田愛寶

【摘 要】隨著校園無線網(wǎng)絡(luò)的大規(guī)模建設(shè)，學(xué)校面臨的網(wǎng)絡(luò)建設(shè)與管理維護(hù)的工作量不斷增加，而網(wǎng)絡(luò)管理人員卻得不到補(bǔ)充，導(dǎo)致無線網(wǎng)絡(luò)建設(shè)與管理遇到極大的困難，通過采用校園有線無線網(wǎng)絡(luò)結(jié)構(gòu)一體化設(shè)計，減少網(wǎng)絡(luò)設(shè)備和線路數(shù)量，提高設(shè)備利用率，節(jié)省網(wǎng)絡(luò)建設(shè)成本和管理維護(hù)成本，同時，采用一體化網(wǎng)絡(luò)認(rèn)證方案，用戶可無障礙在兩種網(wǎng)絡(luò)中使用，得到一體化的網(wǎng)絡(luò)服務(wù)。

【關(guān)鍵詞】校園網(wǎng)；無線網(wǎng)；一體化；網(wǎng)絡(luò)認(rèn)證

【Abstract】With the large-scale construction of the campus wireless network， network construction and management and maintenance of the school is facing increasing workload， and network management staff has not added， resulting in wireless network construction and management experience great difficulty， through the use of campus wired and wireless network architecture integrated design， reducing the number of network equipment and lines， improve equipment utilization， saves network construction costs and management and maintenance costs， while using an integrated network authentication scheme， users can use two network accessibility， to obtain integrated network services.

【Key words】Campus networks； Wireless networks； Integration； Authentication

0 引言

自20世紀(jì)90年代以來，校園網(wǎng)絡(luò)經(jīng)歷了二十多年的發(fā)展，絕大多數(shù)高校鋪設(shè)了完善的校園光纜系統(tǒng)，建成了成熟的校園基礎(chǔ)網(wǎng)絡(luò)，提供了穩(wěn)定的網(wǎng)絡(luò)服務(wù)。隨著無線技術(shù)和移動應(yīng)用的發(fā)展，許多高校通過自建或合作的方式進(jìn)行了校園無線網(wǎng)絡(luò)建設(shè)，其中，部分重點高校已經(jīng)完成了校園無線網(wǎng)絡(luò)全覆蓋，且經(jīng)歷了多次升級改造。但是，校園有線無線網(wǎng)絡(luò)的不斷建設(shè)導(dǎo)致校園網(wǎng)絡(luò)的規(guī)模越來越大，設(shè)備數(shù)量越來越多，而網(wǎng)絡(luò)管理人員不可能不斷增加，因此，網(wǎng)絡(luò)管理維護(hù)工作將遭遇瓶頸，與此同時，用戶追求不斷提升網(wǎng)絡(luò)體驗，這就迫切需要通過改進(jìn)網(wǎng)絡(luò)部署方案以提升網(wǎng)絡(luò)管理效率。

1 設(shè)計思路

校園網(wǎng)絡(luò)分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)兩大部分，有線網(wǎng)絡(luò)提供高速可靠的數(shù)據(jù)傳輸服務(wù)，一般只能用于固定的網(wǎng)絡(luò)終端和設(shè)備，而無線網(wǎng)絡(luò)是對有線網(wǎng)絡(luò)的補(bǔ)充，主要用于移動終端的網(wǎng)絡(luò)接入，所能提供的網(wǎng)絡(luò)帶寬相對較低。同時，網(wǎng)絡(luò)安全是整個校園網(wǎng)絡(luò)的基本保障，故校園網(wǎng)絡(luò)除了為用戶提供高速、便利的網(wǎng)絡(luò)接入的同時，必須有有效的安全管理措施。因此，校園網(wǎng)絡(luò)設(shè)計中必須具備高速、穩(wěn)定、安全、便捷、易管理等特點。

