升级校园无线网

2015-12-03■

网络安全和信息化 2015年6期

■

引言

随着互联网络的发展，各种终端的不断应运而生，大量的应用丰富了校园网的学习、生活。面对快速发展的校园网信息化建设以及大量的智能手机、平板电脑等移动终端进入到师生的学习生活中，如何建设一个高速、稳定、便捷、易管理的无线网络是教育机构最迫切的需求。在高校的网络环境中，无线网以其灵活布设、高带宽和无线接入的优势，可以突破有线网络节点限制、实现多人同时上网的问题，大大地增加了校园网络信息点，方便在校师生获取信息，进一步提升学校的信息化水平。此外，无线网络环境的引入，为崭新的无线多媒体提供了应用平台，从而将教育信息化建设带入一个崭新的天地。无线技术在校园中的无线应用有广阔的前景，在实现与其他运营商之间的互联互通之后，将会发挥出更强的作用。因此，在高校网络建设中，倡导无线技术的应用意义重大，拥有良好前景。

对外经济贸易大学（以下简称外经贸大学）位于北京市朝阳区，地理位置优越，没有分校，校园土地资源紧张，全校园区占地面积500余亩，全校师生1.7万余人，工作区、学习区、生活区混杂在一起，人口密度大，作息时间较为分散。

作为一所“国际化、财经类”特色见长的学校，如何适应学校特点，做好信息化方面建设，服务好广大师生一直是学校建设重点，尤其是在无线网络建设方面。因此，对外经贸大学将“以需求为导向，以提高学校核心竞争力为目标”作为信息智能化校园建设的战略目标，其中着重提出了“无线校园”的建设目标。

外经贸大学校园网始建于1997年，历经10余年发展，有线校园网络已覆盖全部教学、办公、学生等区域的所有建筑物，目前已实现万兆主干、千兆楼宇、百兆到桌面的IPv4/IPv6双栈网络，全校总计近21000个信息点，其中教学办公区域近5000信息点，宿舍区域近16000信息点。虽然有线网络已经基本上满足了全校师生上网需求，但是随着移动互联网的发展，移动手持设备如智能手机、PAD、笔记本电脑等越来越普及，以及移动办公、教学应用技术的飞速发展，有线网络只能在固定地点上网的弊端就凸现出来，学校在教学、科研、管理等各方面都出现了建设无线网络的迫切需求。同时高校信息化建设中出现的一些新趋势，如校园智能APP、数字化校园门户等适用于移动手持设备的信息化产品的出现，都需要学校提供能够随时随地支持各类移动终端设备接入的无线网络。

方案设计

方案设计原则

对外经贸大学无线网络建设过程中考虑到建设的成本和学校重要时间安排，分为两期建设。第一期主要是实现教学和办公楼、公共区域的无线覆盖，共计建设有460个AP点位，实现有线、无线网络统一认证；第二期是将所有宿舍楼纳入无线网络中，共铺设800个AP点位，引入开发无线网络管理软件，实现网络可视化、远程化管理。同时在后续使用过程中不断开发基于无线网络的移动应用软件，逐步完善学校移动信息化建设。

方案技术标准与实现

无线网络进行过程中，采用了大量先进技术，确保技术在5-10年不会落后、淘汰。采用的技术标准主要有：

802.11n技术，开启双频段接入

整个网络采用最新的802.11n技术标准，保证了技术上的先进性。802.11n技术于2009年由IEEE正式批准通过成为无线传输标准。它是在802.11g和802.11a之上发展起来的一项技术，最大的特点是速率提升，理论速率最高可达300Mbps。802.11n可工作在2.4GHz和5GHz两个频段，分别向下兼容802.11g和802.11a。802.11n主要是结合物理层和MAC层的优化来充分提高WLAN技术的吞吐。

在传输速率方面，802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的 54Mbps，提高到 300Mbps甚至高达600Mbps。

在覆盖范围方面，802.11n采用智能天线技术，通过多组独立天线组成的天线阵列，可以动态调整波束，保证让WLAN用户接收到稳定的信号，并可以减少其它信号的干扰。因此其覆盖范围可以扩大到好几平方公里，使WLAN移动性极大提高。

