校園無(wú)線網(wǎng)絡(luò)建設(shè)方案實(shí)例探討

鄧寧

摘 要 在探討校園無(wú)線網(wǎng)絡(luò)設(shè)計(jì)的一般原則的基礎(chǔ)上，對(duì)比分析相關(guān)網(wǎng)絡(luò)技術(shù)，并以北京市應(yīng)用高級(jí)技工學(xué)校無(wú)線校園網(wǎng)絡(luò)建設(shè)方案為例，對(duì)校園無(wú)線網(wǎng)絡(luò)組建的基本原則、方法和步驟進(jìn)行研究。由于無(wú)線局域網(wǎng)技術(shù)發(fā)展較快，不同廠商產(chǎn)品較多、各有特性，規(guī)劃無(wú)線校園網(wǎng)時(shí)應(yīng)根據(jù)學(xué)校教學(xué)和管理需要，選擇適合的技術(shù)和產(chǎn)品，與原有線校園網(wǎng)相互配合，為師生提供高效、方便的網(wǎng)絡(luò)接入。

關(guān)鍵詞 校園網(wǎng)；無(wú)線網(wǎng)絡(luò)；Fat AP；Fit AP

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1671-489X（2015）20-0049-04

近年來(lái)，不少學(xué)校正紛紛加緊教育信息化建設(shè)和規(guī)劃，開展無(wú)線校園網(wǎng)絡(luò)建設(shè)，為師生提供方便、高速的接入網(wǎng)絡(luò)，并實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、在線服務(wù)、教育資源共享等各種應(yīng)用。但由于無(wú)線局域網(wǎng)技術(shù)發(fā)展相對(duì)較快，不同廠商產(chǎn)品較多、各有特性，規(guī)劃無(wú)線校園網(wǎng)時(shí)應(yīng)根據(jù)學(xué)校教學(xué)和管理需要，選擇適合的技術(shù)和產(chǎn)品，與原有線校園網(wǎng)相互配合，為師生提供高效、方便的網(wǎng)絡(luò)接入。

1 校園無(wú)線網(wǎng)絡(luò)設(shè)計(jì)的一般原則

學(xué)校為了建設(shè)一套符合師生需求并具有良好性能和安全拓展空間的無(wú)線網(wǎng)絡(luò)系統(tǒng)，在合理投入基礎(chǔ)上以確保網(wǎng)絡(luò)建設(shè)的效益，就需要在無(wú)線網(wǎng)絡(luò)設(shè)計(jì)時(shí)遵循一定的原則，主要包括了以下幾個(gè)方面。

1）先進(jìn)性：所選產(chǎn)品及其技術(shù)方案必須達(dá)到行業(yè)的主流，市場(chǎng)覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟，并具備適當(dāng)?shù)募夹g(shù)前瞻性。

2）經(jīng)濟(jì)性：所選產(chǎn)品具有較高的性價(jià)比，在符合用戶需求的前提下選擇價(jià)格、性能適合的產(chǎn)品。

3）可管理性：無(wú)線網(wǎng)絡(luò)必須提供界面友好、易于操作的管理方式，為網(wǎng)絡(luò)管理者提供易于故障定位排除、系統(tǒng)維護(hù)調(diào)整等運(yùn)行維護(hù)手段，對(duì)用戶的接入提供靈活、安全的管理。

4）可用及易用性：設(shè)備要具有一定程度的耐用和智能特性，以提高整個(gè)系統(tǒng)的可用性；同時(shí)，師生使用校園無(wú)線網(wǎng)絡(luò)，應(yīng)該簡(jiǎn)易便捷，方便使用和管理。

5）安全性：隨著無(wú)線網(wǎng)絡(luò)的普及，在方便了大家使用網(wǎng)絡(luò)的同時(shí)也給了不懷好意的黑客和蹭網(wǎng)者空間，所以無(wú)線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)一定要注意安全性的原則，以防止來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的各種破壞。

2 無(wú)線網(wǎng)絡(luò)技術(shù)簡(jiǎn)介

802.11協(xié)議 802.11協(xié)議族是現(xiàn)行國(guó)際無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，涵蓋了無(wú)線局域網(wǎng)無(wú)線接入、傳輸速率、QoS、安全加密等各方面。從傳輸速率上看，現(xiàn)市場(chǎng)主流無(wú)線網(wǎng)絡(luò)設(shè)備所支持的802.11協(xié)議主要有802.11ac、802.11n、802.11g等，如表1所示。

