现存问题
目前高校进入高速无线网阶段,首都师范大学无线网络主要遇到了以下问题:
1.客户端数量急剧增加
当下大学新生,拥有“数码三宝”——智能手机,平板电脑,笔记本电脑,这三种数码产品在学生中的使用率几乎达到90%以上,人均占用无线资源数就达到了1:2以上,导致同一AP上的客户端数量急剧增加,使得用户的平均带宽变小,严重影响了网速。
2.稳定性不高
网管员经常遇到用户抱怨,无线网络常常连接中断,一会儿后又重新连接成功。为此我们使用FLUKE AirCheck无线信号测试仪对信号进行测试,排除路由设备故障后发现,所有AP信号强度均大于25dB,属于良好水平。同时发现在同一信道内存在多个AP,并有“CMCC”、“ChinaUnicom”等公司无线网络SSID,最多时一个信道内存在26个信号场强大于-85dBm的AP。
3.安全与认证方式
由于无线的传输介质是共享的,恶意攻击者可不通过物理地址就可以对网络进行攻击,发生攻击后对攻击者的定位也比较困难。因此无线网必须有安全可靠的身份确认和授权方式。目前认证方式主要有基于802.11b协议的MAC访问控制和WEP加密认证、PPPoE认证、Web+Protal认证和IEEE802.1X认证。
这些认证方式中MAC访问控制适用于小型局域网或家庭网络;PPPoE需要在用户机上加装客户端软件,会大大增加网管人员工作;802.1X虽然实现简单,但业务模式比较单一,不适合增值业务、计费方式较多的高校,因此学校选用了Web+Protal的认证方式。
高速无线网的规划与设计
根据以上问题,学校在2012年对校园无线网络进行了重新规划,并完成了宿舍楼和教室的改造,具体规划如下:
1.拓扑结构
无线网络不再依托于有线网络,而是一个独立于有线的网络,无线网络有自己的核心设备。
由一台高性能的核心交换机作为学校无线网络的核心交换机,通过光纤与每个楼宇的汇聚交换机,汇聚交换机通过千兆端口与下边的POE交换机相连,POE交换机连接AP,AP支持802.11b/g/n,最高传输速率为150Mbps。
所有交换机互联端口均设置为Trunk,DHCP功能由核心交换机提供。核心交换机上为用户划分VLAN并承担到校园网的路由,AP功能仅相当于一个无线的交换机,无线控制器通过MAC地址发现AP并对其进行管理。通过控制器可随时调整用户地址段,改变网络结构。
2. AP的布局
为了解决用户增多和信道干扰的问题,我校采用了高密度部署并减小发射功率的方法。发射功率减小,AP的覆盖范围减少就减少AP间的干扰,并按照用户的人数,按照1:2的比例分配AP。具体做法是每间宿舍、教室都有一个独立的AP,大教室、图书阅览室根据1:2原则配备2~3个AP,空间位置上相邻的2个AP不能设成相同的信道。
学校的某栋宿舍楼,每个房间一般居住4~8人,按照1:2的原则可以得出大概有8~16个无线客户端,安装一个无线AP即可满足要求。每个房间内都安装一个发射功率为50mW的支持802.11b/g/n的AP,其功率穿墙效果差,减少了无线信号的相互干扰,同时我校已与社会一些无线信号的覆盖单位进行沟通,由数字校园建设中心对学校的无线网络统一规划设计。
3.无线的认证
由于学校认证计费策略较多,增值业务较多,所以无线采用Web+Protal的方式,由于学校有线网络已经使用了城市热点的计费系统,所以这里也采用其设备进行部署。
在无线网和核心交换之间部署Drcom2133无线准入网关,实现对所有无线用户的身份认证接入、上网数据包的采集、计费、网络控制管理。无线网接入端的Drcom2133无线准入网关实现无线用户的认证页面推送,配合出口的Drcom2166计费网关实现无线用户的校园内网及外网的准入准出控制。
无线网的准入准出主要是由无线网接入端的Drcom2133无线准入网关及出口的Drcom2166计费网关联动完成的,需要在出口的Drcom2166计费网关中部署准入准出模块,当无线网接入端的Drcom2133获取到用户访问“内网”或“互联网”的请求后,由Drcom2133向出口Drcom2166发送用户认证信息及相关出口访问权限信息,Drcom2166获取到相关信息后进行账号校验及做出该用户是否可以访问外网的控制。Drcom2133及Drcom2166的账号校验过程是通过标准的Radius协议实现的。
(作者单位首都师范大学数字校园建设中心)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。