文/张玉才 张维康

嘉兴学院在全国首创了“学校主导、无线频率资源共享、多个运营商合作建设、市场化运作”的无线网络建设新模式。

嘉兴学院在启动校园无线网络建设时，考虑到无线通信领域频率资源有限，并为了节省建设经费，充分利用现有的有线网络，与中国电信、中国移动和中国联通共同建设了覆盖全校的校园无线网。在全国首创“学校主导、无线频率资源共享、多个运营商合作建设、市场化运作”的无线网络建设新模式。

无线网络建设的目标

嘉兴学院无线校园网建设要达成的目标和要求：

1.满足学校无线网络应用要求。利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络。全校教师可以通过WLAN免费访问校内网和Internet网，所有学生可以免费访问校内网和图书馆的所有校外资源。

2.满足三家运营商开展无线业务的要求。三家运营商共享同一个WLAN，各个运营商可以根据各自的策略互不依赖地独立开展业务。

3.在满足目前的应用需求的同时，满足未来网络扩容、升级的需求。当前由于资金有限，一期建设大部分区域使用802.11a/b/g网络，一部分区域建设802.11n网络，以后根据需要，系统可平滑地扩容，并可以简单地升级到802.11n。

4.无线网是在原有有线网络的基础上的延伸，不重新构建一个完全独立的物理网络，通过VLAN来进行隔离。

5．要求与学校的数字化校园身份认证进行集成，无线网络和有线网络都通过LDAP进行认证。

技术规范设计原则

嘉兴学院无线网络建设技术规范遵循以下原则：

1.实用性和可管理性

保证网络结构和网络运行的稳定性，统一规划、分步实施。明确网络分级管理与维护的责任。

2.开放性和扩展性

选用符合国际标准、国家标准或行业标准的设备，采用标准接口，保证网络的开放性、兼容性、互操作性及可扩展性，适应业务系统扩充和技术发展要求。

3.保护原有投资

充分利用已有的建设成果保护原有投资。网络建设与应用系统建设相配套，在应用不断增加的前提下，有计划地扩大网络带宽和升级网络设备。

无线网络建设的特点

我校无线网的特点是：

学校主导，负责制定建设方案，校园网有线无线一体化建设；

三家运营商出资，参与建设，各自运营，公平竞争；

竞争性谈判确定设备供应厂商；

第三方工程勘测、建设；

第三方运维，学校主管，为四方服务。

本项目的系统或技术创新点主要体现在以下三点：

1.为满足学校和三大运营商的运营需求，方案采用多接入设计。

无线网络设计使用了五个SSID：CMCC/Unicom/ChinaNet/ZJXU-T/ZJXU-S，分别对应移动、联通、电信，教师用无线校园网，学生用无线校园网五个不同的业务。AC将这五个SSID分别对应到五个不同的VLAN进行转发。

当学生访问Internet时，可以分别选择移动、联通、电信各自的认证计费系统实现认证计费。

无论是ZJXU-T（教师用无线校园网）用户还是ZJXU-S（学生用无线校园网）用户，在访问无线网络时都需要进行认证，以防止校外人员对校园网的访问。所有认证信息与数字化校园认证系统保持一致。

AC与核心交换机之间部署万兆防火墙，在防火墙上部署策略：允许ZJXU-T（教师用无线校园网）通过核心交换机访问校园网、CERNET和Internet；允许ZJXU-S（学生用无线校园网）访问校园网，但禁止访问CERNET和Internet。

2.认证系统设计

从简化部署、方便管理考虑，本次建设中认证系统采用Portal认证方式。Portal的基本原理是：未认证用户只能访问特定的站点服务器，其他任何访问都被无条件地重定向到portal服务器。只有在认证通过后，用户才能访问所要访问的网络。

设备部署方面，认证系统采用AC上部署的IAG插卡作为控制网关，通过iMC UAM组件提供用户接入，配置用户服务信息和接入用户信息等。待数字化校园认证系统建设好后，无线认证系统将通过数字化校园认证系统进行统一认证。

