◆鄧寧

作者：鄧寧，北京市應(yīng)用高級技工學(xué)校高級講師，研究方向?yàn)槁殬I(yè)技術(shù)教育學(xué)（100079）。

近年來，不少學(xué)校正紛紛加緊教育信息化建設(shè)和規(guī)劃，開展無線校園網(wǎng)絡(luò)建設(shè)，為師生提供方便、高速的接入網(wǎng)絡(luò)，并實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、在線服務(wù)、教育資源共享等各種應(yīng)用。但由于無線局域網(wǎng)技術(shù)發(fā)展相對較快，不同廠商產(chǎn)品較多、各有特性，規(guī)劃無線校園網(wǎng)時應(yīng)根據(jù)學(xué)校教學(xué)和管理需要，選擇適合的技術(shù)和產(chǎn)品，與原有線校園網(wǎng)相互配合，為師生提供高效、方便的網(wǎng)絡(luò)接入。

1 校園無線網(wǎng)絡(luò)設(shè)計(jì)的一般原則

學(xué)校為了建設(shè)一套符合師生需求并具有良好性能和安全拓展空間的無線網(wǎng)絡(luò)系統(tǒng)，在合理投入基礎(chǔ)上以確保網(wǎng)絡(luò)建設(shè)的效益，就需要在無線網(wǎng)絡(luò)設(shè)計(jì)時遵循一定的原則，主要包括了以下幾個方面。

1）先進(jìn)性：所選產(chǎn)品及其技術(shù)方案必須達(dá)到行業(yè)的主流，市場覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟，并具備適當(dāng)?shù)募夹g(shù)前瞻性。

2）經(jīng)濟(jì)性：所選產(chǎn)品具有較高的性價(jià)比，在符合用戶需求的前提下選擇價(jià)格、性能適合的產(chǎn)品。

3）可管理性：無線網(wǎng)絡(luò)必須提供界面友好、易于操作的管理方式，為網(wǎng)絡(luò)管理者提供易于故障定位排除、系統(tǒng)維護(hù)調(diào)整等運(yùn)行維護(hù)手段，對用戶的接入提供靈活、安全的管理。

4）可用及易用性：設(shè)備要具有一定程度的耐用和智能特性，以提高整個系統(tǒng)的可用性；同時，師生使用校園無線網(wǎng)絡(luò)，應(yīng)該簡易便捷，方便使用和管理。

5）安全性：隨著無線網(wǎng)絡(luò)的普及，在方便了大家使用網(wǎng)絡(luò)的同時也給了不懷好意的黑客和蹭網(wǎng)者空間，所以無線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時一定要注意安全性的原則，以防止來自網(wǎng)絡(luò)內(nèi)部和外部的各種破壞。

2 無線網(wǎng)絡(luò)技術(shù)簡介

802.11 協(xié)議802.11 協(xié)議族是現(xiàn)行國際無線局域網(wǎng)標(biāo)準(zhǔn)，涵蓋了無線局域網(wǎng)無線接入、傳輸速率、QoS、安全加密等各方面。從傳輸速率上看，現(xiàn)市場主流無線網(wǎng)絡(luò)設(shè)備所支持的802.11 協(xié)議主要有802.11ac、802.11n、802.11g等，如表1所示。

表1 常見802.11 協(xié)議標(biāo)準(zhǔn)

胖AP 和瘦AP 無線網(wǎng)絡(luò)模式AP 是（Wireless）Access Point 的縮寫，即（無線）訪問接入點(diǎn)。根據(jù)無線網(wǎng)絡(luò)中AP 框架模式的不同，可將無線網(wǎng)絡(luò)大致分為基于控制器的AP 架構(gòu)（瘦AP，F(xiàn)it AP）和獨(dú)立AP 架構(gòu)（胖AP，F(xiàn)at AP）兩種網(wǎng)絡(luò)模式。

