校园WLAN全覆盖方案设计

周坤?李宝林?刘新蕊

摘 要：随着教育信息化的不断提升，校园无线网络建设已成为校园数字化网络建设非常重要的一部分。本文阐述了高校基于瘦AP组网方式的无线网络建设方案设计，该方案考虑了信号覆盖、安全认证、校方管理等问题，全方位呈现了校园WLAN建设过程，为校园无线网络建设提供了一个很好的参考。

关键词：校园无线网络；瘦AP；融合认证

项目：四川省科技厅科技支撑（2013sz0056）

随着学校教育信息化的提高与无线网络终端的普及，使得师生在办公楼、教学楼、图书馆、体育馆、操场等开放性场所对无线网络都有需求，学校师生对能随时随地接入网络进行教学和科研的需求越来越普遍；故传统的校园有线网络已不能满足学校的教学与科研需要。WLAN 技术和学校需求相结合，推动了无线校园网技术的发展；本文首先阐述了瘦AP的基本原理，然后从校园需求分析着手，完成了对高校无线网络建设方案的设计。

1 什么是瘦AP

瘦AP的出现是随着无线网络建网，组网方式的不断更新而应运而生的。无线控制器加瘦AP的控制架构，对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；瘦AP负责无线信号的传输、信号源的加解密、接受无线控制器的管理、RF空口的统计等简单功能。大多数网络设备厂家在支持瘦 AP 的组网架构的同时，将更多新技术新应用集成进无线控制器和瘦 AP 中，以便于给用户呈现统一的网络管理接口。

2 校园需求分析

经调查了解，如今高校无线网络建设需求概括起来有以下几方面：.1接入需求，要方便师生连接网络，即在只有一个SSID的基础上用户通过学号或员工号连接无线网络，并且能进行区域场景间的无缝漫游。；2.统一认证需求，需要与学校现有的认证计费系统融合，学生可自行选择使用运营商服务，并且每种服务学生均一次认证上网。3.学校应用需求，建设好的无线网络能满足学校多种业务的承载，同时只要是校园注册账号登录无论缴费没有，都能直接访问学校内网且不限流量；4.运维和管理需求，学校能够自主修改用户名和密码，实现账号管理；能够对学生上网行为进行监控，能够进行溯源、内容审计、过滤违规信息和网页；无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理。5.安全和可靠性需求，利用各种技术，保证无线网及校园网的安全和稳定。

3 校园WLAN方案设计

3.1 网络架构设计

以现有的有线网络作为骨干，通过无线技术提供现有有线网络的有效拓展，并能提供新的业务。把无线接入设备（AP）作为网络的接入层，把无线的控制设备（AC）作为网络的核心层，接入已建立的认证系统、计费系统、网管系统，将无线网络纳入到网络核心层的功能中去。

如上拓扑图所示，整个校园无线网由前段AP、POE接入交换机、汇聚交换机、核心交换机、 BRAS组成。这种扁平化二层网络架构将全網业务控制集中到核心交换机上，接入层只完成用户接入、VLAN和端口隔离。使得整个网络层次清晰，实现用户之间/业务之间的有效隔离，避免相互之间的干扰和影响。同时简化下层设备功能，减少维护需求，节省后期维护成本。也不需要为了支持新的业务而被迫升级或更新换代接入层、汇聚层设备，可以节省校园网络设备的整体投入。

3.2 网络描述

前端AP布点根据实际情况，建议在办公楼、学生宿舍等用户密度高，且有信号衰减的情况下用室内AP分布式天线建设，采用馈线入室的方式保证房间内信号强度；在教学楼、图书馆、会议室用户密度高但无障碍环境下建议使用室内AP独立布放方式；在操场、树林等室外环境建议采用室外AP覆盖。室内AP采用POE供电方式，通过超5类双绞线直接与POE交换机相连。室外AP视情况，100m内采用POE供电方式，若距离较远则采用本地供电，通过光纤接入交换机。前端AP接入接入层交换机后，接入层交换机采用光纤或网线的方式接入汇聚交换机。汇聚交换机采用光纤的方式上联至校园核心交换机，无线控制器AC千兆旁挂在核心交换机。校园内服务器与AAA认证系统等串联在核心交换机上，通过校园BRAS统一网络出口外联到运营商网络和教育专网。同时在服务器上布置一套对应网管软件，方便后期管理维护。

3.3 SSID划分及用户认证及计费

目前，Portal方式已经成为无线网络的主要认证方式。本方案设计只设置一个SSID，学校配备一套本地AAA认证系统，当无线终端接入该SSID信号后，Portal服务器弹出登录页面，在页面由用户选择上网模式（校园用户或外来运营商的用户）和对应的运营商，师生选择校园模式和对应运营商，采用学号或员工号登录后能直接访问校内网，而外来用户选择运营商用户模式和对应运营商，能实现一般上网需求。用户登录网络后，BRAS根据用户选择的运营商划分不同的域，然后透传至对应运营商AAA系统实现二次认证。这种单一SSID划分能避免不同运营商的设备重复投入与信号干扰，简化校园网络电磁环境，同时节约校园网络建设投入和方便校方管理。融合认证平台实现了高校计费认证系统与运营商AAA系统的无缝对接。采用标准Radius Proxy与运营商AAA进行联动。用户在各运营商处开户然后自助和校内的账号进行绑定后，即可实现二次融合认证，访问网络。

3.4 出口选路技术设计

出口BRAS可实现与学校AAA系统联动。学校AAA认证计费系统上需包含各运营商模块，当用户账号与校园网账号绑定后，用户即可加入对应运营商用户组，出口综合网关通过获取AAA认证计费系统上的用户组区分不同的用户，同时根据AAA认证计费系统上用户组设置的出口策略，动态生成一条策略路由，以实现基于用户的选路，即可以实现对应运营商用户认证通过后选择相应出口。同时，针对学校的服务器区、机房和部分学生寝室区内的教师用户，出口BRAS上均可以单独设置不同的出口策略，以实现接入免认证、接入需认证，外网免认证等多种灵活的认证和出口策略。

4 结束语

本文结合高校无线网络建设需求，设计了一套简洁、高效的建设方案。该方案在降低学校投入的同时，实现了高校有线网络与无线的融合；整个网络统一认证统一出口，便于学校统一管理便和后期维护。对高校数字化校园建设提供了一个很好的参考。

参考文献

[1] 王啸虎. 无线覆盖的主要技术探讨[J]. 信息通信. 2012（01）

[2]张幼麟. 无线网络的安全协议[J]. 计算机安全. 2010（01）