寧波 張恒

最近筆者公司在結(jié)合實地勘察與網(wǎng)絡(luò)資料研究匯總，據(jù)現(xiàn)有公司的網(wǎng)絡(luò)布局，在不做大的變動如墻面裝修工程等前提下，規(guī)劃并實施了關(guān)于公司辦公大樓無線網(wǎng)絡(luò)布設(shè)和統(tǒng)一管理工作，能基本滿足覆蓋與管理的需要。今后，全公司辦公網(wǎng)覆蓋范圍內(nèi)也可統(tǒng)一安全管理的無線網(wǎng)絡(luò)布設(shè)延展。

技術(shù)選擇和規(guī)劃

1.無線網(wǎng)絡(luò)連接覆蓋整體模式選擇

成熟的無線網(wǎng)絡(luò)控制器(AC)+無線熱點(AP)瘦客戶端方式統(tǒng)一安裝連接和實現(xiàn)統(tǒng)一管理，此方式好處除了可統(tǒng)一管理設(shè)置相關(guān)參數(shù)如無線密碼、不同無線名稱、支持vlan 等，且對于無線上網(wǎng)設(shè)備遷移中的網(wǎng)絡(luò)穩(wěn)定性也能根據(jù)信號強度自動切換而使之保持較好狀態(tài)（能夠?qū)崿F(xiàn)自動無線熱點轉(zhuǎn)接，不會出現(xiàn)網(wǎng)絡(luò)信號不好了可設(shè)備還連在上面導致網(wǎng)絡(luò)傳輸很不穩(wěn)定等情況）。

2.網(wǎng)絡(luò)安全考慮

默認無線網(wǎng)絡(luò)隔離于現(xiàn)有OA 辦公網(wǎng)，經(jīng)過具體使用人向網(wǎng)絡(luò)管理員獲取無線密碼連接入無線網(wǎng)，同時訪問網(wǎng)絡(luò)可以設(shè)置每個人的登陸驗證網(wǎng)頁，強化安全性。

3.網(wǎng)絡(luò)布設(shè)設(shè)備選型和方案

無線網(wǎng)絡(luò)連接拓撲結(jié)構(gòu)

無線網(wǎng)絡(luò)控制器(AC)+無線熱點(AP)綜合考慮選擇國內(nèi)產(chǎn)品線較為完善的網(wǎng)絡(luò)設(shè)備制造上普聯(lián)科技(TP-link)產(chǎn)品，初步確定使用網(wǎng)絡(luò)控制器(AC) 為TLAC300（全千兆網(wǎng)絡(luò)接口能夠配套連接公司核心交換機的速率，支持微信等認證方式連接無線網(wǎng)）。

以及根據(jù)我公司現(xiàn)有網(wǎng)絡(luò)布設(shè)不能大動重新裝修的現(xiàn)狀，選擇：450M 無線面板式AP TL-AP450I-DC（在 同 時有電源和有線網(wǎng)絡(luò)插座處就可以安裝，節(jié)省購置大量Poe網(wǎng)線供電交換機經(jīng)費和重新布線的工作量）、450MB 無線桌面式AP TL-AP450D（根據(jù)需要在適當辦公室閑置網(wǎng)絡(luò)接口上安裝）、以及防潮防水高穿透無線AP TL-AP301P（根據(jù)需要安裝在每層樓道電纜間，重點是建筑物每層的樓道電纜間）等根據(jù)具體安裝位置高低搭配。

4.網(wǎng)絡(luò)初步規(guī)劃

計劃使用與辦公網(wǎng)相互網(wǎng)段隔離的192.X.X.0/27可連接外網(wǎng)的此網(wǎng)段為主安裝無線AP 提高安全性（無線網(wǎng)主要用于連接互聯(lián)網(wǎng)和訪問公司手機客戶端微信等）。

今后，只要是在辦公網(wǎng)等網(wǎng)絡(luò)聯(lián)通延伸所需的地點都可擴展安裝無線AP，都可實現(xiàn)統(tǒng)一管理。具體公司辦公大樓與食堂等其他建筑物的無線熱點安裝位置根據(jù)實際公司現(xiàn)有網(wǎng)線布設(shè)情況初步確定，基本實現(xiàn)主要的區(qū)域都能夠連接入該無線網(wǎng)絡(luò)。

根據(jù)上述規(guī)劃采購了相關(guān)設(shè)備后，具體實施過程

1.設(shè)置無線控制器TLAC300

（1）連接電腦設(shè)置為192.168.1.9/24 地址，連接設(shè)備出廠默認管理地址192.168.1.253/24，設(shè)置管理員賬戶密碼；

（2）進入“網(wǎng)絡(luò)設(shè)置”/“接口設(shè)置”，由于該AC 控制器每個接口（包括虛擬vlan 接口）只能有一個IP（及其網(wǎng)段），需要設(shè)置與各個vlan聯(lián)通的IP 及其對應(yīng)子網(wǎng)參數(shù)（這里需要配套統(tǒng)一網(wǎng)絡(luò)中核心交換機和網(wǎng)關(guān)的網(wǎng)絡(luò)設(shè)置），最好是能夠獨立設(shè)置一個無線控制器和無線AP通訊的專用網(wǎng)絡(luò)或虛擬局域網(wǎng)vlan 接口，以便于統(tǒng)一管理（當然也可以把這個網(wǎng)段和具體某個無線網(wǎng)AP 自身和無線端用戶連接后自動獲取的地址放到同一個vlan里）。

