網(wǎng)絡(luò)設(shè)計原則

WLAN辦公網(wǎng)絡(luò)設(shè)計應該注重簡單可靠、易部署、易維護，通常遵循如下四項原則。

1.安全性原則：WLAN網(wǎng)絡(luò)作為開放性的無線接入網(wǎng)絡(luò)，在網(wǎng)絡(luò)建設(shè)規(guī)劃時需注重對用戶的安全性及網(wǎng)絡(luò)的安全性的考慮。

2.可靠性原則：WLAN網(wǎng)絡(luò)需保證網(wǎng)絡(luò)的信號質(zhì)量、設(shè)備的穩(wěn)定運行、避免單點故障，為用戶提供可靠的WLAN無線接入業(yè)務。

3.易維護性原則：WLAN網(wǎng)絡(luò)系統(tǒng)的設(shè)備應方便管理，易于維護，便于進行系統(tǒng)配置，具備可統(tǒng)一的監(jiān)控設(shè)備參數(shù)、數(shù)據(jù)流量、系統(tǒng)性能等，并可以進行遠程管理和故障診斷。

4.可擴展性原則：WLAN系統(tǒng)設(shè)備不但要滿足當前需要，并且網(wǎng)絡(luò)的擴展性方面要滿足可預見將來的需求，如帶寬和設(shè)備的擴展、應用的擴展和辦公地點的擴展等，保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護已有的投資。

“瘦AP”架構(gòu)方案

為遵循上述四項原則，公司決定采用基于控制器（AC）的“瘦AP”架構(gòu)（即AC+AP模式），該模式與傳統(tǒng)的獨立AP架構(gòu)相比具有以下幾點優(yōu)勢。

1.AP零配置接入，AC實施統(tǒng)一管理：一臺AC實現(xiàn)對內(nèi)網(wǎng)所有AP的統(tǒng)一管理與控制，AC自動對AP下發(fā)配置，實現(xiàn)AP零配置接入，即插即用，減少人力成本投入。AC獲取各AP位置，實時動態(tài)調(diào)整各相鄰AP發(fā)射功率，以此減少AP間相互干擾，讓無線網(wǎng)絡(luò)處于最優(yōu)狀態(tài)。AC支持建筑圖紙導入并提供實時的AP狀態(tài)信息、各接入無線終端的信號強度數(shù)據(jù)、AP的各類日志信息、數(shù)據(jù)統(tǒng)計信息等，助力網(wǎng)絡(luò)維護人員實時了解網(wǎng)絡(luò)現(xiàn)狀，并在發(fā)現(xiàn)問題時快速定位并解決故障。

2.無縫漫游，全網(wǎng)覆蓋任意行：AC管控各相鄰AP間漫游閾值，并讀取STA（無線終端）信號強度，讓STA在相鄰AP間實現(xiàn)無縫漫游。無縫漫游技術(shù)讓全網(wǎng)網(wǎng)絡(luò)實現(xiàn)蜂窩覆蓋，解決無線終端在移動中網(wǎng)速慢、或者頻繁掉線、登錄問題。

3.負載均衡，網(wǎng)絡(luò)快速可靠又穩(wěn)定：AC管控各相鄰AP的帶機量，基于STA的負載均衡能平衡各AP接入負載壓力，又能有效解決因某STA距AP較遠而導致整個網(wǎng)絡(luò)速率下降的問題，保障無線網(wǎng)絡(luò)的高效性、可靠性和穩(wěn)定性。

4.部署方式靈活，樣式簡約時尚：吸頂式AP、墻插式AP、壁掛式AP、桌面型AP，其外觀或美觀大氣，或簡約時尚，或小巧靈活，占用空間少，能與企業(yè)辦公環(huán)境完美結(jié)合，給用戶帶來整體的科技與美感享受。

圖1 WLAN網(wǎng)絡(luò)部署架構(gòu)圖

5.辦公網(wǎng)隔離：對服務區(qū)進行合理劃分，員工、客戶網(wǎng)進行邏輯隔離，確保角色不同訪問權(quán)限也不同，保障網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)信息安全。還可采用多種加密認證方式、MAC黑白名單、VLAN劃分等，網(wǎng)絡(luò)安全有保障。

經(jīng)過測試和對比，公司選擇了華為的WLAN網(wǎng)絡(luò)解決方案，此次部署涉及到的設(shè)備如表1所示。

其中，普通無線接入AP用于一般辦公地點使用；高密無線接入AP供會議室、會客室等人員密度較大的地點使用；POE交換機供AP接入使用，提供端口供電和數(shù)據(jù)轉(zhuǎn)發(fā)的功能。

表1 WLAN網(wǎng)絡(luò)所需設(shè)備信息

網(wǎng)絡(luò)部署規(guī)劃

根據(jù)公司的實際網(wǎng)絡(luò)環(huán)境，實際部署WLAN網(wǎng)絡(luò)前所做的規(guī)劃如下。

1.WLAN網(wǎng)絡(luò)部署架構(gòu)規(guī)劃

為規(guī)避網(wǎng)絡(luò)架構(gòu)調(diào)整所帶來的風險，根據(jù)項目的實際情況，擬采用集中轉(zhuǎn)發(fā)的模式搭建無線覆蓋網(wǎng)絡(luò)，無線數(shù)據(jù)流量統(tǒng)一在AC上做認證、管控和轉(zhuǎn)發(fā)。AC和Agile Controller均統(tǒng)一部署在數(shù)據(jù)中心機房，其中AC以旁路部署的方式接入核心交換機，Agile Controller服務器以普通服務器方式接入即可。AP通過POE交換機部署到各個覆蓋場景，結(jié)合實際辦公環(huán)境，確定每個AP的部署位置。根據(jù)部署情況，WLAN網(wǎng)絡(luò)從邏輯結(jié)構(gòu)上可以分為終端接入側(cè)、數(shù)據(jù)通信網(wǎng)、無線管控平臺三大塊（如圖1）。

