文/高静　涂庆华　李华峰

南京理工大学：802.11ac无线校园网建设

文/高静涂庆华李华峰

随着IEEE802.11无线局域网技术标准的不断发展，基于这些标准的无线产品不断推出，无线局域网的应用和普及逐渐发展到一个新的阶段。高校信息化的不断发展，促使无线校园网的构建迫在眉睫。本文分析了无线校园网的建设背景，梳理了南京理工大学无线校园网的建设需求，从组网方式、技术标准、接入点AP、网络优化等方面给出了具体的设计方案。基于下一代Wi-Fi技术的南京理工大学无线校园网运行稳定、高速，具有一定的借鉴价值。

建设需求

南京理工大学无线网络的建设思路是在业务和应用的驱动下，建设一个具有自身特色的无线校园网，在为学校的师生用户带来上网便利的同时，提供更多的增值服务。

1.无线校园网建设应采用先进的技术协议标准。此次建设以下一代Wi-Fi技术802.11ac标准为基础，更好地适应后期技术的发展，提供可供实际应用的稳定的通讯服务。

2.学校已建有较为完善的有线校园网，新的无线网络要求在网络互联、认证计费、安全防御、应用等方面，须与有线网络形成兼容与互补。校园有线网络的主体结构应不需要任何改变，使用原有认证计费系统，即可对无线网络进行统一认证和管理，同时应做到尽可能简化网络结构，提高网络访问速度与效率，为教学、科研、办公及学习、生活、交流提供切实可用的、稳定的无线网络环境。

3.南京理工大学无线校园网建设是在原有的校园有线网之外独立建设一套无线网络，要求完成重点区域立体式无线覆盖，使得师生用户可以在这些区域随时随地、便捷地连接网络，可以依托无线网络完成各项学习或工作，外来来宾也可顺畅地访问校内外网络资源。

4.实现无线网络的合理布建。考虑到室内应用环境的不同情况及特点（如教室、礼堂、会议室、图书馆、体育馆等），应采取科学合理的布网方式，以满足现在及今后的应用需要。

5.建设无线校园网的施工需求。无线接入点需采用POE交换机远程供电；无线网点到本地设备间之间需要进行综合布线，综合布线不应毁损目前楼内装修，要求美观得体，符合布线相关标准，合理安排施工时间，做到不影响学校的正常办公、教学和科研等。

设计原则

校园无线网的设计原则建立在充分考虑学校使用需要的基础上，力求满足整个校园网的可靠性、先进性、兼容性和安全性。

1.可靠性：保证系统可靠运行，关键设备应有冗余。

2.先进性：采用当今最先进和成熟的技术，使新建立的系统能够最大限度地适应今后技术和业务发展的需要。

3.可兼容及可扩展性：在进行方案建设时，力求做到网络结构清晰、合理并具有扩展能力，硬件配置先进、可靠，系统软件界面友好，易于操作和维护。

4.安全性原则：安全性一直是网络及系统管理的薄弱环节之一，而用户对网络安全的要求又相当高，因此安全性原则非常重要。

方案设计

组网方式设计

随着无线网络的规模越来越大，无线的传输性能也越来越高。无线网络由原来作为有线网络的扩展和延伸，转变成为另外一种主流的接入方式，和有线网络一样承担着重要的业务数据传输转发。因此无线网络在建设的过程中，由原来的有线无线融合在一起，转变成为有线、无线单独组网的建设模式。

此次无线建设从整个网络设备到链路，有线、无线网是完全独立的，只在两张网络的核心层采用万兆高速链路实现互联互通。独立组网模式不仅确保了两张网络的独立性，还提供了两张网络相互冗余功能。

如图1所示，整个无线网络从下到上分成了终端层、接入层和核心层三部分。其中终端层即为需要接入网线网络的终端产品，包括使用无线网卡的笔记本电脑、平板电脑、智能手机等。这一层次是用户直接接触的层次，也最直接影响了用户对无线网络的使用体验。

终端层往上为接入层，包括了提供无线网络覆盖的无线AP和AP直连的接入交换机。接入层采用全千兆POE交换机，同时实现AP的数据通信和供电，通过光纤上联汇聚或核心交换机。

网络的最上层为核心层，包括无线网核心交换机和无线控制器。无线网络采用独立组网方式，核心承担整个校园网的无线数据的转发，无线网核心交换机采用两台框式高端交换机，确保整个无线网络核心的稳定可靠；并且通过万兆光纤与校园网有线网络互连，实现有线无线的互通。

