王肖飛

摘 要：網(wǎng)絡(luò)工具的日益完善對校園無線網(wǎng)絡(luò)提出更高要求，既要保障無線校園局域網(wǎng)靈活性、穩(wěn)定性，也要保障局域網(wǎng)安全性。文章以某高校無線局域網(wǎng)建設(shè)為例，闡述無線校園局域網(wǎng)方案的設(shè)計以及具體實施措施等，以此為校園無線局域網(wǎng)建設(shè)提供經(jīng)驗。

關(guān)鍵詞：無線局域網(wǎng)；設(shè)計；安全

智能型校園的構(gòu)建對校園無線局域網(wǎng)的要求越來越高。某高職院校長期以來采取有線接入的校園局域網(wǎng)模式，雖然能夠滿足日常的教學(xué)工作需要，但是隨著通信網(wǎng)絡(luò)的快速發(fā)展，有線網(wǎng)絡(luò)布局模式已經(jīng)不適應(yīng)校園信息化建設(shè)的步伐。因此，設(shè)計無線校園局域網(wǎng)成為當(dāng)前高校信息化建設(shè)的基礎(chǔ)。

1 無線校園局域網(wǎng)總體方案設(shè)計

1.1 某高校局域網(wǎng)需求分析

網(wǎng)絡(luò)設(shè)計的前提是必須要準(zhǔn)確把握用戶的需求。高校無線局域網(wǎng)設(shè)計的主要對象是高校師生，其目的就是服務(wù)日常的教學(xué)、科研以及學(xué)習(xí)。因此，某高校將無線局域網(wǎng)設(shè)計目標(biāo)設(shè)定為：覆蓋全校的無線局域網(wǎng)，實現(xiàn)無線接入點的高速互聯(lián)。具體表現(xiàn)為：（1）全面的運維管理。無線局域網(wǎng)必須要具有較高的可維護性，能夠通過監(jiān)測平臺實現(xiàn)對無線局域網(wǎng)運行狀態(tài)的監(jiān)測管理。（2）支持多種業(yè)務(wù)。由于高校教學(xué)、科研的形式比較多，因此，無線局域網(wǎng)必須要具有支持多種業(yè)務(wù)的能力，例如數(shù)據(jù)傳輸、視頻教學(xué)以及網(wǎng)頁檢索等。（3）安全性。安全性是校園局域網(wǎng)設(shè)計的關(guān)鍵目標(biāo)。保障無線局域網(wǎng)安全不僅是保障校園教學(xué)秩序的基礎(chǔ)，也是保護用戶信息安全的關(guān)鍵。（4）設(shè)計靈活。由于計算機技術(shù)的不斷發(fā)展，無線局域網(wǎng)在設(shè)計時必須要考慮到以后的擴容等因素，因此，需要采取較為靈活的部署方案。例如實施數(shù)據(jù)傳輸加密、訪問控制等措施。

1.2 無線校園局域網(wǎng)設(shè)計的原則

校園無線局域網(wǎng)設(shè)計不同于企業(yè)無線局域網(wǎng)設(shè)計，結(jié)合某高校對無線校園局域網(wǎng)設(shè)計需求的分析，局域網(wǎng)設(shè)計必須要遵循以下原則：（1）實用性。隨著網(wǎng)絡(luò)的普及，高校在設(shè)計局域網(wǎng)時必須要立足于校園實際需求，按照從總體到局部的原則，將實用性作為設(shè)計的第一要素，避免出現(xiàn)“華而不實”的設(shè)計方案。例如，校園局域網(wǎng)的基本要素就是滿足教學(xué)、科研活動，因此，在功能設(shè)置上不必要過度追求“超快、超多”的現(xiàn)象。（2）可靠性。校園局域網(wǎng)設(shè)計必須要堅持可靠性，既要保障日常教學(xué)工作的有序進行，也要保證教學(xué)資源信息化的穩(wěn)定，因此，無論是在硬件設(shè)施上還是軟件設(shè)計上都要注重質(zhì)量，加強監(jiān)管。（3）兼容性與可擴展性。無線局域網(wǎng)設(shè)計必須要保證設(shè)備接口符合國際標(biāo)準(zhǔn)接口，同時還要在當(dāng)前網(wǎng)絡(luò)規(guī)模下具備一定的擴展空間，以此滿足日后的在線升級等要求。

