王飛+李文+羅俊元

摘 要 本文通過對(duì)企業(yè)WLAN規(guī)劃設(shè)計(jì)時(shí)覆蓋規(guī)劃、信道規(guī)劃、組網(wǎng)設(shè)計(jì)、安全設(shè)計(jì)等要點(diǎn)進(jìn)行分析，講述了WLAN規(guī)劃設(shè)計(jì)時(shí)需重點(diǎn)關(guān)注的環(huán)節(jié)，并推薦了一個(gè)在企業(yè)網(wǎng)中部署WLAN的解決方案。

關(guān)鍵詞 WLAN CAPWAP 隧道轉(zhuǎn)發(fā)

中圖分類號(hào)：N925.93 文獻(xiàn)標(biāo)識(shí)碼：A

0引言

伴隨筆記本、平板、手機(jī)等移動(dòng)終端的普及，移動(dòng)應(yīng)用、移動(dòng)辦公等需求日漸強(qiáng)烈，辦公場所無線覆蓋已成為各大企業(yè)網(wǎng)絡(luò)建設(shè)必需考慮的事情。無線局域網(wǎng)（WLAN）的安全與可靠，是企業(yè)考慮是否投資無線覆蓋建設(shè)關(guān)鍵所在，只有做好了WLAN規(guī)劃設(shè)計(jì)，才能建成安全好用的無線局域網(wǎng)。

1 WLAN發(fā)展現(xiàn)狀

無線局域網(wǎng)技術(shù)采用IEEE802.11系列標(biāo)準(zhǔn)，由Wi-Fi聯(lián)盟推廣發(fā)展。自1999年9月發(fā)布IEEE 802.11a/b標(biāo)準(zhǔn)以來，無線局域網(wǎng)技術(shù)一直發(fā)展緩慢，各大廠商投入市場的設(shè)備產(chǎn)品型號(hào)很少。2009年9月IEEE 802.11n標(biāo)準(zhǔn)發(fā)布，理論速率可達(dá)600Mbit/s，自此各主流廠商開始爭相開發(fā)WLAN產(chǎn)品。2013年12月IEEE 802.11ac標(biāo)準(zhǔn)發(fā)布，理論速率達(dá)到6.933Gbit/s。也就是在2013年前后，伴隨信息化迅猛發(fā)展，各企事業(yè)單位、酒店、校園等開始大規(guī)模投資WLAN建設(shè)，發(fā)展便捷網(wǎng)絡(luò)實(shí)現(xiàn)移動(dòng)辦公。

1.1 WLAN覆蓋規(guī)劃

WLAN覆蓋部署主要有三種：（1）室內(nèi)放裝部署；（2）室內(nèi)分布式部署；（3）室外型部署。室內(nèi)放裝部署一般適用于覆蓋區(qū)域較小的場景，如酒店會(huì)議室、休閑場所、辦公樓等，帶寬高易部署；室內(nèi)分布式部署一般適用于覆蓋面積較大，用戶密度低的場景，如酒店房間、宿舍樓等，帶寬需求不高；室外型部署一般適用于室外較分散區(qū)域，如公園、校園園區(qū)等，部署簡單且成本低。企業(yè)WLAN屬高密度、高帶寬需求場所，樓宇內(nèi)部一般采用室內(nèi)放裝型AP（自帶全向天線）吸頂或壁掛安裝，室外園區(qū)一般采用室外型AP并配置定向或全向天線。

1.2 WLAN信道規(guī)劃

WLAN信道建議采用2.4GHz和5GHz雙頻覆蓋設(shè)計(jì)，要合理規(guī)劃頻點(diǎn)，避免同頻干擾，降低臨頻干擾。2.4GHz頻段信號(hào)穿透力強(qiáng)，但干擾源較多，支持802.11b/g/n，主要用于解決部分無線網(wǎng)卡不支持5GHz頻段的終端接入，可使用頻點(diǎn)1、6、11（20MHz容量）。5GHz信號(hào)穿透力弱，但可有效避免現(xiàn)場環(huán)境中復(fù)雜電磁干擾，支持802.11a/n/ac，綁定使用40MHz或80MHz容量以提升接入帶寬?？墒褂?.8GHz頻段的149/153/157/161綁定信道；若AC及AP支持5.2GHz頻段，亦可使用36/40/44/48、52/56/60/64綁定信道（注：每個(gè)頻點(diǎn)容量20MHz，其中52、56、60、64為雷達(dá)信道，禁止室外使用）。

2.4GHz和5GHz雙頻交叉復(fù)用，并設(shè)置5GHz優(yōu)先接入。采用802.11n/ac標(biāo)準(zhǔn)以提升接入速率（802.11n后向兼容802.11a/g，2009年后生產(chǎn)的無線網(wǎng)卡基本都支持802.11n，802.11a/b/g網(wǎng)卡早已停產(chǎn)），使用多入多出（MIMO）、信道綁定、短GI等技術(shù)，2.4GHz頻段802.11n可實(shí)現(xiàn)最大接入速率144.4Mbit/s，5GHz頻段802.11n可實(shí)現(xiàn)最大接入速率600Mbit/s（40MHz帶寬，4€？ MIMO），5GHz頻段802.11ac可實(shí)現(xiàn)接入速率1.3Gbit/s（80MHz帶寬，4€？MIMO）。信道規(guī)劃時(shí)，建議采用蜂窩結(jié)構(gòu)組網(wǎng)，避免同頻干擾。

