中小企業(yè)輕量化無線企業(yè)網(wǎng)架構(gòu)方案研究

熊 毅

(中鐵第一勘查設(shè)計院集團(tuán)有限公司，陜西 西安 710043)

0 引 言

WLAN(wireless local area network，無線局域網(wǎng))是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。由于WLAN在部署時不需要考慮復(fù)雜的布線、優(yōu)化和變遷，因此WLAN系統(tǒng)便于搭建和使用，具有安裝便捷、高移動性和易擴(kuò)展等特點，所以其應(yīng)用越來越廣泛。

在科技飛速發(fā)展的當(dāng)代，網(wǎng)絡(luò)在企業(yè)生產(chǎn)中的作用早已有目共睹，其重要性早已是毋庸置疑。無線網(wǎng)絡(luò)已不僅僅是作為有線網(wǎng)絡(luò)的延伸，單純地滿足用戶的接入服務(wù)，而是更多地參與到企業(yè)信息化業(yè)務(wù)當(dāng)中。

對于企業(yè)辦公環(huán)境而言，架設(shè)無線網(wǎng)絡(luò)，是從實現(xiàn)移動辦公、提高工作效率等目的出發(fā)的，其帶來的便攜移動性是無可比擬的，像公司內(nèi)部的會議、網(wǎng)絡(luò)電話，都將會給企業(yè)員工帶來很多方便[1]。

與無線網(wǎng)絡(luò)強(qiáng)勁的需求形成鮮明對比的是：目前國內(nèi)大型企業(yè)無線網(wǎng)絡(luò)建設(shè)應(yīng)用的整體技術(shù)水平尚處于較低的階段，絕大多數(shù)企業(yè)都還未完整建立自己的無線網(wǎng)絡(luò)；無線網(wǎng)的管理和從業(yè)人員都是從原有有線網(wǎng)絡(luò)的管理人員發(fā)展而來，無線方面的技術(shù)知識和技術(shù)水平相對缺乏；大部分企業(yè)的機(jī)房建設(shè)長期規(guī)劃沒有到位，對網(wǎng)絡(luò)需求估計不足，沒有預(yù)留無線網(wǎng)絡(luò)建設(shè)空間，甚至部分企業(yè)機(jī)房已達(dá)到飽和狀態(tài)，等等[2]。

1 企業(yè)無線網(wǎng)工作原理及優(yōu)勢

無線網(wǎng)絡(luò)利用無線技術(shù)來傳輸數(shù)據(jù)，目前主流的無線局域網(wǎng)產(chǎn)品符合IEEE 802.11b、802.11g、802.11n以及最新的802.11ac協(xié)議，基本工作在2.4或5 GHz，提供不同的傳輸速率[3]。無線局域網(wǎng)的覆蓋范圍在室內(nèi)可以達(dá)到30米到100米，為用戶提供了無需連接線纜的網(wǎng)絡(luò)連接方案，相對于有線網(wǎng)絡(luò)來說，免除了布線的困擾，同時為筆記本用戶提供了自由移動的便利。所以說，企業(yè)無線網(wǎng)是十分必要的一項部署。

首先，它可以提高企業(yè)的辦公效率;

其次，它還能降低企業(yè)的經(jīng)營成本;

再次，它可以降低網(wǎng)絡(luò)管理維護(hù)成本;

最后，它還能給企業(yè)提供靈活便利。

在企業(yè)應(yīng)用方面，大型企業(yè)一般都已經(jīng)有了成熟的有線網(wǎng)絡(luò)，這時無線局域網(wǎng)成為大型企業(yè)內(nèi)部網(wǎng)絡(luò)的一個延伸和補(bǔ)充。對于會議室進(jìn)行無線覆蓋，可以為參加會議的人員提供便利的網(wǎng)絡(luò)連接，方便會議中的資料演示和文件交換。有一些大企業(yè)的員工大量使用筆記本電腦，而且流動性很強(qiáng)，這種情況下，使用無線局域網(wǎng)可以為這些人員提供無處不在的網(wǎng)絡(luò)連接。例如，惠普(中國)公司使用無線局域網(wǎng)后，人員沒有固定的座位，因此企業(yè)節(jié)省了三分之一的辦公面積，提高了效率，降低了成本[4]。

