基于“無線控制器+FITAP”解決方案的無線局域網設計與實現

謝豐 任兆鵬 丁煒 馬艷

摘要：對中型機關事業單位無線網絡連接及使用狀況進行分析，針對個人及業務使用中無線網絡連接主要通過個人插接無線路由器入單位業務網的現狀，提出一種基于“無線控制器 + FIT AP”無線局域網建設方案，基于此方案的無線局域網建設應用后，規范了業務及個人的無線網絡連接及使用方式，有效保障了無線網絡使用速率，同時也使得無線局域網絡安全得到了有效保障。

關鍵詞：無線局域網；無線控制器 + FIT AP；無線網絡安全；無線準入管理；智能終端接入組件（EIA）

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）10-0045-03

開放科學（資源服務）標識碼（OSID）：

隨著自動化辦公信息技術的不斷發展和無線終端設備的應用普及，移動辦公的需求日益增長，而有線網絡無法滿足移動辦公需求。隨著依托無線網絡進行的業務種類的增加，青島市氣象局主要辦公區域內無線終端用戶需要隨時隨地的獲取網絡提供的各種數據資料及業務文件，而由用戶個人使用無線終端設備接入單位業務有線網絡進行連接，無法保障無線連接質量，同時也無法保障在無線使用過程中，可能存在的對業務網絡的安全威脅，這就需要組建一個高效、安全、可靠、穩定的無線網絡以滿足實現移動辦公的需求。

1 建設目標

此次無線網絡建設是在青島市氣象局現有有線網絡基礎上進行無線網絡擴充，基本目標是實現青島市氣象局辦公區域無線網絡覆蓋，在方案設計上擬采用高性能、易管理、高可靠、可擴展的無線接入設備及網絡組網方案，再結合終端準入管理設備進行無線接入終端的身份認證、訪問策略控制等，為無線終端用戶提供高效、安全的無線接入服務。

無線設計方案從以下幾個方面進行考慮，首先是高安全，由于無線網絡使用比有線網絡更加不好進行網絡安全管控，所以需建設無線網絡終端準入安全體系，滿足用戶接入安全、身份識別、以及訪問控制、溯源查詢的信息安全需求；然后是高性能，前端無線設備需支持802.11ac協議，提供空間雙流無線傳輸速率及整機的千兆接入能力，并且滿足足夠數量的終端接入需求；還需要考慮到易于管理，前端無線設需備支持以太網（POE）供電，無線網絡設備需能夠集中進行配置與維護；在高可靠性及可擴展性方面，無線網絡整體設計應考慮核心設備采用雙機部署方式，配置冗余電源，出現故障時在不影響有線網絡正常使用，且不改變主體架構的前提下，平滑實現升級和擴充，降低原有網絡的硬件投資。

2 無線組網方案對比

在“自治型無線接入點FAT AP”組網方案中，其管理只存在于自身，沒有全局統一管理方式，也沒有對無線鏈路及無線用戶的監測與管理；在安全性方面，安全策略較少且也只局限于針對其自身，無法滿足大規模無線網絡安全策略經常性批量配置和下發的需要，相應地也就無法支撐無線網絡環境的安全保障；在認證方面，FAT AP的認證也存在自身局限性且無法達到經常性更新的認證需求，認證后策略無法進行二次部署；從設備自身安全性來看，FAT AP本身保存全部配置，很容易經過串口或網絡口登錄獲取無線網絡的相關信息，從而威脅整個無線及有線網絡環境，是大規模部署無線網絡的巨大隱患；從全網漫游角度考量，由于所有管理與配置存在于自身，其下聯用戶的IP地址須歸屬于其直連的以太網交換機端口VLAN和網段地址規劃，無線用戶跨越FAT AP進入不同的網段時IP地址需重新進行請求和認證，網絡訪問必然中斷，無法支持跨網段全網漫游，且一旦進行大規模部署，還必然打亂原有線網絡IP地址及VLAN規劃，給網絡運維帶來不必要的壓力。

在“無線控制器（AC）+FIT AP”組網方案中，設備管理權限集中于無線控制器，通過無線控制器實現對全網無線設備進行批量配置、升級進行統一管理；所有用戶和FIT AP的安全策略，全部存儲于無線控制器，整體安全策略的部署相對容易；在認證方面，對無線控制器（AC）認證，配合后臺的Radius系統，能夠靈活定義、部署和更改認證策略；在FIT AP產品自身安全性方面，其本身不保存配置，所有配置都存在于無線控制器，非法用戶無法通過AP登錄更改配置，杜絕了無線網絡入侵可能性；無線用戶的IP地址、認證、加密操作都是基于無線控制器，無線用戶身處無線網絡的任何位置，從哪一個AP進入，理論上都是訪問同一個（或同一組）無線交換機/控制器，會連續性保持其原有的IP地址、連接信息、認證及加密信息等，從而實現跨網段全網漫游。

