網(wǎng)絡(luò)設(shè)計(jì)原則

WLAN辦公網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該注重簡單可靠、易部署、易維護(hù)，通常遵循如下四項(xiàng)原則。

1.安全性原則：WLAN網(wǎng)絡(luò)作為開放性的無線接入網(wǎng)絡(luò)，在網(wǎng)絡(luò)建設(shè)規(guī)劃時(shí)需注重對用戶的安全性及網(wǎng)絡(luò)的安全性的考慮。

2.可靠性原則：WLAN網(wǎng)絡(luò)需保證網(wǎng)絡(luò)的信號質(zhì)量、設(shè)備的穩(wěn)定運(yùn)行、避免單點(diǎn)故障，為用戶提供可靠的WLAN無線接入業(yè)務(wù)。

3.易維護(hù)性原則：WLAN網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)方便管理，易于維護(hù)，便于進(jìn)行系統(tǒng)配置，具備可統(tǒng)一的監(jiān)控設(shè)備參數(shù)、數(shù)據(jù)流量、系統(tǒng)性能等，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。

4.可擴(kuò)展性原則：WLAN系統(tǒng)設(shè)備不但要滿足當(dāng)前需要，并且網(wǎng)絡(luò)的擴(kuò)展性方面要滿足可預(yù)見將來的需求，如帶寬和設(shè)備的擴(kuò)展、應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等，保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時(shí)，能保護(hù)已有的投資。

“瘦AP”架構(gòu)方案

為遵循上述四項(xiàng)原則，公司決定采用基于控制器（AC）的“瘦AP”架構(gòu)（即AC+AP模式），該模式與傳統(tǒng)的獨(dú)立AP架構(gòu)相比具有以下幾點(diǎn)優(yōu)勢。

1.AP零配置接入，AC實(shí)施統(tǒng)一管理：一臺AC實(shí)現(xiàn)對內(nèi)網(wǎng)所有AP的統(tǒng)一管理與控制，AC自動對AP下發(fā)配置，實(shí)現(xiàn)AP零配置接入，即插即用，減少人力成本投入。AC獲取各AP位置，實(shí)時(shí)動態(tài)調(diào)整各相鄰AP發(fā)射功率，以此減少AP間相互干擾，讓無線網(wǎng)絡(luò)處于最優(yōu)狀態(tài)。AC支持建筑圖紙導(dǎo)入并提供實(shí)時(shí)的AP狀態(tài)信息、各接入無線終端的信號強(qiáng)度數(shù)據(jù)、AP的各類日志信息、數(shù)據(jù)統(tǒng)計(jì)信息等，助力網(wǎng)絡(luò)維護(hù)人員實(shí)時(shí)了解網(wǎng)絡(luò)現(xiàn)狀，并在發(fā)現(xiàn)問題時(shí)快速定位并解決故障。

2.無縫漫游，全網(wǎng)覆蓋任意行：AC管控各相鄰AP間漫游閾值，并讀取STA（無線終端）信號強(qiáng)度，讓STA在相鄰AP間實(shí)現(xiàn)無縫漫游。無縫漫游技術(shù)讓全網(wǎng)網(wǎng)絡(luò)實(shí)現(xiàn)蜂窩覆蓋，解決無線終端在移動中網(wǎng)速慢、或者頻繁掉線、登錄問題。

3.負(fù)載均衡，網(wǎng)絡(luò)快速可靠又穩(wěn)定：AC管控各相鄰AP的帶機(jī)量，基于STA的負(fù)載均衡能平衡各AP接入負(fù)載壓力，又能有效解決因某STA距AP較遠(yuǎn)而導(dǎo)致整個(gè)網(wǎng)絡(luò)速率下降的問題，保障無線網(wǎng)絡(luò)的高效性、可靠性和穩(wěn)定性。

4.部署方式靈活，樣式簡約時(shí)尚：吸頂式AP、墻插式AP、壁掛式AP、桌面型AP，其外觀或美觀大氣，或簡約時(shí)尚，或小巧靈活，占用空間少，能與企業(yè)辦公環(huán)境完美結(jié)合，給用戶帶來整體的科技與美感享受。

