南開大學濱海學院網(wǎng)絡及實驗室管理中心 田壽城

隨著科技的發(fā)展，越來越多的手機和平板電腦及其他移動終端設備通過無線網(wǎng)接入校園網(wǎng)絡中，移動終端上網(wǎng)設備對大流量和降低延遲的要求逐年提高，同時一個賬號支持多個終端設備無縫漫游也給校園無線網(wǎng)絡帶來了挑戰(zhàn)。該文通過對無線網(wǎng)技術研究與探索，根據(jù)不同的應用場景來制訂無線網(wǎng)絡的建設方案，并基于不同環(huán)境實施相應的網(wǎng)絡優(yōu)化方案。

1 校園無線網(wǎng)絡現(xiàn)狀及發(fā)展

無線網(wǎng)絡建設屬于發(fā)展智慧校園基礎設施建設，1999年清華大學架設了基于802.11b標準的無線網(wǎng)絡。緊接著在2002年北京大學也開始構建校園無線網(wǎng)絡，而大多數(shù)普通高校則是在2010年后開始加大對校園無線網(wǎng)的建設以及支持。高校在無線網(wǎng)絡覆蓋方面差異較大。根據(jù)《教育部科技發(fā)展中心發(fā)布《中國高校信息化發(fā)展報告（2020）》，顯示，全部1152所高校師生每百人擁有無線AP數(shù)為18個，高職院校無線網(wǎng)絡覆蓋相對于其他三類高校略顯薄弱。一流大學建設高校每百人無線AP數(shù)31個，是全部高校均值的1.7倍，一流學科建設高校次之，每百人25個，其他普通高校與全部高校值持平，高職院校每百人擁有無線AP數(shù)量僅15個。具體情況如圖1所示。

圖1 每百人擁有AP數(shù)Fig.1 Number of AP per 100 people

鑒于高校無線網(wǎng)絡規(guī)模較大、無線網(wǎng)絡設備價格高昂以及建設經(jīng)費有限，一般高校采取了逐步建設、逐步改良的方式。在無線網(wǎng)絡覆蓋上循序漸進。分期分片的建設方式雖然解決了資金有限的情況下校園無線網(wǎng)絡的使用問題，但由于無線網(wǎng)絡設備的快速更新，設備制造廠家的更換，校園內(nèi)各種無線設備之間的差異巨大，給管理運行以及維護帶來了巨大的隱患和負擔。

2 校園網(wǎng)整體建設技術框架

本次網(wǎng)絡建設為全校教師及學生提供服務，邏輯上分為校園網(wǎng)及運營商外網(wǎng)。校園網(wǎng)提供內(nèi)網(wǎng)資源供學生進行學習，資源共享、訪問教育網(wǎng)使用，同時提供互聯(lián)網(wǎng)訪問出口。運營商外網(wǎng)提供收費互聯(lián)網(wǎng)服務，提供上網(wǎng)學習、娛樂的使用環(huán)境。校園網(wǎng)建設應使用進行標準化、分層次的建設方式，網(wǎng)絡設備及鏈路均考慮冗余，采用雙核心交換機，有線、無線網(wǎng)絡部署區(qū)域均具備獨立的匯聚交換機，獨立工作并互為主備，核心交換層部署B(yǎng)RAS作為校園業(yè)務和代撥業(yè)務的統(tǒng)一認證網(wǎng)關設備，實現(xiàn)校園網(wǎng)和電信運營商代撥出口的選路，下行雙萬兆到雙核心交換機，單萬兆到代撥網(wǎng)關設備，雙萬兆到出口安全設備；有線和無線網(wǎng)絡在樓宇部署匯聚交換機，單萬兆下行接入交換機，上行雙萬兆到兩臺核心，核心交換機兩臺做成虛擬化，分別配置AC板卡，實現(xiàn)AP資源池化，統(tǒng)一管理；安裝認證計費系統(tǒng)，日志審計模塊，運營商代撥對接模塊，Portal以及防代理引擎，實現(xiàn)和BRAS、代撥網(wǎng)關設備的對接。校園網(wǎng)設計總體網(wǎng)絡拓撲圖如圖2所示。

圖2 校園網(wǎng)絡拓撲圖Fig.2 Campus network topology diagram

3 當前主流AP產(chǎn)品選擇

無線接入點（AP）作為Fit AP（瘦AP）與無線控制器(AC）配合使用，所有配置任務由無線控制器完成。無線接入點信號發(fā)射應避免遮擋，設備的安裝也必須要考慮安全性和便于維護，AP都采用壁掛安裝或者吸頂安裝。外置天線的設備，無論壁掛安裝還是吸頂都占據(jù)較大空間且需要人工調(diào)整天線的位置，并且在長時間使用之后，復雜且脆弱的結構導致容易堆積灰塵，也容易由于外力導致?lián)p壞。所以應選擇內(nèi)置天線AP支持吸頂和壁掛安裝，并配有快拆底座便于維護。