關(guān)于產(chǎn)品選型方面，對于企業(yè)無線網(wǎng)絡(luò)技術(shù)的選項來說，小型公司適用的產(chǎn)品很多，一般的無線局域網(wǎng)接入點都能滿足要求。

企業(yè)中的無線網(wǎng)絡(luò)覆蓋如圖1所示。

圖1 企業(yè)中的無線網(wǎng)絡(luò)覆蓋

2 傳統(tǒng)企業(yè)網(wǎng)絡(luò)存在的問題

傳統(tǒng)企業(yè)網(wǎng)絡(luò)架構(gòu)模式大致部署于10年前后，雖架構(gòu)層級變化不大，但具體情況隨著使用時長逐漸增加，設(shè)備老化、故障情況愈發(fā)嚴(yán)重。鏈路方面，建設(shè)初期時預(yù)埋的網(wǎng)線質(zhì)量性能、電氣化參數(shù)等均嚴(yán)重下降，數(shù)量更是嚴(yán)重飽和，可用的有線網(wǎng)絡(luò)的資源也已經(jīng)捉襟見肘，且老化嚴(yán)重。

大部分傳統(tǒng)企業(yè)網(wǎng)沒有部署專業(yè)企業(yè)無線網(wǎng)，而從管理規(guī)范來說，私自接通無線環(huán)境也是會被上行策略禁止的，且會給企業(yè)信息安全和保密管理造成極大的隱患。然而，辦公區(qū)域可用網(wǎng)絡(luò)接口使用情況已飽和，這與日漸增高的各生產(chǎn)部門對使用外網(wǎng)的需求，成為目前阻礙各類型企業(yè)信息化發(fā)展的主要瓶頸問題[5]。

目前大部分企業(yè)網(wǎng)絡(luò)綜合布線節(jié)點資源在部分局部區(qū)域已經(jīng)用盡，但網(wǎng)絡(luò)接入需求還在不斷增加，而傳統(tǒng)企業(yè)網(wǎng)絡(luò)又沒有開通整體化的無線網(wǎng)絡(luò)接入；另外由于一些企業(yè)辦公區(qū)地理位置不斷拓展，要把距離較遠(yuǎn)的節(jié)點連接起來時，敷設(shè)專用通信線路的布設(shè)施工難度大、費用高、耗時長，對網(wǎng)絡(luò)的覆蓋區(qū)域拓展需求形成了嚴(yán)重的瓶頸。借助無線網(wǎng)絡(luò)技術(shù)可以拓展企業(yè)網(wǎng)絡(luò)覆蓋區(qū)域。此外，為了提高工作效率，進(jìn)一步規(guī)范員工用網(wǎng)習(xí)慣，應(yīng)當(dāng)在中心少量地增設(shè)互聯(lián)網(wǎng)上網(wǎng)行為管理系統(tǒng)[6]。

企業(yè)無線網(wǎng)架構(gòu)方案如圖2所示。

圖2 企業(yè)無線網(wǎng)架構(gòu)方案

3 輕量化無線企業(yè)網(wǎng)架構(gòu)方案

綜合上述，總結(jié)既有傳統(tǒng)企業(yè)網(wǎng)存在需要改進(jìn)之處如下：

(1)目前的網(wǎng)絡(luò)僅能提供有線接入，而隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，WLAN將作為有線的一個必須的補(bǔ)充。

(2)目前，為了保障生產(chǎn)，需采用應(yīng)急性的末端無線路由接入方式滿足工作需要。但其安全性能需要有足夠保障。

(3)對既有網(wǎng)絡(luò)(含擴(kuò)展無線)需要部署統(tǒng)一的管理系統(tǒng)。

(4)各部門間AP設(shè)備沒有進(jìn)行合理、科學(xué)的信道分配，導(dǎo)致AP間相互干擾較大，影響接入AP的終端設(shè)備使用網(wǎng)絡(luò)資源。

(5)無線網(wǎng)絡(luò)需要統(tǒng)一的準(zhǔn)入控制機(jī)制。

基于此，無線網(wǎng)覆蓋及管控技術(shù)企業(yè)應(yīng)用和企業(yè)無線網(wǎng)部署實施，必將成為企業(yè)信息化建設(shè)中的重要組成之一，它將直接提升企業(yè)網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)管理水平；保障企業(yè)網(wǎng)絡(luò)應(yīng)用的高效可靠性；提升企業(yè)網(wǎng)絡(luò)的易接入性和易擴(kuò)展性；增強(qiáng)企業(yè)信息化系統(tǒng)的抗風(fēng)險性和可管可控能力[7]。

