校園無線網絡接入方案探討

莫順朝

（廣州財經職業學校，廣東 廣州 510515）

校園無線網絡接入方案探討

莫順朝

（廣州財經職業學校，廣東 廣州 510515）

隨著計算機網絡技術的發展，校園無線接入的需求日益增長，文章就當前網絡技術及學校應用情況，提出適合一般校園接入的方案設計，以求解決當前學校的實際問題。

校園網；無線網絡；網絡接入技術

計算機網絡誕生于20世紀60年代，經歷了三十多年發展之后，到90年代呈現爆炸式發展，網絡迅速普及，各種網絡產品和服務不斷被推出。進入21世紀，計算機網絡持續變革，所有前沿研究領域均取得長足進展。IP接入網標準ITU-T Y.1231的推出，極大地促進了IP接入網技術的發展。其中，無線技術的成熟催生的高速無線接入網特別引人矚目。國內的“無線城市”建設正處于熱潮期，加入無線接入“俱樂部”的城市已達數十家。奧運會、世博會以及公共事業發展的需要，都成為國內無線接入網發展的強力“催化劑”。很多學校園區、寫字樓和小區公共區域等對于這種無線接入的需求也越來越緊迫。當前，很多學校教學區園區網絡主要以有線接入為主，尚未部署室外無線接入網絡。而隨著Wi-Fi技術的成熟，擁有Wi-Fi功能的筆記本電腦、手機等消費電子產品逐步普及，教師和學生對于無線接入的需求日益增長，為原有有線園區網絡提供無線接入功能變得非常有必要。

與傳統的有線接入網絡相比，無線接入網絡具有許多有線接入網絡所無法比擬的優勢。

（1）經濟：無線接入網的安裝、維護費用大大低于有線接入網絡，而且接入網費用與用戶距離無關，這在經濟不發達地區尤顯其經濟優勢。

（2）能迅速提供業務：無線接入網安裝容易，建設周期短；而有線系統不僅建設周期長，而且要占用土地資源，施工接續困難，設備易遭人為破壞，還容易受到自然災害的影響。

（3）靈活：無線接入網靈活可變，不需要預知用戶位置，容量可大可小，易擴容。

（4）覆蓋面大：無線接入網在基站合理選址的情況下，可覆蓋達30公里以上的地域，從而優化網絡結構，降低網絡投資。

無線接入網絡涉及多種無線接入技術。這些技術中有些存在功能或者定位上的重疊，由此也引發了許多關于這些技術的爭論。比較常見的是Wi-Fi與WiMAX之間的競爭、WiMAX與TD-SCDMA等3G技術的競爭。

Wi-Fi本是局域網技術，然而它的迅速發展導致目前無線城市建設普遍采用Wi-Fi技術，這與WiMAX的城域網定位沖突。因為Wi-Fi在覆蓋范圍和傳輸速率上都不及WiMAX，且本身存在一定的缺陷(干擾問題、QoS問題)，所以WiMAX將取代Wi-Fi的呼聲日益高漲。

WiMAX本身的問題在于，純WiMAX網絡建設的投入過大，在國內不僅要購買許可頻段，而且還要向國外購買技術專利。而且各廠商設備之間技術差距較大，設備之間的兼容性差。相比之下，使用公共頻段的Wi-Fi城域網的建設將便宜很多(雖然也伴隨著更多的信號干擾)。最主要的是：WiMAX的產業鏈畢竟不完善，用戶終端產品幾乎難覓蹤跡，而基于IEEE 802.11系列標準的無線網卡卻早已遍及各類數碼產品。

考慮到兩種技術各自的特點，可以將WiMAX與Wi-Fi結合起來。用戶利用Wi-Fi孤島接入，再使用WiMAX連接孤島完成熱點回傳，利用WiMAX的大范圍覆蓋和非視距傳輸，完全免去鋪線的高昂費用，解決鄉村偏遠地區的寬帶普及問題。由此可見，兩者之間的互補關系遠遠大于競爭關系。

一、Wi-Fi網絡架構

無線接入技術多種多樣，其中使用最多，也最為人們所熟知的是Wi-Fi技術。使用Wi-Fi技術可以搭建多種不同架構的無線接入網絡，適應多種應用環境。常見的Wi-Fi網絡架構主要有三種：自治式架構、集中式架構、分布式架構。

