龐國(guó)莉 段 麗

（防災(zāi)科技學(xué)院，河北 三河065201）

1 概述

近年來，隨著智能手機(jī)、平板電腦等各種移動(dòng)終端設(shè)備的廣泛執(zhí)有，無線網(wǎng)絡(luò)的應(yīng)用更加普及。相對(duì)于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)在空間上具有更加寬廣的覆蓋面積，且安裝方便，極大地提高了通信的可移動(dòng)性和靈活性。無論是校園學(xué)習(xí)、休閑娛樂、還是企業(yè)應(yīng)用，無線網(wǎng)絡(luò)的布局也讓網(wǎng)絡(luò)觸手可及這一目標(biāo)成為現(xiàn)實(shí)。對(duì)企業(yè)而言，建設(shè)企業(yè)級(jí)無線網(wǎng)絡(luò)，為企業(yè)員工提供便捷、安全、統(tǒng)一互聯(lián)網(wǎng)服務(wù)，是企業(yè)信息化不可或缺的、有利于長(zhǎng)遠(yuǎn)發(fā)展的組成部分，也是企業(yè)信息化部門重要工作內(nèi)容。因此，開展企業(yè)無線網(wǎng)絡(luò)應(yīng)用研究，建設(shè)符合企業(yè)安全規(guī)范的無線網(wǎng)絡(luò)具有十分重要的意義。

2 企業(yè)無線網(wǎng)絡(luò)的特點(diǎn)分析

目前，企業(yè)無線網(wǎng)絡(luò)更多采用的是802.11ac 標(biāo)準(zhǔn)。802.11ac兼容802.11 全系列現(xiàn)有和即將發(fā)布的所有標(biāo)準(zhǔn)和規(guī)范，還具有高吞吐量、更寬的通道帶寬、更高階的調(diào)制、更多的空分流，支持MIMO(多進(jìn)多出)、增強(qiáng)載波偵聽、增強(qiáng)報(bào)文聚合技術(shù)。在安全性方面，它使得無線連接能夠在安全性方面達(dá)到企業(yè)級(jí)用戶的需求。可能實(shí)現(xiàn)無縫漫游，并且在漫游過程中能支持無線產(chǎn)品相應(yīng)的安全、管理以及診斷等應(yīng)用。802.11ac 通過5GHZ 頻段進(jìn)行傳輸，其速度高達(dá)1.3Gbps，高帶寬無疑給企業(yè)帶來很大利益。

企業(yè)無線網(wǎng)絡(luò)一般具備以下的特性和性能：（1）無中斷可擴(kuò)展性，支持透明接入轉(zhuǎn)換為標(biāo)準(zhǔn)訪問；（2）接入點(diǎn)普遍是雙射頻無線接入，采用雙千兆以太網(wǎng)端口；（3）支持密集部署，日益增長(zhǎng)的容量需求，需要更多的接入點(diǎn)；（4）加強(qiáng)的管理功能，在提高吞吐量和可靠性的同時(shí)，還能改善管理效率和總體擁有成本，使得每個(gè)WLC 能夠處理更多的用戶和管理更多的設(shè)備。

企業(yè)無線網(wǎng)絡(luò)部署方式常常采用WLC+AP 的部署方式，通過WLC 對(duì)所有無線AP 統(tǒng)一管理控制、統(tǒng)一設(shè)置安全策略和認(rèn)證。不同企業(yè)可根據(jù)自身需求，靈活制訂不同的網(wǎng)絡(luò)架構(gòu)和解決方案。

3 WLC 的介紹

無線控制器（WLC）是思科統(tǒng)一無線網(wǎng)絡(luò)解決方案中起主要作用的一種設(shè)備。接入點(diǎn)AP 的傳統(tǒng)作用，如對(duì)無線客戶端的關(guān)聯(lián)或身份驗(yàn)證由WLC 完成。輕量接入點(diǎn)LAP 將自身注冊(cè)到WLC，并將所有管理和數(shù)據(jù)包通過隧道傳輸?shù)絎LC，后者隨后在無線客戶端與網(wǎng)絡(luò)的有線部分之間交換這些數(shù)據(jù)包。所有配置都在WLC 上完成。LAP 從WLC 下載整個(gè)配置，并作為客戶端的無線接口。

