文/皇甫大鵬 陳平 王興建

基于802.11n標(biāo)準(zhǔn)的校園無線網(wǎng)設(shè)計和部署

文/皇甫大鵬 陳平 王興建

IEEE 802.11n協(xié)議在物理層采用了MIMO和OFDM復(fù)用以及40MHz信道寬度等技術(shù)，使它的物理速率最高可以達(dá)到300Mbps。本文汲取北師大無線網(wǎng)絡(luò)建設(shè)經(jīng)驗，及國內(nèi)外無線校園網(wǎng)建設(shè)方案中成功之處，規(guī)劃并完成了北師大基于802.11n標(biāo)準(zhǔn)的校園無線網(wǎng)的建設(shè)。該組網(wǎng)方案具有安裝便捷、使用方便、擴展性較好、高速安全等特點。

北師大無線網(wǎng)絡(luò)概況

北京師范大學(xué)校園無線網(wǎng)始建于2007年，先后經(jīng)歷了無線一期、無線一期增補、無線二期以及后主樓為主的無線三期建設(shè)，經(jīng)過三期無線網(wǎng)絡(luò)建設(shè)，無線網(wǎng)絡(luò)覆蓋了全校的教學(xué)、科研、辦公和學(xué)生宿舍區(qū)。

北京師范大學(xué)校園無線網(wǎng)現(xiàn)共有近1500 多個無線AP，200 余個PoE供電交換機，6 個無線控制器。

現(xiàn)有的無線網(wǎng)絡(luò)主要存在以下困難：

1.無線網(wǎng)絡(luò)通過各樓宇的有線網(wǎng)絡(luò)上聯(lián)，容易受到有線網(wǎng)絡(luò)環(huán)境的影響（中病毒，環(huán)路，斷網(wǎng)等）；

2. 無線產(chǎn)品技術(shù)陳舊，不支持portal和認(rèn)證計費的對接，無法保證信息安全；

3. 產(chǎn)品到了故障高發(fā)期，線路、AP及交換機故障較多，且無法購買到同類型的替代產(chǎn)品；

4. 交換機百兆上聯(lián)，成為瓶頸；

5. 無線AP采用室外照射方式部署，且部署密度稀疏，信號覆蓋情況較差；

6. 通過有線網(wǎng)上聯(lián)，并且采用百兆口上聯(lián)。

圖1 無線AP支持用戶數(shù)

圖2 40MHz頻譜疊加圖

傳統(tǒng)無線面臨的挑戰(zhàn)

無線網(wǎng)絡(luò)采用的是公用頻段2.4Ghz，5.0Ghz，當(dāng)無線電波設(shè)備在同一空間發(fā)射相同頻段的無線電波時，無線電波會產(chǎn)生干擾，影響正常通訊。所以，在傳統(tǒng)無線網(wǎng)絡(luò)部署過程中，無線廠家采用錯頻蜂窩式部署方式，即相鄰AP之間采用不同的頻段來對外提供服務(wù)，減少干擾產(chǎn)生。

高密度覆蓋

在教室、會議室、圖書館等座位密集，RF覆蓋密度需要很高的地區(qū)，一般廠商的AP最高支持30多個客戶端，超過30客戶端再往上連，整個性能將急劇降低，北師大采用的無線產(chǎn)品，單射頻卡AP可以最大支持到128個用戶，高密度環(huán)境下依然能保證穩(wěn)定的帶寬。

RF高帶寬接入

目前在2.4GHz 頻段使用 40MHz 11n的頻寬，只有在同頻技術(shù)下才能實現(xiàn)。原理如圖2。如果在2.4GHz這個頻段使用20MHz 11n 對于微蜂窩來說將有1、6、11 三個信道使用，但如果使用40MHz 11n，只有1個不干擾的信道可以使用，這樣存在兩個以上AP的環(huán)境就無法部署。如下圖所示：紅色40MHz頻寬和黃色40MHz頻寬會疊加。

