校園WLAN全覆蓋方案設(shè)計(jì)

周坤?李寶林?劉新蕊

摘 要：隨著教育信息化的不斷提升，校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)已成為校園數(shù)字化網(wǎng)絡(luò)建設(shè)非常重要的一部分。本文闡述了高?；谑軦P組網(wǎng)方式的無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)方案設(shè)計(jì)，該方案考慮了信號(hào)覆蓋、安全認(rèn)證、校方管理等問(wèn)題，全方位呈現(xiàn)了校園WLAN建設(shè)過(guò)程，為校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)提供了一個(gè)很好的參考。

關(guān)鍵詞：校園無(wú)線(xiàn)網(wǎng)絡(luò)；瘦AP；融合認(rèn)證

項(xiàng)目：四川省科技廳科技支撐（2013sz0056）

隨著學(xué)校教育信息化的提高與無(wú)線(xiàn)網(wǎng)絡(luò)終端的普及，使得師生在辦公樓、教學(xué)樓、圖書(shū)館、體育館、操場(chǎng)等開(kāi)放性場(chǎng)所對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)都有需求，學(xué)校師生對(duì)能隨時(shí)隨地接入網(wǎng)絡(luò)進(jìn)行教學(xué)和科研的需求越來(lái)越普遍；故傳統(tǒng)的校園有線(xiàn)網(wǎng)絡(luò)已不能滿(mǎn)足學(xué)校的教學(xué)與科研需要。WLAN 技術(shù)和學(xué)校需求相結(jié)合，推動(dòng)了無(wú)線(xiàn)校園網(wǎng)技術(shù)的發(fā)展；本文首先闡述了瘦AP的基本原理，然后從校園需求分析著手，完成了對(duì)高校無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)方案的設(shè)計(jì)。

1 什么是瘦AP

瘦AP的出現(xiàn)是隨著無(wú)線(xiàn)網(wǎng)絡(luò)建網(wǎng)，組網(wǎng)方式的不斷更新而應(yīng)運(yùn)而生的。無(wú)線(xiàn)控制器加瘦AP的控制架構(gòu)，對(duì)設(shè)備的功能進(jìn)行了重新劃分，其中無(wú)線(xiàn)控制器負(fù)責(zé)無(wú)線(xiàn)網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；瘦AP負(fù)責(zé)無(wú)線(xiàn)信號(hào)的傳輸、信號(hào)源的加解密、接受無(wú)線(xiàn)控制器的管理、RF空口的統(tǒng)計(jì)等簡(jiǎn)單功能。大多數(shù)網(wǎng)絡(luò)設(shè)備廠(chǎng)家在支持瘦 AP 的組網(wǎng)架構(gòu)的同時(shí)，將更多新技術(shù)新應(yīng)用集成進(jìn)無(wú)線(xiàn)控制器和瘦 AP 中，以便于給用戶(hù)呈現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理接口。

2 校園需求分析

經(jīng)調(diào)查了解，如今高校無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)需求概括起來(lái)有以下幾方面：.1接入需求，要方便師生連接網(wǎng)絡(luò)，即在只有一個(gè)SSID的基礎(chǔ)上用戶(hù)通過(guò)學(xué)號(hào)或員工號(hào)連接無(wú)線(xiàn)網(wǎng)絡(luò)，并且能進(jìn)行區(qū)域場(chǎng)景間的無(wú)縫漫游。；2.統(tǒng)一認(rèn)證需求，需要與學(xué)校現(xiàn)有的認(rèn)證計(jì)費(fèi)系統(tǒng)融合，學(xué)生可自行選擇使用運(yùn)營(yíng)商服務(wù)，并且每種服務(wù)學(xué)生均一次認(rèn)證上網(wǎng)。3.學(xué)校應(yīng)用需求，建設(shè)好的無(wú)線(xiàn)網(wǎng)絡(luò)能滿(mǎn)足學(xué)校多種業(yè)務(wù)的承載，同時(shí)只要是校園注冊(cè)賬號(hào)登錄無(wú)論繳費(fèi)沒(méi)有，都能直接訪(fǎng)問(wèn)學(xué)校內(nèi)網(wǎng)且不限流量；4.運(yùn)維和管理需求，學(xué)校能夠自主修改用戶(hù)名和密碼，實(shí)現(xiàn)賬號(hào)管理；能夠?qū)W(xué)生上網(wǎng)行為進(jìn)行監(jiān)控，能夠進(jìn)行溯源、內(nèi)容審計(jì)、過(guò)濾違規(guī)信息和網(wǎng)頁(yè)；無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)應(yīng)該支持高效的運(yùn)營(yíng)網(wǎng)絡(luò)級(jí)的管理功能，方便未來(lái)無(wú)線(xiàn)網(wǎng)絡(luò)的運(yùn)維管理。5.安全和可靠性需求，利用各種技術(shù)，保證無(wú)線(xiàn)網(wǎng)及校園網(wǎng)的安全和穩(wěn)定。

