折波 覃遵穎 崔靜茹 李國棟

摘? ?要：目前高校無線網(wǎng)絡(luò)已經(jīng)成為校園生活的重要組成部分，本文以西安交通大學(xué)校園無線網(wǎng)絡(luò)建設(shè)為例對高校無線網(wǎng)絡(luò)建設(shè)進(jìn)行了探索研究，旨在為各高校無線網(wǎng)絡(luò)建設(shè)提供建設(shè)經(jīng)驗參考。本文首先介紹了西安交通大學(xué)無線網(wǎng)絡(luò)建設(shè)遵循的高可用性、高可靠性、高安全性、高冗余性、可擴(kuò)展性以及可管理性原則，然后詳細(xì)介紹了本校無線網(wǎng)絡(luò)的整體架構(gòu)，使用開源freeradius搭建AAA認(rèn)證系統(tǒng)的具體流程和方法，使用信道優(yōu)化、功率調(diào)整、VLAN隔離、漫游引導(dǎo)、關(guān)閉低速率應(yīng)用等方法對無線網(wǎng)絡(luò)的整體優(yōu)化，使用MIB管理庫自主開發(fā)的管理系統(tǒng)對校園無線的監(jiān)控管理，最后簡單介紹了本校無線網(wǎng)絡(luò)建設(shè)成果和日常運行情況。

關(guān)鍵詞：無線網(wǎng)絡(luò)建設(shè);無線網(wǎng)絡(luò)認(rèn)證;無線網(wǎng)絡(luò)優(yōu)化;無線網(wǎng)絡(luò)管理

中圖分類號：TP393.1 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2019）01-0062-04

一、引言

隨著現(xiàn)代無線通信技術(shù)的飛速發(fā)展，無線網(wǎng)絡(luò)的應(yīng)用也越來越廣泛，無線網(wǎng)絡(luò)在高校也越來越普及，無線網(wǎng)絡(luò)解決了傳統(tǒng)有線網(wǎng)絡(luò)需要大規(guī)模布線的弊端，實現(xiàn)了校園網(wǎng)隨時隨地接入，滿足教工和師生在圖書館、會議室、教室、操場、校內(nèi)廣場等場所使用，是校園有線網(wǎng)絡(luò)有效的補充，《國家教育事業(yè)發(fā)展“十三五”規(guī)劃》[1]更是提出加強“無線校園”建設(shè)，基本實現(xiàn)各級各類學(xué)校寬帶網(wǎng)絡(luò)全覆蓋和網(wǎng)絡(luò)教學(xué)環(huán)境的普及，具備條件的城鎮(zhèn)學(xué)校實現(xiàn)無線網(wǎng)絡(luò)全覆蓋。

目前無線網(wǎng)絡(luò)已經(jīng)成為校園生活的重要組成部分，是教職工和學(xué)生獲取資源和信息的主要途徑，另外，隨著“互聯(lián)網(wǎng)+”的不斷發(fā)展，傳統(tǒng)的課堂教學(xué)模式發(fā)生了重大變革，“互聯(lián)網(wǎng)+課堂教學(xué)”模式需要訪問網(wǎng)絡(luò)中豐富的教學(xué)資源以及提供多種多樣的應(yīng)用平臺，課堂需要無線網(wǎng)絡(luò)支撐才能達(dá)到課程應(yīng)有的理想效果，因此，隨著教育部《教育信息化2.0行動計劃》[2]的發(fā)布，各高校需要依據(jù)本校校園網(wǎng)建設(shè)情況研究探索建設(shè)覆蓋全校的校園無線網(wǎng)絡(luò)，滿足教工教學(xué)、科研、工作和生活，滿足學(xué)生日常生活、學(xué)習(xí)、上課等需求。

二、無線網(wǎng)絡(luò)建設(shè)

