基于802.11n標準的WLAN技術(shù)實現(xiàn)校園無線網(wǎng)的設計方案介紹

隨著國家推進教育信息化建設步伐的加快，大學校園對無線網(wǎng)絡的應用需求也日益增加，但網(wǎng)絡安全、帶寬不足等因素依舊制約著無線局域網(wǎng)的發(fā)展。本文在汲取國內(nèi)外無線校園網(wǎng)建設方案中成功之處的同時，較深入地探討了現(xiàn)階段無線校園網(wǎng)建設中依舊存在的問題。通過參考相關(guān)文獻在網(wǎng)絡安全、網(wǎng)絡管理等方面的研究成果，結(jié)合大學校園網(wǎng)的現(xiàn)狀及未來的可持續(xù)發(fā)展，給出了一個基于802.11n標準的校園無線網(wǎng)的規(guī)劃與設計參考方案。該組網(wǎng)方案具有安裝便捷、使用方便、擴展性較好、高速安全等特點。

1 WLAN的現(xiàn)狀及其在校園網(wǎng)的實踐情況

無線局域網(wǎng)（Wireless Local Area Networks,WLAN）具有安裝便捷、高靈活性、易擴展等有線局域網(wǎng)無法比擬的優(yōu)點，因此WLAN在學校、醫(yī)院、機場等公共場所得到越來越廣泛的應用。但相較于有線網(wǎng)絡，其網(wǎng)絡性能、安全性、可管理性卻成為阻礙無線局域網(wǎng)發(fā)展的重要制約因素。一方面用戶對WLAN的需求不斷增長，另一方面，WLAN依然面臨著諸如帶寬不足、漫游不方便、網(wǎng)絡管理困難、系統(tǒng)安全性不高等問題，導致了許多用戶對量終是否采用WLAN系統(tǒng)猶豫不決。在國內(nèi)，相較于使用有線局域網(wǎng)，采用WLAN作為校園網(wǎng)的學校寥寥無幾，其中一個比較成功的案例是北京師范大學無線校園網(wǎng)。這個建于2008年的國內(nèi)最大規(guī)模的WLAN完全滿足了北師大數(shù)據(jù)、語音、視頻等多方面的網(wǎng)絡應用需求，并且實現(xiàn)了無線設備和用戶的集中管理、射頻的智能控管功能以及無線局域網(wǎng)的安全保障。現(xiàn)階段，大學校園采用的小型WLAN更多是作為對有線網(wǎng)絡的一種延伸。

2 基于802.11n標準的WLAN的特點

從量初的802.11b標準到現(xiàn)在802.11n標準，WLAN在這10年間，無論是在數(shù)據(jù)的傳輸速率方面還是在使用的組網(wǎng)技術(shù)方面都有了突飛猛進的發(fā)展。雖然基于802.11g標準的WLAN其最大傳輸速率已經(jīng)達到54Mbps,但依舊不足以完全滿足校園網(wǎng)WLAN的應用?；?02.11n標準的WL AN可提供300~600Mb/s的傳輸速率。使用技術(shù)方面，其主要采用的技術(shù)是將MIMO（多入多出）與OFDM（正交頻分復用）技術(shù)相結(jié)合而應用的MIMO OFDM技術(shù)，有效提高了WLAN的傳輸速率，同時保證了無線傳輸質(zhì)量。在范圍覆蓋方面，802.11n可采用智能天線技術(shù)，通過多組獨立天線組成的天線陣列，動態(tài)調(diào)整波束，保證了WLAN用戶接收信號的穩(wěn)定性。因此其覆蓋范圍可以擴大到好幾平方公里，這也極大地提高了WLAN的移動性。在兼容性方面，WLAN不但能實現(xiàn)802.11n向前向后兼容，而且可以實現(xiàn)WLAN與無線廣域網(wǎng)的結(jié)合。關(guān)于WLAN的各種標準的比較如表1所示。

