基于“无线控制器+FITAP”解决方案的无线局域网设计与实现

2019-05-22谢丰任兆鹏丁炜马艳

电脑知识与技术 2019年10期

谢丰任兆鹏丁炜马艳

摘要：对中型机关事业单位无线网络连接及使用状况进行分析，针对个人及业务使用中无线网络连接主要通过个人插接无线路由器入单位业务网的现状，提出一种基于“无线控制器 + FIT AP”无线局域网建设方案，基于此方案的无线局域网建设应用后，规范了业务及个人的无线网络连接及使用方式，有效保障了无线网络使用速率，同时也使得无线局域网络安全得到了有效保障。

关键词：无线局域网；无线控制器 + FIT AP；无线网络安全；无线准入管理；智能终端接入组件（EIA）

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2019）10-0045-03

开放科学（资源服务）标识码（OSID）：

随着自动化办公信息技术的不断发展和无线终端设备的应用普及，移动办公的需求日益增长，而有线网络无法满足移动办公需求。随着依托无线网络进行的业务种类的增加，青岛市气象局主要办公区域内无线终端用户需要随时随地的获取网络提供的各种数据资料及业务文件，而由用户个人使用无线终端设备接入单位业务有线网络进行连接，无法保障无线连接质量，同时也无法保障在无线使用过程中，可能存在的对业务网络的安全威胁，这就需要组建一个高效、安全、可靠、稳定的无线网络以满足实现移动办公的需求。

1 建设目标

此次无线网络建设是在青岛市气象局现有有线网络基础上进行无线网络扩充，基本目标是实现青岛市气象局办公区域无线网络覆盖，在方案设计上拟采用高性能、易管理、高可靠、可扩展的无线接入设备及网络组网方案，再结合终端准入管理设备进行无线接入终端的身份认证、访问策略控制等，为无线终端用户提供高效、安全的无线接入服务。

无线设计方案从以下几个方面进行考虑，首先是高安全，由于无线网络使用比有线网络更加不好进行网络安全管控，所以需建设无线网络终端准入安全体系，满足用户接入安全、身份识别、以及访问控制、溯源查询的信息安全需求；然后是高性能，前端无线设备需支持802.11ac协议，提供空间双流无线传输速率及整机的千兆接入能力，并且满足足够数量的终端接入需求；还需要考虑到易于管理，前端无线设需备支持以太网（POE）供电，无线网络设备需能够集中进行配置与维护；在高可靠性及可扩展性方面，无线网络整体设计应考虑核心设备采用双机部署方式，配置冗余电源，出现故障时在不影响有线网络正常使用，且不改变主体架构的前提下，平滑实现升级和扩充，降低原有网络的硬件投资。

2 无线组网方案对比

在“自治型无线接入点FAT AP”组网方案中，其管理只存在于自身，没有全局统一管理方式，也没有对无线链路及无线用户的监测与管理；在安全性方面，安全策略较少且也只局限于针对其自身，无法满足大规模无线网络安全策略经常性批量配置和下发的需要，相应地也就无法支撑无线网络环境的安全保障；在认证方面，FAT AP的认证也存在自身局限性且无法达到经常性更新的认证需求，认证后策略无法进行二次部署；从设备自身安全性来看，FAT AP本身保存全部配置，很容易经过串口或网络口登录获取无线网络的相关信息，从而威胁整个无线及有线网络环境，是大规模部署无线网络的巨大隐患；从全网漫游角度考量，由于所有管理与配置存在于自身，其下联用户的IP地址须归属于其直连的以太网交换机端口VLAN和网段地址规划，无线用户跨越FAT AP进入不同的网段时IP地址需重新进行请求和认证，网络访问必然中断，无法支持跨网段全网漫游，且一旦进行大规模部署，还必然打乱原有线网络IP地址及VLAN规划，给网络运维带来不必要的压力。

