王丹丹　王明龍

中圖分類號： TD655文獻標識碼： A 文章編號： 2095-2457（2019）28-0083-002

DOI：10.19694/j.cnki.issn2095-2457.2019.28.033

第三代無線局域網(wǎng)采用無線交換機和FIT AP的架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功能有了重新的區(qū)分，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，而且增添了許多新的重要功能，例如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos。使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。

1 平煤集團辦公區(qū)無線網(wǎng)絡(luò)項目建設(shè)需求

平煤集團辦公區(qū)通過部署無線網(wǎng)絡(luò)，需要實現(xiàn)以下需求：

通過對辦公區(qū)進行無線的部署實現(xiàn)無線覆蓋，每個區(qū)域無縫隙實現(xiàn)有效的WLAN覆蓋。因此可以達到在辦公區(qū)任何區(qū)域內(nèi)，無需使用網(wǎng)線即可方便的訪問企業(yè)的WLAN業(yè)務(wù)網(wǎng)絡(luò)，而且無線終端可以不受限制的接入到網(wǎng)絡(luò)中，便于隨時隨地的辦公。部署無線網(wǎng)絡(luò)覆蓋安裝維護簡便，移動性高，費用低廉的無線聯(lián)網(wǎng)方式。

2 網(wǎng)絡(luò)建設(shè)方案

根據(jù)目前平煤集團辦公區(qū)的規(guī)模和網(wǎng)絡(luò)狀況，設(shè)計采用無線控制器（AC）和瘦AP（FIT AP）結(jié)合的組網(wǎng)方式。通過無線控制器將用戶管理、加密、漫游、AP管理等功能全部集中到一起進行，瘦AP實現(xiàn)無線信號的處理，這樣可以簡化整個網(wǎng)絡(luò)的管理，提高設(shè)備的工作效率。AP的供電采用POE供電，這樣可以簡化布線，同時減少故障點，提高網(wǎng)絡(luò)的可靠性。

2.1 平煤集團辦公區(qū)無線網(wǎng)絡(luò)方案

平煤集團辦公區(qū)主要分為以下幾大區(qū)域：

室內(nèi)辦公區(qū)：辦公區(qū)域是主要的覆蓋區(qū)域，可以為員工提供辦公網(wǎng)絡(luò)接入。

會議室：會議室區(qū)域主要供日常會議無線終端接入，人員密集度較大，為覆蓋難點。

室外區(qū)域：室內(nèi)到室外無線過度為室外區(qū)域，室外無線要求無線AP能耐潮耐高溫耐低溫，對設(shè)備可靠穩(wěn)定度有較高的要求，同時由于其作為室外大區(qū)域的無線覆蓋，因此要求無線AP有足夠且合理的無線發(fā)射功率。

如圖1所示，在核心交換機上部署無線控制器WX3540H來實現(xiàn)無線AP的控制，WX3540H無線控制器連接到平煤集團現(xiàn)網(wǎng)核心交換機，接入交換機部署11AC產(chǎn)品WA4300及11AC室內(nèi)X分產(chǎn)品WA4320i-X，辦公人員通過WA4300或WA4320i-X連接到企業(yè)的WLAN網(wǎng)絡(luò)中與后臺系統(tǒng)通信。

無線控制器在網(wǎng)絡(luò)中起到如下幾個作用：

（1）作為無線控制器，對FIT AP（WA4300、WA4320i-X）進行統(tǒng)一的智能管理。

（2）通過無線控制器AC，可以實現(xiàn)快速的AP二、三層漫游。

（3）智能AP負載分擔。

（4）端到端的QoS。

FIT AP組網(wǎng)最大的優(yōu)點在于AP本身零配置，AP上電后會自動從無線控制器下載軟件版本和配置文件，同時無線控制器會自動調(diào)節(jié)AP的工作信道以及發(fā)射功率。另外，通過無線控制器的RF掃描探測熱點地區(qū)Rouge AP，可以及時排除其他AP存在的干擾，保障AP的穩(wěn)定運行。在網(wǎng)絡(luò)管理方面，網(wǎng)管可以只通過管理無線控制器設(shè)備就可以達到控制AP的效果，最大程度的減少了無線網(wǎng)絡(luò)后期維護和管理的工作量。

使用無線控制器+FIT AP時，AP在啟動后會自動通過DHCP方式獲取IP地址，并自動搜尋可關(guān)聯(lián)的無線控制器，在與無線控制器建立CAPWAP隧道之后會自動從無線控制器下載配置文件和更新軟件版本。