主流的AP產(chǎn)品已802.11ac為并向下兼802.11n/a802.11b/g/n，射頻的數(shù)量主要有2～4個，適用與本校室內(nèi)場景分為ac面板AP、ac放裝AP、ac高密AP，ax高密AP、ac面板AP為兩射頻，最大支持終端數(shù)約25個，ac放裝AP為2個射頻，最大支持終端數(shù)約70個，ac高密AP為3個射頻，最大支持終端數(shù)約150個，ax高密AP為4個射頻，最大支持終端數(shù)約180個。上述四種AP規(guī)格基本可滿足本校室內(nèi)使用環(huán)境。

4 無線接入場景及覆蓋方式

本校目前的室內(nèi)接入場景依據(jù)面積和終端數(shù)基本分為教室、辦公室、大型場館報告廳以及宿舍4個場景。

（1）教室場景下，以我校第七教學樓為例，教學樓分成4種房間大小，座位數(shù)分別為80個、115個、153個和210個，假設使用比例為100%，針對上述4種類型教室的無線終端數(shù)，可采用室AC放裝AP和AC高密AP為例，考慮網(wǎng)絡冗余情況下80人和115人教室使用2臺ac放裝AP或使用1臺ac高密AP、153人教室使用2臺ac放裝AP或使用2臺ac高密AP、210人教室使2臺ac高密AP，應盡量遵循單一接入交換機盡量使用同類AP原則。

（2）辦公室場景下，面積雖有大有小，但總體終端數(shù)量有限，可根據(jù)面積大小采用ac面板AP進行覆蓋。

（3）大型場館報告廳場景下，雖然無線終端與面積比同教室場景差不多，但場館建筑框架與教室差別較大。并且大型場館由于需要承接晚會典禮類活動，使用人數(shù)和網(wǎng)絡要求有諸多不確定性此處使用ax高密AP，并且在考慮網(wǎng)絡冗余情況下根據(jù)最大使用終端場景合理規(guī)劃。

（4）宿舍場景下，房間密集且面積基本一致，房間內(nèi)終端數(shù)基本固定，即便在用戶使用多終端的情況下，也不會超過20臺終端，此處1臺ac面板AP覆蓋最佳。不僅可以提供無線覆蓋，還可以提供一定數(shù)量的有線端口。以本校為例，學生宿舍為4人間，AC面板AP也能同時提供4個千兆有線端口，有線網(wǎng)與無線網(wǎng)互為主備，也為后期網(wǎng)絡改造提供更大的空間。

5 安裝施工注意事項

5.1 綜合布線

綜合布線應規(guī)范可靠、前瞻性強，能滿足未來5年以上各相關系統(tǒng)的建設應用需要。綜合布線系統(tǒng)標準不應低于6類標準；主干網(wǎng)絡、核心到樓宇匯聚均為萬兆光纖。AP到POE交換機的距離不超過80m。如超過80m，應修改設計，所有的布線均需通過測試，并提供測試報告作為驗收依據(jù)。

5.2 設備安裝

AP安裝本著居中原則，合理分配位置。應盡量采用吸頂安裝，如果施工有難度也可壁掛安裝，高度在 2.5～3m。壁掛安裝AP可有效避免AP墜落帶來砸傷人員或物件的風險?？筛鶕?jù)現(xiàn)場情況酌情選擇安裝方式。AP自身粘貼打標機打印的標簽，標簽字體大小為3號字，標識自身命名、IP地址、MAC地址、上聯(lián)交換機端口，標識清晰、無誤，標簽粘貼牢靠、耐久，并在POE交換機配置上做好描述，每個端口描述AP命名。

6 無線網(wǎng)管理與調(diào)試

6.1 用戶認證實現(xiàn)與漫游

對無線網(wǎng)用戶的上網(wǎng)認證，主要有MAC認證、802.1X認證、Web認證等。其中Web的認證方式兼容性最好，適用于各種網(wǎng)絡終端設備。Web認證方式下管理端采用Portal認證的方式，提供方便的管理功能。用戶選擇無線網(wǎng)信號后或打開瀏覽器輸入任何地址都將自動彈出認證頁面，認證需要用戶輸入用戶名和密碼，完成身份審核驗證后用戶即可連入網(wǎng)絡，同時在數(shù)據(jù)傳輸過程中可以對傳輸數(shù)據(jù)進行加密處理以保證用戶數(shù)據(jù)的安全性。在認證的具體實現(xiàn)方面，由計費認證設備作為認證接入網(wǎng)關，推出Portal認證方式的認證頁面，并且是基于Web開發(fā)的管理系統(tǒng)實現(xiàn)對用戶的管理。由無線控制器統(tǒng)一調(diào)度業(yè)務，當用戶在不同AP之間切換時，用戶不用再次認證，從而保證了校園網(wǎng)無線用戶的使用便捷性。

