孫亮

摘要：根據(jù)高校網(wǎng)絡(luò)物理分布的實(shí)際特性，網(wǎng)絡(luò)使用現(xiàn)狀，結(jié)合網(wǎng)絡(luò)應(yīng)用的發(fā)展趨勢(shì)和方向，以提升校園網(wǎng)絡(luò)使用效率，擴(kuò)展網(wǎng)絡(luò)應(yīng)用層次，增加網(wǎng)絡(luò)覆蓋面為目標(biāo)。研究并設(shè)計(jì)高校針對(duì)無線和有線網(wǎng)絡(luò)的整體網(wǎng)絡(luò)架構(gòu)模式，統(tǒng)一部署方案，統(tǒng)一認(rèn)證及安全結(jié)構(gòu)。并提出校園典型環(huán)境下有線無線實(shí)現(xiàn)模式案例。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)一體化；局域網(wǎng)；無線網(wǎng)絡(luò)

中圖分類號(hào)：TN925.93，TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2019）04-0048-03

Abstract： According actual characteristics of physical distribution of University network， current situation of network use， combined with development trend and direction network application， goal to improve efficiency of campus network use， expand level of network application， and increase network coverage. Research and design overall network architecture model for wireless and wired networks， unified deployment scheme， unified authentication and security structure. Get case of wired wireless implementation in typical environment.

Key words： campus network； network integration； LAN； wireless network

1 研究背景

無線網(wǎng)絡(luò)已在高校校園內(nèi)廣泛使用，成為校園網(wǎng)絡(luò)的一個(gè)重要組成部分，成為學(xué)校教學(xué)，科研，辦公，學(xué)生的學(xué)習(xí)，生活等各方面活動(dòng)有力的支撐保障環(huán)境和組成部分。根據(jù)校園建筑架構(gòu)，區(qū)域環(huán)境特性，使用需求和有線網(wǎng)絡(luò)分布特性，對(duì)高校校園內(nèi)的無線網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃和部署，實(shí)現(xiàn)一個(gè)合理有效的有線無線一體化校園網(wǎng)絡(luò)，方便師生上網(wǎng)，為校園內(nèi)各類智能應(yīng)用提供有力的保障。

2 方案設(shè)計(jì)目標(biāo)

浙江海洋大學(xué)總占地面積2597畝，校舍建筑面積47.7萬平方米。校園網(wǎng)絡(luò)的建設(shè)根據(jù)現(xiàn)有規(guī)劃，預(yù)期目標(biāo)為實(shí)現(xiàn)校園內(nèi)主要區(qū)域的無線局域網(wǎng)絡(luò)信號(hào)覆蓋，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備在校園內(nèi)的無縫移動(dòng)和鏈接，和基于設(shè)備及賬號(hào)認(rèn)證的有線無線一體化接入認(rèn)證。同時(shí)對(duì)校園一卡通，餐飲，宿管，消防，監(jiān)控，道閘，教學(xué)，會(huì)議，簽到認(rèn)證等各類系統(tǒng)提供可靠的無線網(wǎng)絡(luò)支撐環(huán)境。

2.1 校園網(wǎng)現(xiàn)狀

傳統(tǒng)網(wǎng)絡(luò)通信與位置強(qiáng)相關(guān)，基于物理端口隔離，終端移動(dòng)網(wǎng)絡(luò)、策略需要調(diào)整，人適應(yīng)網(wǎng)。這樣僵化了網(wǎng)絡(luò)限制，不利于校園內(nèi)移動(dòng)應(yīng)用的展開和推廣。堆砌式傳統(tǒng)安全部署方式增加網(wǎng)絡(luò)復(fù)雜度，策略固化，安全策略復(fù)雜，增加了用戶使用難度，降低了使用效率。同時(shí)基于用戶的業(yè)務(wù)控制和基于IP底層實(shí)現(xiàn)出現(xiàn)沖突；校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)復(fù)雜運(yùn)維成本線性提升。因此，很有必要融合新網(wǎng)絡(luò)技術(shù)構(gòu)建下一代的校園有線無線一體化體系，圖1為校園網(wǎng)按照區(qū)域分布的網(wǎng)絡(luò)拓?fù)鋱D。

