張寶辰 天津市天河計算機技術(shù)有限公司

前言：無線網(wǎng)絡(luò)為企業(yè)帶來了更加便捷的辦公方式，相較傳統(tǒng)有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)部署簡單，不需要大規(guī)模布線，能夠快速重建，網(wǎng)絡(luò)擴展相對簡單。隨著無線網(wǎng)絡(luò)在企業(yè)中的普及，越來越多的網(wǎng)絡(luò)和安全問題也漸漸呈現(xiàn)。 如何保障無線網(wǎng)的穩(wěn)定和高效的運行，如何防止未授權(quán)用戶的非法入侵等等，也成為網(wǎng)絡(luò)運維人員首先考慮和解決的問題。

1 企業(yè)無線辦公網(wǎng)絡(luò)需求分析

1.1 企業(yè)無線網(wǎng)現(xiàn)狀

目前企業(yè)無線網(wǎng)絡(luò)采用AC+ FIT AP（無線控制器+無線接入點）的部署方式，終端通過連接 WLAN（ Wireless Local Area Networks）訪問內(nèi)部辦公網(wǎng)絡(luò)和互聯(lián)網(wǎng)， 為企業(yè)提供了良好的移動辦公網(wǎng)絡(luò)。 但在使用一段時間后出現(xiàn)網(wǎng)絡(luò)延時高、丟包等問題，部分辦公區(qū)域無線信號較差，終端偶爾會掉線，影響正常辦公。 企業(yè)經(jīng)常有來賓出入，同樣會接入WLAN并且未進行權(quán)限分級，能夠訪問辦公網(wǎng)資源，存在安全隱患。

1.2 需求分析

1.2.1 無線網(wǎng)絡(luò)覆蓋、傳輸速率保障

對辦公區(qū)域?qū)崿F(xiàn)100%信號覆蓋無死角，移動終端實現(xiàn)無縫漫游。保證辦公內(nèi)網(wǎng)具備良好的傳輸速度，以及互聯(lián)網(wǎng)的流暢訪問，不出現(xiàn)嚴重卡頓和丟包問題。

1.2.2 終端認證，用戶分級

終端連接WLAN采用安全認證機制，對數(shù)據(jù)傳輸進行加密，保證網(wǎng)絡(luò)和數(shù)據(jù)安全性。對企業(yè)員工和來訪人員進行用戶分級，嚴格管控無線網(wǎng)訪問權(quán)限，防止外來人員非法接入。

2 無線網(wǎng)絡(luò)優(yōu)化方案

2.1 負載均衡、自動功率和信道調(diào)整

配置負載均衡功能，達到AP之間終端數(shù)量的均衡連接目的，使終端能夠自動接入最優(yōu)的AP，同時AP本機的終端接入數(shù)量能夠自行管控，把信號較差的終端剔除并連接到其余的AP。

設(shè)置AP信道模式為auto，并配置AP射頻功率自動調(diào)整，這樣能夠防止AP間無線信號的干擾，如果其中一臺AP發(fā)生宕機，其附近的AP會自動調(diào)整信道并增加射頻功率，保障AP周圍無線終端的穩(wěn)定連接和WLAN信號全面覆蓋。

2.2 關(guān)閉低速率

無線網(wǎng)絡(luò)中不采用固定速率來傳輸報文，采用的是速率集對報文進行傳輸，比如 802.11g 支持1、2、5.5、 11、6、9、12、18、24、36、48、54 Mbps速率，終端無線網(wǎng)卡或AP傳輸報文時，通過動態(tài)的方式，在以上的速率集中隨機挑選一個速率來傳輸。

一般所說的802.11g能夠到達的速率，是指在單一空口信道的條件下，全部報文使用54M速率來傳輸?，F(xiàn)實情況則是較多的Broadcast報文以及管理報文均采用最低1 Mbps的速率來傳輸，這樣將占用一些空口的資源，因此需要禁止1、2、6、9Mbps速率傳輸，提高空口利用率，降低Broadcast等報文不必要的占用。

2.3 無線用戶終端限速

企業(yè)內(nèi)部會出現(xiàn)一些無線終端采用P2P、FTP等軟件傳輸文件的情況，當多個用戶同時進行傳輸時，可能產(chǎn)生較大流量峰值，影響到內(nèi)部網(wǎng)絡(luò)中其他用戶，嚴重消耗網(wǎng)絡(luò)空間資源，出現(xiàn)上網(wǎng)卡頓、丟包、ping延時較大等問題。