WLC 具有第2 層交換機(jī)物理端口和虛擬接口，虛擬接口與VLAN（虛擬局域網(wǎng)）接口非常相似。每個(gè)物理端口可以支持許多AP 和WLAN。WLC 上的端口本質(zhì)上是中繼端口，可以將多個(gè)VLAN 傳輸?shù)浇粨Q機(jī)，以分發(fā)給多個(gè)AP，每個(gè)AP 可以支持多個(gè)WLAN。

可供訪問WLC 的選項(xiàng)有三種：一是通過HTTP 或HTTPS用GUI 訪問；二是通過Telnet、SSH 用CLI 訪問或用控制臺(tái)訪問；三是通過服務(wù)端口訪問。

4 WLC 在企業(yè)無線網(wǎng)絡(luò)的應(yīng)用場(chǎng)景

在企業(yè)無線網(wǎng)絡(luò)中，WLC 的主要功能是管理AP，下面簡(jiǎn)要介紹思科3504 型WLC 在企業(yè)無線網(wǎng)絡(luò)中的應(yīng)用部署，應(yīng)用部署如圖1 所示。應(yīng)用部署中涉及虛擬接口、WLAN、安全等內(nèi)容的設(shè)計(jì)。

圖1 WLC 的應(yīng)用部署

4.1 虛擬接口的設(shè)計(jì)

企業(yè)無線網(wǎng)絡(luò)中虛擬接口的設(shè)計(jì)通常根據(jù)WLAN 的數(shù)量來確定的，因?yàn)槊總€(gè)WLAN 都需要WLC 上的虛擬接口。虛擬接口被分配了一個(gè)VLAN ID，使用該接口的流量將被標(biāo)記為VLAN 流量。虛擬接口創(chuàng)建后需要將其配置為WLC 上的物理端口，多個(gè)VLAN 接口可以使用同一個(gè)物理端口，AP、WLC 和路由器之間的連接是通過中繼端口進(jìn)行的。同時(shí)，為了通過網(wǎng)絡(luò)傳輸來自多個(gè)WLAN 的流量，必須對(duì)WLAN 中VLAN 的流量進(jìn)行集群。進(jìn)行接口配置時(shí)，需要指定物理端口和配置使用此接口的WLAN 的用戶流量對(duì)應(yīng)的網(wǎng)絡(luò)號(hào)、子網(wǎng)默認(rèn)、網(wǎng)關(guān)及在路由器上配置DHCP 池的IP 地址。配置DHCP 的地址目的是通知WLC 將它從WLAN 上的主機(jī)接收到的所有DHCP 請(qǐng)求轉(zhuǎn)發(fā)到路由器上的DHCP 服務(wù)器。如圖2 為虛擬接口的配置。

圖2 虛擬接口的配置

4.2 WLAN 的設(shè)計(jì)

WLC 可以為L(zhǎng)AP 控制多達(dá)512 個(gè)WLAN。每個(gè)WLAN 都有一個(gè)單獨(dú)的WLAN ID（1 到512）、一個(gè)單獨(dú)的配置文件名和一個(gè)WLAN SSID，并且可以為其分配唯一的安全策略。WLC 可向每個(gè)連接的接入點(diǎn)發(fā)布最多16 個(gè)WLAN，可以在控制器上創(chuàng)建多達(dá)512 個(gè)WLAN，然后有選擇地將這些WLAN（使用接入點(diǎn)組）發(fā)布到不同的接入點(diǎn)以更好地管理。企業(yè)無線網(wǎng)絡(luò)可根據(jù)自身的需求設(shè)計(jì)幾個(gè)WLAN，每個(gè)WLAN 配置一個(gè)名稱和SSID，如圖3，同時(shí)啟用WLAN 對(duì)應(yīng)有VLAN 接口，并設(shè)計(jì)對(duì)應(yīng)的安全策略。

