作者/許彥佳,河源理工學(xué)校
淺析校園無(wú)線網(wǎng)絡(luò)的部署—基于銳捷網(wǎng)絡(luò)解決方案
作者/許彥佳,河源理工學(xué)校
隨著中職校園無(wú)線客戶端的增多,傳統(tǒng)有線網(wǎng)絡(luò)已經(jīng)難再滿足校園網(wǎng)用戶的使用需求,如何建設(shè)完善的無(wú)線校園網(wǎng)成為目前傳統(tǒng)校園網(wǎng)升級(jí)改造面臨的問(wèn)題,新建無(wú)線校園網(wǎng)要能夠提供全區(qū)域的信號(hào)覆蓋和數(shù)據(jù)接入服務(wù),給學(xué)校師生帶來(lái)更便利和舒適的用網(wǎng)體驗(yàn)。
無(wú)線校園網(wǎng);需求分析;部署策略;無(wú)線控制器;AP
隨著校園信息化建設(shè)的發(fā)展以及辦學(xué)規(guī)模的壯大,傳統(tǒng)的有線網(wǎng)絡(luò)已經(jīng)不能夠滿足校園網(wǎng)用戶的使用需求。以河源理工學(xué)校(下面簡(jiǎn)稱“我?!保槔接懭绾卧谠瓉?lái)有線網(wǎng)絡(luò)的基礎(chǔ)上規(guī)劃設(shè)計(jì)無(wú)線網(wǎng)絡(luò),如何為校區(qū)提供無(wú)線信號(hào)覆蓋以及數(shù)據(jù)接人業(yè)務(wù),讓師生們體驗(yàn)到無(wú)線校園給學(xué)習(xí)生活帶來(lái)的便利。
建設(shè)無(wú)線校園網(wǎng)之前應(yīng)當(dāng)詳細(xì)的分析校園信息化應(yīng)用以及校園網(wǎng)用戶對(duì)于無(wú)線網(wǎng)絡(luò)的使用需求。下面結(jié)合我校的實(shí)際情況和無(wú)線校園網(wǎng)的部署經(jīng)驗(yàn),簡(jiǎn)單分析無(wú)線校園網(wǎng)需要滿足的條件。
1.1 網(wǎng)絡(luò)架構(gòu)需求
網(wǎng)絡(luò)架構(gòu)應(yīng)結(jié)合校園網(wǎng)的實(shí)際情況來(lái)設(shè)計(jì),如果是新建無(wú)線網(wǎng)絡(luò)應(yīng)該獨(dú)立于現(xiàn)有的有線網(wǎng)絡(luò),即形成有線、無(wú)線兩套物理獨(dú)立網(wǎng)絡(luò),兩套網(wǎng)絡(luò)在物理鏈路上隔離,只在核心設(shè)備上建立通信聯(lián)系,這樣可以保證新建無(wú)線校園網(wǎng)是一個(gè)穩(wěn)定可靠、可擴(kuò)展的獨(dú)立網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí),在網(wǎng)絡(luò)技術(shù)上應(yīng)選擇集中式管理方式,即無(wú)線控制器AC+無(wú)線AP的架構(gòu),先將無(wú)線AP通過(guò)校園網(wǎng)的接入層POE交換機(jī)設(shè)備接入,再利用無(wú)線控制器AC將所有的無(wú)線AP進(jìn)行統(tǒng)一的控制和管理,增強(qiáng)整個(gè)無(wú)線校園網(wǎng)絡(luò)的可管理性。
1.2 信號(hào)覆蓋方式需求
以我校為例,整個(gè)校園分為兩大區(qū)域:教學(xué)區(qū)和生活區(qū),其中教學(xué)區(qū)主要包括綜合樓、教學(xué)樓、實(shí)訓(xùn)中心、圖書館等為師生教學(xué)服務(wù)的轄區(qū),而生活區(qū)則包括宿舍、食堂、運(yùn)動(dòng)場(chǎng)等為師生生活提供服務(wù)的場(chǎng)所。不同區(qū)域的無(wú)線網(wǎng)絡(luò)需求也是不同的,這些不同包括無(wú)線網(wǎng)絡(luò)使用的時(shí)間,建筑的結(jié)構(gòu)以及用戶的密集程度。因?yàn)檫@種需求上的區(qū)別,對(duì)于無(wú)線網(wǎng)絡(luò)在信號(hào)覆蓋方式上的要求也是不同的,如會(huì)議室、圖書館等相對(duì)空闊的場(chǎng)景在無(wú)線網(wǎng)絡(luò)的信號(hào)覆蓋范圍以及技術(shù)選擇上肯定要區(qū)別于宿舍樓,這些因素都是我們?cè)诮ㄔO(shè)無(wú)線校園網(wǎng)之前要考慮清楚的。
