校園網(wǎng)無線雙接入、雙認證、雙運營設計與實施

問題的提出及解決方案

近幾年，隨著無線終端工具，比如自帶無線網(wǎng)卡的手提電腦、上網(wǎng)本、iPAD、iPhone以及智能手機在師生中日益普及，使得有線網(wǎng)絡的空間局限性日益凸顯。

學生對于無線網(wǎng)絡需求的增加，不僅給校園網(wǎng)絡無線網(wǎng)絡建設增加了壓力，同時也對校外提供手機無線網(wǎng)絡的運營商提出了更高的要求。

在校園內，隨著3G手機等產(chǎn)品在學生中的普及應用，提供出口帶寬的運營商校外手機基站，已明顯不能支持數(shù)據(jù)量日益增多的學生用戶的3G應用，運營商迫切需要在校園里建設無線局域網(wǎng)，再通過高速光纜傳輸數(shù)據(jù)，以緩解基站的數(shù)據(jù)擁塞。

無線AP和相應的天線由運營商投入建設，利用校園現(xiàn)有的有線主干網(wǎng)，通過設置相互隔離的邏輯信道，既保證了運營商3G數(shù)據(jù)的暢通，也給學校師生提供了遍及校園的無線網(wǎng)絡信號，師生既可以通過運營商的賬號上網(wǎng)，也可以學校的賬號獲取因特網(wǎng)上的信息資源。

這種雙接入、雙認證、雙運營的無線網(wǎng)絡模式，通過運營商和校園網(wǎng)之間的相互合作，極大地縮短了無線網(wǎng)絡工程的建設周期，也大大降低了雙方的運營成本，恰到好處地緩解了校方無線投入資金的不足又很好地滿足了校內無線網(wǎng)絡的應用要求。下面我們就分別從這種模式的設計原則及其實施方法進行詳細介紹。

設計原則

需求驅動原則

雙接入無線網(wǎng)絡存在兩類用戶，一類是運營商的用戶，一類是使用校園網(wǎng)的用戶。用戶在校園里的不同區(qū)域其無線信息點的個數(shù)和信息傳輸量是不同的，在自習室、圖書館主要使用手提電腦、上網(wǎng)本，而在校園的空曠區(qū)域則主要使用iPAD、iPhone、智能手機等。

所以在無線網(wǎng)絡設計前，要進行詳細的需求調研，形成需求報告，再對需求報告進行充分的評審和論證，根據(jù)需求報告設計出學校的無線網(wǎng)絡邏輯拓撲結構，同時需求報告也是設備選型、協(xié)議選擇、投入費用估算、工期計劃等的依據(jù)。

責任共擔、利益共享原則

師生利用無線網(wǎng)絡收發(fā)數(shù)據(jù)，既要經(jīng)過運營商的無線AP、無線AC(訪問控制器)、無線路由器等設備，又要通過學校的匯聚交換機、有線主干網(wǎng)、核心交換機、核心路由器等設備。

只有雙方都能保證各自的設備正常運行，整個無線鏈路才能穩(wěn)定可靠，在上網(wǎng)資費上，既要保障運營商的既得利益，又不能損害學校和師生的利益。

經(jīng)濟適用性原則

無線AP安裝的位置和AP之間的距離，既要考慮能滿足師生正常的實際需要，又要防止出現(xiàn)重復建設和資源浪費，在設備選型上盡可能考慮性價比高的國產(chǎn)設備，在充分考慮到運行維護成本的基礎上，盡可能地降低初期的投入成本。

安全可靠性原則

學校所有的無線AP設備都通過有線與就近的交換機相連，任何一個AP出現(xiàn)故障，都不影響到其它AP的正常運行，無線冗余結構和備份無線設備也可以增強無線網(wǎng)絡的可靠性，無線AC(訪問控制器)設備和基于MAC等的認證、加密技術可保障校園無線網(wǎng)絡的安全。

維護管理透明性原則

對于運營商的設備，運營商的管理員擁有管理設備所有的權利，而學校的管理員只有查看設備運行狀況的權利;對于學校的設備只有學校的管理員才能進行設置，而運營商管理員卻只能查看。在遵循雙方達成的管理協(xié)議的基礎上，任何一方對設備的正常管理維護都不會影響另一方的設備運行。