2.2 無線信號(hào)的分布

校園內(nèi)建筑密度高，物理形態(tài)多樣化，無線信號(hào)作為一種無線電波，容易受到周邊物理環(huán)境的反射，阻擋，吸收等影響，會(huì)受到其他無線電信號(hào)的干擾，同時(shí)也容易受到如雷電等自然天氣的作用。因而在設(shè)計(jì)無線設(shè)備選型，部署，頻譜規(guī)劃時(shí)，需要因地制宜，實(shí)現(xiàn)理論體系和現(xiàn)場(chǎng)數(shù)據(jù)的測(cè)試，收集，分析相結(jié)合，考慮到校園內(nèi)的各種實(shí)際情況，做到無線設(shè)備信號(hào)的效率、穩(wěn)定、性能相結(jié)合。

2.3 網(wǎng)絡(luò)的安全性

無線網(wǎng)絡(luò)作為一個(gè)開放性的網(wǎng)絡(luò)，信號(hào)可達(dá)區(qū)域內(nèi)的設(shè)備均有接入的可行性。同時(shí)大學(xué)校園又是一個(gè)相對(duì)開放的環(huán)境，為了網(wǎng)絡(luò)環(huán)境的安全可靠，需要實(shí)現(xiàn)確認(rèn)接入用戶的身份和權(quán)限，對(duì)于不同的用戶給以不同的學(xué)校資源的授權(quán)管理。同時(shí)，為了便于用戶的使用，避免在校園內(nèi)切換環(huán)境時(shí)頻繁進(jìn)行認(rèn)證，需要使用一套創(chuàng)新的策略進(jìn)行有線和無線用戶的統(tǒng)一授權(quán)管理。

3 無線有線統(tǒng)一架構(gòu)平臺(tái)

學(xué)校的校園網(wǎng)絡(luò)架構(gòu)以充分的穩(wěn)定，可靠，高速，可擴(kuò)展為理念。分為以下幾個(gè)層次：校園網(wǎng)出口層：包含出口防火墻，WAF網(wǎng)站防護(hù)系統(tǒng)，上網(wǎng)行為管理系統(tǒng)，網(wǎng)站防篡改系統(tǒng)和網(wǎng)絡(luò)日志系統(tǒng)等平臺(tái)。校園網(wǎng)核心交換層：以萬兆鏈路鏈接各區(qū)域匯聚層，同時(shí)對(duì)于不同校區(qū)之間的鏈接，采用雙萬兆鏈路冗余作為連接，實(shí)現(xiàn)高故障可用性。區(qū)域匯聚層：采用高轉(zhuǎn)發(fā)率的交換機(jī)，上行萬兆速率，下行千兆速率到接入交換機(jī)或無線AP。接入層：使用全千兆交換機(jī)作為接入交換機(jī)，無線接入AP使用上行千兆，接入層2.4G5G融合的室內(nèi)和室外型專業(yè)無線AP型號(hào)。

3.1 無線有線一體化下的網(wǎng)絡(luò)模型

在以傳統(tǒng)的物理硬件網(wǎng)絡(luò)作為數(shù)據(jù)交換和傳輸網(wǎng)絡(luò)層之上，使用可按需求定義的靈活虛擬網(wǎng)絡(luò)層（VLAN）對(duì)數(shù)據(jù)進(jìn)行分類傳輸，并且避免各個(gè)終端之間產(chǎn)生的干擾。同時(shí)可分類對(duì)指定的數(shù)據(jù)傳輸方向在網(wǎng)絡(luò)層實(shí)現(xiàn)分流。在往上為控制管理層，根據(jù)網(wǎng)絡(luò)層分類上來的數(shù)據(jù)，按照預(yù)先定義好的策略進(jìn)行匹配認(rèn)證，根據(jù)不同匹配出的策略授予對(duì)應(yīng)的訪問權(quán)限。最上面一層為網(wǎng)絡(luò)出口和校園網(wǎng)資源層各類服務(wù)器，數(shù)據(jù)庫等內(nèi)容存在于這個(gè)邏輯層之上。整個(gè)網(wǎng)絡(luò)模型如圖2所示。

