尹忆民， 郝宇红， 孙浩志， 种连荣

（北京大学医学部信息通讯中心，北京 100191）

0 前 言

随着信息技术的发展和网络应用的普及，基于校园网络的信息服务已融入学校的各个领域，人们对信息网络有了随时随地的需求．越来越多的学生、教师希望摆脱有线网络的束缚，在任何时间、任何地点将他们的个人终端安全、便捷地连上网络，及时查询资料、获取科研信息．

医学部现有无线网络于2004年建设完成，只做了校园局部覆盖．采用的技术属于早期无线网络技术，接入带宽较低，缺乏对新的安全协议的支持．随着各类无线应用的普及，校园无线终端的数量也从最初几百台扩大到目前上万台，现有的无线网络已远远不能满足广大师生的需求，与建设一流大学所应具备的网络基础设施要求有着明显的差距，迫切需要建设一个安全、高效、全面覆盖的校园无线网络，提高医学部网络建设与应用水平．

1 建设目标

建设覆盖医学部全校，高可靠、高性能和高安全性的Ipv4／Ipv6无线双栈校园网络，支持各种主流智能终端接入，提供Ipv4／Ipv6双栈服务，支持全网无线设备及射频环境统一管理，实现全校有线网络和无线网络统一认证和计费，为学校教学、科研、管理提供有力的技术支撑．

2 无线网络方案

2．1 无线覆盖

覆盖校园室内公共场馆、室外公共区域、行政办公区、教学科研区、学生宿舍区共五类区域．对于教室、会议室采用室内覆盖方式；办公室、学生宿舍采用室外投射方式；室外空旷场地采用室外覆盖方式．AP布置数量依据不同的建筑面积、建筑结构和材料、人员密度分别设计．做到每一楼层无信号盲区，重点区域满足95%区域信号强度≥－65 dBm；其他区域满足95%区域信号强度≥－72 dBm．

2．2 技术标准

本次覆盖采用802．11n／802．11ac标准，向下兼容原802．11a／b／g标准产品，可工作在2．4G／5G双频模式．802．11n／802．11ac依靠对物理层和MAC层的技术改进，实现了吞吐性能和信号覆盖效果的提升．

802．11n／802．11ac物理层采用OFDM、MIMO、信道捆绑、Short GI、FEC等关键技术提高传输性能．扩频调制技术OFDM将信道分成多个子信道并行传输，将子信道的数量提升至最高64个；通过MIMO空间复用技术，最高8X8 MIMO，提升8倍的传输带宽，依靠先进的数字调制技术，引入256－QAM的无线标准，提高编码效率；采用多信道捆绑技术提高RF频宽，将原来20 MHz频宽提升至802．11n最高40 MHz、802．11ac最高160 MHz，大幅度提高了传输带宽；同时，将波束成型正式纳入标准，在特定方向集中射频（RF）能量，提高了终端设备的传输效率．

802．11n／802．11ac MAC层采用的关键技术有帧聚合技术、Block确认等．帧聚合技术包含针对MSDU的聚合（A－MSDU）和针对MPDU的聚合（A－MPDU），将多个帧聚合发送，减少了发送每一个802．11报文所需的PLCP Preamble，PLCP Header和802．11MAC头的开销，提高了报文发送的效率，进而提高系统吞吐量．

2．3 系统组成

（1）无线接入点AP

AP采用符合无线网络主流技术802．11n／802．11ac技术标准的产品，支持最大1．3 Gbps的传输速率，并且能向后兼容传统802．11a／b／g技术的无线客户端，支持用户平滑升级．

（2）无线控制器AC

作为瘦AP架构无线网络的控制中心，无线控制器AC对园区内所有AP集中配置、集中控制、集中管理，实现集中的安全和QOS策略．

AC可以根据AP邻接关系统一安排射频资源，包括实时调整无线信道、发射功率，既保证网络的无缝覆盖，又不会出现相邻AP的同频干扰．

（3）网络交换机

网络交换机支持符合IEEE802．3af标准的以太网供电技术PoE，通过以太网线缆为AP供电，这样就大大简化无线网络实施的难度．

无线网络整体独立于有线网络，为无线网络配置专用的POE交换机和三层汇聚设备，无线AP就近接入专用的POE交换机，POE交换机直接上联无线专用的汇聚设备，构成无线校园网主干网，无线校园网主干网与有线校园网主干网实现互连，实现相对独立、互为备份的天、地两张网络．

（4）认证记费系统

支持校园网统一认证系统，实现校园网有线、无线一体化身份认证和授权控制．

（5）无线网络管理系统

无线网络管理系统，提供配置信息管理、网络拓扑管理和自动配置等功能；具备全网故障监控、告警、诊断调试等故障管理功能；具备信号冲突避免、频谱分析（FFT、占空比）、抗RF干扰和抗非法AP等射频管理功能．

