校園無線網(wǎng)絡接入方案探討

莫順朝

（廣州財經(jīng)職業(yè)學校，廣東 廣州 510515）

校園無線網(wǎng)絡接入方案探討

莫順朝

（廣州財經(jīng)職業(yè)學校，廣東 廣州 510515）

隨著計算機網(wǎng)絡技術的發(fā)展，校園無線接入的需求日益增長，文章就當前網(wǎng)絡技術及學校應用情況，提出適合一般校園接入的方案設計，以求解決當前學校的實際問題。

校園網(wǎng)；無線網(wǎng)絡；網(wǎng)絡接入技術

計算機網(wǎng)絡誕生于20世紀60年代，經(jīng)歷了三十多年發(fā)展之后，到90年代呈現(xiàn)爆炸式發(fā)展，網(wǎng)絡迅速普及，各種網(wǎng)絡產(chǎn)品和服務不斷被推出。進入21世紀，計算機網(wǎng)絡持續(xù)變革，所有前沿研究領域均取得長足進展。IP接入網(wǎng)標準ITU-T Y.1231的推出，極大地促進了IP接入網(wǎng)技術的發(fā)展。其中，無線技術的成熟催生的高速無線接入網(wǎng)特別引人矚目。國內的“無線城市”建設正處于熱潮期，加入無線接入“俱樂部”的城市已達數(shù)十家。奧運會、世博會以及公共事業(yè)發(fā)展的需要，都成為國內無線接入網(wǎng)發(fā)展的強力“催化劑”。很多學校園區(qū)、寫字樓和小區(qū)公共區(qū)域等對于這種無線接入的需求也越來越緊迫。當前，很多學校教學區(qū)園區(qū)網(wǎng)絡主要以有線接入為主，尚未部署室外無線接入網(wǎng)絡。而隨著Wi-Fi技術的成熟，擁有Wi-Fi功能的筆記本電腦、手機等消費電子產(chǎn)品逐步普及，教師和學生對于無線接入的需求日益增長，為原有有線園區(qū)網(wǎng)絡提供無線接入功能變得非常有必要。

與傳統(tǒng)的有線接入網(wǎng)絡相比，無線接入網(wǎng)絡具有許多有線接入網(wǎng)絡所無法比擬的優(yōu)勢。

（1）經(jīng)濟：無線接入網(wǎng)的安裝、維護費用大大低于有線接入網(wǎng)絡，而且接入網(wǎng)費用與用戶距離無關，這在經(jīng)濟不發(fā)達地區(qū)尤顯其經(jīng)濟優(yōu)勢。

（2）能迅速提供業(yè)務：無線接入網(wǎng)安裝容易，建設周期短；而有線系統(tǒng)不僅建設周期長，而且要占用土地資源，施工接續(xù)困難，設備易遭人為破壞，還容易受到自然災害的影響。

（3）靈活：無線接入網(wǎng)靈活可變，不需要預知用戶位置，容量可大可小，易擴容。

（4）覆蓋面大：無線接入網(wǎng)在基站合理選址的情況下，可覆蓋達30公里以上的地域，從而優(yōu)化網(wǎng)絡結構，降低網(wǎng)絡投資。

無線接入網(wǎng)絡涉及多種無線接入技術。這些技術中有些存在功能或者定位上的重疊，由此也引發(fā)了許多關于這些技術的爭論。比較常見的是Wi-Fi與WiMAX之間的競爭、WiMAX與TD-SCDMA等3G技術的競爭。

Wi-Fi本是局域網(wǎng)技術，然而它的迅速發(fā)展導致目前無線城市建設普遍采用Wi-Fi技術，這與WiMAX的城域網(wǎng)定位沖突。因為Wi-Fi在覆蓋范圍和傳輸速率上都不及WiMAX，且本身存在一定的缺陷(干擾問題、QoS問題)，所以WiMAX將取代Wi-Fi的呼聲日益高漲。

