莫順朝

（廣州財(cái)經(jīng)職業(yè)學(xué)校，廣東 廣州 510515）

校園無線網(wǎng)絡(luò)接入方案探討

莫順朝

（廣州財(cái)經(jīng)職業(yè)學(xué)校，廣東 廣州 510515）

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，校園無線接入的需求日益增長(zhǎng)，文章就當(dāng)前網(wǎng)絡(luò)技術(shù)及學(xué)校應(yīng)用情況，提出適合一般校園接入的方案設(shè)計(jì)，以求解決當(dāng)前學(xué)校的實(shí)際問題。

校園網(wǎng)；無線網(wǎng)絡(luò)；網(wǎng)絡(luò)接入技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)誕生于20世紀(jì)60年代，經(jīng)歷了三十多年發(fā)展之后，到90年代呈現(xiàn)爆炸式發(fā)展，網(wǎng)絡(luò)迅速普及，各種網(wǎng)絡(luò)產(chǎn)品和服務(wù)不斷被推出。進(jìn)入21世紀(jì)，計(jì)算機(jī)網(wǎng)絡(luò)持續(xù)變革，所有前沿研究領(lǐng)域均取得長(zhǎng)足進(jìn)展。IP接入網(wǎng)標(biāo)準(zhǔn)ITU-T Y.1231的推出，極大地促進(jìn)了IP接入網(wǎng)技術(shù)的發(fā)展。其中，無線技術(shù)的成熟催生的高速無線接入網(wǎng)特別引人矚目。國(guó)內(nèi)的“無線城市”建設(shè)正處于熱潮期，加入無線接入“俱樂部”的城市已達(dá)數(shù)十家。奧運(yùn)會(huì)、世博會(huì)以及公共事業(yè)發(fā)展的需要，都成為國(guó)內(nèi)無線接入網(wǎng)發(fā)展的強(qiáng)力“催化劑”。很多學(xué)校園區(qū)、寫字樓和小區(qū)公共區(qū)域等對(duì)于這種無線接入的需求也越來越緊迫。當(dāng)前，很多學(xué)校教學(xué)區(qū)園區(qū)網(wǎng)絡(luò)主要以有線接入為主，尚未部署室外無線接入網(wǎng)絡(luò)。而隨著Wi-Fi技術(shù)的成熟，擁有Wi-Fi功能的筆記本電腦、手機(jī)等消費(fèi)電子產(chǎn)品逐步普及，教師和學(xué)生對(duì)于無線接入的需求日益增長(zhǎng)，為原有有線園區(qū)網(wǎng)絡(luò)提供無線接入功能變得非常有必要。

與傳統(tǒng)的有線接入網(wǎng)絡(luò)相比，無線接入網(wǎng)絡(luò)具有許多有線接入網(wǎng)絡(luò)所無法比擬的優(yōu)勢(shì)。

（1）經(jīng)濟(jì)：無線接入網(wǎng)的安裝、維護(hù)費(fèi)用大大低于有線接入網(wǎng)絡(luò)，而且接入網(wǎng)費(fèi)用與用戶距離無關(guān)，這在經(jīng)濟(jì)不發(fā)達(dá)地區(qū)尤顯其經(jīng)濟(jì)優(yōu)勢(shì)。

（2）能迅速提供業(yè)務(wù)：無線接入網(wǎng)安裝容易，建設(shè)周期短；而有線系統(tǒng)不僅建設(shè)周期長(zhǎng)，而且要占用土地資源，施工接續(xù)困難，設(shè)備易遭人為破壞，還容易受到自然災(zāi)害的影響。

（3）靈活：無線接入網(wǎng)靈活可變，不需要預(yù)知用戶位置，容量可大可小，易擴(kuò)容。

（4）覆蓋面大：無線接入網(wǎng)在基站合理選址的情況下，可覆蓋達(dá)30公里以上的地域，從而優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，降低網(wǎng)絡(luò)投資。

