实现无线动态VLAN

■

随着网络应用需求的发展变化，我院现有的、在若干年前建立的、依靠传统的综合布线系统建立起来的有线局域网，在实际应用中暴露出越来越多的不能满足工作要求的不足之处。经过仔细调查和研究，我单位决定吧、把无线网络作为对有线网络的重要补充，弥补有线网络对工作需求的不足；充分利用已有的有线网络的接入准入系统一并为无线网络客户端提供网络准入认证服务，防止无线网络被盗用；让无线网络在各个网络应用中的使用习惯与有线网络保持一致；为访客配置专用的无线连接用以访问互联网。

无线网络系统的设计思路

原有线网络的拓扑结构如图1所示，首先要考虑的是无线网络信号的覆盖范围，这里面还要考虑到实际环境里可能对无线信号有屏蔽和干扰的因素，在我院的案例里，对无线信号影响比较大的是钢筋混凝土的隔墙和成排摆放的金属铁皮柜。在对所有需要覆盖无线信号的区域完成现场实际测试后，做出了AP位置的设计方案。然后是对建设无线局域网所需产品的选型。在一个需要数百个AP的无线网络系统里，如再使用传统的“胖”AP明显是不可能的，按照设计的网络拓扑结构，无线产品需要满足的要求分别是：

无线控制器（WLC）

图1 当前有线网络示意图

WLC作为无线网络的核心设备，既是所有AP的管理设备，也是所有无线客户端的网络流量的转发设备，需要既有灵活的管理功能，也有强大的数据转发性能；既可以支持传统的SSID与VLAN做静态映射，也支持使用我院已有的RADIUS服务器（思科的ACS系统）为连接同一个SSID的不同客户端按RADIUS服务器里的策略动态分配VLAN。

无线接入点（AP）

要求可以用“瘦”AP的模式注册到WLC上接受统一管理，支持802.11a/b/g/n协议，同时支持PoE供电。

PoE交换机

要求是可网管的二层PoE交换机，同时支持光模块，用以通过光纤上联到核心交换机。

经过调研和论证，我院决定选用思科的无线局域网解决方案，WLC选用了思科的AIR-CT5508-K9，AP 选 用了思科的AIR-CAP2602IC-K9，PoE交换机选用了思科的 WS-C2960S-24PS-L，下面就以这些设备为例介绍我院无线网络的设计方案。从部署方式上说，WLC部署在核心交换机上，各个PoE交换机通过光纤也上联到核心交换机，各个AP通过双绞线连接到PoE交换机的PoE端口上。

从网络结构上说，只需要为新增的无线网络系统新增加一个用于无线管理的VLAN，这个VLAN仅用于AP和WLC之间的通信，即所有的AP均处于这个VLAN，由PoE交换机和核心交换机来负责AP与WLC之间的数据转发。具体的工作方式是：所有AP与WLC之间的通讯数据都由思科的私有隧道协议封装在这个无线管理VLAN里，不同VLAN的无线客户端的数据到达AP后，通过这个隧道传到WLC，由WLC解封装后，再由WLC上设置的不同VLAN的接口（interface）转发到核心交换机上对应的VLAN的interface。

从系统设计上说，要做到：

1、无线网络不再增加新的工作VLAN，原有线网络中VLAN是与部门一一对应的，无线客户端将也按部门划入其部门原有VLAN，做到无线网络作为对有线网络的重要补充与有线网络融为一体。

2、新增一个访客VLAN单独用于访客使用

3、全网所有的AP都只发布两个SSID，一个是工作用SSID，对应所有的工作VLAN，另一个是访客SSID，对应单独的访客VLAN。

图2 改造后无线/有线网络示意图

4、连接工作SSID的客户端的VLAN，由已有的RADIUS服务器（即思科的ACS系统）动态发配，原有线网络的客户端是基于以太网卡的MAC地址动态分配VLAN，无线网络的客户端也将基于无线网卡的MAC地址动态分配VLAN。在我院的网络环境里，要求不论是属于哪个VLAN的无线客户端，都可以连接在任意一个AP上，而在一个多达数十个VLAN的无线网络环境里，是不能采用传统的SSID与VLAN做静态映射的方法的，一是因为如果每一个VLAN都发布一个SSID的话，过多的SSID会让用户感到易用性很差，不容易找到自己该连接的SSID；二是因为根据实际测试，一个AP最多只能发布四到五个SSID，如果再多就会造成其发布的这些SSID连接很不稳定，经常会掉线，而且即使不掉线的时候通信质量也很差，网络传输的丢包率很高，基本不能正常使用。可喜的是，利用已有的RADIUS服务器为无线客户端动态分配VLAN的方式可以完美的解决这个问题。至于基于MAC地址来作RADIUS服务器认证的优点与不足之处，在以前的文章中已有过详细论述，这里不再重复。