6.2 信號強度和功率調(diào)整

無線設備在實際部署過程中，宿舍區(qū)域AP分布最為密集，就可能導致AP的覆蓋范圍出現(xiàn)重疊，需要調(diào)試發(fā)射功率，避免信號外泄，降低這些AP之間干擾。最大程度避免水平方向和垂直方向的信號干擾。每個宿舍區(qū)域的信號接收強度≥-65dBm；教室、會議室、辦公樓等區(qū)域的信號接收強度≥-70dBm。同時保證AP收到終端信號的RSSI值不低于30。無論是2.4G頻段或5G頻段，建議都采用20MHz模式進行覆蓋，以加強信道隔離與復用，提升WLAN網(wǎng)絡整體性能。

6.3 禁止弱信號客戶端接入

在無線網(wǎng)絡中，信號強度較弱的客戶端，雖然也可以接入到網(wǎng)絡中，但是所能夠獲取的網(wǎng)絡性能和服務質(zhì)量要比信號強度較強的客戶端差很多。如果弱信號的客戶端在接入到WLAN網(wǎng)絡的同時還在大量傳輸數(shù)據(jù)，就會占用較多的信道資源，最終必然對其他的無線客戶端造成很大的影響。禁止弱信號客戶端接入，通過配置允許接入的無線客戶端的最小信號強度，可以直接拒絕信號強度低于指定門限的客戶端接入到無線網(wǎng)絡中，減少弱信號客戶端對其他無線客戶端的影響，從而提升整個網(wǎng)絡的性能。

6.4 集中轉(zhuǎn)發(fā)改本地轉(zhuǎn)發(fā)

利用本地轉(zhuǎn)發(fā)方式進行大規(guī)模組網(wǎng)，可以完全代替目前主要采用的集中轉(zhuǎn)發(fā)方式，在本地轉(zhuǎn)發(fā)方式下，網(wǎng)管、安全、認證、浸游、QOS、負載均衡、流控、二層隔離等功能還是由AC統(tǒng)一控制，再由AP具體實施；只是業(yè)務數(shù)據(jù)不通過隧道傳送到AC，再經(jīng)由AC解封后統(tǒng)一轉(zhuǎn)發(fā)，而是由AP本地轉(zhuǎn)發(fā)。以本校為例，高峰期在線客戶端約6000臺左右，此時AC的CPU使用率在70%以上，改為本地轉(zhuǎn)發(fā)后AC的CPU使用率均保持在30%以下。徹底解決AC瓶領問題，提高網(wǎng)絡整體吞吐率。

6.5 無線用戶VLAN內(nèi)二層隔離

同一VLAN內(nèi)，來自無線客戶端的廣播、組播報文會向所有放通該VLAN的AP上廣播，而在空間介質(zhì)中廣播報文通常使用最低速率進行發(fā)送，因此當廣播報文比較多時，會占用較多的空口資源，在一定程度上影響到整個網(wǎng)絡性能。無線用戶VLAN內(nèi)二層隔離可以在AC上控制無線用戶只能訪問網(wǎng)關設備，而不能互相之間訪問。同時，這樣可以大量減少整個網(wǎng)絡的廣播流量，提高網(wǎng)絡的整體性能。

7 結語

無線網(wǎng)是現(xiàn)代高校使用頻率最高的一種網(wǎng)絡接入方式，是許多高校正在或?qū)⒁ㄔO的項目，雖然這種形式存在諸多問題，需結合單位自身情況少走彎路。應充分融合有線、無線網(wǎng)絡，統(tǒng)一認證，區(qū)域無感知漫游，融合宿舍區(qū)和教學辦公區(qū)，實現(xiàn)出口智能切換，更好地滿足無線網(wǎng)的安全使用。無線校園網(wǎng)的建設方便了教工和學生隨時隨地獲取互聯(lián)網(wǎng)信息，無線網(wǎng)管理技術為無線網(wǎng)用戶的快速接入和高管理提供了有力的技術支撐和高效的技術保障。同時需充分考慮網(wǎng)絡安全，構建可靠的網(wǎng)絡安全技術保障體系和管理運維體系。

引用

[1] 李振建.WLAN無線信號系統(tǒng)的優(yōu)化方法[J].中國教育網(wǎng)絡,2018 (11):59-60.

[2] 石雷.密集區(qū)域的無線覆蓋技術[J].科技風,2017(02):190.