基于802.11n標(biāo)準(zhǔn)的校園無(wú)線網(wǎng)設(shè)計(jì)和部署

文/皇甫大鵬 陳平 王興建

基于802.11n標(biāo)準(zhǔn)的校園無(wú)線網(wǎng)設(shè)計(jì)和部署

文/皇甫大鵬 陳平 王興建

IEEE 802.11n協(xié)議在物理層采用了MIMO和OFDM復(fù)用以及40MHz信道寬度等技術(shù)，使它的物理速率最高可以達(dá)到300Mbps。本文汲取北師大無(wú)線網(wǎng)絡(luò)建設(shè)經(jīng)驗(yàn)，及國(guó)內(nèi)外無(wú)線校園網(wǎng)建設(shè)方案中成功之處，規(guī)劃并完成了北師大基于802.11n標(biāo)準(zhǔn)的校園無(wú)線網(wǎng)的建設(shè)。該組網(wǎng)方案具有安裝便捷、使用方便、擴(kuò)展性較好、高速安全等特點(diǎn)。

北師大無(wú)線網(wǎng)絡(luò)概況

北京師范大學(xué)校園無(wú)線網(wǎng)始建于2007年，先后經(jīng)歷了無(wú)線一期、無(wú)線一期增補(bǔ)、無(wú)線二期以及后主樓為主的無(wú)線三期建設(shè)，經(jīng)過(guò)三期無(wú)線網(wǎng)絡(luò)建設(shè)，無(wú)線網(wǎng)絡(luò)覆蓋了全校的教學(xué)、科研、辦公和學(xué)生宿舍區(qū)。

北京師范大學(xué)校園無(wú)線網(wǎng)現(xiàn)共有近1500 多個(gè)無(wú)線AP，200 余個(gè)PoE供電交換機(jī)，6 個(gè)無(wú)線控制器。

現(xiàn)有的無(wú)線網(wǎng)絡(luò)主要存在以下困難：

1.無(wú)線網(wǎng)絡(luò)通過(guò)各樓宇的有線網(wǎng)絡(luò)上聯(lián)，容易受到有線網(wǎng)絡(luò)環(huán)境的影響（中病毒，環(huán)路，斷網(wǎng)等）；

2. 無(wú)線產(chǎn)品技術(shù)陳舊，不支持portal和認(rèn)證計(jì)費(fèi)的對(duì)接，無(wú)法保證信息安全；

3. 產(chǎn)品到了故障高發(fā)期，線路、AP及交換機(jī)故障較多，且無(wú)法購(gòu)買到同類型的替代產(chǎn)品；

4. 交換機(jī)百兆上聯(lián)，成為瓶頸；

5. 無(wú)線AP采用室外照射方式部署，且部署密度稀疏，信號(hào)覆蓋情況較差；

6. 通過(guò)有線網(wǎng)上聯(lián)，并且采用百兆口上聯(lián)。

圖1 無(wú)線AP支持用戶數(shù)

圖2 40MHz頻譜疊加圖

傳統(tǒng)無(wú)線面臨的挑戰(zhàn)

無(wú)線網(wǎng)絡(luò)采用的是公用頻段2.4Ghz，5.0Ghz，當(dāng)無(wú)線電波設(shè)備在同一空間發(fā)射相同頻段的無(wú)線電波時(shí)，無(wú)線電波會(huì)產(chǎn)生干擾，影響正常通訊。所以，在傳統(tǒng)無(wú)線網(wǎng)絡(luò)部署過(guò)程中，無(wú)線廠家采用錯(cuò)頻蜂窩式部署方式，即相鄰AP之間采用不同的頻段來(lái)對(duì)外提供服務(wù)，減少干擾產(chǎn)生。

高密度覆蓋

在教室、會(huì)議室、圖書館等座位密集，RF覆蓋密度需要很高的地區(qū)，一般廠商的AP最高支持30多個(gè)客戶端，超過(guò)30客戶端再往上連，整個(gè)性能將急劇降低，北師大采用的無(wú)線產(chǎn)品，單射頻卡AP可以最大支持到128個(gè)用戶，高密度環(huán)境下依然能保證穩(wěn)定的帶寬。

RF高帶寬接入

目前在2.4GHz 頻段使用 40MHz 11n的頻寬，只有在同頻技術(shù)下才能實(shí)現(xiàn)。原理如圖2。如果在2.4GHz這個(gè)頻段使用20MHz 11n 對(duì)于微蜂窩來(lái)說(shuō)將有1、6、11 三個(gè)信道使用，但如果使用40MHz 11n，只有1個(gè)不干擾的信道可以使用，這樣存在兩個(gè)以上AP的環(huán)境就無(wú)法部署。如下圖所示：紅色40MHz頻寬和黃色40MHz頻寬會(huì)疊加。

RF干擾

會(huì)議室需要支持很高的用戶密度，采用微蜂窩架構(gòu)需要大量重復(fù)使用相同的信道，RF信號(hào)將面臨著嚴(yán)重的干擾，而單頻架構(gòu)，通過(guò)專利技術(shù)很好地處理了干擾的問(wèn)題。