基于上述情況，若某中小型企業(yè)需要在短時間內(nèi)快速部署一套過渡性無線企業(yè)網(wǎng)絡(luò)架構(gòu)(典型規(guī)模性的企業(yè)無線網(wǎng)絡(luò)覆蓋架構(gòu)需要對整體網(wǎng)絡(luò)進(jìn)行大規(guī)模升級擴(kuò)建，在國企內(nèi)本項目需要較長的耗時和較大投資，而實際工作中由于生產(chǎn)大會戰(zhàn)的展開，員工的無線用網(wǎng)需求迫在眉睫)，文中提出了一種輕量化的無線企業(yè)網(wǎng)架構(gòu)部署方案。

經(jīng)過認(rèn)真調(diào)研，比對優(yōu)劣，筆者最終確認(rèn)臨時部署的無線網(wǎng)絡(luò)接入路由器選型為深信服AC作為上層身份管控設(shè)備，TP-Link WVR600G作為無線終端接入設(shè)備(見圖3)。此外的其他部署模式和采用技術(shù)均盡量依照本次研究中涉及的技術(shù)和部署策略[8-9]。

圖3 輕量化企業(yè)無線網(wǎng)架構(gòu)中的上端控制AC

3.1 網(wǎng)段劃分

(1)A部門：152人，VLAN100，網(wǎng)段192.168.176.X，掩碼255，網(wǎng)關(guān)176.1；

(2)B部門：76人，VLAN101，網(wǎng)段192.168.177.X，掩碼255，網(wǎng)關(guān)177.1；

……

3.2 實施步驟

(1)在外網(wǎng)核心交換機(jī)中的配置：(6506，交換機(jī)進(jìn)入SYS模式)。

vlan 110(在核心交換機(jī)中建立VLAN 110)

descriptionA-WIFI(注釋)

interface Vlan-interface110 (進(jìn)入VLAN 110端口)

descriptionA-WIFI(注釋)

ip address 192.168.176.254 255.255.255.0 (設(shè)置網(wǎng)關(guān)地址)

dhcp-server 1(允許DHCP發(fā)布)

(2)在外網(wǎng)接入交換機(jī)中的配置：(A座7,8,9層，交換機(jī)進(jìn)入SYS模式)。

vlan110 --- 在接入交換機(jī)中創(chuàng)建vlan 110

interface Ethernet1/0/XX ---進(jìn)入連接AP熱點的端口

stp edged-port enable ---將當(dāng)前的以太網(wǎng)端口配置為邊緣端口

port access vlan110 ---將此端口劃歸 VLAN110網(wǎng)段

loopback-detection enable ---開啟相應(yīng)端口環(huán)回監(jiān)測

description電化處XX層第XX號無線熱點 ---注釋

(3)無線熱點AP中的配置。

無線路由器TP-Link TL_WVR600G以AP無線熱點模式部署在網(wǎng)絡(luò)中，自接入交換機(jī)端口引出的網(wǎng)線連接在路由器的LAN端口。需要配置的內(nèi)容為無線SSID(服務(wù)區(qū)標(biāo)識符，可簡單的理解為AP的名稱標(biāo)識)、無線密碼、DHCP服務(wù)設(shè)置等。

對AP進(jìn)行DHCP設(shè)置。這里要說明的是，各業(yè)務(wù)處多臺AP被分為2類，其中1臺為主AP，唯一地負(fù)責(zé)提供段內(nèi)DHCP服務(wù)功能。該AP地址為192.168.x.11(x為該業(yè)務(wù)處所分配網(wǎng)段)。其余AP為副AP，管理地址根據(jù)樓層由低向高分別設(shè)置為12、13、14……。如某業(yè)務(wù)處共5臺AP，其中1主4副，則該業(yè)務(wù)處副AP地址為12-15。基于此，主AP中可分配的地址池應(yīng)為16-253。

若本AP是該單位網(wǎng)段內(nèi)主AP(唯一地負(fù)責(zé)提供DHCP服務(wù)功能)，則在“DHCP服務(wù)”中進(jìn)行相關(guān)配置。設(shè)置完成后，點擊左上角進(jìn)行配置保存。若本AP是該網(wǎng)段內(nèi)其余副AP(只提供接入功能)，則在“DHCP服務(wù)”中將該服務(wù)設(shè)為“禁用”，然后點擊“設(shè)置”。點擊左上角進(jìn)行配置保存[10]，如圖4所示。