表1 常見WLAN標準的比較

3 基于802.11n標準的WLAN在校園網(wǎng)實踐中的相關(guān)設計

3.1 無線組網(wǎng)方式設計

傳統(tǒng)的基于AP（Aeeem Point）的WLAN,其無線網(wǎng)絡系統(tǒng)的管理主要集中在對每個AP的配置和更新。其工作量隨AP數(shù)目的增加迅速增長，此時在整個無線局域網(wǎng)系統(tǒng)中，AP之間必須相互協(xié)調(diào)工作。AP配置等的不統(tǒng)一會引起AP之間的無線電波干擾，用戶漫游重認證等問題。中大型無線局域網(wǎng)的組網(wǎng)方式主要有分布式設計和集中式設計2種。分布式設計方案中，采用分布式的管理方式，主要用于規(guī)模較小的WLAN;而集中式設計方案，所有的無線設備由網(wǎng)絡中心統(tǒng)一管理，適用于較大型的WLAN.在具體的組網(wǎng)方式設計中應綜合考慮RF覆蓋面，帶寬，用戶的認證，以及接入的安全性等因素?；谝陨弦蛩氐目紤]，雖然大學校園網(wǎng)的網(wǎng)絡規(guī)模算不上大型局域網(wǎng)，鑒于校園網(wǎng)的特殊性、管理的復雜性以及學校無線網(wǎng)絡的擴展要求，在具體選擇組網(wǎng)方式時，建議采用集中式的組網(wǎng)方式。集中式管理方式如圖1所示。

圖1 無線設備集中管理示意圖

該方案中校園網(wǎng)網(wǎng)管人員通過管理放置在網(wǎng)絡中心的無線交換機就可以管理整個無線網(wǎng)絡系統(tǒng)，包括開通、管理、維護所有AP設備，進而實現(xiàn)無線電波頻譜、無線安全、接入認證、移動漫游以及用戶接入等的統(tǒng)一管理。

3.2 多業(yè)務區(qū)分設計

根據(jù)校園用戶的類型進行無線網(wǎng)絡邏輯結(jié)構(gòu)的設計。學校用戶主要由以下幾部分組成：學校的領導和老師，學校的學生包括各類交流生，參加學校會議或活動的與會人員，學校普通的工作者，網(wǎng)絡管理員。在具體實施無線業(yè)務設計時，可以設置多個SSID.SSID是對學校網(wǎng)絡的邏輯劃分，擁有相同SSID的用戶位于同一個VIAN中，根據(jù)每個VLAN的用戶對象賦予不同的訪問權(quán)限，一定程度上也提高了網(wǎng)絡的安全性。SSID可以通過無線AP在全網(wǎng)進行廣播，進而滿足不同用戶的使用需求。用戶在網(wǎng)絡范圍內(nèi)可以搜索到所有的SSID,然后選擇相應的SSID進行用戶認證，認證成功即可訪問校園網(wǎng)絡和Internet.

3.3 網(wǎng)絡和用戶管理

網(wǎng)絡管理可采用集中式管理，在管理細節(jié)上可以結(jié)合相關(guān)的網(wǎng)管設備和網(wǎng)管軟件進行網(wǎng)絡管理，對用戶的管理，考慮到實現(xiàn)無線用戶的安全接入和易操作，可以通過IMC準入控制軟件的設置，對用戶的操作進行相應的限制。其具體的配置主要包括以下2個方面：

1）服務器端的設置服務器端的主要功能是創(chuàng)建帳戶和密碼，在安全性要求較高時，可對用戶賬戶與用戶的信息進行綁定。

2）客戶端的設置客戶端只要下載并安裝專用的客戶端程序，在使用時雙擊執(zhí)行，輸入服務器端分配給用戶的用戶名以及用戶自己設置的密碼即可連接無線網(wǎng)絡。