無線接入網(wǎng)絡(luò)涉及多種無線接入技術(shù)。這些技術(shù)中有些存在功能或者定位上的重疊，由此也引發(fā)了許多關(guān)于這些技術(shù)的爭(zhēng)論。比較常見的是Wi-Fi與WiMAX之間的競(jìng)爭(zhēng)、WiMAX與TD-SCDMA等3G技術(shù)的競(jìng)爭(zhēng)。

Wi-Fi本是局域網(wǎng)技術(shù)，然而它的迅速發(fā)展導(dǎo)致目前無線城市建設(shè)普遍采用Wi-Fi技術(shù)，這與WiMAX的城域網(wǎng)定位沖突。因?yàn)閃i-Fi在覆蓋范圍和傳輸速率上都不及WiMAX，且本身存在一定的缺陷(干擾問題、QoS問題)，所以WiMAX將取代Wi-Fi的呼聲日益高漲。

WiMAX本身的問題在于，純WiMAX網(wǎng)絡(luò)建設(shè)的投入過大，在國(guó)內(nèi)不僅要購(gòu)買許可頻段，而且還要向國(guó)外購(gòu)買技術(shù)專利。而且各廠商設(shè)備之間技術(shù)差距較大，設(shè)備之間的兼容性差。相比之下，使用公共頻段的Wi-Fi城域網(wǎng)的建設(shè)將便宜很多(雖然也伴隨著更多的信號(hào)干擾)。最主要的是：WiMAX的產(chǎn)業(yè)鏈畢竟不完善，用戶終端產(chǎn)品幾乎難覓蹤跡，而基于IEEE 802.11系列標(biāo)準(zhǔn)的無線網(wǎng)卡卻早已遍及各類數(shù)碼產(chǎn)品。

考慮到兩種技術(shù)各自的特點(diǎn)，可以將WiMAX與Wi-Fi結(jié)合起來。用戶利用Wi-Fi孤島接入，再使用WiMAX連接孤島完成熱點(diǎn)回傳，利用WiMAX的大范圍覆蓋和非視距傳輸，完全免去鋪線的高昂費(fèi)用，解決鄉(xiāng)村偏遠(yuǎn)地區(qū)的寬帶普及問題。由此可見，兩者之間的互補(bǔ)關(guān)系遠(yuǎn)遠(yuǎn)大于競(jìng)爭(zhēng)關(guān)系。

一、Wi-Fi網(wǎng)絡(luò)架構(gòu)

無線接入技術(shù)多種多樣，其中使用最多，也最為人們所熟知的是Wi-Fi技術(shù)。使用Wi-Fi技術(shù)可以搭建多種不同架構(gòu)的無線接入網(wǎng)絡(luò)，適應(yīng)多種應(yīng)用環(huán)境。常見的Wi-Fi網(wǎng)絡(luò)架構(gòu)主要有三種：自治式架構(gòu)、集中式架構(gòu)、分布式架構(gòu)。

1.治式架構(gòu)

在自治式架構(gòu)中，AP(Access Point)完全部署和端接IEEE 802.11功能。因此，無線客戶端的數(shù)據(jù)進(jìn)入有線局域網(wǎng)后的數(shù)據(jù)幀全部都是IEEE 802.3幀，每個(gè)AP都可以作為網(wǎng)絡(luò)上的一個(gè)單獨(dú)的網(wǎng)絡(luò)實(shí)體進(jìn)行獨(dú)立的管理。這種網(wǎng)絡(luò)中的接入點(diǎn)被稱為Fat AP。在WLAN部署的發(fā)展初期，大部分AP都是自治式的AP，可以作為獨(dú)立的網(wǎng)絡(luò)實(shí)體進(jìn)行管理。

2.中式架構(gòu)

集中式架構(gòu)是一種層次化的架構(gòu)，包括一個(gè)負(fù)責(zé)配置、控制和管理多個(gè)AP的WLAN控制器。WLAN控制器也被稱為接入控制器(AC)。IEEE 802.11功能由AP和AC共同承擔(dān)。與自治式架構(gòu)相比，這種模式中的AP的功能有所減弱，因此它們又被稱為“瘦AP”，AP上的部分功能是可變的。集中式架構(gòu)的主要優(yōu)勢(shì)在于，對(duì)于企業(yè)中的多個(gè)AP，它能為網(wǎng)絡(luò)管理員提供一種結(jié)構(gòu)化的、層次化的控制模式。

