作者/許彥佳，河源理工學校

淺析校園無線網(wǎng)絡(luò)的部署—基于銳捷網(wǎng)絡(luò)解決方案

作者/許彥佳，河源理工學校

隨著中職校園無線客戶端的增多，傳統(tǒng)有線網(wǎng)絡(luò)已經(jīng)難再滿足校園網(wǎng)用戶的使用需求，如何建設(shè)完善的無線校園網(wǎng)成為目前傳統(tǒng)校園網(wǎng)升級改造面臨的問題，新建無線校園網(wǎng)要能夠提供全區(qū)域的信號覆蓋和數(shù)據(jù)接入服務(wù)，給學校師生帶來更便利和舒適的用網(wǎng)體驗。

無線校園網(wǎng)；需求分析；部署策略；無線控制器；AP

引言

隨著校園信息化建設(shè)的發(fā)展以及辦學規(guī)模的壯大，傳統(tǒng)的有線網(wǎng)絡(luò)已經(jīng)不能夠滿足校園網(wǎng)用戶的使用需求。以河源理工學校（下面簡稱“我?！保槔接懭绾卧谠瓉碛芯€網(wǎng)絡(luò)的基礎(chǔ)上規(guī)劃設(shè)計無線網(wǎng)絡(luò)，如何為校區(qū)提供無線信號覆蓋以及數(shù)據(jù)接人業(yè)務(wù)，讓師生們體驗到無線校園給學習生活帶來的便利。

1. 無線校園網(wǎng)的需求分析

建設(shè)無線校園網(wǎng)之前應(yīng)當詳細的分析校園信息化應(yīng)用以及校園網(wǎng)用戶對于無線網(wǎng)絡(luò)的使用需求。下面結(jié)合我校的實際情況和無線校園網(wǎng)的部署經(jīng)驗，簡單分析無線校園網(wǎng)需要滿足的條件。

1.1 網(wǎng)絡(luò)架構(gòu)需求

網(wǎng)絡(luò)架構(gòu)應(yīng)結(jié)合校園網(wǎng)的實際情況來設(shè)計，如果是新建無線網(wǎng)絡(luò)應(yīng)該獨立于現(xiàn)有的有線網(wǎng)絡(luò)，即形成有線、無線兩套物理獨立網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)在物理鏈路上隔離，只在核心設(shè)備上建立通信聯(lián)系，這樣可以保證新建無線校園網(wǎng)是一個穩(wěn)定可靠、可擴展的獨立網(wǎng)絡(luò)結(jié)構(gòu)。同時，在網(wǎng)絡(luò)技術(shù)上應(yīng)選擇集中式管理方式，即無線控制器AC+無線AP的架構(gòu)，先將無線AP通過校園網(wǎng)的接入層POE交換機設(shè)備接入，再利用無線控制器AC將所有的無線AP進行統(tǒng)一的控制和管理，增強整個無線校園網(wǎng)絡(luò)的可管理性。

1.2 信號覆蓋方式需求

以我校為例，整個校園分為兩大區(qū)域：教學區(qū)和生活區(qū)，其中教學區(qū)主要包括綜合樓、教學樓、實訓中心、圖書館等為師生教學服務(wù)的轄區(qū)，而生活區(qū)則包括宿舍、食堂、運動場等為師生生活提供服務(wù)的場所。不同區(qū)域的無線網(wǎng)絡(luò)需求也是不同的，這些不同包括無線網(wǎng)絡(luò)使用的時間，建筑的結(jié)構(gòu)以及用戶的密集程度。因為這種需求上的區(qū)別，對于無線網(wǎng)絡(luò)在信號覆蓋方式上的要求也是不同的，如會議室、圖書館等相對空闊的場景在無線網(wǎng)絡(luò)的信號覆蓋范圍以及技術(shù)選擇上肯定要區(qū)別于宿舍樓，這些因素都是我們在建設(shè)無線校園網(wǎng)之前要考慮清楚的。

1.3 安全性需求

安全性是網(wǎng)絡(luò)建設(shè)上非常重要的需求，無線網(wǎng)絡(luò)具有使用便捷靈活、易于擴展等優(yōu)點，但是由于無線網(wǎng)絡(luò)的信道開放的特點，使得攻擊者能夠很容易的進行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線校園網(wǎng)發(fā)展的重要因素。雖然校園對無線局域網(wǎng)需求不斷增長，但同時許多校園用戶對無線局域網(wǎng)的安全防護存在擔憂，因此在建設(shè)無線校園網(wǎng)之前我們要充分考慮到無線網(wǎng)絡(luò)的安全。若原來有線網(wǎng)絡(luò)系統(tǒng)已經(jīng)具備多種安全防御能力，建成的無線網(wǎng)絡(luò)首先必須融合進原有網(wǎng)絡(luò)安全解決方案體系中，并根據(jù)無線網(wǎng)絡(luò)的安全技術(shù)特征，補充為具有多層次的安全保護措施，以滿足用戶身份鑒別、訪問控制和保密性等要求。