3.4 無線網(wǎng)絡安全性設計

與有線局域網(wǎng)相比，連接局域網(wǎng)的各類線纜一定程度上已經(jīng)對網(wǎng)絡的使用進行了接入控制，而無線網(wǎng)絡的信道開放，給無線網(wǎng)絡帶來了一定的安全隱患。主要包括未經(jīng)授權(quán)使用網(wǎng)絡，地址欺騙和會話攔截（中間人攻擊），高級入侵等?；谝陨习踩[患必須采用多種安全設計并舉的方式來保證整體網(wǎng)絡的安全性，主要的安全性設計包括以下幾個方面：

1）多SSID機制多個SSID機制對無線網(wǎng)絡進行了邏輯上的劃分，不僅有利于網(wǎng)絡的分塊管理，而且實現(xiàn)了對用戶的使用權(quán)限的控制。

①WEP（Wired Equivalent Privacy）是WLAN的第一個安全協(xié)議，WEP使用一個共享的密鑰對數(shù)據(jù)進行加密，密鑰的長度為64位或128位。目前IEEE 802.11標準中的WEP安全解決方案，在15分鐘內(nèi)就能被攻破，已被證實不安全。

②）WPA（Wi-Fi Protected Access）加密方式及其加密特性決定了它比WEP更難以入侵。可以說WPA=802.1X+EAP+TKIP+MIC,其中TKIP（Temporal Key Integrity Protocod）成為臨時密鑰完整性協(xié)議，其采用的加密算法是RC4,但在RC4基礎上采用了更加復雜的數(shù)據(jù)封裝，密鑰長度也提高到了128位且密鑰由服務器自動分發(fā)。在802.1X/EAP（可擴展的認證協(xié)議）的認證支持下，TKIP實現(xiàn)了用戶密鑰、會話密鑰、數(shù)據(jù)包密鑰的分級密鑰體系。MIC（Message integrity Check）全稱信息完整檢查技術(shù)，用于防止數(shù)據(jù)的偽造。由此可知WPA安全性主要體現(xiàn)在身份認證、加密機制和數(shù)據(jù)包檢查等方面，而且它還可以加強無線網(wǎng)絡的管理。根據(jù)校園網(wǎng)的特點，應采用WPA加密方式為宜。

3）網(wǎng)絡帶寬的限制、網(wǎng)絡帶寬的限制主要是對無線網(wǎng)絡中重放攻擊等安全隱患的預防，給不同權(quán)限的用戶設定一個最大帶寬以有效地保證整個網(wǎng)絡帶寬的合理使用，對防止病毒在WLAN中的傳播也起到一定的遏制作用。

4）病毒防護及入侵檢測機 根據(jù)WPDRRC安全模型的定義，檢測是保證無線網(wǎng)絡安全的重要環(huán)節(jié)，要及時檢測網(wǎng)絡中存在的異常，盡早把病毒等不安全因素遏制在"搖籃之中".在病毒防護方面可以通過檢測用戶的狀態(tài)并根據(jù)準入機制限制病毒等進入網(wǎng)絡。

5）設備安全措施保障無線網(wǎng)絡設備的安全是保證無線園區(qū)網(wǎng)絡正常運行的前提，當前無線網(wǎng)絡設備的安全主要包括無線設備的物理安全，無線設備的密碼安全及安全訪問等。與有線網(wǎng)絡設備一般放在配線間不同，無線AP等網(wǎng)絡設備需要分布在無線網(wǎng)絡空問相應的位置以滿足網(wǎng)絡覆蓋的要求，且無線網(wǎng)絡設備常需要暴露在室外，防盜、防雷等在部署園區(qū)無線網(wǎng)絡時是必須考慮的問題。針對設備的物理安全可以采取警報系統(tǒng)，和安裝避雷針等方式解決。在為無線網(wǎng)絡設備設置密碼時應避免使用無線網(wǎng)絡設備的默認密碼，創(chuàng)建健全的密碼保障無線設備不會被輕而易舉地訪問。

