實現(xiàn)無線動態(tài)VLAN

■

隨著網(wǎng)絡應用需求的發(fā)展變化，我院現(xiàn)有的、在若干年前建立的、依靠傳統(tǒng)的綜合布線系統(tǒng)建立起來的有線局域網(wǎng)，在實際應用中暴露出越來越多的不能滿足工作要求的不足之處。經(jīng)過仔細調查和研究，我單位決定吧、把無線網(wǎng)絡作為對有線網(wǎng)絡的重要補充，彌補有線網(wǎng)絡對工作需求的不足；充分利用已有的有線網(wǎng)絡的接入準入系統(tǒng)一并為無線網(wǎng)絡客戶端提供網(wǎng)絡準入認證服務，防止無線網(wǎng)絡被盜用；讓無線網(wǎng)絡在各個網(wǎng)絡應用中的使用習慣與有線網(wǎng)絡保持一致；為訪客配置專用的無線連接用以訪問互聯(lián)網(wǎng)。

無線網(wǎng)絡系統(tǒng)的設計思路

原有線網(wǎng)絡的拓撲結構如圖1所示，首先要考慮的是無線網(wǎng)絡信號的覆蓋范圍，這里面還要考慮到實際環(huán)境里可能對無線信號有屏蔽和干擾的因素，在我院的案例里，對無線信號影響比較大的是鋼筋混凝土的隔墻和成排擺放的金屬鐵皮柜。在對所有需要覆蓋無線信號的區(qū)域完成現(xiàn)場實際測試后，做出了AP位置的設計方案。然后是對建設無線局域網(wǎng)所需產(chǎn)品的選型。在一個需要數(shù)百個AP的無線網(wǎng)絡系統(tǒng)里，如再使用傳統(tǒng)的“胖”AP明顯是不可能的，按照設計的網(wǎng)絡拓撲結構，無線產(chǎn)品需要滿足的要求分別是：

無線控制器（WLC）

圖1 當前有線網(wǎng)絡示意圖

WLC作為無線網(wǎng)絡的核心設備，既是所有AP的管理設備，也是所有無線客戶端的網(wǎng)絡流量的轉發(fā)設備，需要既有靈活的管理功能，也有強大的數(shù)據(jù)轉發(fā)性能；既可以支持傳統(tǒng)的SSID與VLAN做靜態(tài)映射，也支持使用我院已有的RADIUS服務器（思科的ACS系統(tǒng)）為連接同一個SSID的不同客戶端按RADIUS服務器里的策略動態(tài)分配VLAN。

無線接入點（AP）

要求可以用“瘦”AP的模式注冊到WLC上接受統(tǒng)一管理，支持802.11a/b/g/n協(xié)議，同時支持PoE供電。

PoE交換機

要求是可網(wǎng)管的二層PoE交換機，同時支持光模塊，用以通過光纖上聯(lián)到核心交換機。

經(jīng)過調研和論證，我院決定選用思科的無線局域網(wǎng)解決方案，WLC選用了思科的AIR-CT5508-K9，AP 選 用了思科的AIR-CAP2602IC-K9，PoE交換機選用了思科的 WS-C2960S-24PS-L，下面就以這些設備為例介紹我院無線網(wǎng)絡的設計方案。從部署方式上說，WLC部署在核心交換機上，各個PoE交換機通過光纖也上聯(lián)到核心交換機，各個AP通過雙絞線連接到PoE交換機的PoE端口上。

從網(wǎng)絡結構上說，只需要為新增的無線網(wǎng)絡系統(tǒng)新增加一個用于無線管理的VLAN，這個VLAN僅用于AP和WLC之間的通信，即所有的AP均處于這個VLAN，由PoE交換機和核心交換機來負責AP與WLC之間的數(shù)據(jù)轉發(fā)。具體的工作方式是：所有AP與WLC之間的通訊數(shù)據(jù)都由思科的私有隧道協(xié)議封裝在這個無線管理VLAN里，不同VLAN的無線客戶端的數(shù)據(jù)到達AP后，通過這個隧道傳到WLC，由WLC解封裝后，再由WLC上設置的不同VLAN的接口（interface）轉發(fā)到核心交換機上對應的VLAN的interface。