胖AP和瘦AP無(wú)線網(wǎng)絡(luò)模式 AP是（Wireless）Access

Point的縮寫，即（無(wú)線）訪問(wèn)接入點(diǎn)。根據(jù)無(wú)線網(wǎng)絡(luò)中AP框架模式的不同，可將無(wú)線網(wǎng)絡(luò)大致分為基于控制器的AP架構(gòu)（瘦AP，F(xiàn)it AP）和獨(dú)立AP架構(gòu)（胖AP，F(xiàn)at AP）兩種網(wǎng)絡(luò)模式。

胖AP無(wú)線網(wǎng)絡(luò)模式，典型的例子是使用無(wú)線路由器（用于用戶上網(wǎng)、帶有無(wú)線覆蓋功能的路由器）。此無(wú)線路由器除了無(wú)線接入功能外，大多還支持DHCP服務(wù)器、DNS和MAC地址克隆，以及VPN接入、防火墻等安全功能。

瘦AP無(wú)線網(wǎng)絡(luò)模式，典型的例子是使用無(wú)線網(wǎng)絡(luò)控制器、瘦無(wú)線接入點(diǎn)（簡(jiǎn)稱瘦AP，F(xiàn)it AP）來(lái)構(gòu)建無(wú)線網(wǎng)絡(luò)。瘦AP主要保留了無(wú)線路由器的無(wú)線電射頻的部分，其目的是將無(wú)線用戶接入無(wú)線網(wǎng)絡(luò)中，而無(wú)線網(wǎng)絡(luò)控制器在瘦AP無(wú)線網(wǎng)絡(luò)中起的是管理中心的作用，它通過(guò)加密隧道與瘦AP建立通信，并全面控制瘦AP。瘦AP本身并不保存配置，只有受到無(wú)線網(wǎng)絡(luò)控制器的控制才能工作，所有用戶的連接、訪問(wèn)、認(rèn)證、權(quán)限、安全的信息都通過(guò)無(wú)線網(wǎng)絡(luò)控制器集中管理。

胖AP無(wú)線網(wǎng)絡(luò)模式和瘦AP無(wú)線網(wǎng)絡(luò)模式特性對(duì)比如表2所示，其框架結(jié)構(gòu)圖如圖1所示。

網(wǎng)絡(luò)安全管理 校園網(wǎng)在學(xué)校日常工作和教學(xué)中有著十分重要的作用，無(wú)線網(wǎng)絡(luò)在豐富和擴(kuò)展校園網(wǎng)絡(luò)的同時(shí)，由于無(wú)線網(wǎng)絡(luò)傳輸媒介固有的開放性、無(wú)線終端的動(dòng)態(tài)性等，給系統(tǒng)帶來(lái)一定的安全風(fēng)險(xiǎn)。如果盜用無(wú)線網(wǎng)絡(luò)賬號(hào)、入侵校內(nèi)服務(wù)器、非法使用網(wǎng)絡(luò)、濫用網(wǎng)絡(luò)資源和訪問(wèn)非法站點(diǎn)等問(wèn)題，學(xué)校沒(méi)有有效的技術(shù)手段來(lái)進(jìn)行管理，就可能會(huì)給學(xué)校正常的教育教學(xué)活動(dòng)、校園網(wǎng)絡(luò)安全等帶來(lái)嚴(yán)重的影響，這在組建網(wǎng)絡(luò)時(shí)需要進(jìn)行充分考慮。

對(duì)于無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)，其基本安全技術(shù)包括了訪問(wèn)控制、數(shù)據(jù)加密，以及相關(guān)的無(wú)線熱圖、定位和探針等。為了確保拓展了無(wú)線網(wǎng)絡(luò)功能的校園網(wǎng)絡(luò)安全、穩(wěn)定、高效運(yùn)行，還需要結(jié)合有線網(wǎng)絡(luò)的身份認(rèn)證、防火墻、入侵檢測(cè)和上網(wǎng)行為審計(jì)等技術(shù)手段，從而全面掌握網(wǎng)絡(luò)運(yùn)行的狀態(tài)。通過(guò)有線無(wú)線一體化管理，使網(wǎng)絡(luò)整體運(yùn)行安全可靠。