3.布式架構(gòu)

在分布式架構(gòu)中，不同的AP通過有線或者無線連接，與其他AP建立起分布式網(wǎng)絡(luò)。一個(gè)由AP組成的網(wǎng)狀網(wǎng)(Mesh網(wǎng)絡(luò))就是這種架構(gòu)的典型例子。網(wǎng)狀網(wǎng)中的AP可以與802.11鏈路或者有線802.3鏈路相連接。這種架構(gòu)與集中式架構(gòu)相比，有多個(gè)分布在不同區(qū)域的WLAN控制器，這些WLAN控制器之間有互相連接形成域控制器共同管理AP。分布式架構(gòu)通常用在城市網(wǎng)絡(luò)部署之中，很多城市的無線城域網(wǎng)便是采用這種架構(gòu)。

二、選擇適合的接入方案

無線接入網(wǎng)絡(luò)與傳統(tǒng)有線接入網(wǎng)絡(luò)的最大不同是：使用無線接入代替線纜接入，而對(duì)原有骨干網(wǎng)絡(luò)影響較小。根據(jù)具體接入需求的不同，選擇不同的無線接入方案。按照需要覆蓋環(huán)境區(qū)分，可分為以下四種方案：

（1）家庭、辦公室環(huán)境：這類區(qū)域通常需要覆蓋的面積不大，結(jié)構(gòu)簡(jiǎn)單。一般使用Wi-Fi技術(shù)，使用少數(shù)配置全向天線的FATAP即可滿足接入需求，配置也比較簡(jiǎn)單。

（2）樓層環(huán)境：這類環(huán)境一般結(jié)構(gòu)復(fù)雜，主要需要考慮墻壁等障礙物對(duì)無線信號(hào)的衰減作用，以及與其他已有AP之間的干擾問題。在部署FAT AP時(shí)，需要詳細(xì)測(cè)量環(huán)境中的信號(hào)強(qiáng)度，控制AP的發(fā)射功率。除了使用傳統(tǒng)AP的接入方案之外，還可以使用分布式天線系統(tǒng)(DAS：Distributed Antenna System)。DAS 對(duì)不同的系統(tǒng)進(jìn)行分區(qū)域的覆蓋，避免了大規(guī)模無選擇性覆蓋對(duì)于系統(tǒng)和功率的損耗。

（3）園區(qū)環(huán)境：辦公室和樓層環(huán)境都針對(duì)室內(nèi)覆蓋，而園區(qū)環(huán)境開始涉及室外覆蓋。園區(qū)內(nèi)需要覆蓋的范圍通常較大，需要部署較多的AP，解決無縫覆蓋問題。傳統(tǒng)的FATAP網(wǎng)絡(luò)架構(gòu)，存在AP管理難度大、配置復(fù)雜、安全性差等問題?？刹捎眠m中AP(FITAP)+無線控制器(AC)的新型網(wǎng)絡(luò)架構(gòu)，不僅方便管理，而且能保證移動(dòng)性強(qiáng)的實(shí)時(shí)數(shù)據(jù)流通信。

（4）城區(qū)環(huán)境：以前運(yùn)營(yíng)商提供無線接入使用的是傳統(tǒng)BWA技術(shù)，主要是指以固定寬帶為技術(shù)特征的多路多點(diǎn)分配系統(tǒng)(MMDS)和本地多點(diǎn)分配系統(tǒng)(LMDS)。MMDS/LMDS都存在各自的缺陷，而IEEE組織新制定的802.16系列標(biāo)準(zhǔn)(WiMAX)，涵蓋了MMDS/LMDS的工作頻段，而且大大提升了性能，成為運(yùn)營(yíng)商建設(shè)無線城域網(wǎng)的新手段。在目前WiMAX終端尚未普及的情況下，主要與WLAN熱點(diǎn)結(jié)合，使用熱點(diǎn)回傳和駐地接入模式提供高帶寬的無線數(shù)據(jù)傳輸通道。

