高校无线局域网升级改造

2016-11-26

网络安全和信息化 2016年11期

引言：近年来，随着无线局域网技术的快速发展，各种无线终端应运而生，越来越多的基于无线网络的应用在高校中普及。随着无线网络应用需求的发展变化，我院现有的、在若干年前建立的无线局域网，在实际应用中暴露出越来越多的问题，因此急需对无线局域网进行升级改造。

无线网络现状

我院无线局域网采用的是“无线局域网控制器+瘦AP”体系结构，无线局域网控制器采用的是一台思科5508，瘦AP采用的是若干台思科LAP1142N和CAP1602I，无线局域网控制器旁挂在思科6509-E主核心交换机上，瘦AP分别接在各幢楼的楼层接入交换机上，DHCP服务器配置在思科6509-E主核心交换机上。网络拓扑结构如图1所示。

存在的问题

首先，无线局域网控制器只有一台，以一条千兆链路旁挂在主核心交换机上，而且还是单电源，存在单点故障；其次，DHCP服务器配置在核心交换机上不合理，也存在单点故障，而且随着越来越多的无线终端的接入，原来的IP地址规划已经不能满足需求，出现了地址不够用的问题；最后，无线局域网控制器系统软件版本太低，存在不少漏洞，因设备已经过保，而且自己不能升级，故存在未知的风险。

升级改造解决方案

针对存在的问题，经过认真研究、全面剖析和充分论证后，下面将逐个进行解决：

图1 改造前的网络拓扑图

1.无线局域网控制器单点故障问题，考虑到原思科5508无线局域网控制器已经停产，故新增一台5508的升级版思科5520无线局域网控制器，和原无线局域网控制器做热备做负载分担，配置双电源，原无线局域网控制器新增加电源一只，另外，新增一台三层交换机思科3560-E，配置双电源，两台无线局域网控制器分别做端口聚合上联到新增的三层交换机上，新增的三层交换机也做端口聚合分别上联到两台核心交换机上，这样就解决了无线局域网控制器的单点故障问题。

无线局域网控制器配置(部分)：将思科5508无线局域网控制器作为3号楼和6号楼的瘦AP的主控制器，新增的思科5520无线局域网控制器作为3号楼和6号楼的瘦AP的备用控制器；将新增的思科5520无线局域网控制器作为5号楼和7号楼的瘦AP的主控制器，原来的思科5508无线局域网控制器作为5号楼和7号楼的瘦AP的备用控制器。需要注意的是，做热备的两台无线局域网控制器的移动组名称必须保持一致，否则AP的漫游会有问题。另外，“WLANs”和“AP Groups”里面的配置也必须保持一致，“Interfaces”里面的配置除了控制器的管理IP和服务端口IP不能一样，其它的配置也必须保持一致。

三层交换机配置(部分)：将思科5508无线局域网控制器的8个千兆光口做端口聚合，分别连接到新增的思科3560-E交换机上，思科3560-E交换机的相应端口也做端口聚合；同样，思科5520无线局域网控制器的2个万兆光口也做端口聚合，分别连接到新增的思科3560-E交换机上，思科3560-E交换机的相应端口也做端口聚合。另外，思科3560-E交换机的2个万兆光口做端口聚合分别连接到思科6509-E主核心交换机的对应聚合端口上，思科6509-E备用核心交换机的2个万兆光口做端口聚合分别连接到思科3560-E交换机的对应聚合端口上。

2.DHCP服务器单点故障问题，新增两台三层交换机思科3750-X，做堆叠，DHCP服务器配置在堆叠交换机上，堆叠交换机做端口聚合分别上联到两台核心交换机的对应聚合端口上。另外，两台核心交换机上分别做DHCP中继代理，这样就解决了DHCP服务器单点故障问题。

DHCP服务器配置(部分)：在DHCP服务器上主要配置为无线终端分配地址的地址池、需要排除的地址，以及为瘦AP分配管理地址的地址池和需要排除的地址。需要注意的是，必须配置到核心交换机的无线网段的路由。DHCP中继代理配置(部分)：在核心交换机上配置DHCP中继代理，主要是配置一个ip helperaddress，帮助地址。需要注意的是，两台核心交换机上都要配置。

3.无线局域网控制器系统软件升级问题，向厂商买服务，请厂商的技术工程师上门升级或者让厂商把设备的系统软件发过来自己升级，这样问题就得以解决。新买的无线局域网控制器的软件版本是8.1.102.0，旧的无线局域网控制器的软件版本是7.6.130.0，两台无线局域网控制器做热备软件版本必须保持一致，因此，必须首先将旧控制器的软件版本升级到8.1.102.0，和新的控制器保持一致，升级可以在命令行也可以在WEB界面下进行，建议用网线通过电脑连接控制器的服务端口在WEB界面下进行系统软件升级。按照以上提供的解决方案，无线局域网升级改造完成后的网络拓扑结构如图2所示。