升級校園無線網

■

引言

隨著互聯網絡的發展，各種終端的不斷應運而生，大量的應用豐富了校園網的學習、生活。面對快速發展的校園網信息化建設以及大量的智能手機、平板電腦等移動終端進入到師生的學習生活中，如何建設一個高速、穩定、便捷、易管理的無線網絡是教育機構最迫切的需求。在高校的網絡環境中，無線網以其靈活布設、高帶寬和無線接入的優勢，可以突破有線網絡節點限制、實現多人同時上網的問題，大大地增加了校園網絡信息點，方便在校師生獲取信息，進一步提升學校的信息化水平。此外，無線網絡環境的引入，為嶄新的無線多媒體提供了應用平臺，從而將教育信息化建設帶入一個嶄新的天地。無線技術在校園中的無線應用有廣闊的前景，在實現與其他運營商之間的互聯互通之后，將會發揮出更強的作用。因此，在高校網絡建設中，倡導無線技術的應用意義重大，擁有良好前景。

對外經濟貿易大學（以下簡稱外經貿大學）位于北京市朝陽區，地理位置優越，沒有分校，校園土地資源緊張，全校園區占地面積500余畝，全校師生1.7萬余人，工作區、學習區、生活區混雜在一起，人口密度大，作息時間較為分散。

作為一所“國際化、財經類”特色見長的學校，如何適應學校特點，做好信息化方面建設，服務好廣大師生一直是學校建設重點，尤其是在無線網絡建設方面。因此，對外經貿大學將“以需求為導向，以提高學校核心競爭力為目標”作為信息智能化校園建設的戰略目標，其中著重提出了“無線校園”的建設目標。

外經貿大學校園網始建于1997年，歷經10余年發展，有線校園網絡已覆蓋全部教學、辦公、學生等區域的所有建筑物，目前已實現萬兆主干、千兆樓宇、百兆到桌面的IPv4/IPv6雙棧網絡，全校總計近21000個信息點，其中教學辦公區域近5000信息點，宿舍區域近16000信息點。雖然有線網絡已經基本上滿足了全校師生上網需求，但是隨著移動互聯網的發展，移動手持設備如智能手機、PAD、筆記本電腦等越來越普及，以及移動辦公、教學應用技術的飛速發展，有線網絡只能在固定地點上網的弊端就凸現出來，學校在教學、科研、管理等各方面都出現了建設無線網絡的迫切需求。同時高校信息化建設中出現的一些新趨勢，如校園智能APP、數字化校園門戶等適用于移動手持設備的信息化產品的出現，都需要學校提供能夠隨時隨地支持各類移動終端設備接入的無線網絡。

方案設計

方案設計原則

對外經貿大學無線網絡建設過程中考慮到建設的成本和學校重要時間安排，分為兩期建設。第一期主要是實現教學和辦公樓、公共區域的無線覆蓋，共計建設有460個AP點位，實現有線、無線網絡統一認證；第二期是將所有宿舍樓納入無線網絡中，共鋪設800個AP點位，引入開發無線網絡管理軟件，實現網絡可視化、遠程化管理。同時在后續使用過程中不斷開發基于無線網絡的移動應用軟件，逐步完善學校移動信息化建設。

方案技術標準與實現

無線網絡進行過程中，采用了大量先進技術，確保技術在5-10年不會落后、淘汰。采用的技術標準主要有：

802.11n技術，開啟雙頻段接入

整個網絡采用最新的802.11n技術標準，保證了技術上的先進性。802.11n技術于2009年由IEEE正式批準通過成為無線傳輸標準。它是在802.11g和802.11a之上發展起來的一項技術，最大的特點是速率提升，理論速率最高可達300Mbps。802.11n可工作在2.4GHz和5GHz兩個頻段，分別向下兼容802.11g和802.11a。802.11n主要是結合物理層和MAC層的優化來充分提高WLAN技術的吞吐。

在傳輸速率方面，802.11n可以將WLAN的傳輸速率由目前802.11a及802.11g提供的 54Mbps，提 高 到 300Mbps甚至高達600Mbps。

在覆蓋范圍方面，802.11n采用智能天線技術，通過多組獨立天線組成的天線陣列，可以動態調整波束，保證讓WLAN用戶接收到穩定的信號，并可以減少其它信號的干擾。因此其覆蓋范圍可以擴大到好幾平方公里，使WLAN移動性極大提高。

在兼容性方面，802.11n采用了一種軟件無線電技術，它是一個完全可編程的硬件平臺，使得不同系統的基站和終端都可以通過這一平臺的不同軟件實現互通和兼容，這使得WLAN的兼容性得到極大改善。這意味著WLAN將不但能實現802.11n向前后兼容，而且可以實現WLAN與無線廣域網絡的結合，比如3G、4G。

