韓霜 魏宏

摘要：文章詳細(xì)介紹了無(wú)線交換機(jī)+FIT AP架構(gòu)模式在企業(yè)中的應(yīng)用，成功實(shí)現(xiàn)整個(gè)辦公大樓的無(wú)線網(wǎng)絡(luò)覆蓋，同時(shí)滿足訪客和用戶的入網(wǎng)需求，達(dá)到網(wǎng)絡(luò)的靈活安全使用。

關(guān)鍵詞：WLAN;FIT AP;無(wú)感知認(rèn)證

中圖分類(lèi)號(hào)：TN925 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）04-0022-02

0 引言

隨著筆記本電腦和個(gè)人數(shù)字助理、手機(jī)等移動(dòng)設(shè)備的普遍使用，無(wú)線計(jì)算機(jī)網(wǎng)絡(luò)也逐漸流行起來(lái)，同時(shí)，無(wú)線接入方式的理念諸如寬帶化、移動(dòng)化、IP化等特點(diǎn)的提出，WLAN憑借其接入速率高、架構(gòu)使用便捷、系統(tǒng)使用費(fèi)用低廉及擴(kuò)展性較好等優(yōu)點(diǎn)，使之應(yīng)用也越來(lái)越廣泛。

1 WLAN

無(wú)線局域網(wǎng)絡(luò)（ Wireless Local Area Networks簡(jiǎn)稱(chēng)： WLAN），它是一個(gè)相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，使用射頻技術(shù)、電磁波，取代傳統(tǒng)使用的雙絞線所架構(gòu)的局域網(wǎng)絡(luò)，在空中進(jìn)行信息通信，使得WALN利用簡(jiǎn)單的存取設(shè)備讓用戶透過(guò)它，達(dá)到“信息隨身化、便利走天下”的理想境界。

無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，主要經(jīng)過(guò)了三個(gè)技術(shù)及產(chǎn)品的發(fā)展歷程：第一代：每一臺(tái)AP設(shè)備都要進(jìn)行單獨(dú)配置，采用FAT AP，就是我們所說(shuō)的“胖”AP，費(fèi)時(shí)、費(fèi)力、費(fèi)成本。第二代：主要融入了無(wú)線網(wǎng)關(guān)功能，由于不能進(jìn)行集中管理和配置，安全性和對(duì)有線網(wǎng)絡(luò)的依賴成了WLAN 發(fā)展的瓶頸。另外由于AC或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于奔騰架構(gòu)的，所以當(dāng)用戶接入數(shù)量增多時(shí)，無(wú)線局域網(wǎng)的性能會(huì)急速下降，通常會(huì)發(fā)生死機(jī)、掉線或網(wǎng)速卡頓等狀況。第三代：采用無(wú)線交換機(jī)加FIT AP，就是所謂的“瘦”AP架構(gòu)，對(duì)傳統(tǒng)WLAN設(shè)備的功能做了重新規(guī)劃，同時(shí)加入了許多新的重要功能：諸如無(wú)縫漫游、AP間自適應(yīng)、RF監(jiān)測(cè)、無(wú)線安管、無(wú)線網(wǎng)管以及Qos，使得無(wú)線局域網(wǎng)的網(wǎng)絡(luò)性能、管理、安全性能得到極大的提高。

2 整體網(wǎng)絡(luò)架構(gòu)

目前，需要實(shí)現(xiàn)公司辦公大樓的無(wú)線網(wǎng)絡(luò)整體覆蓋，使大樓內(nèi)通過(guò)WLAN網(wǎng)絡(luò)隨時(shí)隨地訪問(wèn)internet，保存連接日志，流量管理等功能，達(dá)到無(wú)死角、無(wú)卡頓漫游，可以對(duì)用戶訪問(wèn)情況進(jìn)行記錄，同時(shí)滿足到訪用戶及員工的入網(wǎng)需求，達(dá)到網(wǎng)絡(luò)的靈活安全使用。主要采用無(wú)線交換機(jī)+FIT AP接入（即“瘦”AP的架構(gòu)），支持802.11ac Wave2協(xié)議;在整個(gè)核心機(jī)房采用1臺(tái)AC進(jìn)行對(duì)AP的統(tǒng)一管理和監(jiān)控（如圖1所示），從核心機(jī)房布放光纜到每棟樓，并在每棟樓部署交換機(jī)，完成末端AP的上行匯聚。

其中：（1）UAC設(shè)備主要實(shí)現(xiàn)：NAT地址轉(zhuǎn)換、端口轉(zhuǎn)換、路由指向、行為審計(jì)等;（2）認(rèn)證RG-ESS：主要實(shí)現(xiàn)無(wú)線內(nèi)網(wǎng)用戶認(rèn)證，同時(shí)與AC設(shè)備的聯(lián)動(dòng)等;（3）核心：主要實(shí)現(xiàn)新增無(wú)線VLAN及VLAN接口、路由指向、與UAC 互聯(lián)、配置策略等;（4）無(wú)線AC：IP地址、路由指向、VLAN創(chuàng)建、發(fā)射無(wú)線信號(hào)、創(chuàng)建AP地址池等;（5）匯聚：創(chuàng)建VLAN等;（6）接入：鏈路配置等;（7）無(wú)線POE：創(chuàng)建VLAN、配置默認(rèn)路由指向、配置交換機(jī)管理地址等。

