校園WLAN全覆蓋方案設計

周坤?李寶林?劉新蕊

摘 要：隨著教育信息化的不斷提升，校園無線網絡建設已成為校園數字化網絡建設非常重要的一部分。本文闡述了高校基于瘦AP組網方式的無線網絡建設方案設計，該方案考慮了信號覆蓋、安全認證、校方管理等問題，全方位呈現了校園WLAN建設過程，為校園無線網絡建設提供了一個很好的參考。

關鍵詞：校園無線網絡；瘦AP；融合認證

項目：四川省科技廳科技支撐（2013sz0056）

隨著學校教育信息化的提高與無線網絡終端的普及，使得師生在辦公樓、教學樓、圖書館、體育館、操場等開放性場所對無線網絡都有需求，學校師生對能隨時隨地接入網絡進行教學和科研的需求越來越普遍；故傳統的校園有線網絡已不能滿足學校的教學與科研需要。WLAN 技術和學校需求相結合，推動了無線校園網技術的發展；本文首先闡述了瘦AP的基本原理，然后從校園需求分析著手，完成了對高校無線網絡建設方案的設計。

1 什么是瘦AP

瘦AP的出現是隨著無線網絡建網，組網方式的不斷更新而應運而生的。無線控制器加瘦AP的控制架構，對設備的功能進行了重新劃分，其中無線控制器負責無線網絡的接入控制，轉發和統計、AP的配置監控、漫游管理、AP的網管代理、安全控制；瘦AP負責無線信號的傳輸、信號源的加解密、接受無線控制器的管理、RF空口的統計等簡單功能。大多數網絡設備廠家在支持瘦 AP 的組網架構的同時，將更多新技術新應用集成進無線控制器和瘦 AP 中，以便于給用戶呈現統一的網絡管理接口。

2 校園需求分析

經調查了解，如今高校無線網絡建設需求概括起來有以下幾方面：.1接入需求，要方便師生連接網絡，即在只有一個SSID的基礎上用戶通過學號或員工號連接無線網絡，并且能進行區域場景間的無縫漫游。；2.統一認證需求，需要與學校現有的認證計費系統融合，學生可自行選擇使用運營商服務，并且每種服務學生均一次認證上網。3.學校應用需求，建設好的無線網絡能滿足學校多種業務的承載，同時只要是校園注冊賬號登錄無論繳費沒有，都能直接訪問學校內網且不限流量；4.運維和管理需求，學校能夠自主修改用戶名和密碼，實現賬號管理；能夠對學生上網行為進行監控，能夠進行溯源、內容審計、過濾違規信息和網頁；無線網絡系統應該支持高效的運營網絡級的管理功能，方便未來無線網絡的運維管理。5.安全和可靠性需求，利用各種技術，保證無線網及校園網的安全和穩定。

3 校園WLAN方案設計

3.1 網絡架構設計

以現有的有線網絡作為骨干，通過無線技術提供現有有線網絡的有效拓展，并能提供新的業務。把無線接入設備（AP）作為網絡的接入層，把無線的控制設備（AC）作為網絡的核心層，接入已建立的認證系統、計費系統、網管系統，將無線網絡納入到網絡核心層的功能中去。

如上拓撲圖所示，整個校園無線網由前段AP、POE接入交換機、匯聚交換機、核心交換機、 BRAS組成。這種扁平化二層網絡架構將全網業務控制集中到核心交換機上，接入層只完成用戶接入、VLAN和端口隔離。使得整個網絡層次清晰，實現用戶之間/業務之間的有效隔離，避免相互之間的干擾和影響。同時簡化下層設備功能，減少維護需求，節省后期維護成本。也不需要為了支持新的業務而被迫升級或更新換代接入層、匯聚層設備，可以節省校園網絡設備的整體投入。

3.2 網絡描述

前端AP布點根據實際情況，建議在辦公樓、學生宿舍等用戶密度高，且有信號衰減的情況下用室內AP分布式天線建設，采用饋線入室的方式保證房間內信號強度；在教學樓、圖書館、會議室用戶密度高但無障礙環境下建議使用室內AP獨立布放方式；在操場、樹林等室外環境建議采用室外AP覆蓋。室內AP采用POE供電方式，通過超5類雙絞線直接與POE交換機相連。室外AP視情況，100m內采用POE供電方式，若距離較遠則采用本地供電，通過光纖接入交換機。前端AP接入接入層交換機后，接入層交換機采用光纖或網線的方式接入匯聚交換機。匯聚交換機采用光纖的方式上聯至校園核心交換機，無線控制器AC千兆旁掛在核心交換機。校園內服務器與AAA認證系統等串聯在核心交換機上，通過校園BRAS統一網絡出口外聯到運營商網絡和教育專網。同時在服務器上布置一套對應網管軟件，方便后期管理維護。

3.3 SSID劃分及用戶認證及計費

目前，Portal方式已經成為無線網絡的主要認證方式。本方案設計只設置一個SSID，學校配備一套本地AAA認證系統，當無線終端接入該SSID信號后，Portal服務器彈出登錄頁面，在頁面由用戶選擇上網模式（校園用戶或外來運營商的用戶）和對應的運營商，師生選擇校園模式和對應運營商，采用學號或員工號登錄后能直接訪問校內網，而外來用戶選擇運營商用戶模式和對應運營商，能實現一般上網需求。用戶登錄網絡后，BRAS根據用戶選擇的運營商劃分不同的域，然后透傳至對應運營商AAA系統實現二次認證。這種單一SSID劃分能避免不同運營商的設備重復投入與信號干擾，簡化校園網絡電磁環境，同時節約校園網絡建設投入和方便校方管理。融合認證平臺實現了高校計費認證系統與運營商AAA系統的無縫對接。采用標準Radius Proxy與運營商AAA進行聯動。用戶在各運營商處開戶然后自助和校內的賬號進行綁定后，即可實現二次融合認證，訪問網絡。

3.4 出口選路技術設計

出口BRAS可實現與學校AAA系統聯動。學校AAA認證計費系統上需包含各運營商模塊，當用戶賬號與校園網賬號綁定后，用戶即可加入對應運營商用戶組，出口綜合網關通過獲取AAA認證計費系統上的用戶組區分不同的用戶，同時根據AAA認證計費系統上用戶組設置的出口策略，動態生成一條策略路由，以實現基于用戶的選路，即可以實現對應運營商用戶認證通過后選擇相應出口。同時，針對學校的服務器區、機房和部分學生寢室區內的教師用戶，出口BRAS上均可以單獨設置不同的出口策略，以實現接入免認證、接入需認證，外網免認證等多種靈活的認證和出口策略。

4 結束語

本文結合高校無線網絡建設需求，設計了一套簡潔、高效的建設方案。該方案在降低學校投入的同時，實現了高校有線網絡與無線的融合；整個網絡統一認證統一出口，便于學校統一管理便和后期維護。對高校數字化校園建設提供了一個很好的參考。

參考文獻

[1] 王嘯虎. 無線覆蓋的主要技術探討[J]. 信息通信. 2012（01）

[2]張幼麟. 無線網絡的安全協議[J]. 計算機安全. 2010（01）