目前，大多數無線產品都支持2.4GHz和5GHz兩個頻段，但是因為用戶本身的專業知識比較薄弱，而且大部分無線接入服務供應商也沒有進行有效的引導，再加上802.11b/g比802.11a的應用更為廣泛，最終很多雙頻產品都使用2.4G頻段，造成2.4G頻段的擁擠和5G頻段的浪費。實際上，5G頻段擁有更高的接入容量：2.4G頻段最多只能有3個不重疊的通訊信道；而5G頻段卻能提供更多不重疊的通訊信道，在中國有5個，而北美更是多達24個。基于此，在無線網絡建設中開啟了雙頻段接入，拓寬接入信道，增加單AP接入設備數，解決了學校高密度環境下無線接入問題。

多SSID接入，確保信號不會相互干擾

因學校的無線網絡建設同時引入了校外移動通訊商的無線信號建設，因此需要發出除了UIBE-WLAN學校自身無線信號外其他信號。同時由于學校人口密度大，導致AP點位分布也比較密集，為保證信號質量，外經貿大學采用多SSID接入，確保信號不會相互干擾。

所謂多SSID接入即在單個AP上使用多個邏輯AP（Virtual AP），每個邏輯 AP上開啟一個SSID，這樣就實現在一個AP上開啟多個SSID，每個SSID可以設置不同的認證、計費、安全策略等。用戶通過關聯上不同的SSID，就可以實現不同的上網策略選擇。同時這些SSID由同一硬件設備（AP）發出，信道、功率等設置完全一致，相互之間不會干擾。而不同AP間采用合理的信道規劃原則，將干擾降到最低。

例如外經貿大學的SSID信號既包含UIBE-WLAN（學校自身無線信號），也包含移動運營商的信號，利用多SSID的組網方式實現無線網絡共建，其中AP、AC以及線路的鋪設都通過共建實現，而AC到不同核心網絡及出口部分則由學校和移動運營商自己建設。對于AP的覆蓋方式，根據熱點的現場情況，可以采用AP直接放裝、AP接入分布系統等多種方式靈活實現，覆蓋方式對多SSID組網不存在影響。在AC上通過不同的配置，將AP上廣播的SSID信號分配到不同的VLAN中，通過不同的網絡出口，實現網絡訪問。通過這樣的設置，即可滿足不同的上網需求，且能保證在組網上統一、覆蓋方式及覆蓋效果統一。

胖AC+瘦AP體系結構

為方便學校實現對全部無線設備及用戶的統一集中管理及方便用戶的使用，在無線網絡建設的體系架構中采用了“胖AC+POE交換機+瘦AP”體系架構。

AC：即無線網絡控制器。在瘦AP架構的WLAN網絡中扮演管理AP的角色。

瘦AP或胖AP：瘦AP，無線訪問接入點。在瘦AP架構的WLAN網絡中提供接入服務，通常分布在無線網絡服務區的多個地方，用于覆蓋該服務區，提供無線服務。胖AP，一種控制和管理無線客戶端的無線設備。數據在客戶端和LAN之間傳輸需要經過無線到有線以及有線到無線的轉換，而FAT AP在這個過程中起到了橋梁的作用。

STA（Station）：客戶端，可以是裝有無線網卡的計算機，也可以是有WiFi模塊的智能手機。可以是移動的，也可以是固定的，是無線網的最基本組成單元。

POE交換機：對AP進行供電，同時起到AP接入作用。

在傳統的胖AP部署方式中，AP將WLAN的物理層、用戶數據加密、用戶認證、QoS、網絡管理、漫游技術以及其他應用層的功能集于一身。無線網絡解決方案可由Fat AP直接在有線網的基礎上構成。缺點：①對每AP都需要配置，難于集中管理；②無法對射頻環境進行監控調整；③適合小規模組網。

而瘦AP部署方式克服了胖AP模式的一些缺點，所有的AP在AC（無線控制器）中統一管理，實現對所有AP進行管理/認證安全/報文轉發/RRM/QOS/漫游集群等功能。AC上配置好文件，AP本身零配置，管理簡易；增加射頻環境監控，基于用戶位置安全策略，高安全性；適合大規模組網。

外經貿大學無線網絡的部署，采用的就是“胖AC+POE交換機+瘦AP”的體系結構。通過將AP統一納入AC中管理，簡化了AP配置流程。實現對所有AP的集中控制管理，并且這種方式還具有射頻管理、配置更改、接入控制、網絡安全、用戶認證等一系列管理功能，具有極強的靈活性與可擴展性。

統一身份認證，雙網融合

在校園網絡環境下，網絡用戶多樣化，有教職工、學生、短期培訓生、訪客等等，同時隨著無線網絡的開通，多種網絡用戶、多種網絡形式導致接入方式多樣化。按照學校的實際情況，網絡接入方式有如下幾種：

