高校无线网络建设研究
——以西安交通大学为例
2019-03-13覃遵颖崔静茹李国栋
折 波,覃遵颖,崔静茹,李国栋
(西安交通大学 网络信息中心,陕西 西安710049)
一、引言
随着现代无线通信技术的飞速发展,无线网络的应用也越来越广泛,无线网络在高校也越来越普及,无线网络解决了传统有线网络需要大规模布线的弊端,实现了校园网随时随地接入,满足教工和师生在图书馆、会议室、教室、操场、校内广场等场所使用,是校园有线网络有效的补充,《国家教育事业发展“十三五”规划》[1]更是提出加强“无线校园”建设,基本实现各级各类学校宽带网络全覆盖和网络教学环境的普及,具备条件的城镇学校实现无线网络全覆盖。
目前无线网络已经成为校园生活的重要组成部分,是教职工和学生获取资源和信息的主要途径,另外,随着“互联网+”的不断发展,传统的课堂教学模式发生了重大变革,“互联网+课堂教学”模式需要访问网络中丰富的教学资源以及提供多种多样的应用平台,课堂需要无线网络支撑才能达到课程应有的理想效果,因此,随着教育部《教育信息化2.0行动计划》[2]的发布,各高校需要依据本校校园网建设情况研究探索建设覆盖全校的校园无线网络,满足教工教学、科研、工作和生活,满足学生日常生活、学习、上课等需求。
二、无线网络建设
1.无线网络建设原则
(1)高可用性,无线网络建设完成后需要保证用户的实际使用体验,无线网覆盖范围内应实现2.4G和5G双频覆盖,信号强度大于-65dBm,且满载情况下无线网络同时观看视频时单终端视频码流不低于1Mbs,且无中断不连续现象。
(2)高可靠性,无线网络应该具备高可靠性,出现重大网络故障,如AC设备故障、出口链路断开等,能够及时切换到备用设备或者备用线路上。
(3)高安全性,无线网络应该具备多种安全机制,提供安全防范措施,防止教工师生重要信息泄露、网内恶意攻击、网内恶意入侵等。
(4)高冗余性,无线网络建设时应该充分考虑冗余性,包括AP接入、AC设备以及出口带宽,不但需要满足现有无线网络业务,还需要保证今后较长时间用户和业务的增长需求。
(5)可扩展性,随着网络应用的不断发展,网络负载压力不断增加,无线网络设计时应该在无线AP覆盖范围、无线设备性能、无线链路带、无线网络拓扑等方面具备很好的扩展性,至少应该能够满足学校3~5年对无线网络的需求,能够方便对无线网络进行升级。
(6)可管理性,无线网络应该具有一套快捷方便的管理系统,系统通过采集无线网络设备数据,能够对校园无线的整体运行情况进行远程监控,随时了解无线网络健康状况,对无线设备能够进行远程管理,在无线网络出现故障时,能够及时定位到故障点,并迅速排查故障。
2.无线网络转发模式
目前无线网络的转发模式主要有集中转发模式和本地转发两种模式,图1为集中转发和本地转发模式控制/数据流的比较,集中转发模式下所有的源或者目的为无线用户的报文都需要由AC进行转发,如图1中a所示,STA1发送数据到 STA2时,AP将数据帧通过CAPWAP隧道发送到AC,AC解析隧道和802.11报文得到目的地为STA2,再将报文封装成CAPWAP隧道报文,发送到AP,然后由AP转交给STA2。集中转发对链路带宽、AC的加/解密要求较高,AC压力较大,优点是能够实现更多安全防护功能,能够对网络流量进行监控。本地转发模式下无线用户的控制帧仍然通过CAPWAP隧道由AC进行处理,而源或目的为无线用户的数据帧则直接在AP本地进行转发,如图1中b所示,STA1发送数据到STA2时,AP直接解析802.11报文,获得目的地STA2,然后将报文重新封装成802.11帧发送给STA2,不再经过AC进行转发。本地转发优点是将业务数据转发任务分散到AP,降低AC压力,彻底解决AC瓶颈问题,提高网络整体吞吐率,根据本校校园网架构和网络管理方面的需求,本校无线网络建设采用了集中转发模式。
图1 集中转发和本地转发控制/数据流比较
3.无线网络架构
西安交通大学无线网络架构如图2所示,设备部署方式采用所有AP二层部署,POE交换机千兆到楼宇汇聚交换机,楼宇汇聚交换机万兆到AC核心设备,AC采用插卡方式,每台核心交换机配备2块AC板卡,两块AC板卡互备,核心交换机直连IMC管理系统和radius认证系统,IMC管理系统用于对无线网络设备进行基础管理,radius系统用于对无线用户进行认证,无线网络出口同时使用校园网出口和专用的电信出口,无线网络所有用户使用内网地址,对校内网的访问通过RSR7716 NAT为教育网地址访问,对校外网的访问通过RSR7716 NAT为电信地址或者经校园网出口NAT后访问,出口区域全部配备统一的防火墙用于网络安全防护。