3 校園WLAN方案設(shè)計(jì)

3.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

以現(xiàn)有的有線(xiàn)網(wǎng)絡(luò)作為骨干，通過(guò)無(wú)線(xiàn)技術(shù)提供現(xiàn)有有線(xiàn)網(wǎng)絡(luò)的有效拓展，并能提供新的業(yè)務(wù)。把無(wú)線(xiàn)接入設(shè)備（AP）作為網(wǎng)絡(luò)的接入層，把無(wú)線(xiàn)的控制設(shè)備（AC）作為網(wǎng)絡(luò)的核心層，接入已建立的認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)、網(wǎng)管系統(tǒng)，將無(wú)線(xiàn)網(wǎng)絡(luò)納入到網(wǎng)絡(luò)核心層的功能中去。

如上拓?fù)鋱D所示，整個(gè)校園無(wú)線(xiàn)網(wǎng)由前段AP、POE接入交換機(jī)、匯聚交換機(jī)、核心交換機(jī)、 BRAS組成。這種扁平化二層網(wǎng)絡(luò)架構(gòu)將全網(wǎng)業(yè)務(wù)控制集中到核心交換機(jī)上，接入層只完成用戶(hù)接入、VLAN和端口隔離。使得整個(gè)網(wǎng)絡(luò)層次清晰，實(shí)現(xiàn)用戶(hù)之間/業(yè)務(wù)之間的有效隔離，避免相互之間的干擾和影響。同時(shí)簡(jiǎn)化下層設(shè)備功能，減少維護(hù)需求，節(jié)省后期維護(hù)成本。也不需要為了支持新的業(yè)務(wù)而被迫升級(jí)或更新?lián)Q代接入層、匯聚層設(shè)備，可以節(jié)省校園網(wǎng)絡(luò)設(shè)備的整體投入。

3.2 網(wǎng)絡(luò)描述

前端AP布點(diǎn)根據(jù)實(shí)際情況，建議在辦公樓、學(xué)生宿舍等用戶(hù)密度高，且有信號(hào)衰減的情況下用室內(nèi)AP分布式天線(xiàn)建設(shè)，采用饋線(xiàn)入室的方式保證房間內(nèi)信號(hào)強(qiáng)度；在教學(xué)樓、圖書(shū)館、會(huì)議室用戶(hù)密度高但無(wú)障礙環(huán)境下建議使用室內(nèi)AP獨(dú)立布放方式；在操場(chǎng)、樹(shù)林等室外環(huán)境建議采用室外AP覆蓋。室內(nèi)AP采用POE供電方式，通過(guò)超5類(lèi)雙絞線(xiàn)直接與POE交換機(jī)相連。室外AP視情況，100m內(nèi)采用POE供電方式，若距離較遠(yuǎn)則采用本地供電，通過(guò)光纖接入交換機(jī)。前端AP接入接入層交換機(jī)后，接入層交換機(jī)采用光纖或網(wǎng)線(xiàn)的方式接入?yún)R聚交換機(jī)。匯聚交換機(jī)采用光纖的方式上聯(lián)至校園核心交換機(jī)，無(wú)線(xiàn)控制器AC千兆旁?huà)煸诤诵慕粨Q機(jī)。校園內(nèi)服務(wù)器與AAA認(rèn)證系統(tǒng)等串聯(lián)在核心交換機(jī)上，通過(guò)校園BRAS統(tǒng)一網(wǎng)絡(luò)出口外聯(lián)到運(yùn)營(yíng)商網(wǎng)絡(luò)和教育專(zhuān)網(wǎng)。同時(shí)在服務(wù)器上布置一套對(duì)應(yīng)網(wǎng)管軟件，方便后期管理維護(hù)。

