基于有線無線一體化WLAN在煤礦的應用

王丹丹　王明龍

中圖分類號： TD655文獻標識碼： A 文章編號： 2095-2457（2019）28-0083-002

DOI：10.19694/j.cnki.issn2095-2457.2019.28.033

第三代無線局域網采用無線交換機和FIT AP的架構，對傳統(tǒng)WLAN設備的功能有了重新的區(qū)分，將密集型的無線網絡和安全處理功能轉移到集中的 WLAN 交換機中實現，而且增添了許多新的重要功能，例如無線網管、AP間自適應、無線安管、RF監(jiān)測、無縫漫游以及Qos。使得無線局域網的網絡性能、網絡管理和安全管理能力得以大幅提高。

1 平煤集團辦公區(qū)無線網絡項目建設需求

平煤集團辦公區(qū)通過部署無線網絡，需要實現以下需求：

通過對辦公區(qū)進行無線的部署實現無線覆蓋，每個區(qū)域無縫隙實現有效的WLAN覆蓋。因此可以達到在辦公區(qū)任何區(qū)域內，無需使用網線即可方便的訪問企業(yè)的WLAN業(yè)務網絡，而且無線終端可以不受限制的接入到網絡中，便于隨時隨地的辦公。部署無線網絡覆蓋安裝維護簡便，移動性高，費用低廉的無線聯網方式。

2 網絡建設方案

根據目前平煤集團辦公區(qū)的規(guī)模和網絡狀況，設計采用無線控制器（AC）和瘦AP（FIT AP）結合的組網方式。通過無線控制器將用戶管理、加密、漫游、AP管理等功能全部集中到一起進行，瘦AP實現無線信號的處理，這樣可以簡化整個網絡的管理，提高設備的工作效率。AP的供電采用POE供電，這樣可以簡化布線，同時減少故障點，提高網絡的可靠性。

2.1 平煤集團辦公區(qū)無線網絡方案

平煤集團辦公區(qū)主要分為以下幾大區(qū)域：

室內辦公區(qū)：辦公區(qū)域是主要的覆蓋區(qū)域，可以為員工提供辦公網絡接入。

會議室：會議室區(qū)域主要供日常會議無線終端接入，人員密集度較大，為覆蓋難點。

室外區(qū)域：室內到室外無線過度為室外區(qū)域，室外無線要求無線AP能耐潮耐高溫耐低溫，對設備可靠穩(wěn)定度有較高的要求，同時由于其作為室外大區(qū)域的無線覆蓋，因此要求無線AP有足夠且合理的無線發(fā)射功率。

如圖1所示，在核心交換機上部署無線控制器WX3540H來實現無線AP的控制，WX3540H無線控制器連接到平煤集團現網核心交換機，接入交換機部署11AC產品WA4300及11AC室內X分產品WA4320i-X，辦公人員通過WA4300或WA4320i-X連接到企業(yè)的WLAN網絡中與后臺系統(tǒng)通信。

無線控制器在網絡中起到如下幾個作用：

（1）作為無線控制器，對FIT AP（WA4300、WA4320i-X）進行統(tǒng)一的智能管理。

（2）通過無線控制器AC，可以實現快速的AP二、三層漫游。

（3）智能AP負載分擔。

（4）端到端的QoS。

FIT AP組網最大的優(yōu)點在于AP本身零配置，AP上電后會自動從無線控制器下載軟件版本和配置文件，同時無線控制器會自動調節(jié)AP的工作信道以及發(fā)射功率。另外，通過無線控制器的RF掃描探測熱點地區(qū)Rouge AP，可以及時排除其他AP存在的干擾，保障AP的穩(wěn)定運行。在網絡管理方面，網管可以只通過管理無線控制器設備就可以達到控制AP的效果，最大程度的減少了無線網絡后期維護和管理的工作量。

使用無線控制器+FIT AP時，AP在啟動后會自動通過DHCP方式獲取IP地址，并自動搜尋可關聯的無線控制器，在與無線控制器建立CAPWAP隧道之后會自動從無線控制器下載配置文件和更新軟件版本。

在AP的接入方面，它擁有智能射頻管理，當其中一個AP出現故障時，附近其他的AP會自動調整功率，對該部分區(qū)域進行重新的信號覆蓋，從而保證信號的良好覆蓋。而當有非法AP進入無線網絡造成信號干擾時，它的智能射頻管理系統(tǒng)可以定位出該AP的位置，以便盡快排除。

無線控制器可以設定AP間對接入用戶進行負載分擔，當無線控制器發(fā)現AP的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關聯請求，用戶會轉而接入其他負載較輕的AP。如圖所示。

2.2 安全認證設計

網絡安全的要求：保證內部網絡安全是業(yè)務能夠正常運行的關鍵，為了保證內網用戶接入網絡的安全性，可以通過以下方式完成對內網用戶的接入訪問：

接入安全。

接入網絡直接面向各類終端，存在安全隱患較大，可能存在諸如：ARP攻擊、非法DHCP服務器、網絡環(huán)路、非法訪問等安全問題，本次設計也針對這些安全因素做合理設計。

ARP攻擊：ARP是基于二層網路攻擊的報文，若要對ARP欺騙攻擊進行徹底防御，需要著手于在接入層交換機就進行安全防護配置。 可以在接入設備開啟ARP過濾功能，對非法的網關ARP報文進行過濾。

非法DHCP服務器：接入用戶私接設備（如：家用有線/無線路由器、家用交換機等）很容易導致非法DHCP服務器接入網絡影響其它用戶正常上網。 而DHCP報文同ARP報文皆工作于二層網絡，安全防范需從接入層交換機做起。可以在接入交換機配置DHCP保護完成對DHCP非法報文的攔截。

網絡環(huán)路控制：網絡環(huán)路可以存在各層網絡，接入匯聚核心間的網絡環(huán)路可以通過生成樹或環(huán)路檢測功能消除。但接入層交換機的環(huán)路設計可以通過端口環(huán)路檢測來消除，并且開啟接入交換機環(huán)路檢測功能還可以防止私接的家用設備上的環(huán)路，有效阻止環(huán)路風暴擴散到上層網絡。

訪問安全控制：考慮到內網的安全接入問題，對每個用戶進行接入控制，用戶首次連接網絡會強制要求自助注冊賬戶，注冊后需要對應部門領導進行審批通過后，才能正常使用網絡資源。首次用戶接入需要用戶填登錄賬戶及密碼，后期可采用無感知認證免去登陸驗證的麻煩，該認證采用“賬戶+MAC+其它”進行綁定的方式保證安全。認證業(yè)務涉及如圖3。

認證流程如圖4。

3 應用效果

不管室內還是室外，全方位的覆蓋規(guī)劃都是一件非常有挑戰(zhàn)的工作。無線網絡規(guī)劃設計參照經驗進行設計，與現網環(huán)境有機結合，不但有科學的依據，準確率也很高，且規(guī)劃效率高。精細的覆蓋規(guī)劃能充分發(fā)揮WLAN的性能，并且也給后期維護優(yōu)化減小工作量，減少后期成本。

4 結語

根據目前平煤集團辦公區(qū)的網絡狀況和規(guī)模，通過采用無線控制器（AC）+瘦AP（FIT AP）的組網方式，瘦AP實現無線信號的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進行，這樣可以簡化整個網絡的管理，提高設備的工作效率。AP的供電采用POE供電，這樣可以簡化布線，同時減少故障點，提高網絡的可靠性。該項目主要完成對平煤集團室內室外辦公區(qū)進行WLAN無線系統(tǒng)的建設，以此提高辦公人員工作效率。