文/蘇和

大連理工大學：無線管理技術(shù)七大選型

文/蘇和

圍繞無線校園網(wǎng)，做好AP、無線控制器、無線頻譜、無線網(wǎng)絡管理軟件、PoE交換機等技術(shù)選型，是實現(xiàn)良好管理的重要條件。

隨著移動互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的用戶青睞于利用移動終端快速接入互聯(lián)網(wǎng)，因此，校園內(nèi)支持無線的智能手機、iPad等無線終端設備的數(shù)量大規(guī)模增加，同時，用戶移動辦公的需求也日益增長。為了滿足需求，人們試圖在校園內(nèi)建設統(tǒng)一管理的高質(zhì)量、高穩(wěn)定性、高可用的校園無線網(wǎng)絡，使校園網(wǎng)成為一個能夠承載多業(yè)務的綜合網(wǎng)絡。在國內(nèi)高校中，無線網(wǎng)絡已經(jīng)成為校園網(wǎng)絡建設中的重要組成部分。

總體架構(gòu)設計

無線校園網(wǎng)的建設目標是要建立一個高速接入的、可管理的，不被廠商私有協(xié)議控制的無線網(wǎng)絡。大連理工大學在建設無線網(wǎng)的過程中，依托現(xiàn)有校園網(wǎng)絡資源，從校園網(wǎng)絡核心到各個教學樓宇的無線接入交換機都采用獨立的傳輸鏈路，匯聚到現(xiàn)有的校園網(wǎng)核心路由器的專用虛擬網(wǎng)。

另外，我們在建設無線校園網(wǎng)的過程中采用802.11n技術(shù)。802.11n作為現(xiàn)階段無線網(wǎng)絡的主流技術(shù)，被越來越多地應用在無線領(lǐng)域，而過去的無線網(wǎng)絡由于受到技術(shù)和設備的限制而逐漸被802.11n的產(chǎn)品所替換。

校園無線網(wǎng)絡采用集中控制和管理的方式，采用數(shù)個無線控制器對分布在校園內(nèi)的眾多的瘦AP進行統(tǒng)一管理，無線控制器之間相互備份，實現(xiàn)高可用管理。當無線控制器出現(xiàn)故障時，AP能夠在短時間內(nèi)進行自動恢復，同時保證用戶的網(wǎng)絡通暢。無線網(wǎng)絡管理軟件還能夠發(fā)現(xiàn)對無線網(wǎng)絡造成干擾的射頻干擾源，并對其進行物理位置的定位。

依托現(xiàn)有校園網(wǎng)拓撲架構(gòu)（如圖1所示），我們使用虛擬路由轉(zhuǎn)發(fā)表構(gòu)建獨立運行的無線業(yè)務承載網(wǎng)。無線AP通過專用的虛擬網(wǎng)絡連接到無線控制器，用戶通過本地轉(zhuǎn)發(fā)尋找智能服務網(wǎng)關(guān)進行權(quán)限的認證和分配。

智能服務網(wǎng)關(guān)可以獨立于無線控制器工作，與現(xiàn)有校園網(wǎng)統(tǒng)一認證平臺相結(jié)合，通過校園網(wǎng)統(tǒng)一認證平臺對用戶進行認證和權(quán)限的分配，向無線、有線用戶提供統(tǒng)一的服務，實現(xiàn)有線無線一體化。

管理與運維技術(shù)選型

無線接入點AP選擇

校園無線網(wǎng)AP全部選用基于802.11n標準下的具有2×3∶2以上MIMO天線矩陣的瘦AP，支持無線控制器對其的集中控制和遠程自動升級，支持本地轉(zhuǎn)發(fā)和頻譜分析。802.11n標準協(xié)議的通過加速了無線廠商對802.11n的設備的投入和生產(chǎn)，產(chǎn)品的價格也比過去有大幅度的降低。

對每個樓層的每個無線AP至網(wǎng)絡設備間敷設六類非屏蔽雙絞線，保證無線AP的高速連接和以太網(wǎng)供電。

802.11n無線AP天線分為2×2、2×3、3×3三種，前面的數(shù)字代表發(fā)送信號的天線數(shù)量，后面的數(shù)字代表接受信號的天線數(shù)量。在距離AP較近或空曠的區(qū)域，天線矩陣的數(shù)量對無線信號的強弱和用戶的接入速率的影響并不是很大，在建筑樓宇的空間結(jié)構(gòu)復雜或房間布局密集的區(qū)域，2×3的無線AP信號覆蓋范圍相對比較廣，對用戶的接入能力相對較強。

無線AP支持2.4G/5G同時進行雙頻工作。對無線用戶進行判斷，對于客戶端支持5G的頻率用戶，優(yōu)先提供5G的無線接入服務，使用戶能夠得到更高的帶寬和接入速率。無線AP可自由切換使用集中轉(zhuǎn)發(fā)和本地轉(zhuǎn)發(fā)的工作方式，發(fā)現(xiàn)Wi-Fi和非Wi-Fi頻段內(nèi)的干擾源，并對其進行物理定位。