WiMAX本身的問題在于，純WiMAX網(wǎng)絡建設的投入過大，在國內不僅要購買許可頻段，而且還要向國外購買技術專利。而且各廠商設備之間技術差距較大，設備之間的兼容性差。相比之下，使用公共頻段的Wi-Fi城域網(wǎng)的建設將便宜很多(雖然也伴隨著更多的信號干擾)。最主要的是：WiMAX的產(chǎn)業(yè)鏈畢竟不完善，用戶終端產(chǎn)品幾乎難覓蹤跡，而基于IEEE 802.11系列標準的無線網(wǎng)卡卻早已遍及各類數(shù)碼產(chǎn)品。

考慮到兩種技術各自的特點，可以將WiMAX與Wi-Fi結合起來。用戶利用Wi-Fi孤島接入，再使用WiMAX連接孤島完成熱點回傳，利用WiMAX的大范圍覆蓋和非視距傳輸，完全免去鋪線的高昂費用，解決鄉(xiāng)村偏遠地區(qū)的寬帶普及問題。由此可見，兩者之間的互補關系遠遠大于競爭關系。

一、Wi-Fi網(wǎng)絡架構

無線接入技術多種多樣，其中使用最多，也最為人們所熟知的是Wi-Fi技術。使用Wi-Fi技術可以搭建多種不同架構的無線接入網(wǎng)絡，適應多種應用環(huán)境。常見的Wi-Fi網(wǎng)絡架構主要有三種：自治式架構、集中式架構、分布式架構。

1.治式架構

在自治式架構中，AP(Access Point)完全部署和端接IEEE 802.11功能。因此，無線客戶端的數(shù)據(jù)進入有線局域網(wǎng)后的數(shù)據(jù)幀全部都是IEEE 802.3幀，每個AP都可以作為網(wǎng)絡上的一個單獨的網(wǎng)絡實體進行獨立的管理。這種網(wǎng)絡中的接入點被稱為Fat AP。在WLAN部署的發(fā)展初期，大部分AP都是自治式的AP，可以作為獨立的網(wǎng)絡實體進行管理。

2.中式架構

集中式架構是一種層次化的架構，包括一個負責配置、控制和管理多個AP的WLAN控制器。WLAN控制器也被稱為接入控制器(AC)。IEEE 802.11功能由AP和AC共同承擔。與自治式架構相比，這種模式中的AP的功能有所減弱，因此它們又被稱為“瘦AP”，AP上的部分功能是可變的。集中式架構的主要優(yōu)勢在于，對于企業(yè)中的多個AP，它能為網(wǎng)絡管理員提供一種結構化的、層次化的控制模式。

3.布式架構

在分布式架構中，不同的AP通過有線或者無線連接，與其他AP建立起分布式網(wǎng)絡。一個由AP組成的網(wǎng)狀網(wǎng)(Mesh網(wǎng)絡)就是這種架構的典型例子。網(wǎng)狀網(wǎng)中的AP可以與802.11鏈路或者有線802.3鏈路相連接。這種架構與集中式架構相比，有多個分布在不同區(qū)域的WLAN控制器，這些WLAN控制器之間有互相連接形成域控制器共同管理AP。分布式架構通常用在城市網(wǎng)絡部署之中，很多城市的無線城域網(wǎng)便是采用這種架構。

二、選擇適合的接入方案

無線接入網(wǎng)絡與傳統(tǒng)有線接入網(wǎng)絡的最大不同是：使用無線接入代替線纜接入，而對原有骨干網(wǎng)絡影響較小。根據(jù)具體接入需求的不同，選擇不同的無線接入方案。按照需要覆蓋環(huán)境區(qū)分，可分為以下四種方案：

（1）家庭、辦公室環(huán)境：這類區(qū)域通常需要覆蓋的面積不大，結構簡單。一般使用Wi-Fi技術，使用少數(shù)配置全向天線的FATAP即可滿足接入需求，配置也比較簡單。

（2）樓層環(huán)境：這類環(huán)境一般結構復雜，主要需要考慮墻壁等障礙物對無線信號的衰減作用，以及與其他已有AP之間的干擾問題。在部署FAT AP時，需要詳細測量環(huán)境中的信號強度，控制AP的發(fā)射功率。除了使用傳統(tǒng)AP的接入方案之外，還可以使用分布式天線系統(tǒng)(DAS：Distributed Antenna System)。DAS 對不同的系統(tǒng)進行分區(qū)域的覆蓋，避免了大規(guī)模無選擇性覆蓋對于系統(tǒng)和功率的損耗。