RF干擾

會議室需要支持很高的用戶密度，采用微蜂窩架構(gòu)需要大量重復(fù)使用相同的信道，RF信號將面臨著嚴(yán)重的干擾，而單頻架構(gòu)，通過專利技術(shù)很好地處理了干擾的問題。

漫游

對于微蜂窩架構(gòu)來說，要想支持講堂內(nèi)如此高密度的用戶數(shù)量，必須部署很多AP，增加了客戶端在AP之間跳動的幾率，客戶端在漫游時將出現(xiàn)很多問題。

連通穩(wěn)定性

還是微蜂窩帶來的問題，在講堂空曠的空間內(nèi)，部署很多AP，客戶端會發(fā)現(xiàn)很多信號強度差不多，且具有相同SSID的AP，使得客戶端在AP之間跳動，整個WLAN容易出現(xiàn)不穩(wěn)定 。

公平傳輸

在高密度環(huán)境下，存在各種各樣的客戶端，有快的有慢的，如何保證傳輸?shù)墓叫?，讓慢的客戶端不至于長時間得不到傳輸；同時不讓快的客戶端被慢的客戶端“黏住”，趨向于慢的客戶端速率。

802.11n無線網(wǎng)部署

后主樓無線網(wǎng)絡(luò)覆蓋區(qū)域包括后主樓一層至二十三層，其中一層為大廳、二層至八層圖書館、九層至二十二層為各院系辦公及教學(xué)場所、二十三層為博物館。除此之外還包括后主樓北廣場、京師廣場兩個室外場地，主樓A區(qū)三、四層校領(lǐng)導(dǎo)辦公區(qū)。圖書館和會議室用戶密度大，要求AP高密度部署；主樓A區(qū)三層、四層部署的產(chǎn)品，存在和其他產(chǎn)品同樓部署，信號干擾問題嚴(yán)重；后主樓建筑面積大，用戶眾多，信號漫游問題比較嚴(yán)重；另外，該樓宇用戶復(fù)雜，認(rèn)證方式的多樣性也是制約無線應(yīng)用的主要問題之一。

無線網(wǎng)絡(luò)信道規(guī)劃

802.11b/g/n的頻率范圍是2400-2483.5MHz，劃分了14個子頻道，頻帶寬為22MHz，最多可以提供3個不重疊的頻道同時工作(1，6，11)。

在大規(guī)模部署時AP會由于避免信道之間干擾而采用錯頻方式進行部署，即1/6/11交叉部署。而當(dāng)AP數(shù)量增多到一定程度，再新增加AP時則會出現(xiàn)無法尋找到合適錯頻空間的問題，使得新增AP成為困難。

本次采用的無線AP可以在同一個頻道部署，而不產(chǎn)出干擾，同樣在多AP環(huán)境下新增AP時無需考慮錯頻帶來的困擾。

結(jié)合產(chǎn)品的以上技術(shù)特點，北師大在后主樓無線網(wǎng)絡(luò)項目中，每個樓層部署的AP均放置在同一信道，相鄰兩樓層的AP放置于不同信道，即：一層AP使用信道1、二層AP使用信道6、三層AP使用信道11，如此反復(fù)（具體部署方式參見下圖）。我們將這種方式俗稱為“同層部署、多層疊加”由此帶來的優(yōu)勢有：1.每層新增AP時無需進行無線站點勘測和信道規(guī)劃；2.最大程度的提升了高密度無線接入能力；3. 將同頻干擾的可能降至最低；4. 客戶端可實現(xiàn)“零漫游”。

圖3無線網(wǎng)絡(luò)拓?fù)鋱D

虛擬SSID和VLAN規(guī)劃

一般用戶都誤解無線局域網(wǎng)的SSID為局域網(wǎng)的VLAN，這可能是由于第一代的無線局域網(wǎng)都是通過“FAT AP”組網(wǎng)的原因。其實二者之間的關(guān)系并非是一對一，即一個SSID必須對應(yīng)有一個VLAN。當(dāng)然把一個SSID設(shè)定在一個VLAN內(nèi)，對只能夠支持第二層的無線用戶漫游的傳統(tǒng)無線局域網(wǎng)是唯一可實現(xiàn)的方式。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多改動，AP數(shù)量多時，無線用戶VLAN/IP子網(wǎng)也增多，無線用戶IP子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開通) 否則無線用戶就不能訪問局域網(wǎng)上其它網(wǎng)點，包括在不同接入層的無線用戶。

