WLC 在企业无线网络中的应用设计

庞国莉 段 丽

（防灾科技学院，河北 三河065201）

1 概述

近年来，随着智能手机、平板电脑等各种移动终端设备的广泛执有，无线网络的应用更加普及。相对于有线网络，无线网络在空间上具有更加宽广的覆盖面积，且安装方便，极大地提高了通信的可移动性和灵活性。无论是校园学习、休闲娱乐、还是企业应用，无线网络的布局也让网络触手可及这一目标成为现实。对企业而言，建设企业级无线网络，为企业员工提供便捷、安全、统一互联网服务，是企业信息化不可或缺的、有利于长远发展的组成部分，也是企业信息化部门重要工作内容。因此，开展企业无线网络应用研究，建设符合企业安全规范的无线网络具有十分重要的意义。

2 企业无线网络的特点分析

目前，企业无线网络更多采用的是802.11ac 标准。802.11ac兼容802.11 全系列现有和即将发布的所有标准和规范，还具有高吞吐量、更宽的通道带宽、更高阶的调制、更多的空分流，支持MIMO(多进多出)、增强载波侦听、增强报文聚合技术。在安全性方面，它使得无线连接能够在安全性方面达到企业级用户的需求。可能实现无缝漫游，并且在漫游过程中能支持无线产品相应的安全、管理以及诊断等应用。802.11ac 通过5GHZ 频段进行传输，其速度高达1.3Gbps，高带宽无疑给企业带来很大利益。

企业无线网络一般具备以下的特性和性能：（1）无中断可扩展性，支持透明接入转换为标准访问；（2）接入点普遍是双射频无线接入，采用双千兆以太网端口；（3）支持密集部署，日益增长的容量需求，需要更多的接入点；（4）加强的管理功能，在提高吞吐量和可靠性的同时，还能改善管理效率和总体拥有成本，使得每个WLC 能够处理更多的用户和管理更多的设备。

企业无线网络部署方式常常采用WLC+AP 的部署方式，通过WLC 对所有无线AP 统一管理控制、统一设置安全策略和认证。不同企业可根据自身需求，灵活制订不同的网络架构和解决方案。

3 WLC 的介绍

无线控制器（WLC）是思科统一无线网络解决方案中起主要作用的一种设备。接入点AP 的传统作用，如对无线客户端的关联或身份验证由WLC 完成。轻量接入点LAP 将自身注册到WLC，并将所有管理和数据包通过隧道传输到WLC，后者随后在无线客户端与网络的有线部分之间交换这些数据包。所有配置都在WLC 上完成。LAP 从WLC 下载整个配置，并作为客户端的无线接口。

WLC 具有第2 层交换机物理端口和虚拟接口，虚拟接口与VLAN（虚拟局域网）接口非常相似。每个物理端口可以支持许多AP 和WLAN。WLC 上的端口本质上是中继端口，可以将多个VLAN 传输到交换机，以分发给多个AP，每个AP 可以支持多个WLAN。

可供访问WLC 的选项有三种：一是通过HTTP 或HTTPS用GUI 访问；二是通过Telnet、SSH 用CLI 访问或用控制台访问；三是通过服务端口访问。

4 WLC 在企业无线网络的应用场景

在企业无线网络中，WLC 的主要功能是管理AP，下面简要介绍思科3504 型WLC 在企业无线网络中的应用部署，应用部署如图1 所示。应用部署中涉及虚拟接口、WLAN、安全等内容的设计。

图1 WLC 的应用部署

4.1 虚拟接口的设计

企业无线网络中虚拟接口的设计通常根据WLAN 的数量来确定的，因为每个WLAN 都需要WLC 上的虚拟接口。虚拟接口被分配了一个VLAN ID，使用该接口的流量将被标记为VLAN 流量。虚拟接口创建后需要将其配置为WLC 上的物理端口，多个VLAN 接口可以使用同一个物理端口，AP、WLC 和路由器之间的连接是通过中继端口进行的。同时，为了通过网络传输来自多个WLAN 的流量，必须对WLAN 中VLAN 的流量进行集群。进行接口配置时，需要指定物理端口和配置使用此接口的WLAN 的用户流量对应的网络号、子网默认、网关及在路由器上配置DHCP 池的IP 地址。配置DHCP 的地址目的是通知WLC 将它从WLAN 上的主机接收到的所有DHCP 请求转发到路由器上的DHCP 服务器。如图2 为虚拟接口的配置。