一般中專校園占地面積較大，有三種可供選擇的校園無線接入網(wǎng)絡(luò)方案。

方案一：自治式全覆蓋。

采用傳統(tǒng)配置全向天線的自治式AP，使用蜂窩網(wǎng)絡(luò)覆蓋校園。每個(gè)區(qū)域使用1個(gè)胖AP覆蓋，相鄰區(qū)域輪換使用1、6、11信道以減少干擾。室外環(huán)境作為IEEE 802.11b AP，理論有效距離為100米。每個(gè)AP覆蓋面積約為0.03 km2，這樣計(jì)算只需要18個(gè)AP就可達(dá)到理論上的全覆蓋。

這種覆蓋方式實(shí)施比較簡(jiǎn)單，但是無線接入網(wǎng)絡(luò)的可靠性較差，單個(gè)AP故障容易引起區(qū)域無線接入網(wǎng)絡(luò)失效。在室外環(huán)境中因?yàn)榻ㄖ?、地形、樹木、人群等眾多干擾因素，AP往往無法達(dá)到100米的有效距離。而且這里存在一個(gè)多級(jí)速度變換的問題：當(dāng)客戶端遠(yuǎn)離AP時(shí)信號(hào)會(huì)減弱，為了確保數(shù)據(jù)傳輸?shù)木_，AP會(huì)降低數(shù)據(jù)率，客戶端的帶寬便無法保證。為了保證任何地點(diǎn)都需要有11Mbps的接入速度，就需要增加AP密度。這會(huì)增加信道規(guī)劃的難度，也意味著更多的信號(hào)干擾。而且AP的配置和管理將會(huì)變得非常困難：管理員需要登錄到每個(gè)AP上進(jìn)行配置，而當(dāng)某一區(qū)域出現(xiàn)無線接入網(wǎng)絡(luò)失效時(shí)，需要檢查附近所有AP來確定故障AP。

方案二：集中式重復(fù)覆蓋。

第二種方案使用集中式架構(gòu)，使用Fit AP代替方案一中的胖AP，在有線局域網(wǎng)中增加一臺(tái)無線交換機(jī)。每個(gè)區(qū)域都配置2個(gè)AP，AP之間互為備份，單個(gè)AP故障也不會(huì)引起整個(gè)區(qū)域的無線接入網(wǎng)絡(luò)失效。而且通過AP之間的負(fù)載均衡功能，可以保證每個(gè)區(qū)域無線接入用戶的帶寬。AP是零配置，硬件主要由CPU＋內(nèi)存＋RF構(gòu)成，配置和軟件都要從無線交換機(jī)上下載。所有AP和無線客戶端的管理都在無線交換機(jī)上完成。AP和無線交換機(jī)之間的流量被私有協(xié)議加密，無線客戶端的MAC只出現(xiàn)在無線交換機(jī)端口，而不會(huì)出現(xiàn)在AP的端口。可以在現(xiàn)有的LAN拓?fù)渖喜渴鹜ㄓ玫臒o線解決方案，而無需重新配置主干或硬件。

此方案可以提高校園無線接入網(wǎng)絡(luò)的可靠性和接入用戶帶寬。但是，并不是所有區(qū)域都有高帶寬的無線接入需要，較高的AP密度會(huì)增加建設(shè)成本和資源浪費(fèi)。

方案三：集中式區(qū)別覆蓋。

校園無線接入網(wǎng)絡(luò)的主要用戶群體是教師和學(xué)生。從學(xué)校的學(xué)習(xí)和生活中發(fā)現(xiàn)，用戶群體往往集中在幾個(gè)特定的區(qū)域，并且在不同區(qū)域?qū)τ跓o線網(wǎng)絡(luò)的需求也不相同。因此，在方案二的基礎(chǔ)上加以改進(jìn)提出方案三。

方案三的整體網(wǎng)絡(luò)架構(gòu)與方案二相同，只是在AP的覆蓋上需要根據(jù)用戶的密集程度和需求，將覆蓋區(qū)域分成三種類型。針對(duì)不同的區(qū)域類型采用不同的AP部署方式。