圖3 WLAN 的設(shè)計(jì)

4.3 WLAN 安全

企業(yè)無線網(wǎng)絡(luò)的安全至關(guān)重要，關(guān)系到企業(yè)的生存和競(jìng)爭(zhēng)力。企業(yè)無線網(wǎng)絡(luò)的安全威脅主要來自如圖4 所示的4 個(gè)方面。

圖4 無線的安全威脅

針對(duì)企業(yè)無線網(wǎng)絡(luò)的安全威脅最簡(jiǎn)單有效的方法是加強(qiáng)加密和認(rèn)證系統(tǒng)。常見的加密方法有很多，對(duì)企業(yè)無線網(wǎng)絡(luò)而言，建議采用WPA2 和AES（高級(jí)加密標(biāo)準(zhǔn)），AES 目前被視為最強(qiáng)的加密協(xié)議。企業(yè)無線網(wǎng)絡(luò)通常采用RADIUS 服務(wù)器實(shí)現(xiàn)認(rèn)證、授權(quán)、審計(jì)功能。RADIUS 服務(wù)器保存用戶信息和授權(quán)信息，還負(fù)責(zé)管理認(rèn)證者發(fā)來的審計(jì)數(shù)據(jù)，實(shí)現(xiàn)對(duì)用戶的集中管理。因此，需要在WLC 中配置使用RADIUS 服務(wù)器地址，以實(shí)現(xiàn)調(diào)用RADIUS 服務(wù)器對(duì)WLAN 用戶進(jìn)行身份驗(yàn)證。當(dāng)然，在WLC 配置前，需要搭建RADIUS 服務(wù)器。圖5、圖6 為企業(yè)無線網(wǎng)絡(luò)中加密算法和認(rèn)證的安全設(shè)計(jì)。

圖5 加密算法的設(shè)計(jì)

圖6 認(rèn)證服務(wù)器設(shè)置

圖7 網(wǎng)絡(luò)故障排除的基本流程

5 企業(yè)無線網(wǎng)絡(luò)中的故障排除

網(wǎng)絡(luò)故障排除通常要有一個(gè)結(jié)構(gòu)化的故障排除思想，故障排除過程包括故障現(xiàn)象信息收集、經(jīng)驗(yàn)判斷和理論分析，列出可能的原因，對(duì)應(yīng)制定方案實(shí)施、驗(yàn)證，直到故障排除。如圖7 為網(wǎng)絡(luò)故障排除的基本流程。

由于企業(yè)無線網(wǎng)絡(luò)通常被分為了許多WLAN，對(duì)于用戶連不上對(duì)應(yīng)的WLAN 或經(jīng)常掉線或網(wǎng)絡(luò)慢的情況也時(shí)有發(fā)生。排除設(shè)備自身物理狀態(tài)問題外，我們對(duì)這類無線網(wǎng)絡(luò)故障原因進(jìn)行了分析，并提出了常見的排障方案。

5.1 無線客戶端沒有連接

構(gòu)建企業(yè)無線網(wǎng)絡(luò)后，發(fā)現(xiàn)客戶端接收不到WLAN 信號(hào)時(shí)，常常需要使用網(wǎng)絡(luò)命令ipconfig 來確認(rèn)網(wǎng)絡(luò)配置，以查看無線網(wǎng)卡是否正常運(yùn)行。如正常運(yùn)行，需要檢查客戶端上的安全模式和加密設(shè)置是否一致，檢查客戶端是否超過無線覆蓋范圍，檢查是否設(shè)置網(wǎng)卡MAC 地址過濾等。對(duì)以上造成故障原因有對(duì)應(yīng)的排障方案，如對(duì)于超過無線覆蓋可減少距離或增加天線以增強(qiáng)發(fā)射能力；設(shè)置網(wǎng)卡MAC 過濾則取消過濾設(shè)置。

