張寶辰 天津市天河計(jì)算機(jī)技術(shù)有限公司

前言：無(wú)線(xiàn)網(wǎng)絡(luò)為企業(yè)帶來(lái)了更加便捷的辦公方式，相較傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)，無(wú)線(xiàn)網(wǎng)絡(luò)部署簡(jiǎn)單，不需要大規(guī)模布線(xiàn)，能夠快速重建，網(wǎng)絡(luò)擴(kuò)展相對(duì)簡(jiǎn)單。隨著無(wú)線(xiàn)網(wǎng)絡(luò)在企業(yè)中的普及，越來(lái)越多的網(wǎng)絡(luò)和安全問(wèn)題也漸漸呈現(xiàn)。 如何保障無(wú)線(xiàn)網(wǎng)的穩(wěn)定和高效的運(yùn)行，如何防止未授權(quán)用戶(hù)的非法入侵等等，也成為網(wǎng)絡(luò)運(yùn)維人員首先考慮和解決的問(wèn)題。

1 企業(yè)無(wú)線(xiàn)辦公網(wǎng)絡(luò)需求分析

1.1 企業(yè)無(wú)線(xiàn)網(wǎng)現(xiàn)狀

目前企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)采用AC+ FIT AP（無(wú)線(xiàn)控制器+無(wú)線(xiàn)接入點(diǎn)）的部署方式，終端通過(guò)連接 WLAN（ Wireless Local Area Networks）訪問(wèn)內(nèi)部辦公網(wǎng)絡(luò)和互聯(lián)網(wǎng)， 為企業(yè)提供了良好的移動(dòng)辦公網(wǎng)絡(luò)。 但在使用一段時(shí)間后出現(xiàn)網(wǎng)絡(luò)延時(shí)高、丟包等問(wèn)題，部分辦公區(qū)域無(wú)線(xiàn)信號(hào)較差，終端偶爾會(huì)掉線(xiàn)，影響正常辦公。 企業(yè)經(jīng)常有來(lái)賓出入，同樣會(huì)接入WLAN并且未進(jìn)行權(quán)限分級(jí)，能夠訪問(wèn)辦公網(wǎng)資源，存在安全隱患。

1.2 需求分析

1.2.1 無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋、傳輸速率保障

對(duì)辦公區(qū)域?qū)崿F(xiàn)100%信號(hào)覆蓋無(wú)死角，移動(dòng)終端實(shí)現(xiàn)無(wú)縫漫游。保證辦公內(nèi)網(wǎng)具備良好的傳輸速度，以及互聯(lián)網(wǎng)的流暢訪問(wèn)，不出現(xiàn)嚴(yán)重卡頓和丟包問(wèn)題。

1.2.2 終端認(rèn)證，用戶(hù)分級(jí)

終端連接WLAN采用安全認(rèn)證機(jī)制，對(duì)數(shù)據(jù)傳輸進(jìn)行加密，保證網(wǎng)絡(luò)和數(shù)據(jù)安全性。對(duì)企業(yè)員工和來(lái)訪人員進(jìn)行用戶(hù)分級(jí)，嚴(yán)格管控?zé)o線(xiàn)網(wǎng)訪問(wèn)權(quán)限，防止外來(lái)人員非法接入。

2 無(wú)線(xiàn)網(wǎng)絡(luò)優(yōu)化方案

2.1 負(fù)載均衡、自動(dòng)功率和信道調(diào)整

配置負(fù)載均衡功能，達(dá)到AP之間終端數(shù)量的均衡連接目的，使終端能夠自動(dòng)接入最優(yōu)的AP，同時(shí)AP本機(jī)的終端接入數(shù)量能夠自行管控，把信號(hào)較差的終端剔除并連接到其余的AP。

設(shè)置AP信道模式為auto，并配置AP射頻功率自動(dòng)調(diào)整，這樣能夠防止AP間無(wú)線(xiàn)信號(hào)的干擾，如果其中一臺(tái)AP發(fā)生宕機(jī)，其附近的AP會(huì)自動(dòng)調(diào)整信道并增加射頻功率，保障AP周?chē)鸁o(wú)線(xiàn)終端的穩(wěn)定連接和WLAN信號(hào)全面覆蓋。

2.2 關(guān)閉低速率

無(wú)線(xiàn)網(wǎng)絡(luò)中不采用固定速率來(lái)傳輸報(bào)文，采用的是速率集對(duì)報(bào)文進(jìn)行傳輸，比如 802.11g 支持1、2、5.5、 11、6、9、12、18、24、36、48、54 Mbps速率，終端無(wú)線(xiàn)網(wǎng)卡或AP傳輸報(bào)文時(shí)，通過(guò)動(dòng)態(tài)的方式，在以上的速率集中隨機(jī)挑選一個(gè)速率來(lái)傳輸。

一般所說(shuō)的802.11g能夠到達(dá)的速率，是指在單一空口信道的條件下，全部報(bào)文使用54M速率來(lái)傳輸?，F(xiàn)實(shí)情況則是較多的Broadcast報(bào)文以及管理報(bào)文均采用最低1 Mbps的速率來(lái)傳輸，這樣將占用一些空口的資源，因此需要禁止1、2、6、9Mbps速率傳輸，提高空口利用率，降低Broadcast等報(bào)文不必要的占用。