2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

經(jīng)過多年的建設(shè)，校園光纜系統(tǒng)已經(jīng)基本完善成型，因此，校園網(wǎng)絡(luò)結(jié)合現(xiàn)有光纜系統(tǒng)設(shè)計網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)。按照園區(qū)網(wǎng)絡(luò)的特點，校園網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的三層物理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，即核心層、匯聚層和接入層。核心層是整個校園網(wǎng)絡(luò)的核心，具有高速轉(zhuǎn)發(fā)性能，骨干鏈路10G及其以上，為了保障網(wǎng)絡(luò)的穩(wěn)定運行，一般采用雙機(jī)冗余部署模式，雙鏈路捆綁連接匯聚層交換機(jī)；匯聚層分布在各樓宇的匯聚點，主要用于核心層到接入層網(wǎng)絡(luò)鏈路的匯合，雙鏈路到核心層，千兆及其以上光纖鏈路連接接入層；接入層根據(jù)終端類型，配備普通接入交換機(jī)和支持對外供電的PoE交換機(jī)，用于連接普通用戶網(wǎng)絡(luò)終端和無線接入點（AP），可以實現(xiàn)千兆或百兆到桌面。

為了保障有線網(wǎng)絡(luò)的安全和提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率，有線網(wǎng)絡(luò)采用大二層邏輯網(wǎng)絡(luò)結(jié)構(gòu)，即用戶終端從接入交換機(jī)一直到有線網(wǎng)絡(luò)認(rèn)證設(shè)備形成二層網(wǎng)絡(luò)互通。同時，為了防止網(wǎng)絡(luò)因安全穩(wěn)定帶來的不穩(wěn)定，對接入交換機(jī)采用端口隔離和一個接入交換機(jī)一個獨立VLAN的做法實現(xiàn)用戶間的網(wǎng)絡(luò)隔離。

作為校園無線網(wǎng)絡(luò)的核心設(shè)備，無線控制器（AC）負(fù)責(zé)管理全網(wǎng)的無線接入點（AP），重要性不亞于核心交換機(jī)，故采用N+1冗余模式，并使用雙鏈路與雙核心相連。無線AC通過有線網(wǎng)的核心交換機(jī)、匯聚交換機(jī)、PoE接入交換機(jī)與無線AP建立網(wǎng)絡(luò)連接，形成邏輯二層的無線網(wǎng)絡(luò)。

校園網(wǎng)絡(luò)經(jīng)過邏輯簡化后形成邏輯獨立的校園有線網(wǎng)絡(luò)和校園無線網(wǎng)絡(luò)，最終呈現(xiàn)給用戶的即是校園有線網(wǎng)絡(luò)和校園無線網(wǎng)絡(luò)，但整個校園網(wǎng)絡(luò)中只存在一套物理網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)管理的一體化。

3 認(rèn)證方案設(shè)計

除了物理網(wǎng)絡(luò)一體化帶來網(wǎng)絡(luò)管理的便利外，用戶的網(wǎng)絡(luò)體驗至關(guān)重要，因此，網(wǎng)絡(luò)的認(rèn)證方案也需一體化。

根據(jù)網(wǎng)絡(luò)邏輯結(jié)構(gòu)，用戶無論通過有線還是通過無線接入網(wǎng)絡(luò)，均須通過網(wǎng)絡(luò)認(rèn)證后才能訪問校園網(wǎng)絡(luò)，而用戶網(wǎng)絡(luò)接入權(quán)限分別由校園有線認(rèn)證設(shè)備和無線控制器控制，為了實現(xiàn)網(wǎng)絡(luò)帳號的統(tǒng)一，故網(wǎng)絡(luò)認(rèn)證設(shè)備和無線控制器均應(yīng)該指向相同的RADIUS服務(wù)器。

在高校，大部分用戶擁有一臺電腦和一臺手機(jī)兩個網(wǎng)絡(luò)終端，故在網(wǎng)絡(luò)認(rèn)證系統(tǒng)中，可根據(jù)實際情況放開用戶同一個帳號兩個終端同時在線。