5.2 經(jīng)常掉線

當(dāng)正常使用企業(yè)無線網(wǎng)絡(luò)時(shí)，如果時(shí)不時(shí)出現(xiàn)掉線的情況，會(huì)使企業(yè)的工作效率受到影響?？蛻舳私?jīng)常掉線可能有如下原因：一是無線干擾。無線干擾是導(dǎo)致無線應(yīng)用不穩(wěn)定的重要因素，（1）微波爐、無繩電話，2.4G 無線鼠標(biāo)鍵盤等電器的強(qiáng)干擾；（2）周圍其它的無線路由器信號(hào)干擾。這些干擾一般會(huì)導(dǎo)致無線上網(wǎng)速度變慢，嚴(yán)重時(shí)可能會(huì)導(dǎo)致無線客戶端掉線。二是無線客戶端自身信號(hào)較差，無線傳輸是雙向的一個(gè)過程，當(dāng)路由器通過無線將數(shù)據(jù)傳輸給客戶端后，客戶端也要回復(fù)路由器，才能繼續(xù)后續(xù)的傳輸過程。三是部分無線終端占用帶寬過大，部分終端占用過高的帶寬，導(dǎo)致其他設(shè)備上網(wǎng)速度變慢甚至掉線。如為以上原因造成掉線可對(duì)應(yīng)相應(yīng)的排障方案：一是排除干擾，增強(qiáng)信號(hào)覆蓋，修改信道以免干擾；二是需要增加無線路由器數(shù)量，保障頻繁掉線區(qū)域的無線覆蓋效果；三可通過終端管理功能限制客戶端上網(wǎng)速率。

5.3 網(wǎng)絡(luò)慢

當(dāng)出現(xiàn)網(wǎng)絡(luò)傳輸變慢時(shí)，會(huì)造成長(zhǎng)時(shí)間無效率的等待。而造成網(wǎng)絡(luò)慢可能的原因有：一是客戶端使用較舊的802.11 標(biāo)準(zhǔn)降低了WLAN 的速度；二是無線終端數(shù)量過多，容易出現(xiàn)部分終端上網(wǎng)比較慢的情況等；三是無線受到惡意攻擊；對(duì)此前兩類造成的網(wǎng)絡(luò)故障可以通過升級(jí)優(yōu)化客戶端和拆分流量以增加帶寬。拆分流量是改善無線網(wǎng)絡(luò)性能最簡(jiǎn)單的方法，即在2.4GHZ 頻段和5GHZ 頻段之間拆分無線流量，將兩個(gè)頻段當(dāng)作兩個(gè)獨(dú)立的無線網(wǎng)絡(luò)，以幫助管理流量。其中2.4GHz 頻段可用于對(duì)時(shí)間不敏感的基本Internet 流量，而5GHZ 頻段比2.4GHZ頻段空閑得多，且具有更多的信道，是多媒體的理想選擇。

6 結(jié)論

本文在分析企業(yè)無線網(wǎng)絡(luò)的特點(diǎn)基礎(chǔ)上，引入WLC 的應(yīng)用，提出了企業(yè)無線網(wǎng)絡(luò)便捷管理AP 的設(shè)計(jì)思路，分析WLC在企業(yè)無線網(wǎng)絡(luò)中的應(yīng)用部署場(chǎng)景，概述了WLC 在應(yīng)用中的虛擬接口、WLAN 及安全等內(nèi)容的設(shè)計(jì)過程，列舉了常見無線網(wǎng)絡(luò)故障現(xiàn)象及提出相應(yīng)的排障思路，進(jìn)一步強(qiáng)化了企業(yè)無線網(wǎng)絡(luò)的設(shè)計(jì)和安全管理的能力。