圖1 WLAN網(wǎng)絡(luò)部署架構(gòu)圖

5.辦公網(wǎng)隔離：對服務(wù)區(qū)進(jìn)行合理劃分，員工、客戶網(wǎng)進(jìn)行邏輯隔離，確保角色不同訪問權(quán)限也不同，保障網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)信息安全。還可采用多種加密認(rèn)證方式、MAC黑白名單、VLAN劃分等，網(wǎng)絡(luò)安全有保障。

經(jīng)過測試和對比，公司選擇了華為的WLAN網(wǎng)絡(luò)解決方案，此次部署涉及到的設(shè)備如表1所示。

其中，普通無線接入AP用于一般辦公地點(diǎn)使用；高密無線接入AP供會議室、會客室等人員密度較大的地點(diǎn)使用；POE交換機(jī)供AP接入使用，提供端口供電和數(shù)據(jù)轉(zhuǎn)發(fā)的功能。

表1 WLAN網(wǎng)絡(luò)所需設(shè)備信息

網(wǎng)絡(luò)部署規(guī)劃

根據(jù)公司的實(shí)際網(wǎng)絡(luò)環(huán)境，實(shí)際部署WLAN網(wǎng)絡(luò)前所做的規(guī)劃如下。

1.WLAN網(wǎng)絡(luò)部署架構(gòu)規(guī)劃

為規(guī)避網(wǎng)絡(luò)架構(gòu)調(diào)整所帶來的風(fēng)險(xiǎn)，根據(jù)項(xiàng)目的實(shí)際情況，擬采用集中轉(zhuǎn)發(fā)的模式搭建無線覆蓋網(wǎng)絡(luò)，無線數(shù)據(jù)流量統(tǒng)一在AC上做認(rèn)證、管控和轉(zhuǎn)發(fā)。AC和Agile Controller均統(tǒng)一部署在數(shù)據(jù)中心機(jī)房，其中AC以旁路部署的方式接入核心交換機(jī)，Agile Controller服務(wù)器以普通服務(wù)器方式接入即可。AP通過POE交換機(jī)部署到各個(gè)覆蓋場景，結(jié)合實(shí)際辦公環(huán)境，確定每個(gè)AP的部署位置。根據(jù)部署情況，WLAN網(wǎng)絡(luò)從邏輯結(jié)構(gòu)上可以分為終端接入側(cè)、數(shù)據(jù)通信網(wǎng)、無線管控平臺三大塊（如圖1）。

（1）終端接入側(cè)

采用瘦AP方式進(jìn)行部署，AP全部吊裝在天花板上。AP型號選擇華為AP4030DN和AP5030DN室內(nèi)吊裝型產(chǎn)品，分別用于普通辦公場所和高密辦公場所，這兩款A(yù)P均支持802.11a/b/g/n/ac等 標(biāo)準(zhǔn)，自動射頻調(diào)優(yōu)，可以滿足全范圍覆蓋和無縫漫游的需求，減少同頻干擾，提高無線接入的客戶體驗(yàn)度。

（2）數(shù)據(jù)承載網(wǎng)絡(luò)

采用公司原有的思科千兆POE交換機(jī)完成接入，通過POE方式對AP供電，交換機(jī)通過GE光纖鏈路上行連接到核心交換機(jī)。

（3）無線管控平臺

項(xiàng)目中采用華為AC6605控制器作為無線AP的控制、維護(hù)以及流量轉(zhuǎn)發(fā)的設(shè)備，實(shí)現(xiàn)對全網(wǎng)AP的自動配置下發(fā)、射頻管理、信道分配等統(tǒng)一的管理和安全接入控制，讓網(wǎng)絡(luò)管理人員可以輕松管理辦公樓無線網(wǎng)絡(luò)。同時(shí)，使用華為Agile Controller進(jìn)行用戶的安全策略控制，提供用戶管理、準(zhǔn)入控制、訪客管理等功能，實(shí)現(xiàn)基于用戶組的管理和授權(quán)策略。

2.SSID規(guī)劃

針對公司實(shí)際用戶情況，擬劃分兩個(gè)SSID分別供兩類用戶使用，其中“employee”供公司內(nèi)部員工使用，“guest”供外部訪客使用。用戶需要根據(jù)自己的身份連接對應(yīng)的SSID，然后再使用無線。

