基于“無線控制器+FITAP”解決方案的無線局域網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)

謝豐 任兆鵬 丁煒 馬艷

摘要：對(duì)中型機(jī)關(guān)事業(yè)單位無線網(wǎng)絡(luò)連接及使用狀況進(jìn)行分析，針對(duì)個(gè)人及業(yè)務(wù)使用中無線網(wǎng)絡(luò)連接主要通過個(gè)人插接無線路由器入單位業(yè)務(wù)網(wǎng)的現(xiàn)狀，提出一種基于“無線控制器 + FIT AP”無線局域網(wǎng)建設(shè)方案，基于此方案的無線局域網(wǎng)建設(shè)應(yīng)用后，規(guī)范了業(yè)務(wù)及個(gè)人的無線網(wǎng)絡(luò)連接及使用方式，有效保障了無線網(wǎng)絡(luò)使用速率，同時(shí)也使得無線局域網(wǎng)絡(luò)安全得到了有效保障。

關(guān)鍵詞：無線局域網(wǎng)；無線控制器 + FIT AP；無線網(wǎng)絡(luò)安全；無線準(zhǔn)入管理；智能終端接入組件（EIA）

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）10-0045-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著自動(dòng)化辦公信息技術(shù)的不斷發(fā)展和無線終端設(shè)備的應(yīng)用普及，移動(dòng)辦公的需求日益增長(zhǎng)，而有線網(wǎng)絡(luò)無法滿足移動(dòng)辦公需求。隨著依托無線網(wǎng)絡(luò)進(jìn)行的業(yè)務(wù)種類的增加，青島市氣象局主要辦公區(qū)域內(nèi)無線終端用戶需要隨時(shí)隨地的獲取網(wǎng)絡(luò)提供的各種數(shù)據(jù)資料及業(yè)務(wù)文件，而由用戶個(gè)人使用無線終端設(shè)備接入單位業(yè)務(wù)有線網(wǎng)絡(luò)進(jìn)行連接，無法保障無線連接質(zhì)量，同時(shí)也無法保障在無線使用過程中，可能存在的對(duì)業(yè)務(wù)網(wǎng)絡(luò)的安全威脅，這就需要組建一個(gè)高效、安全、可靠、穩(wěn)定的無線網(wǎng)絡(luò)以滿足實(shí)現(xiàn)移動(dòng)辦公的需求。

1 建設(shè)目標(biāo)

此次無線網(wǎng)絡(luò)建設(shè)是在青島市氣象局現(xiàn)有有線網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行無線網(wǎng)絡(luò)擴(kuò)充，基本目標(biāo)是實(shí)現(xiàn)青島市氣象局辦公區(qū)域無線網(wǎng)絡(luò)覆蓋，在方案設(shè)計(jì)上擬采用高性能、易管理、高可靠、可擴(kuò)展的無線接入設(shè)備及網(wǎng)絡(luò)組網(wǎng)方案，再結(jié)合終端準(zhǔn)入管理設(shè)備進(jìn)行無線接入終端的身份認(rèn)證、訪問策略控制等，為無線終端用戶提供高效、安全的無線接入服務(wù)。

無線設(shè)計(jì)方案從以下幾個(gè)方面進(jìn)行考慮，首先是高安全，由于無線網(wǎng)絡(luò)使用比有線網(wǎng)絡(luò)更加不好進(jìn)行網(wǎng)絡(luò)安全管控，所以需建設(shè)無線網(wǎng)絡(luò)終端準(zhǔn)入安全體系，滿足用戶接入安全、身份識(shí)別、以及訪問控制、溯源查詢的信息安全需求；然后是高性能，前端無線設(shè)備需支持802.11ac協(xié)議，提供空間雙流無線傳輸速率及整機(jī)的千兆接入能力，并且滿足足夠數(shù)量的終端接入需求；還需要考慮到易于管理，前端無線設(shè)需備支持以太網(wǎng)（POE）供電，無線網(wǎng)絡(luò)設(shè)備需能夠集中進(jìn)行配置與維護(hù)；在高可靠性及可擴(kuò)展性方面，無線網(wǎng)絡(luò)整體設(shè)計(jì)應(yīng)考慮核心設(shè)備采用雙機(jī)部署方式，配置冗余電源，出現(xiàn)故障時(shí)在不影響有線網(wǎng)絡(luò)正常使用，且不改變主體架構(gòu)的前提下，平滑實(shí)現(xiàn)升級(jí)和擴(kuò)充，降低原有網(wǎng)絡(luò)的硬件投資。

