企业无线网络优化与安全策略实践

张宝辰 天津市天河计算机技术有限公司

前言：无线网络为企业带来了更加便捷的办公方式，相较传统有线网络，无线网络部署简单，不需要大规模布线，能够快速重建，网络扩展相对简单。随着无线网络在企业中的普及，越来越多的网络和安全问题也渐渐呈现。 如何保障无线网的稳定和高效的运行，如何防止未授权用户的非法入侵等等，也成为网络运维人员首先考虑和解决的问题。

1 企业无线办公网络需求分析

1.1 企业无线网现状

目前企业无线网络采用AC+ FIT AP（无线控制器+无线接入点）的部署方式，终端通过连接 WLAN（ Wireless Local Area Networks）访问内部办公网络和互联网， 为企业提供了良好的移动办公网络。 但在使用一段时间后出现网络延时高、丢包等问题，部分办公区域无线信号较差，终端偶尔会掉线，影响正常办公。 企业经常有来宾出入，同样会接入WLAN并且未进行权限分级，能够访问办公网资源，存在安全隐患。

1.2 需求分析

1.2.1 无线网络覆盖、传输速率保障

对办公区域实现100%信号覆盖无死角，移动终端实现无缝漫游。保证办公内网具备良好的传输速度，以及互联网的流畅访问，不出现严重卡顿和丢包问题。

1.2.2 终端认证，用户分级

终端连接WLAN采用安全认证机制，对数据传输进行加密，保证网络和数据安全性。对企业员工和来访人员进行用户分级，严格管控无线网访问权限，防止外来人员非法接入。

2 无线网络优化方案

2.1 负载均衡、自动功率和信道调整

配置负载均衡功能，达到AP之间终端数量的均衡连接目的，使终端能够自动接入最优的AP，同时AP本机的终端接入数量能够自行管控，把信号较差的终端剔除并连接到其余的AP。

设置AP信道模式为auto，并配置AP射频功率自动调整，这样能够防止AP间无线信号的干扰，如果其中一台AP发生宕机，其附近的AP会自动调整信道并增加射频功率，保障AP周围无线终端的稳定连接和WLAN信号全面覆盖。

2.2 关闭低速率

无线网络中不采用固定速率来传输报文，采用的是速率集对报文进行传输，比如 802.11g 支持1、2、5.5、 11、6、9、12、18、24、36、48、54 Mbps速率，终端无线网卡或AP传输报文时，通过动态的方式，在以上的速率集中随机挑选一个速率来传输。

一般所说的802.11g能够到达的速率，是指在单一空口信道的条件下，全部报文使用54M速率来传输。现实情况则是较多的Broadcast报文以及管理报文均采用最低1 Mbps的速率来传输，这样将占用一些空口的资源，因此需要禁止1、2、6、9Mbps速率传输，提高空口利用率，降低Broadcast等报文不必要的占用。

2.3 无线用户终端限速

企业内部会出现一些无线终端采用P2P、FTP等软件传输文件的情况，当多个用户同时进行传输时，可能产生较大流量峰值，影响到内部网络中其他用户，严重消耗网络空间资源，出现上网卡顿、丢包、ping延时较大等问题。

为确保无线网络质量，应该在AC上统一配置QOS，把无线终端的传输速率和带宽限制在一个合理的范围内，从而避免流量突发影响到无线网络内其他终端的正常使用，保障WLAN办公网络稳定运行。

2.4 配置beacon报文发送间隔

每台AP在缺省配置下发送Beacon信号的时间间隔是100毫秒，Beacon信号的作用是宣告无线网络，并且用来与无线终端同步信息。

Beacon在所有无线报文中的优先级相对较高，采用最低速率进行传输，可以在AC上配置Beacon报文传输间隔为160ms～200ms，从而减少对空口资源的占用。

2.5 配置AP发送报文重传次数

为了避免无线网络信号的干扰与冲突，WLAN协议的物理层在功能设计方面已经包含了重传机制，若达到重传次数的上限，则会丢弃掉报文；若一台AP发送报文未接收到目标设备ACK的回应，则AP会通过硬件来重传。

AP的缺省配置是重传四次，可在AC上配置重传次数为八次，这样能够在WLAN异常时，提高报文成功传输的几率。

3 无线网络安全策略

3.1 ARP攻击防护

企业内部网络最常见的就是ARP攻击，攻击方式有伪造网关、伪造用户终端和Flooding攻击等，针对此类攻击防范可以采用终端防护和网络防护的方法。终端防护可以在设备上配置source MAC一致性检测与主动确认机制等策略，同时限制网络设备端口ARP学习数量以及ARP限速等策略，降低网络设备被攻击的风险。整体网络防护可以采用IP+MAC+端口绑定、dhcp snooping+arp detection等策略，防止攻击源伪造网关、伪造用户终端等攻击。

3.2 SSID隐藏和用户分级

将企业无线办公网和来宾网络分别配置两个 SSID并区分开，关闭企业WLAN的 SSID广播功能， 这样外来人员的无线终端将无法搜索到办公网的 SSID， 仅能够连接来宾专用 SSID，内部员工通过手工配置的方式，在终端上配置 SSID接入，员工和来宾分配不同网段 IP地址，并配置访问策略，防止非法访问。

3.3 基于mac地址认证

企业员工采用 基于MAC认证的方式接入 WLAN， MAC认证是控制终端访问权限的一种认证方法， 不需要用户安装任何客户端软件。网络设备在第一次侦测到终端的MAC后，立刻对此终端进行认证。在认证的时候，对于用户来讲是无感知的，无需进行键入账号和密码的操作。能够效防止未授权的用户无线终端接入WLAN。

结论：综上所述，无线网络的稳定与安全是保证现代企业正常办公的基本条件，只有通过技术手段不断地进行优化、调整，才能满足企业日益增长的网络需求。同时还要对企业员工进行相关培训，增强网络安全意识，采用合理的安全规范和管理手段，营造健康的办公网络环境。