文/李慶剛 李文化 李遷 王慧妹

海南大學：無線校園網設計與管理

文/李慶剛 李文化 李遷 王慧妹

為了解決全校師生在課外使用數字化與網絡化學習的問題，海南大學在公共場所建設了無線校園網，并采用無線控制器AC+瘦AP方式進行管理，構建了多個“課外網絡化自習空間”，完成了校園內全面無線信號的覆蓋。

隨著無線網絡技術的逐步成熟和普及，越來越多的學校開始無線校園網絡的構建和應用。本文以海南大學無線校園網絡建設項目，對無線網絡建設的設計進行了說明。無線網絡克服了有線網絡的局限性，對于擴充學校網絡的接入能力，提供網絡資源的利用率，推進學校數字化建設，具有非常重要的作用。

總體要求和建設目標

為了解決全校師生在課外使用數字化與網絡化學習的問題，海南大學決定在公共場所，如教學樓、圖書館新舊館以及校園內多個室外公共區(qū)域建設無線校園網，采用無線控制器AC+瘦AP方式進行管理，構建了多個“課外網絡化自習空間”，總共規(guī)劃海甸校園無線AP同時接入用戶數可達6000個，建設后完成校園內全面無線信號覆蓋，利用無線網絡技術進一步擴展校園網的覆蓋范圍，為教學和學習生活提供切實可用的無線網絡環(huán)境，能夠實現全校師生隨時隨地、方便高效地使用校園網絡的需求。無線校園網覆蓋范圍包括學校所有教學樓、圖書館、會議室、食堂、北門文化柱廣場、旅游學院廣場、圖書館廣場、田徑運動場、起點草坪、青春記憶廣場。包括儋州校區(qū)和城西校區(qū)也在考慮范圍之內，以及部分原來沒有有線網絡的空間。

海南大學校園無線網絡采取通行的網絡協(xié)議標準∶目前無線局域網普遍采用802.11系列標準，因此校園無線局域網將主要支持802.11n（300M帶寬，部分將采用450M帶寬的AP）標準以提供可供實際應用的相對穩(wěn)定的網絡通信服務，同時兼顧多種類型應用和將來的投資保護；全面的無線網絡支撐系統(tǒng)（包括無線網管、無線安全、無線計費等），以避免無線設備及軟件之間的不兼容性或網絡管理的混亂而導致的問題；保證網絡訪問的安全性。

無線網絡設計方案

校園無線網絡結構設計

無線接入所需布設的AP通過校園網的接入層設備接入到校園網中，在接入層需購置相應的POE供電交換機，并提供相應的接口給無線網線，個別分散的點位采用POE供電盒子部署。

室內部分∶定好較為開闊位置，敷設到位；掛在墻上，可利用設備本身自帶的安裝附件進行安裝；如果需要遮蔽，則需要定制非金屬安裝盒；如果是掛在天花板上，則根據天花板的情況而定，若天花板是非金屬結構，可以固定在天花板內。安裝過程中應充分考慮防盜問題。

室外部分∶根據設備位置有兩種布線方式。如果AP設備放置在樓頂，則需要布設網線和電源線；如果AP設備放置在室外，天線放置在室內，則需要采購天線饋線。這兩種方式饋線都需走鐵管，貼防水膠方式處理，安裝過程中應充分考慮防盜。

供電部分∶AP的供電可采用POE方式由接入的網絡設備進行供電（無需本地供電）、室外AP可主要采用采用POE供電方式，個別AP采用POE供電盒子方式部署，如果現實部署情況不允許，則采用強電供電方式，并使用光纖連接交換機提供數據傳輸。

校園無線網絡技術設計

為了滿足大容量并且以備擴容和發(fā)展，室內無線AP要求必須支持兩個射頻模塊，可以工作在2.4GHz和5.8GHz頻段；無線接入點（AP）必須支持IEEE802.11abg三種無線傳輸協(xié)議；無線AP支持通過802.3 af兼容的POE交換機供電；無線AP必須支持無線用戶的隔離功能，以防止在公共區(qū)域無線用戶間的信息泄露；無線AP必須支持Multi SSID功能，AP自身具備為不同SSID無線用戶接入有線網絡或互聯(lián)網絡提供不同身份認證策略的功能；無線AP自身具備智能的、無需要輔助設備就可根據周圍電磁波環(huán)境的變化，自動進行頻道最優(yōu)化設置，以達到最優(yōu)化覆蓋的目的；無線AP之間可根據相互通告來獲取對方連接的用戶數量及流量，從而實現AP的負載均衡，并支持用戶在不同AP間平滑漫游；無線AP支持射頻(RF)信號加密特性，支持802.11i安全標準，提供WPA2認證機制可同時提供TKIP以及AES加密方式，且AP具有自動識別客戶端兩種加密請求方式；無線AP支持SNMP Vi/Vii管理及支持Watchdog功能；系統(tǒng)須支持WEB+ DHCP認證，認證過程支持SSL的加密技術；系統(tǒng)須支持基于MAC地址的認證，以及用戶賬號與MAC地址的綁定認證；系統(tǒng)能夠對用戶進行訪問控制（ACL）和策略路由，可建立完整的訪問控制列表；采用大容量控制器覆蓋簡化管理，需要明確方案中控制器可管理的AP數量以及擴展能力；系統(tǒng)必須具備擴展性，需要不更換控制器設備就能提供對802.11n設備的支持；無線AP支持射頻(RF)信號加密特性，支持802.11i安全標準，提供WPA2認證機制可同時提供TKIP以及AES加密方式，且AP具有自動識別客戶端兩種加密請求方式；系統(tǒng)必須提供Web和SSH方式管理；支持SNMP v2/v3網管協(xié)議；實現對現有網絡系統(tǒng)的融合解決方案，包括在不同AP之間、不同交換機之間的漫游解決方案，以及與現有有線和無線網絡管理系統(tǒng)的融合方案。

