文/高靜　涂慶華　李華峰

南京理工大學：802.11ac無線校園網(wǎng)建設

文/高靜涂慶華李華峰

隨著IEEE802.11無線局域網(wǎng)技術標準的不斷發(fā)展，基于這些標準的無線產(chǎn)品不斷推出，無線局域網(wǎng)的應用和普及逐漸發(fā)展到一個新的階段。高校信息化的不斷發(fā)展，促使無線校園網(wǎng)的構建迫在眉睫。本文分析了無線校園網(wǎng)的建設背景，梳理了南京理工大學無線校園網(wǎng)的建設需求，從組網(wǎng)方式、技術標準、接入點AP、網(wǎng)絡優(yōu)化等方面給出了具體的設計方案?；谙乱淮鶺i-Fi技術的南京理工大學無線校園網(wǎng)運行穩(wěn)定、高速，具有一定的借鑒價值。

建設需求

南京理工大學無線網(wǎng)絡的建設思路是在業(yè)務和應用的驅(qū)動下，建設一個具有自身特色的無線校園網(wǎng)，在為學校的師生用戶帶來上網(wǎng)便利的同時，提供更多的增值服務。

1.無線校園網(wǎng)建設應采用先進的技術協(xié)議標準。此次建設以下一代Wi-Fi技術802.11ac標準為基礎，更好地適應后期技術的發(fā)展，提供可供實際應用的穩(wěn)定的通訊服務。

2.學校已建有較為完善的有線校園網(wǎng)，新的無線網(wǎng)絡要求在網(wǎng)絡互聯(lián)、認證計費、安全防御、應用等方面，須與有線網(wǎng)絡形成兼容與互補。校園有線網(wǎng)絡的主體結構應不需要任何改變，使用原有認證計費系統(tǒng)，即可對無線網(wǎng)絡進行統(tǒng)一認證和管理，同時應做到盡可能簡化網(wǎng)絡結構，提高網(wǎng)絡訪問速度與效率，為教學、科研、辦公及學習、生活、交流提供切實可用的、穩(wěn)定的無線網(wǎng)絡環(huán)境。

3.南京理工大學無線校園網(wǎng)建設是在原有的校園有線網(wǎng)之外獨立建設一套無線網(wǎng)絡，要求完成重點區(qū)域立體式無線覆蓋，使得師生用戶可以在這些區(qū)域隨時隨地、便捷地連接網(wǎng)絡，可以依托無線網(wǎng)絡完成各項學習或工作，外來來賓也可順暢地訪問校內(nèi)外網(wǎng)絡資源。

4.實現(xiàn)無線網(wǎng)絡的合理布建。考慮到室內(nèi)應用環(huán)境的不同情況及特點（如教室、禮堂、會議室、圖書館、體育館等），應采取科學合理的布網(wǎng)方式，以滿足現(xiàn)在及今后的應用需要。

5.建設無線校園網(wǎng)的施工需求。無線接入點需采用POE交換機遠程供電；無線網(wǎng)點到本地設備間之間需要進行綜合布線，綜合布線不應毀損目前樓內(nèi)裝修，要求美觀得體，符合布線相關標準，合理安排施工時間，做到不影響學校的正常辦公、教學和科研等。

設計原則

校園無線網(wǎng)的設計原則建立在充分考慮學校使用需要的基礎上，力求滿足整個校園網(wǎng)的可靠性、先進性、兼容性和安全性。

1.可靠性：保證系統(tǒng)可靠運行，關鍵設備應有冗余。

2.先進性：采用當今最先進和成熟的技術，使新建立的系統(tǒng)能夠最大限度地適應今后技術和業(yè)務發(fā)展的需要。

3.可兼容及可擴展性：在進行方案建設時，力求做到網(wǎng)絡結構清晰、合理并具有擴展能力，硬件配置先進、可靠，系統(tǒng)軟件界面友好，易于操作和維護。

4.安全性原則：安全性一直是網(wǎng)絡及系統(tǒng)管理的薄弱環(huán)節(jié)之一，而用戶對網(wǎng)絡安全的要求又相當高，因此安全性原則非常重要。

方案設計

組網(wǎng)方式設計

隨著無線網(wǎng)絡的規(guī)模越來越大，無線的傳輸性能也越來越高。無線網(wǎng)絡由原來作為有線網(wǎng)絡的擴展和延伸，轉(zhuǎn)變成為另外一種主流的接入方式，和有線網(wǎng)絡一樣承擔著重要的業(yè)務數(shù)據(jù)傳輸轉(zhuǎn)發(fā)。因此無線網(wǎng)絡在建設的過程中，由原來的有線無線融合在一起，轉(zhuǎn)變成為有線、無線單獨組網(wǎng)的建設模式。

