王飞+李文+罗俊元

摘 要 本文通过对企业WLAN规划设计时覆盖规划、信道规划、组网设计、安全设计等要点进行分析，讲述了WLAN规划设计时需重点关注的环节，并推荐了一个在企业网中部署WLAN的解决方案。

关键词 WLAN CAPWAP 隧道转发

中图分类号：N925.93 文献标识码：A

0引言

伴随笔记本、平板、手机等移动终端的普及，移动应用、移动办公等需求日渐强烈，办公场所无线覆盖已成为各大企业网络建设必需考虑的事情。无线局域网（WLAN）的安全与可靠，是企业考虑是否投资无线覆盖建设关键所在，只有做好了WLAN规划设计，才能建成安全好用的无线局域网。

1 WLAN发展现状

无线局域网技术采用IEEE802.11系列标准，由Wi-Fi联盟推广发展。自1999年9月发布IEEE 802.11a/b标准以来，无线局域网技术一直发展缓慢，各大厂商投入市场的设备产品型号很少。2009年9月IEEE 802.11n标准发布，理论速率可达600Mbit/s，自此各主流厂商开始争相开发WLAN产品。2013年12月IEEE 802.11ac标准发布，理论速率达到6.933Gbit/s。也就是在2013年前后，伴随信息化迅猛发展，各企事业单位、酒店、校园等开始大规模投资WLAN建设，发展便捷网络实现移动办公。

1.1 WLAN覆盖规划

WLAN覆盖部署主要有三种：（1）室内放装部署；（2）室内分布式部署；（3）室外型部署。室内放装部署一般适用于覆盖区域较小的场景，如酒店会议室、休闲场所、办公楼等，带宽高易部署；室内分布式部署一般适用于覆盖面积较大，用户密度低的场景，如酒店房间、宿舍楼等，带宽需求不高；室外型部署一般适用于室外较分散区域，如公园、校园园区等，部署简单且成本低。企业WLAN属高密度、高带宽需求场所，楼宇内部一般采用室内放装型AP（自带全向天线）吸顶或壁挂安装，室外园区一般采用室外型AP并配置定向或全向天线。

1.2 WLAN信道规划

WLAN信道建议采用2.4GHz和5GHz双频覆盖设计，要合理规划频点，避免同频干扰，降低临频干扰。2.4GHz频段信号穿透力强，但干扰源较多，支持802.11b/g/n，主要用于解决部分无线网卡不支持5GHz频段的终端接入，可使用频点1、6、11（20MHz容量）。5GHz信号穿透力弱，但可有效避免现场环境中复杂电磁干扰，支持802.11a/n/ac，绑定使用40MHz或80MHz容量以提升接入带宽。可使用5.8GHz频段的149/153/157/161绑定信道；若AC及AP支持5.2GHz频段，亦可使用36/40/44/48、52/56/60/64绑定信道（注：每个频点容量20MHz，其中52、56、60、64为雷达信道，禁止室外使用）。

2.4GHz和5GHz双频交叉复用，并设置5GHz优先接入。采用802.11n/ac标准以提升接入速率（802.11n后向兼容802.11a/g，2009年后生产的无线网卡基本都支持802.11n，802.11a/b/g网卡早已停产），使用多入多出（MIMO）、信道绑定、短GI等技术，2.4GHz频段802.11n可实现最大接入速率144.4Mbit/s，5GHz频段802.11n可实现最大接入速率600Mbit/s（40MHz带宽，4€？ MIMO），5GHz频段802.11ac可实现接入速率1.3Gbit/s（80MHz带宽，4€？MIMO）。信道规划时，建议采用蜂窝结构组网，避免同频干扰。

1.3 WLAN组网设计

WLAN组网设计时，因无线网络一般是后期在现有网络扩展而来，为不影响现网结构一般采用旁挂式组网，将AC旁挂在AP与上行网络的直连网络上。AP与AC之间组网方式，分为二层组网和三层组网两种方式：（1）二层组网即AP与AC之间为二层网络，简单但不适合大型网络；（2）三层组网即AP与AC间为三层网络，适合大型复杂组网。在企业网中推荐使用三层旁挂式组网，便于隔离广播且不会改变现有网络结构，适合复杂的上下级及分支机构网络。

在建设较好的企业网中，汇聚设备一般都支持万兆接口。性能稍好的AC也支持万兆平台，有较强的交换转发能力，可支持管理AP数量在512以上。因此，为注重安全性且便于层次化管理，推荐业务数据采用隧道转发，三层旁挂式组网。

一般规模企业WLAN部署建议：（1）配置2台AC采用主备模式实现双链路备份；（2）AP管理地址手动静态配置（防止主备AC自动分配AP地址出现IP冲突，造成AP无法管理以致业务中断）；（3）用户IP通过在AC上建立DHCP地址池自动分配地址；（4）配置AP接入用户负载均衡，避免同一区域内某个AP负载过大。

1.4 WLAN安全设计

WLAN网络设计时必须考虑无线安全，WLAN网络中存在安全威胁较多，如：（1）未经授权使用网络服务；（2）非法AP；（3）数据被窃听、篡改；（4）拒绝服务攻击等。

WLAN威胁防范主要通过认证技术和加密技术解决授权和数据安全问题，通过WIDS/WIPS解决非法AP和拒绝服务攻击问题：（1）企业网中推荐使用WPA2+802.1X认证技术，结合CCMP加密技术实现授权安全和数据安全，通过802.1X实现认证审计；（2）部署WIDS/WIPS对流氓设备检测识别并防范反制（主要包括干扰AP、非法AP、非法终端、非法Ad-hoc、非法网桥等），使用白名单对AP進行SN号绑定或MAC绑定，使用黑名单禁止非法AP或非法终端接入；（3）隐藏服务集SSID信号，不进行广播，降低伪造应答接入及被窃听可能性；（4）在AP连接交换机接口部署端口隔离，防止威胁终端接入对AP下方其他用户造成影响；（5）部署WLAN网管系统实时监测网内所有AC和AP，以便及时发现AP掉线、SSID异常等。

2结束语

伴随企业信息化及移动应用的发展，无线局域网在各大企业中发展迅速，WLAN网络最重要的两个指标：一是健壮稳定，二是无线安全。只有通过严格规范的规划设计，才可保证WLAN健壮稳定；必须通过适当的安全策略部署和优化加固，才可让WLAN安全指标大幅提升。相信在安全与可用的逐步融合后，WLAN必将成为企业网趋势。

参考文献

[1] （美）Doyle，J.&J.Carroll.TCP/IP路由技术葛建立[M].吴剑章译.北京：人民邮电出版社，2013.

[2] 高峰，李盼星，杨文良，潘翔，王静.HCNA-WLAN学习指南[M].北京：人民邮电出版社，2016.

[3] （美）Diane Teare. CCNP ROUTE. （642-902）学习指南.袁国忠译[M].北京：人民邮电出版社，2011.endprint