根據(jù)不同的用戶需求，北師大后主樓無線網(wǎng)除了會議室，均使用BNU作為其唯一的SSID，該SSID對應(yīng)一個VLAN，共8個C類IP地址。圖書館的會議室、主樓A座3、4層和室外無線，因用戶的需要不同，需要專門為這幾個地方分配單獨的SSID和VLAN，方便于統(tǒng)一管理，同時為每個VLAN分配1-2個C類IP地址。

無線安全設(shè)計

無線網(wǎng)絡(luò)一直面臨安全問題，安全問題也越來越成為企業(yè)決策者決定是否部署WLAN網(wǎng)絡(luò)的關(guān)鍵因素。

認(rèn)證方式：通過學(xué)校網(wǎng)絡(luò)核心三層交換機配合無線控制器，一起規(guī)劃和設(shè)置互相隔離的業(yè)務(wù)VLAN和用戶，用于針對不同業(yè)務(wù)類型的無線終端的訪問，不同的專用業(yè)務(wù)通道可選擇不同的認(rèn)證和信號加密方法。

后主樓（除會議室以外）統(tǒng)一使用Captive Portal的方式（BNU），把portal認(rèn)證和計費系統(tǒng)相結(jié)合，通過web頁面認(rèn)證一次通過，用戶根據(jù)訪問網(wǎng)絡(luò)類型不同，選擇校內(nèi)、國內(nèi)和國際方式登錄。室外無線因為迎新需要，把無線分成兩個SSID，一個SSID使用Captive Portal的方式（BNU-JSGC），認(rèn)證方式與后主樓同，普通師生可以使用；另一個SSID用于迎新工作人員使用，采用802.1X認(rèn)證+WPA2信號加密方式（BNU-YX）等。

加密：支持WEP、TKIP、AES等多種安全加密方法，保證數(shù)據(jù)傳輸?shù)乃矫苄院屯暾浴?/p>

VPN：無線網(wǎng)絡(luò)產(chǎn)品可以為用戶提供獨特的多層次的安全機制,能很好的為WLAN網(wǎng)絡(luò)提供無縫的安全防護。

無線系統(tǒng)提供內(nèi)置的IDS無線入侵檢測系統(tǒng)，可以對非法Rogue AP和Rogue Client進行檢測、定位和抑制；無線系統(tǒng)還可以提供出色的和有線安全設(shè)備的聯(lián)動功能，例如IDS/IPS、ACS等等，實現(xiàn)對L2-L7層入侵攻擊的防范，彌補WIDS方法L2入侵攻擊的不足，實現(xiàn)對客戶訪問的認(rèn)證和授權(quán)，體現(xiàn)一體化的安全策略。

無線拓?fù)浣Y(jié)構(gòu)

如圖3所示，控制器直連三層交換機，POE交換機通過光纖匯聚至光纖交換機，光纖交換機連至三層交換機，三層交換機直接上聯(lián)至核心交換機?？刂破骷锌刂扑械臒o線AP，通過在控制器上集中配置各種不同級別的應(yīng)用策略，再分發(fā)至接入層無線AP，將用校園網(wǎng)絡(luò)和公用網(wǎng)絡(luò)在邏輯上區(qū)分開來，從根本上保護校園網(wǎng)內(nèi)的數(shù)據(jù)安全性。

本文根據(jù)802.11n產(chǎn)品的特性，提出特定的無線網(wǎng)架構(gòu)。為北師大教學(xué)區(qū)和后續(xù)802.11n無線網(wǎng)改造積累了豐富的經(jīng)驗。另外，此次無線設(shè)備支持同頻部署，可以支持同時部署3個SSID，對未來多樣性服務(wù)的擴展性提供了基礎(chǔ)準(zhǔn)備。

（作者單位為北京師范大學(xué)信息網(wǎng)絡(luò)中心）