為確保無線網(wǎng)絡(luò)質(zhì)量，應(yīng)該在AC上統(tǒng)一配置QOS，把無線終端的傳輸速率和帶寬限制在一個合理的范圍內(nèi)，從而避免流量突發(fā)影響到無線網(wǎng)絡(luò)內(nèi)其他終端的正常使用，保障WLAN辦公網(wǎng)絡(luò)穩(wěn)定運行。

2.4 配置beacon報文發(fā)送間隔

每臺AP在缺省配置下發(fā)送Beacon信號的時間間隔是100毫秒，Beacon信號的作用是宣告無線網(wǎng)絡(luò)，并且用來與無線終端同步信息。

Beacon在所有無線報文中的優(yōu)先級相對較高，采用最低速率進行傳輸，可以在AC上配置Beacon報文傳輸間隔為160ms～200ms，從而減少對空口資源的占用。

2.5 配置AP發(fā)送報文重傳次數(shù)

為了避免無線網(wǎng)絡(luò)信號的干擾與沖突，WLAN協(xié)議的物理層在功能設(shè)計方面已經(jīng)包含了重傳機制，若達到重傳次數(shù)的上限，則會丟棄掉報文；若一臺AP發(fā)送報文未接收到目標設(shè)備ACK的回應(yīng)，則AP會通過硬件來重傳。

AP的缺省配置是重傳四次，可在AC上配置重傳次數(shù)為八次，這樣能夠在WLAN異常時，提高報文成功傳輸?shù)膸茁省?/p>

3 無線網(wǎng)絡(luò)安全策略

3.1 ARP攻擊防護

企業(yè)內(nèi)部網(wǎng)絡(luò)最常見的就是ARP攻擊，攻擊方式有偽造網(wǎng)關(guān)、偽造用戶終端和Flooding攻擊等，針對此類攻擊防范可以采用終端防護和網(wǎng)絡(luò)防護的方法。終端防護可以在設(shè)備上配置source MAC一致性檢測與主動確認機制等策略，同時限制網(wǎng)絡(luò)設(shè)備端口ARP學習數(shù)量以及ARP限速等策略，降低網(wǎng)絡(luò)設(shè)備被攻擊的風險。整體網(wǎng)絡(luò)防護可以采用IP+MAC+端口綁定、dhcp snooping+arp detection等策略，防止攻擊源偽造網(wǎng)關(guān)、偽造用戶終端等攻擊。

3.2 SSID隱藏和用戶分級

將企業(yè)無線辦公網(wǎng)和來賓網(wǎng)絡(luò)分別配置兩個 SSID并區(qū)分開，關(guān)閉企業(yè)WLAN的 SSID廣播功能， 這樣外來人員的無線終端將無法搜索到辦公網(wǎng)的 SSID， 僅能夠連接來賓專用 SSID，內(nèi)部員工通過手工配置的方式，在終端上配置 SSID接入，員工和來賓分配不同網(wǎng)段 IP地址，并配置訪問策略，防止非法訪問。

3.3 基于mac地址認證

企業(yè)員工采用 基于MAC認證的方式接入 WLAN， MAC認證是控制終端訪問權(quán)限的一種認證方法， 不需要用戶安裝任何客戶端軟件。網(wǎng)絡(luò)設(shè)備在第一次偵測到終端的MAC后，立刻對此終端進行認證。在認證的時候，對于用戶來講是無感知的，無需進行鍵入賬號和密碼的操作。能夠效防止未授權(quán)的用戶無線終端接入WLAN。

結(jié)論：綜上所述，無線網(wǎng)絡(luò)的穩(wěn)定與安全是保證現(xiàn)代企業(yè)正常辦公的基本條件，只有通過技術(shù)手段不斷地進行優(yōu)化、調(diào)整，才能滿足企業(yè)日益增長的網(wǎng)絡(luò)需求。同時還要對企業(yè)員工進行相關(guān)培訓，增強網(wǎng)絡(luò)安全意識，采用合理的安全規(guī)范和管理手段，營造健康的辦公網(wǎng)絡(luò)環(huán)境。