3.2 一體化校園網(wǎng)絡(luò)的優(yōu)勢(shì)

無線有線一體化的校園網(wǎng)絡(luò)方案，實(shí)現(xiàn)了網(wǎng)絡(luò)終端的校園內(nèi)位置無關(guān)化，對(duì)每一個(gè)設(shè)備和授權(quán)賬號(hào)，無論時(shí)通過有線或者無線接入校園網(wǎng)，無論在校園內(nèi)的哪個(gè)位置接入，獲得的均是同一個(gè)網(wǎng)絡(luò)IP地址，從而可以實(shí)現(xiàn)學(xué)生行為追溯定位，上課簽到，會(huì)議簽到，部門辦公室搬遷的網(wǎng)絡(luò)地址延續(xù)性。做到了網(wǎng)段和訪問權(quán)限匹配，IP地址與用戶對(duì)應(yīng)。對(duì)移動(dòng)的校內(nèi)攝像頭也可以實(shí)現(xiàn)持續(xù)跟蹤監(jiān)控。同時(shí)，這樣的方案也可以避免傳統(tǒng)網(wǎng)絡(luò)配置模式下，單個(gè)網(wǎng)段出現(xiàn)地址溢出的情況。

同時(shí)，網(wǎng)絡(luò)管理員也可以對(duì)整體網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行設(shè)備的提前分類和規(guī)劃，并進(jìn)行提前測(cè)試和分析，根據(jù)優(yōu)化方案設(shè)計(jì)各個(gè)區(qū)域的網(wǎng)絡(luò)IP分配，帶寬配置和業(yè)務(wù)承載等，做到實(shí)現(xiàn)應(yīng)用層設(shè)計(jì)的區(qū)域無關(guān)化，面向?qū)ο蟮木W(wǎng)絡(luò)總體結(jié)構(gòu)。結(jié)構(gòu)如圖3所示。

3.3 核心交換層設(shè)備選擇

核心交換層作為校園網(wǎng)絡(luò)的中心交換層級(jí)，即要求有足夠并具備一定前瞻性的性能指標(biāo)，又要求具備穩(wěn)定的可靠性和災(zāi)備情況下的冗余性。因此，核心采用雙電信級(jí)交換設(shè)備，目前使用雙H3C 10508 做熱融合，同時(shí)不同校區(qū)之間均使用雙萬兆光纖線路做雙鏈路連接。核心交換層到服務(wù)器區(qū)域，存儲(chǔ)區(qū)域，出口區(qū)域均使用雙鏈路做熱備，避免單一鏈路或模塊設(shè)備的中斷導(dǎo)致全網(wǎng)故障。

3.4 區(qū)域匯聚層設(shè)備選擇

區(qū)域匯聚設(shè)備采用萬兆上行口，并使用雙光纖雙模塊鏈接至核心交換區(qū)域，同時(shí)配備冗余電源，最大可能地提高設(shè)備的穩(wěn)定性和容錯(cuò)性能。區(qū)域匯聚設(shè)備還要求有一定的路由轉(zhuǎn)發(fā)能力，作為一個(gè)區(qū)域的網(wǎng)絡(luò)出口，可以提供DHCP下發(fā)，有線無線VLAN終結(jié)等一系列業(yè)務(wù)性能。

3.5 接入層設(shè)備選擇

有線網(wǎng)絡(luò)的接入層設(shè)備要求實(shí)現(xiàn)全千兆的接入能力，實(shí)現(xiàn)千兆到桌面。同時(shí)具備足夠的端口安全功能，對(duì)非法DHCP，ARP攻擊，廣播風(fēng)暴，地址冒用欺騙等行為具備實(shí)時(shí)的阻斷能力。同時(shí)要求具備環(huán)境耐受性，在高溫，潮濕，電壓不穩(wěn)等各種情況下穩(wěn)定耐用，不易出現(xiàn)故障。這里采用主流品牌的靜音型無風(fēng)扇安全千兆交換機(jī)，并且配置齊全各類安全策略和配置，最大可能實(shí)現(xiàn)接入設(shè)備的可用性。

