無線網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用

韓霜 魏宏

摘要：文章詳細介紹了無線交換機+FIT AP架構(gòu)模式在企業(yè)中的應(yīng)用，成功實現(xiàn)整個辦公大樓的無線網(wǎng)絡(luò)覆蓋，同時滿足訪客和用戶的入網(wǎng)需求，達到網(wǎng)絡(luò)的靈活安全使用。

關(guān)鍵詞：WLAN;FIT AP;無感知認證

中圖分類號：TN925 文獻標識碼：A 文章編號：1007-9416（2019）04-0022-02

0 引言

隨著筆記本電腦和個人數(shù)字助理、手機等移動設(shè)備的普遍使用，無線計算機網(wǎng)絡(luò)也逐漸流行起來，同時，無線接入方式的理念諸如寬帶化、移動化、IP化等特點的提出，WLAN憑借其接入速率高、架構(gòu)使用便捷、系統(tǒng)使用費用低廉及擴展性較好等優(yōu)點，使之應(yīng)用也越來越廣泛。

1 WLAN

無線局域網(wǎng)絡(luò)（ Wireless Local Area Networks簡稱： WLAN），它是一個相當便利的數(shù)據(jù)傳輸系統(tǒng)，使用射頻技術(shù)、電磁波，取代傳統(tǒng)使用的雙絞線所架構(gòu)的局域網(wǎng)絡(luò)，在空中進行信息通信，使得WALN利用簡單的存取設(shè)備讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。

無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，主要經(jīng)過了三個技術(shù)及產(chǎn)品的發(fā)展歷程：第一代：每一臺AP設(shè)備都要進行單獨配置，采用FAT AP，就是我們所說的“胖”AP，費時、費力、費成本。第二代：主要融入了無線網(wǎng)關(guān)功能，由于不能進行集中管理和配置，安全性和對有線網(wǎng)絡(luò)的依賴成了WLAN 發(fā)展的瓶頸。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于奔騰架構(gòu)的，所以當用戶接入數(shù)量增多時，無線局域網(wǎng)的性能會急速下降，通常會發(fā)生死機、掉線或網(wǎng)速卡頓等狀況。第三代：采用無線交換機加FIT AP，就是所謂的“瘦”AP架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功能做了重新規(guī)劃，同時加入了許多新的重要功能：諸如無縫漫游、AP間自適應(yīng)、RF監(jiān)測、無線安管、無線網(wǎng)管以及Qos，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、管理、安全性能得到極大的提高。

2 整體網(wǎng)絡(luò)架構(gòu)

目前，需要實現(xiàn)公司辦公大樓的無線網(wǎng)絡(luò)整體覆蓋，使大樓內(nèi)通過WLAN網(wǎng)絡(luò)隨時隨地訪問internet，保存連接日志，流量管理等功能，達到無死角、無卡頓漫游，可以對用戶訪問情況進行記錄，同時滿足到訪用戶及員工的入網(wǎng)需求，達到網(wǎng)絡(luò)的靈活安全使用。主要采用無線交換機+FIT AP接入（即“瘦”AP的架構(gòu)），支持802.11ac Wave2協(xié)議;在整個核心機房采用1臺AC進行對AP的統(tǒng)一管理和監(jiān)控（如圖1所示），從核心機房布放光纜到每棟樓，并在每棟樓部署交換機，完成末端AP的上行匯聚。

其中：（1）UAC設(shè)備主要實現(xiàn)：NAT地址轉(zhuǎn)換、端口轉(zhuǎn)換、路由指向、行為審計等;（2）認證RG-ESS：主要實現(xiàn)無線內(nèi)網(wǎng)用戶認證，同時與AC設(shè)備的聯(lián)動等;（3）核心：主要實現(xiàn)新增無線VLAN及VLAN接口、路由指向、與UAC 互聯(lián)、配置策略等;（4）無線AC：IP地址、路由指向、VLAN創(chuàng)建、發(fā)射無線信號、創(chuàng)建AP地址池等;（5）匯聚：創(chuàng)建VLAN等;（6）接入：鏈路配置等;（7）無線POE：創(chuàng)建VLAN、配置默認路由指向、配置交換機管理地址等。