為了阻止非授權(quán)用戶訪問無線網(wǎng)絡(luò)以及防止對無線局域網(wǎng)數(shù)據(jù)流的非法偵聽，無線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：服務(wù)區(qū)標識符( SSID)匹配、有線等效保密( WEP)、二層隔離、WPA支持、流氓AP的鑒別和防護等。

1.4 訪問速度與認證計費需求

如今校園網(wǎng)絡(luò)應(yīng)用囊括了視頻點播、微課學習等高帶寬應(yīng)用業(yè)務(wù)，這些應(yīng)用需要用戶具備更高的網(wǎng)絡(luò)帶寬和訪問速度。在無線網(wǎng)絡(luò)的建設(shè)工程中，我們要考慮網(wǎng)絡(luò)訪問速度的需求，選擇最為先進且可擴展的無線網(wǎng)絡(luò)技術(shù)，以滿足無線校園網(wǎng)今后在高帶寬應(yīng)用上的需求。

目前我校有線網(wǎng)絡(luò)采用的是L2TP寬帶撥號校園網(wǎng)認證計費系統(tǒng)，校內(nèi)學生登陸訪問校外網(wǎng)絡(luò)時，由網(wǎng)關(guān)進行認證，同時進行網(wǎng)絡(luò)計費。在部署無線網(wǎng)絡(luò)之后，我們依然采用學校原有的認證系統(tǒng)，同時對校內(nèi)的有線網(wǎng)和無線網(wǎng)進行認證計費，并能夠在認證方面與原有的有線網(wǎng)絡(luò)認證體系完全融合，對認證用戶完全透明，不增加用戶的認證次數(shù)和復雜性，同時還保證無線用戶入網(wǎng)即認證的目的，便于控制無線用戶的安全訪問和與有線網(wǎng)絡(luò)的認證賬號統(tǒng)一性。

2. 無線校園網(wǎng)的部署

充分了解校園無線網(wǎng)絡(luò)的需求分析后，便可以規(guī)劃詳細的無線校園網(wǎng)部署方案，以下根據(jù)我校無線校園網(wǎng)實際案例進行探討。

2.1 無線網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

校園無線網(wǎng)絡(luò)一般可分為核心層、接入層和無線覆蓋層三部分。我校無線網(wǎng)絡(luò)核心層采用無線控制器(AC)作為所有無線發(fā)射端AP(銳捷AP—220—E)集中控制單元，通過萬兆鏈路連接到核心交換機上；接入層再將AP以及供電單元的POE交換機分布安放在各個樓宇中，并通過萬兆鏈路上聯(lián)到核心交換機；無線覆蓋層通過AP發(fā)射不同頻段無線信號，為用戶無線終端提供接入途徑。另外無線網(wǎng)絡(luò)冗余設(shè)計可采用銳捷RG—WS5708 兩臺無線控制器，其支持主備工作方式，可以實現(xiàn)無線控制器AC 1+1的備份：即一臺 RG—WS5708 作為為主控制器，另外一臺RG—WS5708作為備份控制器，并且只有主控制器會接受AP的注冊請求，如圖1所示。

圖1 無線網(wǎng)絡(luò)設(shè)計拓撲

2.2 無線網(wǎng)絡(luò)轉(zhuǎn)發(fā)規(guī)劃

建設(shè)校園無線網(wǎng)絡(luò)需要規(guī)劃好無線數(shù)據(jù)轉(zhuǎn)發(fā)方式，一種是集中轉(zhuǎn)發(fā)方式，即無線AP與無線AC通過CAPWAP建立隧道，將無線數(shù)據(jù)在隧道中封裝，將802.11的無線數(shù)據(jù)封裝后，轉(zhuǎn)發(fā)到AC 上，AC經(jīng)過802.11到802.3數(shù)據(jù)包轉(zhuǎn)換，轉(zhuǎn)換為可以在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)幀格式；另一種是分布轉(zhuǎn)發(fā)方式，就是無線AP根據(jù)數(shù)據(jù)包的SSID和VALN等信息，自動區(qū)分數(shù)據(jù)包，在AP本地進行802.11到802.3的數(shù)據(jù)包的轉(zhuǎn)發(fā)，特定SSID的數(shù)據(jù)不再經(jīng)過AC統(tǒng)一集中轉(zhuǎn)發(fā)。

