网络设计原则

WLAN办公网络设计应该注重简单可靠、易部署、易维护，通常遵循如下四项原则。

1.安全性原则：WLAN网络作为开放性的无线接入网络，在网络建设规划时需注重对用户的安全性及网络的安全性的考虑。

2.可靠性原则：WLAN网络需保证网络的信号质量、设备的稳定运行、避免单点故障，为用户提供可靠的WLAN无线接入业务。

3.易维护性原则：WLAN网络系统的设备应方便管理，易于维护，便于进行系统配置，具备可统一的监控设备参数、数据流量、系统性能等，并可以进行远程管理和故障诊断。

4.可扩展性原则：WLAN系统设备不但要满足当前需要，并且网络的扩展性方面要满足可预见将来的需求，如带宽和设备的扩展、应用的扩展和办公地点的扩展等，保证建设完成后的系统在向新的技术升级时，能保护已有的投资。

“瘦AP”架构方案

为遵循上述四项原则，公司决定采用基于控制器（AC）的“瘦AP”架构（即AC+AP模式），该模式与传统的独立AP架构相比具有以下几点优势。

1.AP零配置接入，AC实施统一管理：一台AC实现对内网所有AP的统一管理与控制，AC自动对AP下发配置，实现AP零配置接入，即插即用，减少人力成本投入。AC获取各AP位置，实时动态调整各相邻AP发射功率，以此减少AP间相互干扰，让无线网络处于最优状态。AC支持建筑图纸导入并提供实时的AP状态信息、各接入无线终端的信号强度数据、AP的各类日志信息、数据统计信息等，助力网络维护人员实时了解网络现状，并在发现问题时快速定位并解决故障。

2.无缝漫游，全网覆盖任意行：AC管控各相邻AP间漫游阈值，并读取STA（无线终端）信号强度，让STA在相邻AP间实现无缝漫游。无缝漫游技术让全网网络实现蜂窝覆盖，解决无线终端在移动中网速慢、或者频繁掉线、登录问题。

3.负载均衡，网络快速可靠又稳定：AC管控各相邻AP的带机量，基于STA的负载均衡能平衡各AP接入负载压力，又能有效解决因某STA距AP较远而导致整个网络速率下降的问题，保障无线网络的高效性、可靠性和稳定性。

4.部署方式灵活，样式简约时尚：吸顶式AP、墙插式AP、壁挂式AP、桌面型AP，其外观或美观大气，或简约时尚，或小巧灵活，占用空间少，能与企业办公环境完美结合，给用户带来整体的科技与美感享受。

图1 WLAN网络部署架构图

5.办公网隔离：对服务区进行合理划分，员工、客户网进行逻辑隔离，确保角色不同访问权限也不同，保障网络内部数据信息安全。还可采用多种加密认证方式、MAC黑白名单、VLAN划分等，网络安全有保障。

经过测试和对比，公司选择了华为的WLAN网络解决方案，此次部署涉及到的设备如表1所示。

其中，普通无线接入AP用于一般办公地点使用；高密无线接入AP供会议室、会客室等人员密度较大的地点使用；POE交换机供AP接入使用，提供端口供电和数据转发的功能。

表1 WLAN网络所需设备信息

网络部署规划

根据公司的实际网络环境，实际部署WLAN网络前所做的规划如下。

1.WLAN网络部署架构规划

为规避网络架构调整所带来的风险，根据项目的实际情况，拟采用集中转发的模式搭建无线覆盖网络，无线数据流量统一在AC上做认证、管控和转发。AC和Agile Controller均统一部署在数据中心机房，其中AC以旁路部署的方式接入核心交换机，Agile Controller服务器以普通服务器方式接入即可。AP通过POE交换机部署到各个覆盖场景，结合实际办公环境，确定每个AP的部署位置。根据部署情况，WLAN网络从逻辑结构上可以分为终端接入侧、数据通信网、无线管控平台三大块（如图1）。