2．4 IP地址与VLAN规划

2．4．1 IP地址设计

全网采用动态地址管理，无线网单独IP子网设计，与有线网络分开．全网部署2个B类私网IP，分别作为设备管理IP地址和用户端IP地址．

（1）设备管理IP地址分配：全网部署16个C类私网IP，分别作为AC、教学区AP、办公区AP、学生宿舍区AP管理地址．

（2）用户端IP地址分配：估计每个AP下的接入人数及用户密度，基本按照每个vlan对应16个C类，整个无线网络共分配1个B类地址，并留有扩充的余量．

（3）IPv6的地址分配采用DHCPV6的方式，地址段对应VLAN号．

2．4．2 VLAN设计

（1）设备管理VLAN设计

设备管理VLAN主要用于对所有网络设备的管理，为保证设备使用的安全、可靠，设备的管理、控制应与校园网内流量及无线接入客户流量分开，因此，需要为无线控制器、POE交换机及AP设备划分单独VLAN进行管理．

（2）用户VLAN设计

用户VLAN可根据各设备所涉及楼宇建筑内的用户数量，考虑子网过大可能带来的域内冲突、广播等问题共设计16个VLAN．采用vlan－pool的概念，也就是说所有接入wlan的人员都将从vlan－pool中动态地被分配到16个vlan中，每个vlan对应16个C类地址．

3 安全接入

（1）利用信号冲突避免、频谱分析（FFT、占空比）、抗RF干扰和抗非法AP等射频管理功能保证无线网物理层安全．

（2）通过设置同SSID下用户的二、三层隔离，不同SSID间的隔离，使无线用户终端之间不能互相访问，减少本地资源过多传输对无线网络性能的影响及arp攻击，给用户创造一个干净的网络环境．

（3）由AC控制器下发统一的安全管理策略，能够防控ARP欺骗、DHCP欺骗、源地址假冒及DHCP Flood攻击，并将异常用户自动列入黑名单组，该用户将无法跟无线网络作关联，有效地防止由于个别用户导致整个无线网络的瘫痪．

（4）采用WEP、WPA（TKIP）、WPA2（AES）无线加密机制和符合802．11i标准的加密算法，为用户提供安全无线信道

（5）用户接入控制与现有网络的认证系统集成，实现校园网一体化身份认证和授权控制．用户上网要通过严格的无线网络的安全准入控制，用户通过认证以后，会下发一个基于每个用户的状态防火墙，可以根据每个用户设置访问控制策略及带宽策略．

4 性能优化

（1）降低频率干扰的可能

将AP的发信功率减小到适当的程度，启用频段自动调节功能，自动避开干扰信道．在射频环境非常恶劣、干扰严重情况下，手动调节固定信道，减少AP之间的同频干扰与邻频干扰．

图1 校园网络拓扑图

（2）减少使用同一信道的终端密度

降低AP和终端的发信功率，缩小覆盖范围，控制每个AP连接用户在20人左右，主动将无线终端在不同信道之间负载均衡，减少用户间信道竞争，提高传输效率．

（3）设置5G优先接入

对支持双频的终端连入射频进行引导，采用5 GHz频段优先连接配置，保证优先连接干扰较小的5G频段，避开干扰严重的2．4G，提高无线用户的上网体验．

（4）避免工作在低速状态的无线连接

避免使用802．11b标准的无线设备，主动对无线终端的空中接口进行流量整形．

（5）减少AP对无用流量的广播

利用无线控制器的广播过滤技术，对网络中的广播包进行过滤，只允许DHCP广播通过；将ARP广播转换为单播后只在相关AP上发送；屏蔽其他不必要的广播包．这样，就使得无线信道上的广播流量大幅度降低，从根本上实现了对广播包的抑制和网络性能优化．

5 建设效果

医学部校园WLAN建设，使网络覆盖了学校任意空间，全面支撑数据传输、无线语音、无线多媒体、移动计算等校园综合业务，为迎新系统运行、庆典视频直播等关键业务运行提供了强有力的保障．并基于最新的WLAN安全技术，实现严格的数据加密、多种方式的用户接入认证、授权，充分保护学校的现有应用系统和用户的数据安全．给广大师生提供了无处不在的网络学习、融合创新的网络科研，丰富多彩的校园文化、方便周到的校园生活，为智慧校园的建设打下坚实的基础．

［1］ Aruba Networks Inc．ArubaOS6．0user guide［EB／OL］．［2010－12－09］．http：／／www．arubanetworks．com／techdocs／ArobaOS＿60／UserGuide／index．php．

［2］ 季硕．公众WLAN组网方案介绍［J］．电信技术，2003（2）：5－8．

［3］ 樊昌信，张甫翊，徐炳祥，等．通信原理［M］．北京：国防工业出版社，2001．

［4］ GEIER J．无线局域网［M］．王群，译．北京：人民邮电出版社，2001．