中小企业轻量化无线企业网架构方案研究

熊 毅

(中铁第一勘查设计院集团有限公司，陕西 西安 710043)

0 引 言

WLAN(wireless local area network，无线局域网)是计算机网络与无线通信技术相结合的产物。由于WLAN在部署时不需要考虑复杂的布线、优化和变迁，因此WLAN系统便于搭建和使用，具有安装便捷、高移动性和易扩展等特点，所以其应用越来越广泛。

在科技飞速发展的当代，网络在企业生产中的作用早已有目共睹，其重要性早已是毋庸置疑。无线网络已不仅仅是作为有线网络的延伸，单纯地满足用户的接入服务，而是更多地参与到企业信息化业务当中。

对于企业办公环境而言，架设无线网络，是从实现移动办公、提高工作效率等目的出发的，其带来的便携移动性是无可比拟的，像公司内部的会议、网络电话，都将会给企业员工带来很多方便[1]。

与无线网络强劲的需求形成鲜明对比的是：目前国内大型企业无线网络建设应用的整体技术水平尚处于较低的阶段，绝大多数企业都还未完整建立自己的无线网络；无线网的管理和从业人员都是从原有有线网络的管理人员发展而来，无线方面的技术知识和技术水平相对缺乏；大部分企业的机房建设长期规划没有到位，对网络需求估计不足，没有预留无线网络建设空间，甚至部分企业机房已达到饱和状态，等等[2]。

1 企业无线网工作原理及优势

无线网络利用无线技术来传输数据，目前主流的无线局域网产品符合IEEE 802.11b、802.11g、802.11n以及最新的802.11ac协议，基本工作在2.4或5 GHz，提供不同的传输速率[3]。无线局域网的覆盖范围在室内可以达到30米到100米，为用户提供了无需连接线缆的网络连接方案，相对于有线网络来说，免除了布线的困扰，同时为笔记本用户提供了自由移动的便利。所以说，企业无线网是十分必要的一项部署。

首先，它可以提高企业的办公效率;

其次，它还能降低企业的经营成本;

再次，它可以降低网络管理维护成本;

最后，它还能给企业提供灵活便利。

在企业应用方面，大型企业一般都已经有了成熟的有线网络，这时无线局域网成为大型企业内部网络的一个延伸和补充。对于会议室进行无线覆盖，可以为参加会议的人员提供便利的网络连接，方便会议中的资料演示和文件交换。有一些大企业的员工大量使用笔记本电脑，而且流动性很强，这种情况下，使用无线局域网可以为这些人员提供无处不在的网络连接。例如，惠普(中国)公司使用无线局域网后，人员没有固定的座位，因此企业节省了三分之一的办公面积，提高了效率，降低了成本[4]。

关于产品选型方面，对于企业无线网络技术的选项来说，小型公司适用的产品很多，一般的无线局域网接入点都能满足要求。

企业中的无线网络覆盖如图1所示。

图1 企业中的无线网络覆盖

2 传统企业网络存在的问题

传统企业网络架构模式大致部署于10年前后，虽架构层级变化不大，但具体情况随着使用时长逐渐增加，设备老化、故障情况愈发严重。链路方面，建设初期时预埋的网线质量性能、电气化参数等均严重下降，数量更是严重饱和，可用的有线网络的资源也已经捉襟见肘，且老化严重。

大部分传统企业网没有部署专业企业无线网，而从管理规范来说，私自接通无线环境也是会被上行策略禁止的，且会给企业信息安全和保密管理造成极大的隐患。然而，办公区域可用网络接口使用情况已饱和，这与日渐增高的各生产部门对使用外网的需求，成为目前阻碍各类型企业信息化发展的主要瓶颈问题[5]。

目前大部分企业网络综合布线节点资源在部分局部区域已经用尽，但网络接入需求还在不断增加，而传统企业网络又没有开通整体化的无线网络接入；另外由于一些企业办公区地理位置不断拓展，要把距离较远的节点连接起来时，敷设专用通信线路的布设施工难度大、费用高、耗时长，对网络的覆盖区域拓展需求形成了严重的瓶颈。借助无线网络技术可以拓展企业网络覆盖区域。此外，为了提高工作效率，进一步规范员工用网习惯，应当在中心少量地增设互联网上网行为管理系统[6]。