圖4 WVR 600G DHCP功能配置

若本AP是主AP，則還要進(jìn)入“對象管理”的“IP地址池”進(jìn)行設(shè)置，點擊鉛筆圖標(biāo)進(jìn)行地址池編輯，編輯范圍為預(yù)先根據(jù)需要劃分好的IP范圍(參考第八步說明)。配置完成后，點擊修改，返回上級，在左上角點擊保存配置。副AP無需此執(zhí)行步驟。

具體配置方法：

①路由器復(fù)位：通電狀態(tài)下長按路由器面板左側(cè)Reset復(fù)位鍵，待系統(tǒng)指示燈閃爍5次后松開，使之恢復(fù)出廠設(shè)置并重啟。

②以http://192.168.1.1地址，admin用戶名，admin密碼進(jìn)入進(jìn)行設(shè)置。

③基本設(shè)置---LAN設(shè)置---LAN設(shè)置---接口設(shè)置---填入無線熱點的管理地址和子網(wǎng)掩碼---點擊設(shè)置---DHCP服務(wù)---填入網(wǎng)關(guān)地址、首選DNS、備用DNS，啟用---點擊設(shè)置----網(wǎng)卡禁止重新啟動自動獲取新地址。

④無線設(shè)置2.4 GHz---無線網(wǎng)絡(luò)設(shè)置---SSID:例如XXC01---安全選項：WPA-PSK/WPA2-PSK AES加密，PSK密碼：xxc49008---點擊設(shè)置。

⑤無線設(shè)置-5 GHz--- SSID:例如 XXC01-5G---其他同上。

⑥對象管理---IP地址池---地址池名稱：LAN段網(wǎng)絡(luò)地址池---編輯---輸入地址池范圍(例如：192.168.176.7-192.168.176-40)---修改---啟用/禁用：啟用---點擊修改---啟用該地址池[11-12]。

注：地址池大小分配需根據(jù)本單位無線網(wǎng)段大小(一個C或2個C),設(shè)置無線熱點(路由器)個數(shù)，本無線熱點最多使用人數(shù)、網(wǎng)段備用地址等因素綜合考慮。根據(jù)經(jīng)驗一個無線熱點上在線人數(shù)不要超過40人。

⑦AP管理密碼更改(原始為admin):系統(tǒng)工具---修改管理賬號---新用戶名：用原始用戶名(admin)---新密碼(例如：fsa7xydi)。

⑧點擊左上角“保存配置”。

⑨系統(tǒng)工具---設(shè)備管理---重啟路由器。

(4)上網(wǎng)行為管理設(shè)備AC的配置。

①用戶組和用戶的建立。

建立電化處用戶組并在其下新增電化處所有申請無線認(rèn)證人員的登錄名和密碼。具體操作為：用戶與策略管理---用戶管理---組/用戶---選擇“無線認(rèn)證組”---新增---組---組名列表：電化處---在其下新增電化處所有申請無線認(rèn)證人員的登錄名和本地密碼，并勾選“初次認(rèn)證修改密碼”，如圖5所示。

②配置用戶認(rèn)證策略。

在AC里配置認(rèn)證策略使得電化處無線子網(wǎng)段使用登錄名密碼認(rèn)證。具體操作為：用戶與策略管理---用戶管認(rèn)證---認(rèn)證策略—選“無線認(rèn)證策略”(其認(rèn)證方式已經(jīng)定義為密碼認(rèn)證/單點登錄)---適用范圍：加入電化處無線外網(wǎng)子網(wǎng)段192.168.176.0/255.255.255.0，如圖6所示。

圖5 深信服上網(wǎng)行為管理系統(tǒng)用戶建立

圖6 深信服上網(wǎng)行為管理系統(tǒng)策略配置

③配置移動終端信任。

在AC中默認(rèn)拒絕無線設(shè)備連接，因此需將開通無線連接的網(wǎng)段加入信任列表。具體操作為：終端接入管理---移動終端管理---信任列表---新增---加入電化處無線子網(wǎng)段 192.168.176.0/255.255.255.0。