此次無線建設從整個網(wǎng)絡設備到鏈路，有線、無線網(wǎng)是完全獨立的，只在兩張網(wǎng)絡的核心層采用萬兆高速鏈路實現(xiàn)互聯(lián)互通。獨立組網(wǎng)模式不僅確保了兩張網(wǎng)絡的獨立性，還提供了兩張網(wǎng)絡相互冗余功能。

如圖1所示，整個無線網(wǎng)絡從下到上分成了終端層、接入層和核心層三部分。其中終端層即為需要接入網(wǎng)線網(wǎng)絡的終端產(chǎn)品，包括使用無線網(wǎng)卡的筆記本電腦、平板電腦、智能手機等。這一層次是用戶直接接觸的層次，也最直接影響了用戶對無線網(wǎng)絡的使用體驗。

終端層往上為接入層，包括了提供無線網(wǎng)絡覆蓋的無線AP和AP直連的接入交換機。接入層采用全千兆POE交換機，同時實現(xiàn)AP的數(shù)據(jù)通信和供電，通過光纖上聯(lián)匯聚或核心交換機。

網(wǎng)絡的最上層為核心層，包括無線網(wǎng)核心交換機和無線控制器。無線網(wǎng)絡采用獨立組網(wǎng)方式，核心承擔整個校園網(wǎng)的無線數(shù)據(jù)的轉(zhuǎn)發(fā)，無線網(wǎng)核心交換機采用兩臺框式高端交換機，確保整個無線網(wǎng)絡核心的穩(wěn)定可靠；并且通過萬兆光纖與校園網(wǎng)有線網(wǎng)絡互連，實現(xiàn)有線無線的互通。

技術標準選型

南京理工大學無線校園網(wǎng)采用最新的802.11ac技術標準。802.11ac技術的優(yōu)勢在于：

1.更高的速率

802.11ac作為802.11n的改進和發(fā)展，其中一個目標就是提供與千兆以太網(wǎng)絡相比肩的高性能?，F(xiàn)階段11ac硬件采用3條流、80Mhz頻寬，最大理論速度1300Mbps； 第二階段產(chǎn)品會保證使用更多的信道捆綁以及更多的空間流，實現(xiàn)3.47Gbps的數(shù)據(jù)速度。

2.多用戶MIMO（MU-MIMO）

MU-MIMO允許一個無線接入點在一個時間點使用相同的頻帶向多個用戶發(fā)送數(shù)據(jù)，也就是說，1個4流AP可以同時和3個STA進行通信；802.11n采用的是單用戶MIMO（SU-MIMO），一個接入點在同一時間發(fā)多個空間流，但只能發(fā)給一個終用戶。好比802.11n類似一個集線器，而802.11ac表現(xiàn)的更像是一臺交換機。

圖1　無線網(wǎng)絡架構

3.更少的環(huán)境干擾

802.11ac只使用5G頻段，減少2.4G公共頻段的支持，也就減少了其他信號對自身的干擾，獲得更為清潔的頻譜環(huán)境。支持802.11ac的終端可以在5G頻段工作，空出2.4G頻段給支持802.11n的終端使用。

接入點AP選型設計

無線校園網(wǎng)絡建設采用“無線控制器＋瘦AP”的網(wǎng)絡架構設計，對于無線AP的選擇是根據(jù)不同的建筑場景來定。

1.教學區(qū)部署規(guī)劃

針對教學樓的環(huán)境，由于教室一般面積較大，內(nèi)部寬敞無阻擋，房間多采用木門，且在走廊側(cè)會有大型玻璃窗體。又由于該區(qū)域主要用戶為上課教師或部分自習的學生，主要業(yè)務就是瀏覽網(wǎng)頁查找資料，對網(wǎng)絡質(zhì)量要求相對較低。因此，可以在該區(qū)域采用3X3的MIMO的802.11ac標準的室內(nèi)AP的放裝式部署方案，AP支持雙路2.4G模式、雙路5G模式或者2.4G+5G模式，將AP放在教室內(nèi)覆蓋整個教室，一個AP可覆蓋直徑20～30米，要求每個AP最大支持100人接入。需要滿足教室內(nèi)座位數(shù)80％以上同時在線的能力，根據(jù)教學樓教室的座位數(shù)多少，部署相應數(shù)量的AP?；景凑?00座以下教室部署1臺AP，100～200座教室部署2臺AP，200人以上階梯教室部署3臺AP。