2.1 內(nèi)部用戶無(wú)感知接入

在用戶接入側(cè)，為保證每個(gè)接入用戶的線路質(zhì)量，將根據(jù)SSID域?qū)尤胗脩暨M(jìn)行限速處理。同時(shí)內(nèi)部用戶無(wú)感知接入，無(wú)感知認(rèn)證可以簡(jiǎn)單的理解為無(wú)需人為干預(yù)可以自動(dòng)完成身份認(rèn)證，用戶只需首次進(jìn)行無(wú)線相關(guān)參數(shù)設(shè)置和用戶信息校驗(yàn)，采用EAP-PEAP協(xié)議進(jìn)行用戶身份認(rèn)證，如圖2所示。

（1）內(nèi)部用戶連接對(duì)應(yīng)的無(wú)線信號(hào)，觸發(fā)802.1x認(rèn)證;（2）客戶終端會(huì)彈出輸入用戶名和密碼的選項(xiàng)，輸入對(duì)應(yīng)的AD域賬號(hào)和密碼，提交認(rèn)證;（3）認(rèn)證通過(guò)802.1x方式傳遞至認(rèn)證系統(tǒng)RG-ESS，認(rèn)證系統(tǒng)將信息轉(zhuǎn)發(fā)給AD域控系統(tǒng)，AD域控系統(tǒng)進(jìn)行最終用戶的信息校驗(yàn);（4）如果信息正常，則返回認(rèn)證成功消息至認(rèn)證系統(tǒng)，再由認(rèn)證系統(tǒng)下發(fā)策略至AC設(shè)備，通知放通對(duì)應(yīng)的用戶，同時(shí)在客戶端通知正常連接，用戶即可訪問(wèn)網(wǎng)絡(luò)。

2.2 DHCP規(guī)劃

無(wú)線用戶和無(wú)線AP需要通過(guò)DHCP方式分發(fā)IP地址。其中AP的DHCP配置需要指定option 138字段，AP通過(guò)此字段與AC建立CAPWAP隧道，無(wú)線用戶使用常規(guī)的地址添加方式即可。DHCP服務(wù)器可以新建立一臺(tái)虛擬機(jī)，安裝windows server操作系統(tǒng)，專(zhuān)門(mén)為無(wú)線用戶提供DHCP地址，減少對(duì)現(xiàn)網(wǎng)有線業(yè)務(wù)的干擾影響。由于涉及到option 138字段，無(wú)線AP的地址池直接創(chuàng)建在AC上，通過(guò)中繼獲取。

2.3 身份認(rèn)證規(guī)劃

內(nèi)部用戶使用AD域認(rèn)證方式，輸入AD域的賬號(hào)和密碼進(jìn)行上網(wǎng);訪客登錄可以通過(guò)掃描二維碼的方式，訪客連接WiFi后彈出對(duì)應(yīng)二維碼，隨后由接待者（內(nèi)部用戶）通過(guò)掃描對(duì)應(yīng)二維碼完成訪客開(kāi)戶認(rèn)證等相關(guān)流程，實(shí)現(xiàn)訪客用戶的快速靈活安全接入。

2.4 權(quán)限控制

訪客和內(nèi)部用戶通過(guò)IP地址進(jìn)行權(quán)限區(qū)分，通過(guò)ACL控制IP地址的方式，限制不同的權(quán)限的訪問(wèn)，訪客用戶拒絕訪問(wèn)內(nèi)部資源，內(nèi)部用戶允許訪問(wèn)內(nèi)部資源，如果訪客用戶需要訪問(wèn)內(nèi)部資源，需要管理員在對(duì)應(yīng)的ACL將其IP放通允許即可。

3 結(jié)語(yǔ)

通過(guò)無(wú)線網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用可以實(shí)現(xiàn)整個(gè)大樓的無(wú)線網(wǎng)絡(luò)覆蓋，連接日志保存，流量管理等功能同時(shí)達(dá)到以下效果。

（1）終端設(shè)備移動(dòng)時(shí)能無(wú)縫漫游，保證終端設(shè)備在使用過(guò)程中的網(wǎng)絡(luò)連續(xù)性，AP切換時(shí)用戶無(wú)卡頓體驗(yàn);（2）無(wú)線網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)兩個(gè)Vlan，外網(wǎng)Vlan僅能訪問(wèn)互聯(lián)網(wǎng)，內(nèi)網(wǎng)Vlan可訪問(wèn)內(nèi)網(wǎng)資源及訪問(wèn)互聯(lián)網(wǎng)，用戶接入后可根據(jù)不同身份分配不同地址分別接入內(nèi)網(wǎng)或外網(wǎng)Vlan;（3）訪客登錄需提交申請(qǐng)，通過(guò)郵件發(fā)送到管理員或帶訪員工郵箱，由管理員或帶訪員工確認(rèn)后，按預(yù)設(shè)或指定的時(shí)長(zhǎng)時(shí)段訪問(wèn)外網(wǎng)，支持微信公眾號(hào)認(rèn)證和短信認(rèn)證功能;（4）增加一臺(tái)上網(wǎng)行為控制設(shè)備，具有記錄用戶上網(wǎng)行為審計(jì)、網(wǎng)絡(luò)帶寬控制、訪問(wèn)權(quán)限范圍控制及遠(yuǎn)程WEB管理等功能。