可以先改原有缺省的vlan 1 的管理地址為公司內(nèi)網(wǎng)絡(luò)中的企業(yè)統(tǒng)一交換機管理網(wǎng)段中地址，使用辦公網(wǎng)絡(luò)vlan 12 為公司內(nèi)部無線網(wǎng)絡(luò)單獨設(shè)置了通訊網(wǎng)絡(luò)接口地址172.x.x.x/24，設(shè)置了網(wǎng)關(guān)地址172.x.x.y/24（主要是為了今后訪客網(wǎng)絡(luò)微信認證和獲取時間等對外通訊需要）。

進一步設(shè)置新增了其 他vlan 14 和16，分 別是公司內(nèi)部員工無線網(wǎng)vlan 14:192.168.w.2/23和訪客用的無線網(wǎng)vlan 16:192.168.v.2/23，上述兩個網(wǎng)段每個都預留可提供近500 個終端設(shè)備聯(lián)通。

（3）在無線控制器AC300中“網(wǎng)絡(luò)設(shè)置”/“DHCP 服務(wù)”中新增開啟該上述網(wǎng)段的地址DHCP 自動分配，設(shè)好相關(guān)參數(shù)，如網(wǎng)關(guān)地址、地址池范圍，域名解析服務(wù)器DNS 地址等，以及作用的具體端口>服務(wù)接口(具體的vlan)。

這樣就可以為各個vlan中聯(lián)網(wǎng)設(shè)備（包括各個無線AP）自動分配地址進行與AC控制器的聯(lián)通通訊，從而實現(xiàn)統(tǒng)一設(shè)置和管理。

（4）在“網(wǎng)絡(luò)設(shè)置”/“vlan設(shè)置”中，設(shè)置vlan 名稱和vlan 號（對應(yīng)上述接口設(shè)置中參數(shù)，主要vlan 號id），劃分具體物理端口所屬的vlan，以及數(shù)據(jù)包出入是否加減具體vlan 標簽(+tag或-tag)。

這里設(shè)物理端口1 為所有vlan 上聯(lián)口，除了vlan 1以外所有vlan 此口皆是數(shù)據(jù)包加tag 進出，以對接核心交換機類似的trunk 口，這里的“端口設(shè)置”里pvid參數(shù)設(shè)置是去tag(untag或-tag)出去的數(shù)據(jù)包默認所述具體某個vlan 聯(lián)通普通口，1 號口默認PVID 為1，2 號口3 號口暫設(shè)為聯(lián)通管理vlan 12 的普通端口，用于直接連接測試設(shè)置無線ap。

（5）進入“無線管理”/“無線服務(wù)”界面，新增設(shè)置所需要的無線網(wǎng)絡(luò)做下一步設(shè)置的備用，包括設(shè)置網(wǎng)絡(luò)名稱SSID、加密方式、密碼，是否需要內(nèi)部相互隔離以及帶寬限制等參數(shù)，這里分別新增設(shè)置了：aaa 和aaa-fangke兩個無線網(wǎng)，選擇加密方式wpa2-psk 模式加密，設(shè)置無線網(wǎng)aaa 的密碼，另一個作為今后訪客使用，并啟用其內(nèi)部隔離和用戶的帶寬限制。

（6）此時連接一個無線AP 上電，接入無線控制器2號口，之后就會在無線控制器“系統(tǒng)狀態(tài)”/“AP 狀態(tài)”中看到此無線AP。并已經(jīng)分配172.x.x.x/24 網(wǎng)段的地址。

在“AP 管理”中可以設(shè)置具體無線AP 的名稱和進行新增分組等，可以安裝建筑物分組，或者按照AP 具體所處vlan 網(wǎng)絡(luò)分組。AP 可以識別+tag 的不同vlan 數(shù)據(jù)包，因此可為一個AP 綁定多個vlan，也可設(shè)定面板上的有線物理線路的網(wǎng)口所屬vlan。

（7）在“射頻管理”/“射頻設(shè)置”中，可以調(diào)整具體AP 的無線發(fā)射功率等參數(shù)，建議根據(jù)需要調(diào)大一些，其他具體無線參數(shù)一般采取默認即可。

（8）再次進入“無線管理”/“無線服務(wù)”界面，用“射頻綁定”為具體的無線AP 設(shè)置綁定上面第5 步設(shè)置的無線網(wǎng)名稱，同時填入vlan 號將此無線名稱綁定到具體的vlan 接口上，這樣就可以使得具體AP 發(fā)射哪些無線網(wǎng)，并且該無線網(wǎng)絡(luò)隸屬哪些vlan 網(wǎng)絡(luò)。此地可以按照分組統(tǒng)一設(shè)置綁定等操作。