1.治式架構

在自治式架構中，AP(Access Point)完全部署和端接IEEE 802.11功能。因此，無線客戶端的數據進入有線局域網后的數據幀全部都是IEEE 802.3幀，每個AP都可以作為網絡上的一個單獨的網絡實體進行獨立的管理。這種網絡中的接入點被稱為Fat AP。在WLAN部署的發展初期，大部分AP都是自治式的AP，可以作為獨立的網絡實體進行管理。

2.中式架構

集中式架構是一種層次化的架構，包括一個負責配置、控制和管理多個AP的WLAN控制器。WLAN控制器也被稱為接入控制器(AC)。IEEE 802.11功能由AP和AC共同承擔。與自治式架構相比，這種模式中的AP的功能有所減弱，因此它們又被稱為“瘦AP”，AP上的部分功能是可變的。集中式架構的主要優勢在于，對于企業中的多個AP，它能為網絡管理員提供一種結構化的、層次化的控制模式。

3.布式架構

在分布式架構中，不同的AP通過有線或者無線連接，與其他AP建立起分布式網絡。一個由AP組成的網狀網(Mesh網絡)就是這種架構的典型例子。網狀網中的AP可以與802.11鏈路或者有線802.3鏈路相連接。這種架構與集中式架構相比，有多個分布在不同區域的WLAN控制器，這些WLAN控制器之間有互相連接形成域控制器共同管理AP。分布式架構通常用在城市網絡部署之中，很多城市的無線城域網便是采用這種架構。

二、選擇適合的接入方案

無線接入網絡與傳統有線接入網絡的最大不同是：使用無線接入代替線纜接入，而對原有骨干網絡影響較小。根據具體接入需求的不同，選擇不同的無線接入方案。按照需要覆蓋環境區分，可分為以下四種方案：

（1）家庭、辦公室環境：這類區域通常需要覆蓋的面積不大，結構簡單。一般使用Wi-Fi技術，使用少數配置全向天線的FATAP即可滿足接入需求，配置也比較簡單。

（2）樓層環境：這類環境一般結構復雜，主要需要考慮墻壁等障礙物對無線信號的衰減作用，以及與其他已有AP之間的干擾問題。在部署FAT AP時，需要詳細測量環境中的信號強度，控制AP的發射功率。除了使用傳統AP的接入方案之外，還可以使用分布式天線系統(DAS：Distributed Antenna System)。DAS 對不同的系統進行分區域的覆蓋，避免了大規模無選擇性覆蓋對于系統和功率的損耗。

（3）園區環境：辦公室和樓層環境都針對室內覆蓋，而園區環境開始涉及室外覆蓋。園區內需要覆蓋的范圍通常較大，需要部署較多的AP，解決無縫覆蓋問題。傳統的FATAP網絡架構，存在AP管理難度大、配置復雜、安全性差等問題。可采用適中AP(FITAP)+無線控制器(AC)的新型網絡架構，不僅方便管理，而且能保證移動性強的實時數據流通信。

（4）城區環境：以前運營商提供無線接入使用的是傳統BWA技術，主要是指以固定寬帶為技術特征的多路多點分配系統(MMDS)和本地多點分配系統(LMDS)。MMDS/LMDS都存在各自的缺陷，而IEEE組織新制定的802.16系列標準(WiMAX)，涵蓋了MMDS/LMDS的工作頻段，而且大大提升了性能，成為運營商建設無線城域網的新手段。在目前WiMAX終端尚未普及的情況下，主要與WLAN熱點結合，使用熱點回傳和駐地接入模式提供高帶寬的無線數據傳輸通道。

一般中專校園占地面積較大，有三種可供選擇的校園無線接入網絡方案。

方案一：自治式全覆蓋。

采用傳統配置全向天線的自治式AP，使用蜂窩網絡覆蓋校園。每個區域使用1個胖AP覆蓋，相鄰區域輪換使用1、6、11信道以減少干擾。室外環境作為IEEE 802.11b AP，理論有效距離為100米。每個AP覆蓋面積約為0.03 km2，這樣計算只需要18個AP就可達到理論上的全覆蓋。

這種覆蓋方式實施比較簡單，但是無線接入網絡的可靠性較差，單個AP故障容易引起區域無線接入網絡失效。在室外環境中因為建筑、地形、樹木、人群等眾多干擾因素，AP往往無法達到100米的有效距離。而且這里存在一個多級速度變換的問題：當客戶端遠離AP時信號會減弱，為了確保數據傳輸的精確，AP會降低數據率，客戶端的帶寬便無法保證。為了保證任何地點都需要有11Mbps的接入速度，就需要增加AP密度。這會增加信道規劃的難度，也意味著更多的信號干擾。而且AP的配置和管理將會變得非常困難：管理員需要登錄到每個AP上進行配置，而當某一區域出現無線接入網絡失效時，需要檢查附近所有AP來確定故障AP。