1.3 安全性需求
安全性是網(wǎng)絡(luò)建設(shè)上非常重要的需求,無(wú)線網(wǎng)絡(luò)具有使用便捷靈活、易于擴(kuò)展等優(yōu)點(diǎn),但是由于無(wú)線網(wǎng)絡(luò)的信道開放的特點(diǎn),使得攻擊者能夠很容易的進(jìn)行竊聽,惡意修改并轉(zhuǎn)發(fā),因此安全性成為阻礙無(wú)線校園網(wǎng)發(fā)展的重要因素。雖然校園對(duì)無(wú)線局域網(wǎng)需求不斷增長(zhǎng),但同時(shí)許多校園用戶對(duì)無(wú)線局域網(wǎng)的安全防護(hù)存在擔(dān)憂,因此在建設(shè)無(wú)線校園網(wǎng)之前我們要充分考慮到無(wú)線網(wǎng)絡(luò)的安全。若原來(lái)有線網(wǎng)絡(luò)系統(tǒng)已經(jīng)具備多種安全防御能力,建成的無(wú)線網(wǎng)絡(luò)首先必須融合進(jìn)原有網(wǎng)絡(luò)安全解決方案體系中,并根據(jù)無(wú)線網(wǎng)絡(luò)的安全技術(shù)特征,補(bǔ)充為具有多層次的安全保護(hù)措施,以滿足用戶身份鑒別、訪問(wèn)控制和保密性等要求。
為了阻止非授權(quán)用戶訪問(wèn)無(wú)線網(wǎng)絡(luò)以及防止對(duì)無(wú)線局域網(wǎng)數(shù)據(jù)流的非法偵聽,無(wú)線網(wǎng)絡(luò)要具有相應(yīng)的安全手段,主要包括:服務(wù)區(qū)標(biāo)識(shí)符( SSID)匹配、有線等效保密( WEP)、二層隔離、WPA支持、流氓AP的鑒別和防護(hù)等。
1.4 訪問(wèn)速度與認(rèn)證計(jì)費(fèi)需求
如今校園網(wǎng)絡(luò)應(yīng)用囊括了視頻點(diǎn)播、微課學(xué)習(xí)等高帶寬應(yīng)用業(yè)務(wù),這些應(yīng)用需要用戶具備更高的網(wǎng)絡(luò)帶寬和訪問(wèn)速度。在無(wú)線網(wǎng)絡(luò)的建設(shè)工程中,我們要考慮網(wǎng)絡(luò)訪問(wèn)速度的需求,選擇最為先進(jìn)且可擴(kuò)展的無(wú)線網(wǎng)絡(luò)技術(shù),以滿足無(wú)線校園網(wǎng)今后在高帶寬應(yīng)用上的需求。
目前我校有線網(wǎng)絡(luò)采用的是L2TP寬帶撥號(hào)校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng),校內(nèi)學(xué)生登陸訪問(wèn)校外網(wǎng)絡(luò)時(shí),由網(wǎng)關(guān)進(jìn)行認(rèn)證,同時(shí)進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。在部署無(wú)線網(wǎng)絡(luò)之后,我們依然采用學(xué)校原有的認(rèn)證系統(tǒng),同時(shí)對(duì)校內(nèi)的有線網(wǎng)和無(wú)線網(wǎng)進(jìn)行認(rèn)證計(jì)費(fèi),并能夠在認(rèn)證方面與原有的有線網(wǎng)絡(luò)認(rèn)證體系完全融合,對(duì)認(rèn)證用戶完全透明,不增加用戶的認(rèn)證次數(shù)和復(fù)雜性,同時(shí)還保證無(wú)線用戶入網(wǎng)即認(rèn)證的目的,便于控制無(wú)線用戶的安全訪問(wèn)和與有線網(wǎng)絡(luò)的認(rèn)證賬號(hào)統(tǒng)一性。