在兼容性方面，802.11n采用了一种软件无线电技术，它是一个完全可编程的硬件平台，使得不同系统的基站和终端都可以通过这一平台的不同软件实现互通和兼容，这使得WLAN的兼容性得到极大改善。这意味着WLAN将不但能实现802.11n向前后兼容，而且可以实现WLAN与无线广域网络的结合，比如3G、4G。

目前，大多数无线产品都支持2.4GHz和5GHz两个频段，但是因为用户本身的专业知识比较薄弱，而且大部分无线接入服务供应商也没有进行有效的引导，再加上802.11b/g比802.11a的应用更为广泛，最终很多双频产品都使用2.4G频段，造成2.4G频段的拥挤和5G频段的浪费。实际上，5G频段拥有更高的接入容量：2.4G频段最多只能有3个不重叠的通讯信道；而5G频段却能提供更多不重叠的通讯信道，在中国有5个，而北美更是多达24个。基于此，在无线网络建设中开启了双频段接入，拓宽接入信道，增加单AP接入设备数，解决了学校高密度环境下无线接入问题。

多SSID接入，确保信号不会相互干扰

因学校的无线网络建设同时引入了校外移动通讯商的无线信号建设，因此需要发出除了UIBE-WLAN学校自身无线信号外其他信号。同时由于学校人口密度大，导致AP点位分布也比较密集，为保证信号质量，外经贸大学采用多SSID接入，确保信号不会相互干扰。

所谓多SSID接入即在单个AP上使用多个逻辑AP（Virtual AP），每个逻辑 AP上开启一个SSID，这样就实现在一个AP上开启多个SSID，每个SSID可以设置不同的认证、计费、安全策略等。用户通过关联上不同的SSID，就可以实现不同的上网策略选择。同时这些SSID由同一硬件设备（AP）发出，信道、功率等设置完全一致，相互之间不会干扰。而不同AP间采用合理的信道规划原则，将干扰降到最低。

例如外经贸大学的SSID信号既包含UIBE-WLAN（学校自身无线信号），也包含移动运营商的信号，利用多SSID的组网方式实现无线网络共建，其中AP、AC以及线路的铺设都通过共建实现，而AC到不同核心网络及出口部分则由学校和移动运营商自己建设。对于AP的覆盖方式，根据热点的现场情况，可以采用AP直接放装、AP接入分布系统等多种方式灵活实现，覆盖方式对多SSID组网不存在影响。在AC上通过不同的配置，将AP上广播的SSID信号分配到不同的VLAN中，通过不同的网络出口，实现网络访问。通过这样的设置，即可满足不同的上网需求，且能保证在组网上统一、覆盖方式及覆盖效果统一。

胖AC+瘦AP体系结构

为方便学校实现对全部无线设备及用户的统一集中管理及方便用户的使用，在无线网络建设的体系架构中采用了“胖AC+POE交换机+瘦AP”体系架构。

AC：即无线网络控制器。在瘦AP架构的WLAN网络中扮演管理AP的角色。

瘦AP或胖AP：瘦AP，无线访问接入点。在瘦AP架构的WLAN网络中提供接入服务，通常分布在无线网络服务区的多个地方，用于覆盖该服务区，提供无线服务。胖AP，一种控制和管理无线客户端的无线设备。数据在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换，而FAT AP在这个过程中起到了桥梁的作用。

STA（Station）：客户端，可以是装有无线网卡的计算机，也可以是有WiFi模块的智能手机。可以是移动的，也可以是固定的，是无线网的最基本组成单元。

POE交换机：对AP进行供电，同时起到AP接入作用。

在传统的胖AP部署方式中，AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。无线网络解决方案可由Fat AP直接在有线网的基础上构成。缺点：①对每AP都需要配置，难于集中管理；②无法对射频环境进行监控调整；③适合小规模组网。

而瘦AP部署方式克服了胖AP模式的一些缺点，所有的AP在AC（无线控制器）中统一管理，实现对所有AP进行管理/认证安全/报文转发/RRM/QOS/漫游集群等功能。AC上配置好文件，AP本身零配置，管理简易；增加射频环境监控，基于用户位置安全策略，高安全性；适合大规模组网。