图2 虚拟接口的配置

4.2 WLAN 的设计

WLC 可以为LAP 控制多达512 个WLAN。每个WLAN 都有一个单独的WLAN ID（1 到512）、一个单独的配置文件名和一个WLAN SSID，并且可以为其分配唯一的安全策略。WLC 可向每个连接的接入点发布最多16 个WLAN，可以在控制器上创建多达512 个WLAN，然后有选择地将这些WLAN（使用接入点组）发布到不同的接入点以更好地管理。企业无线网络可根据自身的需求设计几个WLAN，每个WLAN 配置一个名称和SSID，如图3，同时启用WLAN 对应有VLAN 接口，并设计对应的安全策略。

图3 WLAN 的设计

4.3 WLAN 安全

企业无线网络的安全至关重要，关系到企业的生存和竞争力。企业无线网络的安全威胁主要来自如图4 所示的4 个方面。

图4 无线的安全威胁

针对企业无线网络的安全威胁最简单有效的方法是加强加密和认证系统。常见的加密方法有很多，对企业无线网络而言，建议采用WPA2 和AES（高级加密标准），AES 目前被视为最强的加密协议。企业无线网络通常采用RADIUS 服务器实现认证、授权、审计功能。RADIUS 服务器保存用户信息和授权信息，还负责管理认证者发来的审计数据，实现对用户的集中管理。因此，需要在WLC 中配置使用RADIUS 服务器地址，以实现调用RADIUS 服务器对WLAN 用户进行身份验证。当然，在WLC 配置前，需要搭建RADIUS 服务器。图5、图6 为企业无线网络中加密算法和认证的安全设计。

图5 加密算法的设计

图6 认证服务器设置

图7 网络故障排除的基本流程

5 企业无线网络中的故障排除

网络故障排除通常要有一个结构化的故障排除思想，故障排除过程包括故障现象信息收集、经验判断和理论分析，列出可能的原因，对应制定方案实施、验证，直到故障排除。如图7 为网络故障排除的基本流程。

由于企业无线网络通常被分为了许多WLAN，对于用户连不上对应的WLAN 或经常掉线或网络慢的情况也时有发生。排除设备自身物理状态问题外，我们对这类无线网络故障原因进行了分析，并提出了常见的排障方案。

5.1 无线客户端没有连接

构建企业无线网络后，发现客户端接收不到WLAN 信号时，常常需要使用网络命令ipconfig 来确认网络配置，以查看无线网卡是否正常运行。如正常运行，需要检查客户端上的安全模式和加密设置是否一致，检查客户端是否超过无线覆盖范围，检查是否设置网卡MAC 地址过滤等。对以上造成故障原因有对应的排障方案，如对于超过无线覆盖可减少距离或增加天线以增强发射能力；设置网卡MAC 过滤则取消过滤设置。

5.2 经常掉线

当正常使用企业无线网络时，如果时不时出现掉线的情况，会使企业的工作效率受到影响。客户端经常掉线可能有如下原因：一是无线干扰。无线干扰是导致无线应用不稳定的重要因素，（1）微波炉、无绳电话，2.4G 无线鼠标键盘等电器的强干扰；（2）周围其它的无线路由器信号干扰。这些干扰一般会导致无线上网速度变慢，严重时可能会导致无线客户端掉线。二是无线客户端自身信号较差，无线传输是双向的一个过程，当路由器通过无线将数据传输给客户端后，客户端也要回复路由器，才能继续后续的传输过程。三是部分无线终端占用带宽过大，部分终端占用过高的带宽，导致其他设备上网速度变慢甚至掉线。如为以上原因造成掉线可对应相应的排障方案：一是排除干扰，增强信号覆盖，修改信道以免干扰；二是需要增加无线路由器数量，保障频繁掉线区域的无线覆盖效果；三可通过终端管理功能限制客户端上网速率。

5.3 网络慢

当出现网络传输变慢时，会造成长时间无效率的等待。而造成网络慢可能的原因有：一是客户端使用较旧的802.11 标准降低了WLAN 的速度；二是无线终端数量过多，容易出现部分终端上网比较慢的情况等；三是无线受到恶意攻击；对此前两类造成的网络故障可以通过升级优化客户端和拆分流量以增加带宽。拆分流量是改善无线网络性能最简单的方法，即在2.4GHZ 频段和5GHZ 频段之间拆分无线流量，将两个频段当作两个独立的无线网络，以帮助管理流量。其中2.4GHz 频段可用于对时间不敏感的基本Internet 流量，而5GHZ 频段比2.4GHZ频段空闲得多，且具有更多的信道，是多媒体的理想选择。

6 结论

本文在分析企业无线网络的特点基础上，引入WLC 的应用，提出了企业无线网络便捷管理AP 的设计思路，分析WLC在企业无线网络中的应用部署场景，概述了WLC 在应用中的虚拟接口、WLAN 及安全等内容的设计过程，列举了常见无线网络故障现象及提出相应的排障思路，进一步强化了企业无线网络的设计和安全管理的能力。