摘要:

我公司是某大型电力集团公司,2018年底,随着公司的移动OA,移动巡点检系统,以及现场安全管理系统等等都在无线智能终端以及手机平板等移动设备上实现,对无线网络覆盖和网络安全有了新的需求。公司在无线改造前,存在无线网络覆盖不到位,大量使用无线路由器私自架设无线网络等现象,严重的影响了公司网络的稳定和安全,而且,现有无线网络已无法满足各种应用系统的需求。公司决定对现有无线网络进行改造。我作为信息中心主管兼技术总监,在原有网络的基础上,充分利用现有条件和主流成熟的网络技术,主要从无线网络的部署,无线网络的优化,以及无线网络的安全,对公司无线网络进行了改造,无线网络改造完成后,试运行三个月。整体实现了无缝覆盖,用户无感知,运行速度快,网络安全性高。

正文:

我公司由主办公楼,各个二级分公司办公楼,和生产现场组成,各个楼层间网络通过厂区内环网光纤线路汇聚到厂内信息中心,在信息中心处做总出口连接到互联网。无线网络部署的情况,每个楼层的过道处安装无线ap,由于设备型号较老,所以每个AP单独作为胖AP进行管理,为了保证无线网络的安全,对接入人员设备的MAC地址进行了限制。导致的问题就是工作人员从原有位置走到其他远离其设备绑定的ap后就无法连接网络,对无线办公新要求造成了极大的限制;前期外网局域网未做安全限制,通过DHCP获取到局域网地址后就可以上网,有些无线覆盖不到的办公区的员工通过私自连接无线路由器的方式来使用无线网络,严重影响了现有外网局域网的网络质量,甚至造成其他计算机获取到非法DHCP server分配的地址,造成大面积断网,同时,也容易造成非法的外部设备通过私接路由器连茹无线网,对无线网络安全乃至整个外网局域网安全造成非常大的威胁。因此,我主要从无线网络的部署,无线网络的优化,以及无线网络的安全,对公司无线网络进行改造。

一,无线网络的部署

针对现有网络情况,我对网络进行如下部署:充分利用原有线路,在公司主办公楼和各个二级分公司办公楼楼道安装锐捷AP-720I吸顶式胖瘦一体AP,以应变未来不同业务的需求。为了配合AC的管理,将AP模式设置为瘦模式。各个楼层间机房加装锐捷S2910 POE交换机为AP提供电源以及数据交换平台。生产现场以部门为单位,每个部门安装2-3个锐捷AP-720I,通过原有线路,以及厂区的光纤环网连接至信息中心机房锐捷S2910 POE交换机上。AC采用的是锐捷W6008 一体化AC+ESS设备,购买了512个终端的授权以及若干个AP终端的授权,满足现有办公楼以及厂区的用户需求。

二,无线网络的优化

无线网络安装部署后,为了高标准的保证网络质量,我带领同事们对无线信号进行了测试,主要针对单点测试,多位置信号衰减,信道占用情况,以及对无线漫游的情况进行测试。使用了锐捷官方提供的WiFi魔盒APP对网络进行针对性的扫描测试。通过测试发现,办公楼各个会议室,部分办公室以及楼道拐角处信号较差,部分楼层信道冲突严重,厂区内信号衰竭严重。针对此情况,我在分析测试结果后,对无线网络进行优化。在办公楼各个会议室加装锐捷AP-720I以提高无线信号在会议室的覆盖,办公室内安装锐捷AP-130墙壁面板式AP提高对办公室的覆盖面积,通过使用RG-WIS无线智能服务平台对信号强度以及AP点间信道进行管理,极大的降低了楼层间AP点信道冲突的情况。厂区内通过加装锐捷AP-720IAP以及增加AP信号发射功率来提高无线信号覆盖情况,尽量避免无线信号的严重衰竭。设置接入用户账户的使用时长,如超过设置时长不使用的话,对账户进行删除,以节约设备资源,提高利用率。

三,无线网络的安全

公司在无线改造前,存在大量使用无线路由器私自架设无线网络等现象,严重的影响了公司网络的稳定和网络的安全,因此借此次无线整改的机会,没收办公楼,各个二级分公司以及生产现场私自接入外网的无线路由器。上报集团公司领导,公司制度方式规定严禁私接无线路由器、随身WiFi等无线共享设备。在互联网出口以透明模式加装网康上网行为管理,并开启共享接入监控。禁止外网核心交换机DHCP功能,在AC上开启DHCP,仅为无线终端分配IP地址,同时开启DHCP Snooping,屏蔽接入网络中的非法的 DHCP 服务器。在无线网接入的设置上,在AC+ESS上开启了两个SSID供内部和外来人员使用:内部人员通过设备物理地址进行绑定,连接公司内部ssid;外部人员通过设置用户名和密码,连接外来人员ssid,同时对外来人员的上网时长进行限制,超过期限后禁止连接网络。

此次对公司的无线改造,完成了对公司主楼,二级单位办公楼以及厂区的无线覆盖,基本上解决公司领导和员工以及生产现场的需求,但是由于时间仓促,以及资金问题,此项目仍有些许的不足:

1、主办公楼楼层线路老化,有些无线AP经常出现无故终端,短时间又能恢复的情况。

2、楼层间外网交换机为百兆交换机,直接串接的无线POE千兆交换机,百兆接口形成了无线WiFi的整体速率的瓶颈。

3、RG-WIS无线智能服务平台无法针对具体场景进行优化,导致部分空间较大的办公楼仍有部分位置信号强度较差。

4、测试手段不够专业,导致部分楼层AP点间仍有较严重的信道冲突。

5、锐捷AP-720I无法设置天线角度,生产现场内钢结构以及现场的设备对无线有极大的干扰,导致部分区域信号时好时坏。

6、锐捷W6008基本满足现有无线网络,但是随着公司的不断发展,无线设备以及人数增多,此性能不足,license数量不够的问题将会制约无线网络的发展。

就以上问题,我已积极与公司领导沟通,同时与锐捷无线厂家进行协调,并列入到下次无线改造的项目中。

加客服微信:qmsd3699,开通VIP下载权限!