韩霜 魏宏
摘要:文章详细介绍了无线交换机+FIT AP架构模式在企业中的应用,成功实现整个办公大楼的无线网络覆盖,同时满足访客和用户的入网需求,达到网络的灵活安全使用。
关键词:WLAN;FIT AP;无感知认证
中图分类号:TN925 文献标识码:A 文章编号:1007-9416(2019)04-0022-02
0 引言
随着笔记本电脑和个人数字助理、手机等移动设备的普遍使用,无线计算机网络也逐渐流行起来,同时,无线接入方式的理念诸如宽带化、移动化、IP化等特点的提出,WLAN凭借其接入速率高、架构使用便捷、系统使用费用低廉及扩展性较好等优点,使之应用也越来越广泛。
1 WLAN
无线局域网络( Wireless Local Area Networks简称: WLAN),它是一个相当便利的数据传输系统,使用射频技术、电磁波,取代传统使用的双绞线所架构的局域网络,在空中进行信息通信,使得WALN利用简单的存取设备让用户透过它,达到“信息随身化、便利走天下”的理想境界。
无线局域网技术经过十几年的发展,主要经过了三个技术及产品的发展历程:第一代:每一台AP设备都要进行单独配置,采用FAT AP,就是我们所说的“胖”AP,费时、费力、费成本。第二代:主要融入了无线网关功能,由于不能进行集中管理和配置,安全性和对有线网络的依赖成了WLAN 发展的瓶颈。另外由于AC或无线网关的硬件多数是基于奔腾架构的,所以当用户接入数量增多时,无线局域网的性能会急速下降,通常会发生死机、掉线或网速卡顿等状况。第三代:采用无线交换机加FIT AP,就是所谓的“瘦”AP架构,对传統WLAN设备的功能做了重新规划,同时加入了许多新的重要功能:诸如无缝漫游、AP间自适应、RF监测、无线安管、无线网管以及Qos,使得无线局域网的网络性能、管理、安全性能得到极大的提高。
2 整体网络架构
目前,需要实现公司办公大楼的无线网络整体覆盖,使大楼内通过WLAN网络随时随地访问internet,保存连接日志,流量管理等功能,达到无死角、无卡顿漫游,可以对用户访问情况进行记录,同时满足到访用户及员工的入网需求,达到网络的灵活安全使用。主要采用无线交换机+FIT AP接入(即“瘦”AP的架构),支持802.11ac Wave2协议;在整个核心机房采用1台AC进行对AP的统一管理和监控(如图1所示),从核心机房布放光缆到每栋楼,并在每栋楼部署交换机,完成末端AP的上行汇聚。
其中:(1)UAC设备主要实现:NAT地址转换、端口转换、路由指向、行为审计等;(2)认证RG-ESS:主要实现无线内网用户认证,同时与AC设备的联动等;(3)核心:主要实现新增无线VLAN及VLAN接口、路由指向、与UAC 互联、配置策略等;(4)无线AC:IP地址、路由指向、VLAN创建、发射无线信号、创建AP地址池等;(5)汇聚:创建VLAN等;(6)接入:链路配置等;(7)无线POE:创建VLAN、配置默认路由指向、配置交换机管理地址等。
2.1 内部用户无感知接入
在用户接入侧,为保证每个接入用户的线路质量,将根据SSID域对接入用户进行限速处理。同时内部用户无感知接入,无感知认证可以简单的理解为无需人为干预可以自动完成身份认证,用户只需首次进行无线相关参数设置和用户信息校验,采用EAP-PEAP协议进行用户身份认证,如图2所示。
(1)内部用户连接对应的无线信号,触发802.1x认证;(2)客户终端会弹出输入用户名和密码的选项,输入对应的AD域账号和密码,提交认证;(3)认证通过802.1x方式传递至认证系统RG-ESS,认证系统将信息转发给AD域控系统,AD域控系统进行最终用户的信息校验;(4)如果信息正常,则返回认证成功消息至认证系统,再由认证系统下发策略至AC设备,通知放通对应的用户,同时在客户端通知正常连接,用户即可访问网络。
2.2 DHCP规划
无线用户和无线AP需要通过DHCP方式分发IP地址。其中AP的DHCP配置需要指定option 138字段,AP通过此字段与AC建立CAPWAP隧道,无线用户使用常规的地址添加方式即可。DHCP服务器可以新建立一台虚拟机,安装windows server操作系统,专门为无线用户提供DHCP地址,减少对现网有线业务的干扰影响。由于涉及到option 138字段,无线AP的地址池直接创建在AC上,通过中继获取。
2.3 身份认证规划
内部用户使用AD域认证方式,输入AD域的账号和密码进行上网;访客登录可以通过扫描二维码的方式,访客连接WiFi后弹出对应二维码,随后由接待者(内部用户)通过扫描对应二维码完成访客开户认证等相关流程,实现访客用户的快速灵活安全接入。
2.4 权限控制
访客和内部用户通过IP地址进行权限区分,通过ACL控制IP地址的方式,限制不同的权限的访问,访客用户拒绝访问内部资源,内部用户允许访问内部资源,如果访客用户需要访问内部资源,需要管理员在对应的ACL将其IP放通允许即可。
3 结语
通过无线网络技术在企业中的应用可以实现整个大楼的无线网络覆盖,连接日志保存,流量管理等功能同时达到以下效果。
(1)终端设备移动时能无缝漫游,保证终端设备在使用过程中的网络连续性,AP切换时用户无卡顿体验;(2)无线网络划分为内网和外网两个Vlan,外网Vlan仅能访问互联网,内网Vlan可访问内网资源及访问互联网,用户接入后可根据不同身份分配不同地址分别接入内网或外网Vlan;(3)访客登录需提交申请,通过邮件发送到管理员或带访员工邮箱,由管理员或带访员工确认后,按预设或指定的时长时段访问外网,支持微信公众号认证和短信认证功能;(4)增加一台上网行为控制设备,具有记录用户上网行为审计、网络带宽控制、访问权限范围控制及远程WEB管理等功能。