2.辦公區(qū)部署規(guī)劃

考慮到校園內(nèi)一些辦公區(qū)的辦公室空間相對不是很大，用戶數(shù)量不多，且室內(nèi)原有裝修較好，如部署放裝式AP將需要進行布線施工，會破壞房間內(nèi)的原有裝修。因此可考慮利用有線網(wǎng)絡，采用隱蔽入墻的墻面式AP實現(xiàn)無線覆蓋，將有效解決AP信號進入室內(nèi)的問題，同時可降低同頻之間的干擾，且安裝美觀，部署簡便。整個部署過程只需要三步就能快速實現(xiàn)無線網(wǎng)絡覆蓋。第一步拆去房間內(nèi)原有的有線網(wǎng)絡的接口面板；第二步更換原接入交換機為POE交換機；第三步將原有網(wǎng)線插在墻面型AP上即可使用。這種部署方式有效利用了原有的有線網(wǎng)點，無需再進行布線施工，大大降低了無線建設的難度。

一些辦公區(qū)域可以通過在走廊部署放裝AP實現(xiàn)對兩側(cè)房間的覆蓋，AP采用802.11ac標準智能天線，通過智能天線矩陣以及智能算法，根據(jù)終端的位置計算最佳的覆蓋路徑方向，實現(xiàn)更好的信號覆蓋。

3.室外區(qū)部署規(guī)劃

主要應用于師生活動頻繁的室外公共區(qū)域，特別是區(qū)域內(nèi)可能分布有較高較密的建筑群或植物群，這對無線信號會造成阻礙。因此，考慮選用專用的室外大功率無線AP產(chǎn)品，配置定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離多重障礙物的穿透能力，可有效保證無線信號質(zhì)量，同時設備本身具備防雷、防雨、防潮、抗高低溫、阻燃等性能。無線AP可部署在覆蓋區(qū)域內(nèi)的制高點上，同時采用定向天線定向照射、全向天線予以補充的方式實現(xiàn)無線信號覆蓋。

網(wǎng)絡優(yōu)化

由于無線網(wǎng)絡的通訊質(zhì)量受環(huán)境影響非常大，因此不管前期方案做得如何的細致，在真正部署實施的時候無線網(wǎng)絡的優(yōu)化工作都是必不可少的，根據(jù)實際部署的環(huán)境進行相應的調(diào)整優(yōu)化。

最重要的一點就是解決環(huán)境中信號同頻干擾的問題，這也是對于無線通訊影響最大的一個方面。因為在一個信道內(nèi)無線是共享通訊，遵循CSMA/CA 機制進行退避，因此在環(huán)境中如果多個AP在一個信道內(nèi)，大部分時間都在退避，將無法為用戶提供更多的數(shù)據(jù)傳輸，用戶體驗將非常差。

針對同頻干擾的問題，最好的方法就是信道錯開和縮小AP的功率。由于在2.4G下不重疊的信道只有3個，因為在AP密集部署的時候需要采用蜂窩狀部署，對于同一可見區(qū)域多于3個AP的，需要將AP的功率降低，將信號覆蓋控制在一定的范圍，確保同頻段之間的兩個AP相互收到的信號強度低于-75dbm，避免同頻干擾的出現(xiàn)。

在優(yōu)化的過程中不僅考慮本樓層的無線AP信道劃分，還需要考慮樓上樓下垂直空間內(nèi)的AP之間的信道劃分，如圖2所示。

在教學區(qū)人員密集的區(qū)域，統(tǒng)一區(qū)域內(nèi)部署多臺AP的地方通過將多臺AP作為一個負載均衡組，在多臺AP之間基于用戶數(shù)進行負載，確保同一區(qū)域的幾個AP的用戶數(shù)負載一樣，防止出現(xiàn)用戶都集中在某一臺AP上。

并且可以使用5G優(yōu)先的功能，實現(xiàn)統(tǒng)一AP的兩塊射頻卡之間的負載。將同時支持2.4G和5G的終端優(yōu)先接入到AP 的5G射頻卡上，為只支持2.4G的終端空出AP的2.4G射頻卡資源。