1.無線網(wǎng)絡(luò)建設(shè)原則

（1）高可用性，無線網(wǎng)絡(luò)建設(shè)完成后需要保證用戶的實際使用體驗，無線網(wǎng)覆蓋范圍內(nèi)應(yīng)實現(xiàn)2.4G和5G雙頻覆蓋，信號強度大于-65dBm，且滿載情況下無線網(wǎng)絡(luò)同時觀看視頻時單終端視頻碼流不低于1Mbs，且無中斷不連續(xù)現(xiàn)象。

（2）高可靠性，無線網(wǎng)絡(luò)應(yīng)該具備高可靠性，出現(xiàn)重大網(wǎng)絡(luò)故障，如AC設(shè)備故障、出口鏈路斷開等，能夠及時切換到備用設(shè)備或者備用線路上。

（3）高安全性，無線網(wǎng)絡(luò)應(yīng)該具備多種安全機制，提供安全防范措施，防止教工師生重要信息泄露、網(wǎng)內(nèi)惡意攻擊、網(wǎng)內(nèi)惡意入侵等。

（4）高冗余性，無線網(wǎng)絡(luò)建設(shè)時應(yīng)該充分考慮冗余性，包括AP接入、AC設(shè)備以及出口帶寬，不但需要滿足現(xiàn)有無線網(wǎng)絡(luò)業(yè)務(wù)，還需要保證今后較長時間用戶和業(yè)務(wù)的增長需求。

（5）可擴(kuò)展性，隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)負(fù)載壓力不斷增加，無線網(wǎng)絡(luò)設(shè)計時應(yīng)該在無線AP覆蓋范圍、無線設(shè)備性能、無線鏈路帶、無線網(wǎng)絡(luò)拓?fù)涞确矫婢邆浜芎玫臄U(kuò)展性，至少應(yīng)該能夠滿足學(xué)校3～5年對無線網(wǎng)絡(luò)的需求，能夠方便對無線網(wǎng)絡(luò)進(jìn)行升級。

（6）可管理性，無線網(wǎng)絡(luò)應(yīng)該具有一套快捷方便的管理系統(tǒng)，系統(tǒng)通過采集無線網(wǎng)絡(luò)設(shè)備數(shù)據(jù)，能夠?qū)π@無線的整體運行情況進(jìn)行遠(yuǎn)程監(jiān)控，隨時了解無線網(wǎng)絡(luò)健康狀況，對無線設(shè)備能夠進(jìn)行遠(yuǎn)程管理，在無線網(wǎng)絡(luò)出現(xiàn)故障時，能夠及時定位到故障點，并迅速排查故障。

2.無線網(wǎng)絡(luò)轉(zhuǎn)發(fā)模式

目前無線網(wǎng)絡(luò)的轉(zhuǎn)發(fā)模式主要有集中轉(zhuǎn)發(fā)模式和本地轉(zhuǎn)發(fā)兩種模式，集中轉(zhuǎn)發(fā)和本地轉(zhuǎn)發(fā)模式控制/數(shù)據(jù)流的比較，集中轉(zhuǎn)發(fā)模式下所有的源或者目的為無線用戶的報文都需要由AC進(jìn)行轉(zhuǎn)發(fā)，STA1發(fā)送數(shù)據(jù)到STA2時，AP將數(shù)據(jù)幀通過CAPWAP隧道發(fā)送到AC，AC解析隧道和802.11報文得到目的地為STA2，再將報文封裝成CAPWAP隧道報文，發(fā)送到AP，然后由AP轉(zhuǎn)交給STA2。集中轉(zhuǎn)發(fā)對鏈路帶寬、AC的加/解密要求較高，AC壓力較大，優(yōu)點是能夠?qū)崿F(xiàn)更多安全防護(hù)功能，能夠?qū)W(wǎng)絡(luò)流量進(jìn)行監(jiān)控。本地轉(zhuǎn)發(fā)模式下無線用戶的控制幀仍然通過CAPWAP隧道由AC進(jìn)行處理，而源或目的為無線用戶的數(shù)據(jù)幀則直接在AP本地進(jìn)行轉(zhuǎn)發(fā)，STA1發(fā)送數(shù)據(jù)到STA2時，AP直接解析802.11報文，獲得目的地STA2，然后將報文重新封裝成802.11幀發(fā)送給STA2，不再經(jīng)過AC進(jìn)行轉(zhuǎn)發(fā)。本地轉(zhuǎn)發(fā)優(yōu)點是將業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)分散到AP，降低AC壓力，徹底解決AC瓶頸問題，提高網(wǎng)絡(luò)整體吞吐率，根據(jù)本校校園網(wǎng)架構(gòu)和網(wǎng)絡(luò)管理方面的需求，本校無線網(wǎng)絡(luò)建設(shè)采用了集中轉(zhuǎn)發(fā)模式。

