◆吳坤旭

?

一種簡便高效校園無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計與實現(xiàn)

◆吳坤旭

（海南職業(yè)技術(shù)學院 海南 570216）

現(xiàn)國內(nèi)的高校校園網(wǎng)大多數(shù)都已經(jīng)部署有線網(wǎng)絡(luò)全覆蓋，隨著互聯(lián)網(wǎng)與移動終端設(shè)備的發(fā)展，無線網(wǎng)絡(luò)WIFI需求也日益增多，移動終端接入互聯(lián)網(wǎng)將是主流，所以在設(shè)計無線網(wǎng)絡(luò)接入的方案時，要保證對原有的有線網(wǎng)絡(luò)的充分利用及兼容性，避免資源浪費及重復建設(shè)；要保證現(xiàn)有技術(shù)到下一代新型網(wǎng)絡(luò)技術(shù)的有效過渡。本文從校園無線網(wǎng)絡(luò)使用的特點以及無線網(wǎng)絡(luò)建設(shè)中普遍存在的問題出發(fā)，講述了如何建設(shè)簡便高效、穩(wěn)定的校園無線網(wǎng)絡(luò)。

校園網(wǎng)；無線網(wǎng)絡(luò)；WLAN；WIFI

0 引言

隨著教師和學生對高校校園網(wǎng)的使用增加，校園WIFI已成為廣大師生們的新需求。但是，現(xiàn)有的有線校園網(wǎng)存在移動終端不能隨時地隨地連接，在食堂、圖書館等許多不方便網(wǎng)絡(luò)布線的場所如何快速聯(lián)網(wǎng)？在公共場合人流量多的情況下如何解決網(wǎng)絡(luò)流量的限制、高數(shù)量、高密度的問題？這就需要我們在利用現(xiàn)有三層網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上充分利用可網(wǎng)管交換機接入無線網(wǎng)絡(luò)來解決。

本文以某高校計劃升級行政樓的無線網(wǎng)絡(luò)為例，實現(xiàn)無線信號全方位覆蓋，為移動辦公提供穩(wěn)定高速的接入。

1 需求分析

1.1 前言

某高校行政樓共有8個樓層，辦公室數(shù)量約150，辦公人數(shù)約250人，每層一個弱電間，放置接入交換機，通過二樓弱電間的匯聚交換機匯聚后，接入處于學校中心機房的核心交換機。

目前無線部署方式為：每個樓層在走廊上部署幾臺無線AP，一個AP對幾個房間進行信號覆蓋。該部署方式下，無線信號入室需要穿門窗或穿墻，穿墻后的信號較弱；離走廊AP較遠的房間，無線信號強度非常弱，手機接入斷斷續(xù)續(xù)存在問題；無線網(wǎng)絡(luò)穩(wěn)定性不佳，偶爾會出現(xiàn)無線網(wǎng)絡(luò)無法接入的情況。

1.2 實現(xiàn)目標

（1）房間信號無死角、全方位覆蓋；

（2）信號穩(wěn)定可靠；

（3）高性能高速率接入；

（4）筆記本對接收到信號的強度要求在-70dBm以上，手機對接收到信號的強度在要求-65dBm以上；

（5）部署無線控制器AC，通過圖形界面報表的方式，便捷的管理維護所有AP，快速定位故障。

2 網(wǎng)絡(luò)解決方案

2.1 行政樓網(wǎng)絡(luò)拓撲圖

行政樓網(wǎng)絡(luò)拓撲圖如圖1所示。

圖1 行政樓網(wǎng)絡(luò)拓撲圖

每個樓層的AP，通過樓層接入中興2928交換機接入網(wǎng)絡(luò)。所有樓層交換機接入到七樓匯聚交換機后，通過光纖接入圖書館的中心機房中興8905核心交換機上，由核心交換機分配IP地址和VLAN，各層的中興2928交換機配置兩口給無線AP接口專用。

2.2 無線網(wǎng)絡(luò)總體設(shè)計

整個無線網(wǎng)絡(luò)采用TP-LINK TL-AP452C-PoE 450M無線吸頂式AP + 無線AC控制器（TP-Link） + TL-AC200的架構(gòu)，在核心交換機設(shè)置一臺無線控制器AC，統(tǒng)一集中管理所有無線AP。