2 無線組網(wǎng)方案對(duì)比

在“自治型無線接入點(diǎn)FAT AP”組網(wǎng)方案中，其管理只存在于自身，沒有全局統(tǒng)一管理方式，也沒有對(duì)無線鏈路及無線用戶的監(jiān)測(cè)與管理；在安全性方面，安全策略較少且也只局限于針對(duì)其自身，無法滿足大規(guī)模無線網(wǎng)絡(luò)安全策略經(jīng)常性批量配置和下發(fā)的需要，相應(yīng)地也就無法支撐無線網(wǎng)絡(luò)環(huán)境的安全保障；在認(rèn)證方面，F(xiàn)AT AP的認(rèn)證也存在自身局限性且無法達(dá)到經(jīng)常性更新的認(rèn)證需求，認(rèn)證后策略無法進(jìn)行二次部署；從設(shè)備自身安全性來看，F(xiàn)AT AP本身保存全部配置，很容易經(jīng)過串口或網(wǎng)絡(luò)口登錄獲取無線網(wǎng)絡(luò)的相關(guān)信息，從而威脅整個(gè)無線及有線網(wǎng)絡(luò)環(huán)境，是大規(guī)模部署無線網(wǎng)絡(luò)的巨大隱患；從全網(wǎng)漫游角度考量，由于所有管理與配置存在于自身，其下聯(lián)用戶的IP地址須歸屬于其直連的以太網(wǎng)交換機(jī)端口VLAN和網(wǎng)段地址規(guī)劃，無線用戶跨越FAT AP進(jìn)入不同的網(wǎng)段時(shí)IP地址需重新進(jìn)行請(qǐng)求和認(rèn)證，網(wǎng)絡(luò)訪問必然中斷，無法支持跨網(wǎng)段全網(wǎng)漫游，且一旦進(jìn)行大規(guī)模部署，還必然打亂原有線網(wǎng)絡(luò)IP地址及VLAN規(guī)劃，給網(wǎng)絡(luò)運(yùn)維帶來不必要的壓力。

在“無線控制器（AC）+FIT AP”組網(wǎng)方案中，設(shè)備管理權(quán)限集中于無線控制器，通過無線控制器實(shí)現(xiàn)對(duì)全網(wǎng)無線設(shè)備進(jìn)行批量配置、升級(jí)進(jìn)行統(tǒng)一管理；所有用戶和FIT AP的安全策略，全部存儲(chǔ)于無線控制器，整體安全策略的部署相對(duì)容易；在認(rèn)證方面，對(duì)無線控制器（AC）認(rèn)證，配合后臺(tái)的Radius系統(tǒng)，能夠靈活定義、部署和更改認(rèn)證策略；在FIT AP產(chǎn)品自身安全性方面，其本身不保存配置，所有配置都存在于無線控制器，非法用戶無法通過AP登錄更改配置，杜絕了無線網(wǎng)絡(luò)入侵可能性；無線用戶的IP地址、認(rèn)證、加密操作都是基于無線控制器，無線用戶身處無線網(wǎng)絡(luò)的任何位置，從哪一個(gè)AP進(jìn)入，理論上都是訪問同一個(gè)（或同一組）無線交換機(jī)/控制器，會(huì)連續(xù)性保持其原有的IP地址、連接信息、認(rèn)證及加密信息等，從而實(shí)現(xiàn)跨網(wǎng)段全網(wǎng)漫游。

綜合以上幾點(diǎn)，“無線控制器（AC）+FIT AP”（瘦AP）解決方案，對(duì)比傳統(tǒng)的“自治型無線接入點(diǎn)FAT AP”（胖AP）解決方案，在全局統(tǒng)一管理、安全、認(rèn)證、以及設(shè)備自身安全和全網(wǎng)漫游等幾個(gè)方面優(yōu)勢(shì)非常明顯，最終選定以“無線控制器（AC）+FIT AP”解決方案為基礎(chǔ)進(jìn)行青島市氣象局無線局域網(wǎng)設(shè)計(jì)。