綜合以上幾點，“無線控制器（AC）+FIT AP”（瘦AP）解決方案，對比傳統的“自治型無線接入點FAT AP”（胖AP）解決方案，在全局統一管理、安全、認證、以及設備自身安全和全網漫游等幾個方面優勢非常明顯，最終選定以“無線控制器（AC）+FIT AP”解決方案為基礎進行青島市氣象局無線局域網設計。

3 無線局域網設計方案

3.1 無線局域網建設范圍

本次無線網絡建設涉及預報網絡辦公樓、業務辦公樓、行政樓和探測業務樓、閱覽室，建設完成后基本能夠實現氣象局辦公區域無線覆蓋，初步規劃無線AP安裝點位為：預報網絡辦公樓1到3層為主要業務工作層，每層布設兩臺AP，4、5樓主要為日常辦公區域，每層布設一臺AP；業務中心樓1、2層為業務密集區域，負1層食堂信號稍弱，故每層布設兩臺AP，3、4樓為日常辦公區域，每層布設一臺；行政樓1至4層每層布設兩臺AP，滿足行政日常工作需求，負一層布設一臺，滿足行政值班人員需求；探測業務樓兩層每層布設兩臺，滿足業務人員工作需求。全局共計需布設30臺無線AP。

3.2 無線局域網結構設計及拓撲

兩臺無線控制器旁路部署于核心交換機，配置為雙機熱備模式，可實現在任意一臺無線控制器出現故障時，管理的無線AP毫秒級切換，保障無線網絡不中斷。無線AP采用吸頂安裝方式，安裝于各辦公區域走廊天花吊頂下，通過POE供電模塊連接到各辦公區域接入交換機，既可以實現AP供電，又能夠進行網絡數據傳輸，POE供電模塊可統一安裝于各辦公區域匯聚機房。

網管平臺部署于中心機房服務器中，既可以實現對有線、無線網絡設備的集中管理與監控，又可以實現對無線接入用戶進行統一的認證管理。

3.3 無線局域網具體組網方式

采用“FIT AP+無線控制器”方式組網，硬件主要由CPU+內存+RF構成，配置及軟件都從無線控制器上下載，所有AP和無線客戶端的管理都在無線控制器上集中完成；AP和無線控制器之間的流量通過私有協議加密，客戶端MAC只出現在無線控制器端口而不會出現在AP端口，保障了無線網絡使用安全；無線局域網采用集中轉發配置模式，所有無線流量均通過無線控制器統一處理，從而實現無線網絡漫游及集中管理；FIT AP通過POE模式供電，用一條網線連接AP即可實現數據信號傳輸及設備供電需要，在實施過程中簡化施工難度。

在無線控制器上開啟無線設備管理地址DHCP服務，AP通過DHCP服務器從無線控制器獲取其管理IP地址，發送二層廣播發現請求至無線控制器，無線控制器響應AP發送的廣播請求，確認接入權限，AP再從無線控制器下載最新的軟件版本及配置，進行注冊并上線使用，AP采用二層方式注冊到無線控制器，上線、注冊過程如下圖所示：

3.4 無線配置規劃及優化

無線網絡中AP管理地址配置于無線控制器，采用DHCP方式自動下發，無線終端地址配置于業務網核心交換機，由于無線中斷連接時無線服務向外廣播SSID，故選用單獨業務地址段，以減少無線網絡廣播包對有線網絡的影響。無線服務配置為二層漫游方式，能夠實現終端一次接入，在無線覆蓋區域內無須再次進行連接登陸，有力提升了用戶接入體驗。在此基礎上采用WPA2模式密碼認證接入，可有效保障無線接入數據的傳輸安全。

從優化廣播報文發送機制來看，同一無線業務VLAN間廣播、組播報文會向所有該VLAN的AP進行廣播，且由于空間介質中廣播報文通常使用最低速率進行發送，故報文較多即會占用較多空口資源，影響整個網絡應用。采用對無線終端進行二層隔離方式，使無線控制器控制用戶只能訪問網關設備，相互之間不能訪問，可以大量減少整個WLAN網絡的廣播流量，提升WLAN網絡的整體性能。

從優化無線功率方面來看，根據實際業務需求，為了提高覆蓋信號質量通常需部署相應數量AP，造成覆蓋范圍出現重疊，AP之間互相可見，如果所有AP又都工作在相同信道，則只能共享一個信道的頻率資源，也將導致整個WLAN網絡性能降低。可通過調整AP發射功率，為每個AP射頻口手工配置信道，降低信號重疊造成的無線帶寬損失，通過對無線信道進行優化來加強信道頻譜資源復用率，從而降低AP之間可見度，提高WLAN網絡整體性能。