充分了解校園無(wú)線網(wǎng)絡(luò)的需求分析后,便可以規(guī)劃詳細(xì)的無(wú)線校園網(wǎng)部署方案,以下根據(jù)我校無(wú)線校園網(wǎng)實(shí)際案例進(jìn)行探討。
2.1 無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)
校園無(wú)線網(wǎng)絡(luò)一般可分為核心層、接入層和無(wú)線覆蓋層三部分。我校無(wú)線網(wǎng)絡(luò)核心層采用無(wú)線控制器(AC)作為所有無(wú)線發(fā)射端AP(銳捷AP—220—E)集中控制單元,通過(guò)萬(wàn)兆鏈路連接到核心交換機(jī)上;接入層再將AP以及供電單元的POE交換機(jī)分布安放在各個(gè)樓宇中,并通過(guò)萬(wàn)兆鏈路上聯(lián)到核心交換機(jī);無(wú)線覆蓋層通過(guò)AP發(fā)射不同頻段無(wú)線信號(hào),為用戶無(wú)線終端提供接入途徑。另外無(wú)線網(wǎng)絡(luò)冗余設(shè)計(jì)可采用銳捷RG—WS5708 兩臺(tái)無(wú)線控制器,其支持主備工作方式,可以實(shí)現(xiàn)無(wú)線控制器AC 1+1的備份:即一臺(tái) RG—WS5708 作為為主控制器,另外一臺(tái)RG—WS5708作為備份控制器,并且只有主控制器會(huì)接受AP的注冊(cè)請(qǐng)求,如圖1所示。
圖1 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)拓?fù)?/p>
2.2 無(wú)線網(wǎng)絡(luò)轉(zhuǎn)發(fā)規(guī)劃
建設(shè)校園無(wú)線網(wǎng)絡(luò)需要規(guī)劃好無(wú)線數(shù)據(jù)轉(zhuǎn)發(fā)方式,一種是集中轉(zhuǎn)發(fā)方式,即無(wú)線AP與無(wú)線AC通過(guò)CAPWAP建立隧道,將無(wú)線數(shù)據(jù)在隧道中封裝,將802.11的無(wú)線數(shù)據(jù)封裝后,轉(zhuǎn)發(fā)到AC 上,AC經(jīng)過(guò)802.11到802.3數(shù)據(jù)包轉(zhuǎn)換,轉(zhuǎn)換為可以在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)幀格式;另一種是分布轉(zhuǎn)發(fā)方式,就是無(wú)線AP根據(jù)數(shù)據(jù)包的SSID和VALN等信息,自動(dòng)區(qū)分?jǐn)?shù)據(jù)包,在AP本地進(jìn)行802.11到802.3的數(shù)據(jù)包的轉(zhuǎn)發(fā),特定SSID的數(shù)據(jù)不再經(jīng)過(guò)AC統(tǒng)一集中轉(zhuǎn)發(fā)。
這兩種轉(zhuǎn)發(fā)方式有著不同的應(yīng)用場(chǎng)景,針對(duì)音視頻等需要低延遲轉(zhuǎn)發(fā)的數(shù)據(jù),可以采用分布式的轉(zhuǎn)發(fā),無(wú)線數(shù)據(jù)可以就近從接入交換機(jī)上轉(zhuǎn)發(fā),而不用必須經(jīng)過(guò)AC集中轉(zhuǎn)發(fā),尤其是在802.11n的大容量的接入數(shù)據(jù)應(yīng)用上,分布式的轉(zhuǎn)發(fā)具有更高的處理牲能。
針對(duì)高安全性的數(shù)據(jù)建議采用集中式的轉(zhuǎn)發(fā),例如學(xué)校的辦公系統(tǒng)、教職工信息等數(shù)據(jù),必須要上傳到AC,有AC進(jìn)行安全驗(yàn)證后,才可正常轉(zhuǎn)發(fā),如圖2所示。
圖2 無(wú)線網(wǎng)絡(luò)轉(zhuǎn)發(fā)模式
2.3 無(wú)線覆蓋規(guī)劃