3.無線網(wǎng)絡(luò)架構(gòu)

西安交通大學(xué)無線網(wǎng)絡(luò)架構(gòu)，設(shè)備部署方式采用所有AP二層部署，POE交換機千兆到樓宇匯聚交換機，樓宇匯聚交換機萬兆到AC核心設(shè)備，AC采用插卡方式，每臺核心交換機配備2塊AC板卡，兩塊AC板卡互備，核心交換機直連IMC管理系統(tǒng)和radius認(rèn)證系統(tǒng)，IMC管理系統(tǒng)用于對無線網(wǎng)絡(luò)設(shè)備進(jìn)行基礎(chǔ)管理，radius系統(tǒng)用于對無線用戶進(jìn)行認(rèn)證，無線網(wǎng)絡(luò)出口同時使用校園網(wǎng)出口和專用的電信出口，無線網(wǎng)絡(luò)所有用戶使用內(nèi)網(wǎng)地址，對校內(nèi)網(wǎng)的訪問通過RSR7716 NAT為教育網(wǎng)地址訪問，對校外網(wǎng)的訪問通過RSR7716 NAT為電信地址或者經(jīng)校園網(wǎng)出口NAT后訪問，出口區(qū)域全部配備統(tǒng)一的防火墻用于網(wǎng)絡(luò)安全防護(hù)。

4.無線認(rèn)證系統(tǒng)

根據(jù)國家接入互聯(lián)網(wǎng)的相關(guān)規(guī)定，在接入互聯(lián)網(wǎng)之前必須通過身份認(rèn)證，高校中無線接入設(shè)備種類繁重，設(shè)備情況復(fù)雜，考慮到用戶使用無線網(wǎng)絡(luò)的便利性、兼容種類繁多的無線網(wǎng)絡(luò)接入設(shè)備，多數(shù)高校無線網(wǎng)絡(luò)認(rèn)證都啟用了Portal認(rèn)證和802.1x認(rèn)證。

Portal認(rèn)證是用戶通過主動訪問位于Portal服務(wù)器上的認(rèn)證頁面（主動認(rèn)證），或用戶試圖通過HTTP訪問其他外網(wǎng)被WLAN服務(wù)端強制重定向到WEB認(rèn)證頁面后，用戶輸入用戶名和密碼，Portal服務(wù)器在獲取到用戶賬號信息后通過Portal協(xié)議與認(rèn)證服務(wù)器交換完成的用戶認(rèn)證過程。Portal協(xié)議具有兼容所有智能終端和個人PC的優(yōu)勢，同時可提供方便的管理功能，開展通知公告、個性化業(yè)務(wù)等，Portal認(rèn)證在高校和企業(yè)網(wǎng)中大量使用。

802.1x[3]認(rèn)證是基于端口的網(wǎng)絡(luò)接入控制協(xié)議，提供了一個認(rèn)證過程框架，支持多種認(rèn)證協(xié)議。在802.1x 中，不同的認(rèn)證協(xié)議統(tǒng)一使用EAP 封裝格式，802.1x是對認(rèn)證進(jìn)行控制，是接入認(rèn)證的手段，多數(shù)高校提供PEAP協(xié)議的認(rèn)證，802.1x認(rèn)證具備高效簡潔、容易實現(xiàn)、安全可靠、應(yīng)用靈活、天生無感知、易于運營的優(yōu)勢。