配置用于无线网络的设备

加入无线网络后的有线/无线网络拓扑如图2所示。

配置AP

由于选用的AP是“瘦”AP，也就是轻量级无线接入点（LAP），这意味着这些LAP是不能独立于WLC工作的，LAP必须首先发现WLC并注册在WLC上才能正常工作，而LAP本身是不需要单独配置的，只需要让LAP完成向WLC的注册，注册后如果LAP上的固件与WLC本地存储的固件版本不一致的话，LAP会自动从WLC下载固件代码，使之与WLC保持一致，然后WLC就会将无线网的配置自动部署到LAP上。

只要AP的型号是WLC所支持的型号，AP的VLAN和WLC的管理VLAN是同一VLAN，同时配置好WLC为AP提供DHCP服务，AP将自动从WLC获得IP地址并完成向WLC的注册。

配置PoE交换机

把对核心交换机的上联口配置为trunk

switchport mode trunk

把连接AP的PoE口配置为无线管理VLAN

switchport access vlan 200（其中200是为无线管理VLAN设置的VLAN ID）

switchport mode access

配置核心交换机

把所有连接PoE交换机以及连接WLC的端口配置为trunk

switchport mode trunk

新建无线管理VLAN和访客VLAN的VLAN interface

interface vlan200

ip address 10.10.103.254/23（配 置 无 线 管 理VLAN的interface IP为10.10.103.254，VLAN ID 是200）

interface vlan54

ip address 10.10.123.254/22（配 置 访 客VLAN的interface IP为10.10.123.254，VLAN ID是54）

ip dhcp-relay serveraddress 10.10.100.10（在访客VLAN里开启dhcp-relay，指向DHCP 服务器，IP是 10.10.100.10，同 时 在DHCP服务器里为这个新建的访客VLAN开启DHCP服务）

配置WLC

1、进入WLC的console对WLC做初始化配置。

具体的配置步骤和方法可以参阅思科的WLC无线网络控制器的配置手册，这里不做祥细介绍，只介绍本案列里必须配置的基本网络设置，以便初始化完成后能利用Web管理界面做详细配置。

System Name：WLC（设置WLC的系统名称为WLC）

Enter Administrative User Name：admin（设 置WLC的管理员名称为admin）

Enter Administrative Password：****（设 置 WLC的管理员密码为****）

Re-enter Administrative Password：****（确 认 设 置WLC的管理员密码为****）

Service Interface IP Address Configuration：none（不开启本地Web管理口的DHCP服务）

Service Interface IP Address：1.1.1.1（设 置 本地Web管理口的IP地址为1.1.1.1）

S e r v i c e I n t e r f a c e Netmask ：255.255.255.0（设置本地Web管理口的IP地址的子网掩码为255.255.255.0）

Enable Link Aggregation(LAG)：yes（开启链路聚合功能，本案例里WLC到核心交换机采用了双链路连接）

Management Interface IP Address：10.10.103.253（设置WLC的管理地址为10.10.103.253）

Management Interface Netmask ：255.255.254.0（设置WLC的管理VLAN网段的掩码为255.255.254.0，由于本案列的AP数量超过了256个，为了所有AP都能加入这个网段，子网掩码设置为512个地址的网段）

Management Interface Default Router：10.10.103.254（设置WLC管理VLAN网段的默认网关为10.10.103.254）

Management Interface VLAN Identifier ：200（设 置WLC管理VLAN的ID为200）

Management Interface DHCP Server IP Address：10.10.103.254（设置管理端口的DHCP服务器的IP地址为10.10.103.254）