我校作為大型中職校園,占地約40萬(wàn)平方米,目前覆蓋了部分辦公和生活區(qū)域的無(wú)線網(wǎng)絡(luò)。為保證無(wú)線網(wǎng)絡(luò)可用性與穩(wěn)定性,無(wú)線信號(hào)覆蓋區(qū)域信號(hào)強(qiáng)度應(yīng)不低于—80dBm,信噪比SNR≥20,業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps。
根據(jù)我校的場(chǎng)景和經(jīng)費(fèi)情況,無(wú)線部署上采用放裝區(qū)域、智分區(qū)域兩類。首先是放裝區(qū)域,例如我校的會(huì)議室、教室、圖書館、飯?zhí)玫瓤諘鐓^(qū)域,由于空間比較寬闊,有利于信號(hào)的傳播,所以可以選用傳統(tǒng)的放裝式AP部署方案,即將AP安裝在室內(nèi)固定的位置上,直接發(fā)射信號(hào)覆蓋整個(gè)房間。
圖3 銳捷網(wǎng)絡(luò)無(wú)線智分解決方案
其次是智分區(qū)域,即綜合樓、宿舍樓等房間密集,且用戶集中的區(qū)域。如果這些區(qū)域選擇放裝式的部署方案就會(huì)出現(xiàn)問(wèn)題,如按房間放置AP則會(huì)造成AP間的信道串?dāng)_,若在樓道內(nèi)放置AP又會(huì)造成無(wú)線信號(hào)覆蓋不均勻。因此針對(duì)房間密集的區(qū)域,我們選擇的是智分式的無(wú)線部署方案,即每個(gè)AP通過(guò)智分天線引至固定數(shù)量房間,從而減少AP的數(shù)量,同時(shí)又保證了每個(gè)房間的信號(hào)覆蓋強(qiáng)度一致。 這種場(chǎng)景方案主要采取小功率室內(nèi) AP 與饋線和美化天線結(jié)合,采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的“i—Share”技術(shù),可以實(shí)現(xiàn)從AP 到房間的“一分多”部署模式,滿足該類場(chǎng)景中對(duì)性能、覆蓋和美化效果的需求,適用于復(fù)雜密集的環(huán)境,如圖3所示。
表1
2.4 無(wú)線網(wǎng)絡(luò)的安全設(shè)計(jì)
基于校園無(wú)線網(wǎng)絡(luò)的集中常見(jiàn)安全問(wèn)題,在建設(shè)無(wú)線校園網(wǎng)時(shí)應(yīng)綜合考慮無(wú)線安全技術(shù),在無(wú)線網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)應(yīng)進(jìn)行相應(yīng)的安全保護(hù)、數(shù)據(jù)加密、身份認(rèn)證等安全手段,實(shí)現(xiàn)全方位無(wú)線安全防護(hù)體系。我校無(wú)線網(wǎng)絡(luò)的安全設(shè)計(jì)方案如表1所示。
隨著教育信息化以及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,中職校園的基礎(chǔ)網(wǎng)絡(luò)建設(shè)必將也隨之改革發(fā)展,而建設(shè)無(wú)線網(wǎng)絡(luò)將是未來(lái)一大趨勢(shì)之一。作為有線網(wǎng)絡(luò)的補(bǔ)充,無(wú)線網(wǎng)絡(luò)的應(yīng)用拓展了校園網(wǎng)的使用范圍,提高了效率、方便了管理。只有充分理解建設(shè)無(wú)線網(wǎng)絡(luò)的目的與意義,采用合適的部署方案,有的放矢,才能建設(shè)一套穩(wěn)定、高效、安全的校園無(wú)線網(wǎng)絡(luò)。
* [1]顏汝南.高校無(wú)線網(wǎng)絡(luò)規(guī)劃與部署—以海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院為例[J].信息與電腦,2015
* [2]孫浩峰.網(wǎng)絡(luò)運(yùn)維與管理2016[M].北京:電子工業(yè)出版社.2016
* [3]王剛耀.網(wǎng)絡(luò)運(yùn)維親歷記[M].北京:清華大學(xué)出版社.2016