技术标准选型

南京理工大学无线校园网采用最新的802.11ac技术标准。802.11ac技术的优势在于：

1.更高的速率

802.11ac作为802.11n的改进和发展，其中一个目标就是提供与千兆以太网络相比肩的高性能。现阶段11ac硬件采用3条流、80Mhz频宽，最大理论速度1300Mbps； 第二阶段产品会保证使用更多的信道捆绑以及更多的空间流，实现3.47Gbps的数据速度。

2.多用户MIMO（MU-MIMO）

MU-MIMO允许一个无线接入点在一个时间点使用相同的频带向多个用户发送数据，也就是说，1个4流AP可以同时和3个STA进行通信；802.11n采用的是单用户MIMO（SU-MIMO），一个接入点在同一时间发多个空间流，但只能发给一个终用户。好比802.11n类似一个集线器，而802.11ac表现的更像是一台交换机。

图1　无线网络架构

3.更少的环境干扰

802.11ac只使用5G频段，减少2.4G公共频段的支持，也就减少了其他信号对自身的干扰，获得更为清洁的频谱环境。支持802.11ac的终端可以在5G频段工作，空出2.4G频段给支持802.11n的终端使用。

接入点AP选型设计

无线校园网络建设采用“无线控制器＋瘦AP”的网络架构设计，对于无线AP的选择是根据不同的建筑场景来定。

1.教学区部署规划

针对教学楼的环境，由于教室一般面积较大，内部宽敞无阻挡，房间多采用木门，且在走廊侧会有大型玻璃窗体。又由于该区域主要用户为上课教师或部分自习的学生，主要业务就是浏览网页查找资料，对网络质量要求相对较低。因此，可以在该区域采用3X3的MIMO的802.11ac标准的室内AP的放装式部署方案，AP支持双路2.4G模式、双路5G模式或者2.4G+5G模式，将AP放在教室内覆盖整个教室，一个AP可覆盖直径20～30米，要求每个AP最大支持100人接入。需要满足教室内座位数80％以上同时在线的能力，根据教学楼教室的座位数多少，部署相应数量的AP。基本按照100座以下教室部署1台AP，100～200座教室部署2台AP，200人以上阶梯教室部署3台AP。

2.办公区部署规划

考虑到校园内一些办公区的办公室空间相对不是很大，用户数量不多，且室内原有装修较好，如部署放装式AP将需要进行布线施工，会破坏房间内的原有装修。因此可考虑利用有线网络，采用隐蔽入墙的墙面式AP实现无线覆盖，将有效解决AP信号进入室内的问题，同时可降低同频之间的干扰，且安装美观，部署简便。整个部署过程只需要三步就能快速实现无线网络覆盖。第一步拆去房间内原有的有线网络的接口面板；第二步更换原接入交换机为POE交换机；第三步将原有网线插在墙面型AP上即可使用。这种部署方式有效利用了原有的有线网点，无需再进行布线施工，大大降低了无线建设的难度。

一些办公区域可以通过在走廊部署放装AP实现对两侧房间的覆盖，AP采用802.11ac标准智能天线，通过智能天线矩阵以及智能算法，根据终端的位置计算最佳的覆盖路径方向，实现更好的信号覆盖。

3.室外区部署规划

主要应用于师生活动频繁的室外公共区域，特别是区域内可能分布有较高较密的建筑群或植物群，这对无线信号会造成阻碍。因此，考虑选用专用的室外大功率无线AP产品，配置定向天线，可以保证无障碍下的300米半径覆盖以及近距离多重障碍物的穿透能力，可有效保证无线信号质量，同时设备本身具备防雷、防雨、防潮、抗高低温、阻燃等性能。无线AP可部署在覆盖区域内的制高点上，同时采用定向天线定向照射、全向天线予以补充的方式实现无线信号覆盖。

网络优化

由于无线网络的通讯质量受环境影响非常大，因此不管前期方案做得如何的细致，在真正部署实施的时候无线网络的优化工作都是必不可少的，根据实际部署的环境进行相应的调整优化。

最重要的一点就是解决环境中信号同频干扰的问题，这也是对于无线通讯影响最大的一个方面。因为在一个信道内无线是共享通讯，遵循CSMA/CA 机制进行退避，因此在环境中如果多个AP在一个信道内，大部分时间都在退避，将无法为用户提供更多的数据传输，用户体验将非常差。

