校園網(wǎng)無(wú)線(xiàn)雙接入、雙認(rèn)證、雙運(yùn)營(yíng)設(shè)計(jì)與實(shí)施

問(wèn)題的提出及解決方案

近幾年，隨著無(wú)線(xiàn)終端工具，比如自帶無(wú)線(xiàn)網(wǎng)卡的手提電腦、上網(wǎng)本、iPAD、iPhone以及智能手機(jī)在師生中日益普及，使得有線(xiàn)網(wǎng)絡(luò)的空間局限性日益凸顯。

學(xué)生對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)需求的增加，不僅給校園網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)增加了壓力，同時(shí)也對(duì)校外提供手機(jī)無(wú)線(xiàn)網(wǎng)絡(luò)的運(yùn)營(yíng)商提出了更高的要求。

在校園內(nèi)，隨著3G手機(jī)等產(chǎn)品在學(xué)生中的普及應(yīng)用，提供出口帶寬的運(yùn)營(yíng)商校外手機(jī)基站，已明顯不能支持?jǐn)?shù)據(jù)量日益增多的學(xué)生用戶(hù)的3G應(yīng)用，運(yùn)營(yíng)商迫切需要在校園里建設(shè)無(wú)線(xiàn)局域網(wǎng)，再通過(guò)高速光纜傳輸數(shù)據(jù)，以緩解基站的數(shù)據(jù)擁塞。

無(wú)線(xiàn)AP和相應(yīng)的天線(xiàn)由運(yùn)營(yíng)商投入建設(shè)，利用校園現(xiàn)有的有線(xiàn)主干網(wǎng)，通過(guò)設(shè)置相互隔離的邏輯信道，既保證了運(yùn)營(yíng)商3G數(shù)據(jù)的暢通，也給學(xué)校師生提供了遍及校園的無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)，師生既可以通過(guò)運(yùn)營(yíng)商的賬號(hào)上網(wǎng)，也可以學(xué)校的賬號(hào)獲取因特網(wǎng)上的信息資源。

這種雙接入、雙認(rèn)證、雙運(yùn)營(yíng)的無(wú)線(xiàn)網(wǎng)絡(luò)模式，通過(guò)運(yùn)營(yíng)商和校園網(wǎng)之間的相互合作，極大地縮短了無(wú)線(xiàn)網(wǎng)絡(luò)工程的建設(shè)周期，也大大降低了雙方的運(yùn)營(yíng)成本，恰到好處地緩解了校方無(wú)線(xiàn)投入資金的不足又很好地滿(mǎn)足了校內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)的應(yīng)用要求。下面我們就分別從這種模式的設(shè)計(jì)原則及其實(shí)施方法進(jìn)行詳細(xì)介紹。

設(shè)計(jì)原則

需求驅(qū)動(dòng)原則

雙接入無(wú)線(xiàn)網(wǎng)絡(luò)存在兩類(lèi)用戶(hù)，一類(lèi)是運(yùn)營(yíng)商的用戶(hù)，一類(lèi)是使用校園網(wǎng)的用戶(hù)。用戶(hù)在校園里的不同區(qū)域其無(wú)線(xiàn)信息點(diǎn)的個(gè)數(shù)和信息傳輸量是不同的，在自習(xí)室、圖書(shū)館主要使用手提電腦、上網(wǎng)本，而在校園的空曠區(qū)域則主要使用iPAD、iPhone、智能手機(jī)等。

所以在無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)前，要進(jìn)行詳細(xì)的需求調(diào)研，形成需求報(bào)告，再對(duì)需求報(bào)告進(jìn)行充分的評(píng)審和論證，根據(jù)需求報(bào)告設(shè)計(jì)出學(xué)校的無(wú)線(xiàn)網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)，同時(shí)需求報(bào)告也是設(shè)備選型、協(xié)議選擇、投入費(fèi)用估算、工期計(jì)劃等的依據(jù)。

責(zé)任共擔(dān)、利益共享原則

師生利用無(wú)線(xiàn)網(wǎng)絡(luò)收發(fā)數(shù)據(jù)，既要經(jīng)過(guò)運(yùn)營(yíng)商的無(wú)線(xiàn)AP、無(wú)線(xiàn)AC(訪(fǎng)問(wèn)控制器)、無(wú)線(xiàn)路由器等設(shè)備，又要通過(guò)學(xué)校的匯聚交換機(jī)、有線(xiàn)主干網(wǎng)、核心交換機(jī)、核心路由器等設(shè)備。

