地方高校無線校園網建設新模式

文/張玉才 張維康

嘉興學院在全國首創(chuàng)了“學校主導、無線頻率資源共享、多個運營商合作建設、市場化運作”的無線網絡建設新模式。

嘉興學院在啟動校園無線網絡建設時，考慮到無線通信領域頻率資源有限，并為了節(jié)省建設經費，充分利用現(xiàn)有的有線網絡，與中國電信、中國移動和中國聯(lián)通共同建設了覆蓋全校的校園無線網。在全國首創(chuàng)“學校主導、無線頻率資源共享、多個運營商合作建設、市場化運作”的無線網絡建設新模式。

無線網絡建設的目標

嘉興學院無線校園網建設要達成的目標和要求：

1.滿足學校無線網絡應用要求。利用無線網絡技術進一步擴展校園網的覆蓋范圍，使全校師生能夠隨時隨地、方便高效地使用校園網絡。全校教師可以通過WLAN免費訪問校內網和Internet網，所有學生可以免費訪問校內網和圖書館的所有校外資源。

2.滿足三家運營商開展無線業(yè)務的要求。三家運營商共享同一個WLAN，各個運營商可以根據各自的策略互不依賴地獨立開展業(yè)務。

3.在滿足目前的應用需求的同時，滿足未來網絡擴容、升級的需求。當前由于資金有限，一期建設大部分區(qū)域使用802.11a/b/g網絡，一部分區(qū)域建設802.11n網絡，以后根據需要，系統(tǒng)可平滑地擴容，并可以簡單地升級到802.11n。

4.無線網是在原有有線網絡的基礎上的延伸，不重新構建一個完全獨立的物理網絡，通過VLAN來進行隔離。

5．要求與學校的數字化校園身份認證進行集成，無線網絡和有線網絡都通過LDAP進行認證。

技術規(guī)范設計原則

嘉興學院無線網絡建設技術規(guī)范遵循以下原則：

1.實用性和可管理性

保證網絡結構和網絡運行的穩(wěn)定性，統(tǒng)一規(guī)劃、分步實施。明確網絡分級管理與維護的責任。

2.開放性和擴展性

選用符合國際標準、國家標準或行業(yè)標準的設備，采用標準接口，保證網絡的開放性、兼容性、互操作性及可擴展性，適應業(yè)務系統(tǒng)擴充和技術發(fā)展要求。

3.保護原有投資

充分利用已有的建設成果保護原有投資。網絡建設與應用系統(tǒng)建設相配套，在應用不斷增加的前提下，有計劃地擴大網絡帶寬和升級網絡設備。

無線網絡建設的特點

我校無線網的特點是：

學校主導，負責制定建設方案，校園網有線無線一體化建設；

三家運營商出資，參與建設，各自運營，公平競爭；

競爭性談判確定設備供應廠商；

第三方工程勘測、建設；

第三方運維，學校主管，為四方服務。

本項目的系統(tǒng)或技術創(chuàng)新點主要體現(xiàn)在以下三點：

1.為滿足學校和三大運營商的運營需求，方案采用多接入設計。

無線網絡設計使用了五個SSID：CMCC/Unicom/ChinaNet/ZJXU-T/ZJXU-S，分別對應移動、聯(lián)通、電信，教師用無線校園網，學生用無線校園網五個不同的業(yè)務。AC將這五個SSID分別對應到五個不同的VLAN進行轉發(fā)。

當學生訪問Internet時，可以分別選擇移動、聯(lián)通、電信各自的認證計費系統(tǒng)實現(xiàn)認證計費。

無論是ZJXU-T（教師用無線校園網）用戶還是ZJXU-S（學生用無線校園網）用戶，在訪問無線網絡時都需要進行認證，以防止校外人員對校園網的訪問。所有認證信息與數字化校園認證系統(tǒng)保持一致。

