作为学科门类齐全、教育体系完整的国内一流高等学府，广东省中山大学在无线网建设方面起步也较早。这与其迅速增长的办学规模是分不开的。中山大学现有四个校区，分别是广州南校区、广州北校区、位于广州大学城的东校区和珠海校区，在校学生人数超过60000人。2002年，中山大学开始在广州南校区、北校区和珠海校区部署无线实验网和校园无线网，2005年开始在广州东校区部署校园无线网。主要部署无线访问点的区域有教学楼、图书馆、学生活动中心、饭堂等建筑物，无线信号覆盖到校园的各个角落，使整个校园变成了一个巨大的数字化教学空间。

　　为跨校区漫游做准备

　　中山大学校园无线网定位是校园固定网络的补充和延伸。校园无线网的建设主要采用的是IEEE 802.11系列无线局域网标准，由于无线网频段资源有限、易受干扰，我们在图书馆、教学大楼、体育馆、会议厅等全校开放型公共场所采取了统一规划、统一部署和统一管理的方式。校园内所有的无线网接入点通过固定网络接入校园网骨干，校园无线网拥有单独的VLAN。

　　中山大学在广州大学城校区公共区域内部署的智能接入交换机都支持VLAN技术，每台交换机都预留了专门的校园无线网VLAN，使得各个无线访问点与固定网络接入区域区分开。将各个区域的无线接入点放置在一个独立的VLAN中，便于实施独立的安全策略和跨校区的漫游支持。除了统一部署的公共区域外，一些院系、部门和个人也安装了无线接入设备，用于扩展固定网络的覆盖。

　　 重点考虑访问控制

　　由于无线网没有物理边界，访问控制是校园无线网建设中一个必须重点考虑的问题。目前中山大学校园无线网的访问控制采用IEEE 802.1x端口认证，使用EAP-TTLS认证方法。IEEE802.1x端口认证需要认证平台支持。2003年，中山大学启动了“数字化校园”的建设工程，其中一项工作就是建立由标识符、认证、目录、授权和证书组成的核心中间件标准和服务。现在中山大学每个成员（教职工和学生）一入校就拥有一个唯一的SYSU NetID。

　　SYSU NetID是中山大学校园网络身份标识的简称，它是中山大学师生在校园网上的重要身份标识。学校每个成员的NetID信息和NetID密码都存放在目录当中，校园无线网的 IEEE 802.1x端口认证就依赖于核心中间件提供的NetID标识符、LDAP目录服务和RADIUS认证服务实现。只要你是中山大学的成员，拥有SYSU NetID和密码，拥有支持IEEE 802.11系列标准无线局域网的设备就可以接入校园无线网。基于独立的VLAN和各校区通用的接入认证，中山大学校园无线网实现了校内漫游。无线校园网在各校区的部署如图1所示。

　　支持访客接入

　　随着学术交流和开放式大学的建设，校园网应该支持访客接入的呼声越来越高。校园网支持访客访问，安全性是首先要考虑的问题。当前，包括图书数据库、教学课件等很多大学数字资产的访问控制都依赖于校园网IP限制，这种情况短期内很难改变。校园网提供访客支持，必须将访客划分在一个独立的网络区域内，在这个区域内只能访问互联网上的公共信息。

　　为此，中山大学计划增加校园网访客VLAN。校园无线网建立访客无线网区域，该区域有支持多SSID和多VLAN的无线接入点的，配置访客SSID和访客VLAN；没有这种设备的，增加专门的访客无线接入点，所有访客无线接入点都放置在一个独立的VLAN里。这个VLAN设置了独立的安全策略，访客只有通过web/portal认证，才能访问校园网公开资源和校园网外资源。web/portal认证使用我校核心中间件的RADIUS认证服务完成，支持计费功能。我们还将VPN服务扩展到这个VLAN内，客户端使用SYSU NetID和密码可以通过VPN接入校园网。

　　实现校际漫游

　　中山大学东校区位于广州大学城，校园网建成于2004年。广州大学城首期共分5个组团，10所大学，每个大学的校园网布线建设初期就预留了专门的无线接入点的固定网络接口。目前正在筹建的“广州大学城无线网络”，将城内各所高校的无线网连接起来，再补充一些公共区域的无线网覆盖，构成一个大的城域网，并在这个城域网中实现校际漫游。

　　大学城无线网络主要由以下几个部分构成：

　　校园内无线网络系统：为用户（包括本校用户、漫游用户、游客用户）提供无线上网接入、本校用户身份认证、网络管理等服务。

　　大学城无线网络管理中心：为全大学城提供无线网络统一Web门户、漫游访问管理、网络管理、用户认证管理、业务管理、计费管理、其他运营商认证/计费网关等服务。

　　其中校内用户、校际漫游用户和游客用户的概念及其登录方式规定如下：

　　1. 校内用户：指在中山大学无线网登记和注册的中大的师生员工等等，一般是在中大范围内登录无线网。无线网络账号和有线网络账号是相同的。

　　2. 校际漫游用户：指中山大学以外其他高校的师生员工在中大无线网络范围内登录，也可以是中大的校内用户漫游到大学城其他园区，成为其他园区的漫游用户。登录方式是使用该用户在其所在大学注册的无线网络账号或者一卡通账号。

　　3. 游客用户：指没有在无线教育网内高校注册的用户。登录方式主要包括：（1）移动用户：使用移动运营商提供的手机号码和认证码进行登录，包括中国移动用户、中国联通用户和中国电信的小灵通用户等；（2）预付费用户：使用预付费卡号和密码进行登录。

　　用户进行漫游认证时，在自己上网登录名之后加上该账号所在学校的“域名”，并由所在高校的AS将认证请求连同“域名”发往中心的用户认证结算中心，中心用户认证结算中心识别用户登录名后的“域名”，根据预先设定的域名与认证服务器对应关系，将用户的认证信息发到“域名”对应的高校内的AS上，如此一来，异地用户认证请求经过中心结算中心的转发后，又回到该账号所在学校的认证系统上，实现了大学城各高校用户的漫游认证。

　　（作者单位为中山大学信息与网络中心）

来源：《中国教育网络》2006年4月刊