802.11n使用開放的2.4GHz ISM頻段，可工作的信道數為歐洲標準信道數13個。由于其支持直序擴頻技術造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點，AP基本是1、6、11這三個信道工作。海南大學采用的無線AP產品，在AP密集或信道沖突的情況下，能夠進行信道自行切換。

無線網絡認證方式及整網安全

鑒于海南大學無線網絡規(guī)模較大，在網絡認證計費管理上將使用學校原有部署的計費管理系統(tǒng)，連同無線一起進行認證計費管理。為了方便用戶使用，我們采用同一建筑樓體或相同SSID內漫游的方案。當用戶在一個樓棟的不同AP之內進行切換時，此時的主要工作由無線交換機進行統(tǒng)一調度，當用戶在相同或者不同的交換機下不同的端口下的不同AP的覆蓋范圍時，啟用AP漫游功能，在同一個區(qū)域內或相同的SSID下，能夠滿足用戶不會再次觸發(fā)認證。

海南大學校園無線局域網絡主要服務于學校的學生與教師，也是規(guī)模的公眾型網絡，同時由于學生出于技術的研究興趣，會對網絡發(fā)起各種各樣的攻擊行為，此時網絡安全問題在建網時必須考慮的問題，安全方式主要側重幾個方面∶用戶安全、網絡安全，而在校園網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如∶MAC地址）及用戶的賬號、密碼，而對于學校學生用戶來，賬號信息都是一個實名原則，與學生的學籍信息進行關聯(lián)的，這樣在校園無線網絡中著重考慮使用無線網絡的用戶信息的安全機制，同時也要考慮與無線相關的有線網絡的安全問題。無線用戶采用802.1X認證方式，學生使用學號，教職工使用工號進行認證，這樣可以實現實名注冊上網，網關計費系統(tǒng)作為最后的鑒權點。

無線網絡的管理

基于標準的SNMP協(xié)議實現對設備的管理，專門的無線局域網管理軟件Quidview無線組件可實現對WLAN所有網絡設備的管理，也可實現對無線控制器AC的管理。無線控制器可以實現更為強大的管理包括AP的自動拓撲發(fā)現、自動升級、批量配置、分級管理、分級告警等，并可實現針對無線覆蓋空間內的射頻掃描、非法接入點監(jiān)聽等安全功能。而無線局域網管理軟件可以實現配置管理整個WLAN無線網絡，其具備以下特點∶

1.零配置安裝∶接入點無需準備預設置，AP從無線控制器繼承配置信息。可將無線控制器接入中心機房核心交換機中，AP無需事先進行任何配置，即通過接入層交換機接入有線網絡，并自動注冊到無線控制器上，獲得DHCP SERVER分配的IP地址，并自動下載配置文件正常工作，在大規(guī)模AP的項目中大量節(jié)省安裝維護成本。

圖1 海南大學校園無線網絡采用無線控制器+瘦AP模式

2.防盜防入侵∶敏感配置信息不在本地保存，即使設備被入侵被盜也不會丟失安全信息。實際運營中很多AP是放置在公共場所，如果密鑰、SSID等安全信息在本地保存的話，一旦失竊對全網安全性造成威脅，AP由于其零配置安裝，一旦掉電不會保存任何信息，避免入侵。

3.支持靈活的拓撲結構∶AP允許多種部署，從而能夠直接或間接連接到管理它的無線局域網控制器。無線控制器與AP之間可以隔離任何路由器或交換機，只要共同連接進有線網絡，AP就可以自動尋找到無線控制器實現注冊。

4.自動設置發(fā)射功率和分配射頻信道∶自動設置發(fā)射功率和分配射頻信道，用以優(yōu)化射頻單元大小和滿足各國對射頻信道的要求。當有個別AP故障時，無線控制器會自動調大相鄰AP的功率來彌補信號盲區(qū)。

5.提供增強的安全性和無縫漫游∶通過這項基于身份的組網功能，經過改進的用戶組認證接入控制、始終強制的漫游策略以及對帶寬使用的監(jiān)視實現了無線局域網安全性的增強，實現了用戶無縫移動性和自由性，從而可以進行安全連接和漫游，一次認證多次接入，免去在不同AP下切換的再次認證。

（作者單位為海南大學網絡與教育技術中心）