胖AP 無線網(wǎng)絡(luò)模式，典型的例子是使用無線路由器（用于用戶上網(wǎng)、帶有無線覆蓋功能的路由器）。此無線路由器除了無線接入功能外，大多還支持DHCP 服務(wù)器、DNS 和MAC 地址克隆，以及VPN 接入、防火墻等安全功能。

瘦AP 無線網(wǎng)絡(luò)模式，典型的例子是使用無線網(wǎng)絡(luò)控制器、瘦無線接入點(diǎn)（簡稱瘦AP，F(xiàn)it AP）來構(gòu)建無線網(wǎng)絡(luò)。瘦AP 主要保留了無線路由器的無線電射頻的部分，其目的是將無線用戶接入無線網(wǎng)絡(luò)中，而無線網(wǎng)絡(luò)控制器在瘦AP無線網(wǎng)絡(luò)中起的是管理中心的作用，它通過加密隧道與瘦AP 建立通信，并全面控制瘦AP。瘦AP 本身并不保存配置，只有受到無線網(wǎng)絡(luò)控制器的控制才能工作，所有用戶的連接、訪問、認(rèn)證、權(quán)限、安全的信息都通過無線網(wǎng)絡(luò)控制器集中管理。

胖AP 無線網(wǎng)絡(luò)模式和瘦AP 無線網(wǎng)絡(luò)模式特性對比如表2所示，其框架結(jié)構(gòu)圖如圖1所示。

網(wǎng)絡(luò)安全管理校園網(wǎng)在學(xué)校日常工作和教學(xué)中有著十分重要的作用，無線網(wǎng)絡(luò)在豐富和擴(kuò)展校園網(wǎng)絡(luò)的同時，由于無線網(wǎng)絡(luò)傳輸媒介固有的開放性、無線終端的動態(tài)性等，給系統(tǒng)帶來一定的安全風(fēng)險(xiǎn)。如果盜用無線網(wǎng)絡(luò)賬號、入侵校內(nèi)服務(wù)器、非法使用網(wǎng)絡(luò)、濫用網(wǎng)絡(luò)資源和訪問非法站點(diǎn)等問題，學(xué)校沒有有效的技術(shù)手段來進(jìn)行管理，就可能會給學(xué)校正常的教育教學(xué)活動、校園網(wǎng)絡(luò)安全等帶來嚴(yán)重的影響，這在組建網(wǎng)絡(luò)時需要進(jìn)行充分考慮。

表2 胖AP 無線網(wǎng)絡(luò)模式和瘦AP 無線網(wǎng)絡(luò)模式特性對比

對于無線網(wǎng)絡(luò)來說，其基本安全技術(shù)包括了訪問控制、數(shù)據(jù)加密，以及相關(guān)的無線熱圖、定位和探針等。為了確保拓展了無線網(wǎng)絡(luò)功能的校園網(wǎng)絡(luò)安全、穩(wěn)定、高效運(yùn)行，還需要結(jié)合有線網(wǎng)絡(luò)的身份認(rèn)證、防火墻、入侵檢測和上網(wǎng)行為審計(jì)等技術(shù)手段，從而全面掌握網(wǎng)絡(luò)運(yùn)行的狀態(tài)。通過有線無線一體化管理，使網(wǎng)絡(luò)整體運(yùn)行安全可靠。

3 北京市應(yīng)用高級技工學(xué)校無線網(wǎng)絡(luò)建設(shè)方案

學(xué)校原網(wǎng)絡(luò)拓?fù)浜蜔o線網(wǎng)絡(luò)建設(shè)需求北京市應(yīng)用高級技工學(xué)校北校區(qū)現(xiàn)有教學(xué)樓1 棟、綜合樓1 棟，建筑面積5000 余平方米。其中，教學(xué)樓共3 層，有標(biāo)準(zhǔn)教室12 間，專業(yè)教室9 間，辦公室18 間；綜合樓6 層，有標(biāo)準(zhǔn)教室3 間，專業(yè)教室3 間，辦公室2 間，學(xué)生宿舍61 間，數(shù)據(jù)如表3所示。

