企業WLAN規劃設計要點探討

王飛+李文+羅俊元

摘 要 本文通過對企業WLAN規劃設計時覆蓋規劃、信道規劃、組網設計、安全設計等要點進行分析，講述了WLAN規劃設計時需重點關注的環節，并推薦了一個在企業網中部署WLAN的解決方案。

關鍵詞 WLAN CAPWAP 隧道轉發

中圖分類號：N925.93 文獻標識碼：A

0引言

伴隨筆記本、平板、手機等移動終端的普及，移動應用、移動辦公等需求日漸強烈，辦公場所無線覆蓋已成為各大企業網絡建設必需考慮的事情。無線局域網（WLAN）的安全與可靠，是企業考慮是否投資無線覆蓋建設關鍵所在，只有做好了WLAN規劃設計，才能建成安全好用的無線局域網。

1 WLAN發展現狀

無線局域網技術采用IEEE802.11系列標準，由Wi-Fi聯盟推廣發展。自1999年9月發布IEEE 802.11a/b標準以來，無線局域網技術一直發展緩慢，各大廠商投入市場的設備產品型號很少。2009年9月IEEE 802.11n標準發布，理論速率可達600Mbit/s，自此各主流廠商開始爭相開發WLAN產品。2013年12月IEEE 802.11ac標準發布，理論速率達到6.933Gbit/s。也就是在2013年前后，伴隨信息化迅猛發展，各企事業單位、酒店、校園等開始大規模投資WLAN建設，發展便捷網絡實現移動辦公。

1.1 WLAN覆蓋規劃

WLAN覆蓋部署主要有三種：（1）室內放裝部署；（2）室內分布式部署；（3）室外型部署。室內放裝部署一般適用于覆蓋區域較小的場景，如酒店會議室、休閑場所、辦公樓等，帶寬高易部署；室內分布式部署一般適用于覆蓋面積較大，用戶密度低的場景，如酒店房間、宿舍樓等，帶寬需求不高；室外型部署一般適用于室外較分散區域，如公園、校園園區等，部署簡單且成本低。企業WLAN屬高密度、高帶寬需求場所，樓宇內部一般采用室內放裝型AP（自帶全向天線）吸頂或壁掛安裝，室外園區一般采用室外型AP并配置定向或全向天線。

1.2 WLAN信道規劃

WLAN信道建議采用2.4GHz和5GHz雙頻覆蓋設計，要合理規劃頻點，避免同頻干擾，降低臨頻干擾。2.4GHz頻段信號穿透力強，但干擾源較多，支持802.11b/g/n，主要用于解決部分無線網卡不支持5GHz頻段的終端接入，可使用頻點1、6、11（20MHz容量）。5GHz信號穿透力弱，但可有效避免現場環境中復雜電磁干擾，支持802.11a/n/ac，綁定使用40MHz或80MHz容量以提升接入帶寬。可使用5.8GHz頻段的149/153/157/161綁定信道；若AC及AP支持5.2GHz頻段，亦可使用36/40/44/48、52/56/60/64綁定信道（注：每個頻點容量20MHz，其中52、56、60、64為雷達信道，禁止室外使用）。

2.4GHz和5GHz雙頻交叉復用，并設置5GHz優先接入。采用802.11n/ac標準以提升接入速率（802.11n后向兼容802.11a/g，2009年后生產的無線網卡基本都支持802.11n，802.11a/b/g網卡早已停產），使用多入多出（MIMO）、信道綁定、短GI等技術，2.4GHz頻段802.11n可實現最大接入速率144.4Mbit/s，5GHz頻段802.11n可實現最大接入速率600Mbit/s（40MHz帶寬，4€？ MIMO），5GHz頻段802.11ac可實現接入速率1.3Gbit/s（80MHz帶寬，4€？MIMO）。信道規劃時，建議采用蜂窩結構組網，避免同頻干擾。

1.3 WLAN組網設計

WLAN組網設計時，因無線網絡一般是后期在現有網絡擴展而來，為不影響現網結構一般采用旁掛式組網，將AC旁掛在AP與上行網絡的直連網絡上。AP與AC之間組網方式，分為二層組網和三層組網兩種方式：（1）二層組網即AP與AC之間為二層網絡，簡單但不適合大型網絡；（2）三層組網即AP與AC間為三層網絡，適合大型復雜組網。在企業網中推薦使用三層旁掛式組網，便于隔離廣播且不會改變現有網絡結構，適合復雜的上下級及分支機構網絡。

在建設較好的企業網中，匯聚設備一般都支持萬兆接口。性能稍好的AC也支持萬兆平臺，有較強的交換轉發能力，可支持管理AP數量在512以上。因此，為注重安全性且便于層次化管理，推薦業務數據采用隧道轉發，三層旁掛式組網。

一般規模企業WLAN部署建議：（1）配置2臺AC采用主備模式實現雙鏈路備份；（2）AP管理地址手動靜態配置（防止主備AC自動分配AP地址出現IP沖突，造成AP無法管理以致業務中斷）；（3）用戶IP通過在AC上建立DHCP地址池自動分配地址；（4）配置AP接入用戶負載均衡，避免同一區域內某個AP負載過大。

1.4 WLAN安全設計

WLAN網絡設計時必須考慮無線安全，WLAN網絡中存在安全威脅較多，如：（1）未經授權使用網絡服務；（2）非法AP；（3）數據被竊聽、篡改；（4）拒絕服務攻擊等。

WLAN威脅防范主要通過認證技術和加密技術解決授權和數據安全問題，通過WIDS/WIPS解決非法AP和拒絕服務攻擊問題：（1）企業網中推薦使用WPA2+802.1X認證技術，結合CCMP加密技術實現授權安全和數據安全，通過802.1X實現認證審計；（2）部署WIDS/WIPS對流氓設備檢測識別并防范反制（主要包括干擾AP、非法AP、非法終端、非法Ad-hoc、非法網橋等），使用白名單對AP進行SN號綁定或MAC綁定，使用黑名單禁止非法AP或非法終端接入；（3）隱藏服務集SSID信號，不進行廣播，降低偽造應答接入及被竊聽可能性；（4）在AP連接交換機接口部署端口隔離，防止威脅終端接入對AP下方其他用戶造成影響；（5）部署WLAN網管系統實時監測網內所有AC和AP，以便及時發現AP掉線、SSID異常等。

2結束語

伴隨企業信息化及移動應用的發展，無線局域網在各大企業中發展迅速，WLAN網絡最重要的兩個指標：一是健壯穩定，二是無線安全。只有通過嚴格規范的規劃設計，才可保證WLAN健壯穩定；必須通過適當的安全策略部署和優化加固，才可讓WLAN安全指標大幅提升。相信在安全與可用的逐步融合后，WLAN必將成為企業網趨勢。

參考文獻

[1] （美）Doyle，J.&J.Carroll.TCP/IP路由技術葛建立[M].吳劍章譯.北京：人民郵電出版社，2013.

[2] 高峰，李盼星，楊文良，潘翔，王靜.HCNA-WLAN學習指南[M].北京：人民郵電出版社，2016.

[3] （美）Diane Teare. CCNP ROUTE. （642-902）學習指南.袁國忠譯[M].北京：人民郵電出版社，2011.endprint