时间:2024-05-19
王丹丹 王明龙
中图分类号: TD655文献标识码: A 文章编号: 2095-2457(2019)28-0083-002
DOI:10.19694/j.cnki.issn2095-2457.2019.28.033
第三代无线局域网采用无线交换机和FIT AP的架构,对传统WLAN设备的功能有了重新的区分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,而且增添了许多新的重要功能,例如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。
1 平煤集团办公区无线网络项目建设需求
平煤集团办公区通过部署无线网络,需要实现以下需求:
通过对办公区进行无线的部署实现无线覆盖,每个区域无缝隙实现有效的WLAN覆盖。因此可以达到在办公区任何区域内,无需使用网线即可方便的访问企业的WLAN业务网络,而且无线终端可以不受限制的接入到网络中,便于随时随地的办公。部署无线网络覆盖安装维护简便,移动性高,费用低廉的无线联网方式。
2 网络建设方案
根据目前平煤集团办公区的规模和网络状况,设计采用无线控制器(AC)和瘦AP(FIT AP)结合的组网方式。通过无线控制器将用户管理、加密、漫游、AP管理等功能全部集中到一起进行,瘦AP实现无线信号的处理,这样可以简化整个网络的管理,提高设备的工作效率。AP的供电采用POE供电,这样可以简化布线,同时减少故障点,提高网络的可靠性。
2.1 平煤集团办公区无线网络方案
平煤集团办公区主要分为以下几大区域:
室内办公区:办公区域是主要的覆盖区域,可以为员工提供办公网络接入。
会议室:会议室区域主要供日常会议无线终端接入,人员密集度较大,为覆盖难点。
室外区域:室内到室外无線过度为室外区域,室外无线要求无线AP能耐潮耐高温耐低温,对设备可靠稳定度有较高的要求,同时由于其作为室外大区域的无线覆盖,因此要求无线AP有足够且合理的无线发射功率。
如图1所示,在核心交换机上部署无线控制器WX3540H来实现无线AP的控制,WX3540H无线控制器连接到平煤集团现网核心交换机,接入交换机部署11AC产品WA4300及11AC室内X分产品WA4320i-X,办公人员通过WA4300或WA4320i-X连接到企业的WLAN网络中与后台系统通信。
无线控制器在网络中起到如下几个作用:
(1)作为无线控制器,对FIT AP(WA4300、WA4320i-X)进行统一的智能管理。
(2)通过无线控制器AC,可以实现快速的AP二、三层漫游。
(3)智能AP负载分担。
(4)端到端的QoS。
FIT AP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP的工作信道以及发射功率。另外,通过无线控制器的RF扫描探测热点地区Rouge AP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,最大程度的减少了无线网络后期维护和管理的工作量。
使用无线控制器+FIT AP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻可关联的无线控制器,在与无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。
在AP的接入方面,它拥有智能射频管理,当其中一个AP出现故障时,附近其他的AP会自动调整功率,对该部分区域进行重新的信号覆盖,从而保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时,它的智能射频管理系统可以定位出该AP的位置,以便尽快排除。
无线控制器可以设定AP间对接入用户进行负载分担,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP。如图所示。
2.2 安全认证设计
网络安全的要求:保证内部网络安全是业务能够正常运行的关键,为了保证内网用户接入网络的安全性,可以通过以下方式完成对内网用户的接入访问:
接入安全。
接入网络直接面向各类终端,存在安全隐患较大,可能存在诸如:ARP攻击、非法DHCP服务器、网络环路、非法访问等安全问题,本次设计也针对这些安全因素做合理设计。
ARP攻击:ARP是基于二层网路攻击的报文,若要对ARP欺骗攻击进行彻底防御,需要着手于在接入层交换机就进行安全防护配置。 可以在接入设备开启ARP过滤功能,对非法的网关ARP报文进行过滤。
非法DHCP服务器:接入用户私接设备(如:家用有线/无线路由器、家用交换机等)很容易导致非法DHCP服务器接入网络影响其它用户正常上网。 而DHCP报文同ARP报文皆工作于二层网络,安全防范需从接入层交换机做起。可以在接入交换机配置DHCP保护完成对DHCP非法报文的拦截。
网络环路控制:网络环路可以存在各层网络,接入汇聚核心间的网络环路可以通过生成树或环路检测功能消除。但接入层交换机的环路设计可以通过端口环路检测来消除,并且开启接入交换机环路检测功能还可以防止私接的家用设备上的环路,有效阻止环路风暴扩散到上层网络。
访问安全控制:考虑到内网的安全接入问题,对每个用户进行接入控制,用户首次连接网络会强制要求自助注册账户,注册后需要对应部门领导进行审批通过后,才能正常使用网络资源。首次用户接入需要用户填登录账户及密码,后期可采用无感知认证免去登陆验证的麻烦,该认证采用“账户+MAC+其它”进行绑定的方式保证安全。认证业务涉及如图3。
认证流程如图4。
3 应用效果
不管室内还是室外,全方位的覆盖规划都是一件非常有挑战的工作。无线网络规划设计参照经验进行设计,与现网环境有机结合,不但有科学的依据,准确率也很高,且规划效率高。精细的覆盖规划能充分发挥WLAN的性能,并且也给后期维护优化减小工作量,减少后期成本。
4 结语
根据目前平煤集团办公区的网络状况和规模,通过采用无线控制器(AC)+瘦AP(FIT AP)的组网方式,瘦AP实现无线信号的处理,而用户管理、加密、漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。AP的供电采用POE供电,这样可以简化布线,同时减少故障点,提高网络的可靠性。该项目主要完成对平煤集团室内室外办公区进行WLAN无线系统的建设,以此提高办公人员工作效率。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!