Portal認(rèn)證和802.1x認(rèn)證都需要使用AAA認(rèn)證服務(wù)器，AAA認(rèn)證服務(wù)器可購買企業(yè)產(chǎn)品，如深瀾、城市熱點等，使用企業(yè)產(chǎn)品存在很大的弊端。①企業(yè)產(chǎn)品需要和學(xué)校的業(yè)務(wù)系統(tǒng)進(jìn)行對接，并且業(yè)務(wù)系統(tǒng)可能存在多個，前期對接調(diào)試需要消耗大量的時間，相關(guān)業(yè)務(wù)負(fù)責(zé)人需要花費很長時間了解產(chǎn)品的原理，往往系統(tǒng)管理也較為復(fù)雜;②企業(yè)產(chǎn)品可控性較差，系統(tǒng)在運行維護(hù)的過程中如果出現(xiàn)問題，負(fù)責(zé)的教師往往很難找到問題所在，需要聯(lián)系企業(yè)售后人員，往往解決問題都需要消耗很長時間，造成網(wǎng)絡(luò)故障時間很長，嚴(yán)重影響教師和學(xué)生的日常辦公、科研和生活;③企業(yè)產(chǎn)品靈活性較差，高校由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜，教工和學(xué)生的需求也較多，企業(yè)產(chǎn)品很難滿足高校的一些個性化需求。

西安交通大學(xué)無線網(wǎng)絡(luò)使用了Portal認(rèn)證和802.1x認(rèn)證，為了保證無線網(wǎng)絡(luò)用戶體驗，Portal認(rèn)證使用了基本mac地址的無感知認(rèn)證，用戶設(shè)備輸入用戶名和密碼登錄一次設(shè)備連接無線后由后臺Portal服務(wù)器自動登錄，無感知認(rèn)證。

西安交通大學(xué)使用的AAA[4][5]認(rèn)證服務(wù)器是用開源freeradius搭建的，freeradius是一個功能強大的開源radius，世界上大部分的radius服務(wù)器都是由freeradius開發(fā)而來，是多樣化radius商業(yè)產(chǎn)品的基礎(chǔ)部分，并且廣泛應(yīng)用在學(xué)術(shù)團(tuán)體，如eduroam，freeradius服務(wù)器高速、功能豐富、模塊化、擴(kuò)展性強。

西安交通大學(xué)radius服務(wù)器是在Linux Centos6.7版本上使用開源freeradius-2.2.9版本搭建的，數(shù)據(jù)庫使用MySQL-5.6.27版本，freeradius安裝使用源碼安裝，由于安裝過程中需要很多依賴庫，在Linux上配置公開的yum源，如使用清華開源軟件鏡像站，在freeradius目錄下使用命令./configure -prefix=/usr/local/radius && make clean && make && make install安裝，正確安裝完成后更改radius.conf、client.conf、sites-enabled/default、sql.conf等文件對認(rèn)證進(jìn)行基本配置以及根據(jù)服務(wù)器性能對freeradius進(jìn)行調(diào)優(yōu)配置，尤其在/usr/local/radius/etc/raddb/sql/mysql/dialup.conf文件中去除simul_count_query注釋解除radius用戶限制，在mysql中建立radius數(shù)據(jù)庫，并建立/usr/local/radius/etc/raddb/sql/mysql/schema.sql數(shù)據(jù)表，用戶信息插入到radcheck數(shù)據(jù)表中，在服務(wù)器上啟用iptables，防火墻開放1812、1813、3306端口，并且僅允許管理員IP地址SSH登錄，最終使用/usr /local /radius /sbin /radiusd -X測試freeradius是否按照要求運行成功。

