WLAN項目整體規劃

網絡設計原則

WLAN辦公網絡設計應該注重簡單可靠、易部署、易維護，通常遵循如下四項原則。

1.安全性原則：WLAN網絡作為開放性的無線接入網絡，在網絡建設規劃時需注重對用戶的安全性及網絡的安全性的考慮。

2.可靠性原則：WLAN網絡需保證網絡的信號質量、設備的穩定運行、避免單點故障，為用戶提供可靠的WLAN無線接入業務。

3.易維護性原則：WLAN網絡系統的設備應方便管理，易于維護，便于進行系統配置，具備可統一的監控設備參數、數據流量、系統性能等，并可以進行遠程管理和故障診斷。

4.可擴展性原則：WLAN系統設備不但要滿足當前需要，并且網絡的擴展性方面要滿足可預見將來的需求，如帶寬和設備的擴展、應用的擴展和辦公地點的擴展等，保證建設完成后的系統在向新的技術升級時，能保護已有的投資。

“瘦AP”架構方案

為遵循上述四項原則，公司決定采用基于控制器（AC）的“瘦AP”架構（即AC+AP模式），該模式與傳統的獨立AP架構相比具有以下幾點優勢。

1.AP零配置接入，AC實施統一管理：一臺AC實現對內網所有AP的統一管理與控制，AC自動對AP下發配置，實現AP零配置接入，即插即用，減少人力成本投入。AC獲取各AP位置，實時動態調整各相鄰AP發射功率，以此減少AP間相互干擾，讓無線網絡處于最優狀態。AC支持建筑圖紙導入并提供實時的AP狀態信息、各接入無線終端的信號強度數據、AP的各類日志信息、數據統計信息等，助力網絡維護人員實時了解網絡現狀，并在發現問題時快速定位并解決故障。

2.無縫漫游，全網覆蓋任意行：AC管控各相鄰AP間漫游閾值，并讀取STA（無線終端）信號強度，讓STA在相鄰AP間實現無縫漫游。無縫漫游技術讓全網網絡實現蜂窩覆蓋，解決無線終端在移動中網速慢、或者頻繁掉線、登錄問題。

3.負載均衡，網絡快速可靠又穩定：AC管控各相鄰AP的帶機量，基于STA的負載均衡能平衡各AP接入負載壓力，又能有效解決因某STA距AP較遠而導致整個網絡速率下降的問題，保障無線網絡的高效性、可靠性和穩定性。

4.部署方式靈活，樣式簡約時尚：吸頂式AP、墻插式AP、壁掛式AP、桌面型AP，其外觀或美觀大氣，或簡約時尚，或小巧靈活，占用空間少，能與企業辦公環境完美結合，給用戶帶來整體的科技與美感享受。

圖1 WLAN網絡部署架構圖

5.辦公網隔離：對服務區進行合理劃分，員工、客戶網進行邏輯隔離，確保角色不同訪問權限也不同，保障網絡內部數據信息安全。還可采用多種加密認證方式、MAC黑白名單、VLAN劃分等，網絡安全有保障。

經過測試和對比，公司選擇了華為的WLAN網絡解決方案，此次部署涉及到的設備如表1所示。

其中，普通無線接入AP用于一般辦公地點使用；高密無線接入AP供會議室、會客室等人員密度較大的地點使用；POE交換機供AP接入使用，提供端口供電和數據轉發的功能。

表1 WLAN網絡所需設備信息

網絡部署規劃

根據公司的實際網絡環境，實際部署WLAN網絡前所做的規劃如下。

1.WLAN網絡部署架構規劃

為規避網絡架構調整所帶來的風險，根據項目的實際情況，擬采用集中轉發的模式搭建無線覆蓋網絡，無線數據流量統一在AC上做認證、管控和轉發。AC和Agile Controller均統一部署在數據中心機房，其中AC以旁路部署的方式接入核心交換機，Agile Controller服務器以普通服務器方式接入即可。AP通過POE交換機部署到各個覆蓋場景，結合實際辦公環境，確定每個AP的部署位置。根據部署情況，WLAN網絡從邏輯結構上可以分為終端接入側、數據通信網、無線管控平臺三大塊（如圖1）。