無線網(wǎng)絡(luò)的接入設(shè)備采用典型的主體/分體模式下的廋AP架構(gòu)。其中主體無線AC控制交換機(jī)也作為分體AP的POE供電設(shè)備。以實(shí)現(xiàn)區(qū)域內(nèi)無線AP的批量配置腳本下發(fā)，批量管理，狀態(tài)統(tǒng)一顯示等功能。

4 典型區(qū)域部署分析

高校內(nèi)有教學(xué)區(qū)域，住宿區(qū)域，戶外區(qū)域等具有獨(dú)立特色的應(yīng)用區(qū)域。

4.1 教學(xué)區(qū)域網(wǎng)絡(luò)特點(diǎn)

（1）人員密度高，學(xué)生和教師在有限的空間里高密度聚集。（2）網(wǎng)絡(luò)使用頻率高，現(xiàn)在教學(xué)過程中已經(jīng)充分利用了基于網(wǎng)絡(luò)的互動(dòng)式教學(xué)模式及在線課程。（3）網(wǎng)絡(luò)用戶的變化率很高，每個(gè)時(shí)間段都會(huì)出現(xiàn)大批量用戶離開及進(jìn)入教學(xué)區(qū)域的情況，同時(shí)，由于不同課的教室安排不同，在同一個(gè)區(qū)域內(nèi)的人員也存在固定位置移動(dòng)的情況。（4）區(qū)域空間分隔密度高，每個(gè)隔離出房間的大小和外形沒有固定的分布規(guī)律。

針對(duì)以上的區(qū)域特點(diǎn)，教學(xué)區(qū)域的無線AP應(yīng)當(dāng)選用具備高密度接入能力的無線AP，并且AP應(yīng)當(dāng)具備多頻譜復(fù)用（MIMO）的能力，以充分利用盡可能多的頻段在有限的空間里容納足夠數(shù)量的無線AP。同時(shí)，教學(xué)區(qū)域內(nèi)的有線網(wǎng)絡(luò)需配置為與無線網(wǎng)互通的同一網(wǎng)段內(nèi)，使得教師可以在利用局域網(wǎng)廣播的模式使用現(xiàn)有的教學(xué)軟件。對(duì)于空間不超過60平方米的教學(xué)房間，配置一個(gè)POE供電的工業(yè)級(jí)無線吸頂AP千兆高密11AC雙頻AP，使用2.5/5GHz復(fù)用模式，使用四個(gè)無線段，同時(shí)可設(shè)置多個(gè)SSID，根據(jù)應(yīng)用管理層同步下發(fā)的配置文件為不同認(rèn)證的用戶設(shè)置不同的權(quán)限。對(duì)于大教室，會(huì)議室及圖書館等大型空間，需根據(jù)實(shí)際測(cè)試的需求配置多無線AP，這時(shí)需要選擇無線AP設(shè)備可以實(shí)現(xiàn)自動(dòng)選擇信道，并且不同信道發(fā)射功率可調(diào)，避免互相干擾，提高整體有效性。

4.2 住宿區(qū)域的網(wǎng)絡(luò)特點(diǎn)

（1）無線網(wǎng)絡(luò)使用人數(shù)眾多，密度較大，人員流動(dòng)性小。單一網(wǎng)絡(luò)接入點(diǎn)的持續(xù)使用時(shí)間長(zhǎng)，存在現(xiàn)在視頻，下載等流量需求較大的應(yīng)用。（2）區(qū)域內(nèi)房間較小，一般為30-40平方米一間，房間式樣較為統(tǒng)一。（3）有線網(wǎng)絡(luò)接入點(diǎn)多需要和無線網(wǎng)絡(luò)通盤考慮。（4）信號(hào)環(huán)境較復(fù)雜，區(qū)域內(nèi)存在各個(gè)手機(jī)運(yùn)營(yíng)商部署的手機(jī)2/3/4G信號(hào)設(shè)備。

