無線校園局域網方案設計與實現

王肖飛

摘 要：網絡工具的日益完善對校園無線網絡提出更高要求，既要保障無線校園局域網靈活性、穩定性，也要保障局域網安全性。文章以某高校無線局域網建設為例，闡述無線校園局域網方案的設計以及具體實施措施等，以此為校園無線局域網建設提供經驗。

關鍵詞：無線局域網；設計；安全

智能型校園的構建對校園無線局域網的要求越來越高。某高職院校長期以來采取有線接入的校園局域網模式，雖然能夠滿足日常的教學工作需要，但是隨著通信網絡的快速發展，有線網絡布局模式已經不適應校園信息化建設的步伐。因此，設計無線校園局域網成為當前高校信息化建設的基礎。

1 無線校園局域網總體方案設計

1.1 某高校局域網需求分析

網絡設計的前提是必須要準確把握用戶的需求。高校無線局域網設計的主要對象是高校師生，其目的就是服務日常的教學、科研以及學習。因此，某高校將無線局域網設計目標設定為：覆蓋全校的無線局域網，實現無線接入點的高速互聯。具體表現為：（1）全面的運維管理。無線局域網必須要具有較高的可維護性，能夠通過監測平臺實現對無線局域網運行狀態的監測管理。（2）支持多種業務。由于高校教學、科研的形式比較多，因此，無線局域網必須要具有支持多種業務的能力，例如數據傳輸、視頻教學以及網頁檢索等。（3）安全性。安全性是校園局域網設計的關鍵目標。保障無線局域網安全不僅是保障校園教學秩序的基礎，也是保護用戶信息安全的關鍵。（4）設計靈活。由于計算機技術的不斷發展，無線局域網在設計時必須要考慮到以后的擴容等因素，因此，需要采取較為靈活的部署方案。例如實施數據傳輸加密、訪問控制等措施。

1.2 無線校園局域網設計的原則

校園無線局域網設計不同于企業無線局域網設計，結合某高校對無線校園局域網設計需求的分析，局域網設計必須要遵循以下原則：（1）實用性。隨著網絡的普及，高校在設計局域網時必須要立足于校園實際需求，按照從總體到局部的原則，將實用性作為設計的第一要素，避免出現“華而不實”的設計方案。例如，校園局域網的基本要素就是滿足教學、科研活動，因此，在功能設置上不必要過度追求“超快、超多”的現象。（2）可靠性。校園局域網設計必須要堅持可靠性，既要保障日常教學工作的有序進行，也要保證教學資源信息化的穩定，因此，無論是在硬件設施上還是軟件設計上都要注重質量，加強監管。（3）兼容性與可擴展性。無線局域網設計必須要保證設備接口符合國際標準接口，同時還要在當前網絡規模下具備一定的擴展空間，以此滿足日后的在線升級等要求。

1.3 校園網絡整體結構設計

考慮到日后的管理與維護，某高校無線局域網系統采取的較為成熟的3層體系結構：（1）網絡層是實現骨干網絡之間數據傳輸的重要部分，因此，為了保證核心設備的性能，選擇DCRS-7608構建。網絡核心層與匯聚層則采取千兆鏈接模式。（2）匯聚層設計。匯聚層是學校各個單位信息傳輸的匯聚連接作用，其性能直接關系整個系統的好壞，因此，匯聚層交換機應該具有支持多業務、具備高轉發能力的功能，以此達到快速傳輸數據信息的要求。考慮到高校用戶數量多的因素，在獨立的辦公樓、宿舍以及教學樓、圖書館等放置一臺匯聚交換機。（3）網絡接入層設計。網絡接入層采取高性能的DCS-3950，通過千兆銅纜實現數據的傳輸與接收。其中無線網絡系統是由智能控制平臺和智能無線接入點（Access Point，AP）組成，以此實現對數據轉發層面和信息路由控制層面的分離，避免控制系統的單點故障[1]。網絡整體結構設計如圖1所示。

圖1 校園無線網絡結構示意

2 無線校園局域網方案具體設計措施

2.1 IP地址和VLAN規劃

考慮到無線局域網的統一管理要求，某高校的無線局域網IP地址主要分為兩類：（1）基于AP自身的IP地址（管理地址），其主要是按照AP數量進行規劃。（2）用戶終端使用的IP地址（應用地址），其主要是根據用戶數確定。由于某高校沒有啟動IPv6服務，因此，無線網IP地址和VLAN地址分配遵循以下原則：AP管理地址以樓為單位分配一個C類地址，室外AP管理歸口對應上行接口的樓宇地址段；無線應用地址分配，辦公樓、宿舍、以樓層為單位，每個樓層一個C4地址，并配置對應的VLAN，教室、會議室、圖書館等用戶密集區域適當增加IP地址，合并多個C4解決。室外以AP為單位，為每個AP分配一個C4地址，并配置對應的VLAN。