随着当前信息技术快速发展，各行各业都开始步入了“互联网+”的新时代，这导致人们越来越离不开手机，甚至开始出现“手机依赖症”等热频词汇，这都是属于人心理空虚的有效体现。尤其对于大学生群体来说，其对于智能设备依赖的状况更为严重，新媒体传播途径的多样性以及匿名性，让很多大学生都将其作为情绪发泄的一个重要工具，一旦学生得不到有效的发泄，就容易诱发心理健康问题[2]。由于大学生的心理发育还不够成熟，尤其对于当代大学生来说，其自控能力相对较差，这就导致其容易沉迷在新媒体中，从而对新媒体产生较大的依赖感，大学生现实生活中的人际交往能力反而开始不断的降低。

在可靠性方面，两块IAG插卡采用基于VRRP的互为备份技术实现高可靠性。UAM则支持双机冷备、热备和逃生等高可靠性方案。本次建设采用逃生方案。Portal逃生方案实现以下两大功能：

1. 周期性探测Portal服务器

通过可配置的探测方法——周期性探测Portal服务器。若Portal服务器N次（N可配）不可达则变成Down状态（逃生状态），取消网络的认证限制，允许Portal用户不需经过认证即可访问网络资源，并发送状态改变的Trap信息和日志。当探测到服务器可达时，恢复服务器状态为Up状态（认证状态），并重新开启网络认证限制，不允许未认证的用户访问网络，并发送状态恢复的日志和Trap。

2. 设备和Portal服务器同步用户信息

Portal服务器定时将自己的在线用户信息，周期性地通过用户信息同步报文发送给接入设备。如果同步报文中包含了设备上不存在的用户信息，则接入设备会将这些用户信息返回给Portal服务器，由Portal服务器将其强制下线。如果某用户连续N个周期（N可配）都未再从Portal服务器发送过来的同步报文中出现，则接入设备会将该用户强制下线。

3.无线网络管理

基于标准的SNMP协议实现对设备的管理，专门的无线局域网管理软件IMC可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。无线控制器可以实现更为强大的管理，包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WXM可以实现配置管理整个WLAN无线网络，其具备以下特点：

零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到AC上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。

防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。

支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。AC与AP之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到AC实现注册。

自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，AC会自动调大相邻AP的功率，弥补信号盲区。

基于身份的组网：根据用户名对用户权限进行区分。不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽，以及漫游等历史数据进行记录跟踪。

提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略，以及对带宽使用的监视，实现了无线局域网增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游。一次认证多次接入，免去在不同AP下切换的再次认证。

安全管理：提供入侵检测功能。专用AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP将上报相应的告警给AC，并通过网管软件显示。

辅助网规：IMC可以进行无线局域网部署前的辅助规划和配置，通过导入建筑平面图并自动配置容量和覆盖范围，自动考虑各种常见的射频障碍物并输出网络规划配置。并且还可以对输出的网络规划配置进行验证。

社会效益

有序管理学校无线频率资源

在学校一开始进行无线网络建设方案探讨时，三大运营商通过不同的渠道进入校内部署无线网络，信道安排和信道隔离均由电信运营商设置，学校无线频率资源使用极不合理，信道之间干扰严重。特别是学校为了自己使用需要，在安装AP出现无可使用的信道。现在通过共同出资，共享频率有效解决了不同运营商之间的频率冲突，可以合理配置AP。除了本次建设的WLAN，其他由运行商架设的Wi-Fi线路全部拆除。

保证无线网络使用质量

学校统一规划设计无线网络后，一是可以完全按照学校需求来安排无线设备的RF范围并考虑预期扩容；二是在实际无线环境的部署和维护中，学校可直接调整网络，避免或减少信道间干扰；三是宽带比较干净，避免运营商在无线网络中加载其他信号。

保证了师生利益

无线有线一体化后，教师访问校内外资源全部免费；学生访问校内资源和图书馆资源全部免费。

学生可选择三个运营商中的任何一个作为服务提供商，使运营商能在一个公平的平台上竞争，给学生带来实惠。同时通过招标引入第三方运营，在减轻了学校运行维护费用的同时，保证了无线网络的服务质量。师生满意，学校领导满意，社会效益极好。