基于“无线控制器+FITAP”解决方案的无线局域网设计与实现谢丰任兆鹏丁炜马艳摘要：对中型机关事业单位无线网络连接及使用状况进行分析，针对个人及业务使用中无线网络连接主要通过个人插接无线路由器入单位业务网的现状，提出一种基于“无线控制器+FITAP”无线局域网建设方案，基于此方案的无线局域网建设应用后，规范了业务及个人的无线网络连接及使用方式，有效保障了无线网络使用速率，同时也使得无线局域网络安全得到了有效保障。关键词：无线局域网；无线控制器+FITAP；无线网络安全；无线准入管理；智能终端接入组件（EIA）：TP311：A：1009-3044（2019）10-0045-03开放科学（资源服务）标识码（OSID）：随着自动化办公信息技术的不断发展和无线终端设备的应用普及，移动办公的需求日益增长，而有线网络无法满足移动办公需求。随着依托无线网络进行的业务种类的增加，青岛市气象局主要办公区域内无线终端用户需要随时随地的获取网络提供的各种数据资料及业务文件，而由用户个人使用无线终端设备接入单位业务有线网络进行连接，无法保障无线连接质量，同时也无法保障在无线使用过程中，可能存在的对业务网络的安全威胁，这就需要组建一个高效、安全、可靠、稳定的无线网络以满足实现移动办公的需求。1建设目标此次无线网络建设是在青岛市气象局现有有线网络基础上进行无线网络扩充，基本目标是实现青岛市气象局办公区域无线网络覆盖，在方案设计上拟采用高性能、易管理、高可靠、可扩展的无线接入设备及网络组网方案，再结合终端准入管理设备进行无线接入终端的身份认证、访问策略控制等，为无线终端用户提供高效、安全的无线接入服务。无线设计方案从以下几个方面进行考虑，首先是高安全，由于无线网络使用比有线网络更加不好进行网络安全管控，所以需建设无线网络终端准入安全体系，满足用户接入安全、身份识别、以及访问控制、溯源查询的信息安全需求；然后是高性能，前端无线设备需支持802.11ac协议，提供空间双流无线传输速率及整机的千兆接入能力，并且满足足够数量的终端接入需求；还需要考虑到易于管理，前端无线设需备支持以太网（POE）供电，无线网络设备需能够集中进行配置与维护；在高可靠性及可扩展性方面，无线网络整体设计应考虑核心设备采用双机部署方式，配置冗余电源，出现故障时在不影响有线网络正常使用，且不改变主体架构的前提下，平滑实现升级和扩充，降低原有网络的硬件投资。2无线组网方案对比在“自治型无线接入点FATAP”组网方案中，其管理只存在于自身，没有全局统一管理方式，也没有对无线链路及无线用户的监测与管理；在安全性方面，安全策略较少且也只局限于针对其自身，无法满足大规模无线网络安全策略经常性批量配置和下发的需要，相应地也就无法支撑无线网络环境的安全保障；在认证方面，FATAP的认证也存在自身局限性且无法达到经常性更新的认证需求，认证后策略无法进行二次部署；从设备自身安全性来看，FATAP本身保存全部配置，很容易经过串口或网络口登录获取无线网络的相关信息，从而威胁整个无线及有线网络环境，是大规模部署无线网络的巨大隐患；从全网漫游角度考量，由于所有管理与配置存在于自身，其下联用户的IP地址须归属于其直连的以太网交换机端口VLAN和网段地址规划，无线用户跨越FATAP进入不同的网段时IP地址需重新进行请求和认证，网络访问必然中断，无法支持跨网段全网漫游，且一旦进行大规模部署，还必然打乱原有线网络IP地址及VLAN规划，给网络运维带来不必要的压力。在“无线控制器（AC）+FITAP”组网方案中，设备管理权限集中于无线控制器，通过无线控制器实现对全网无线设备进行批量配置、升级进行统一管理；所有用户和FITAP的安全策略，全部存储于无线控制器，整体安全策略的部署相对容易；在认证方面，对无线控制器（AC）认证，配合后台的Radius系统，能够灵活定义、部署和更改认证策略；在FITAP产品自身安全性方面，其本身不保存配置，所有配置都存在于无线控制器，非法用户无法通过AP登录更改配置，杜绝了无线网络入侵可能性；无线用户的IP地址、认证、加密操作都是基于无线控制器，无线用户身处无线网络的任何...