原樓內(nèi)建設(shè)有線校園網(wǎng)絡(luò)，現(xiàn)需要進(jìn)行無線網(wǎng)絡(luò)改造，建成一個覆蓋兩棟樓宇的無線網(wǎng)絡(luò)，教室、專業(yè)教室、辦公室、學(xué)生宿舍均要求無線網(wǎng)絡(luò)覆蓋，且教室及專業(yè)教室均需達(dá)到全班學(xué)生同時上網(wǎng)、教師無線廣播教學(xué)的使用密度要求。

表3 胖AP 無線網(wǎng)絡(luò)模式和瘦AP 無線網(wǎng)絡(luò)模式特性對比

表4 校園網(wǎng)用戶權(quán)限管理

同時，學(xué)校無線網(wǎng)絡(luò)SSID 統(tǒng)一設(shè)為“BJYY”進(jìn)行漫游，根據(jù)用戶類別分為“STU”“TEACHER”“GUEST”三類，配置不同的網(wǎng)絡(luò)訪問權(quán)限（如表4所示），用戶可在教學(xué)樓和綜合樓內(nèi)各樓層進(jìn)行無障礙網(wǎng)絡(luò)漫游，其具體應(yīng)用大致分為電子教學(xué)（無線多媒體教室）、移動辦公和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分。

需求分析及技術(shù)方案初選本例中，受學(xué)校教學(xué)環(huán)境及無線客戶端數(shù)量密度的要求，需要通過部署多臺AP 設(shè)備，以滿足大范圍無線覆蓋及漫游需要。如果采用胖AP 無線網(wǎng)絡(luò)模式，各個胖AP（無線路由器）獨(dú)立運(yùn)行，其無線密碼管理之類需要逐一登錄設(shè)備進(jìn)行配置，不安全也不方便，同時距離較近的多臺胖AP 設(shè)備還時常沖突，影響整網(wǎng)的正常使用。此外，對于使用者來說，每個胖AP 都處于孤立狀態(tài)，可能換一個地方就重新選擇一個無線，再進(jìn)行連接，非常繁瑣，而且效果較差。因此，本方案宜采用瘦AP 無線網(wǎng)絡(luò)模式，使用無線網(wǎng)絡(luò)控制器、瘦無線接入點(diǎn)來構(gòu)建無線網(wǎng)絡(luò)。

考慮到學(xué)校無線網(wǎng)絡(luò)應(yīng)用包含大量多媒體信息，需能夠支持電子教室廣播教學(xué)等業(yè)務(wù)，校園無線網(wǎng)絡(luò)采用802.11n或802.11ac技術(shù)，提供高帶寬、高質(zhì)量的WLAN服務(wù)。

同時，校園無線網(wǎng)絡(luò)在校園有線網(wǎng)絡(luò)基礎(chǔ)上建設(shè)，無線網(wǎng)絡(luò)除了設(shè)置訪問控制、數(shù)據(jù)加密等安全技術(shù)外，通過有線無線一體化管理，部署、共用有線網(wǎng)絡(luò)的用戶管理系統(tǒng)，實(shí)現(xiàn)用戶認(rèn)證、行為審計(jì)和管理。

確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)校園網(wǎng)原有線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、采用的無線網(wǎng)絡(luò)模式及用戶需求等情況，確定無線網(wǎng)絡(luò)建設(shè)后校園網(wǎng)整體框架拓?fù)浣Y(jié)構(gòu)，如圖2所示。

表5 設(shè)備選型對照表

該網(wǎng)絡(luò)框架結(jié)構(gòu)，由無線瘦AP 直接轉(zhuǎn)發(fā)式組網(wǎng)，無線用戶數(shù)據(jù)直接在瘦AP 上完成IEEE 802.3 和IEEE 802.11報(bào)文轉(zhuǎn)換，通過上行匯聚交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。該方式無線用戶業(yè)務(wù)數(shù)據(jù)無需經(jīng)過無線網(wǎng)絡(luò)控制器AC 集中處理，基本無帶寬瓶頸，而且便于繼承現(xiàn)有有線網(wǎng)絡(luò)的安全策略，實(shí)現(xiàn)有線、無線網(wǎng)絡(luò)部署的融合。