（1）A型區(qū)域：用戶密集區(qū)域，包括圖書館、教學(xué)樓、活動(dòng)中心周邊。此區(qū)域?qū)捰休^高要求，需要重點(diǎn)覆蓋以充分保證無線網(wǎng)絡(luò)的可用性。

（2）B型區(qū)域：用戶集中區(qū)域，包括所有主干道路和校門。這一區(qū)域接入用戶相對(duì)較少，對(duì)于帶寬要求也不高。但是用戶很可能處于移動(dòng)狀態(tài)，對(duì)無線網(wǎng)絡(luò)的移動(dòng)性有一定要求。

（3）C型區(qū)域：用戶稀疏區(qū)域，包括綠地、足球場(chǎng)、籃球場(chǎng)。這類區(qū)域用戶較少或使用頻率較低，只需實(shí)現(xiàn)信號(hào)的基本覆蓋。

綜合考慮三種方案：方案一部署簡(jiǎn)單廉價(jià)，但是網(wǎng)絡(luò)欠缺可靠性；方案二穩(wěn)定可靠，但是成本過高；方案三根據(jù)具體校園環(huán)境改進(jìn)了方案二，在獲得無線網(wǎng)絡(luò)可靠性的同時(shí)縮減成本，所以建議采用方案三作為校園無線網(wǎng)絡(luò)模式。

三、無線網(wǎng)絡(luò)安全規(guī)劃

校園環(huán)境不像企業(yè)環(huán)境對(duì)安全性有非常高的要求，但也需要采取安全措施保證網(wǎng)絡(luò)安全運(yùn)行。由于無線接入的特殊性，需要將無線接入網(wǎng)絡(luò)作為不信任網(wǎng)絡(luò)處理。主要通過以下幾種方式提升無線網(wǎng)絡(luò)安全性：

（1）用戶認(rèn)證：任何用戶都可以連接到無校園網(wǎng)絡(luò)，但是在沒有通過認(rèn)證之前，只能連接HDU-Internet，滿足教師、學(xué)生以及外來訪客對(duì)于無線Internet接入的需要。而當(dāng)用戶訪問學(xué)校內(nèi)網(wǎng)資源時(shí)需要連接HDU-LAN，只有通過密碼認(rèn)證才能獲取訪問內(nèi)網(wǎng)的權(quán)限。

（2）用戶數(shù)據(jù)加密：接入HDU-Internet的用戶數(shù)據(jù)在無線網(wǎng)絡(luò)中的明文傳輸?shù)臄?shù)據(jù)并不加密。而HDU-LAN采用WPA加密，可以保證用戶數(shù)據(jù)在無線網(wǎng)絡(luò)內(nèi)的安全。

（3）ACL：在局域網(wǎng)核心設(shè)備上，針對(duì)無線接入用戶的IP地址段實(shí)施ACL。允許VLAN20無線用戶訪問校園內(nèi)網(wǎng)，拒絕VLAN10訪問。參考配置如下：

Core(config)#access-list 10 denyip 10.0.0.0 0.0.0.255

Core(config)#interface po1

Core(config-if)#ip accsee-group in

（4）惡意AP檢測(cè)：惡意AP是指在未獲得許可的情況下，擅自安裝的AP。惡意AP以及關(guān)聯(lián)到此AP上的用戶都會(huì)對(duì)網(wǎng)絡(luò)安全造成威脅。在無線交換機(jī)上啟用惡意AP檢測(cè)功能并對(duì)它們采取反制措施。

（5）控制無線覆蓋范圍：雖然無線校園的目的是提供一個(gè)大范圍的無縫覆蓋的無線接入網(wǎng)絡(luò)，但是不加控制的無線信號(hào)發(fā)射可能會(huì)成為網(wǎng)絡(luò)的一大隱患。校園外的環(huán)境是不需要也不應(yīng)該被無線信號(hào)覆蓋的，否則可能會(huì)導(dǎo)致許多有意或無意的網(wǎng)絡(luò)攻擊?？梢酝ㄟ^減小AP發(fā)射功率和調(diào)整天線方向的方法來控制無線覆蓋范圍。

TN

A

1673-0046（2010）7-0163-03