1.3 WLAN組網(wǎng)設(shè)計(jì)

WLAN組網(wǎng)設(shè)計(jì)時(shí)，因無線網(wǎng)絡(luò)一般是后期在現(xiàn)有網(wǎng)絡(luò)擴(kuò)展而來，為不影響現(xiàn)網(wǎng)結(jié)構(gòu)一般采用旁掛式組網(wǎng)，將AC旁掛在AP與上行網(wǎng)絡(luò)的直連網(wǎng)絡(luò)上。AP與AC之間組網(wǎng)方式，分為二層組網(wǎng)和三層組網(wǎng)兩種方式：（1）二層組網(wǎng)即AP與AC之間為二層網(wǎng)絡(luò)，簡單但不適合大型網(wǎng)絡(luò)；（2）三層組網(wǎng)即AP與AC間為三層網(wǎng)絡(luò)，適合大型復(fù)雜組網(wǎng)。在企業(yè)網(wǎng)中推薦使用三層旁掛式組網(wǎng)，便于隔離廣播且不會(huì)改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜的上下級(jí)及分支機(jī)構(gòu)網(wǎng)絡(luò)。

在建設(shè)較好的企業(yè)網(wǎng)中，匯聚設(shè)備一般都支持萬兆接口。性能稍好的AC也支持萬兆平臺(tái)，有較強(qiáng)的交換轉(zhuǎn)發(fā)能力，可支持管理AP數(shù)量在512以上。因此，為注重安全性且便于層次化管理，推薦業(yè)務(wù)數(shù)據(jù)采用隧道轉(zhuǎn)發(fā)，三層旁掛式組網(wǎng)。

一般規(guī)模企業(yè)WLAN部署建議：（1）配置2臺(tái)AC采用主備模式實(shí)現(xiàn)雙鏈路備份；（2）AP管理地址手動(dòng)靜態(tài)配置（防止主備AC自動(dòng)分配AP地址出現(xiàn)IP沖突，造成AP無法管理以致業(yè)務(wù)中斷）；（3）用戶IP通過在AC上建立DHCP地址池自動(dòng)分配地址；（4）配置AP接入用戶負(fù)載均衡，避免同一區(qū)域內(nèi)某個(gè)AP負(fù)載過大。

1.4 WLAN安全設(shè)計(jì)

WLAN網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮無線安全，WLAN網(wǎng)絡(luò)中存在安全威脅較多，如：（1）未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)；（2）非法AP；（3）數(shù)據(jù)被竊聽、篡改；（4）拒絕服務(wù)攻擊等。

WLAN威脅防范主要通過認(rèn)證技術(shù)和加密技術(shù)解決授權(quán)和數(shù)據(jù)安全問題，通過WIDS/WIPS解決非法AP和拒絕服務(wù)攻擊問題：（1）企業(yè)網(wǎng)中推薦使用WPA2+802.1X認(rèn)證技術(shù)，結(jié)合CCMP加密技術(shù)實(shí)現(xiàn)授權(quán)安全和數(shù)據(jù)安全，通過802.1X實(shí)現(xiàn)認(rèn)證審計(jì)；（2）部署WIDS/WIPS對(duì)流氓設(shè)備檢測識(shí)別并防范反制（主要包括干擾AP、非法AP、非法終端、非法Ad-hoc、非法網(wǎng)橋等），使用白名單對(duì)AP進(jìn)行SN號(hào)綁定或MAC綁定，使用黑名單禁止非法AP或非法終端接入；（3）隱藏服務(wù)集SSID信號(hào)，不進(jìn)行廣播，降低偽造應(yīng)答接入及被竊聽可能性；（4）在AP連接交換機(jī)接口部署端口隔離，防止威脅終端接入對(duì)AP下方其他用戶造成影響；（5）部署WLAN網(wǎng)管系統(tǒng)實(shí)時(shí)監(jiān)測網(wǎng)內(nèi)所有AC和AP，以便及時(shí)發(fā)現(xiàn)AP掉線、SSID異常等。

2結(jié)束語

伴隨企業(yè)信息化及移動(dòng)應(yīng)用的發(fā)展，無線局域網(wǎng)在各大企業(yè)中發(fā)展迅速，WLAN網(wǎng)絡(luò)最重要的兩個(gè)指標(biāo)：一是健壯穩(wěn)定，二是無線安全。只有通過嚴(yán)格規(guī)范的規(guī)劃設(shè)計(jì)，才可保證WLAN健壯穩(wěn)定；必須通過適當(dāng)?shù)陌踩呗圆渴鸷蛢?yōu)化加固，才可讓W(xué)LAN安全指標(biāo)大幅提升。相信在安全與可用的逐步融合后，WLAN必將成為企業(yè)網(wǎng)趨勢。

參考文獻(xiàn)

[1] （美）Doyle，J.&J.Carroll.TCP/IP路由技術(shù)葛建立[M].吳劍章譯.北京：人民郵電出版社，2013.

[2] 高峰，李盼星，楊文良，潘翔，王靜.HCNA-WLAN學(xué)習(xí)指南[M].北京：人民郵電出版社，2016.

[3] （美）Diane Teare. CCNP ROUTE. （642-902）學(xué)習(xí)指南.袁國忠譯[M].北京：人民郵電出版社，2011.endprint