韓霜 魏宏

摘要：文章詳細介紹了無線交換機+FIT AP架構模式在企業(yè)中的應用，成功實現(xiàn)整個辦公大樓的無線網絡覆蓋，同時滿足訪客和用戶的入網需求，達到網絡的靈活安全使用。

關鍵詞：WLAN;FIT AP;無感知認證

中圖分類號：TN925 文獻標識碼：A 文章編號：1007-9416（2019）04-0022-02

0 引言

隨著筆記本電腦和個人數(shù)字助理、手機等移動設備的普遍使用，無線計算機網絡也逐漸流行起來，同時，無線接入方式的理念諸如寬帶化、移動化、IP化等特點的提出，WLAN憑借其接入速率高、架構使用便捷、系統(tǒng)使用費用低廉及擴展性較好等優(yōu)點，使之應用也越來越廣泛。

1 WLAN

無線局域網絡（ Wireless Local Area Networks簡稱： WLAN），它是一個相當便利的數(shù)據(jù)傳輸系統(tǒng)，使用射頻技術、電磁波，取代傳統(tǒng)使用的雙絞線所架構的局域網絡，在空中進行信息通信，使得WALN利用簡單的存取設備讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。

無線局域網技術經過十幾年的發(fā)展，主要經過了三個技術及產品的發(fā)展歷程：第一代：每一臺AP設備都要進行單獨配置，采用FAT AP，就是我們所說的“胖”AP，費時、費力、費成本。第二代：主要融入了無線網關功能，由于不能進行集中管理和配置，安全性和對有線網絡的依賴成了WLAN 發(fā)展的瓶頸。另外由于AC或無線網關的硬件多數(shù)是基于奔騰架構的，所以當用戶接入數(shù)量增多時，無線局域網的性能會急速下降，通常會發(fā)生死機、掉線或網速卡頓等狀況。第三代：采用無線交換機加FIT AP，就是所謂的“瘦”AP架構，對傳統(tǒng)WLAN設備的功能做了重新規(guī)劃，同時加入了許多新的重要功能：諸如無縫漫游、AP間自適應、RF監(jiān)測、無線安管、無線網管以及Qos，使得無線局域網的網絡性能、管理、安全性能得到極大的提高。

2 整體網絡架構

目前，需要實現(xiàn)公司辦公大樓的無線網絡整體覆蓋，使大樓內通過WLAN網絡隨時隨地訪問internet，保存連接日志，流量管理等功能，達到無死角、無卡頓漫游，可以對用戶訪問情況進行記錄，同時滿足到訪用戶及員工的入網需求，達到網絡的靈活安全使用。主要采用無線交換機+FIT AP接入（即“瘦”AP的架構），支持802.11ac Wave2協(xié)議;在整個核心機房采用1臺AC進行對AP的統(tǒng)一管理和監(jiān)控（如圖1所示），從核心機房布放光纜到每棟樓，并在每棟樓部署交換機，完成末端AP的上行匯聚。

其中：（1）UAC設備主要實現(xiàn)：NAT地址轉換、端口轉換、路由指向、行為審計等;（2）認證RG-ESS：主要實現(xiàn)無線內網用戶認證，同時與AC設備的聯(lián)動等;（3）核心：主要實現(xiàn)新增無線VLAN及VLAN接口、路由指向、與UAC 互聯(lián)、配置策略等;（4）無線AC：IP地址、路由指向、VLAN創(chuàng)建、發(fā)射無線信號、創(chuàng)建AP地址池等;（5）匯聚：創(chuàng)建VLAN等;（6）接入：鏈路配置等;（7）無線POE：創(chuàng)建VLAN、配置默認路由指向、配置交換機管理地址等。

2.1 內部用戶無感知接入

在用戶接入側，為保證每個接入用戶的線路質量，將根據(jù)SSID域對接入用戶進行限速處理。同時內部用戶無感知接入，無感知認證可以簡單的理解為無需人為干預可以自動完成身份認證，用戶只需首次進行無線相關參數(shù)設置和用戶信息校驗，采用EAP-PEAP協(xié)議進行用戶身份認證，如圖2所示。

（1）內部用戶連接對應的無線信號，觸發(fā)802.1x認證;（2）客戶終端會彈出輸入用戶名和密碼的選項，輸入對應的AD域賬號和密碼，提交認證;（3）認證通過802.1x方式傳遞至認證系統(tǒng)RG-ESS，認證系統(tǒng)將信息轉發(fā)給AD域控系統(tǒng)，AD域控系統(tǒng)進行最終用戶的信息校驗;（4）如果信息正常，則返回認證成功消息至認證系統(tǒng)，再由認證系統(tǒng)下發(fā)策略至AC設備，通知放通對應的用戶，同時在客戶端通知正常連接，用戶即可訪問網絡。

2.2 DHCP規(guī)劃

無線用戶和無線AP需要通過DHCP方式分發(fā)IP地址。其中AP的DHCP配置需要指定option 138字段，AP通過此字段與AC建立CAPWAP隧道，無線用戶使用常規(guī)的地址添加方式即可。DHCP服務器可以新建立一臺虛擬機，安裝windows server操作系統(tǒng)，專門為無線用戶提供DHCP地址，減少對現(xiàn)網有線業(yè)務的干擾影響。由于涉及到option 138字段，無線AP的地址池直接創(chuàng)建在AC上，通過中繼獲取。

2.3 身份認證規(guī)劃

內部用戶使用AD域認證方式，輸入AD域的賬號和密碼進行上網;訪客登錄可以通過掃描二維碼的方式，訪客連接WiFi后彈出對應二維碼，隨后由接待者（內部用戶）通過掃描對應二維碼完成訪客開戶認證等相關流程，實現(xiàn)訪客用戶的快速靈活安全接入。

2.4 權限控制

訪客和內部用戶通過IP地址進行權限區(qū)分，通過ACL控制IP地址的方式，限制不同的權限的訪問，訪客用戶拒絕訪問內部資源，內部用戶允許訪問內部資源，如果訪客用戶需要訪問內部資源，需要管理員在對應的ACL將其IP放通允許即可。

3 結語

通過無線網絡技術在企業(yè)中的應用可以實現(xiàn)整個大樓的無線網絡覆蓋，連接日志保存，流量管理等功能同時達到以下效果。

（1）終端設備移動時能無縫漫游，保證終端設備在使用過程中的網絡連續(xù)性，AP切換時用戶無卡頓體驗;（2）無線網絡劃分為內網和外網兩個Vlan，外網Vlan僅能訪問互聯(lián)網，內網Vlan可訪問內網資源及訪問互聯(lián)網，用戶接入后可根據(jù)不同身份分配不同地址分別接入內網或外網Vlan;（3）訪客登錄需提交申請，通過郵件發(fā)送到管理員或帶訪員工郵箱，由管理員或帶訪員工確認后，按預設或指定的時長時段訪問外網，支持微信公眾號認證和短信認證功能;（4）增加一臺上網行為控制設備，具有記錄用戶上網行為審計、網絡帶寬控制、訪問權限范圍控制及遠程WEB管理等功能。