Virtual Gateway IP Address：2.2.2.2（设 置 虚拟的网关地址为2.2.2.2，这个虚拟网关是用来当作Web authentication登录窗口重定向服务器和给无线客户端充当DHCP代理的，它必须设置，并且不能和其它地址产生冲突，尽管它不能被ping也不会出现在任何路由表当中。本例中，所有无线DHCP客户端将看到自己的DHCP服务器地址为2.2.2.2）

Mobility/RF Group Na me：test（设置三层漫游时的组名为test）

Network Name（SSID）：test（临时设置一个测试用SSID为test）

Configure DHCP Bridg ing Mode：NO（设置为不使用DHCP桥模式，在本案例里我们将使用WLC内部的DHCP为AP分配IP，同时使用WLC的DHCP代理功能为无线客户端分配IP，而启用DHCP桥模式将导致以上两项功能被禁用）

Allow Static IP Address：yes（设置为允许手工配置静态IP）

Configure a RADIUS Server now? ：yes（配 置RADIUS服务器）

Enter the RADIUS Ser ver’s Address：10.10.50.252（设置RADIUS服务器的IP地址为10.10.50.252）

Enter the RADIUS Server’s Port：1812（设 置RADIUS服务器的认证端口为1812）

Enter the RADIUS Ser ver’s Secret：****（设 置RADIUS服务器的共享密钥为****）

Enter Country Code list(enter ‘help’ for a list of countries)：CN（设置国家代码为CN，CN是中国的国家代码）

Enable 802.11b Net work：yes（设 置 为 启 用802.11b协议的网络）

Enable 802.11a Net work：yes（设 置 为 启 用802.11a协议的网络）

Enable 802.11g Net work：yes（设 置 为 启 用802.11g协议的网络）

Enable Auto-RF ：yes（设置为启用自动射频）

Configure a NTP Server now?：no（暂不配置 NTP 时间服务器）

Configure the system time now?：no（暂不调整系统时间）

保存设置并重启WLC后初始化完成，下面将可以进入图形界面做详细配置。

2、登入WLC管理页面，可以看到初始化时一些配置。

3、为了让AP能从WLC获取IP，以便向WLC注册成功，在“CONTROLLER”下配置“Internal DHCP Server”，建立名为“newap-dhcp”的DHCP Scope，定义DHCP 地址池和网段，由于本案例里设计的所有AP和WLC管理地址在同一网段，不涉及三层通信，这里可以不设置默认网关（即 Default Routers）。

AP在WLC上注册成功后可以在“WIRELESS”菜单里，从“Access Points”的“All APs”里看到。

4、在“CONTROLLER”菜单下的“Interfaces”里为访客VLAN以及所有工作VLAN配置在WLC里的interface，把各VLAN的网关指向核心交换机里相应VLAN的interface，并定义各个VLAN的无线客户端所使用的外部DHCP服务器的地址。

5、在“WLANs”菜单里，为访客建立名为“CAUPDGUEST”的访客SSID。

编辑该 SSID，在“General”里 的“Interface/Interface Group(G)”把 该SSID下 的无线客户端设定为属于访客VLAN，即VLAN54。

在“Security”的“Layer2”里定义该SSID的连接密码。

在“Security” 的“AAA Servers”里不定义任何RADIUS服务器，因为访客是不需要做RADIUS认证的。

在“Advanced” 里，“P2P Blocking Action”选“Drop”，代表不允许连接该SSID的客户端之间互访；钩选“DHCP Addr. Assignment”，代 表 连接该SSID的客户端必须使用DHCP来获取IP地址。

6、在“WLANs”菜单里，为各个工作部门建立名为“CAUPD”的工作SSID。

编辑该 SSID，在“General”里 的“Interface/Interface Group(G)”可以保持默认的“management”，即无线管理VLAN，因为连接这个工作SSID的无线客户端的所属VLAN将由RADIUS服务器的认证决定，这里设定的VLAN将在通过RADIUS认证后被RADIUS服务器返回的VLAN信息覆盖。

在“Security”的“Layer2”里定义该SSID的连接密码。

在“Security” 的“AAA Servers” 里，开 启“Radius Server Overwrite interface”,表示无线客户端的VLAN将由RADIUS服务器决定；认证服务器里选择RADIUS服务器10.10.50.252。