（3）園區(qū)環(huán)境：辦公室和樓層環(huán)境都針對室內覆蓋，而園區(qū)環(huán)境開始涉及室外覆蓋。園區(qū)內需要覆蓋的范圍通常較大，需要部署較多的AP，解決無縫覆蓋問題。傳統(tǒng)的FATAP網(wǎng)絡架構，存在AP管理難度大、配置復雜、安全性差等問題。可采用適中AP(FITAP)+無線控制器(AC)的新型網(wǎng)絡架構，不僅方便管理，而且能保證移動性強的實時數(shù)據(jù)流通信。

（4）城區(qū)環(huán)境：以前運營商提供無線接入使用的是傳統(tǒng)BWA技術，主要是指以固定寬帶為技術特征的多路多點分配系統(tǒng)(MMDS)和本地多點分配系統(tǒng)(LMDS)。MMDS/LMDS都存在各自的缺陷，而IEEE組織新制定的802.16系列標準(WiMAX)，涵蓋了MMDS/LMDS的工作頻段，而且大大提升了性能，成為運營商建設無線城域網(wǎng)的新手段。在目前WiMAX終端尚未普及的情況下，主要與WLAN熱點結合，使用熱點回傳和駐地接入模式提供高帶寬的無線數(shù)據(jù)傳輸通道。

一般中專校園占地面積較大，有三種可供選擇的校園無線接入網(wǎng)絡方案。

方案一：自治式全覆蓋。

采用傳統(tǒng)配置全向天線的自治式AP，使用蜂窩網(wǎng)絡覆蓋校園。每個區(qū)域使用1個胖AP覆蓋，相鄰區(qū)域輪換使用1、6、11信道以減少干擾。室外環(huán)境作為IEEE 802.11b AP，理論有效距離為100米。每個AP覆蓋面積約為0.03 km2，這樣計算只需要18個AP就可達到理論上的全覆蓋。

這種覆蓋方式實施比較簡單，但是無線接入網(wǎng)絡的可靠性較差，單個AP故障容易引起區(qū)域無線接入網(wǎng)絡失效。在室外環(huán)境中因為建筑、地形、樹木、人群等眾多干擾因素，AP往往無法達到100米的有效距離。而且這里存在一個多級速度變換的問題：當客戶端遠離AP時信號會減弱，為了確保數(shù)據(jù)傳輸?shù)木_，AP會降低數(shù)據(jù)率，客戶端的帶寬便無法保證。為了保證任何地點都需要有11Mbps的接入速度，就需要增加AP密度。這會增加信道規(guī)劃的難度，也意味著更多的信號干擾。而且AP的配置和管理將會變得非常困難：管理員需要登錄到每個AP上進行配置，而當某一區(qū)域出現(xiàn)無線接入網(wǎng)絡失效時，需要檢查附近所有AP來確定故障AP。

方案二：集中式重復覆蓋。

第二種方案使用集中式架構，使用Fit AP代替方案一中的胖AP，在有線局域網(wǎng)中增加一臺無線交換機。每個區(qū)域都配置2個AP，AP之間互為備份，單個AP故障也不會引起整個區(qū)域的無線接入網(wǎng)絡失效。而且通過AP之間的負載均衡功能，可以保證每個區(qū)域無線接入用戶的帶寬。AP是零配置，硬件主要由CPU＋內存＋RF構成，配置和軟件都要從無線交換機上下載。所有AP和無線客戶端的管理都在無線交換機上完成。AP和無線交換機之間的流量被私有協(xié)議加密，無線客戶端的MAC只出現(xiàn)在無線交換機端口，而不會出現(xiàn)在AP的端口。可以在現(xiàn)有的LAN拓撲上部署通用的無線解決方案，而無需重新配置主干或硬件。