（1）终端接入侧

采用瘦AP方式进行部署，AP全部吊装在天花板上。AP型号选择华为AP4030DN和AP5030DN室内吊装型产品，分别用于普通办公场所和高密办公场所，这两款AP均支持802.11a/b/g/n/ac等 标准，自动射频调优，可以满足全范围覆盖和无缝漫游的需求，减少同频干扰，提高无线接入的客户体验度。

（2）数据承载网络

采用公司原有的思科千兆POE交换机完成接入，通过POE方式对AP供电，交换机通过GE光纤链路上行连接到核心交换机。

（3）无线管控平台

项目中采用华为AC6605控制器作为无线AP的控制、维护以及流量转发的设备，实现对全网AP的自动配置下发、射频管理、信道分配等统一的管理和安全接入控制，让网络管理人员可以轻松管理办公楼无线网络。同时，使用华为Agile Controller进行用户的安全策略控制，提供用户管理、准入控制、访客管理等功能，实现基于用户组的管理和授权策略。

2.SSID规划

针对公司实际用户情况，拟划分两个SSID分别供两类用户使用，其中“employee”供公司内部员工使用，“guest”供外部访客使用。用户需要根据自己的身份连接对应的SSID，然后再使用无线。

3.无线漫游规划

漫游是指用户在部署了无线网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证。实现无线漫游功能后，用户在公司各办公楼层移动，无线终端均会透明自动地进行AP切换，保证无线网络的连续性。

4.无线频段规划

现行WiFi使用的频段包括2.4GHz和5GHz两种，2.4G频段传输速率低，容易受到其他干扰源的干扰；5G频段传输速率高，不易受到干扰。现在大多数无线终端都已支持5G频段，只有少部分老旧无线终端仅支持2.4G频段。为保证无线用户的上网体验，同时兼顾老旧终端对2.4GHz的兼容性，本项目采用5G和2.4G双频段并行的方式，如果接入终端支持5G，则优先使用5G频段；反之，则使用2.4G频段。

5.用户认证方式规划

本项目采用Agile Controller提供的Portal认证功能来实现用户的实名制上网。用户账号和密码由管理员在后台创建，分为内部员工和访客两个角色；内部员工账号采用工号，访客账号采用手机号，可以通过后台批量导入功能创建账号。用户无线终端接入对应的SSID后，打开浏览器，输入任意一个网址，即可弹出Portal认证页面，按照页面提示输入合法用户名和密码后，点击“登录”，即可接入无线网络。用户首次登录，必须修改默认密码，修改完成后，才可正常接入，避免用户使用默认密码导致账号被盗用。

6.用户访问控制策略规划

本项目采用Agile Controller + AC实现内部员工和访客两种角色的资源访问控制权限。内部员工接入后，可以访问内网+外网；访客接入后，仅可以访问外网。每个用户仅可以同时使用一个移动终端上网。如果单用户使用终端数量超过一台，超出终端将会自动下线。后期如果有其他策略要求，可灵活针对IP进行调整。

表2 无线IP规划表

7.用户及设备IP规划

为了实现用户无线上网以及无线设备的管理，需要为接入的无线终端和无线AP等设备分配IP地址，结合公司实际情况，拟按照划分管理VLAN和业务VLAN的方式进行部署，其中管理VLAN内AP的IP地址分配由AC负责，业务VLAN中的内部用户VLAN和访客VLAN的IP分配由公司DHCP服务器负责，具体如表2所示。

8.分支机构无线部署

公司在外地有一些分支机构，这些机构与公司之间通过租用的运营商专线进行连接。只要公司与分支机构之间路由可达，就可以将分支机构纳入WLAN网络的统一部署中。分支机构部署的AP只需要在公司AC上进行注册，即可接受AC和Agile Controller服务器的统一管理，包括自动配置下发、用户认证授权、访问控制策略下发等，与本地化部署效果完全一致。