3 無線局域網(wǎng)設(shè)計(jì)方案

3.1 無線局域網(wǎng)建設(shè)范圍

本次無線網(wǎng)絡(luò)建設(shè)涉及預(yù)報(bào)網(wǎng)絡(luò)辦公樓、業(yè)務(wù)辦公樓、行政樓和探測(cè)業(yè)務(wù)樓、閱覽室，建設(shè)完成后基本能夠?qū)崿F(xiàn)氣象局辦公區(qū)域無線覆蓋，初步規(guī)劃無線AP安裝點(diǎn)位為：預(yù)報(bào)網(wǎng)絡(luò)辦公樓1到3層為主要業(yè)務(wù)工作層，每層布設(shè)兩臺(tái)AP，4、5樓主要為日常辦公區(qū)域，每層布設(shè)一臺(tái)AP；業(yè)務(wù)中心樓1、2層為業(yè)務(wù)密集區(qū)域，負(fù)1層食堂信號(hào)稍弱，故每層布設(shè)兩臺(tái)AP，3、4樓為日常辦公區(qū)域，每層布設(shè)一臺(tái)；行政樓1至4層每層布設(shè)兩臺(tái)AP，滿足行政日常工作需求，負(fù)一層布設(shè)一臺(tái)，滿足行政值班人員需求；探測(cè)業(yè)務(wù)樓兩層每層布設(shè)兩臺(tái)，滿足業(yè)務(wù)人員工作需求。全局共計(jì)需布設(shè)30臺(tái)無線AP。

3.2 無線局域網(wǎng)結(jié)構(gòu)設(shè)計(jì)及拓?fù)?/p>

兩臺(tái)無線控制器旁路部署于核心交換機(jī)，配置為雙機(jī)熱備模式，可實(shí)現(xiàn)在任意一臺(tái)無線控制器出現(xiàn)故障時(shí)，管理的無線AP毫秒級(jí)切換，保障無線網(wǎng)絡(luò)不中斷。無線AP采用吸頂安裝方式，安裝于各辦公區(qū)域走廊天花吊頂下，通過POE供電模塊連接到各辦公區(qū)域接入交換機(jī)，既可以實(shí)現(xiàn)AP供電，又能夠進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸，POE供電模塊可統(tǒng)一安裝于各辦公區(qū)域匯聚機(jī)房。

網(wǎng)管平臺(tái)部署于中心機(jī)房服務(wù)器中，既可以實(shí)現(xiàn)對(duì)有線、無線網(wǎng)絡(luò)設(shè)備的集中管理與監(jiān)控，又可以實(shí)現(xiàn)對(duì)無線接入用戶進(jìn)行統(tǒng)一的認(rèn)證管理。

3.3 無線局域網(wǎng)具體組網(wǎng)方式

采用“FIT AP+無線控制器”方式組網(wǎng)，硬件主要由CPU+內(nèi)存+RF構(gòu)成，配置及軟件都從無線控制器上下載，所有AP和無線客戶端的管理都在無線控制器上集中完成；AP和無線控制器之間的流量通過私有協(xié)議加密，客戶端MAC只出現(xiàn)在無線控制器端口而不會(huì)出現(xiàn)在AP端口，保障了無線網(wǎng)絡(luò)使用安全；無線局域網(wǎng)采用集中轉(zhuǎn)發(fā)配置模式，所有無線流量均通過無線控制器統(tǒng)一處理，從而實(shí)現(xiàn)無線網(wǎng)絡(luò)漫游及集中管理；FIT AP通過POE模式供電，用一條網(wǎng)線連接AP即可實(shí)現(xiàn)數(shù)據(jù)信號(hào)傳輸及設(shè)備供電需要，在實(shí)施過程中簡(jiǎn)化施工難度。

在無線控制器上開啟無線設(shè)備管理地址DHCP服務(wù)，AP通過DHCP服務(wù)器從無線控制器獲取其管理IP地址，發(fā)送二層廣播發(fā)現(xiàn)請(qǐng)求至無線控制器，無線控制器響應(yīng)AP發(fā)送的廣播請(qǐng)求，確認(rèn)接入權(quán)限，AP再從無線控制器下載最新的軟件版本及配置，進(jìn)行注冊(cè)并上線使用，AP采用二層方式注冊(cè)到無線控制器，上線、注冊(cè)過程如下圖所示：

3.4 無線配置規(guī)劃及優(yōu)化

無線網(wǎng)絡(luò)中AP管理地址配置于無線控制器，采用DHCP方式自動(dòng)下發(fā)，無線終端地址配置于業(yè)務(wù)網(wǎng)核心交換機(jī)，由于無線中斷連接時(shí)無線服務(wù)向外廣播SSID，故選用單獨(dú)業(yè)務(wù)地址段，以減少無線網(wǎng)絡(luò)廣播包對(duì)有線網(wǎng)絡(luò)的影響。無線服務(wù)配置為二層漫游方式，能夠?qū)崿F(xiàn)終端一次接入，在無線覆蓋區(qū)域內(nèi)無須再次進(jìn)行連接登陸，有力提升了用戶接入體驗(yàn)。在此基礎(chǔ)上采用WPA2模式密碼認(rèn)證接入，可有效保障無線接入數(shù)據(jù)的傳輸安全。