從系統(tǒng)設計上說，要做到：

1、無線網(wǎng)絡不再增加新的工作VLAN，原有線網(wǎng)絡中VLAN是與部門一一對應的，無線客戶端將也按部門劃入其部門原有VLAN，做到無線網(wǎng)絡作為對有線網(wǎng)絡的重要補充與有線網(wǎng)絡融為一體。

2、新增一個訪客VLAN單獨用于訪客使用

3、全網(wǎng)所有的AP都只發(fā)布兩個SSID，一個是工作用SSID，對應所有的工作VLAN，另一個是訪客SSID，對應單獨的訪客VLAN。

圖2 改造后無線/有線網(wǎng)絡示意圖

4、連接工作SSID的客戶端的VLAN，由已有的RADIUS服務器（即思科的ACS系統(tǒng)）動態(tài)發(fā)配，原有線網(wǎng)絡的客戶端是基于以太網(wǎng)卡的MAC地址動態(tài)分配VLAN，無線網(wǎng)絡的客戶端也將基于無線網(wǎng)卡的MAC地址動態(tài)分配VLAN。在我院的網(wǎng)絡環(huán)境里，要求不論是屬于哪個VLAN的無線客戶端，都可以連接在任意一個AP上，而在一個多達數(shù)十個VLAN的無線網(wǎng)絡環(huán)境里，是不能采用傳統(tǒng)的SSID與VLAN做靜態(tài)映射的方法的，一是因為如果每一個VLAN都發(fā)布一個SSID的話，過多的SSID會讓用戶感到易用性很差，不容易找到自己該連接的SSID；二是因為根據(jù)實際測試，一個AP最多只能發(fā)布四到五個SSID，如果再多就會造成其發(fā)布的這些SSID連接很不穩(wěn)定，經(jīng)常會掉線，而且即使不掉線的時候通信質量也很差，網(wǎng)絡傳輸?shù)膩G包率很高，基本不能正常使用?？上驳氖牵靡延械腞ADIUS服務器為無線客戶端動態(tài)分配VLAN的方式可以完美的解決這個問題。至于基于MAC地址來作RADIUS服務器認證的優(yōu)點與不足之處，在以前的文章中已有過詳細論述，這里不再重復。

配置用于無線網(wǎng)絡的設備

加入無線網(wǎng)絡后的有線/無線網(wǎng)絡拓撲如圖2所示。

配置AP

由于選用的AP是“瘦”AP，也就是輕量級無線接入點（LAP），這意味著這些LAP是不能獨立于WLC工作的，LAP必須首先發(fā)現(xiàn)WLC并注冊在WLC上才能正常工作，而LAP本身是不需要單獨配置的，只需要讓LAP完成向WLC的注冊，注冊后如果LAP上的固件與WLC本地存儲的固件版本不一致的話，LAP會自動從WLC下載固件代碼，使之與WLC保持一致，然后WLC就會將無線網(wǎng)的配置自動部署到LAP上。

只要AP的型號是WLC所支持的型號，AP的VLAN和WLC的管理VLAN是同一VLAN，同時配置好WLC為AP提供DHCP服務，AP將自動從WLC獲得IP地址并完成向WLC的注冊。

配置PoE交換機

把對核心交換機的上聯(lián)口配置為trunk

switchport mode trunk

把連接AP的PoE口配置為無線管理VLAN

switchport access vlan 200（其中200是為無線管理VLAN設置的VLAN ID）

switchport mode access

配置核心交換機

把所有連接PoE交換機以及連接WLC的端口配置為trunk

switchport mode trunk

新建無線管理VLAN和訪客VLAN的VLAN interface

interface vlan200

ip address 10.10.103.254/23（配 置 無 線 管 理VLAN的interface IP為10.10.103.254，VLAN ID 是200）

interface vlan54

ip address 10.10.123.254/22（配 置 訪 客VLAN的interface IP為10.10.123.254，VLAN ID是54）

ip dhcp-relay serveraddress 10.10.100.10（在訪客VLAN里開啟dhcp-relay，指向DHCP 服務器，IP是 10.10.100.10，同 時 在DHCP服務器里為這個新建的訪客VLAN開啟DHCP服務）