（1）終端接入側

采用瘦AP方式進行部署，AP全部吊裝在天花板上。AP型號選擇華為AP4030DN和AP5030DN室內吊裝型產品，分別用于普通辦公場所和高密辦公場所，這兩款AP均支持802.11a/b/g/n/ac等 標準，自動射頻調優，可以滿足全范圍覆蓋和無縫漫游的需求，減少同頻干擾，提高無線接入的客戶體驗度。

（2）數據承載網絡

采用公司原有的思科千兆POE交換機完成接入，通過POE方式對AP供電，交換機通過GE光纖鏈路上行連接到核心交換機。

（3）無線管控平臺

項目中采用華為AC6605控制器作為無線AP的控制、維護以及流量轉發的設備，實現對全網AP的自動配置下發、射頻管理、信道分配等統一的管理和安全接入控制，讓網絡管理人員可以輕松管理辦公樓無線網絡。同時，使用華為Agile Controller進行用戶的安全策略控制，提供用戶管理、準入控制、訪客管理等功能，實現基于用戶組的管理和授權策略。

2.SSID規劃

針對公司實際用戶情況，擬劃分兩個SSID分別供兩類用戶使用，其中“employee”供公司內部員工使用，“guest”供外部訪客使用。用戶需要根據自己的身份連接對應的SSID，然后再使用無線。

3.無線漫游規劃

漫游是指用戶在部署了無線網絡的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認證。實現無線漫游功能后，用戶在公司各辦公樓層移動，無線終端均會透明自動地進行AP切換，保證無線網絡的連續性。

4.無線頻段規劃

現行WiFi使用的頻段包括2.4GHz和5GHz兩種，2.4G頻段傳輸速率低，容易受到其他干擾源的干擾；5G頻段傳輸速率高，不易受到干擾。現在大多數無線終端都已支持5G頻段，只有少部分老舊無線終端僅支持2.4G頻段。為保證無線用戶的上網體驗，同時兼顧老舊終端對2.4GHz的兼容性，本項目采用5G和2.4G雙頻段并行的方式，如果接入終端支持5G，則優先使用5G頻段；反之，則使用2.4G頻段。

5.用戶認證方式規劃

本項目采用Agile Controller提供的Portal認證功能來實現用戶的實名制上網。用戶賬號和密碼由管理員在后臺創建，分為內部員工和訪客兩個角色；內部員工賬號采用工號，訪客賬號采用手機號，可以通過后臺批量導入功能創建賬號。用戶無線終端接入對應的SSID后，打開瀏覽器，輸入任意一個網址，即可彈出Portal認證頁面，按照頁面提示輸入合法用戶名和密碼后，點擊“登錄”，即可接入無線網絡。用戶首次登錄，必須修改默認密碼，修改完成后，才可正常接入，避免用戶使用默認密碼導致賬號被盜用。

6.用戶訪問控制策略規劃

本項目采用Agile Controller + AC實現內部員工和訪客兩種角色的資源訪問控制權限。內部員工接入后，可以訪問內網+外網；訪客接入后，僅可以訪問外網。每個用戶僅可以同時使用一個移動終端上網。如果單用戶使用終端數量超過一臺，超出終端將會自動下線。后期如果有其他策略要求，可靈活針對IP進行調整。

表2 無線IP規劃表

7.用戶及設備IP規劃

為了實現用戶無線上網以及無線設備的管理，需要為接入的無線終端和無線AP等設備分配IP地址，結合公司實際情況，擬按照劃分管理VLAN和業務VLAN的方式進行部署，其中管理VLAN內AP的IP地址分配由AC負責，業務VLAN中的內部用戶VLAN和訪客VLAN的IP分配由公司DHCP服務器負責，具體如表2所示。

8.分支機構無線部署

公司在外地有一些分支機構，這些機構與公司之間通過租用的運營商專線進行連接。只要公司與分支機構之間路由可達，就可以將分支機構納入WLAN網絡的統一部署中。分支機構部署的AP只需要在公司AC上進行注冊，即可接受AC和Agile Controller服務器的統一管理，包括自動配置下發、用戶認證授權、訪問控制策略下發等，與本地化部署效果完全一致。