外经贸大学无线网络的部署，采用的就是“胖AC+POE交换机+瘦AP”的体系结构。通过将AP统一纳入AC中管理，简化了AP配置流程。实现对所有AP的集中控制管理，并且这种方式还具有射频管理、配置更改、接入控制、网络安全、用户认证等一系列管理功能，具有极强的灵活性与可扩展性。

统一身份认证，双网融合

在校园网络环境下，网络用户多样化，有教职工、学生、短期培训生、访客等等，同时随着无线网络的开通，多种网络用户、多种网络形式导致接入方式多样化。按照学校的实际情况，网络接入方式有如下几种：

①按用户类型：教师用户、学生用户、外来用户；

②按访问权限：访问内网、访问外网；

③按认证形式：客户端、Web浏览器；

④按使用介质：有线方式、无线方式；

⑤按所在位置：校内访问、校外VPN接入；

⑥按承载协议：IPv4协议、IPv6协议

多样化接入方式带来多重挑战，如投资成本高：多套系统投资成本高；管理难度大：管理复杂工作量大；用户体验差：多套账号密码用户体验差；网络安全弱：安全威胁大、审计困难；对接扩展差：各个系统身份数据不统一、为后续与一卡通、数字化校园身份系统带来更高的复杂度和成本。

因此，为方便校园网用户接入，在原有有线认证系统中为无线网络添加接口，将有线上网账号应用到无线网络中，实现统一认证，在接入层面实现双网融合；同时无线网络建设中，通过AC设置将无线网络出口纳入到有线出口中，实现双网出口融合。

开启无感知认证，实现“一次登录，自动连接”

传统的校园认证方式大多采用Portal方式，以外经贸大学为例，当用户连接上UIBEWLAN后，在浏览器内输入任何网址都会首先被重定向到Portal服务器的认证页面，只有在该页面认证通过后方才能正常访问互联网。

Portal认证方式一个很大缺陷就是用户在使用的过程中，每次上网都需要重复输入用户名和密码，非常的繁琐复杂，特别是当用户在校园不同楼宇间移动掉线后，更需重新认证，浪费了大量时间，降低了用户的友好体验。

图1 无感认证过程

无感认证则是指用户仅需在首次接入无线网络时输入帐号密码，后续进入无线覆盖范围内后自动完成认证。初次配置很简单，仅需输入账号密码即可完成认证，后续认证无感知，后续再也无需手工认证，由设备在后台自动完成。

无感认证原理很简单，它采用Web/MacByPass技术，在用户首次通过portal认证后，就可以无感知接入网络，下次上网时会自动接入网络。Mac By Pass认证协议采用无线终端的MAC地址radius认证，只要在认证计费服务器记录了该终端的MAC地址，该终端即可自动连接上网。无感认证过程可以用图1表示。

无感知认证方式基于802.1X的安全认证体系，不仅保证了网络接入的安全性，而且还把用户从繁冗的认证操作中解放出来，大大节省了连网花费的时间，给用户带来了良好的上网体验，真正实现了用户在无线信号覆盖范围内的任意地点无感知上网。以1000用户上网为例，无感知认证每年可节省近100000分钟的时间，如表1所示。

表1 无感认证节省时间

建设成果

对外经贸大学无线校园网项经过近一年时间的建设，顺利完成，正式向全校用户提供无线服务。无线校园的建设实现了无线网络的校园全覆盖，拓展了学校师生上网途径，方便用户随时随地获取网络信息，为学校移动信息化建设创造了条件。

两网融合、统一认证

构建了基于AC+POE+瘦AP体系结构的无线网络，实现用户的高可靠性、高密度接入，实现无线信号全校覆盖。将无线网络与有线网路双网融合，实现一个账号，双网登陆。同时将上网账号纳入统一认证平台中，实现单点登录，打通上网账号和学校信息平台及其他信息系统之间的登陆壁垒，减轻用户记忆负担。

队伍建设、信息员制度建立

为做好校内部门间沟通协调工作，保证建设顺利进行，同时培养校内各单位信息化专门建设人员，提高全校信息化队伍素质，保证后续信息化其他项目建设顺利开展，专门成立了信息员制度，要求每个部门指定专人担任部门信息员，负责部门信息化建设，接受信息化管理处不定期的信息化培训。