這些功能的優(yōu)化都能在密集的場景下提升無線網(wǎng)絡的利用率，更好地為師生用戶提供無線傳輸。

圖2　無線網(wǎng)絡優(yōu)化示意

應用實施

統(tǒng)一管理

對于規(guī)模龐大的無線網(wǎng)絡來說，管理是一件非常重要且繁瑣的事情。從射頻覆蓋狀態(tài)的監(jiān)測、無線鏈路的帶寬監(jiān)測、用戶認證的異常報警、無線接入安全等都需要考慮。無線網(wǎng)絡是一個整體系統(tǒng)，無線接入點之間必須互協(xié)調(diào)工作，單獨改變一個無線接入點的參數(shù)和配置，可能會引起無線接入點之間的無線電波干擾，用戶漫游重認證和授權也可能會產(chǎn)生問題，集中控制和管理顯得非常必要。因此，南京理工大學構建了一個基于Web的網(wǎng)絡管理系統(tǒng)，為網(wǎng)管人員提供易用較強的管理平臺。網(wǎng)管系統(tǒng)能夠?qū)o線網(wǎng)絡中的無線控制器和無線接入點等設備與有線網(wǎng)絡設備進行一體化集中管理，網(wǎng)管人員對全網(wǎng)設備信息和狀態(tài)可隨時全盤掌握。通過整體拓撲監(jiān)視、多視圖的監(jiān)視和分組管理，將大規(guī)模部署的無線網(wǎng)絡設備進行集中化的控管,如圖3所示。

統(tǒng)一認證

為了保障網(wǎng)絡的安全性，無線網(wǎng)絡需要對于接入的用戶進行身份認證。通常認證的方式有802.1X、Web以及MAC認證。在公共區(qū)域和熱點等應用場所，Web認證方式較為有優(yōu)勢，一個方面是減少客戶端部署的復雜性，另一方面是降低用戶的使用難度。對于校內(nèi)大量存在的PDA、手機等Wi-Fi終端設備，由于操作系統(tǒng)的差異化，Web認證將具有一定的局限性，可以采用基于MAC地址的用戶身份認證或者802.1X認證，從而實現(xiàn)全網(wǎng)統(tǒng)一的用戶身份鑒別系統(tǒng)。南京理工大學的無線網(wǎng)絡采用了802.1X認證和Web認證結合的方式。通過802.1X技術實現(xiàn)跨終端的無感知認證，通過Web方式實現(xiàn)師生用戶的自助綁定。

圖3　網(wǎng)絡管理示意

應用效果

在無線校園網(wǎng)一期建設過程中，前期進行了細致的無線地勘，對建設方案進行了多次科學論證，并對多個品牌的無線產(chǎn)品進行了選型測試，最終確定了入圍品牌。設備安裝完成后，進行了細致的無線信號優(yōu)化工作，最終使得無線覆蓋的區(qū)域信號達到了最優(yōu)，確保了所有覆蓋區(qū)域的使用效果。

通過無線網(wǎng)絡的建設以及相關應用的上線，南京理工大學的無線網(wǎng)絡已經(jīng)初具成效：

1.網(wǎng)絡覆蓋區(qū)域進一步擴大

目前，學校已經(jīng)在綜合實驗樓、第四教學樓、學術交流中心、圖書館等區(qū)域?qū)崿F(xiàn)了無線全覆蓋，全校師生可隨時訪問校內(nèi)外資源。

2.穩(wěn)定高效接入

南京理工大學的無線校園成功的將下一代Wi-Fi技術成功的大范圍應用，使用的均是802.11ac的無線產(chǎn)品，為師生提供穩(wěn)定高速的接入，滿足高帶寬要求的應用開展。

3.安全管控

所有的校園網(wǎng)用戶都通過網(wǎng)絡信息部安排的唯一賬號進行網(wǎng)絡登錄，無論是PC、筆記本或是手機、平板等智能終端。同時，通過網(wǎng)絡管理軟件，統(tǒng)一管理有線網(wǎng)絡設備和無線網(wǎng)絡設備，更好地實現(xiàn)了網(wǎng)絡的可管可控。

4.合理上網(wǎng)

少量學生無節(jié)制地使用網(wǎng)絡的現(xiàn)象逐漸減少，通過代理上網(wǎng)的方式逐步消失，一定程度上減輕了學校出口帶寬的壓力。

因此，該項目的建設滿足了師生用戶靈活便捷接入校園網(wǎng)及Internet的要求，通過無線網(wǎng)絡訪問各種資源，同時也為更多的特色應用打下基礎，將有效改變整個校園的生活方式。

（作者單位為南京理工大學信息化建設與管理處）

建設與管理網(wǎng)絡安全