在“无线控制器（AC）+FIT AP”组网方案中，设备管理权限集中于无线控制器，通过无线控制器实现对全网无线设备进行批量配置、升级进行统一管理；所有用户和FIT AP的安全策略，全部存储于无线控制器，整体安全策略的部署相对容易；在认证方面，对无线控制器（AC）认证，配合后台的Radius系统，能够灵活定义、部署和更改认证策略；在FIT AP产品自身安全性方面，其本身不保存配置，所有配置都存在于无线控制器，非法用户无法通过AP登录更改配置，杜绝了无线网络入侵可能性；无线用户的IP地址、认证、加密操作都是基于无线控制器，无线用户身处无线网络的任何位置，从哪一个AP进入，理论上都是访问同一个（或同一组）无线交换机/控制器，会连续性保持其原有的IP地址、连接信息、认证及加密信息等，从而实现跨网段全网漫游。

综合以上几点，“无线控制器（AC）+FIT AP”（瘦AP）解决方案，对比传统的“自治型无线接入点FAT AP”（胖AP）解决方案，在全局统一管理、安全、认证、以及设备自身安全和全网漫游等几个方面优势非常明显，最终选定以“无线控制器（AC）+FIT AP”解决方案为基础进行青岛市气象局无线局域网设计。

3 无线局域网设计方案

3.1 无线局域网建设范围

本次无线网络建设涉及预报网络办公楼、业务办公楼、行政楼和探测业务楼、阅览室，建设完成后基本能够实现气象局办公区域无线覆盖，初步规划无线AP安装点位为：预报网络办公楼1到3层为主要业务工作层，每层布设两台AP，4、5楼主要为日常办公区域，每层布设一台AP；业务中心楼1、2层为业务密集区域，负1层食堂信号稍弱，故每层布设两台AP，3、4楼为日常办公区域，每层布设一台；行政楼1至4层每层布设两台AP，满足行政日常工作需求，负一层布设一台，满足行政值班人员需求；探测业务楼两层每层布设两台，满足业务人员工作需求。全局共计需布设30台无线AP。

3.2 无线局域网结构设计及拓扑

两台无线控制器旁路部署于核心交换机，配置为双机热备模式，可实现在任意一台无线控制器出现故障时，管理的无线AP毫秒级切换，保障无线网络不中断。无线AP采用吸顶安装方式，安裝于各办公区域走廊天花吊顶下，通过POE供电模块连接到各办公区域接入交换机，既可以实现AP供电，又能够进行网络数据传输，POE供电模块可统一安装于各办公区域汇聚机房。

网管平台部署于中心机房服务器中，既可以实现对有线、无线网络设备的集中管理与监控，又可以实现对无线接入用户进行统一的认证管理。

3.3 无线局域网具体组网方式

采用“FIT AP+无线控制器”方式组网，硬件主要由CPU+内存+RF构成，配置及软件都从无线控制器上下载，所有AP和无线客户端的管理都在无线控制器上集中完成；AP和无线控制器之间的流量通过私有协议加密，客户端MAC只出现在无线控制器端口而不会出现在AP端口，保障了无线网络使用安全；无线局域网采用集中转发配置模式，所有无线流量均通过无线控制器统一处理，从而实现无线网络漫游及集中管理；FIT AP通过POE模式供电，用一条网线连接AP即可实现数据信号传输及设备供电需要，在实施过程中简化施工难度。

在无线控制器上开启无线设备管理地址DHCP服务，AP通过DHCP服务器从无线控制器获取其管理IP地址，发送二层广播发现请求至无线控制器，无线控制器响应AP发送的广播请求，确认接入权限，AP再从无线控制器下载最新的软件版本及配置，进行注册并上线使用，AP采用二层方式注册到无线控制器，上线、注册过程如下图所示：

3.4 无线配置规划及优化

无线网络中AP管理地址配置于无线控制器，采用DHCP方式自动下发，无线终端地址配置于业务网核心交换机，由于无线中断连接时无线服务向外广播SSID，故选用单独业务地址段，以减少无线网络广播包对有线网络的影响。无线服务配置为二层漫游方式，能够实现终端一次接入，在无线覆盖区域内无须再次进行连接登陆，有力提升了用户接入体验。在此基础上采用WPA2模式密码认证接入，可有效保障无线接入数据的传输安全。