④在共享接入管理中，選擇允許例外情況[13]。

3.3 測試過程中無線路由策略記錄及意義

測試過程中無線路由策略記錄及意義見表1。

表1 無線路由策略記錄及意義

續(xù)表1

3.4 用戶端無線用戶準(zhǔn)入認(rèn)證

文中輕量化無線網(wǎng)建議采用“二級認(rèn)證”方式。首先，通過使用本地接入無線路由器的接入密碼進(jìn)行物理鏈路接入，然后在瀏覽器推送頁面中使用身份信息進(jìn)行個人用網(wǎng)賬戶認(rèn)證，如圖7所示。

圖7 客戶端登陸認(rèn)證頁面

4 應(yīng)用效果

該無線網(wǎng)絡(luò)平臺一經(jīng)建設(shè)即可立即投入到各單位生產(chǎn)環(huán)境中，基本可以滿足各單位中的員工和信息化辦公業(yè)務(wù)需求。其優(yōu)勢是在企業(yè)運(yùn)轉(zhuǎn)過程中可以快速部署到位，不存在布線、更換設(shè)備、割接網(wǎng)絡(luò)等過程，不影響其他正常信息化業(yè)務(wù)的開展。

該方案采用企業(yè)級無線路由設(shè)備進(jìn)行應(yīng)急無線環(huán)境延伸部署(見圖8)，輔以上網(wǎng)行為管理系統(tǒng)相關(guān)策略進(jìn)行限制約束，可以在保護(hù)利用現(xiàn)有網(wǎng)絡(luò)資產(chǎn)、利用少量投資的基礎(chǔ)上，基本實現(xiàn)中小型企業(yè)信息化辦公的應(yīng)急無線接入需求。

圖8 日常無線用戶管理

筆者要說明的是，以上無線部署模式雖然能夠有效地緩解傳統(tǒng)企業(yè)網(wǎng)絡(luò)有線網(wǎng)絡(luò)環(huán)境中存在的資源不足、靈活性差、難以運(yùn)維等問題，但由于畢竟是受中小型企業(yè)傳統(tǒng)既有網(wǎng)絡(luò)條件制約，是一種節(jié)約投資、短期高效的應(yīng)急部署方案，所以其整體架構(gòu)中的主干部分設(shè)備老舊、安全穩(wěn)定性較差、存在帶寬瓶頸、故障排除復(fù)雜度高等問題仍然是中小企業(yè)下一步徹底改進(jìn)需要解決的問題。不過從另一方面來討論，該應(yīng)急方案由于主干部分采用現(xiàn)有部署設(shè)備，大部分功能由本單位技術(shù)人員的合理部署和設(shè)置分配完成，有效保護(hù)了投資，僅利用了很少的資金投入便實現(xiàn)了生產(chǎn)所需的大部分應(yīng)急接入功能，帶來了極大的效益[14]。

隨著中小型企業(yè)主營業(yè)務(wù)的不斷擴(kuò)展，機(jī)構(gòu)與人員將會動態(tài)變化，采用無線擴(kuò)展可以靈活有效地應(yīng)對日后的變革和升級。該架構(gòu)方案對中小型企業(yè)有良好的推廣應(yīng)用價值。

5 結(jié)束語

無線網(wǎng)覆蓋及管控技術(shù)企業(yè)應(yīng)用和企業(yè)無線網(wǎng)部署實施，必將成為現(xiàn)今各類型企業(yè)信息化建設(shè)中的重要組成之一，它將直接提升企業(yè)網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)管理水平；保障企業(yè)網(wǎng)絡(luò)應(yīng)用的高效可靠性；提升企業(yè)網(wǎng)絡(luò)的易接入性和易擴(kuò)展性；增強(qiáng)企業(yè)信息化系統(tǒng)的抗風(fēng)險性和可管可控能力。對此，提出的適用于中小型企業(yè)應(yīng)急無線接入架構(gòu)，經(jīng)實踐證明，其安全性、可靠性、可管控性等指標(biāo)均滿足使用需求。該方案在大量節(jié)約成本、提高效率、精簡架構(gòu)的情況下保證了企業(yè)內(nèi)各項信息化業(yè)務(wù)平穩(wěn)推進(jìn)甚至性能提升。接下來的工作將是對此架構(gòu)方案進(jìn)行進(jìn)一步完善，以及企業(yè)特殊環(huán)境(駐外機(jī)構(gòu)、辦事處、指揮部等地)下進(jìn)行實地部署與二次應(yīng)用測試實現(xiàn)。