企业无线网架构方案如图2所示。

图2 企业无线网架构方案

3 轻量化无线企业网架构方案

综合上述，总结既有传统企业网存在需要改进之处如下：

(1)目前的网络仅能提供有线接入，而随着互联网技术的发展，WLAN将作为有线的一个必须的补充。

(2)目前，为了保障生产，需采用应急性的末端无线路由接入方式满足工作需要。但其安全性能需要有足够保障。

(3)对既有网络(含扩展无线)需要部署统一的管理系统。

(4)各部门间AP设备没有进行合理、科学的信道分配，导致AP间相互干扰较大，影响接入AP的终端设备使用网络资源。

(5)无线网络需要统一的准入控制机制。

基于此，无线网覆盖及管控技术企业应用和企业无线网部署实施，必将成为企业信息化建设中的重要组成之一，它将直接提升企业网络拓扑和网络管理水平；保障企业网络应用的高效可靠性；提升企业网络的易接入性和易扩展性；增强企业信息化系统的抗风险性和可管可控能力[7]。

基于上述情况，若某中小型企业需要在短时间内快速部署一套过渡性无线企业网络架构(典型规模性的企业无线网络覆盖架构需要对整体网络进行大规模升级扩建，在国企内本项目需要较长的耗时和较大投资，而实际工作中由于生产大会战的展开，员工的无线用网需求迫在眉睫)，文中提出了一种轻量化的无线企业网架构部署方案。

经过认真调研，比对优劣，笔者最终确认临时部署的无线网络接入路由器选型为深信服AC作为上层身份管控设备，TP-Link WVR600G作为无线终端接入设备(见图3)。此外的其他部署模式和采用技术均尽量依照本次研究中涉及的技术和部署策略[8-9]。

图3 轻量化企业无线网架构中的上端控制AC

3.1 网段划分

(1)A部门：152人，VLAN100，网段192.168.176.X，掩码255，网关176.1；

(2)B部门：76人，VLAN101，网段192.168.177.X，掩码255，网关177.1；

……

3.2 实施步骤

(1)在外网核心交换机中的配置：(6506，交换机进入SYS模式)。

vlan 110(在核心交换机中建立VLAN 110)

descriptionA-WIFI(注释)

interface Vlan-interface110 (进入VLAN 110端口)

descriptionA-WIFI(注释)

ip address 192.168.176.254 255.255.255.0 (设置网关地址)

dhcp-server 1(允许DHCP发布)

(2)在外网接入交换机中的配置：(A座7,8,9层，交换机进入SYS模式)。

vlan110 --- 在接入交换机中创建vlan 110

interface Ethernet1/0/XX ---进入连接AP热点的端口

stp edged-port enable ---将当前的以太网端口配置为边缘端口

port access vlan110 ---将此端口划归 VLAN110网段

loopback-detection enable ---开启相应端口环回监测

description电化处XX层第XX号无线热点 ---注释

(3)无线热点AP中的配置。

无线路由器TP-Link TL_WVR600G以AP无线热点模式部署在网络中，自接入交换机端口引出的网线连接在路由器的LAN端口。需要配置的内容为无线SSID(服务区标识符，可简单的理解为AP的名称标识)、无线密码、DHCP服务设置等。

对AP进行DHCP设置。这里要说明的是，各业务处多台AP被分为2类，其中1台为主AP，唯一地负责提供段内DHCP服务功能。该AP地址为192.168.x.11(x为该业务处所分配网段)。其余AP为副AP，管理地址根据楼层由低向高分别设置为12、13、14……。如某业务处共5台AP，其中1主4副，则该业务处副AP地址为12-15。基于此，主AP中可分配的地址池应为16-253。

若本AP是该单位网段内主AP(唯一地负责提供DHCP服务功能)，则在“DHCP服务”中进行相关配置。设置完成后，点击左上角进行配置保存。若本AP是该网段内其余副AP(只提供接入功能)，则在“DHCP服务”中将该服务设为“禁用”，然后点击“设置”。点击左上角进行配置保存[10]，如图4所示。

图4 WVR 600G DHCP功能配置

若本AP是主AP，则还要进入“对象管理”的“IP地址池”进行设置，点击铅笔图标进行地址池编辑，编辑范围为预先根据需要划分好的IP范围(参考第八步说明)。配置完成后，点击修改，返回上级，在左上角点击保存配置。副AP无需此执行步骤。

具体配置方法：

①路由器复位：通电状态下长按路由器面板左侧Reset复位键，待系统指示灯闪烁5次后松开，使之恢复出厂设置并重启。

②以http://192.168.1.1地址，admin用户名，admin密码进入进行设置。

③基本设置---LAN设置---LAN设置---接口设置---填入无线热点的管理地址和子网掩码---点击设置---DHCP服务---填入网关地址、首选DNS、备用DNS，启用---点击设置----网卡禁止重新启动自动获取新地址。

④无线设置2.4 GHz---无线网络设置---SSID:例如XXC01---安全选项：WPA-PSK/WPA2-PSK AES加密，PSK密码：xxc49008---点击设置。