2.3 無(wú)線(xiàn)用戶(hù)終端限速

企業(yè)內(nèi)部會(huì)出現(xiàn)一些無(wú)線(xiàn)終端采用P2P、FTP等軟件傳輸文件的情況，當(dāng)多個(gè)用戶(hù)同時(shí)進(jìn)行傳輸時(shí)，可能產(chǎn)生較大流量峰值，影響到內(nèi)部網(wǎng)絡(luò)中其他用戶(hù)，嚴(yán)重消耗網(wǎng)絡(luò)空間資源，出現(xiàn)上網(wǎng)卡頓、丟包、ping延時(shí)較大等問(wèn)題。

為確保無(wú)線(xiàn)網(wǎng)絡(luò)質(zhì)量，應(yīng)該在AC上統(tǒng)一配置QOS，把無(wú)線(xiàn)終端的傳輸速率和帶寬限制在一個(gè)合理的范圍內(nèi)，從而避免流量突發(fā)影響到無(wú)線(xiàn)網(wǎng)絡(luò)內(nèi)其他終端的正常使用，保障WLAN辦公網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

2.4 配置beacon報(bào)文發(fā)送間隔

每臺(tái)AP在缺省配置下發(fā)送Beacon信號(hào)的時(shí)間間隔是100毫秒，Beacon信號(hào)的作用是宣告無(wú)線(xiàn)網(wǎng)絡(luò)，并且用來(lái)與無(wú)線(xiàn)終端同步信息。

Beacon在所有無(wú)線(xiàn)報(bào)文中的優(yōu)先級(jí)相對(duì)較高，采用最低速率進(jìn)行傳輸，可以在AC上配置Beacon報(bào)文傳輸間隔為160ms～200ms，從而減少對(duì)空口資源的占用。

2.5 配置AP發(fā)送報(bào)文重傳次數(shù)

為了避免無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)的干擾與沖突，WLAN協(xié)議的物理層在功能設(shè)計(jì)方面已經(jīng)包含了重傳機(jī)制，若達(dá)到重傳次數(shù)的上限，則會(huì)丟棄掉報(bào)文；若一臺(tái)AP發(fā)送報(bào)文未接收到目標(biāo)設(shè)備ACK的回應(yīng)，則AP會(huì)通過(guò)硬件來(lái)重傳。

AP的缺省配置是重傳四次，可在AC上配置重傳次數(shù)為八次，這樣能夠在WLAN異常時(shí)，提高報(bào)文成功傳輸?shù)膸茁省?/p>

3 無(wú)線(xiàn)網(wǎng)絡(luò)安全策略

3.1 ARP攻擊防護(hù)

企業(yè)內(nèi)部網(wǎng)絡(luò)最常見(jiàn)的就是ARP攻擊，攻擊方式有偽造網(wǎng)關(guān)、偽造用戶(hù)終端和Flooding攻擊等，針對(duì)此類(lèi)攻擊防范可以采用終端防護(hù)和網(wǎng)絡(luò)防護(hù)的方法。終端防護(hù)可以在設(shè)備上配置source MAC一致性檢測(cè)與主動(dòng)確認(rèn)機(jī)制等策略，同時(shí)限制網(wǎng)絡(luò)設(shè)備端口ARP學(xué)習(xí)數(shù)量以及ARP限速等策略，降低網(wǎng)絡(luò)設(shè)備被攻擊的風(fēng)險(xiǎn)。整體網(wǎng)絡(luò)防護(hù)可以采用IP+MAC+端口綁定、dhcp snooping+arp detection等策略，防止攻擊源偽造網(wǎng)關(guān)、偽造用戶(hù)終端等攻擊。

3.2 SSID隱藏和用戶(hù)分級(jí)

將企業(yè)無(wú)線(xiàn)辦公網(wǎng)和來(lái)賓網(wǎng)絡(luò)分別配置兩個(gè) SSID并區(qū)分開(kāi)，關(guān)閉企業(yè)WLAN的 SSID廣播功能， 這樣外來(lái)人員的無(wú)線(xiàn)終端將無(wú)法搜索到辦公網(wǎng)的 SSID， 僅能夠連接來(lái)賓專(zhuān)用 SSID，內(nèi)部員工通過(guò)手工配置的方式，在終端上配置 SSID接入，員工和來(lái)賓分配不同網(wǎng)段 IP地址，并配置訪問(wèn)策略，防止非法訪問(wèn)。

3.3 基于mac地址認(rèn)證

企業(yè)員工采用 基于MAC認(rèn)證的方式接入 WLAN， MAC認(rèn)證是控制終端訪問(wèn)權(quán)限的一種認(rèn)證方法， 不需要用戶(hù)安裝任何客戶(hù)端軟件。網(wǎng)絡(luò)設(shè)備在第一次偵測(cè)到終端的MAC后，立刻對(duì)此終端進(jìn)行認(rèn)證。在認(rèn)證的時(shí)候，對(duì)于用戶(hù)來(lái)講是無(wú)感知的，無(wú)需進(jìn)行鍵入賬號(hào)和密碼的操作。能夠效防止未授權(quán)的用戶(hù)無(wú)線(xiàn)終端接入WLAN。

結(jié)論：綜上所述，無(wú)線(xiàn)網(wǎng)絡(luò)的穩(wěn)定與安全是保證現(xiàn)代企業(yè)正常辦公的基本條件，只有通過(guò)技術(shù)手段不斷地進(jìn)行優(yōu)化、調(diào)整，才能滿(mǎn)足企業(yè)日益增長(zhǎng)的網(wǎng)絡(luò)需求。同時(shí)還要對(duì)企業(yè)員工進(jìn)行相關(guān)培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，采用合理的安全規(guī)范和管理手段，營(yíng)造健康的辦公網(wǎng)絡(luò)環(huán)境。