图2 西安交通大学无线网络架构
4.无线认证系统
根据国家接入互联网的相关规定,在接入互联网之前必须通过身份认证,高校中无线接入设备种类繁重,设备情况复杂,考虑到用户使用无线网络的便利性、兼容种类繁多的无线网络接入设备,多数高校无线网络认证都启用了Portal认证和802.1x认证。
Portal认证是用户通过主动访问位于Portal服务器上的认证页面(主动认证),或用户试图通过HTTP访问其他外网被WLAN服务端强制重定向到WEB认证页面后,用户输入用户名和密码,Portal服务器在获取到用户账号信息后通过Portal协议与认证服务器交换完成的用户认证过程。Portal协议具有兼容所有智能终端和个人PC的优势,同时可提供方便的管理功能,开展通知公告、个性化业务等,Portal认证在高校和企业网中大量使用。
802.1x[3]认证是基于端口的网络接入控制协议,提供了一个认证过程框架,支持多种认证协议。在802.1x中,不同的认证协议统一使用EAP封装格式,802.1x是对认证进行控制,是接入认证的手段,多数高校提供PEAP协议的认证,802.1x认证具备高效简洁、容易实现、安全可靠、应用灵活、天生无感知、易于运营的优势。
Portal认证和802.1x认证都需要使用AAA认证服务器,AAA认证服务器可购买企业产品,如深澜、城市热点等,使用企业产品存在很大的弊端。①企业产品需要和学校的业务系统进行对接,并且业务系统可能存在多个,前期对接调试需要消耗大量的时间,相关业务负责人需要花费很长时间了解产品的原理,往往系统管理也较为复杂;②企业产品可控性较差,系统在运行维护的过程中如果出现问题,负责的教师往往很难找到问题所在,需要联系企业售后人员,往往解决问题都需要消耗很长时间,造成网络故障时间很长,严重影响教师和学生的日常办公、科研和生活;③企业产品灵活性较差,高校由于网络环境比较复杂,教工和学生的需求也较多,企业产品很难满足高校的一些个性化需求。
西安交通大学无线网络使用了Portal认证和802.1x认证,为了保证无线网络用户体验,Portal认证使用了基本mac地址的无感知认证,用户设备输入用户名和密码登录一次设备连接无线后由后台Portal服务器自动登录,无感知认证。
西安交通大学使用的AAA[4][5]认证服务器是用开源freeradius搭建的,freeradius是一个功能强大的开源radius,世界上大部分的radius服务器都是由freeradius开发而来,是多样化radius商业产品的基础部分,并且广泛应用在学术团体,如eduroam,freeradius服务器高速、功能丰富、模块化、扩展性强。
西安交通大学radius服务器是在Linux Centos6.7版本上使用开源freeradius-2.2.9版本搭建的,数据库使用MySQL-5.6.27版本,freeradius安装使用源码安装,由于安装过程中需要很多依赖库,在Linux上配置公开的yum源,如使用清华开源软件镜像站,在freeradius目录下使用命令./configure-prefix=/usr/local/radius&&make clean&&make&&make install安装,正确安装完成后更改 radius.conf、client.conf、sites-enabled/default、sql.conf等文件对认证进行基本配置以及根据服务器性能对freeradius进行调优配置,尤其在/usr/local/radius/etc/raddb/sql/mysql/dialup.conf文件中去除simul_count_query注释解除radius用户限制,在mysql中建立radius数据库,并建立/usr/local/radius/etc/raddb/sql/mysql/schema.sql数据表,用户信息插入到radcheck数据表中,在服务器上启用 iptables,防火墙开放 1812、1813、3306 端口,并且仅允许管理员IP地址SSH登录,最终使用/usr/local/radius/sbin/radiusd-X测试freeradius是否按照要求运行成功。
5.无线网络优化