方案二：集中式重復覆蓋。

第二種方案使用集中式架構，使用Fit AP代替方案一中的胖AP，在有線局域網中增加一臺無線交換機。每個區域都配置2個AP，AP之間互為備份，單個AP故障也不會引起整個區域的無線接入網絡失效。而且通過AP之間的負載均衡功能，可以保證每個區域無線接入用戶的帶寬。AP是零配置，硬件主要由CPU＋內存＋RF構成，配置和軟件都要從無線交換機上下載。所有AP和無線客戶端的管理都在無線交換機上完成。AP和無線交換機之間的流量被私有協議加密，無線客戶端的MAC只出現在無線交換機端口，而不會出現在AP的端口。可以在現有的LAN拓撲上部署通用的無線解決方案，而無需重新配置主干或硬件。

此方案可以提高校園無線接入網絡的可靠性和接入用戶帶寬。但是，并不是所有區域都有高帶寬的無線接入需要，較高的AP密度會增加建設成本和資源浪費。

方案三：集中式區別覆蓋。

校園無線接入網絡的主要用戶群體是教師和學生。從學校的學習和生活中發現，用戶群體往往集中在幾個特定的區域，并且在不同區域對于無線網絡的需求也不相同。因此，在方案二的基礎上加以改進提出方案三。

方案三的整體網絡架構與方案二相同，只是在AP的覆蓋上需要根據用戶的密集程度和需求，將覆蓋區域分成三種類型。針對不同的區域類型采用不同的AP部署方式。

（1）A型區域：用戶密集區域，包括圖書館、教學樓、活動中心周邊。此區域對帶寬有較高要求，需要重點覆蓋以充分保證無線網絡的可用性。

（2）B型區域：用戶集中區域，包括所有主干道路和校門。這一區域接入用戶相對較少，對于帶寬要求也不高。但是用戶很可能處于移動狀態，對無線網絡的移動性有一定要求。

（3）C型區域：用戶稀疏區域，包括綠地、足球場、籃球場。這類區域用戶較少或使用頻率較低，只需實現信號的基本覆蓋。

綜合考慮三種方案：方案一部署簡單廉價，但是網絡欠缺可靠性；方案二穩定可靠，但是成本過高；方案三根據具體校園環境改進了方案二，在獲得無線網絡可靠性的同時縮減成本，所以建議采用方案三作為校園無線網絡模式。

三、無線網絡安全規劃

校園環境不像企業環境對安全性有非常高的要求，但也需要采取安全措施保證網絡安全運行。由于無線接入的特殊性，需要將無線接入網絡作為不信任網絡處理。主要通過以下幾種方式提升無線網絡安全性：

（1）用戶認證：任何用戶都可以連接到無校園網絡，但是在沒有通過認證之前，只能連接HDU-Internet，滿足教師、學生以及外來訪客對于無線Internet接入的需要。而當用戶訪問學校內網資源時需要連接HDU-LAN，只有通過密碼認證才能獲取訪問內網的權限。

（2）用戶數據加密：接入HDU-Internet的用戶數據在無線網絡中的明文傳輸的數據并不加密。而HDU-LAN采用WPA加密，可以保證用戶數據在無線網絡內的安全。

（3）ACL：在局域網核心設備上，針對無線接入用戶的IP地址段實施ACL。允許VLAN20無線用戶訪問校園內網，拒絕VLAN10訪問。參考配置如下：

Core(config)#access-list 10 denyip 10.0.0.0 0.0.0.255

Core(config)#interface po1

Core(config-if)#ip accsee-group in

（4）惡意AP檢測：惡意AP是指在未獲得許可的情況下，擅自安裝的AP。惡意AP以及關聯到此AP上的用戶都會對網絡安全造成威脅。在無線交換機上啟用惡意AP檢測功能并對它們采取反制措施。

（5）控制無線覆蓋范圍：雖然無線校園的目的是提供一個大范圍的無縫覆蓋的無線接入網絡，但是不加控制的無線信號發射可能會成為網絡的一大隱患。校園外的環境是不需要也不應該被無線信號覆蓋的，否則可能會導致許多有意或無意的網絡攻擊。可以通過減小AP發射功率和調整天線方向的方法來控制無線覆蓋范圍。

TN

A

1673-0046（2010）7-0163-03