無線控制器選擇

無線控制器是對校園無線網(wǎng)絡AP接入點進行集中控制、功率分配、負載監(jiān)控、統(tǒng)一部署、修改配置的網(wǎng)絡設備。無線控制器直接連接到網(wǎng)絡核心路由器，因此，需要足夠的帶寬保證。上行鏈路需支持端口捆綁技術(shù)，無線控制器需要能夠支持多個千兆和萬兆以太網(wǎng)接口。

無線控制器的一個優(yōu)勢是對AP進行統(tǒng)一部署，這可以極大地提高工作效率，避免同一區(qū)域AP間的相互干擾。單臺無線控制器能管理的AP數(shù)量是有限的，而校園無線網(wǎng)絡的AP數(shù)量較多，需要多臺無線控制器對校園內(nèi)的AP進行統(tǒng)一部署和管理。無線控制器可自由切換AP，使用采取本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)的方式。在集中轉(zhuǎn)發(fā)的方式下，同時支持內(nèi)置和外置Portal。使用標準協(xié)議同Radius進行交互，對用戶進行認證、策略更改和強制下線。

無線控制器的故障直接影響到校園無線網(wǎng)絡的服務質(zhì)量，為了降低無線控制器的故障對無線網(wǎng)絡的影響，需要多臺無線控制器在高可用模式下工作：當一臺無線控制器出現(xiàn)故障時，其他的無線控制器可以接管此控制器管理的無線AP。在本地轉(zhuǎn)發(fā)模式下，用戶的無線服務不會中斷，能夠保障用戶正常使用無線網(wǎng)絡。

無線控制器對用戶采取兩層隔離，分別可以對同一個VLAN下的用戶進行隔離，對于同一個SSID下的用戶進行隔離。無線控制器能夠支持多VLAN技術(shù)，對不同AP進行分組，在不同的AP上支持多個VLAN。

無線控制器可判斷接入客戶端是否支持5G的頻段，對于支持5G的用戶優(yōu)先接入5G頻段，在同一頻率下能夠自動選擇信道。

無線頻譜分析

無線頻段內(nèi)有可能存在Wi-Fi和非Wi-Fi的干擾源。這就需要無線射頻分析工具發(fā)現(xiàn)干擾源，并進行分析。無線射頻分析工具采用圖形化界面主動探測和識別Wi-Fi和非Wi-Fi波段的射頻干擾源，提供實時FFT圖、頻譜密度圖、占空比、頻道功率、干擾功率。

無線控制器利用AP的射頻分析功能對所在區(qū)域進行掃描和記錄，主動發(fā)現(xiàn)存在的干擾，調(diào)整AP所在的信道，躲避外界無線環(huán)境的干擾。

無線網(wǎng)絡管理軟件

大規(guī)模的無線網(wǎng)絡覆蓋需要管理上千個AP，對AP進行分別配置和管理的工作量非常大并容易出錯，我們采用無線網(wǎng)絡管理軟件對所有的無線設備進行統(tǒng)一的配置和管理，能夠在第一時間發(fā)現(xiàn)并報告故障點，支持查看每個AP上所連接的客戶端數(shù)量、AP信道狀態(tài)、信道使用率、信噪比、信號強度分布及AP的狀態(tài)，對大批量的AP或者控制器配置采取模板定制功能，通過無線網(wǎng)絡管理軟件自動下發(fā)參數(shù)，實現(xiàn)AP的零配置管理。

該管理軟件還可以對同一區(qū)域內(nèi)的無線設備進行動態(tài)功率調(diào)節(jié)和監(jiān)控，使得在同一區(qū)域內(nèi)的AP可自動調(diào)節(jié)AP工作的信道，避免同一區(qū)域內(nèi)的相互干擾。在某個AP出現(xiàn)故障時，能夠自動對周圍的AP進行功率增強，覆蓋出現(xiàn)故障AP的區(qū)域。

無線網(wǎng)絡管理軟件具有分析網(wǎng)絡運行日志的功能，能夠輸出到指定的日志服務器，能夠完整地保留所有設備的運行日志，能夠記錄、查找設備的運行狀態(tài)。我們利用無線網(wǎng)絡管理軟件，在設定的時間進行自動統(tǒng)計，針對于不同的SSID出具統(tǒng)計報告。

無線網(wǎng)管軟件還能夠根據(jù)對實時網(wǎng)絡環(huán)境和射頻的監(jiān)控，從而提供對終端用戶、RFID、Rogue AP和非Wi-Fi干擾源的物理定位。

PoE交換機

無線網(wǎng)絡基本覆蓋區(qū)域內(nèi)所有的建筑樓宇，無線AP分散分布在樓宇內(nèi)各個區(qū)域，這使得給無線AP提供220V電源在工程施工上存在一定的難度，而使用以太網(wǎng)供電技術(shù)（Power over Ethernet，PoE）給無線AP設備供電是較為方便的一種方法。