3 北京市應(yīng)用高級(jí)技工學(xué)校無(wú)線網(wǎng)絡(luò)建設(shè)方案

學(xué)校原網(wǎng)絡(luò)拓?fù)浜蜔o(wú)線網(wǎng)絡(luò)建設(shè)需求 北京市應(yīng)用高級(jí)技工學(xué)校北校區(qū)現(xiàn)有教學(xué)樓1棟、綜合樓1棟，建筑面積5000余平方米。其中，教學(xué)樓共3層，有標(biāo)準(zhǔn)教室12間，專業(yè)教室9間，辦公室18間；綜合樓6層，有標(biāo)準(zhǔn)教室3間，專業(yè)教室3間，辦公室2間，學(xué)生宿舍61間，數(shù)據(jù)如表3所示。

原樓內(nèi)建設(shè)有線校園網(wǎng)絡(luò)，現(xiàn)需要進(jìn)行無(wú)線網(wǎng)絡(luò)改造，建成一個(gè)覆蓋兩棟樓宇的無(wú)線網(wǎng)絡(luò)，教室、專業(yè)教室、辦公室、學(xué)生宿舍均要求無(wú)線網(wǎng)絡(luò)覆蓋，且教室及專業(yè)教室均需達(dá)到全班學(xué)生同時(shí)上網(wǎng)、教師無(wú)線廣播教學(xué)的使用密度要求。

同時(shí)，學(xué)校無(wú)線網(wǎng)絡(luò)SSID統(tǒng)一設(shè)為“BJYY”進(jìn)行漫游，根據(jù)用戶類別分為“STU”“TEACHER”“GUEST”三類，配置不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限（如表4所示），用戶可在教學(xué)樓和綜合樓內(nèi)各樓層進(jìn)行無(wú)障礙網(wǎng)絡(luò)漫游，其具體應(yīng)用大致分為電子教學(xué)（無(wú)線多媒體教室）、移動(dòng)辦公和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分。

需求分析及技術(shù)方案初選 本例中，受學(xué)校教學(xué)環(huán)境及無(wú)線客戶端數(shù)量密度的要求，需要通過(guò)部署多臺(tái)AP設(shè)備，以滿足大范圍無(wú)線覆蓋及漫游需要。如果采用胖AP無(wú)線網(wǎng)絡(luò)模式，各個(gè)胖AP（無(wú)線路由器）獨(dú)立運(yùn)行，其無(wú)線密碼管理之類需要逐一登錄設(shè)備進(jìn)行配置，不安全也不方便，同時(shí)距離較近的多臺(tái)胖AP設(shè)備還時(shí)常沖突，影響整網(wǎng)的正常使用。此外，對(duì)于使用者來(lái)說(shuō)，每個(gè)胖AP都處于孤立狀態(tài)，可能換一個(gè)地方就重新選擇一個(gè)無(wú)線，再進(jìn)行連接，非常繁瑣，而且效果較差。因此，本方案宜采用瘦AP無(wú)線網(wǎng)絡(luò)模式，使用無(wú)線網(wǎng)絡(luò)控制器、瘦無(wú)線接入點(diǎn)來(lái)構(gòu)建無(wú)線網(wǎng)絡(luò)。endprint

考慮到學(xué)校無(wú)線網(wǎng)絡(luò)應(yīng)用包含大量多媒體信息，需能夠支持電子教室廣播教學(xué)等業(yè)務(wù)，校園無(wú)線網(wǎng)絡(luò)采用802.11n或802.11ac技術(shù)，提供高帶寬、高質(zhì)量的WLAN服務(wù)。

同時(shí)，校園無(wú)線網(wǎng)絡(luò)在校園有線網(wǎng)絡(luò)基礎(chǔ)上建設(shè)，無(wú)線網(wǎng)絡(luò)除了設(shè)置訪問(wèn)控制、數(shù)據(jù)加密等安全技術(shù)外，通過(guò)有線無(wú)線一體化管理，部署、共用有線網(wǎng)絡(luò)的用戶管理系統(tǒng)，實(shí)現(xiàn)用戶認(rèn)證、行為審計(jì)和管理。

確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 根據(jù)校園網(wǎng)原有線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、采用的無(wú)線網(wǎng)絡(luò)模式及用戶需求等情況，確定無(wú)線網(wǎng)絡(luò)建設(shè)后校園網(wǎng)整體框架拓?fù)浣Y(jié)構(gòu)，如圖2所示。