漫游

對(duì)于微蜂窩架構(gòu)來(lái)說(shuō)，要想支持講堂內(nèi)如此高密度的用戶數(shù)量，必須部署很多AP，增加了客戶端在AP之間跳動(dòng)的幾率，客戶端在漫游時(shí)將出現(xiàn)很多問(wèn)題。

連通穩(wěn)定性

還是微蜂窩帶來(lái)的問(wèn)題，在講堂空曠的空間內(nèi)，部署很多AP，客戶端會(huì)發(fā)現(xiàn)很多信號(hào)強(qiáng)度差不多，且具有相同SSID的AP，使得客戶端在AP之間跳動(dòng)，整個(gè)WLAN容易出現(xiàn)不穩(wěn)定 。

公平傳輸

在高密度環(huán)境下，存在各種各樣的客戶端，有快的有慢的，如何保證傳輸?shù)墓叫?，讓慢的客戶端不至于長(zhǎng)時(shí)間得不到傳輸；同時(shí)不讓快的客戶端被慢的客戶端“黏住”，趨向于慢的客戶端速率。

802.11n無(wú)線網(wǎng)部署

后主樓無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域包括后主樓一層至二十三層，其中一層為大廳、二層至八層圖書館、九層至二十二層為各院系辦公及教學(xué)場(chǎng)所、二十三層為博物館。除此之外還包括后主樓北廣場(chǎng)、京師廣場(chǎng)兩個(gè)室外場(chǎng)地，主樓A區(qū)三、四層校領(lǐng)導(dǎo)辦公區(qū)。圖書館和會(huì)議室用戶密度大，要求AP高密度部署；主樓A區(qū)三層、四層部署的產(chǎn)品，存在和其他產(chǎn)品同樓部署，信號(hào)干擾問(wèn)題嚴(yán)重；后主樓建筑面積大，用戶眾多，信號(hào)漫游問(wèn)題比較嚴(yán)重；另外，該樓宇用戶復(fù)雜，認(rèn)證方式的多樣性也是制約無(wú)線應(yīng)用的主要問(wèn)題之一。

無(wú)線網(wǎng)絡(luò)信道規(guī)劃

802.11b/g/n的頻率范圍是2400-2483.5MHz，劃分了14個(gè)子頻道，頻帶寬為22MHz，最多可以提供3個(gè)不重疊的頻道同時(shí)工作(1，6，11)。

在大規(guī)模部署時(shí)AP會(huì)由于避免信道之間干擾而采用錯(cuò)頻方式進(jìn)行部署，即1/6/11交叉部署。而當(dāng)AP數(shù)量增多到一定程度，再新增加AP時(shí)則會(huì)出現(xiàn)無(wú)法尋找到合適錯(cuò)頻空間的問(wèn)題，使得新增AP成為困難。

本次采用的無(wú)線AP可以在同一個(gè)頻道部署，而不產(chǎn)出干擾，同樣在多AP環(huán)境下新增AP時(shí)無(wú)需考慮錯(cuò)頻帶來(lái)的困擾。

結(jié)合產(chǎn)品的以上技術(shù)特點(diǎn)，北師大在后主樓無(wú)線網(wǎng)絡(luò)項(xiàng)目中，每個(gè)樓層部署的AP均放置在同一信道，相鄰兩樓層的AP放置于不同信道，即：一層AP使用信道1、二層AP使用信道6、三層AP使用信道11，如此反復(fù)（具體部署方式參見(jiàn)下圖）。我們將這種方式俗稱為“同層部署、多層疊加”由此帶來(lái)的優(yōu)勢(shì)有：1.每層新增AP時(shí)無(wú)需進(jìn)行無(wú)線站點(diǎn)勘測(cè)和信道規(guī)劃；2.最大程度的提升了高密度無(wú)線接入能力；3. 將同頻干擾的可能降至最低；4. 客戶端可實(shí)現(xiàn)“零漫游”。

圖3無(wú)線網(wǎng)絡(luò)拓?fù)鋱D

虛擬SSID和VLAN規(guī)劃

一般用戶都誤解無(wú)線局域網(wǎng)的SSID為局域網(wǎng)的VLAN，這可能是由于第一代的無(wú)線局域網(wǎng)都是通過(guò)“FAT AP”組網(wǎng)的原因。其實(shí)二者之間的關(guān)系并非是一對(duì)一，即一個(gè)SSID必須對(duì)應(yīng)有一個(gè)VLAN。當(dāng)然把一個(gè)SSID設(shè)定在一個(gè)VLAN內(nèi)，對(duì)只能夠支持第二層的無(wú)線用戶漫游的傳統(tǒng)無(wú)線局域網(wǎng)是唯一可實(shí)現(xiàn)的方式。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多改動(dòng)，AP數(shù)量多時(shí)，無(wú)線用戶VLAN/IP子網(wǎng)也增多，無(wú)線用戶IP子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開(kāi)通) 否則無(wú)線用戶就不能訪問(wèn)局域網(wǎng)上其它網(wǎng)點(diǎn)，包括在不同接入層的無(wú)線用戶。