5.無線網(wǎng)絡(luò)優(yōu)化

為了保證最終無線網(wǎng)絡(luò)的使用效果和用戶體驗，需要對無線網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)優(yōu)化，無線網(wǎng)絡(luò)優(yōu)化方法包括信道規(guī)劃、功率調(diào)整、VLAN隔離、漫游引導(dǎo)、關(guān)閉低速率應(yīng)用、無線用戶限速等。

（1）信道規(guī)劃

無線網(wǎng)絡(luò)在實際安裝部署過程中，需要保證目標(biāo)覆蓋區(qū)域的信號覆蓋強度要求不低于-65dBm，同時保證AP收到的終端信號的RSSI值不低于30，為了最大程度地利用頻段資源，2.4G頻段使用1、6、11三個重疊信道構(gòu)建WLAN網(wǎng)絡(luò)，信道在規(guī)劃過程中需要同時考慮三維空間的信號覆蓋情況，無論水平或者垂直方向都應(yīng)該做到的蜂窩式覆蓋，最大程度避免水平方向和垂直方向的信號干擾，2.4G頻段采用20MHz頻寬部署。5G頻段不重疊信道較多，單個AP單個射頻口部署一個頻段，使用149、153、157、161、165信道，采用40MHz頻寬部署。

（2）功率調(diào)整

無線網(wǎng)絡(luò)使用的是CSMA/CA公平信道競爭機制，無線接入終端在有數(shù)據(jù)發(fā)送時，首先監(jiān)聽信道，如果信道中沒有其他終端在傳輸數(shù)據(jù)，則首先隨機退避一個時間，如果在這個時間內(nèi)沒有其他終端搶占到信道，終端等待完后可以立即占用信道并傳輸數(shù)據(jù)。無線網(wǎng)絡(luò)每個信道的帶寬是有限的，其有限的帶寬資源會在所有共享相同信道的終端間平均分配。為避免AP間的同頻干擾，需要調(diào)整同一信道的AP的發(fā)射功率，降低這些AP之間的可見度，加強相同信道頻譜資源的復(fù)用，提高WLAN網(wǎng)絡(luò)的整體性能。

（3）VLAN隔離

在無線網(wǎng)絡(luò)中，廣播/組播報文過多會較多地消耗信道的空口資源，影響無線網(wǎng)絡(luò)的性能和應(yīng)用，尤其是廣播報文給VLAN內(nèi)所有的AP和用戶發(fā)送時，因此，在構(gòu)建無線網(wǎng)絡(luò)過程中需要為無線業(yè)務(wù)創(chuàng)建獨立的VLAN，為接入AP設(shè)備劃分不同的VLAN，為用戶劃分不同的VLAN。西安交通大學(xué)無線網(wǎng)絡(luò)中為每個SSID分配了不同的VLAN，根據(jù)樓宇為每棟樓宇中的AP設(shè)備劃分了不同的VLAN，用戶VLAN隔離使用vlan-group技術(shù)實現(xiàn)，vlan-group既能實現(xiàn)用戶VLAN隔離，又能夠?qū)崿F(xiàn)AC間漫游。

（4）漫游引導(dǎo)

無線接入終端在AP間漫游的過程中與設(shè)備本身和AP有很大的關(guān)系，用戶在使用無線網(wǎng)絡(luò)過程中如果漫游能力差會造成無線網(wǎng)絡(luò)使用體驗差，終端在漫游時選擇AP的方式包括監(jiān)聽Beacon幀和發(fā)送Probe探測幀，可以啟用AP的漫游導(dǎo)航功能檢測終端信號來引導(dǎo)終端漫游。另外，可以在AP上啟用主動觸發(fā)客戶端重關(guān)聯(lián)功能，AP在運行過程中隨時更新終端的信號強度，當(dāng)AP設(shè)備感知到無線客戶端的信號強度低于指定的信號強度時，主動地向無線客戶端發(fā)送解除認(rèn)證幀報文來引導(dǎo)終端漫游。