設(shè)備選型根據(jù)學(xué)校教學(xué)樓和綜合樓的建筑平面圖和現(xiàn)場情況，確定無線AP 的部署位置和點(diǎn)數(shù)，接下來就可以進(jìn)行無線設(shè)備的選型了。由于無線局域網(wǎng)技術(shù)發(fā)展相對較快，不同廠商產(chǎn)品較多，如華為、思科、銳捷等大廠商都有比較成型的產(chǎn)品，也各有特色，如表5所示。

因?qū)W校原有線校園網(wǎng)絡(luò)有部分銳捷的網(wǎng)絡(luò)設(shè)備，為便于統(tǒng)一管理和維修維護(hù)，采用銳捷的無線設(shè)備，其整體價(jià)格也比較合理。

此外，為了便于網(wǎng)管人員對全網(wǎng)設(shè)備信息和狀態(tài)的掌控，對無線網(wǎng)絡(luò)中的無線控制器和無線接入點(diǎn)等設(shè)備與有線網(wǎng)絡(luò)設(shè)備進(jìn)行一體化集中管理，學(xué)校還部署了銳捷的RGSNC（智能網(wǎng)絡(luò)指揮官）軟件系統(tǒng)，將網(wǎng)絡(luò)拓?fù)涔芾?、網(wǎng)絡(luò)實(shí)時數(shù)據(jù)流量、事件監(jiān)控、網(wǎng)絡(luò)診斷與無線狀態(tài)管控、無線射頻管理、無線定位管理等進(jìn)行整合；RG-SAM（網(wǎng)絡(luò)身份認(rèn)證）軟件系統(tǒng)，對有線、無線、遠(yuǎn)程VPN 等不同接入方式的用戶分“STU”“TEACHER”“GUEST”三類統(tǒng)一進(jìn)行認(rèn)證、接入控制、計(jì)費(fèi)、日志管理。

4 結(jié)論

綜上所述，學(xué)校開展的無線校園網(wǎng)絡(luò)建設(shè)，宜與原有線校園網(wǎng)相互配合，根據(jù)學(xué)校教學(xué)和管理需要，選擇適合的技術(shù)和產(chǎn)品，為師生提供高效、方便的網(wǎng)絡(luò)接入。具體在方案選擇時需要注意：

1）從技術(shù)發(fā)展及網(wǎng)絡(luò)應(yīng)用需要考慮，校園無線網(wǎng)絡(luò)宜采用802.11n 及以上的技術(shù)標(biāo)準(zhǔn)；

2）校園無線網(wǎng)絡(luò)宜采用基于無線控制器的瘦AP 系統(tǒng)架構(gòu)，滿足可管理、安全、QoS、漫游等功能要求；

3）AP 的選型及數(shù)量應(yīng)根據(jù)場地環(huán)境條件、可能并發(fā)的無線終端數(shù)、性價(jià)比等多方面進(jìn)行合理設(shè)置；

4）校園無線網(wǎng)絡(luò)部署時應(yīng)注意與原有線網(wǎng)絡(luò)部分融合，通過有線無線一體化管理，統(tǒng)一對用戶認(rèn)證、管理和審計(jì)等，使網(wǎng)絡(luò)整體運(yùn)行安全可靠。

[1]802.11[EB/OL].http://baike.baidu.com/view/345218.htm.

[2]張鳳生.構(gòu)建h3c 無線局域網(wǎng)絡(luò)實(shí)訓(xùn)指導(dǎo)教程（h3c 授權(quán)網(wǎng)絡(luò)學(xué)院教程系列）[M].北京:清華大學(xué)出版社，2013.