2.2 無線局域網技術設計

校園無線局域網設計的關鍵是做好相關安全技術的選擇。影響無線局域網的因素主要有網絡層、接入口等方面。（1）網絡的安全防護。本設計方案選擇DCRS-7608具有較高的安全性能，其不僅能夠有效防止ARP-DOS的攻擊，而且還具有掃描、安全ICMO等功能，有效防止核心網絡層不受到攻擊。（2）做好外網用戶的VPN安全接入設計。外部認知是當前較多采用的方式，其可以解決有線、無線網絡的統一認證，便于統一管理。本次設計采取的Portal認證，其最大的特點是基于Web頁面推送，不需要安裝客戶端，兼容 PC、手機、平板等各類終端。（3）AP供電技術。由于在高校無線局域網設計中需要應用大量的AP設備，而AP設備的運行需要電能的支撐。本次無線局域網設計是在原有建筑的基礎上進行改造，因此，對于室外AP供電問題成為無線局域網設計所需要解決的重要問題之一。結合實踐采取的是用標準的802.3af對AP進行供電，具體就是通過匯集交換機處疊加一個供電電源，通過以太網線在傳輸數據的同時實現對AP的供電。

2.3 校園無線局域網覆蓋方案

某高校無線局域網建設屬于在原有有線網絡的基礎上進行改建擴建，因此，無線局域網設計覆蓋范疇為高校大部分建筑的室內以及人員較多的室外活動場所。在具體的無線覆蓋設計時必須要考慮到信號對人體可能存在的危害因素，實現“綠色環保”理念。例如，本次設計在教學樓（共5層）時可以采取每層設置一套9天線室內分布系統進行覆蓋，射頻電纜通過豎井連接到2層匯聚機房內，實現對網絡設備體系的統一管理。在覆蓋問題設計上必須要考慮無線信號問題，例如對于AP室內無障礙的覆蓋，則不需要考慮到穿墻等因素，可以采取吸頂天線的方式。而對于室內具有障礙的則要考慮到信號穩定因素，例如高校圖書館走廊比較多，會影響信號的傳輸，因此，可以在走廊中間布置AP，以此覆蓋圖書館兩邊房間區域的信號[2]。

2.4 設備選型

在無線局域網設計過程中，對于設備的選擇首要的考慮因素就是安全性能。（1）無線控制器的選擇。根據本次無線局域網AP數量以及功能的要求，該高校選擇基于思科 Catalyst6500的模塊化產品WiSM2，該產品具有較高的可靠性和可拓展性，能夠適應于較大規模的無線局域網構建中，提供穩定的服務。（2）POE交換機。根據實際需求，POE交換機選用Catalyst 2960 X系列，根據AP接入數量確定接口數量和型號。AP密集區域采用48口，其他區域采用24口。（3）無線AP。AP盡量選用支持802.11ac的產品。

3 無線校園局域網設計測試與優化

在高校無線局域網建設中需要通過網絡優化檢測頻率分配、站點參數調整等不斷優化無線網絡的性能，因此，高校在完成無線局域網設計后需要進行網絡測試。為了保證測試的準確性，必須要將覆蓋盲區、用戶投訴區域以及切換區等進行測試，以此保證測試數據的全面性。通過系統的測試，得出以下結論。

（1）無線覆蓋率。通過對全校重點覆蓋區域的檢測，高校檢測區域的無線信號強度平均在﹣70 dBm以上，網內丟包率小于1%，可見從整體上無線覆蓋率要優于設計標準。

（2）加強對無線局域網的統一管理，大大提高了工作效率。本次設計的無線局域網是建立在原有的有線網絡基礎上，同時考慮到統一管理的要求，在設計無線局域網的過程中考慮到了日后的管理問題，因此，利用WiSM2產品實現了對校園網絡的統一管理，大大提高了工作效率，有效規避了網絡風險。

（3）實現了無線局域網的靈活性，方便了用戶使用。本次校園網無線項目不涉及認證功能模塊的架設，只需將無線網絡地址段劃入原有校園網認證服務器統一管理，即可同步實現無線網絡的認證和審計功能。

當然，本次設計的無線局域網還存在部分區域信號不穩定（沒有考慮房間角落信號覆蓋問題）、室內金屬設施擺放位置與AP安裝相沖突導致信號被衰減以及AP設備出現故障等問題。因此，需要我們在以后的工作中加以注意并且改進，以此構建高效、穩定的校園無線局域網。