從優(yōu)化廣播報(bào)文發(fā)送機(jī)制來看，同一無線業(yè)務(wù)VLAN間廣播、組播報(bào)文會(huì)向所有該VLAN的AP進(jìn)行廣播，且由于空間介質(zhì)中廣播報(bào)文通常使用最低速率進(jìn)行發(fā)送，故報(bào)文較多即會(huì)占用較多空口資源，影響整個(gè)網(wǎng)絡(luò)應(yīng)用。采用對(duì)無線終端進(jìn)行二層隔離方式，使無線控制器控制用戶只能訪問網(wǎng)關(guān)設(shè)備，相互之間不能訪問，可以大量減少整個(gè)WLAN網(wǎng)絡(luò)的廣播流量，提升WLAN網(wǎng)絡(luò)的整體性能。

從優(yōu)化無線功率方面來看，根據(jù)實(shí)際業(yè)務(wù)需求，為了提高覆蓋信號(hào)質(zhì)量通常需部署相應(yīng)數(shù)量AP，造成覆蓋范圍出現(xiàn)重疊，AP之間互相可見，如果所有AP又都工作在相同信道，則只能共享一個(gè)信道的頻率資源，也將導(dǎo)致整個(gè)WLAN網(wǎng)絡(luò)性能降低。可通過調(diào)整AP發(fā)射功率，為每個(gè)AP射頻口手工配置信道，降低信號(hào)重疊造成的無線帶寬損失，通過對(duì)無線信道進(jìn)行優(yōu)化來加強(qiáng)信道頻譜資源復(fù)用率，從而降低AP之間可見度，提高WLAN網(wǎng)絡(luò)整體性能。

從優(yōu)化客戶端工作頻段考慮，實(shí)際應(yīng)用中部分客戶端只能工作在2.4GHz，而部分客戶端可以同時(shí)支持2.4GHz和5GHz兩個(gè)頻段，此時(shí)支持雙頻的客戶端也都工作在2.4GHz頻段上，會(huì)導(dǎo)致2.4GHz頻段過載，而5GHz射頻相對(duì)空余的情況。在這種情況下，開啟設(shè)備頻譜導(dǎo)航功能可以將支持雙頻工作的客戶端優(yōu)先接入5GHz射頻，使得兩個(gè)頻段上的客戶端數(shù)量相對(duì)均衡，從而提高WLAN整網(wǎng)性能。

4 無線準(zhǔn)入管理

無線接入方式作為有線接入的補(bǔ)充，雖然擴(kuò)展了網(wǎng)絡(luò)覆蓋范圍，但是也增加了網(wǎng)絡(luò)邊界的風(fēng)險(xiǎn)。傳統(tǒng)的針對(duì)無線終端設(shè)備準(zhǔn)入的方式是通過密碼、手工MAC綁定、隱藏SSID等方式實(shí)現(xiàn)。在實(shí)際使用過程中，無線密碼容易公開，而且能夠被惡意破解或修改；手工MAC地址綁定過程復(fù)雜，維護(hù)難度較大。此外，對(duì)于臨時(shí)訪客無線終端設(shè)備很難進(jìn)行有效的準(zhǔn)入管理，難以實(shí)現(xiàn)基于用戶身份的登錄信息記錄，無法滿足信息安全要求，無線網(wǎng)絡(luò)成為網(wǎng)絡(luò)安全中一大隱患。

針對(duì)上述問題，結(jié)合我局實(shí)施需求及網(wǎng)絡(luò)環(huán)境，選定通過網(wǎng)管平臺(tái)終端智能接入組件（EIA）實(shí)現(xiàn)對(duì)我局內(nèi)部人員、外單位臨時(shí)用戶進(jìn)行無線網(wǎng)絡(luò)準(zhǔn)入管理?？商峁┙y(tǒng)一的網(wǎng)絡(luò)接入策略，實(shí)現(xiàn)網(wǎng)絡(luò)（有線、無線和 VPN 網(wǎng)絡(luò)）的統(tǒng)一接入管理；并提供對(duì)局我內(nèi)部工作人員、外單位臨時(shí)用戶、設(shè)備管理員等基于角色、類型、接入時(shí)間地點(diǎn)的網(wǎng)絡(luò)訪問控制策略，滿足我局多種網(wǎng)絡(luò)、多種終端接入的統(tǒng)一運(yùn)維管理需求，確保終端安全策略在整個(gè)網(wǎng)絡(luò)無縫地執(zhí)行。

