實現無線網絡布設與管理

寧波 張恒

最近筆者公司在結合實地勘察與網絡資料研究匯總，據現有公司的網絡布局，在不做大的變動如墻面裝修工程等前提下，規劃并實施了關于公司辦公大樓無線網絡布設和統一管理工作，能基本滿足覆蓋與管理的需要。今后，全公司辦公網覆蓋范圍內也可統一安全管理的無線網絡布設延展。

技術選擇和規劃

1.無線網絡連接覆蓋整體模式選擇

成熟的無線網絡控制器(AC)+無線熱點(AP)瘦客戶端方式統一安裝連接和實現統一管理，此方式好處除了可統一管理設置相關參數如無線密碼、不同無線名稱、支持vlan 等，且對于無線上網設備遷移中的網絡穩定性也能根據信號強度自動切換而使之保持較好狀態（能夠實現自動無線熱點轉接，不會出現網絡信號不好了可設備還連在上面導致網絡傳輸很不穩定等情況）。

2.網絡安全考慮

默認無線網絡隔離于現有OA 辦公網，經過具體使用人向網絡管理員獲取無線密碼連接入無線網，同時訪問網絡可以設置每個人的登陸驗證網頁，強化安全性。

3.網絡布設設備選型和方案

無線網絡連接拓撲結構

無線網絡控制器(AC)+無線熱點(AP)綜合考慮選擇國內產品線較為完善的網絡設備制造上普聯科技(TP-link)產品，初步確定使用網絡控制器(AC) 為TLAC300（全千兆網絡接口能夠配套連接公司核心交換機的速率，支持微信等認證方式連接無線網）。

以及根據我公司現有網絡布設不能大動重新裝修的現狀，選擇：450M 無線面板式AP TL-AP450I-DC（在 同 時有電源和有線網絡插座處就可以安裝，節省購置大量Poe網線供電交換機經費和重新布線的工作量）、450MB 無線桌面式AP TL-AP450D（根據需要在適當辦公室閑置網絡接口上安裝）、以及防潮防水高穿透無線AP TL-AP301P（根據需要安裝在每層樓道電纜間，重點是建筑物每層的樓道電纜間）等根據具體安裝位置高低搭配。

4.網絡初步規劃

計劃使用與辦公網相互網段隔離的192.X.X.0/27可連接外網的此網段為主安裝無線AP 提高安全性（無線網主要用于連接互聯網和訪問公司手機客戶端微信等）。

今后，只要是在辦公網等網絡聯通延伸所需的地點都可擴展安裝無線AP，都可實現統一管理。具體公司辦公大樓與食堂等其他建筑物的無線熱點安裝位置根據實際公司現有網線布設情況初步確定，基本實現主要的區域都能夠連接入該無線網絡。

根據上述規劃采購了相關設備后，具體實施過程

1.設置無線控制器TLAC300

（1）連接電腦設置為192.168.1.9/24 地址，連接設備出廠默認管理地址192.168.1.253/24，設置管理員賬戶密碼；

（2）進入“網絡設置”/“接口設置”，由于該AC 控制器每個接口（包括虛擬vlan 接口）只能有一個IP（及其網段），需要設置與各個vlan聯通的IP 及其對應子網參數（這里需要配套統一網絡中核心交換機和網關的網絡設置），最好是能夠獨立設置一個無線控制器和無線AP通訊的專用網絡或虛擬局域網vlan 接口，以便于統一管理（當然也可以把這個網段和具體某個無線網AP 自身和無線端用戶連接后自動獲取的地址放到同一個vlan里）。

可以先改原有缺省的vlan 1 的管理地址為公司內網絡中的企業統一交換機管理網段中地址，使用辦公網絡vlan 12 為公司內部無線網絡單獨設置了通訊網絡接口地址172.x.x.x/24，設置了網關地址172.x.x.y/24（主要是為了今后訪客網絡微信認證和獲取時間等對外通訊需要）。

進一步設置新增了其 他vlan 14 和16，分 別是公司內部員工無線網vlan 14:192.168.w.2/23和訪客用的無線網vlan 16:192.168.v.2/23，上述兩個網段每個都預留可提供近500 個終端設備聯通。

（3）在無線控制器AC300中“網絡設置”/“DHCP 服務”中新增開啟該上述網段的地址DHCP 自動分配，設好相關參數，如網關地址、地址池范圍，域名解析服務器DNS 地址等，以及作用的具體端口>服務接口(具體的vlan)。

這樣就可以為各個vlan中聯網設備（包括各個無線AP）自動分配地址進行與AC控制器的聯通通訊，從而實現統一設置和管理。

（4）在“網絡設置”/“vlan設置”中，設置vlan 名稱和vlan 號（對應上述接口設置中參數，主要vlan 號id），劃分具體物理端口所屬的vlan，以及數據包出入是否加減具體vlan 標簽(+tag或-tag)。

這里設物理端口1 為所有vlan 上聯口，除了vlan 1以外所有vlan 此口皆是數據包加tag 進出，以對接核心交換機類似的trunk 口，這里的“端口設置”里pvid參數設置是去tag(untag或-tag)出去的數據包默認所述具體某個vlan 聯通普通口，1 號口默認PVID 為1，2 號口3 號口暫設為聯通管理vlan 12 的普通端口，用于直接連接測試設置無線ap。