（1）終端接入側(cè)

采用瘦AP方式進行部署，AP全部吊裝在天花板上。AP型號選擇華為AP4030DN和AP5030DN室內(nèi)吊裝型產(chǎn)品，分別用于普通辦公場所和高密辦公場所，這兩款AP均支持802.11a/b/g/n/ac等 標準，自動射頻調(diào)優(yōu)，可以滿足全范圍覆蓋和無縫漫游的需求，減少同頻干擾，提高無線接入的客戶體驗度。

（2）數(shù)據(jù)承載網(wǎng)絡(luò)

采用公司原有的思科千兆POE交換機完成接入，通過POE方式對AP供電，交換機通過GE光纖鏈路上行連接到核心交換機。

（3）無線管控平臺

項目中采用華為AC6605控制器作為無線AP的控制、維護以及流量轉(zhuǎn)發(fā)的設(shè)備，實現(xiàn)對全網(wǎng)AP的自動配置下發(fā)、射頻管理、信道分配等統(tǒng)一的管理和安全接入控制，讓網(wǎng)絡(luò)管理人員可以輕松管理辦公樓無線網(wǎng)絡(luò)。同時，使用華為Agile Controller進行用戶的安全策略控制，提供用戶管理、準入控制、訪客管理等功能，實現(xiàn)基于用戶組的管理和授權(quán)策略。

2.SSID規(guī)劃

針對公司實際用戶情況，擬劃分兩個SSID分別供兩類用戶使用，其中“employee”供公司內(nèi)部員工使用，“guest”供外部訪客使用。用戶需要根據(jù)自己的身份連接對應的SSID，然后再使用無線。

3.無線漫游規(guī)劃

漫游是指用戶在部署了無線網(wǎng)絡(luò)的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認證。實現(xiàn)無線漫游功能后，用戶在公司各辦公樓層移動，無線終端均會透明自動地進行AP切換，保證無線網(wǎng)絡(luò)的連續(xù)性。

4.無線頻段規(guī)劃

現(xiàn)行WiFi使用的頻段包括2.4GHz和5GHz兩種，2.4G頻段傳輸速率低，容易受到其他干擾源的干擾；5G頻段傳輸速率高，不易受到干擾?，F(xiàn)在大多數(shù)無線終端都已支持5G頻段，只有少部分老舊無線終端僅支持2.4G頻段。為保證無線用戶的上網(wǎng)體驗，同時兼顧老舊終端對2.4GHz的兼容性，本項目采用5G和2.4G雙頻段并行的方式，如果接入終端支持5G，則優(yōu)先使用5G頻段；反之，則使用2.4G頻段。

5.用戶認證方式規(guī)劃

本項目采用Agile Controller提供的Portal認證功能來實現(xiàn)用戶的實名制上網(wǎng)。用戶賬號和密碼由管理員在后臺創(chuàng)建，分為內(nèi)部員工和訪客兩個角色；內(nèi)部員工賬號采用工號，訪客賬號采用手機號，可以通過后臺批量導入功能創(chuàng)建賬號。用戶無線終端接入對應的SSID后，打開瀏覽器，輸入任意一個網(wǎng)址，即可彈出Portal認證頁面，按照頁面提示輸入合法用戶名和密碼后，點擊“登錄”，即可接入無線網(wǎng)絡(luò)。用戶首次登錄，必須修改默認密碼，修改完成后，才可正常接入，避免用戶使用默認密碼導致賬號被盜用。

6.用戶訪問控制策略規(guī)劃

本項目采用Agile Controller + AC實現(xiàn)內(nèi)部員工和訪客兩種角色的資源訪問控制權(quán)限。內(nèi)部員工接入后，可以訪問內(nèi)網(wǎng)+外網(wǎng)；訪客接入后，僅可以訪問外網(wǎng)。每個用戶僅可以同時使用一個移動終端上網(wǎng)。如果單用戶使用終端數(shù)量超過一臺，超出終端將會自動下線。后期如果有其他策略要求，可靈活針對IP進行調(diào)整。

表2 無線IP規(guī)劃表

7.用戶及設(shè)備IP規(guī)劃

為了實現(xiàn)用戶無線上網(wǎng)以及無線設(shè)備的管理，需要為接入的無線終端和無線AP等設(shè)備分配IP地址，結(jié)合公司實際情況，擬按照劃分管理VLAN和業(yè)務VLAN的方式進行部署，其中管理VLAN內(nèi)AP的IP地址分配由AC負責，業(yè)務VLAN中的內(nèi)部用戶VLAN和訪客VLAN的IP分配由公司DHCP服務器負責，具體如表2所示。

8.分支機構(gòu)無線部署

公司在外地有一些分支機構(gòu)，這些機構(gòu)與公司之間通過租用的運營商專線進行連接。只要公司與分支機構(gòu)之間路由可達，就可以將分支機構(gòu)納入WLAN網(wǎng)絡(luò)的統(tǒng)一部署中。分支機構(gòu)部署的AP只需要在公司AC上進行注冊，即可接受AC和Agile Controller服務器的統(tǒng)一管理，包括自動配置下發(fā)、用戶認證授權(quán)、訪問控制策略下發(fā)等，與本地化部署效果完全一致。