①按用戶類型：教師用戶、學生用戶、外來用戶；

②按訪問權限：訪問內網、訪問外網；

③按認證形式：客戶端、Web瀏覽器；

④按使用介質：有線方式、無線方式；

⑤按所在位置：校內訪問、校外VPN接入；

⑥按承載協議：IPv4協議、IPv6協議

多樣化接入方式帶來多重挑戰，如投資成本高：多套系統投資成本高；管理難度大：管理復雜工作量大；用戶體驗差：多套賬號密碼用戶體驗差；網絡安全弱：安全威脅大、審計困難；對接擴展差：各個系統身份數據不統一、為后續與一卡通、數字化校園身份系統帶來更高的復雜度和成本。

因此，為方便校園網用戶接入，在原有有線認證系統中為無線網絡添加接口，將有線上網賬號應用到無線網絡中，實現統一認證，在接入層面實現雙網融合；同時無線網絡建設中，通過AC設置將無線網絡出口納入到有線出口中，實現雙網出口融合。

開啟無感知認證，實現“一次登錄，自動連接”

傳統的校園認證方式大多采用Portal方式，以外經貿大學為例，當用戶連接上UIBEWLAN后，在瀏覽器內輸入任何網址都會首先被重定向到Portal服務器的認證頁面，只有在該頁面認證通過后方才能正常訪問互聯網。

Portal認證方式一個很大缺陷就是用戶在使用的過程中，每次上網都需要重復輸入用戶名和密碼，非常的繁瑣復雜，特別是當用戶在校園不同樓宇間移動掉線后，更需重新認證，浪費了大量時間，降低了用戶的友好體驗。

圖1 無感認證過程

無感認證則是指用戶僅需在首次接入無線網絡時輸入帳號密碼，后續進入無線覆蓋范圍內后自動完成認證。初次配置很簡單，僅需輸入賬號密碼即可完成認證，后續認證無感知，后續再也無需手工認證，由設備在后臺自動完成。

無感認證原理很簡單，它采用Web/MacByPass技術，在用戶首次通過portal認證后，就可以無感知接入網絡，下次上網時會自動接入網絡。Mac By Pass認證協議采用無線終端的MAC地址radius認證，只要在認證計費服務器記錄了該終端的MAC地址，該終端即可自動連接上網。無感認證過程可以用圖1表示。

無感知認證方式基于802.1X的安全認證體系，不僅保證了網絡接入的安全性，而且還把用戶從繁冗的認證操作中解放出來，大大節省了連網花費的時間，給用戶帶來了良好的上網體驗，真正實現了用戶在無線信號覆蓋范圍內的任意地點無感知上網。以1000用戶上網為例，無感知認證每年可節省近100000分鐘的時間，如表1所示。

表1 無感認證節省時間

建設成果

對外經貿大學無線校園網項經過近一年時間的建設，順利完成，正式向全校用戶提供無線服務。無線校園的建設實現了無線網絡的校園全覆蓋，拓展了學校師生上網途徑，方便用戶隨時隨地獲取網絡信息，為學校移動信息化建設創造了條件。

兩網融合、統一認證

構建了基于AC+POE+瘦AP體系結構的無線網絡，實現用戶的高可靠性、高密度接入，實現無線信號全校覆蓋。將無線網絡與有線網路雙網融合，實現一個賬號，雙網登陸。同時將上網賬號納入統一認證平臺中，實現單點登錄，打通上網賬號和學校信息平臺及其他信息系統之間的登陸壁壘，減輕用戶記憶負擔。

隊伍建設、信息員制度建立

為做好校內部門間溝通協調工作，保證建設順利進行，同時培養校內各單位信息化專門建設人員，提高全校信息化隊伍素質，保證后續信息化其他項目建設順利開展，專門成立了信息員制度，要求每個部門指定專人擔任部門信息員，負責部門信息化建設，接受信息化管理處不定期的信息化培訓。

無線網絡的建設，培養了一批優秀的技術人員，這些人將來會成為我校信息化建設的技術骨干。同時，建立了信息員制度，促進了全校信息化隊伍建設。

基于無線網絡的應用

開發基于無線網絡的手持移動設備應用，開展基于第三方平臺的信息服務。無線網絡的建成，為全校的移動信息化的建設提供了便利，在此基礎上，開發了多款基于無線網絡的APP應用，如移動門戶等。利用第三方微信平臺，開展網絡報修等信息服務。如微信報修，我們在微信平臺提供了自助服務（包括自助充值、查詢余額、暫停賬號、恢復使用、修改個人信息）、常見故障、網絡報修三項服務。用戶可以很方便的通過移動設備隨時隨地來完成網絡保修等服務。