只有雙方都能保證各自的設(shè)備正常運(yùn)行，整個(gè)無(wú)線(xiàn)鏈路才能穩(wěn)定可靠，在上網(wǎng)資費(fèi)上，既要保障運(yùn)營(yíng)商的既得利益，又不能損害學(xué)校和師生的利益。

經(jīng)濟(jì)適用性原則

無(wú)線(xiàn)AP安裝的位置和AP之間的距離，既要考慮能滿(mǎn)足師生正常的實(shí)際需要，又要防止出現(xiàn)重復(fù)建設(shè)和資源浪費(fèi)，在設(shè)備選型上盡可能考慮性?xún)r(jià)比高的國(guó)產(chǎn)設(shè)備，在充分考慮到運(yùn)行維護(hù)成本的基礎(chǔ)上，盡可能地降低初期的投入成本。

安全可靠性原則

學(xué)校所有的無(wú)線(xiàn)AP設(shè)備都通過(guò)有線(xiàn)與就近的交換機(jī)相連，任何一個(gè)AP出現(xiàn)故障，都不影響到其它AP的正常運(yùn)行，無(wú)線(xiàn)冗余結(jié)構(gòu)和備份無(wú)線(xiàn)設(shè)備也可以增強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的可靠性，無(wú)線(xiàn)AC(訪(fǎng)問(wèn)控制器)設(shè)備和基于MAC等的認(rèn)證、加密技術(shù)可保障校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全。

維護(hù)管理透明性原則

對(duì)于運(yùn)營(yíng)商的設(shè)備，運(yùn)營(yíng)商的管理員擁有管理設(shè)備所有的權(quán)利，而學(xué)校的管理員只有查看設(shè)備運(yùn)行狀況的權(quán)利;對(duì)于學(xué)校的設(shè)備只有學(xué)校的管理員才能進(jìn)行設(shè)置，而運(yùn)營(yíng)商管理員卻只能查看。在遵循雙方達(dá)成的管理協(xié)議的基礎(chǔ)上，任何一方對(duì)設(shè)備的正常管理維護(hù)都不會(huì)影響另一方的設(shè)備運(yùn)行。

設(shè)計(jì)與實(shí)施

胖AP架構(gòu)技術(shù)與瘦AP架構(gòu)技術(shù)的比較

胖AP架構(gòu)技術(shù)中的AP設(shè)備具有用戶(hù)數(shù)據(jù)加密認(rèn)證、Qos、網(wǎng)絡(luò)管理、漫游技術(shù)等高級(jí)無(wú)線(xiàn)網(wǎng)絡(luò)管理功能。胖AP架構(gòu)技術(shù)有網(wǎng)絡(luò)結(jié)構(gòu)靈活、建設(shè)成本不高、網(wǎng)絡(luò)穩(wěn)定性高等優(yōu)點(diǎn)，缺點(diǎn)是設(shè)備結(jié)構(gòu)復(fù)雜且難于集中管理、網(wǎng)絡(luò)安全性差、不能統(tǒng)一管理、配置和管理成本高、用戶(hù)體驗(yàn)差等。

瘦AP架構(gòu)技術(shù)中的AP功能簡(jiǎn)單且不能獨(dú)立工作，必須和AC(訪(fǎng)問(wèn)控制器)結(jié)合才能使用。整個(gè)技術(shù)架構(gòu)由三個(gè)部分組成，分別是瘦AP、AC、無(wú)線(xiàn)網(wǎng)管平臺(tái)，瘦AP位于網(wǎng)絡(luò)接入層，由AC對(duì)其進(jìn)行統(tǒng)一配置，其作用是將無(wú)線(xiàn)用戶(hù)接入無(wú)線(xiàn)網(wǎng)絡(luò)中。

瘦AP架構(gòu)技術(shù)具有全局的統(tǒng)一管理、全局的統(tǒng)一安全、全局的統(tǒng)一認(rèn)證、:全網(wǎng)漫游等優(yōu)點(diǎn)，這種技術(shù)架構(gòu)的無(wú)線(xiàn)網(wǎng)絡(luò)管理功能都集中到了AC上，存在單點(diǎn)故障風(fēng)險(xiǎn)，但可以通過(guò)使用AC備份技術(shù)消除風(fēng)險(xiǎn)。在無(wú)線(xiàn)AP數(shù)量較多時(shí)，瘦AP架構(gòu)技術(shù)是設(shè)計(jì)無(wú)線(xiàn)局域網(wǎng)較好的選擇。