2.1 內(nèi)部用戶無感知接入

在用戶接入側(cè)，為保證每個接入用戶的線路質(zhì)量，將根據(jù)SSID域?qū)尤胗脩暨M行限速處理。同時內(nèi)部用戶無感知接入，無感知認證可以簡單的理解為無需人為干預(yù)可以自動完成身份認證，用戶只需首次進行無線相關(guān)參數(shù)設(shè)置和用戶信息校驗，采用EAP-PEAP協(xié)議進行用戶身份認證，如圖2所示。

（1）內(nèi)部用戶連接對應(yīng)的無線信號，觸發(fā)802.1x認證;（2）客戶終端會彈出輸入用戶名和密碼的選項，輸入對應(yīng)的AD域賬號和密碼，提交認證;（3）認證通過802.1x方式傳遞至認證系統(tǒng)RG-ESS，認證系統(tǒng)將信息轉(zhuǎn)發(fā)給AD域控系統(tǒng)，AD域控系統(tǒng)進行最終用戶的信息校驗;（4）如果信息正常，則返回認證成功消息至認證系統(tǒng)，再由認證系統(tǒng)下發(fā)策略至AC設(shè)備，通知放通對應(yīng)的用戶，同時在客戶端通知正常連接，用戶即可訪問網(wǎng)絡(luò)。

2.2 DHCP規(guī)劃

無線用戶和無線AP需要通過DHCP方式分發(fā)IP地址。其中AP的DHCP配置需要指定option 138字段，AP通過此字段與AC建立CAPWAP隧道，無線用戶使用常規(guī)的地址添加方式即可。DHCP服務(wù)器可以新建立一臺虛擬機，安裝windows server操作系統(tǒng)，專門為無線用戶提供DHCP地址，減少對現(xiàn)網(wǎng)有線業(yè)務(wù)的干擾影響。由于涉及到option 138字段，無線AP的地址池直接創(chuàng)建在AC上，通過中繼獲取。

2.3 身份認證規(guī)劃

內(nèi)部用戶使用AD域認證方式，輸入AD域的賬號和密碼進行上網(wǎng);訪客登錄可以通過掃描二維碼的方式，訪客連接WiFi后彈出對應(yīng)二維碼，隨后由接待者（內(nèi)部用戶）通過掃描對應(yīng)二維碼完成訪客開戶認證等相關(guān)流程，實現(xiàn)訪客用戶的快速靈活安全接入。

2.4 權(quán)限控制

訪客和內(nèi)部用戶通過IP地址進行權(quán)限區(qū)分，通過ACL控制IP地址的方式，限制不同的權(quán)限的訪問，訪客用戶拒絕訪問內(nèi)部資源，內(nèi)部用戶允許訪問內(nèi)部資源，如果訪客用戶需要訪問內(nèi)部資源，需要管理員在對應(yīng)的ACL將其IP放通允許即可。

3 結(jié)語

通過無線網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用可以實現(xiàn)整個大樓的無線網(wǎng)絡(luò)覆蓋，連接日志保存，流量管理等功能同時達到以下效果。

（1）終端設(shè)備移動時能無縫漫游，保證終端設(shè)備在使用過程中的網(wǎng)絡(luò)連續(xù)性，AP切換時用戶無卡頓體驗;（2）無線網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)兩個Vlan，外網(wǎng)Vlan僅能訪問互聯(lián)網(wǎng)，內(nèi)網(wǎng)Vlan可訪問內(nèi)網(wǎng)資源及訪問互聯(lián)網(wǎng)，用戶接入后可根據(jù)不同身份分配不同地址分別接入內(nèi)網(wǎng)或外網(wǎng)Vlan;（3）訪客登錄需提交申請，通過郵件發(fā)送到管理員或帶訪員工郵箱，由管理員或帶訪員工確認后，按預(yù)設(shè)或指定的時長時段訪問外網(wǎng)，支持微信公眾號認證和短信認證功能;（4）增加一臺上網(wǎng)行為控制設(shè)備，具有記錄用戶上網(wǎng)行為審計、網(wǎng)絡(luò)帶寬控制、訪問權(quán)限范圍控制及遠程WEB管理等功能。