1.3 校園網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計

考慮到日后的管理與維護，某高校無線局域網(wǎng)系統(tǒng)采取的較為成熟的3層體系結(jié)構(gòu)：（1）網(wǎng)絡(luò)層是實現(xiàn)骨干網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)闹匾糠?，因此，為了保證核心設(shè)備的性能，選擇DCRS-7608構(gòu)建。網(wǎng)絡(luò)核心層與匯聚層則采取千兆鏈接模式。（2）匯聚層設(shè)計。匯聚層是學(xué)校各個單位信息傳輸?shù)膮R聚連接作用，其性能直接關(guān)系整個系統(tǒng)的好壞，因此，匯聚層交換機應(yīng)該具有支持多業(yè)務(wù)、具備高轉(zhuǎn)發(fā)能力的功能，以此達到快速傳輸數(shù)據(jù)信息的要求。考慮到高校用戶數(shù)量多的因素，在獨立的辦公樓、宿舍以及教學(xué)樓、圖書館等放置一臺匯聚交換機。（3）網(wǎng)絡(luò)接入層設(shè)計。網(wǎng)絡(luò)接入層采取高性能的DCS-3950，通過千兆銅纜實現(xiàn)數(shù)據(jù)的傳輸與接收。其中無線網(wǎng)絡(luò)系統(tǒng)是由智能控制平臺和智能無線接入點（Access Point，AP）組成，以此實現(xiàn)對數(shù)據(jù)轉(zhuǎn)發(fā)層面和信息路由控制層面的分離，避免控制系統(tǒng)的單點故障[1]。網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計如圖1所示。

圖1 校園無線網(wǎng)絡(luò)結(jié)構(gòu)示意

2 無線校園局域網(wǎng)方案具體設(shè)計措施

2.1 IP地址和VLAN規(guī)劃

考慮到無線局域網(wǎng)的統(tǒng)一管理要求，某高校的無線局域網(wǎng)IP地址主要分為兩類：（1）基于AP自身的IP地址（管理地址），其主要是按照AP數(shù)量進行規(guī)劃。（2）用戶終端使用的IP地址（應(yīng)用地址），其主要是根據(jù)用戶數(shù)確定。由于某高校沒有啟動IPv6服務(wù)，因此，無線網(wǎng)IP地址和VLAN地址分配遵循以下原則：AP管理地址以樓為單位分配一個C類地址，室外AP管理歸口對應(yīng)上行接口的樓宇地址段；無線應(yīng)用地址分配，辦公樓、宿舍、以樓層為單位，每個樓層一個C4地址，并配置對應(yīng)的VLAN，教室、會議室、圖書館等用戶密集區(qū)域適當(dāng)增加IP地址，合并多個C4解決。室外以AP為單位，為每個AP分配一個C4地址，并配置對應(yīng)的VLAN。

2.2 無線局域網(wǎng)技術(shù)設(shè)計

校園無線局域網(wǎng)設(shè)計的關(guān)鍵是做好相關(guān)安全技術(shù)的選擇。影響無線局域網(wǎng)的因素主要有網(wǎng)絡(luò)層、接入口等方面。（1）網(wǎng)絡(luò)的安全防護。本設(shè)計方案選擇DCRS-7608具有較高的安全性能，其不僅能夠有效防止ARP-DOS的攻擊，而且還具有掃描、安全ICMO等功能，有效防止核心網(wǎng)絡(luò)層不受到攻擊。（2）做好外網(wǎng)用戶的VPN安全接入設(shè)計。外部認知是當(dāng)前較多采用的方式，其可以解決有線、無線網(wǎng)絡(luò)的統(tǒng)一認證，便于統(tǒng)一管理。本次設(shè)計采取的Portal認證，其最大的特點是基于Web頁面推送，不需要安裝客戶端，兼容 PC、手機、平板等各類終端。（3）AP供電技術(shù)。由于在高校無線局域網(wǎng)設(shè)計中需要應(yīng)用大量的AP設(shè)備，而AP設(shè)備的運行需要電能的支撐。本次無線局域網(wǎng)設(shè)計是在原有建筑的基礎(chǔ)上進行改造，因此，對于室外AP供電問題成為無線局域網(wǎng)設(shè)計所需要解決的重要問題之一。結(jié)合實踐采取的是用標(biāo)準(zhǔn)的802.3af對AP進行供電，具體就是通過匯集交換機處疊加一個供電電源，通過以太網(wǎng)線在傳輸數(shù)據(jù)的同時實現(xiàn)對AP的供電。