在AP的接入方面，它擁有智能射頻管理，當其中一個AP出現(xiàn)故障時，附近其他的AP會自動調(diào)整功率，對該部分區(qū)域進行重新的信號覆蓋，從而保證信號的良好覆蓋。而當有非法AP進入無線網(wǎng)絡(luò)造成信號干擾時，它的智能射頻管理系統(tǒng)可以定位出該AP的位置，以便盡快排除。

無線控制器可以設(shè)定AP間對接入用戶進行負載分擔，當無線控制器發(fā)現(xiàn)AP的負載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負載較輕的AP。如圖所示。

2.2 安全認證設(shè)計

網(wǎng)絡(luò)安全的要求：保證內(nèi)部網(wǎng)絡(luò)安全是業(yè)務(wù)能夠正常運行的關(guān)鍵，為了保證內(nèi)網(wǎng)用戶接入網(wǎng)絡(luò)的安全性，可以通過以下方式完成對內(nèi)網(wǎng)用戶的接入訪問：

接入安全。

接入網(wǎng)絡(luò)直接面向各類終端，存在安全隱患較大，可能存在諸如：ARP攻擊、非法DHCP服務(wù)器、網(wǎng)絡(luò)環(huán)路、非法訪問等安全問題，本次設(shè)計也針對這些安全因素做合理設(shè)計。

ARP攻擊：ARP是基于二層網(wǎng)路攻擊的報文，若要對ARP欺騙攻擊進行徹底防御，需要著手于在接入層交換機就進行安全防護配置。 可以在接入設(shè)備開啟ARP過濾功能，對非法的網(wǎng)關(guān)ARP報文進行過濾。

非法DHCP服務(wù)器：接入用戶私接設(shè)備（如：家用有線/無線路由器、家用交換機等）很容易導(dǎo)致非法DHCP服務(wù)器接入網(wǎng)絡(luò)影響其它用戶正常上網(wǎng)。 而DHCP報文同ARP報文皆工作于二層網(wǎng)絡(luò)，安全防范需從接入層交換機做起?？梢栽诮尤虢粨Q機配置DHCP保護完成對DHCP非法報文的攔截。

網(wǎng)絡(luò)環(huán)路控制：網(wǎng)絡(luò)環(huán)路可以存在各層網(wǎng)絡(luò)，接入?yún)R聚核心間的網(wǎng)絡(luò)環(huán)路可以通過生成樹或環(huán)路檢測功能消除。但接入層交換機的環(huán)路設(shè)計可以通過端口環(huán)路檢測來消除，并且開啟接入交換機環(huán)路檢測功能還可以防止私接的家用設(shè)備上的環(huán)路，有效阻止環(huán)路風(fēng)暴擴散到上層網(wǎng)絡(luò)。

訪問安全控制：考慮到內(nèi)網(wǎng)的安全接入問題，對每個用戶進行接入控制，用戶首次連接網(wǎng)絡(luò)會強制要求自助注冊賬戶，注冊后需要對應(yīng)部門領(lǐng)導(dǎo)進行審批通過后，才能正常使用網(wǎng)絡(luò)資源。首次用戶接入需要用戶填登錄賬戶及密碼，后期可采用無感知認證免去登陸驗證的麻煩，該認證采用“賬戶+MAC+其它”進行綁定的方式保證安全。認證業(yè)務(wù)涉及如圖3。

認證流程如圖4。

3 應(yīng)用效果

不管室內(nèi)還是室外，全方位的覆蓋規(guī)劃都是一件非常有挑戰(zhàn)的工作。無線網(wǎng)絡(luò)規(guī)劃設(shè)計參照經(jīng)驗進行設(shè)計，與現(xiàn)網(wǎng)環(huán)境有機結(jié)合，不但有科學(xué)的依據(jù)，準確率也很高，且規(guī)劃效率高。精細的覆蓋規(guī)劃能充分發(fā)揮WLAN的性能，并且也給后期維護優(yōu)化減小工作量，減少后期成本。

4 結(jié)語

根據(jù)目前平煤集團辦公區(qū)的網(wǎng)絡(luò)狀況和規(guī)模，通過采用無線控制器（AC）+瘦AP（FIT AP）的組網(wǎng)方式，瘦AP實現(xiàn)無線信號的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進行，這樣可以簡化整個網(wǎng)絡(luò)的管理，提高設(shè)備的工作效率。AP的供電采用POE供電，這樣可以簡化布線，同時減少故障點，提高網(wǎng)絡(luò)的可靠性。該項目主要完成對平煤集團室內(nèi)室外辦公區(qū)進行WLAN無線系統(tǒng)的建設(shè)，以此提高辦公人員工作效率。