AC與核心交換機之間部署萬兆防火墻，在防火墻上部署策略：允許ZJXU-T（教師用無線校園網）通過核心交換機訪問校園網、CERNET和Internet；允許ZJXU-S（學生用無線校園網）訪問校園網，但禁止訪問CERNET和Internet。

2.認證系統(tǒng)設計

從簡化部署、方便管理考慮，本次建設中認證系統(tǒng)采用Portal認證方式。Portal的基本原理是：未認證用戶只能訪問特定的站點服務器，其他任何訪問都被無條件地重定向到portal服務器。只有在認證通過后，用戶才能訪問所要訪問的網絡。

設備部署方面，認證系統(tǒng)采用AC上部署的IAG插卡作為控制網關，通過iMC UAM組件提供用戶接入，配置用戶服務信息和接入用戶信息等。待數字化校園認證系統(tǒng)建設好后，無線認證系統(tǒng)將通過數字化校園認證系統(tǒng)進行統(tǒng)一認證。

隨著當前信息技術快速發(fā)展，各行各業(yè)都開始步入了“互聯(lián)網+”的新時代，這導致人們越來越離不開手機，甚至開始出現(xiàn)“手機依賴癥”等熱頻詞匯，這都是屬于人心理空虛的有效體現(xiàn)。尤其對于大學生群體來說，其對于智能設備依賴的狀況更為嚴重，新媒體傳播途徑的多樣性以及匿名性，讓很多大學生都將其作為情緒發(fā)泄的一個重要工具，一旦學生得不到有效的發(fā)泄，就容易誘發(fā)心理健康問題[2]。由于大學生的心理發(fā)育還不夠成熟，尤其對于當代大學生來說，其自控能力相對較差，這就導致其容易沉迷在新媒體中，從而對新媒體產生較大的依賴感，大學生現(xiàn)實生活中的人際交往能力反而開始不斷的降低。

在可靠性方面，兩塊IAG插卡采用基于VRRP的互為備份技術實現(xiàn)高可靠性。UAM則支持雙機冷備、熱備和逃生等高可靠性方案。本次建設采用逃生方案。Portal逃生方案實現(xiàn)以下兩大功能：

1. 周期性探測Portal服務器

通過可配置的探測方法——周期性探測Portal服務器。若Portal服務器N次（N可配）不可達則變成Down狀態(tài)（逃生狀態(tài)），取消網絡的認證限制，允許Portal用戶不需經過認證即可訪問網絡資源，并發(fā)送狀態(tài)改變的Trap信息和日志。當探測到服務器可達時，恢復服務器狀態(tài)為Up狀態(tài)（認證狀態(tài)），并重新開啟網絡認證限制，不允許未認證的用戶訪問網絡，并發(fā)送狀態(tài)恢復的日志和Trap。

2. 設備和Portal服務器同步用戶信息

Portal服務器定時將自己的在線用戶信息，周期性地通過用戶信息同步報文發(fā)送給接入設備。如果同步報文中包含了設備上不存在的用戶信息，則接入設備會將這些用戶信息返回給Portal服務器，由Portal服務器將其強制下線。如果某用戶連續(xù)N個周期（N可配）都未再從Portal服務器發(fā)送過來的同步報文中出現(xiàn)，則接入設備會將該用戶強制下線。

3.無線網絡管理

基于標準的SNMP協(xié)議實現(xiàn)對設備的管理，專門的無線局域網管理軟件IMC可實現(xiàn)對WLAN所有網元的管理。網管工作站可以放在網上的任意位置，通過標準的SNMP即可實現(xiàn)對無線交換機的管理。無線控制器可以實現(xiàn)更為強大的管理，包括AP的自動拓撲發(fā)現(xiàn)、自動升級、批量配置、分級管理、分級告警等，并可實現(xiàn)針對無線覆蓋空間內的射頻掃描、非法接入點監(jiān)聽等安全功能。而無線局域網管理軟件WXM可以實現(xiàn)配置管理整個WLAN無線網絡，其具備以下特點：

