基于WLAN的无线校园网的设计与实现
无线局域网(Wireless LAN),简称WLAN,经常使用于办公室、家庭以及机场候机厅等公共区域,甚至于大楼内部以及园区内部,典型距离覆盖几十米至几百米,目前采用的技术主要是IEEE 802.n标准。无线校园网在国内已经被越来越多的用户接受,无论是校园内部信息点的分布设计,还是校园内建筑物间的网络连接,无线网络技术都能发挥出不可替代的作用。此外,无线网络环境的引入,也为教育信息化建设提供了应用平台。
1 无线校园网应用需求分析
现在大部分学校都已建有有线局域网,但是随着学校的发展,对现有的校园网提出了更多更高的要求:
(1)现代化教学需求。现在学校大量开展网络化教学活动,很多精品课程或课件都要通过网络来获取,学生希望在任意时间、学校的任何地点访问网络教学资源,并进行提交作业等活动。
(2)端口数量的限制。一般来说,有线局域网中如教室、图书馆、会议室等地方不可能布设太多信息点,随着学生中笔记本电脑的普及和现代化教学设备的普及,这些地方往往在同一时刻有大量的电脑,而目前的有线校园网没有办法使学生在这些区域上网,而采用无线方式,在端口上连接无线接入点,不需布线就可以轻松地从一个端口扩展到几十甚至是几百个端口的应用。
(3)移动办公。随着教职员工的移动办公设备越来越多,并且对移动办公的要求也比较高,如会议、校长办公等都适合使用无线局域网。
(4)临时性活动。随着学校的办学层次的提高,学校的学术氛围也日益浓厚,对外交流日趋频繁,各种学术活动越来越多,除此之外,学校每年也都会举办一些其他的活动,如运动会、人才交流活动等。由于这些应用的特殊性和灵活性,有线局域网将不能满足需求,无线局域网恰能很好地解决这些问题。使校园的每个角落都处在网络中,形成真正意义上的校园网。
2 无线校园网的设计原则
校园无线网的设计原则建立在充分考虑学校使用需要的基础上,力求满足整个校园网的可靠性、先进性、兼容性和安全性。
(1)可靠性:保证系统可靠运行,关键设备应有冗余。
(2)先进性:采用当今最先进和成熟的技术,使新建立的系统能够最大限度地适应今后技术和业务发展的需要。
(3)可兼容及可扩展性:在进行方案建设时,力求做剑网络结构清晰、合理并具有扩展能力;硬件配置先进、可靠;系统软件界面友好,易于操作和维护。
(4)安全性原则:安全性一直是网络及系统管理的薄弱环节之一,而用户对网络安全的要求又相当高,因此安全性原则非常重要。
3 无线网络设备的选择
本设计对业务主流的、性价比较高的两个厂家的产品进行了分析,即国内数据通信最大的厂家H3C和专注于教育行业的锐捷公司的产品,经过综合分析,最后确定选择锐捷公司的技术方案。下面主要介绍有关无线控制器、无线AP和网管软件的产品选型。
3.1 无线控制器
根据需求,对锐捷万兆无线控制器RG-WS5708的技术特点进行了分析。该产品采用MIP64多核处理器架构,可突破3层网络保持与AP的通信,部署在任何2层或3层网络结构中,无需改动任何网络架构和硬件设备,从而提供无缝的安全无线网络控制。RG-WS5708提供了8个千兆光电复用端口和2个复用的万兆端口,最大可支持768个无线接入点的管理。RG-WS5708产品采用增强的安全和集群技术,通过基于身份的组网来提供网络服务。集群中的多台无线控制器可共享用户数据库,实现无线用户在跨越整个网络不同区域的过程中无缝的漫游
3.2 无线AP
RG-AP220 E采用了最新标准的3×3 MIMO802.11n技术,并采用双路硬件系统设计,单路射频可以提供至少6倍于传统802.11a/b/g无线网络的接入带宽。该产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素,可配合锐捷网络无线控制器,完成无线用户数据转发、安全和访问控制。该产品外观呈壁挂式,可安全方便地安装于墙壁、天花板等各种位置。提供6个RP-SMA外置天线接口,支持本地供电与远程以太网供电模式。