該網(wǎng)絡(luò)框架結(jié)構(gòu)，由無(wú)線瘦AP直接轉(zhuǎn)發(fā)式組網(wǎng)，無(wú)線用戶數(shù)據(jù)直接在瘦AP上完成IEEE 802.3和IEEE 802.11報(bào)文轉(zhuǎn)換，通過(guò)上行匯聚交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。該方式無(wú)線用戶業(yè)務(wù)數(shù)據(jù)無(wú)需經(jīng)過(guò)無(wú)線網(wǎng)絡(luò)控制器AC集中處理，基本無(wú)帶寬瓶頸，而且便于繼承現(xiàn)有有線網(wǎng)絡(luò)的安全策略，實(shí)現(xiàn)有線、無(wú)線網(wǎng)絡(luò)部署的融合。

設(shè)備選型 根據(jù)學(xué)校教學(xué)樓和綜合樓的建筑平面圖和現(xiàn)場(chǎng)情況，確定無(wú)線AP的部署位置和點(diǎn)數(shù)，接下來(lái)就可以進(jìn)行無(wú)線設(shè)備的選型了。由于無(wú)線局域網(wǎng)技術(shù)發(fā)展相對(duì)較快，不同廠商產(chǎn)品較多，如華為、思科、銳捷等大廠商都有比較成型的產(chǎn)品，也各有特色，如表5所示。

因?qū)W校原有線校園網(wǎng)絡(luò)有部分銳捷的網(wǎng)絡(luò)設(shè)備，為便于統(tǒng)一管理和維修維護(hù)，采用銳捷的無(wú)線設(shè)備，其整體價(jià)格也比較合理。

此外，為了便于網(wǎng)管人員對(duì)全網(wǎng)設(shè)備信息和狀態(tài)的掌控，對(duì)無(wú)線網(wǎng)絡(luò)中的無(wú)線控制器和無(wú)線接入點(diǎn)等設(shè)備與有線網(wǎng)絡(luò)設(shè)備進(jìn)行一體化集中管理，學(xué)校還部署了銳捷的RG-SNC（智能網(wǎng)絡(luò)指揮官）軟件系統(tǒng)，將網(wǎng)絡(luò)拓?fù)涔芾怼⒕W(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流量、事件監(jiān)控、網(wǎng)絡(luò)診斷與無(wú)線狀態(tài)管控、無(wú)線射頻管理、無(wú)線定位管理等進(jìn)行整合；RG-SAM（網(wǎng)絡(luò)身份認(rèn)證）軟件系統(tǒng)，對(duì)有線、無(wú)線、遠(yuǎn)程VPN等不同接入方式的用戶分“STU”“TEACHER”“GUEST”三類統(tǒng)一進(jìn)行認(rèn)證、接入控制、計(jì)費(fèi)、日志管理。

4 結(jié)論

綜上所述，學(xué)校開展的無(wú)線校園網(wǎng)絡(luò)建設(shè)，宜與原有線校園網(wǎng)相互配合，根據(jù)學(xué)校教學(xué)和管理需要，選擇適合的技術(shù)和產(chǎn)品，為師生提供高效、方便的網(wǎng)絡(luò)接入。具體在方案選擇時(shí)需要注意：

1）從技術(shù)發(fā)展及網(wǎng)絡(luò)應(yīng)用需要考慮，校園無(wú)線網(wǎng)絡(luò)宜采用802.11n及以上的技術(shù)標(biāo)準(zhǔn)；

2）校園無(wú)線網(wǎng)絡(luò)宜采用基于無(wú)線控制器的瘦AP系統(tǒng)架構(gòu)，滿足可管理、安全、QoS、漫游等功能要求；

3）AP的選型及數(shù)量應(yīng)根據(jù)場(chǎng)地環(huán)境條件、可能并發(fā)的無(wú)線終端數(shù)、性價(jià)比等多方面進(jìn)行合理設(shè)置；

4）校園無(wú)線網(wǎng)絡(luò)部署時(shí)應(yīng)注意與原有線網(wǎng)絡(luò)部分融合，通過(guò)有線無(wú)線一體化管理，統(tǒng)一對(duì)用戶認(rèn)證、管理和審計(jì)等，使網(wǎng)絡(luò)整體運(yùn)行安全可靠。

參考文獻(xiàn)

[1]802.11[EB/OL].http：//baike.baidu.com/view/345218.htm.

[2]張鳳生.構(gòu)建h3c無(wú)線局域網(wǎng)絡(luò)實(shí)訓(xùn)指導(dǎo)教程（h3c授權(quán)網(wǎng)絡(luò)學(xué)院教程系列）[M].北京：清華大學(xué)出版社，2013.endprint