此方案可以提高校園無線接入網(wǎng)絡的可靠性和接入用戶帶寬。但是，并不是所有區(qū)域都有高帶寬的無線接入需要，較高的AP密度會增加建設成本和資源浪費。

方案三：集中式區(qū)別覆蓋。

校園無線接入網(wǎng)絡的主要用戶群體是教師和學生。從學校的學習和生活中發(fā)現(xiàn)，用戶群體往往集中在幾個特定的區(qū)域，并且在不同區(qū)域對于無線網(wǎng)絡的需求也不相同。因此，在方案二的基礎上加以改進提出方案三。

方案三的整體網(wǎng)絡架構與方案二相同，只是在AP的覆蓋上需要根據(jù)用戶的密集程度和需求，將覆蓋區(qū)域分成三種類型。針對不同的區(qū)域類型采用不同的AP部署方式。

（1）A型區(qū)域：用戶密集區(qū)域，包括圖書館、教學樓、活動中心周邊。此區(qū)域對帶寬有較高要求，需要重點覆蓋以充分保證無線網(wǎng)絡的可用性。

（2）B型區(qū)域：用戶集中區(qū)域，包括所有主干道路和校門。這一區(qū)域接入用戶相對較少，對于帶寬要求也不高。但是用戶很可能處于移動狀態(tài)，對無線網(wǎng)絡的移動性有一定要求。

（3）C型區(qū)域：用戶稀疏區(qū)域，包括綠地、足球場、籃球場。這類區(qū)域用戶較少或使用頻率較低，只需實現(xiàn)信號的基本覆蓋。

綜合考慮三種方案：方案一部署簡單廉價，但是網(wǎng)絡欠缺可靠性；方案二穩(wěn)定可靠，但是成本過高；方案三根據(jù)具體校園環(huán)境改進了方案二，在獲得無線網(wǎng)絡可靠性的同時縮減成本，所以建議采用方案三作為校園無線網(wǎng)絡模式。

三、無線網(wǎng)絡安全規(guī)劃

校園環(huán)境不像企業(yè)環(huán)境對安全性有非常高的要求，但也需要采取安全措施保證網(wǎng)絡安全運行。由于無線接入的特殊性，需要將無線接入網(wǎng)絡作為不信任網(wǎng)絡處理。主要通過以下幾種方式提升無線網(wǎng)絡安全性：

（1）用戶認證：任何用戶都可以連接到無校園網(wǎng)絡，但是在沒有通過認證之前，只能連接HDU-Internet，滿足教師、學生以及外來訪客對于無線Internet接入的需要。而當用戶訪問學校內網(wǎng)資源時需要連接HDU-LAN，只有通過密碼認證才能獲取訪問內網(wǎng)的權限。

（2）用戶數(shù)據(jù)加密：接入HDU-Internet的用戶數(shù)據(jù)在無線網(wǎng)絡中的明文傳輸?shù)臄?shù)據(jù)并不加密。而HDU-LAN采用WPA加密，可以保證用戶數(shù)據(jù)在無線網(wǎng)絡內的安全。

（3）ACL：在局域網(wǎng)核心設備上，針對無線接入用戶的IP地址段實施ACL。允許VLAN20無線用戶訪問校園內網(wǎng)，拒絕VLAN10訪問。參考配置如下：

Core(config)#access-list 10 denyip 10.0.0.0 0.0.0.255

Core(config)#interface po1

Core(config-if)#ip accsee-group in

（4）惡意AP檢測：惡意AP是指在未獲得許可的情況下，擅自安裝的AP。惡意AP以及關聯(lián)到此AP上的用戶都會對網(wǎng)絡安全造成威脅。在無線交換機上啟用惡意AP檢測功能并對它們采取反制措施。

（5）控制無線覆蓋范圍：雖然無線校園的目的是提供一個大范圍的無縫覆蓋的無線接入網(wǎng)絡，但是不加控制的無線信號發(fā)射可能會成為網(wǎng)絡的一大隱患。校園外的環(huán)境是不需要也不應該被無線信號覆蓋的，否則可能會導致許多有意或無意的網(wǎng)絡攻擊。可以通過減小AP發(fā)射功率和調整天線方向的方法來控制無線覆蓋范圍。

TN

A

1673-0046（2010）7-0163-03