（5）進入“無線管理”/“無線服務”界面，新增設置所需要的無線網絡做下一步設置的備用，包括設置網絡名稱SSID、加密方式、密碼，是否需要內部相互隔離以及帶寬限制等參數，這里分別新增設置了：aaa 和aaa-fangke兩個無線網，選擇加密方式wpa2-psk 模式加密，設置無線網aaa 的密碼，另一個作為今后訪客使用，并啟用其內部隔離和用戶的帶寬限制。

（6）此時連接一個無線AP 上電，接入無線控制器2號口，之后就會在無線控制器“系統狀態”/“AP 狀態”中看到此無線AP。并已經分配172.x.x.x/24 網段的地址。

在“AP 管理”中可以設置具體無線AP 的名稱和進行新增分組等，可以安裝建筑物分組，或者按照AP 具體所處vlan 網絡分組。AP 可以識別+tag 的不同vlan 數據包，因此可為一個AP 綁定多個vlan，也可設定面板上的有線物理線路的網口所屬vlan。

（7）在“射頻管理”/“射頻設置”中，可以調整具體AP 的無線發射功率等參數，建議根據需要調大一些，其他具體無線參數一般采取默認即可。

（8）再次進入“無線管理”/“無線服務”界面，用“射頻綁定”為具體的無線AP 設置綁定上面第5 步設置的無線網名稱，同時填入vlan 號將此無線名稱綁定到具體的vlan 接口上，這樣就可以使得具體AP 發射哪些無線網，并且該無線網絡隸屬哪些vlan 網絡。此地可以按照分組統一設置綁定等操作。

由于AP 可以識別網絡中+tag 的不同vlan 的數據包，因此可以為一個AP 綁定多個vlan 對應到需要的無線網絡中。

（9）在“認證管理”/“用戶管理”中，添加新增用戶列表，設置有關屬性，包括帳戶密碼、允許聯網時間段、時限等。

然后再在“Portal 認證”中的“Web 認證”里將上述條目綁定到具體的vlan ID 號上，這樣連接入無線網絡者的設備還需要經過網頁認證通過才能真正經該無線網聯通網絡。

這里暫時是同步手動公司OA 賬戶密碼的辦法來維護該無線網公司員工認證列表，每年定期幾次以OA 賬戶密碼為準。

（10）也可設置訪客在微信關注本公司公眾號后獲得聯網，需要在公眾號管理員登記公司門店以后，在WiFi小工具中獲得有關參數后設置。

2.設置公司華為核心三層交換機

（1）在交換機中添加vlan 虛擬子網接口。需注意配套上述在無線控制器中設置的對應vlan 號，分別添加vlan 14、vlan 16 等子接口并設置對應在無線控制器中設置的對應IP 地址192.168.w.1/23、192.168.v.1/23（作為該虛擬局域網的網段中下屬各個聯網設備的網關地址）；

（2）隸屬各vlan 的交換機端口去其tag 口，其他vlan 則是在該端口為+tag出入。比如隸屬辦公網的vlan 12 的交換機端口數據包是-tag12（untag 12），+tag2/4/6/8/10/14/16/18等。trunk 口則是除默認vlan 1 外全部數據包都是+tag 口。

（3）設置各子網的ACL訪問控制列表，禁止訪客網訪問各辦公子網，允許公司認證員工無線網訪問OA 辦公網資源（但禁止訪問其他）。

3.設置辦公大樓等建筑物的各樓層智能網管交換機

（1）對公司大樓各樓層24 口全千兆智能網管交換機進行設置，增加上聯口識別新添加的虛擬局域網vlan號，即vlan 14 和vlan 16在所有端口上數據包都+tag加標簽出入，全局Pvid 設置不變。這樣與核心交換機的與智能管理交換機的下聯口對應連接各虛擬子網。

（2）對其他各處建筑物的上聯千兆智能Web 管理交換機也做此類似設置，發送相應vlan 加標簽的數據包。

4.設置核心路由器

（1）設置允許無線網絡網段192.168.w.0/23 以及192.168.v.0/24 允許被地址轉換nat，以及AC 無線控制器地址172.16.x.2/24 允許被地址轉換nat。這樣這些地址才能聯通外網。命令是：/ip firewall nat add action=masquerade chain=srcnat action=masquerade src-address=192.168.w.0/23 和/ip firewall nat add chain=srcnat action=masquerade srcaddress=192.168.v.0/23

（2）設置路由，打通路由器網關（內網地址是192.168.x.254/24）與核心3層交換機（地址是192.168.x.4/24）的反身路由，添加無線網絡網段192.168.w.0/23以及192.168.v.0/24 的路由指向三層交換機的路由條目。這樣路由器網關才能聯通三層交換機上的子網絡。

5.現場安裝聯網各個無線AP 設備

（1）在辦公大樓各層的樓梯間安裝防潮防水高穿透無線AP：TP-link TLAP301P；

（2）在辦公大樓各個大廳會議室處的靠建筑物中心位置安裝TP-link TLAP450D 桌面型AP；

（3）在各層辦公室安裝TP-link TL-AP450I-DC 無線面板式AP，疊層錯位安裝，相互補充無線信號覆蓋。

6.其他建筑物的無線網安裝覆蓋可以如上類同操作，只要辦公網絡等通達的都可以統一管理。

7.微信認證供訪客使用方面需開通公司門店信息認證，以便進一步設置操作。