企業無線局域網建設方式研究

呂偉

【摘要】 本文對無線局域網的LAN接入方式和PON接入方式進行了分析和對比，簡述了WLAN系統方案，筆者結合無線局域網發展的實踐談了自己的建議。

【關鍵詞】 WLAN LAN PON

一、背景

在未來信息無所不在的時代，無線網將依靠其無法比擬的靈活性，極強的可擴容性，使人們真正享受到簡單、方便、快捷的連接。無線局域網在很多應用領域有獨特的優勢：可移動性，它提供了不受線纜限制的應用，用戶可隨時上網；安裝容易，無須布線或減少布線，大大節約了建網時間；組網靈活，即插即用，網絡管理人員可以迅速將其加入到現有的網絡中；成本低，特別適合于變化頻繁的工作場合。因此，為滿足企業生產、管理工作流程優化，實現無線和移動工作管理，提高工作效率，需要在企業內部署無線局域網，實現無線局域網信號覆蓋，為各類數據提供無線高速傳輸通道。

二、接入方式

本文中的無線局域網是指通過無線介質進行數據傳送的局域網，工作于2.4GHz/5.8GHz頻段，遵循IEEE 802.11系列協議無線局域技術，采用獨立的無線局域網設備的網絡。為避免出現帶寬瓶頸，應合理選擇傳輸方式，目前網絡覆蓋主要有LAN接入方式和PON接入方式。

2.1 LAN接入方式

LAN接入方式，也稱作以太網接入方式，點到點是最直接的以太網光纖接入技術，也就是交換機級聯方案。為滿足無線局域網的接入，承載網絡宜采用三級組網模式，由核心層、匯聚層和接入層構成，實現二三層網絡的分離，網絡結構合理清晰，業務控制能力強；為保證信息安全和用戶管理，劃分鑒權中心和綜合管理兩個區域，具體組網示意圖如下圖所示。

（1）核心層。核心層部署兩臺高性能交換機，承載所有業務數據的匯聚和快速轉發。（2）匯聚層。匯聚層由匯聚交換機組成，負責區域接入交換機的收斂與匯聚。（3）接入層。接入層由POE交換機組成，負責企業內生產區、辦公區等相關需覆蓋區域部署AP的接入。（4）鑒權中心。為保證企業信息安全，需對用戶進行管理認證，部署無線控制器、鑒權服務器、入侵檢測系統等安全保障系統接入核心交換機，實現對用戶的安全防護。目前主要有三種認證方式：PPPoE、WEB和802.1X。PPPoE認證功能只有在BAS上實現，即BRAS做認證點；802.1X必須在AP做認證點，可動態產生密鑰，完成對無線鏈路（AP到無線客戶端）加密；WEB認證功能在AP、AC和BAS上都可以實現。所以企業大多采用AC作為認證點，支持WEB認證方式。（5）綜合管理。為方便日常管理和對用戶的行為進行分析，部署上網行為管理系統和運維管理系統，為網絡運行和用戶行為分析提供基礎數據，在日常網絡管理工作中提供設備及鏈路的性能、故障實時監測等。

2.2 PON接入方式

PON接入方式有EPON/GPON兩種，趨勢是GPON系統，GPON系統可實現WLAN的AP、寬帶上網、電話、視頻等多業務的承載。適用于多網合一的應用場景。若增加SBC/IP PBX設備實現與運營商固定語音網絡對接，可實現內部短號碼，內外部呼叫公網等功能。網絡拓撲如下圖示：

GPON采用上下行不對稱帶寬分配方式，下行2.5Gbps，上行1.2Gbps，高帶寬能更簡單、通用、高效地支持全業務。為增強系統可靠性，OLT可以考慮1+1冗余備份。

（1）網管支撐系統。主要包括集中網管系統和認證計費系統。

◆集中網管系統：OLT、路由器、交換機、防火墻等實現網絡監控、配置和業務的快速開通等。

◆認證計費系統：通過寬帶接入服務器、Radius服務器、3A服務器Portal服務器等的部署實現有線、無線接入用戶的認證、計費和管理等功能。

（2）安全系統。

◆防火墻的部署，主要實現邊界控制，過濾、屏蔽所有不安全的或不符合安全規則的數據包，杜絕越權訪問，防止非法攻擊等；部署高性能防火墻，實現雙機熱備，進一步提高防火墻系統的可靠性。

◆入侵防御系統部署。實現攻擊防御、集中管理、實時監控和網絡審計等功能；可對所有主流網絡訪問協議，包括網頁訪問（Http）、郵件收發（Smtp/Pop3）、下載（FTP/ BT）、遠程登陸（Telnet）、聊天（MSN）、P2P等進行有效地監測和動態防御，并對實時檢測到的網絡流量，進行及時地分析和響應；對攻擊檢測、內容恢復、網絡流量等操作進行實時審計和分析，并可以對產生的事件生成統計圖表、報表，通過圖表數據直觀地查看和分析網絡信息的統計結果。