無(wú)線(xiàn)雙接入設(shè)計(jì)與AP部署

無(wú)線(xiàn)終端的接入過(guò)程是首先通過(guò)主動(dòng)掃描或被動(dòng)掃描技術(shù)來(lái)發(fā)現(xiàn)周?chē)嬖诘臒o(wú)線(xiàn)服務(wù)，然后與發(fā)射無(wú)線(xiàn)信號(hào)的AP建立無(wú)線(xiàn)連接，連接的建立過(guò)程是無(wú)線(xiàn)AP與無(wú)線(xiàn)終端成功地交換認(rèn)證請(qǐng)求、認(rèn)證響應(yīng)、關(guān)聯(lián)請(qǐng)求、關(guān)聯(lián)響應(yīng)等一系列信息幀，連接的維持也是通過(guò)定期發(fā)送或接收監(jiān)測(cè)幀，穩(wěn)定無(wú)線(xiàn)連接是無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)那疤帷?/p>

針對(duì)“瘦AP+無(wú)線(xiàn)控制器”的網(wǎng)絡(luò)體系結(jié)構(gòu)，接入設(shè)計(jì)是通過(guò)AC對(duì)AP的USSID、射頻以及認(rèn)證方式進(jìn)行設(shè)計(jì)，由于A(yíng)C能控制的有限數(shù)量的AP，為了避免用戶(hù)從一個(gè)AC控制的AP進(jìn)入到另一個(gè)AC控制的AP時(shí)因需要網(wǎng)絡(luò)重新連接、重新認(rèn)證而發(fā)生網(wǎng)絡(luò)中斷現(xiàn)象，還需要在A(yíng)C之間設(shè)計(jì)漫游。

為AC控制的每一個(gè)AP設(shè)置兩個(gè)統(tǒng)一的SSID名稱(chēng)，分別是ChinaNet和GDSSPT如圖一所示，ChinaNet為運(yùn)營(yíng)商提供無(wú)線(xiàn)服務(wù)，GDSSPT給學(xué)校用戶(hù)提供網(wǎng)絡(luò)服務(wù)，相同名稱(chēng)的SSID屬于同一個(gè)VLAN。

AP射頻的最大功率、支持的最大用戶(hù)數(shù)、天線(xiàn)類(lèi)型以及現(xiàn)場(chǎng)的可視情況等是AP部署方案的主要依據(jù)，AP部署是根據(jù)AP信號(hào)的覆蓋范圍和用戶(hù)對(duì)網(wǎng)路的需求來(lái)確定AP設(shè)備安裝的位置以及AP之間的距離。

無(wú)線(xiàn)雙認(rèn)證設(shè)計(jì)與實(shí)施

依據(jù)網(wǎng)絡(luò)的體系結(jié)構(gòu)，無(wú)線(xiàn)網(wǎng)絡(luò)的認(rèn)證可分為兩大類(lèi)，一類(lèi)是無(wú)線(xiàn)鏈路認(rèn)證，另一類(lèi)是用戶(hù)接入認(rèn)證。無(wú)線(xiàn)鏈路認(rèn)證是無(wú)線(xiàn)終端與無(wú)線(xiàn)AP建立連接時(shí)進(jìn)行的認(rèn)證，認(rèn)證的結(jié)果是成功建立連接或不能建立連接，鏈路認(rèn)證又根據(jù)是否使用密鑰可分為開(kāi)放式認(rèn)證和共享密鑰認(rèn)證，開(kāi)放式認(rèn)證就是AP只要收到請(qǐng)求就同意建立連接，而共享密鑰認(rèn)證則是終端和AP必須使用相同的密鑰方可建立連接。

用戶(hù)接入認(rèn)證是成功建立連接的基礎(chǔ)上，網(wǎng)絡(luò)控制設(shè)備對(duì)用戶(hù)是否有權(quán)利訪(fǎng)問(wèn)網(wǎng)絡(luò)進(jìn)行認(rèn)證，一般可分為預(yù)共享密鑰認(rèn)證(PSK)、802.1X認(rèn)證、MAC地址認(rèn)證等三種認(rèn)證方式，也可以在有線(xiàn)網(wǎng)絡(luò)中的認(rèn)證系統(tǒng)，對(duì)來(lái)自無(wú)線(xiàn)網(wǎng)絡(luò)的信息出口時(shí)進(jìn)行WEB認(rèn)證。