（5）關(guān)閉低速率應(yīng)用

無線網(wǎng)絡(luò)中不是使用固定的速率發(fā)送所有的報文，而是使用一個速率集進(jìn)行報文發(fā)送，實際無線終端或者AP在發(fā)送報文的時候會動態(tài)地在這些速率中選擇一個速率進(jìn)行發(fā)送。實際應(yīng)用中大量的廣播報文和無線的管理報文都使用最低速率1Mbps進(jìn)行發(fā)送，會消耗一定的空口資源。通過對1、2、6和9Mbps速率禁用，整體上減少廣播報文和管理報文對空口資源的占用。

6.無線網(wǎng)絡(luò)管理

針對無線網(wǎng)絡(luò)的管理，各個無線廠家都有自己的一套無線網(wǎng)絡(luò)管理系統(tǒng)，如華三IMC、華為eSight等，廠家提供的無線網(wǎng)絡(luò)管理系統(tǒng)具備功能齊全、提供對無線設(shè)備遠(yuǎn)程管理、管理精細(xì)化、數(shù)據(jù)表現(xiàn)形式多樣化等優(yōu)點，不足之處表現(xiàn)在系統(tǒng)復(fù)雜導(dǎo)致運行速度慢、與校園網(wǎng)日常運維系統(tǒng)對接困難、管理復(fù)雜、運維困難等缺點。

西安交通大學(xué)對無線網(wǎng)絡(luò)的管理使用設(shè)備廠家提供的管理系統(tǒng)和自主開發(fā)的系統(tǒng)，廠家提供的管理系統(tǒng)主要用于對無線用戶數(shù)的管理、運維報表管理、AC設(shè)備的監(jiān)控等，自主開發(fā)的管理系統(tǒng)主要用于平時對無線AP設(shè)備的監(jiān)控，系統(tǒng)通過SNMP登錄AC使用MIB管理庫提取運行狀態(tài)信息。所有無線AP在線、離線情況，系統(tǒng)顯示了各個樓宇A(yù)P的數(shù)量、在線AP數(shù)和離線AP數(shù)，單棟樓宇內(nèi)AP的信息，包括樓宇內(nèi)AP的名稱、設(shè)備類型、IP地址、MAC地址、在線用戶數(shù)、安裝位置以及運行狀態(tài)。

三、西安交通大學(xué)無線網(wǎng)絡(luò)運行情況

目前西安交通大學(xué)無線網(wǎng)已經(jīng)覆蓋了興慶校區(qū)、雁塔校區(qū)和曲江校區(qū)教學(xué)區(qū)全部室內(nèi)、教室和室外區(qū)域，學(xué)校整體部署無線AP達(dá)到2500余顆，由于AP數(shù)量少，目前只對教職工開通了校園無線，1年間的無線網(wǎng)絡(luò)終端在線趨勢，峰值在線終端數(shù)20539個，平均在線終端數(shù)5507個，無線網(wǎng)絡(luò)運行穩(wěn)定。

參考文獻(xiàn)：

[1]國家教育事業(yè)發(fā)展“十三五”規(guī)劃[EB/OL]. http：//www.gov.cn/zhengce/content/2017-01/19/content_ 5161341.htm.

[2]教育信息化2.0行動計劃[EB/OL]. http：//www.snedu.gov.cn/news/qitawenjian/201804/25/13895.html.

[3]IEEE Standard for Local and metropolitan area networks--Port-Based Network Access Control，in IEEE Std 802.1X-2010（Revision of IEEE Std 802.1X-2004）， 2010（5）：1-205.

[4]Jiangge Zhang，Yuanbo，Guo Yue，Chen ，Jun Ma.Research of AAA messages Based on 802.1x Authentication[R].2015 IEEE Advanced Information Technology，Electronic and Automation Control Conference （IAEAC）， Chongqing，2015：618-621.

[5]G.Cristescu，V.Croitoru， V. Sorici.Implementing an AAA-RADIUS solution based on EAP.2016 12th IEEE International Symposium on Electronics and Telecommunications （ISETC）， Timisoara，2016：81-86.

（編輯：王天鵬）