根據(jù)不同的用戶需求，北師大后主樓無(wú)線網(wǎng)除了會(huì)議室，均使用BNU作為其唯一的SSID，該SSID對(duì)應(yīng)一個(gè)VLAN，共8個(gè)C類IP地址。圖書館的會(huì)議室、主樓A座3、4層和室外無(wú)線，因用戶的需要不同，需要專門為這幾個(gè)地方分配單獨(dú)的SSID和VLAN，方便于統(tǒng)一管理，同時(shí)為每個(gè)VLAN分配1-2個(gè)C類IP地址。

無(wú)線安全設(shè)計(jì)

無(wú)線網(wǎng)絡(luò)一直面臨安全問(wèn)題，安全問(wèn)題也越來(lái)越成為企業(yè)決策者決定是否部署WLAN網(wǎng)絡(luò)的關(guān)鍵因素。

認(rèn)證方式：通過(guò)學(xué)校網(wǎng)絡(luò)核心三層交換機(jī)配合無(wú)線控制器，一起規(guī)劃和設(shè)置互相隔離的業(yè)務(wù)VLAN和用戶，用于針對(duì)不同業(yè)務(wù)類型的無(wú)線終端的訪問(wèn)，不同的專用業(yè)務(wù)通道可選擇不同的認(rèn)證和信號(hào)加密方法。

后主樓（除會(huì)議室以外）統(tǒng)一使用Captive Portal的方式（BNU），把portal認(rèn)證和計(jì)費(fèi)系統(tǒng)相結(jié)合，通過(guò)web頁(yè)面認(rèn)證一次通過(guò)，用戶根據(jù)訪問(wèn)網(wǎng)絡(luò)類型不同，選擇校內(nèi)、國(guó)內(nèi)和國(guó)際方式登錄。室外無(wú)線因?yàn)橛滦枰褵o(wú)線分成兩個(gè)SSID，一個(gè)SSID使用Captive Portal的方式（BNU-JSGC），認(rèn)證方式與后主樓同，普通師生可以使用；另一個(gè)SSID用于迎新工作人員使用，采用802.1X認(rèn)證+WPA2信號(hào)加密方式（BNU-YX）等。

加密：支持WEP、TKIP、AES等多種安全加密方法，保證數(shù)據(jù)傳輸?shù)乃矫苄院屯暾浴?/p>

VPN：無(wú)線網(wǎng)絡(luò)產(chǎn)品可以為用戶提供獨(dú)特的多層次的安全機(jī)制,能很好的為WLAN網(wǎng)絡(luò)提供無(wú)縫的安全防護(hù)。

無(wú)線系統(tǒng)提供內(nèi)置的IDS無(wú)線入侵檢測(cè)系統(tǒng)，可以對(duì)非法Rogue AP和Rogue Client進(jìn)行檢測(cè)、定位和抑制；無(wú)線系統(tǒng)還可以提供出色的和有線安全設(shè)備的聯(lián)動(dòng)功能，例如IDS/IPS、ACS等等，實(shí)現(xiàn)對(duì)L2-L7層入侵攻擊的防范，彌補(bǔ)WIDS方法L2入侵攻擊的不足，實(shí)現(xiàn)對(duì)客戶訪問(wèn)的認(rèn)證和授權(quán)，體現(xiàn)一體化的安全策略。

無(wú)線拓?fù)浣Y(jié)構(gòu)

如圖3所示，控制器直連三層交換機(jī)，POE交換機(jī)通過(guò)光纖匯聚至光纖交換機(jī)，光纖交換機(jī)連至三層交換機(jī)，三層交換機(jī)直接上聯(lián)至核心交換機(jī)?？刂破骷锌刂扑械臒o(wú)線AP，通過(guò)在控制器上集中配置各種不同級(jí)別的應(yīng)用策略，再分發(fā)至接入層無(wú)線AP，將用校園網(wǎng)絡(luò)和公用網(wǎng)絡(luò)在邏輯上區(qū)分開(kāi)來(lái)，從根本上保護(hù)校園網(wǎng)內(nèi)的數(shù)據(jù)安全性。

本文根據(jù)802.11n產(chǎn)品的特性，提出特定的無(wú)線網(wǎng)架構(gòu)。為北師大教學(xué)區(qū)和后續(xù)802.11n無(wú)線網(wǎng)改造積累了豐富的經(jīng)驗(yàn)。另外，此次無(wú)線設(shè)備支持同頻部署，可以支持同時(shí)部署3個(gè)SSID，對(duì)未來(lái)多樣性服務(wù)的擴(kuò)展性提供了基礎(chǔ)準(zhǔn)備。

（作者單位為北京師范大學(xué)信息網(wǎng)絡(luò)中心）