配置WLC

1、進入WLC的console對WLC做初始化配置。

具體的配置步驟和方法可以參閱思科的WLC無線網(wǎng)絡控制器的配置手冊，這里不做祥細介紹，只介紹本案列里必須配置的基本網(wǎng)絡設置，以便初始化完成后能利用Web管理界面做詳細配置。

System Name：WLC（設置WLC的系統(tǒng)名稱為WLC）

Enter Administrative User Name：admin（設 置WLC的管理員名稱為admin）

Enter Administrative Password：****（設 置 WLC的管理員密碼為****）

Re-enter Administrative Password：****（確 認 設 置WLC的管理員密碼為****）

Service Interface IP Address Configuration：none（不開啟本地Web管理口的DHCP服務）

Service Interface IP Address：1.1.1.1（設 置 本地Web管理口的IP地址為1.1.1.1）

S e r v i c e I n t e r f a c e Netmask ：255.255.255.0（設置本地Web管理口的IP地址的子網(wǎng)掩碼為255.255.255.0）

Enable Link Aggregation(LAG)：yes（開啟鏈路聚合功能，本案例里WLC到核心交換機采用了雙鏈路連接）

Management Interface IP Address：10.10.103.253（設置WLC的管理地址為10.10.103.253）

Management Interface Netmask ：255.255.254.0（設置WLC的管理VLAN網(wǎng)段的掩碼為255.255.254.0，由于本案列的AP數(shù)量超過了256個，為了所有AP都能加入這個網(wǎng)段，子網(wǎng)掩碼設置為512個地址的網(wǎng)段）

Management Interface Default Router：10.10.103.254（設置WLC管理VLAN網(wǎng)段的默認網(wǎng)關為10.10.103.254）

Management Interface VLAN Identifier ：200（設 置WLC管理VLAN的ID為200）

Management Interface DHCP Server IP Address：10.10.103.254（設置管理端口的DHCP服務器的IP地址為10.10.103.254）

Virtual Gateway IP Address：2.2.2.2（設 置 虛擬的網(wǎng)關地址為2.2.2.2，這個虛擬網(wǎng)關是用來當作Web authentication登錄窗口重定向服務器和給無線客戶端充當DHCP代理的，它必須設置，并且不能和其它地址產(chǎn)生沖突，盡管它不能被ping也不會出現(xiàn)在任何路由表當中。本例中，所有無線DHCP客戶端將看到自己的DHCP服務器地址為2.2.2.2）

Mobility/RF Group Na me：test（設置三層漫游時的組名為test）

Network Name（SSID）：test（臨時設置一個測試用SSID為test）

Configure DHCP Bridg ing Mode：NO（設置為不使用DHCP橋模式，在本案例里我們將使用WLC內部的DHCP為AP分配IP，同時使用WLC的DHCP代理功能為無線客戶端分配IP，而啟用DHCP橋模式將導致以上兩項功能被禁用）

Allow Static IP Address：yes（設置為允許手工配置靜態(tài)IP）

Configure a RADIUS Server now? ：yes（配 置RADIUS服務器）

Enter the RADIUS Ser ver’s Address：10.10.50.252（設置RADIUS服務器的IP地址為10.10.50.252）

Enter the RADIUS Server’s Port：1812（設 置RADIUS服務器的認證端口為1812）

Enter the RADIUS Ser ver’s Secret：****（設 置RADIUS服務器的共享密鑰為****）

Enter Country Code list(enter ‘help’ for a list of countries)：CN（設置國家代碼為CN，CN是中國的國家代碼）