2.3 校園無線局域網(wǎng)覆蓋方案

某高校無線局域網(wǎng)建設(shè)屬于在原有有線網(wǎng)絡(luò)的基礎(chǔ)上進行改建擴建，因此，無線局域網(wǎng)設(shè)計覆蓋范疇為高校大部分建筑的室內(nèi)以及人員較多的室外活動場所。在具體的無線覆蓋設(shè)計時必須要考慮到信號對人體可能存在的危害因素，實現(xiàn)“綠色環(huán)保”理念。例如，本次設(shè)計在教學(xué)樓（共5層）時可以采取每層設(shè)置一套9天線室內(nèi)分布系統(tǒng)進行覆蓋，射頻電纜通過豎井連接到2層匯聚機房內(nèi)，實現(xiàn)對網(wǎng)絡(luò)設(shè)備體系的統(tǒng)一管理。在覆蓋問題設(shè)計上必須要考慮無線信號問題，例如對于AP室內(nèi)無障礙的覆蓋，則不需要考慮到穿墻等因素，可以采取吸頂天線的方式。而對于室內(nèi)具有障礙的則要考慮到信號穩(wěn)定因素，例如高校圖書館走廊比較多，會影響信號的傳輸，因此，可以在走廊中間布置AP，以此覆蓋圖書館兩邊房間區(qū)域的信號[2]。

2.4 設(shè)備選型

在無線局域網(wǎng)設(shè)計過程中，對于設(shè)備的選擇首要的考慮因素就是安全性能。（1）無線控制器的選擇。根據(jù)本次無線局域網(wǎng)AP數(shù)量以及功能的要求，該高校選擇基于思科 Catalyst6500的模塊化產(chǎn)品WiSM2，該產(chǎn)品具有較高的可靠性和可拓展性，能夠適應(yīng)于較大規(guī)模的無線局域網(wǎng)構(gòu)建中，提供穩(wěn)定的服務(wù)。（2）POE交換機。根據(jù)實際需求，POE交換機選用Catalyst 2960 X系列，根據(jù)AP接入數(shù)量確定接口數(shù)量和型號。AP密集區(qū)域采用48口，其他區(qū)域采用24口。（3）無線AP。AP盡量選用支持802.11ac的產(chǎn)品。

3 無線校園局域網(wǎng)設(shè)計測試與優(yōu)化

在高校無線局域網(wǎng)建設(shè)中需要通過網(wǎng)絡(luò)優(yōu)化檢測頻率分配、站點參數(shù)調(diào)整等不斷優(yōu)化無線網(wǎng)絡(luò)的性能，因此，高校在完成無線局域網(wǎng)設(shè)計后需要進行網(wǎng)絡(luò)測試。為了保證測試的準(zhǔn)確性，必須要將覆蓋盲區(qū)、用戶投訴區(qū)域以及切換區(qū)等進行測試，以此保證測試數(shù)據(jù)的全面性。通過系統(tǒng)的測試，得出以下結(jié)論。

（1）無線覆蓋率。通過對全校重點覆蓋區(qū)域的檢測，高校檢測區(qū)域的無線信號強度平均在﹣70 dBm以上，網(wǎng)內(nèi)丟包率小于1%，可見從整體上無線覆蓋率要優(yōu)于設(shè)計標(biāo)準(zhǔn)。

（2）加強對無線局域網(wǎng)的統(tǒng)一管理，大大提高了工作效率。本次設(shè)計的無線局域網(wǎng)是建立在原有的有線網(wǎng)絡(luò)基礎(chǔ)上，同時考慮到統(tǒng)一管理的要求，在設(shè)計無線局域網(wǎng)的過程中考慮到了日后的管理問題，因此，利用WiSM2產(chǎn)品實現(xiàn)了對校園網(wǎng)絡(luò)的統(tǒng)一管理，大大提高了工作效率，有效規(guī)避了網(wǎng)絡(luò)風(fēng)險。

（3）實現(xiàn)了無線局域網(wǎng)的靈活性，方便了用戶使用。本次校園網(wǎng)無線項目不涉及認證功能模塊的架設(shè)，只需將無線網(wǎng)絡(luò)地址段劃入原有校園網(wǎng)認證服務(wù)器統(tǒng)一管理，即可同步實現(xiàn)無線網(wǎng)絡(luò)的認證和審計功能。

當(dāng)然，本次設(shè)計的無線局域網(wǎng)還存在部分區(qū)域信號不穩(wěn)定（沒有考慮房間角落信號覆蓋問題）、室內(nèi)金屬設(shè)施擺放位置與AP安裝相沖突導(dǎo)致信號被衰減以及AP設(shè)備出現(xiàn)故障等問題。因此，需要我們在以后的工作中加以注意并且改進，以此構(gòu)建高效、穩(wěn)定的校園無線局域網(wǎng)。