3.無線漫游規(guī)劃

漫游是指用戶在部署了無線網(wǎng)絡(luò)的場所移動時(shí)，用戶終端可以從一個(gè)AP的覆蓋范圍移動到另一個(gè)AP的覆蓋范圍，用戶無需重新登錄和認(rèn)證。實(shí)現(xiàn)無線漫游功能后，用戶在公司各辦公樓層移動，無線終端均會透明自動地進(jìn)行AP切換，保證無線網(wǎng)絡(luò)的連續(xù)性。

4.無線頻段規(guī)劃

現(xiàn)行WiFi使用的頻段包括2.4GHz和5GHz兩種，2.4G頻段傳輸速率低，容易受到其他干擾源的干擾；5G頻段傳輸速率高，不易受到干擾?，F(xiàn)在大多數(shù)無線終端都已支持5G頻段，只有少部分老舊無線終端僅支持2.4G頻段。為保證無線用戶的上網(wǎng)體驗(yàn)，同時(shí)兼顧老舊終端對2.4GHz的兼容性，本項(xiàng)目采用5G和2.4G雙頻段并行的方式，如果接入終端支持5G，則優(yōu)先使用5G頻段；反之，則使用2.4G頻段。

5.用戶認(rèn)證方式規(guī)劃

本項(xiàng)目采用Agile Controller提供的Portal認(rèn)證功能來實(shí)現(xiàn)用戶的實(shí)名制上網(wǎng)。用戶賬號和密碼由管理員在后臺創(chuàng)建，分為內(nèi)部員工和訪客兩個(gè)角色；內(nèi)部員工賬號采用工號，訪客賬號采用手機(jī)號，可以通過后臺批量導(dǎo)入功能創(chuàng)建賬號。用戶無線終端接入對應(yīng)的SSID后，打開瀏覽器，輸入任意一個(gè)網(wǎng)址，即可彈出Portal認(rèn)證頁面，按照頁面提示輸入合法用戶名和密碼后，點(diǎn)擊“登錄”，即可接入無線網(wǎng)絡(luò)。用戶首次登錄，必須修改默認(rèn)密碼，修改完成后，才可正常接入，避免用戶使用默認(rèn)密碼導(dǎo)致賬號被盜用。

6.用戶訪問控制策略規(guī)劃

本項(xiàng)目采用Agile Controller + AC實(shí)現(xiàn)內(nèi)部員工和訪客兩種角色的資源訪問控制權(quán)限。內(nèi)部員工接入后，可以訪問內(nèi)網(wǎng)+外網(wǎng)；訪客接入后，僅可以訪問外網(wǎng)。每個(gè)用戶僅可以同時(shí)使用一個(gè)移動終端上網(wǎng)。如果單用戶使用終端數(shù)量超過一臺，超出終端將會自動下線。后期如果有其他策略要求，可靈活針對IP進(jìn)行調(diào)整。

表2 無線IP規(guī)劃表

7.用戶及設(shè)備IP規(guī)劃

為了實(shí)現(xiàn)用戶無線上網(wǎng)以及無線設(shè)備的管理，需要為接入的無線終端和無線AP等設(shè)備分配IP地址，結(jié)合公司實(shí)際情況，擬按照劃分管理VLAN和業(yè)務(wù)VLAN的方式進(jìn)行部署，其中管理VLAN內(nèi)AP的IP地址分配由AC負(fù)責(zé)，業(yè)務(wù)VLAN中的內(nèi)部用戶VLAN和訪客VLAN的IP分配由公司DHCP服務(wù)器負(fù)責(zé)，具體如表2所示。

8.分支機(jī)構(gòu)無線部署

公司在外地有一些分支機(jī)構(gòu)，這些機(jī)構(gòu)與公司之間通過租用的運(yùn)營商專線進(jìn)行連接。只要公司與分支機(jī)構(gòu)之間路由可達(dá)，就可以將分支機(jī)構(gòu)納入WLAN網(wǎng)絡(luò)的統(tǒng)一部署中。分支機(jī)構(gòu)部署的AP只需要在公司AC上進(jìn)行注冊，即可接受AC和Agile Controller服務(wù)器的統(tǒng)一管理，包括自動配置下發(fā)、用戶認(rèn)證授權(quán)、訪問控制策略下發(fā)等，與本地化部署效果完全一致。