零配置安裝：接入點無需準備預設置，AP從無線控制器繼承配置信息。可將無線控制器接入中心機房核心交換機中，AP無需事先進行任何配置，即通過接入層交換機接入有線網絡，并自動注冊到AC上，獲得DHCP SERVER分配的IP地址，并自動下載配置文件正常工作，在大規(guī)模AP的項目中大量節(jié)省安裝維護成本。

防盜防入侵：敏感配置信息不在本地保存，即使設備被入侵被盜也不會丟失安全信息。實際運營中很多AP是放置在公共場所，如果密鑰、SSID等安全信息在本地保存的話，一旦失竊對全網安全性造成威脅，AP由于其零配置安裝，一旦掉電不會保存任何信息，避免入侵。

支持靈活的拓撲結構：AP允許多種部署，從而能夠直接或間接連接到管理它的無線局域網控制器。AC與AP之間可以隔離任何路由器或交換機，只要共同連接進有線網絡，AP就可以自動尋找到AC實現(xiàn)注冊。

自動設置發(fā)射功率和分配射頻信道：自動設置發(fā)射功率和分配射頻信道，用以優(yōu)化射頻單元大小和滿足各國對射頻信道的要求。當有個別AP故障時，AC會自動調大相鄰AP的功率，彌補信號盲區(qū)。

基于身份的組網：根據用戶名對用戶權限進行區(qū)分。不同于傳統(tǒng)的WLAN網絡通過接入的有線交換機端口對用戶權限進行劃分，并且可以對用戶的位置、帶寬，以及漫游等歷史數據進行記錄跟蹤。

提供增強的安全性和無縫漫游：通過這項基于身份的組網功能，經過改進的用戶組認證接入控制、始終強制的漫游策略，以及對帶寬使用的監(jiān)視，實現(xiàn)了無線局域網增強的安全性，實現(xiàn)了無縫的用戶移動性和自由性，從而可以進行安全連接和漫游。一次認證多次接入，免去在不同AP下切換的再次認證。

安全管理：提供入侵檢測功能。專用AP 可以不斷地掃描空域，以便對要求更高安全性的環(huán)境提供全天候保護。一旦無線網絡中有非法接入點接入，AP將上報相應的告警給AC，并通過網管軟件顯示。

輔助網規(guī)：IMC可以進行無線局域網部署前的輔助規(guī)劃和配置，通過導入建筑平面圖并自動配置容量和覆蓋范圍，自動考慮各種常見的射頻障礙物并輸出網絡規(guī)劃配置。并且還可以對輸出的網絡規(guī)劃配置進行驗證。

社會效益

有序管理學校無線頻率資源

在學校一開始進行無線網絡建設方案探討時，三大運營商通過不同的渠道進入校內部署無線網絡，信道安排和信道隔離均由電信運營商設置，學校無線頻率資源使用極不合理，信道之間干擾嚴重。特別是學校為了自己使用需要，在安裝AP出現(xiàn)無可使用的信道?，F(xiàn)在通過共同出資，共享頻率有效解決了不同運營商之間的頻率沖突，可以合理配置AP。除了本次建設的WLAN，其他由運行商架設的Wi-Fi線路全部拆除。

保證無線網絡使用質量

學校統(tǒng)一規(guī)劃設計無線網絡后，一是可以完全按照學校需求來安排無線設備的RF范圍并考慮預期擴容；二是在實際無線環(huán)境的部署和維護中，學?？芍苯诱{整網絡，避免或減少信道間干擾；三是寬帶比較干凈，避免運營商在無線網絡中加載其他信號。

保證了師生利益

無線有線一體化后，教師訪問校內外資源全部免費；學生訪問校內資源和圖書館資源全部免費。

學生可選擇三個運營商中的任何一個作為服務提供商，使運營商能在一個公平的平臺上競爭，給學生帶來實惠。同時通過招標引入第三方運營，在減輕了學校運行維護費用的同時，保證了無線網絡的服務質量。師生滿意，學校領導滿意，社會效益極好。