所有的配置更改、策略變動，都通過在AC上修改對應(yīng)AP群組的profile后，直接下發(fā)給所有AP，而無須一臺臺地登錄AP，重復配置。

在AP + AC的架構(gòu)下，可實現(xiàn)AP之間的用戶的負載均衡，公平占用調(diào)度，信號的自動補償，抑制非法AP等功能。

2.3 關(guān)鍵技術(shù)

一個高可用、高穩(wěn)定、高安全、易管理、易擴展、易使用的無線校園網(wǎng)絡(luò)與基礎(chǔ)設(shè)施平臺，通過支持新一代的802.11N和 802.11ac標準，實現(xiàn)有線無線網(wǎng)絡(luò)的融合及無縫高速覆蓋，對學校網(wǎng)絡(luò)設(shè)備資源充分利用和共享，為學校無線設(shè)備投入節(jié)約經(jīng)費。

要求全方位無死角的覆蓋行政樓的每個辦公室。對于筆記本，信號強度應(yīng)大于-70dBm，對于手機、平板電腦等無線終端，信號強度應(yīng)大于-60dBm。

全網(wǎng)使用雙頻段部署，相鄰房間的AP之間使用2、7、11信道交叉部署。

2.4 無線接入性能

要求結(jié)合業(yè)務(wù)、終端、用戶密度等方面的實際情況，完善基礎(chǔ)設(shè)施，基本形成覆蓋全校的高速無線網(wǎng)絡(luò)。

802.11n天線最高性能300Mbps提供向下兼容，保證所有終端都可接入網(wǎng)絡(luò)；802.11ac天線最高性能可達866Mbps，滿足多用戶、高清視頻等應(yīng)用需要的高性能。

2.5 無線接入認證

無線接入認證主要使用WPA/WPA2加密方式配合強密碼實現(xiàn)，密碼的校內(nèi)OA平臺公布。

2.6 無線網(wǎng)絡(luò)安全

要求網(wǎng)絡(luò)建設(shè)中充分考慮無線安全的特殊性，減少或避免信息泄露、干擾用戶使用的各種問題風險。

我們將通過以下方法確保無線網(wǎng)絡(luò)安全：

（1）AP和AC的管理網(wǎng)段與業(yè)務(wù)網(wǎng)段在接入層交換端口上做VLAN隔離；管理數(shù)據(jù)走trunk模式隧道，業(yè)務(wù)數(shù)據(jù)access模式本地轉(zhuǎn)發(fā)，避免業(yè)務(wù)網(wǎng)段的二層攻擊影響到設(shè)備管理；

（2）無線用戶之間二層安全隔離；

（3）WPA/WPA2加密方式配合強密碼；

（4）管理vlan與業(yè)務(wù)vlan分離，管理網(wǎng)段與業(yè)務(wù)網(wǎng)段分離；

（5）縮小某些區(qū)域的AP功率，保證AP覆蓋可用范圍在辦公區(qū)內(nèi)，防止無線技術(shù)攻擊；

（6）設(shè)置用戶白名單，只允許授權(quán)用戶接入網(wǎng)絡(luò)。

2.7 無線網(wǎng)絡(luò)管理

為保障信息平臺的穩(wěn)定運行，通過功能齊全、管理科學的信息系統(tǒng)運維解決方案，以實現(xiàn)對無線AP的狀態(tài)和性能進行分析管理，統(tǒng)一的監(jiān)控策略、統(tǒng)一告警策略、統(tǒng)一視圖管理等功能。具體方式：

（1）AC統(tǒng)一管理下發(fā)配置，管理數(shù)據(jù)走capwap隧道；

（2）AP配合AC提供無線頻譜分析；

（3）在AC控制管理器可上記錄每個AP的IP地址、MAC地址、關(guān)聯(lián)的終端IP、MAC、數(shù)量、接入時長等；

（4）使用AP的遠程探針模塊收集到的信息，如環(huán)境溫度，附近的AP數(shù)量，無線終端的信號強度，進行遠程管理監(jiān)控，分析問題。

2.8 無線部署方案

2.8.1部署方式

通過TP-LINK TL-AP452C-PoE 450M無線吸頂式AP、放裝式AP綜合使用的方式來部署無線網(wǎng)絡(luò)，接入點就近接入層樓層的接入層交換機，由POE供電模塊供電，其中，處于邊緣的階梯教室不進行無線覆蓋。

