该博客围绕企业办公室无线覆盖方案展开,介绍了适用范围包括办公室等普通非高密场景,阐述业务需求如接入、漫游、可靠、安全、认证计费等。给出方案设计,涵盖组网、设备选型、部署等,还说明了配置思路、数据规划及详细配置步骤,如交换机集群、认证配置等。
适用范围和业务需求
适用范围
本案例适用于大多数场景,如办公室、普通教室、会议室等普通非高密场景。
业务需求
主要业务需求如下:
接入需求
- 随时、随地无线业务接入。
- 无线覆盖需要做到覆盖均匀、无盲区。
无线漫游需求
- 多层网络、快速切换、网络时延小、业务不中断。
可靠性需求
- 当网络中的单台设备产生故障时,也需要保证网络可靠性。
安全性需求
- 无线网络需要注意网络安全,防止非法设备的接入、报文攻击等问题,需要防止二层互通的问题。
认证计费需求
- 在新建网络、用户集中、信息安全要求严格的场景,使用802.1X认证;在用户分散、用户流动性大的场景,使用MAC优先的Portal认证。
方案设计
组网图
某企业办公室无线覆盖方案组网如下图所示。
图1 某企业办公室WLAN网络组网图
网络设计分析
- 设备选型
本例以AC使用2台AC6805为例,具体场景的详细AP选型信息请参考WLAN场景建网标准。
该方案可以满足用户:
- 无线接入的需求。
- 信号覆盖均匀、无盲区。
- 部署方案
基于有线核心网,采用室内AP覆盖。AC旁挂式部署,部署在核心层。
- 无线漫游
对于实现漫游,只需将所有AP的SSID和安全策略都配成一致即可。
对于认证方案,可采用MAC优先的Portal认证,从而达到漫游中简化认证的要求。如果采用802.1X认证,则可以开启802.11r漫游功能。
- 可靠性
链路级可靠性
核心和汇聚之间通过部署跨框和跨板的Eth-trunk,确保在单板异常、单链路异常后,业务正常运行。
设备级可靠性
为了保证核心设备的可靠性,采用核心设备做集群,并配置多主检测。
为了保证WLAN业务的可靠性,可在网络中部署2台AC设备,并配置AC的VRRP热备份。当两台设备在确定主用(Master)设备和备用(Backup)设备后,由主用设备进行业务的转发,而备用设备处于待命状态,同时主用设备实时向备用设备发送状态信息和需要备份的信息,当主用设备出现故障后,备用设备及时接替主用设备的业务运行,从而提高了网络的可靠性。
无线配置同步
VRRP热备份要求主、备AC上的WLAN相关业务必须配置一致,为减少备用AC的配置工作量,采用无线配置同步功能。
- 安全性
在交换机与AP直接相连的接口上配置端口隔离,可防止AP的二层报文的广播,解决不同AP间的WLAN用户二层互通的问题。
在接入交换机上部署组播抑制功能,防止组播报文过多。
在WLAN的流量模板内配置用户二层隔离解决隔离问题。
实际部署时不建议使用VLAN 1作为业务VLAN,将各端口从VLAN1中退出。根据实际业务需求透传VLAN,禁止端口透传所有VLAN。
设备连接终端或AP的端口建议都配置为边缘端口。
将所有设备不使用的端口Shutdown。
使能设备的STA地址严格DHCP获取功能、ARP动态检测功能和IPSG功能,可防止非法用户的IP报文任意通过AP访问外部网络,提高设备安全性。
为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等,建议配置DHCP Snooping功能。如果网络中同时存在有线用户和无线用户,交换机连接AP的接口不建议使能DHCP Snooping,可能会造成交换机用户绑定表超规格,所以针对有线用户,建议基于VLAN配置DHCP Snooping,针对无线用户,建议在无线侧VAP模板上配置。
如果网络中规划有组播业务,则不需要配置组播抑制。
交换机端口默认有广播抑制(10%),可以根据网络情况调整广播抑制值。
交换机与AP互连端口不需要配置端口安全功能,以免影响无线用户漫游功能。
- 认证计费需求
认证方案采用MAC优先的Portal认证和802.1X认证。以企业场景为例,普通访客用MAC优先的Portal方式认证接入使用,进行企业主页面的推送。企业员工使用802.1X认证方式使用员工账号接入使用。
方案涉及网元的软件版本要求
本方案适用的产品和版本如下表所示。
| 产品名 |
产品版本 |
|---|---|
| AC6805 |
V200R010C00 |
| AP |
V200R010C00 |
| S12700 |
V200R010C00 |
| S7700 |
V200R010C00 |
| S5700 |
V200R010C00 |
配置思路和数据规划
配置思路
采用如下的思路进行配置:
- 为保证核心交换机的可靠性,核心交换机配置集群;为保证WLAN业务可靠性,AC配置VRRP备份。
- 分别配置MAC优先的Portal认证和802.1X认证。普通访客用MAC优先的Portal方式认证接入使用,进行企业主页面的推送。企业员工使用802.1X认证方式使用员工账号接入使用。
- 配置WLAN业务,满足无线网络在办公室场景下的无线接入需求。
- 配置无线配置同步,配置自动从主AC同步到备AC。
- 在Agile Controller-Campus业务管理器中添加AC,并配置参数,保证Controller能与AC正常联动。
- 增加授权结果和授权规则,对员工认证成功后授予访问控制权限。
数据规划
| 项目 |
编号 |
接口号 |
所属VLAN |
IP地址 |
描述 |
|---|---|---|---|---|---|
| 接入交换机S5700_A |
1 |
GE0/0/1 |
VLAN800 VLAN700 VLAN701 |
- |
连接AP_1 |
| 2 |
GE0/0/2 |
VLAN800 VLAN700 VLAN701 |
- |
连接AP_2 |
|
| 3 |
GE0/0/3 |
VLAN800 VLAN700 VLAN701 |
- |
连接汇聚交换机S7700 |
|
| 汇聚交换机S7700 |
13 |
GE1/0/3 |
VLAN800 VLAN700 VLAN701 |
- |
接入交换机S5700_A |
| 17 |
GE1/0/17 |
VLAN800 VLAN700 VLAN701 |
- |
连接S12700_A |
|
| 18 |
GE2/0/18 |
VLAN800 VLAN700 VLAN701 |
- |
连接S12700_B |
|
| S12700_A和S12700_B集群 |
19 |
GE1/1/0/19 |
VLAN800 VLAN700 VLAN701 |
- |
连接汇聚交换机S7700 |
| 22 |
GE2/1/0/22 |
VLAN800 VLAN700 VLAN701 |
- |
||
| 20 |
GE1/1/0/20 |
VLAN800 VLAN820 VLAN700 VLAN701 |
- |
连接AC_1 |
|
| 23 |
GE2/1/0/23 |
VLAN800 VLAN820 VLAN700 VLAN701 |
- |
连接AC_2 |
|
| 21 |
GE1/1/0/21 |
VLAN820 VLAN700 VLAN701 |
- |
连接Router |
|
| 24 |
GE2/1/0/18 |
VLAN820 VLAN700 VLAN701 |
- |
最低0.47元/天 解锁文章
扫一扫
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