由于AP 可以識別網(wǎng)絡(luò)中+tag 的不同vlan 的數(shù)據(jù)包，因此可以為一個AP 綁定多個vlan 對應(yīng)到需要的無線網(wǎng)絡(luò)中。

（9）在“認證管理”/“用戶管理”中，添加新增用戶列表，設(shè)置有關(guān)屬性，包括帳戶密碼、允許聯(lián)網(wǎng)時間段、時限等。

然后再在“Portal 認證”中的“Web 認證”里將上述條目綁定到具體的vlan ID 號上，這樣連接入無線網(wǎng)絡(luò)者的設(shè)備還需要經(jīng)過網(wǎng)頁認證通過才能真正經(jīng)該無線網(wǎng)聯(lián)通網(wǎng)絡(luò)。

這里暫時是同步手動公司OA 賬戶密碼的辦法來維護該無線網(wǎng)公司員工認證列表，每年定期幾次以O(shè)A 賬戶密碼為準。

（10）也可設(shè)置訪客在微信關(guān)注本公司公眾號后獲得聯(lián)網(wǎng)，需要在公眾號管理員登記公司門店以后，在WiFi小工具中獲得有關(guān)參數(shù)后設(shè)置。

2.設(shè)置公司華為核心三層交換機

（1）在交換機中添加vlan 虛擬子網(wǎng)接口。需注意配套上述在無線控制器中設(shè)置的對應(yīng)vlan 號，分別添加vlan 14、vlan 16 等子接口并設(shè)置對應(yīng)在無線控制器中設(shè)置的對應(yīng)IP 地址192.168.w.1/23、192.168.v.1/23（作為該虛擬局域網(wǎng)的網(wǎng)段中下屬各個聯(lián)網(wǎng)設(shè)備的網(wǎng)關(guān)地址）；

（2）隸屬各vlan 的交換機端口去其tag 口，其他vlan 則是在該端口為+tag出入。比如隸屬辦公網(wǎng)的vlan 12 的交換機端口數(shù)據(jù)包是-tag12（untag 12），+tag2/4/6/8/10/14/16/18等。trunk 口則是除默認vlan 1 外全部數(shù)據(jù)包都是+tag 口。

（3）設(shè)置各子網(wǎng)的ACL訪問控制列表，禁止訪客網(wǎng)訪問各辦公子網(wǎng)，允許公司認證員工無線網(wǎng)訪問OA 辦公網(wǎng)資源（但禁止訪問其他）。

3.設(shè)置辦公大樓等建筑物的各樓層智能網(wǎng)管交換機

（1）對公司大樓各樓層24 口全千兆智能網(wǎng)管交換機進行設(shè)置，增加上聯(lián)口識別新添加的虛擬局域網(wǎng)vlan號，即vlan 14 和vlan 16在所有端口上數(shù)據(jù)包都+tag加標簽出入，全局Pvid 設(shè)置不變。這樣與核心交換機的與智能管理交換機的下聯(lián)口對應(yīng)連接各虛擬子網(wǎng)。

（2）對其他各處建筑物的上聯(lián)千兆智能Web 管理交換機也做此類似設(shè)置，發(fā)送相應(yīng)vlan 加標簽的數(shù)據(jù)包。

4.設(shè)置核心路由器

（1）設(shè)置允許無線網(wǎng)絡(luò)網(wǎng)段192.168.w.0/23 以及192.168.v.0/24 允許被地址轉(zhuǎn)換nat，以及AC 無線控制器地址172.16.x.2/24 允許被地址轉(zhuǎn)換nat。這樣這些地址才能聯(lián)通外網(wǎng)。命令是：/ip firewall nat add action=masquerade chain=srcnat action=masquerade src-address=192.168.w.0/23 和/ip firewall nat add chain=srcnat action=masquerade srcaddress=192.168.v.0/23

（2）設(shè)置路由，打通路由器網(wǎng)關(guān)（內(nèi)網(wǎng)地址是192.168.x.254/24）與核心3層交換機（地址是192.168.x.4/24）的反身路由，添加無線網(wǎng)絡(luò)網(wǎng)段192.168.w.0/23以及192.168.v.0/24 的路由指向三層交換機的路由條目。這樣路由器網(wǎng)關(guān)才能聯(lián)通三層交換機上的子網(wǎng)絡(luò)。

5.現(xiàn)場安裝聯(lián)網(wǎng)各個無線AP 設(shè)備

（1）在辦公大樓各層的樓梯間安裝防潮防水高穿透無線AP：TP-link TLAP301P；

（2）在辦公大樓各個大廳會議室處的靠建筑物中心位置安裝TP-link TLAP450D 桌面型AP；

（3）在各層辦公室安裝TP-link TL-AP450I-DC 無線面板式AP，疊層錯位安裝，相互補充無線信號覆蓋。

6.其他建筑物的無線網(wǎng)安裝覆蓋可以如上類同操作，只要辦公網(wǎng)絡(luò)等通達的都可以統(tǒng)一管理。

7.微信認證供訪客使用方面需開通公司門店信息認證，以便進一步設(shè)置操作。