量存在，這些Rogue AP可能是手機(jī)建立的熱點，也可能是個人私自架設(shè)的AP，它們的存在可能會對WLC的無線網(wǎng)絡(luò)產(chǎn)生一定干擾。思科的WLC可以對Rogue AP進(jìn)行壓制，讓非法AP無法工作，也可以通過網(wǎng)管軟件找到這些Rogue AP的具體位置，這需要在WLC界面或者或者思科的無線網(wǎng)管軟件WCS下設(shè)置。WCS如何配合WLC進(jìn)行管理這里不做詳細(xì)介紹。

實踐總結(jié)

無線網(wǎng)絡(luò)的建設(shè)，有效的彌補(bǔ)了原有的有線網(wǎng)絡(luò)的不足，通過RADIUS認(rèn)證動態(tài)分配VLAN，實現(xiàn)了統(tǒng)一的SSID下的靈活的VLAN設(shè)置，讓無線客戶端加入到其部門原有的VLAN中；也增加了無線網(wǎng)絡(luò)準(zhǔn)入的安全性，使得不能通過RADIUS認(rèn)證的無線客戶端即使輸入了正確的連接密碼也不能接入工作SSID；使用驗證MAC地址的方式讓認(rèn)證過程變得對客戶端透明，認(rèn)證不需要在無線客戶端安裝任何軟件；為訪客配置了單獨(dú)的SSID和VLAN，方便對訪客的上網(wǎng)行為做獨(dú)立的管理策略。