企業無線網絡優化與安全策略實踐

張寶辰 天津市天河計算機技術有限公司

前言：無線網絡為企業帶來了更加便捷的辦公方式，相較傳統有線網絡，無線網絡部署簡單，不需要大規模布線，能夠快速重建，網絡擴展相對簡單。隨著無線網絡在企業中的普及，越來越多的網絡和安全問題也漸漸呈現。 如何保障無線網的穩定和高效的運行，如何防止未授權用戶的非法入侵等等，也成為網絡運維人員首先考慮和解決的問題。

1 企業無線辦公網絡需求分析

1.1 企業無線網現狀

目前企業無線網絡采用AC+ FIT AP（無線控制器+無線接入點）的部署方式，終端通過連接 WLAN（ Wireless Local Area Networks）訪問內部辦公網絡和互聯網， 為企業提供了良好的移動辦公網絡。 但在使用一段時間后出現網絡延時高、丟包等問題，部分辦公區域無線信號較差，終端偶爾會掉線，影響正常辦公。 企業經常有來賓出入，同樣會接入WLAN并且未進行權限分級，能夠訪問辦公網資源，存在安全隱患。

1.2 需求分析

1.2.1 無線網絡覆蓋、傳輸速率保障

對辦公區域實現100%信號覆蓋無死角，移動終端實現無縫漫游。保證辦公內網具備良好的傳輸速度，以及互聯網的流暢訪問，不出現嚴重卡頓和丟包問題。

1.2.2 終端認證，用戶分級

終端連接WLAN采用安全認證機制，對數據傳輸進行加密，保證網絡和數據安全性。對企業員工和來訪人員進行用戶分級，嚴格管控無線網訪問權限，防止外來人員非法接入。

2 無線網絡優化方案

2.1 負載均衡、自動功率和信道調整

配置負載均衡功能，達到AP之間終端數量的均衡連接目的，使終端能夠自動接入最優的AP，同時AP本機的終端接入數量能夠自行管控，把信號較差的終端剔除并連接到其余的AP。

設置AP信道模式為auto，并配置AP射頻功率自動調整，這樣能夠防止AP間無線信號的干擾，如果其中一臺AP發生宕機，其附近的AP會自動調整信道并增加射頻功率，保障AP周圍無線終端的穩定連接和WLAN信號全面覆蓋。

2.2 關閉低速率

無線網絡中不采用固定速率來傳輸報文，采用的是速率集對報文進行傳輸，比如 802.11g 支持1、2、5.5、 11、6、9、12、18、24、36、48、54 Mbps速率，終端無線網卡或AP傳輸報文時，通過動態的方式，在以上的速率集中隨機挑選一個速率來傳輸。

一般所說的802.11g能夠到達的速率，是指在單一空口信道的條件下，全部報文使用54M速率來傳輸。現實情況則是較多的Broadcast報文以及管理報文均采用最低1 Mbps的速率來傳輸，這樣將占用一些空口的資源，因此需要禁止1、2、6、9Mbps速率傳輸，提高空口利用率，降低Broadcast等報文不必要的占用。

2.3 無線用戶終端限速

企業內部會出現一些無線終端采用P2P、FTP等軟件傳輸文件的情況，當多個用戶同時進行傳輸時，可能產生較大流量峰值，影響到內部網絡中其他用戶，嚴重消耗網絡空間資源，出現上網卡頓、丟包、ping延時較大等問題。

為確保無線網絡質量，應該在AC上統一配置QOS，把無線終端的傳輸速率和帶寬限制在一個合理的范圍內，從而避免流量突發影響到無線網絡內其他終端的正常使用，保障WLAN辦公網絡穩定運行。

2.4 配置beacon報文發送間隔

每臺AP在缺省配置下發送Beacon信號的時間間隔是100毫秒，Beacon信號的作用是宣告無線網絡，并且用來與無線終端同步信息。

Beacon在所有無線報文中的優先級相對較高，采用最低速率進行傳輸，可以在AC上配置Beacon報文傳輸間隔為160ms～200ms，從而減少對空口資源的占用。

2.5 配置AP發送報文重傳次數

為了避免無線網絡信號的干擾與沖突，WLAN協議的物理層在功能設計方面已經包含了重傳機制，若達到重傳次數的上限，則會丟棄掉報文；若一臺AP發送報文未接收到目標設備ACK的回應，則AP會通過硬件來重傳。

AP的缺省配置是重傳四次，可在AC上配置重傳次數為八次，這樣能夠在WLAN異常時，提高報文成功傳輸的幾率。

3 無線網絡安全策略

3.1 ARP攻擊防護

企業內部網絡最常見的就是ARP攻擊，攻擊方式有偽造網關、偽造用戶終端和Flooding攻擊等，針對此類攻擊防范可以采用終端防護和網絡防護的方法。終端防護可以在設備上配置source MAC一致性檢測與主動確認機制等策略，同時限制網絡設備端口ARP學習數量以及ARP限速等策略，降低網絡設備被攻擊的風險。整體網絡防護可以采用IP+MAC+端口綁定、dhcp snooping+arp detection等策略，防止攻擊源偽造網關、偽造用戶終端等攻擊。

3.2 SSID隱藏和用戶分級

將企業無線辦公網和來賓網絡分別配置兩個 SSID并區分開，關閉企業WLAN的 SSID廣播功能， 這樣外來人員的無線終端將無法搜索到辦公網的 SSID， 僅能夠連接來賓專用 SSID，內部員工通過手工配置的方式，在終端上配置 SSID接入，員工和來賓分配不同網段 IP地址，并配置訪問策略，防止非法訪問。

3.3 基于mac地址認證

企業員工采用 基于MAC認證的方式接入 WLAN， MAC認證是控制終端訪問權限的一種認證方法， 不需要用戶安裝任何客戶端軟件。網絡設備在第一次偵測到終端的MAC后，立刻對此終端進行認證。在認證的時候，對于用戶來講是無感知的，無需進行鍵入賬號和密碼的操作。能夠效防止未授權的用戶無線終端接入WLAN。

結論：綜上所述，無線網絡的穩定與安全是保證現代企業正常辦公的基本條件，只有通過技術手段不斷地進行優化、調整，才能滿足企業日益增長的網絡需求。同時還要對企業員工進行相關培訓，增強網絡安全意識，采用合理的安全規范和管理手段，營造健康的辦公網絡環境。