從優化客戶端工作頻段考慮，實際應用中部分客戶端只能工作在2.4GHz，而部分客戶端可以同時支持2.4GHz和5GHz兩個頻段，此時支持雙頻的客戶端也都工作在2.4GHz頻段上，會導致2.4GHz頻段過載，而5GHz射頻相對空余的情況。在這種情況下，開啟設備頻譜導航功能可以將支持雙頻工作的客戶端優先接入5GHz射頻，使得兩個頻段上的客戶端數量相對均衡，從而提高WLAN整網性能。

4 無線準入管理

無線接入方式作為有線接入的補充，雖然擴展了網絡覆蓋范圍，但是也增加了網絡邊界的風險。傳統的針對無線終端設備準入的方式是通過密碼、手工MAC綁定、隱藏SSID等方式實現。在實際使用過程中，無線密碼容易公開，而且能夠被惡意破解或修改；手工MAC地址綁定過程復雜，維護難度較大。此外，對于臨時訪客無線終端設備很難進行有效的準入管理，難以實現基于用戶身份的登錄信息記錄，無法滿足信息安全要求，無線網絡成為網絡安全中一大隱患。

針對上述問題，結合我局實施需求及網絡環境，選定通過網管平臺終端智能接入組件（EIA）實現對我局內部人員、外單位臨時用戶進行無線網絡準入管理?？商峁┙y一的網絡接入策略，實現網絡（有線、無線和 VPN 網絡）的統一接入管理；并提供對局我內部工作人員、外單位臨時用戶、設備管理員等基于角色、類型、接入時間地點的網絡訪問控制策略，滿足我局多種網絡、多種終端接入的統一運維管理需求，確保終端安全策略在整個網絡無縫地執行。

4.1 內部人員準入方式

我局內部人員無線終端設備準入通過Portal無感知認證方式進行，在終端設備首次接入時，用戶連接WLAN網絡SSID，通過DHCP服務器獲取IP地址信息。

無線控制器監控用戶上網流量達到閾值，向MAC綁定服務發起MAC 查詢請求并得到返回結果，無線控制器再按照正常Portal認證流程向終端重新定向Portal認證頁面，此時用戶輸入用戶名、密碼發起認證，認證成功后接入無線網絡環境。

4.2 外單位臨時用戶準入方式

臨時用戶準入主要實現對臨時外來訪客用戶接入網絡進行身份記錄，并能夠通過該記錄查詢到接入終端的真實身份，實現溯源查詢，從而降低網絡風險，提高網絡安全性。在對外單位臨時用戶的管理上，終端智能接入組件能夠提供微信、短信兩種針對臨時訪客的準入策略。

以短信方式認證是相對傳統的認證方式，相比于微信認證，其前期部署成本相對低廉，但每次認證都需要給訪客發送短信。

短信認證步驟如下圖所示：

以微信方式認證需要與微信公眾平臺對接開發，故而需要更多的前期投入，但此方式也能更加高效達成臨時用戶準入管理。

微信認證分為以下幾個步驟：

1）關注公眾賬號

2）訪客收到微信推送的廣告后，點擊查看

3）IMC自動綁定IP/MAC地址，訪客即可訪問互聯網，通過與微信平臺服務器聯動，可在管理后臺查詢到登陸使用的微信賬號（該功能需要與微信平臺對接開發）。

通過基于智能終端接入組件（EIA）實現的無線準入管理功能，實現了無線網絡統一接入管理，結合我局局域網安全建設中部署的防火墻及入侵檢測系統等安全設備，對局我內部工作人員、外單位臨時用戶、設備管理員等基于不同角色、設備類型、接入時間地點進行了細化的網絡訪問控制，有效提升了我局無線網絡安全的保障能力。

5 結語

通過此次我局的無線局域網建設，使得無線網絡在業務中的使用更加系統、規范，滿足了移動辦公需求。同時避免了個人無線設備接入業務網絡而帶來的風險，無線AP零配置，由AC統一集中配置并進行管理，增加了整個無線網絡的可控性，無線網絡安全較之前也有得到了有效保障。

參考文獻：

[1] 劉浪，陳玉明.WLAN的設計研究[J].科協論壇（下半月），2011（01）.

[2] 岳超.基于瘦AP+AC模式的組網技術研究[J].科學技術創新，2018（20）.

[3] 時新明.氣象無線網絡安全[J].信息與電腦（理論版），2018（15）.

【通聯編輯：代影】