◆WEB應用防護。用于控制網絡的Web訪問管理系統，軟件通過控制底層TCP/IP通訊數據，管理整個網絡的Web訪問權限和行為，對DMZ區服務器群進行防護。

◆防病毒服務器。防病毒服務器可以對整個網絡系統進行病毒查殺。

◆統一身份認證系統。利用賬號同步管理模塊，將用戶的身份信息和密碼同步到各個系統的數據庫中，系統管理員在一個平臺上統一管理用戶在各個系統中的賬號和密碼。在人員離職、崗位變動時，只需在管理平臺一處更改，即可限制其訪問權限，消除對后臺系統非法訪問的威脅。方便了用戶管理，也防止過期的用戶身份信息未及時刪除給企業資產帶來的安全風險。

三、WLAN系統方案

3.1 AP建設方案

常見的WLAN AP分類主要有2 種：FAT AP和FIT AP。

（1）FAT AP設備功能及典型組網。FAT AP將WLAN的物理層、用戶數據加密、用戶認證、QoS、網絡管理、漫游技術以及其他應用層的功能集于一身，俗稱胖AP。胖AP組網：包括AP、L2交換機、管理軟件和業務軟件，適合規模較小并對管理和漫游要求比較低的網絡部署。

（2）FIT AP設備功能及典型組網。FAT AP除了提供基本的無線連接功能外，還提供安全、管理和性能增強功能。導致單一AP設備結構復雜，比較昂貴且難于管理。無線交換機和FIT AP配合在一起提供傳統AP的功能，無線交換機集中處理所有的安全、控制和管理功能，FIT AP只提供可靠、高性能的RF功能。 WLAN交換機方案除具有易于管理等特點外，還支持快速切換、QoS、無線網絡安全防護、網絡故障自愈等高級功能。無線交換機和FIT AP之間的組網可以采用直連、跨越二層網絡或者是跨越三層網絡三種模式，用戶原有的有線網絡的拓樸和VLAN等配置不需要進行更改。

3.2 AC建設方案

（1） WLAN AC設備，主要包括無線控制器設備和接入控制器設備。

◆無線控制器設備。無線控制器設備需配合瘦AP使用，需通過設備控制AP進行信道選擇、BSS切換、負載分擔等功能，通過設備對AP實現集中控制、管理，提供統一的網管，可以對流量進行匯接和處理。

◆接入控制器設備。接入控制器設備主要完成用戶的接入會話的終結和認證功能，支持RADIUS認證和計費，可以實現流量的匯聚、用戶的帶寬和Qos的控制，支持對數據IP層的處理能力。

（2）AC組網方案。AC組網方案主要有以下三種。

◆AC旁掛在接入控制器上的三層解決方案。此方案在接入控制器上對隧道VLAN不啟用認證，通過三層轉發到無線控制器上。此方案對現網的改動較小，“瘦”AP管理地址池可放在接入控制器或無線控制器上。此方案可以解決熱點部署初期，用戶量少且比較分散的問題。當WLAN網絡規模擴大時，可以考慮下移無線控制器到匯聚。熱點中新增一臺“瘦”AP，接入控制器不用做任何處理。新增一個熱點，接入控制器只需增加配置終結相應的管理VLAN和用戶VLAN即可。

◆AC旁掛在匯聚交換機的解決方案。對于規模較大，用戶量較集中的熱點，建議無線控制器布放在熱點內部，或旁掛到匯聚交換機。AP和用戶數量較多時也可以作為熱點部署的后期方案。

◆AC直掛方案。無線控制器直掛接入控制器的方案，可以利用匯聚交換機和接入控制器之間的備用光纖，連接無線控制器。無線流量通過無線控制器轉發，有線流量直接到接入控制器處理。此方案有線流量沒有迂回，可以針對匯聚交換機下用戶密度比較高的場景下。

四、小結

對比LAN接入和PON接入方式，主要有以下不同：（1）接入帶寬。LAN接入主要有FE/GE 100M/1000M光電接口；PON接入中的GPON能提供2.5G（下行）/1.25G（上行）帶寬，EPON能提供1.25G（下行）/1.25G（上行）帶寬；升級可支持10G或更高帶寬。（2）傳輸距離。LAN接入在僅有以太接口情況下，支持最長100M有效距離；PON接入能滿足傳輸距離小于20KM的傳輸接入。（3）可靠性。LAN接入是有源設備，故障率相對較高；PON網絡是無源光網絡，故障率非常低。（4）組網及供電。LAN接入因為是有源設備，需要全程供電；PON網絡中的分光器可以任意處分纖，組網靈活，而且分光器無源設備，傳輸中無需供電。綜合比較兩種接入方式，PON接入是無源網絡，更可靠，系統擴展性更強更靈活，覆蓋范圍更廣；PON接入比LAN接入更符合視頻監控大帶寬、高質量和高穩定的海量多場景接入需求，是更好的技術選擇。

參 考 文 獻

[1] 中華人民共和國工業和信息化部；無線局域網工程設計規范[Z]；2015.

[2] 楊秋晨；WLAN網絡設計與應用分析[D]；北京郵電大學；2012.

[3] 劉璇；中國移動WLAN的設計方案研究[D]；北京郵電大學；2012.