Enable 802.11b Net work：yes（設 置 為 啟 用802.11b協(xié)議的網(wǎng)絡）

Enable 802.11a Net work：yes（設 置 為 啟 用802.11a協(xié)議的網(wǎng)絡）

Enable 802.11g Net work：yes（設 置 為 啟 用802.11g協(xié)議的網(wǎng)絡）

Enable Auto-RF ：yes（設置為啟用自動射頻）

Configure a NTP Server now?：no（暫不配置 NTP 時間服務器）

Configure the system time now?：no（暫不調整系統(tǒng)時間）

保存設置并重啟WLC后初始化完成，下面將可以進入圖形界面做詳細配置。

2、登入WLC管理頁面，可以看到初始化時一些配置。

3、為了讓AP能從WLC獲取IP，以便向WLC注冊成功，在“CONTROLLER”下配置“Internal DHCP Server”，建立名為“newap-dhcp”的DHCP Scope，定義DHCP 地址池和網(wǎng)段，由于本案例里設計的所有AP和WLC管理地址在同一網(wǎng)段，不涉及三層通信，這里可以不設置默認網(wǎng)關（即 Default Routers）。

AP在WLC上注冊成功后可以在“WIRELESS”菜單里，從“Access Points”的“All APs”里看到。

4、在“CONTROLLER”菜單下的“Interfaces”里為訪客VLAN以及所有工作VLAN配置在WLC里的interface，把各VLAN的網(wǎng)關指向核心交換機里相應VLAN的interface，并定義各個VLAN的無線客戶端所使用的外部DHCP服務器的地址。

5、在“WLANs”菜單里，為訪客建立名為“CAUPDGUEST”的訪客SSID。

編輯該 SSID，在“General”里 的“Interface/Interface Group(G)”把 該SSID下 的無線客戶端設定為屬于訪客VLAN，即VLAN54。

在“Security”的“Layer2”里定義該SSID的連接密碼。

在“Security” 的“AAA Servers”里不定義任何RADIUS服務器，因為訪客是不需要做RADIUS認證的。

在“Advanced” 里，“P2P Blocking Action”選“Drop”，代表不允許連接該SSID的客戶端之間互訪；鉤選“DHCP Addr. Assignment”，代 表 連接該SSID的客戶端必須使用DHCP來獲取IP地址。

6、在“WLANs”菜單里，為各個工作部門建立名為“CAUPD”的工作SSID。

編輯該 SSID，在“General”里 的“Interface/Interface Group(G)”可以保持默認的“management”，即無線管理VLAN，因為連接這個工作SSID的無線客戶端的所屬VLAN將由RADIUS服務器的認證決定，這里設定的VLAN將在通過RADIUS認證后被RADIUS服務器返回的VLAN信息覆蓋。

在“Security”的“Layer2”里定義該SSID的連接密碼。

在“Security” 的“AAA Servers” 里，開 啟“Radius Server Overwrite interface”,表示無線客戶端的VLAN將由RADIUS服務器決定；認證服務器里選擇RADIUS服務器10.10.50.252。

在“Advanced” 里，“P2P Blocking Action” 選“Disable”，代表允許連接該SSID的客戶端之間互訪；鉤選“DHCP Addr. Assignment”，代表連接該SSID的客戶端必須使用DHCP來獲取IP地 址；開 啟“Allow AAA Override”，代表如果 RADIUS服務器返回的配置與WLC里的默認配置有沖突時，將按RADIUS服務器的配置執(zhí)行。

7、在“SECURITY”菜單的“AAA”下的“AAA”里。

配 置“RADIUS” 里 的“Authentication”， 把“Acct Call Station ID Type”選為“System MAC Address”，“Auth Call Station ID Type”選 為“AP MAC Address:SSID”,表示向RADIUS服務器發(fā)送認證請求的用戶名和密碼相同，均為無線客戶端的無線網(wǎng)卡MAC地址。

配 置“RADIUS” 里 的“Accounting”，“MAC Delimit er”選“Hyphen”，表示 MAC地址的格式為大寫字母同時每兩位之間用“-”分隔，如：11-22-33-AA-BB-CC。至此WLC的基本配置完成。