从优化广播报文发送机制来看，同一无线业务VLAN间广播、组播报文会向所有该VLAN的AP进行广播，且由于空间介质中广播报文通常使用最低速率进行发送，故报文较多即会占用较多空口资源，影响整个网络应用。采用对无线终端进行二层隔离方式，使无线控制器控制用户只能访问网关设备，相互之间不能访问，可以大量减少整个WLAN网络的广播流量，提升WLAN网络的整体性能。

从优化无线功率方面来看，根据实际业务需求，为了提高覆盖信号质量通常需部署相应数量AP，造成覆盖范围出现重叠，AP之间互相可见，如果所有AP又都工作在相同信道，则只能共享一个信道的频率资源，也将导致整个WLAN网络性能降低。可通过调整AP发射功率，为每个AP射频口手工配置信道，降低信号重叠造成的无线带宽损失，通过对无线信道进行优化来加强信道频谱资源复用率，从而降低AP之间可见度，提高WLAN网络整体性能。

从优化客户端工作频段考虑，实际应用中部分客户端只能工作在2.4GHz，而部分客户端可以同时支持2.4GHz和5GHz两个频段，此时支持双频的客户端也都工作在2.4GHz频段上，会导致2.4GHz频段过载，而5GHz射频相对空余的情况。在这种情况下，开启设备频谱导航功能可以将支持双频工作的客户端优先接入5GHz射频，使得两个频段上的客户端数量相对均衡，从而提高WLAN整网性能。

4 无线准入管理

无线接入方式作为有线接入的补充，虽然扩展了网络覆盖范围，但是也增加了网络边界的风险。传统的针对无线终端设备准入的方式是通过密码、手工MAC绑定、隐藏SSID等方式实现。在实际使用过程中，无线密码容易公开，而且能够被恶意破解或修改；手工MAC地址绑定过程复杂，维护难度较大。此外，对于临时访客无线终端设备很难进行有效的准入管理，难以实现基于用户身份的登录信息记录，无法满足信息安全要求，无线网络成为网络安全中一大隐患。

针对上述问题，结合我局实施需求及网络环境，选定通过网管平台终端智能接入组件（EIA）实现对我局内部人员、外单位临时用户进行无线网络准入管理。可提供统一的网络接入策略，实现网络（有线、无线和 VPN 网络）的统一接入管理；并提供对局我内部工作人员、外单位临时用户、设备管理员等基于角色、类型、接入时间地点的网络访问控制策略，满足我局多种网络、多种终端接入的统一运维管理需求，确保终端安全策略在整个网络无缝地执行。

4.1 内部人员准入方式

我局内部人员无线终端设备准入通过Portal无感知认证方式进行，在终端设备首次接入时，用户连接WLAN网络SSID，通过DHCP服务器获取IP地址信息。

无线控制器监控用户上网流量达到阈值，向MAC绑定服务发起MAC 查询请求并得到返回结果，无线控制器再按照正常Portal认证流程向终端重新定向Portal认证页面，此时用户输入用户名、密码发起认证，认证成功后接入无线网络环境。

4.2 外单位临时用户准入方式

临时用户准入主要实现对临时外来访客用户接入网络进行身份记录，并能够通过该记录查询到接入终端的真实身份，实现溯源查询，从而降低网络风险，提高网络安全性。在对外单位临时用户的管理上，终端智能接入组件能够提供微信、短信两种针对临时访客的准入策略。

以短信方式认证是相对传统的认证方式，相比于微信认证，其前期部署成本相对低廉，但每次认证都需要给访客发送短信。

短信认证步骤如下图所示：

以微信方式认证需要与微信公众平台对接开发，故而需要更多的前期投入，但此方式也能更加高效达成临时用户准入管理。

微信认证分为以下几个步骤：

1）关注公众账号

2）访客收到微信推送的广告后，点击查看

3）IMC自动绑定IP/MAC地址，访客即可访问互联网，通过与微信平台服务器联动，可在管理后台查询到登陆使用的微信账号（该功能需要与微信平台对接开发）。