應用效果

運行數據

學校無線網絡自建成正式投入使用以來，截止到2014年底，共安裝部署AP1200多個，開通無線賬號1.6萬余個，同時在線人數平均到達4000余人。設計開通基于無線網絡的應用10多項，開展無線報修、智慧戶籍等多項無線業務。日均網絡流量達到400M左右。針對不同用戶開通不同權限，如教師身份一個用戶可以同時接入3臺不同無線設備，學生身份用戶可以同時接入2臺無線設備，開通無感知認證功能。

績效分析

首先是時間效益，無線網絡的建設成功，極大地方便了廣大師生上網需求，減少了用戶獲取消息的時間，使得用戶能隨時隨地獲取網絡信息，形成一種“live on line”的常態，用戶可以使用第三方的即時通訊工具，實時保持與外界聯系。另一方面，快速的接入網絡，也方便用戶獲取最新知識，例如教師可以從網上獲取最新的教學資料，最新的技術規范，方便老師教學；學生可以從網上獲取最新的就業信息，發布自己的簡歷等。

其次是服務意識的提高，服務方式的多樣化。無線網絡的開通，使得用戶可以隨時隨地的利用移動手持設備獲取信息，保持在線狀態，這也促使學校的一些服務部門開始嘗試使用移動終端來提供服務，如校保衛處提供的“智慧戶籍”，信息處提供的“微信報修”，以及學校的移動門戶等等。這些服務形式的出現，方便了廣大師生的工作生活和學習，也提高了學校各服務部門的服務意識。

再次是促進信息化建設。無線網絡的建設成功，為我校信息化建設做出重大貢獻，帶來了良機和動力，為我校信息化建設開辟了一個新方向。促使對外經貿大學信息化建設更加注重基于移動終端設備的系統建設，基于此開發了多種移動終端APP。

經驗總結

創新性

對外經貿大學的無線網絡建設，為以后信息化建設提供了很多借鑒，整個建設過程的創新性主要包括一下幾點。

⑴服務模式創新。由過去的被動變主動，等待變及時。過去學校很多服務部門在提供服務時往往是被動等待用戶來反映問題，而且提供信息方式只是發布公告等很被動方式，而這就導致用戶獲取信息難或者信息有滯后性。無線網絡的開通及移動終端的普及，促使服務部門要主動發現問題。

如網絡方面問題，過去只是被動等待用戶打電話反映網絡中斷或者在工作時間登錄網管系統去查看，往往發現問題的時候網絡已經中斷10幾分鐘。而通過無線網絡，可以開發基于移動終端的APP，一方面方便用戶報修，另一方面可以隨時隨地登錄移動網管系統，查看網絡情況，變被動為主動。

⑵信息化隊伍建設創新。高校內部學院、部門繁多，各部門、學院都有自己的一些信息化系統，要保證這些系統正常運行需要有專門的信息化管理人員，但是這些部門有的是請校外公司運維，有的是別的行政老師在負責，總之信息化人員良莠不齊。另一方面，當需要建設一些涉及全校范圍的信息化項目時，需要各個部門、學院配合，由于沒有專門的信息化管理人員，相互之間的溝通就常常會出現問題。

為了克服這些問題，做好校內部門間溝通協調工作，保證項目順利進行，同時培養校內各單位信息化專門建設人員，提高全校信息化隊伍素質，專門成立了信息員制度，要求每個部門指定專人擔任部門信息員，負責部門信息化建設，接受信息化管理處不定期的信息化培訓。這樣一來就為提高了全校的信息化水平做出了貢獻。

經驗教訓

總之，高校無線網絡建設經驗教訓有很多，總結起來有主要有以下三點。

⑴要以實際需求為導向：信息化項目不是空中樓閣，尤其是涉及到廣大師生工作、生活、學習等息息相關的、能看得見的項目。無線網絡建設的好不好，師生可以有明顯的體會，因此，實際建設中一定要把用戶的實際需要放在首位，以此為導向。

⑵重視信息化隊伍建設：對高校而言，由于編制、工資等條件的限制，很難吸引優秀人才到高校從事信息化建設。因此，一方面我們應該提高信息化人員的工作待遇，吸引新鮮血液加入到高校信息化隊伍，另一方面也要重視學校內部信息化隊伍建設，從學校現有的工作人員中挖掘適合從事信息化建設的人員，下大功夫去培養鍛煉。

⑶要把握技術前沿：信息化項目，涉及資金比較大，項目時間跨度比較長，因此在項目建設中一定要重視技術引用和創新，確保采用的技術現在不落后，并且在將來5-10年內也不落后，這就需要我們時刻把握技術前沿，以保證所采用的技術和設備不落后于實際的發展需求。