在“Advanced” 里，“P2P Blocking Action” 选“Disable”，代表允许连接该SSID的客户端之间互访；钩选“DHCP Addr. Assignment”，代表连接该SSID的客户端必须使用DHCP来获取IP地 址；开 启“Allow AAA Override”，代表如果 RADIUS服务器返回的配置与WLC里的默认配置有冲突时，将按RADIUS服务器的配置执行。

7、在“SECURITY”菜单的“AAA”下的“AAA”里。

配 置“RADIUS” 里 的“Authentication”， 把“Acct Call Station ID Type”选为“System MAC Address”，“Auth Call Station ID Type”选 为“AP MAC Address:SSID”,表示向RADIUS服务器发送认证请求的用户名和密码相同，均为无线客户端的无线网卡MAC地址。

配 置“RADIUS” 里 的“Accounting”，“MAC Delimit er”选“Hyphen”，表示 MAC地址的格式为大写字母同时每两位之间用“-”分隔，如：11-22-33-AA-BB-CC。至此WLC的基本配置完成。

配置ACS

把WLC配置为ACS里的AAA Client，同时为WLC这个AAA Clients配置AAA认证使用的协议端口和共享密钥。为每个MAC地址建立一个user，并定义这个MAC地址所属VLAN。有关ACS系统具体的相关配置方法，在以前的《基于MAC地址实现动态VLAN的实践总结》里有更系统详细的介绍，这里不再重述。配置ACS完成后，在ACS里可看到如下认证过程，其中绿色的记录表示认证通过，红色的记录表示认证未通过；而没有分隔符的小写字母的username是有线网卡的认证，带有分隔符的大写字母的username是无线网卡的认证：

应用中需要注意的几点事项

1、WLC是个单一故障点

由于在网络里只部署了一台WLC，如果WLC本身出现设备故障将导致所有的无线客户端无法连接网络，因此必须做好WLC的数据备份工作和备机服务准备工作。

2、可以考虑从网络中消除802.11b

因为WLAN技术的基本原理还是基于一些碰撞机制，所以在一个AP下的相同信道下的用户将会共享同一带宽。因为802.11b和802.11g使用的调制技术不同而AP为了响应一些低速率的用户端的请求将调整资源分配，去响应802.11b终端，所以会降低AP的处理能力。为了解决这个问题，可以采用禁用802.11b的数据速率的方式，即禁用1，2，5.5和11Mbps这些数据速率，这样可以在禁用802.11b的同时支持802.11g和802.11n。当然了，还可以设计成不对802.11b和802.11g提供支持，只需取消钩选“802.11b/g Network Status”的“Enabl ed”，让2.4G频段的无线网只支持802.11n的无线客户端。

3、AP的信号强度可调

在个别无线信号强度不够的区域，可以通过调整相应AP的信号强度的方式来改善。“Current Tx Power Level ”是可调的，“1”始终代表国家代码（country code）设置中允许的最大功率，后续的功率等级为上一个等级的50%。例如：1表示最大功率，2表示50%的功率，3表示25%的功率，4表示12.5%的功率，5表示6.25%的功率。

调 整 后，“Power Level”中数字后面无星号的表示是手工定制功率；数字后有星号的表示自动协商功率。

4、对“流氓AP”的管控

往往在WLC上可以看到“流氓AP”（即Rogue AP）的大量存在，这些Rogue AP可能是手机建立的热点，也可能是个人私自架设的AP，它们的存在可能会对WLC的无线网络产生一定干扰。思科的WLC可以对Rogue AP进行压制，让非法AP无法工作，也可以通过网管软件找到这些Rogue AP的具体位置，这需要在WLC界面或者或者思科的无线网管软件WCS下设置。WCS如何配合WLC进行管理这里不做详细介绍。

实践总结

无线网络的建设，有效的弥补了原有的有线网络的不足，通过RADIUS认证动态分配VLAN，实现了统一的SSID下的灵活的VLAN设置，让无线客户端加入到其部门原有的VLAN中；也增加了无线网络准入的安全性，使得不能通过RADIUS认证的无线客户端即使输入了正确的连接密码也不能接入工作SSID；使用验证MAC地址的方式让认证过程变得对客户端透明，认证不需要在无线客户端安装任何软件；为访客配置了单独的SSID和VLAN，方便对访客的上网行为做独立的管理策略。