针对同频干扰的问题，最好的方法就是信道错开和缩小AP的功率。由于在2.4G下不重叠的信道只有3个，因为在AP密集部署的时候需要采用蜂窝状部署，对于同一可见区域多于3个AP的，需要将AP的功率降低，将信号覆盖控制在一定的范围，确保同频段之间的两个AP相互收到的信号强度低于-75dbm，避免同频干扰的出现。

在优化的过程中不仅考虑本楼层的无线AP信道划分，还需要考虑楼上楼下垂直空间内的AP之间的信道划分，如图2所示。

在教学区人员密集的区域，统一区域内部署多台AP的地方通过将多台AP作为一个负载均衡组，在多台AP之间基于用户数进行负载，确保同一区域的几个AP的用户数负载一样，防止出现用户都集中在某一台AP上。

并且可以使用5G优先的功能，实现统一AP的两块射频卡之间的负载。将同时支持2.4G和5G的终端优先接入到AP 的5G射频卡上，为只支持2.4G的终端空出AP的2.4G射频卡资源。

这些功能的优化都能在密集的场景下提升无线网络的利用率，更好地为师生用户提供无线传输。

图2　无线网络优化示意

应用实施

统一管理

对于规模庞大的无线网络来说，管理是一件非常重要且繁琐的事情。从射频覆盖状态的监测、无线链路的带宽监测、用户认证的异常报警、无线接入安全等都需要考虑。无线网络是一个整体系统，无线接入点之间必须互协调工作，单独改变一个无线接入点的参数和配置，可能会引起无线接入点之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题，集中控制和管理显得非常必要。因此，南京理工大学构建了一个基于Web的网络管理系统，为网管人员提供易用较强的管理平台。网管系统能够对无线网络中的无线控制器和无线接入点等设备与有线网络设备进行一体化集中管理，网管人员对全网设备信息和状态可随时全盘掌握。通过整体拓扑监视、多视图的监视和分组管理，将大规模部署的无线网络设备进行集中化的控管,如图3所示。

统一认证

为了保障网络的安全性，无线网络需要对于接入的用户进行身份认证。通常认证的方式有802.1X、Web以及MAC认证。在公共区域和热点等应用场所，Web认证方式较为有优势，一个方面是减少客户端部署的复杂性，另一方面是降低用户的使用难度。对于校内大量存在的PDA、手机等Wi-Fi终端设备，由于操作系统的差异化，Web认证将具有一定的局限性，可以采用基于MAC地址的用户身份认证或者802.1X认证，从而实现全网统一的用户身份鉴别系统。南京理工大学的无线网络采用了802.1X认证和Web认证结合的方式。通过802.1X技术实现跨终端的无感知认证，通过Web方式实现师生用户的自助绑定。

图3　网络管理示意

应用效果

在无线校园网一期建设过程中，前期进行了细致的无线地勘，对建设方案进行了多次科学论证，并对多个品牌的无线产品进行了选型测试，最终确定了入围品牌。设备安装完成后，进行了细致的无线信号优化工作，最终使得无线覆盖的区域信号达到了最优，确保了所有覆盖区域的使用效果。

通过无线网络的建设以及相关应用的上线，南京理工大学的无线网络已经初具成效：

1.网络覆盖区域进一步扩大

目前，学校已经在综合实验楼、第四教学楼、学术交流中心、图书馆等区域实现了无线全覆盖，全校师生可随时访问校内外资源。

2.稳定高效接入

南京理工大学的无线校园成功的将下一代Wi-Fi技术成功的大范围应用，使用的均是802.11ac的无线产品，为师生提供稳定高速的接入，满足高带宽要求的应用开展。

3.安全管控

所有的校园网用户都通过网络信息部安排的唯一账号进行网络登录，无论是PC、笔记本或是手机、平板等智能终端。同时，通过网络管理软件，统一管理有线网络设备和无线网络设备，更好地实现了网络的可管可控。

4.合理上网

少量学生无节制地使用网络的现象逐渐减少，通过代理上网的方式逐步消失，一定程度上减轻了学校出口带宽的压力。

因此，该项目的建设满足了师生用户灵活便捷接入校园网及Internet的要求，通过无线网络访问各种资源，同时也为更多的特色应用打下基础，将有效改变整个校园的生活方式。

（作者单位为南京理工大学信息化建设与管理处）

建设与管理网络安全