因此，在高校宿舍區(qū)域內(nèi)部署無線，經(jīng)測(cè)試，直接在每個(gè)房間內(nèi)安裝一個(gè)壁掛式POE供電的無線有線一體化瘦客戶AP是最佳的綜合布網(wǎng)方案。每個(gè)AP具備千兆上行口和四個(gè)百兆下行口，可以在支持每個(gè)寢室四個(gè)有線設(shè)備接入的同時(shí)提供同等速率層次的無線信號(hào)。同時(shí)信號(hào)天線直接對(duì)著室內(nèi)傳輸，即可以避免不同房間互相之間的干擾，又提供了足夠的信號(hào)強(qiáng)度。

4.3 校園室外的網(wǎng)絡(luò)

校園室外區(qū)域具有空間跨度大，戶外環(huán)境復(fù)雜，用戶構(gòu)成多樣化及使用需求多樣的特點(diǎn)。在學(xué)校招生錄取，運(yùn)動(dòng)會(huì)等各類活動(dòng)時(shí)會(huì)對(duì)無線使用提出有效量的需求。同時(shí)也存在大量校外未授權(quán)認(rèn)證設(shè)備的接入需要。同時(shí)網(wǎng)絡(luò)應(yīng)用除了傳統(tǒng)的上網(wǎng)訪問外，還有運(yùn)動(dòng)計(jì)時(shí)簽到，出入校園人臉認(rèn)證，一卡通的移動(dòng)計(jì)費(fèi)設(shè)備，戶外視頻錄播等多樣化的行為。

因而在設(shè)計(jì)戶外的無線信號(hào)覆蓋時(shí)，需選用POE供電的全向天線式大功率無線基站AP。要求具備大容量（大于100設(shè)備待機(jī)）的接入能力，全金屬外殼，帶抗雷防雨防潮性能。根據(jù)現(xiàn)場(chǎng)環(huán)境，盡量放置于屋頂或者立桿之上，以盡量提高覆蓋范圍。在某些較為偏僻的校園區(qū)域，可以采用光纖或者定向無線天線傳輸?shù)姆绞?，在信?hào)送達(dá)區(qū)域之后，再采用全向天線的無線設(shè)備進(jìn)行擴(kuò)展。

5 結(jié)束語

當(dāng)前無線技術(shù)已經(jīng)非常成熟，普及率和滲透率越來越高。實(shí)現(xiàn)在高校校園內(nèi)有效的部署無線網(wǎng)絡(luò)覆蓋并于現(xiàn)有的有線網(wǎng)絡(luò)有機(jī)地結(jié)合在一起，是當(dāng)前高校信息化建設(shè)，智能化建設(shè)的一個(gè)重要組成部分和保障。建設(shè)統(tǒng)一的校園內(nèi)無線有線一體化網(wǎng)絡(luò)體系，可以為教學(xué)，科研，師生辦公，生活等各方面提供理想的網(wǎng)絡(luò)環(huán)境，有力的保障學(xué)校各方面事業(yè)進(jìn)一步發(fā)展。

參考文獻(xiàn)：

[1] 廣州杰賽通信規(guī)劃設(shè)計(jì)院.無線局域網(wǎng)設(shè)計(jì)與優(yōu)化[M].北京：人民郵電出版社，2015.

[2] 黎連業(yè)，王安.無線網(wǎng)絡(luò)與應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2013.

[3] 廖威.無線局域網(wǎng)技術(shù)的現(xiàn)狀及發(fā)展方向探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（2）：15-16.

[4] 萬思杰，李小麗，陳專.WiFi網(wǎng)絡(luò)安全現(xiàn)狀及應(yīng)對(duì)策略[J].大眾科技，2017（4）：10-12.

[5] 高宏娟.論無線局域網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2016.

[6] 殷冬冬.大規(guī)模校園無線局域網(wǎng)性能優(yōu)化技術(shù)研究[J].無線互聯(lián)科技，2017（17）：13-14.

【通聯(lián)編輯：代影】