3.3 SSID劃分及用戶(hù)認(rèn)證及計(jì)費(fèi)

目前，Portal方式已經(jīng)成為無(wú)線(xiàn)網(wǎng)絡(luò)的主要認(rèn)證方式。本方案設(shè)計(jì)只設(shè)置一個(gè)SSID，學(xué)校配備一套本地AAA認(rèn)證系統(tǒng)，當(dāng)無(wú)線(xiàn)終端接入該SSID信號(hào)后，Portal服務(wù)器彈出登錄頁(yè)面，在頁(yè)面由用戶(hù)選擇上網(wǎng)模式（校園用戶(hù)或外來(lái)運(yùn)營(yíng)商的用戶(hù)）和對(duì)應(yīng)的運(yùn)營(yíng)商，師生選擇校園模式和對(duì)應(yīng)運(yùn)營(yíng)商，采用學(xué)號(hào)或員工號(hào)登錄后能直接訪(fǎng)問(wèn)校內(nèi)網(wǎng)，而外來(lái)用戶(hù)選擇運(yùn)營(yíng)商用戶(hù)模式和對(duì)應(yīng)運(yùn)營(yíng)商，能實(shí)現(xiàn)一般上網(wǎng)需求。用戶(hù)登錄網(wǎng)絡(luò)后，BRAS根據(jù)用戶(hù)選擇的運(yùn)營(yíng)商劃分不同的域，然后透?jìng)髦翆?duì)應(yīng)運(yùn)營(yíng)商AAA系統(tǒng)實(shí)現(xiàn)二次認(rèn)證。這種單一SSID劃分能避免不同運(yùn)營(yíng)商的設(shè)備重復(fù)投入與信號(hào)干擾，簡(jiǎn)化校園網(wǎng)絡(luò)電磁環(huán)境，同時(shí)節(jié)約校園網(wǎng)絡(luò)建設(shè)投入和方便校方管理。融合認(rèn)證平臺(tái)實(shí)現(xiàn)了高校計(jì)費(fèi)認(rèn)證系統(tǒng)與運(yùn)營(yíng)商AAA系統(tǒng)的無(wú)縫對(duì)接。采用標(biāo)準(zhǔn)Radius Proxy與運(yùn)營(yíng)商AAA進(jìn)行聯(lián)動(dòng)。用戶(hù)在各運(yùn)營(yíng)商處開(kāi)戶(hù)然后自助和校內(nèi)的賬號(hào)進(jìn)行綁定后，即可實(shí)現(xiàn)二次融合認(rèn)證，訪(fǎng)問(wèn)網(wǎng)絡(luò)。

3.4 出口選路技術(shù)設(shè)計(jì)

出口BRAS可實(shí)現(xiàn)與學(xué)校AAA系統(tǒng)聯(lián)動(dòng)。學(xué)校AAA認(rèn)證計(jì)費(fèi)系統(tǒng)上需包含各運(yùn)營(yíng)商模塊，當(dāng)用戶(hù)賬號(hào)與校園網(wǎng)賬號(hào)綁定后，用戶(hù)即可加入對(duì)應(yīng)運(yùn)營(yíng)商用戶(hù)組，出口綜合網(wǎng)關(guān)通過(guò)獲取AAA認(rèn)證計(jì)費(fèi)系統(tǒng)上的用戶(hù)組區(qū)分不同的用戶(hù)，同時(shí)根據(jù)AAA認(rèn)證計(jì)費(fèi)系統(tǒng)上用戶(hù)組設(shè)置的出口策略，動(dòng)態(tài)生成一條策略路由，以實(shí)現(xiàn)基于用戶(hù)的選路，即可以實(shí)現(xiàn)對(duì)應(yīng)運(yùn)營(yíng)商用戶(hù)認(rèn)證通過(guò)后選擇相應(yīng)出口。同時(shí)，針對(duì)學(xué)校的服務(wù)器區(qū)、機(jī)房和部分學(xué)生寢室區(qū)內(nèi)的教師用戶(hù)，出口BRAS上均可以單獨(dú)設(shè)置不同的出口策略，以實(shí)現(xiàn)接入免認(rèn)證、接入需認(rèn)證，外網(wǎng)免認(rèn)證等多種靈活的認(rèn)證和出口策略。

4 結(jié)束語(yǔ)

本文結(jié)合高校無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)需求，設(shè)計(jì)了一套簡(jiǎn)潔、高效的建設(shè)方案。該方案在降低學(xué)校投入的同時(shí)，實(shí)現(xiàn)了高校有線(xiàn)網(wǎng)絡(luò)與無(wú)線(xiàn)的融合；整個(gè)網(wǎng)絡(luò)統(tǒng)一認(rèn)證統(tǒng)一出口，便于學(xué)校統(tǒng)一管理便和后期維護(hù)。對(duì)高校數(shù)字化校園建設(shè)提供了一個(gè)很好的參考。

參考文獻(xiàn)

[1] 王嘯虎. 無(wú)線(xiàn)覆蓋的主要技術(shù)探討[J]. 信息通信. 2012（01）

[2]張幼麟. 無(wú)線(xiàn)網(wǎng)絡(luò)的安全協(xié)議[J]. 計(jì)算機(jī)安全. 2010（01）