4.1 內(nèi)部人員準(zhǔn)入方式

我局內(nèi)部人員無線終端設(shè)備準(zhǔn)入通過Portal無感知認(rèn)證方式進(jìn)行，在終端設(shè)備首次接入時(shí)，用戶連接WLAN網(wǎng)絡(luò)SSID，通過DHCP服務(wù)器獲取IP地址信息。

無線控制器監(jiān)控用戶上網(wǎng)流量達(dá)到閾值，向MAC綁定服務(wù)發(fā)起MAC 查詢請(qǐng)求并得到返回結(jié)果，無線控制器再按照正常Portal認(rèn)證流程向終端重新定向Portal認(rèn)證頁面，此時(shí)用戶輸入用戶名、密碼發(fā)起認(rèn)證，認(rèn)證成功后接入無線網(wǎng)絡(luò)環(huán)境。

4.2 外單位臨時(shí)用戶準(zhǔn)入方式

臨時(shí)用戶準(zhǔn)入主要實(shí)現(xiàn)對(duì)臨時(shí)外來訪客用戶接入網(wǎng)絡(luò)進(jìn)行身份記錄，并能夠通過該記錄查詢到接入終端的真實(shí)身份，實(shí)現(xiàn)溯源查詢，從而降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全性。在對(duì)外單位臨時(shí)用戶的管理上，終端智能接入組件能夠提供微信、短信兩種針對(duì)臨時(shí)訪客的準(zhǔn)入策略。

以短信方式認(rèn)證是相對(duì)傳統(tǒng)的認(rèn)證方式，相比于微信認(rèn)證，其前期部署成本相對(duì)低廉，但每次認(rèn)證都需要給訪客發(fā)送短信。

短信認(rèn)證步驟如下圖所示：

以微信方式認(rèn)證需要與微信公眾平臺(tái)對(duì)接開發(fā)，故而需要更多的前期投入，但此方式也能更加高效達(dá)成臨時(shí)用戶準(zhǔn)入管理。

微信認(rèn)證分為以下幾個(gè)步驟：

1）關(guān)注公眾賬號(hào)

2）訪客收到微信推送的廣告后，點(diǎn)擊查看

3）IMC自動(dòng)綁定IP/MAC地址，訪客即可訪問互聯(lián)網(wǎng)，通過與微信平臺(tái)服務(wù)器聯(lián)動(dòng)，可在管理后臺(tái)查詢到登陸使用的微信賬號(hào)（該功能需要與微信平臺(tái)對(duì)接開發(fā)）。

通過基于智能終端接入組件（EIA）實(shí)現(xiàn)的無線準(zhǔn)入管理功能，實(shí)現(xiàn)了無線網(wǎng)絡(luò)統(tǒng)一接入管理，結(jié)合我局局域網(wǎng)安全建設(shè)中部署的防火墻及入侵檢測(cè)系統(tǒng)等安全設(shè)備，對(duì)局我內(nèi)部工作人員、外單位臨時(shí)用戶、設(shè)備管理員等基于不同角色、設(shè)備類型、接入時(shí)間地點(diǎn)進(jìn)行了細(xì)化的網(wǎng)絡(luò)訪問控制，有效提升了我局無線網(wǎng)絡(luò)安全的保障能力。

5 結(jié)語

通過此次我局的無線局域網(wǎng)建設(shè)，使得無線網(wǎng)絡(luò)在業(yè)務(wù)中的使用更加系統(tǒng)、規(guī)范，滿足了移動(dòng)辦公需求。同時(shí)避免了個(gè)人無線設(shè)備接入業(yè)務(wù)網(wǎng)絡(luò)而帶來的風(fēng)險(xiǎn)，無線AP零配置，由AC統(tǒng)一集中配置并進(jìn)行管理，增加了整個(gè)無線網(wǎng)絡(luò)的可控性，無線網(wǎng)絡(luò)安全較之前也有得到了有效保障。

參考文獻(xiàn)：

[1] 劉浪，陳玉明.WLAN的設(shè)計(jì)研究[J].科協(xié)論壇（下半月），2011（01）.

[2] 岳超.基于瘦AP+AC模式的組網(wǎng)技術(shù)研究[J].科學(xué)技術(shù)創(chuàng)新，2018（20）.

[3] 時(shí)新明.氣象無線網(wǎng)絡(luò)安全[J].信息與電腦（理論版），2018（15）.

【通聯(lián)編輯：代影】