這兩種轉(zhuǎn)發(fā)方式有著不同的應(yīng)用場景，針對音視頻等需要低延遲轉(zhuǎn)發(fā)的數(shù)據(jù)，可以采用分布式的轉(zhuǎn)發(fā)，無線數(shù)據(jù)可以就近從接入交換機上轉(zhuǎn)發(fā)，而不用必須經(jīng)過AC集中轉(zhuǎn)發(fā)，尤其是在802.11n的大容量的接入數(shù)據(jù)應(yīng)用上，分布式的轉(zhuǎn)發(fā)具有更高的處理牲能。

針對高安全性的數(shù)據(jù)建議采用集中式的轉(zhuǎn)發(fā)，例如學校的辦公系統(tǒng)、教職工信息等數(shù)據(jù)，必須要上傳到AC，有AC進行安全驗證后，才可正常轉(zhuǎn)發(fā)，如圖2所示。

圖2 無線網(wǎng)絡(luò)轉(zhuǎn)發(fā)模式

2.3 無線覆蓋規(guī)劃

我校作為大型中職校園，占地約40萬平方米，目前覆蓋了部分辦公和生活區(qū)域的無線網(wǎng)絡(luò)。為保證無線網(wǎng)絡(luò)可用性與穩(wěn)定性，無線信號覆蓋區(qū)域信號強度應(yīng)不低于—80dBm，信噪比SNR≥20，業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps。

根據(jù)我校的場景和經(jīng)費情況，無線部署上采用放裝區(qū)域、智分區(qū)域兩類。首先是放裝區(qū)域，例如我校的會議室、教室、圖書館、飯?zhí)玫瓤諘鐓^(qū)域，由于空間比較寬闊，有利于信號的傳播，所以可以選用傳統(tǒng)的放裝式AP部署方案，即將AP安裝在室內(nèi)固定的位置上，直接發(fā)射信號覆蓋整個房間。

圖3 銳捷網(wǎng)絡(luò)無線智分解決方案

其次是智分區(qū)域，即綜合樓、宿舍樓等房間密集，且用戶集中的區(qū)域。如果這些區(qū)域選擇放裝式的部署方案就會出現(xiàn)問題，如按房間放置AP則會造成AP間的信道串擾，若在樓道內(nèi)放置AP又會造成無線信號覆蓋不均勻。因此針對房間密集的區(qū)域，我們選擇的是智分式的無線部署方案，即每個AP通過智分天線引至固定數(shù)量房間，從而減少AP的數(shù)量，同時又保證了每個房間的信號覆蓋強度一致。 這種場景方案主要采取小功率室內(nèi) AP 與饋線和美化天線結(jié)合，采用銳捷網(wǎng)絡(luò)獨創(chuàng)的“i—Share”技術(shù)，可以實現(xiàn)從AP 到房間的“一分多”部署模式，滿足該類場景中對性能、覆蓋和美化效果的需求，適用于復雜密集的環(huán)境，如圖3所示。

表1

2.4 無線網(wǎng)絡(luò)的安全設(shè)計

基于校園無線網(wǎng)絡(luò)的集中常見安全問題，在建設(shè)無線校園網(wǎng)時應(yīng)綜合考慮無線安全技術(shù)，在無線網(wǎng)絡(luò)的各個環(huán)節(jié)應(yīng)進行相應(yīng)的安全保護、數(shù)據(jù)加密、身份認證等安全手段，實現(xiàn)全方位無線安全防護體系。我校無線網(wǎng)絡(luò)的安全設(shè)計方案如表1所示。

隨著教育信息化以及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，中職校園的基礎(chǔ)網(wǎng)絡(luò)建設(shè)必將也隨之改革發(fā)展，而建設(shè)無線網(wǎng)絡(luò)將是未來一大趨勢之一。作為有線網(wǎng)絡(luò)的補充，無線網(wǎng)絡(luò)的應(yīng)用拓展了校園網(wǎng)的使用范圍，提高了效率、方便了管理。只有充分理解建設(shè)無線網(wǎng)絡(luò)的目的與意義，采用合適的部署方案，有的放矢，才能建設(shè)一套穩(wěn)定、高效、安全的校園無線網(wǎng)絡(luò)。

＊ [1]顏汝南.高校無線網(wǎng)絡(luò)規(guī)劃與部署—以海南經(jīng)貿(mào)職業(yè)技術(shù)學院為例[J].信息與電腦,2015

＊ [2]孫浩峰.網(wǎng)絡(luò)運維與管理2016[M].北京:電子工業(yè)出版社.2016

＊ [3]王剛耀.網(wǎng)絡(luò)運維親歷記[M].北京:清華大學出版社.2016