无线网络的设计要求
（1）采用统一管理的无线网络架构，以保证无线网络可维护性、安全性、QoS、无线漫游等功能要求，无需改变现有网络拓扑结构。

（2）侧重实际应用，保证信号覆盖区域无线AP信号接入点的质量。

（3）采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此WLAN 需要支持802.11g(54M带宽)或以上标准以提供可供实际应用的相对稳定的网络通讯服务。

（4）安全、认证和管理要求：为了阻止非授权用户访问无线网络，以防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包含：用户认证、物理地址（MAC）过滤、服务区标识符（SSD）匹配、有线等效保密（WEP）、二层隔离、WPA支持等；用户认证要求区分公司内部人员（使用域用户，可访问有网络），外来用户（不需要认证，仅可访问特定网络）和不使用用户的移动终端（如无线扫描仪，不需要认证，可访问所有网络），以及基于策略的用户访问控制。

（5）产品能力要求：具有无线委员会核准证；产品支持AES、WEP加密等安全标准，无线控制器要求具备管理200个AP的能力；漫游切换；支持较为复杂室内环境下的可靠运行。

（6）AP电源：要求不具备PoE功能的接入交换机也可以使用类似PoE的供电方式给无线AP直接供电，从而解决了AP的电源接入功能。

无线网络的搭建
根据设计要求，我们采用了统一管理的“瘦AP”无线网络架构。

所谓“瘦AP”就是每个AP 只单独负责RF和通信的工作，其作用就是一个简单的RF底层传感器设备，所有AP接受到的RF信号，经过802.11的编码后，通过加密隧道协议穿过以太网传送到无线控制器，进而由无线控制器对编码进行加密、验证、安全控制等更高层次的工作。

因此“瘦AP”的无线网络具有统一管理的特性和扩展性强、自动RF管理和负载均衡等优势。

整个无线网络主要由无线控制器、无线接入点（AP）、无线管理系统和Radius认证服务器组成。

无线控制器集中配置和管理整个无线网络，全网络AP接受统一管理，AP以及下面的用户按策略分配接入到接入层交换机上。

无线网络管理系统提供无线网络的优化、排障、用户跟踪、安全监控等功能。

Radius认证服务器提供用户接入身份验证。

这种组网方式保持了原有网络的结构，简易灵活并方便扩容。

网络拓扑如图1所示。

在网络核心层，两台无线控制器分别接入两台核心交换机，采用集群技术，通过任意一台无线控制器可以对整个无线网络进行配置和管理，无需到每台无线控制器上作配置，减少两台无线控制器之间配置不同步故障的发生，同时配置了系统冗余备份，当某台无线控制器发生故障后，另一台无线控制器自动接收故障设备管理的AP，保障无线网络的正常运行，提高可靠性。

无线网络管理系统RFMS服务器和Radius认证服务器接入核心交换机。

各覆盖区域内AP通过无线网络连接至接入交换机中，无线AP自动从无线控制器下载配置，所有的AP即插即用，部署便捷，维护方便。

AP的供电采用PoE供电模块，使得不具备PoE 功能的接入交换机也可以使用类似PoE的供电方式给无线AP直接供电，从而解决了无线AP 的电源接入功能，也大大降低了AP的无线系统布线难度。

为了区分不同用户的业务类型，提高无线接入安全，我们采用虚拟AP技术同时广播3个SSID 供公司内部员工、外部用户和生产移动终端三种不同类型的用户使用，每个SSID采取不同
的加密认证方式和访问控制策略。

同时对每个SSID的覆盖范围进行限制，内部员工使用的SSID覆盖全公司，外部用户使用的SSID只能覆盖会议室和接待室，生产移动终端SSID覆盖生产区域。

为了实现不同用户对网络资源的访问控制，我们在核心交换机上给每个SSID分配了一个VLAN，并配置相应的路由和访问控制策略。

分配VLAN 42用于无线网络管理，无线控制器，管理系统和认证服务器的IP地址属于该子网。

VLAN 43用于该公司内部员工SSID，可访问公司授权的资源和应用。

VLAN 44用于外部用户SSID，仅可访问互联网。

VLAN 7用于生产移动终端SSID，可访问所有网络。

不同的用户接入不同的SSID就会自动获得相应VLAN的IP地址，被授以不同的网络访问权限。

为了实现无线网络多个VLAN的通信，连接无线控制器的核心交换对应端口应启用VLAN的Trunk功能，配置成Trunk模式。

AP接入的接入交换机与DHCP服务器在不同的子网中，需要启用接入交换机的DHCP中继功能，并配置相应的DHCP服务器地址。

连接AP的接入交换机对应端口应启用无线网络管理VLAN（VLAN42）的Access功能，将端口配置成Access 模式，划分到VLAN42。

除了用多SSID区分不同用户并配置不同访问控制策略外，我们还采用了不同用户不同的身份认证和加密方式来提高无线网络的安全性。

公司内部员工采用AD+IAS的802.1x身份认证和WPA-PSK通讯加密，在保证安全的同时还能对用户进行管理；外部用户采用密钥认证和WEP加密，既保证一定的安全性又提供方便快捷的无线服务；生产移动终端采用MAC地址认证方式和WPA-PSK进行加密。

为了增强无线网络的安全性，我们还采用带宽控制对外来用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。

我们采用了网络负载均衡和故障自动恢复来提高无线网络的可用性。

网络负载均衡可在无线覆盖范围内把无线用户或终端分散连接到附近的AP上。

在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。

要确保每个无线终端的传输就必须能限制一个AP上无线终端的数目或AP带宽传输总和或每个无线终端的带宽上限。

负载均衡可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保应用的质量得到保证。

故障自动恢复功能能实时侦测出网上AP是否失效，当发觉有AP 出现故障时，无线控制器能自动调节临近的AP的功率（覆盖范围）来接替失效AP的工作。

公司统一无线网络建成之后，不仅满足了公司生产和办公无线应用的要求，而且作为有线网络的延伸，使得企业局域网的扩展变得更加灵活简单。