⑤无线设置-5 GHz--- SSID:例如 XXC01-5G---其他同上。

⑥对象管理---IP地址池---地址池名称：LAN段网络地址池---编辑---输入地址池范围(例如：192.168.176.7-192.168.176-40)---修改---启用/禁用：启用---点击修改---启用该地址池[11-12]。

注：地址池大小分配需根据本单位无线网段大小(一个C或2个C),设置无线热点(路由器)个数，本无线热点最多使用人数、网段备用地址等因素综合考虑。根据经验一个无线热点上在线人数不要超过40人。

⑦AP管理密码更改(原始为admin):系统工具---修改管理账号---新用户名：用原始用户名(admin)---新密码(例如：fsa7xydi)。

⑧点击左上角“保存配置”。

⑨系统工具---设备管理---重启路由器。

(4)上网行为管理设备AC的配置。

①用户组和用户的建立。

建立电化处用户组并在其下新增电化处所有申请无线认证人员的登录名和密码。具体操作为：用户与策略管理---用户管理---组/用户---选择“无线认证组”---新增---组---组名列表：电化处---在其下新增电化处所有申请无线认证人员的登录名和本地密码，并勾选“初次认证修改密码”，如图5所示。

②配置用户认证策略。

在AC里配置认证策略使得电化处无线子网段使用登录名密码认证。具体操作为：用户与策略管理---用户管认证---认证策略—选“无线认证策略”(其认证方式已经定义为密码认证/单点登录)---适用范围：加入电化处无线外网子网段192.168.176.0/255.255.255.0，如图6所示。

图5 深信服上网行为管理系统用户建立

图6 深信服上网行为管理系统策略配置

③配置移动终端信任。

在AC中默认拒绝无线设备连接，因此需将开通无线连接的网段加入信任列表。具体操作为：终端接入管理---移动终端管理---信任列表---新增---加入电化处无线子网段 192.168.176.0/255.255.255.0。

④在共享接入管理中，选择允许例外情况[13]。

3.3 测试过程中无线路由策略记录及意义

测试过程中无线路由策略记录及意义见表1。

表1 无线路由策略记录及意义

续表1

3.4 用户端无线用户准入认证

文中轻量化无线网建议采用“二级认证”方式。首先，通过使用本地接入无线路由器的接入密码进行物理链路接入，然后在浏览器推送页面中使用身份信息进行个人用网账户认证，如图7所示。

图7 客户端登陆认证页面

4 应用效果

该无线网络平台一经建设即可立即投入到各单位生产环境中，基本可以满足各单位中的员工和信息化办公业务需求。其优势是在企业运转过程中可以快速部署到位，不存在布线、更换设备、割接网络等过程，不影响其他正常信息化业务的开展。

该方案采用企业级无线路由设备进行应急无线环境延伸部署(见图8)，辅以上网行为管理系统相关策略进行限制约束，可以在保护利用现有网络资产、利用少量投资的基础上，基本实现中小型企业信息化办公的应急无线接入需求。

图8 日常无线用户管理

笔者要说明的是，以上无线部署模式虽然能够有效地缓解传统企业网络有线网络环境中存在的资源不足、灵活性差、难以运维等问题，但由于毕竟是受中小型企业传统既有网络条件制约，是一种节约投资、短期高效的应急部署方案，所以其整体架构中的主干部分设备老旧、安全稳定性较差、存在带宽瓶颈、故障排除复杂度高等问题仍然是中小企业下一步彻底改进需要解决的问题。不过从另一方面来讨论，该应急方案由于主干部分采用现有部署设备，大部分功能由本单位技术人员的合理部署和设置分配完成，有效保护了投资，仅利用了很少的资金投入便实现了生产所需的大部分应急接入功能，带来了极大的效益[14]。

随着中小型企业主营业务的不断扩展，机构与人员将会动态变化，采用无线扩展可以灵活有效地应对日后的变革和升级。该架构方案对中小型企业有良好的推广应用价值。

5 结束语

无线网覆盖及管控技术企业应用和企业无线网部署实施，必将成为现今各类型企业信息化建设中的重要组成之一，它将直接提升企业网络拓扑和网络管理水平；保障企业网络应用的高效可靠性；提升企业网络的易接入性和易扩展性；增强企业信息化系统的抗风险性和可管可控能力。对此，提出的适用于中小型企业应急无线接入架构，经实践证明，其安全性、可靠性、可管控性等指标均满足使用需求。该方案在大量节约成本、提高效率、精简架构的情况下保证了企业内各项信息化业务平稳推进甚至性能提升。接下来的工作将是对此架构方案进行进一步完善，以及企业特殊环境(驻外机构、办事处、指挥部等地)下进行实地部署与二次应用测试实现。