2.8.2 AP點位圖

無線網(wǎng)絡(luò)部署點位圖如表1所示。

表1 無線網(wǎng)絡(luò)部署點位

2.8.3 IP地址與vlan規(guī)劃

IP地址與vlan規(guī)劃如表2所示。

表2 IP地址與vlan規(guī)劃

2.8.4無線網(wǎng)絡(luò)設(shè)備配置方案

無線網(wǎng)絡(luò)設(shè)備配置方案如表3所示。

3 方案特色

（1）行政樓辦公室內(nèi)的無線WIFI信號全覆蓋，主要會議室場無線WIFI信號全覆蓋；利用現(xiàn)有有線網(wǎng)絡(luò)設(shè)備的樓層接入層交換機作為接入點，無須重新部署有線網(wǎng)絡(luò)設(shè)備，分配交換機端口使用，節(jié)省無線設(shè)備、線路的部署成本；

（2）利用校園網(wǎng)核心交換機分配IP，統(tǒng)一分配帶寬；

（3）高可用性：AP采用內(nèi)置天線，美觀整潔，帶機量大，可根據(jù)實際環(huán)境，調(diào)節(jié)發(fā)射功率線性，合理調(diào)整AP發(fā)射功率，滿足辦公室之間的覆蓋需求。

（4）高可靠性：采用FIT AP分布式方案，AC控制器能夠動的態(tài)調(diào)整用戶在不同AP間的均勻分布接入，支持負載均衡，防止個別AP過載。

表3 無線網(wǎng)絡(luò)設(shè)備配置方案

（5）高拓展性：支持MAC認證、Portal認證、學校的實名上網(wǎng)認證系統(tǒng)等多種用戶接入認證方式。

（6）使用靈活：使用SSID綁定VLAN，可以靈活方便控制不同SSID的網(wǎng)絡(luò)的使用權(quán)限。

（7）便于部署：AP支持802.3af/at標準PoE網(wǎng)線供電，利用樓層接入交換機，布線距離短，取電方便，可吸頂式、壁掛式安裝。

（8）易管理性：配置好的網(wǎng)絡(luò)下，無線控制器AC管理可統(tǒng)一管理FTT AP，自動發(fā)現(xiàn)并統(tǒng)一管理AP，可實時查看AP運行狀態(tài)，用戶接入情況，方便網(wǎng)絡(luò)管理和運維。如圖2所示。

圖2 AP管理界面

4 結(jié)束語

本文通過對某高校目前的校園網(wǎng)、無線網(wǎng)建設(shè)及樓宇房間布局情況的進行了解分析，并結(jié)合無線網(wǎng)絡(luò)技術(shù)的新技術(shù)、應(yīng)用狀況和對不同無線廠家的設(shè)備進行對比后，做出簡易高效的無線網(wǎng)絡(luò)規(guī)劃與設(shè)計。在論文中涉及學校對無線網(wǎng)絡(luò)建設(shè)要求、目標以及拓撲結(jié)構(gòu)選擇，協(xié)助學校方案的實施，提出了組建無線校園網(wǎng)的必要性、可行性以及具體的組建方案。

[1]于雷，余兆明.高校校園無線局域網(wǎng)部署方案的分析研究[J].中國科技信息，2008.

[2]張圣，陳偉.基于WLAN技術(shù)的無線校園網(wǎng)組網(wǎng)研究[J].中國數(shù)據(jù)通信，2008.

[3]余智，湯旭翔.無線網(wǎng)絡(luò)在校園網(wǎng)中的應(yīng)用[J].計算機時代，2007.

[4]董春慶.無線網(wǎng)絡(luò)局域網(wǎng)技術(shù)及應(yīng)用[J].網(wǎng)絡(luò)世界，2007.

2014年度海南職業(yè)技術(shù)學院校級科研項目《構(gòu)建高速校園無線網(wǎng)絡(luò)的研究與實踐》(項目編號：HZY2014-7)。