为了保证最终无线网络的使用效果和用户体验,需要对无线网络进行网络优化,无线网络优化方法包括信道规划、功率调整、VLAN隔离、漫游引导、关闭低速率应用、无线用户限速等。
(1)信道规划
无线网络在实际安装部署过程中,需要保证目标覆盖区域的信号覆盖强度要求不低于-65dBm,同时保证AP收到的终端信号的RSSI值不低于30,为了最大程度地利用频段资源,2.4G频段使用1、6、11三个重叠信道构建WLAN网络,信道在规划过程中需要同时考虑三维空间的信号覆盖情况,无论水平或者垂直方向都应该做到如图3所示的蜂窝式覆盖,最大程度避免水平方向和垂直方向的信号干扰,2.4G频段采用20MHz频宽部署。5G频段不重叠信道较多,单个AP单个射频口部署一个频段,使用 149、153、157、161、165 信道,采用40MHz频宽部署。
图3 2.4G频段不重叠信道蜂窝式部署
(2)功率调整
无线网络使用的是CSMA/CA公平信道竞争机制,无线接入终端在有数据发送时,首先监听信道,如果信道中没有其他终端在传输数据,则首先随机退避一个时间,如果在这个时间内没有其他终端抢占到信道,终端等待完后可以立即占用信道并传输数据。无线网络每个信道的带宽是有限的,其有限的带宽资源会在所有共享相同信道的终端间平均分配。为避免AP间的同频干扰,需要调整同一信道的AP的发射功率,降低这些AP之间的可见度,加强相同信道频谱资源的复用,提高WLAN网络的整体性能。
(3)VLAN 隔离
在无线网络中,广播/组播报文过多会较多地消耗信道的空口资源,影响无线网络的性能和应用,尤其是广播报文给VLAN内所有的AP和用户发送时,因此,在构建无线网络过程中需要为无线业务创建独立的VLAN,为接入AP设备划分不同的VLAN,为用户划分不同的VLAN。西安交通大学无线网络中为每个SSID分配了不同的VLAN,根据楼宇为每栋楼宇中的AP设备划分了不同的VLAN,用户VLAN隔离使用vlan-group技术实现,vlan-group既能实现用户VLAN隔离,又能够实现AC间漫游。
(4)漫游引导
无线接入终端在AP间漫游的过程中与设备本身和AP有很大的关系,用户在使用无线网络过程中如果漫游能力差会造成无线网络使用体验差,终端在漫游时选择AP的方式包括监听Beacon帧和发送Probe探测帧,可以启用AP的漫游导航功能检测终端信号来引导终端漫游。另外,可以在AP上启用主动触发客户端重关联功能,AP在运行过程中随时更新终端的信号强度,当AP设备感知到无线客户端的信号强度低于指定的信号强度时,主动地向无线客户端发送解除认证帧报文来引导终端漫游。
(5)关闭低速率应用
无线网络中不是使用固定的速率发送所有的报文,而是使用一个速率集进行报文发送,实际无线终端或者AP在发送报文的时候会动态地在这些速率中选择一个速率进行发送。实际应用中大量的广播报文和无线的管理报文都使用最低速率1Mbps进行发送,会消耗一定的空口资源。通过对1、2、6和9Mbps速率禁用,整体上减少广播报文和管理报文对空口资源的占用。
6.无线网络管理
针对无线网络的管理,各个无线厂家都有自己的一套无线网络管理系统,如华三IMC、华为eSight等,厂家提供的无线网络管理系统具备功能齐全、提供对无线设备远程管理、管理精细化、数据表现形式多样化等优点,不足之处表现在系统复杂导致运行速度慢、与校园网日常运维系统对接困难、管理复杂、运维困难等缺点。
西安交通大学对无线网络的管理使用设备厂家提供的管理系统和自主开发的系统,厂家提供的管理系统主要用于对无线用户数的管理、运维报表管理、AC设备的监控等,自主开发的管理系统主要用于平时对无线AP设备的监控,系统通过SNMP登录AC使用MIB管理库提取运行状态信息。图4为所有无线AP在线、离线情况,系统显示了各个楼宇AP的数量、在线AP数和离线AP数,图5为单栋楼宇内AP的信息,包括楼宇内AP的名称、设备类型、IP地址、MAC地址、在线用户数、安装位置以及运行状态。
图4 西安交通大学无线AP监控列表
图5 西安交通大学主楼AP状态信息
三、西安交通大学无线网络运行情况
目前西安交通大学无线网已经覆盖了兴庆校区、雁塔校区和曲江校区教学区全部室内、教室和室外区域,学校整体部署无线AP达到2500余颗,由于AP数量少,目前只对教职工开通了校园无线,1年间的无线网络终端在线趋势如图6所示,峰值在线终端数20539个,平均在线终端数5507个,无线网络运行稳定。
图6 西安交通大学1年间无线网络终端在线趋势