无线网络的建设，培养了一批优秀的技术人员，这些人将来会成为我校信息化建设的技术骨干。同时，建立了信息员制度，促进了全校信息化队伍建设。

基于无线网络的应用

开发基于无线网络的手持移动设备应用，开展基于第三方平台的信息服务。无线网络的建成，为全校的移动信息化的建设提供了便利，在此基础上，开发了多款基于无线网络的APP应用，如移动门户等。利用第三方微信平台，开展网络报修等信息服务。如微信报修，我们在微信平台提供了自助服务（包括自助充值、查询余额、暂停账号、恢复使用、修改个人信息）、常见故障、网络报修三项服务。用户可以很方便的通过移动设备随时随地来完成网络保修等服务。

应用效果

运行数据

学校无线网络自建成正式投入使用以来，截止到2014年底，共安装部署AP1200多个，开通无线账号1.6万余个，同时在线人数平均到达4000余人。设计开通基于无线网络的应用10多项，开展无线报修、智慧户籍等多项无线业务。日均网络流量达到400M左右。针对不同用户开通不同权限，如教师身份一个用户可以同时接入3台不同无线设备，学生身份用户可以同时接入2台无线设备，开通无感知认证功能。

绩效分析

首先是时间效益，无线网络的建设成功，极大地方便了广大师生上网需求，减少了用户获取消息的时间，使得用户能随时随地获取网络信息，形成一种“live on line”的常态，用户可以使用第三方的即时通讯工具，实时保持与外界联系。另一方面，快速的接入网络，也方便用户获取最新知识，例如教师可以从网上获取最新的教学资料，最新的技术规范，方便老师教学；学生可以从网上获取最新的就业信息，发布自己的简历等。

其次是服务意识的提高，服务方式的多样化。无线网络的开通，使得用户可以随时随地的利用移动手持设备获取信息，保持在线状态，这也促使学校的一些服务部门开始尝试使用移动终端来提供服务，如校保卫处提供的“智慧户籍”，信息处提供的“微信报修”，以及学校的移动门户等等。这些服务形式的出现，方便了广大师生的工作生活和学习，也提高了学校各服务部门的服务意识。

再次是促进信息化建设。无线网络的建设成功，为我校信息化建设做出重大贡献，带来了良机和动力，为我校信息化建设开辟了一个新方向。促使对外经贸大学信息化建设更加注重基于移动终端设备的系统建设，基于此开发了多种移动终端APP。

经验总结

创新性

对外经贸大学的无线网络建设，为以后信息化建设提供了很多借鉴，整个建设过程的创新性主要包括一下几点。

⑴服务模式创新。由过去的被动变主动，等待变及时。过去学校很多服务部门在提供服务时往往是被动等待用户来反映问题，而且提供信息方式只是发布公告等很被动方式，而这就导致用户获取信息难或者信息有滞后性。无线网络的开通及移动终端的普及，促使服务部门要主动发现问题。

如网络方面问题，过去只是被动等待用户打电话反映网络中断或者在工作时间登录网管系统去查看，往往发现问题的时候网络已经中断10几分钟。而通过无线网络，可以开发基于移动终端的APP，一方面方便用户报修，另一方面可以随时随地登录移动网管系统，查看网络情况，变被动为主动。

⑵信息化队伍建设创新。高校内部学院、部门繁多，各部门、学院都有自己的一些信息化系统，要保证这些系统正常运行需要有专门的信息化管理人员，但是这些部门有的是请校外公司运维，有的是别的行政老师在负责，总之信息化人员良莠不齐。另一方面，当需要建设一些涉及全校范围的信息化项目时，需要各个部门、学院配合，由于没有专门的信息化管理人员，相互之间的沟通就常常会出现问题。

为了克服这些问题，做好校内部门间沟通协调工作，保证项目顺利进行，同时培养校内各单位信息化专门建设人员，提高全校信息化队伍素质，专门成立了信息员制度，要求每个部门指定专人担任部门信息员，负责部门信息化建设，接受信息化管理处不定期的信息化培训。这样一来就为提高了全校的信息化水平做出了贡献。