設計與實施

胖AP架構技術與瘦AP架構技術的比較

胖AP架構技術中的AP設備具有用戶數(shù)據(jù)加密認證、Qos、網(wǎng)絡管理、漫游技術等高級無線網(wǎng)絡管理功能。胖AP架構技術有網(wǎng)絡結構靈活、建設成本不高、網(wǎng)絡穩(wěn)定性高等優(yōu)點，缺點是設備結構復雜且難于集中管理、網(wǎng)絡安全性差、不能統(tǒng)一管理、配置和管理成本高、用戶體驗差等。

瘦AP架構技術中的AP功能簡單且不能獨立工作，必須和AC(訪問控制器)結合才能使用。整個技術架構由三個部分組成，分別是瘦AP、AC、無線網(wǎng)管平臺，瘦AP位于網(wǎng)絡接入層，由AC對其進行統(tǒng)一配置，其作用是將無線用戶接入無線網(wǎng)絡中。

瘦AP架構技術具有全局的統(tǒng)一管理、全局的統(tǒng)一安全、全局的統(tǒng)一認證、:全網(wǎng)漫游等優(yōu)點，這種技術架構的無線網(wǎng)絡管理功能都集中到了AC上，存在單點故障風險，但可以通過使用AC備份技術消除風險。在無線AP數(shù)量較多時，瘦AP架構技術是設計無線局域網(wǎng)較好的選擇。

無線雙接入設計與AP部署

無線終端的接入過程是首先通過主動掃描或被動掃描技術來發(fā)現(xiàn)周圍存在的無線服務，然后與發(fā)射無線信號的AP建立無線連接，連接的建立過程是無線AP與無線終端成功地交換認證請求、認證響應、關聯(lián)請求、關聯(lián)響應等一系列信息幀，連接的維持也是通過定期發(fā)送或接收監(jiān)測幀，穩(wěn)定無線連接是無線網(wǎng)絡進行數(shù)據(jù)傳輸?shù)那疤帷?/p>

針對“瘦AP+無線控制器”的網(wǎng)絡體系結構，接入設計是通過AC對AP的USSID、射頻以及認證方式進行設計，由于AC能控制的有限數(shù)量的AP，為了避免用戶從一個AC控制的AP進入到另一個AC控制的AP時因需要網(wǎng)絡重新連接、重新認證而發(fā)生網(wǎng)絡中斷現(xiàn)象，還需要在AC之間設計漫游。

為AC控制的每一個AP設置兩個統(tǒng)一的SSID名稱，分別是ChinaNet和GDSSPT如圖一所示，ChinaNet為運營商提供無線服務，GDSSPT給學校用戶提供網(wǎng)絡服務，相同名稱的SSID屬于同一個VLAN。

AP射頻的最大功率、支持的最大用戶數(shù)、天線類型以及現(xiàn)場的可視情況等是AP部署方案的主要依據(jù)，AP部署是根據(jù)AP信號的覆蓋范圍和用戶對網(wǎng)路的需求來確定AP設備安裝的位置以及AP之間的距離。

無線雙認證設計與實施

依據(jù)網(wǎng)絡的體系結構，無線網(wǎng)絡的認證可分為兩大類，一類是無線鏈路認證，另一類是用戶接入認證。無線鏈路認證是無線終端與無線AP建立連接時進行的認證，認證的結果是成功建立連接或不能建立連接，鏈路認證又根據(jù)是否使用密鑰可分為開放式認證和共享密鑰認證，開放式認證就是AP只要收到請求就同意建立連接，而共享密鑰認證則是終端和AP必須使用相同的密鑰方可建立連接。

用戶接入認證是成功建立連接的基礎上，網(wǎng)絡控制設備對用戶是否有權利訪問網(wǎng)絡進行認證，一般可分為預共享密鑰認證(PSK)、802.1X認證、MAC地址認證等三種認證方式，也可以在有線網(wǎng)絡中的認證系統(tǒng)，對來自無線網(wǎng)絡的信息出口時進行WEB認證。