3.3 无线网管软件
网络管理系统这里选用了RG-SNC智能网络指挥官。该产品可以远程协同维护和管理,采用非代理模式,可定义管理任务,主动收集网络状况并及时备份,做到状态变更的及时响应,出现故障可及时恢复;提供美观的网络拓扑图,出现带宽、流量、链路等异常时,在拓扑图上及时呈现。RG-SNC产品特别内嵌了无线网络管理组件系统RG-SNC-WLAN,该管理组件依托SNC统一网络管理平台,实现了有线无线一体化管理,在系统全面的有线网络管理的基础上,提供无线网络管理能力。
4 无线网络结构规划
4.1 无线校园网骨干层设计
该网络主要以有线和无线混合的模式,充分利用有线网络的高带宽,提高网络的健壮性。各个AP通过双绞线与楼层汇聚交换机相连,再通过光纤与中心机房的核心交换机连接。根据东北石油大学的物理分布和实际网络结构特点,可选用无线控制器+“瘦”AP的无线网络解决方案,整体划一,系统管理,全面满足学校的无线网络应用需求,同时为今后的应用拓展(如无线WiFi电话,无线视频组播等)做好充分的技术平台准备。
如图1所示,基于现有的有线校园网络,在网络中心部署一台支持同时管理700台AP的无线控制器。无线控制器将通过光纤连接核心交换机,实现无线局域网与核心设备的互联。根据无线网的覆盖需求,设计在整个校园部署近500台AP,实现全校主要场所的无线覆盖。本次采用的无线网络系统与原有网络系统无缝兼容,在网络互联、认证计费等方面与有线网络进行良好的兼容和互补。
{$page$}
4.2 接入点规划
接入点规划按照完全覆盖的方式,目的是要使信号覆盖到需要覆盖区域的每一个角落。在安装接入点时,尽量避开干扰源,户外用户的接入点安装在各个楼的角上,辐射周围所有区域,尽量避开障碍物的阻挡,所有的接入点均以蜂窝状布局。下面以第一教学楼为例来具体说明AP的布置。
第一教学楼共5层,每层的平面结构如图2所示。A~H座每部分安装1个AP,两个座之间的连接部分安装1个AP,由于2层的文化长廊比较空旷,没有遮挡,所以只需要安装3个AP,所以2层共需要安装15个AP,其他楼层每层需要安装12个AP,共需63个AP 。
5 用户安全接入认证规划
对于大规模部署无线网络的环境,最合适的入网认证方式就是基于Web的认证和基于802.1x的认证方式。采用基于Web的认证方式,无线网络的认证需要能够与有线网络相融合。无线控制器本身就能很好地支持基于Web的认证功能,其可以作为全网Web认证的分布式认证,针对无线用户进行Web认证,后台将有线网络的Web认证网关作为Radius服务器进行联动,就可以保证全网用户有线与无线的认证账号统一,而此过程中,用户无需安装任何客户端产品,利用标准的浏览器即可完成上网登录。
具体认证方式如图3所示。
在汇聚交换机处接认证服务器,在服务器组里增加一台Radius计费认证服务器,以便存储接入用户信息。当用户要求访问网络时,在通过认证前都强制到认证服务器的Web页面,要求输入用户名和密码,用户输入帐号和密码后,点击登录,认证服务器会将用户的信息发送给Radius服务器,Radius服务器将用户输入的用户名和密码与数据库里用户信息进行对比,当用户名和密码一致时,Radius服务器会发送给认证服务器一个用户通过确认的响应信息,认证服务器就会给该用户打开访问网络的权限,否则关闭用户的权限,这样就充分保障了无线网络的安全,避免非法用户的访问,保护数据不被非法用户盗取,同时还可以对不同用户的权限加以区别,限定他们访问的权限。
6 结论
本文结合东北石油大学无线校园网部署的工程实践,突破传统无线局域网部署中的安全策略,通过采用“无线控制器+瘦AP”的架构进行校园网部署,实现了将密集型的无线网络和安全处理功能转移到集中的无线控制器中,AP只作为无线数据的收发设备,大大简化了AP的管理和配置功能,甚至可以做到“零”配置。