4 網(wǎng)絡(luò)部署

在網(wǎng)絡(luò)建設(shè)中，按照物理拓?fù)鋱D完成整體網(wǎng)絡(luò)的搭建。在接入層，根據(jù)無線AP的部署情況，采用普通交換機(jī)和PoE交換機(jī)混合模式， PoE交換機(jī)優(yōu)先連接AP并為AP供電，普通交換機(jī)用于對普通用戶的接入。根據(jù)房間情況，部署放裝AP和墻面板AP兩種類型的無線AP，其中，將放裝AP連接到POE交換機(jī)后并安裝在天花板，只提供無線網(wǎng)絡(luò)接入，而墻面板AP替換傳統(tǒng)的網(wǎng)絡(luò)面板，既能提供無線連接同時能提供有線網(wǎng)絡(luò)接入，類似AP+交換機(jī)的功能。

有線網(wǎng)絡(luò)采用大二層的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，通過VLAN透傳的方式將接入交換機(jī)上用戶VLAN的經(jīng)過匯聚交換機(jī)、核心交換機(jī)，透傳至有線網(wǎng)絡(luò)認(rèn)證設(shè)備。用戶從網(wǎng)絡(luò)認(rèn)證設(shè)備獲得地址后，由認(rèn)證設(shè)備將其數(shù)據(jù)路由轉(zhuǎn)發(fā)給核心交換機(jī)，核心交換機(jī)根據(jù)路由表轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)。

根據(jù)無線AP的規(guī)模劃分管理VLAN，一般情況下，AP管理VLAN的網(wǎng)關(guān)設(shè)置在匯聚交換機(jī)，再通過路由的方式經(jīng)過核心交換機(jī)轉(zhuǎn)發(fā)到無線AC，完成AP到AC的網(wǎng)絡(luò)連接，并建立用戶隧道。無線用戶連接到無線AP后通過隧道將用戶數(shù)據(jù)轉(zhuǎn)發(fā)到AC，經(jīng)AC網(wǎng)絡(luò)認(rèn)證后再轉(zhuǎn)發(fā)至核心交換機(jī)，完成無線用戶的無線網(wǎng)絡(luò)接入。

5 結(jié)論

采用有線無線一體化建設(shè)方案，網(wǎng)絡(luò)管理人員根據(jù)工作性質(zhì)進(jìn)行分工管理，有線管理人員負(fù)責(zé)校內(nèi)的所有線路及從核心到接入層交換機(jī)的管理，而無線管理人員只需負(fù)責(zé)無線控制器和無線AP的管理，實現(xiàn)分工明確。同時，由于只存在一套物理網(wǎng)絡(luò)，減少了網(wǎng)絡(luò)鏈路和設(shè)備數(shù)量，有效減少了網(wǎng)絡(luò)的維護(hù)工作量。

同時，用戶在學(xué)校所有網(wǎng)絡(luò)使用相同的網(wǎng)絡(luò)帳號，達(dá)到便捷使用校園網(wǎng)絡(luò)的目標(biāo)。

【參考文獻(xiàn)】

[1]李向龍，劉曉龍.校園無線網(wǎng)絡(luò)解決方案[J].廈門大學(xué)學(xué)報（自然科學(xué)版），2007，46（S2）：159-161.

[2]黃矽琳.校園無線網(wǎng)絡(luò)的設(shè)計[J].齊齊哈爾大學(xué)學(xué)報，2015，31（3）：69-73.

[3]施游.無線校園網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].電腦知識與技術(shù)，2015，11（3）：57-28.

[4]劉立圓，夏文英，南曉青.高校校園網(wǎng)絡(luò)的規(guī)劃與設(shè)[J].電子制作，2014（1）：150.

[5]趙中原，楊立身.層次化校園網(wǎng)絡(luò)的規(guī)劃設(shè)計與實現(xiàn)[J].大眾科技，2014，16（180）：31-33.

[6]馮文健，謝永盛.網(wǎng)絡(luò)實名認(rèn)證在校園網(wǎng)中的應(yīng)用[J].電子技術(shù)與軟件工程，2014（15）：52.

[責(zé)任編輯：王楠]