3.5 移動漫游設計

移動漫游設計中可采用基于二層漫游設計和三層漫游設計2種方式。目前大多數(shù)的無線產(chǎn)品都只能支持基于二層的漫游設計，相比三層漫游而言，用戶在跨網(wǎng)段訪問時需要二次認證，這其中不可避免的會引起丟包或增加網(wǎng)絡延時，嚴格意義上來說，不屬于真正的無縫漫游。而基于三層的漫游可以保證用戶在AP、WLAN交換機、不同的VLAN之間進行無縫漫游，漫游過程中不會丟失連接也不需要重啟DHCP.在具體選擇漫游方式時，需要根據(jù)用戶具體的應用而定，在使用語音等QoS要求較高的業(yè)務時，使用三層漫游則更為合理。

3.6 無線設備的相關(guān)設計

在無線設備的相關(guān)設計中主要包括無線設備的選址和無線設備的選型等。

1）無線設備的選址無線設備的選址應根據(jù)一定的原則，即在滿足用戶需求的前提下要使用最少的設備，在具體設計時可先采用仿真軟件模擬現(xiàn)實的環(huán)境?？刂坪脽o線信號的重疊范圍，無線信號的功率，無線信號的輻射方向。過多的無線信號重疊會引起頻繁的無線漫游，進而影響服務質(zhì)量；在靠近校外的建筑物上放置AP最好使用定向天線，盡量減少無線信號輻射到校園外，以及減少因信號輻射到校園外而增加網(wǎng)絡管理復雜度和不安全性。

2）無線設備的造型在教室等墻體密集的區(qū)域可以通過增強無線信號的輻射功率或采用高靈敏度、穿透能力強的無線AP產(chǎn)品，并配合分離式吸璜天線，以一個AP配合一個天線或一個AP配合多個天線的方式完成室內(nèi)區(qū)域的完全覆蓋。室外選用室外無線AP,通過天線聚集信號使無線覆蓋范圍更大、更遠。設備與天線可安置于樓頂或樓底，使無線信號向下或向上整體覆蓋樓宇。具體設計中還應考慮電能的供應情況，在電能供應方便的地方采用電源供電，否則使用帶有POE功能的設備，以POE方式供能。

3.7 測試方案的設計

基本的WLAN搭建完成后，應做相應的測試。網(wǎng)絡管理是一個不斷測試，不斷發(fā)現(xiàn)并及時解決問題的過程。無線網(wǎng)絡的測試主要包括IP聯(lián)通性的測試、無線網(wǎng)絡速率的測試、無線網(wǎng)絡的漫游功能的測試以及準入測試等4個方面。IP聯(lián)通性的測試可通過ping、tracert等網(wǎng)絡測試命令實現(xiàn)。無線網(wǎng)絡速率的測試可以通過計算機自帶的功能進行速率的測試，也可通過相關(guān)的測試設備或測試軟件進行速率的測試。在進行無線網(wǎng)絡漫游功能的測試時，可以利用筆記本電腦連接到無線網(wǎng)絡，在不同的兩個無線區(qū)域之間進行移動，同時使用ping命令ping網(wǎng)關(guān)地址，并利用telnet工具登錄到無線控制器等設備上，輸入相關(guān)的命令查看漫游記錄。準入測試可以在服務器端配置不同的測試用戶和密碼，在客戶端以不同的用戶和密碼進行測試，并與預期的設計理念核對。

3. 8 其他設計

一個健全的WLAN,要經(jīng)受不同季節(jié)、不同天氣的考驗，因此，在WLAN的設計中要把天氣等環(huán)境因素考慮到網(wǎng)絡設計中，由于無線網(wǎng)絡易受天氣、建筑等因素的影響，所以要準備相應的應急預案。另外還要考慮停電等突發(fā)情況的影響。

4 結(jié)論

隨著無線技術(shù)的不斷發(fā)展，制約傳統(tǒng)WLAN發(fā)展的一些因素正在被新的技術(shù)所改善，無線局域網(wǎng)的優(yōu)勢也進一步突顯出來，WLAN不僅彌補了有線局域網(wǎng)的不足，而且為局域網(wǎng)開辟了一個嶄新的技術(shù)和應用領域。WLAN技術(shù)在校園網(wǎng)的應用也必將給大學校園的學習、工作、交流帶來更大的便捷。