配置ACS

把WLC配置為ACS里的AAA Client，同時為WLC這個AAA Clients配置AAA認證使用的協(xié)議端口和共享密鑰。為每個MAC地址建立一個user，并定義這個MAC地址所屬VLAN。有關ACS系統(tǒng)具體的相關配置方法，在以前的《基于MAC地址實現(xiàn)動態(tài)VLAN的實踐總結》里有更系統(tǒng)詳細的介紹，這里不再重述。配置ACS完成后，在ACS里可看到如下認證過程，其中綠色的記錄表示認證通過，紅色的記錄表示認證未通過；而沒有分隔符的小寫字母的username是有線網(wǎng)卡的認證，帶有分隔符的大寫字母的username是無線網(wǎng)卡的認證：

應用中需要注意的幾點事項

1、WLC是個單一故障點

由于在網(wǎng)絡里只部署了一臺WLC，如果WLC本身出現(xiàn)設備故障將導致所有的無線客戶端無法連接網(wǎng)絡，因此必須做好WLC的數(shù)據(jù)備份工作和備機服務準備工作。

2、可以考慮從網(wǎng)絡中消除802.11b

因為WLAN技術的基本原理還是基于一些碰撞機制，所以在一個AP下的相同信道下的用戶將會共享同一帶寬。因為802.11b和802.11g使用的調制技術不同而AP為了響應一些低速率的用戶端的請求將調整資源分配，去響應802.11b終端，所以會降低AP的處理能力。為了解決這個問題，可以采用禁用802.11b的數(shù)據(jù)速率的方式，即禁用1，2，5.5和11Mbps這些數(shù)據(jù)速率，這樣可以在禁用802.11b的同時支持802.11g和802.11n。當然了，還可以設計成不對802.11b和802.11g提供支持，只需取消鉤選“802.11b/g Network Status”的“Enabl ed”，讓2.4G頻段的無線網(wǎng)只支持802.11n的無線客戶端。

3、AP的信號強度可調

在個別無線信號強度不夠的區(qū)域，可以通過調整相應AP的信號強度的方式來改善。“Current Tx Power Level ”是可調的，“1”始終代表國家代碼（country code）設置中允許的最大功率，后續(xù)的功率等級為上一個等級的50%。例如：1表示最大功率，2表示50%的功率，3表示25%的功率，4表示12.5%的功率，5表示6.25%的功率。

調 整 后，“Power Level”中數(shù)字后面無星號的表示是手工定制功率；數(shù)字后有星號的表示自動協(xié)商功率。

4、對“流氓AP”的管控

往往在WLC上可以看到“流氓AP”（即Rogue AP）的大量存在，這些Rogue AP可能是手機建立的熱點，也可能是個人私自架設的AP，它們的存在可能會對WLC的無線網(wǎng)絡產(chǎn)生一定干擾。思科的WLC可以對Rogue AP進行壓制，讓非法AP無法工作，也可以通過網(wǎng)管軟件找到這些Rogue AP的具體位置，這需要在WLC界面或者或者思科的無線網(wǎng)管軟件WCS下設置。WCS如何配合WLC進行管理這里不做詳細介紹。

實踐總結

無線網(wǎng)絡的建設，有效的彌補了原有的有線網(wǎng)絡的不足，通過RADIUS認證動態(tài)分配VLAN，實現(xiàn)了統(tǒng)一的SSID下的靈活的VLAN設置，讓無線客戶端加入到其部門原有的VLAN中；也增加了無線網(wǎng)絡準入的安全性，使得不能通過RADIUS認證的無線客戶端即使輸入了正確的連接密碼也不能接入工作SSID；使用驗證MAC地址的方式讓認證過程變得對客戶端透明，認證不需要在無線客戶端安裝任何軟件；為訪客配置了單獨的SSID和VLAN，方便對訪客的上網(wǎng)行為做獨立的管理策略。