樓宇內(nèi)所部署的是基于802.11n標準的無線AP，對用戶提供高達300MB的接入帶寬。我們使用24口或者48口的千兆以太網(wǎng)PoE交換機提供接入無線AP的服務。千兆PoE交換機能夠在滿配置情況下對全部AP進行滿負荷供電。千兆PoE交換機需支持VLAN劃分，可通過Telnet和SSH進行遠程帶內(nèi)管理，支持動態(tài)鏈路聚合。

智能服務網(wǎng)關(guān)

智能服務網(wǎng)關(guān)是用戶統(tǒng)一認證的平臺。無線設備廠商對于無線用戶的認證都是基于私有協(xié)議在無線控制器上的實現(xiàn)。這種方式對于用戶的認證、策略修改和權(quán)限管理具有一定的局限性和依賴性。在大規(guī)模部署的應用中，會對無線控制器造成較大的壓力，同時也會對整個系統(tǒng)增加故障點。為了避免對廠商私有協(xié)議的依賴性，降低對無線控制器的壓力，對用戶的認證和授權(quán)使用外置旁路智能服務網(wǎng)關(guān)的方式實現(xiàn)。

用戶流量通過無線AP的本地轉(zhuǎn)發(fā)接入到校園網(wǎng)，經(jīng)過專用網(wǎng)絡連接到智能服務網(wǎng)關(guān)。智能服務網(wǎng)關(guān)與校內(nèi)統(tǒng)一認證平臺進行數(shù)據(jù)交互來確認用戶的身份，對于不同的用戶分配不同的權(quán)限，實現(xiàn)無線和有線用戶的集中統(tǒng)一認證授權(quán)。智能服務網(wǎng)關(guān)使用標準RFC協(xié)議、公開接口，使用外置Radius和外置Portal。外置Radius和Portal服務器采用Linux系統(tǒng)，對關(guān)鍵程序?qū)嵭凶灾鏖_發(fā)和編寫代碼，或者采購開放源代碼的Portal系統(tǒng)，通過標準協(xié)議和智能服務網(wǎng)關(guān)進行交互信息。

無線網(wǎng)絡綜合布線工程

校園無線網(wǎng)絡需要覆蓋的每個樓宇現(xiàn)狀不太相同。部分樓宇內(nèi)部已經(jīng)完成綜合布線系統(tǒng)的施工，但是沒有無線網(wǎng)絡預留點位，部分網(wǎng)絡內(nèi)部沒有進行綜合網(wǎng)絡布線。對完成綜合布線的樓宇要盡量避免重復性的工作，盡量使用現(xiàn)有的水平和垂直線槽。在對未進行綜合布線的樓宇施工時，對無線網(wǎng)絡的水平和垂直實行主干線纜的施工，垂直使用鐵線槽，水平使用白色PVC線槽。

對每個樓層的每個無線AP至網(wǎng)絡設備間敷設六類非屏蔽雙絞線，保證無線AP的高速連接和以太網(wǎng)供電。在每層樓內(nèi)無線AP使用六類標準制作水晶頭；在網(wǎng)絡設備間內(nèi)的指定機柜中，需要安裝標準六類線配線模塊，使用六類跳線跳到無線接入交換機上。

校園無線網(wǎng)絡運行效果

校園無線網(wǎng)絡選用802.11n技術(shù)是無線行業(yè)內(nèi)主流技術(shù)，采用無線控制器和瘦AP的架構(gòu)對校園內(nèi)大規(guī)模部署無線網(wǎng)絡節(jié)省人力成本和管理成本，采用多個控制器的高可用管理能夠避免在控制器停止工作情況下對無線AP的管理，對用戶提供7×24不中斷的無線服務。

無線AP采用2×3∶2以上MIMO天線矩陣能夠保證邊緣用戶的有效接入，提高無線信號質(zhì)量，增加接入帶寬。

無線網(wǎng)絡集成射頻分析工具，能夠及時有效地發(fā)現(xiàn)無線頻段內(nèi)的Wi-Fi和非Wi-Fi干擾源，并能夠?qū)Ω蓴_源進行物理定位。

智能服務網(wǎng)關(guān)經(jīng)過詳細的模擬系統(tǒng)搭建和抓包，對認證過程進行詳細的分析，結(jié)果證明采取標準RFC協(xié)議和開放接口對用戶進行認證、授權(quán)、權(quán)限變更和強制下線是可行的。用戶的認證脫離了廠商的私有協(xié)議，認證服務器可以完成和校園網(wǎng)統(tǒng)一認證平臺的結(jié)合。

（作者單位為大連理工大學網(wǎng)絡與信息化中心）

以太網(wǎng)供電技術(shù)PoE

以太網(wǎng)供電技術(shù)PoE(Power Over Ethernet)是一項通過以太網(wǎng)網(wǎng)線向網(wǎng)絡設備提供電源的技術(shù)，被廣泛運用在不便于提供直接電源支持的場所，例如無線網(wǎng)絡。PoE交換機是指能夠提供PoE供電的以太網(wǎng)接入交換機。交換機在經(jīng)過配置后可以向以太網(wǎng)端口輸出48V的直流電壓，無線AP通過以太網(wǎng)網(wǎng)線得到直流電源支持。PoE是在無線網(wǎng)絡中最常用的供電方式。