問題的提出及解決方案

近幾年，隨著無線終端工具，比如自帶無線網(wǎng)卡的手提電腦、上網(wǎng)本、iPAD、iPhone以及智能手機在師生中日益普及，使得有線網(wǎng)絡(luò)的空間局限性日益凸顯。

學(xué)生對于無線網(wǎng)絡(luò)需求的增加，不僅給校園網(wǎng)絡(luò)無線網(wǎng)絡(luò)建設(shè)增加了壓力，同時也對校外提供手機無線網(wǎng)絡(luò)的運營商提出了更高的要求。

在校園內(nèi)，隨著3G手機等產(chǎn)品在學(xué)生中的普及應(yīng)用，提供出口帶寬的運營商校外手機基站，已明顯不能支持數(shù)據(jù)量日益增多的學(xué)生用戶的3G應(yīng)用，運營商迫切需要在校園里建設(shè)無線局域網(wǎng)，再通過高速光纜傳輸數(shù)據(jù)，以緩解基站的數(shù)據(jù)擁塞。

無線AP和相應(yīng)的天線由運營商投入建設(shè)，利用校園現(xiàn)有的有線主干網(wǎng)，通過設(shè)置相互隔離的邏輯信道，既保證了運營商3G數(shù)據(jù)的暢通，也給學(xué)校師生提供了遍及校園的無線網(wǎng)絡(luò)信號，師生既可以通過運營商的賬號上網(wǎng)，也可以學(xué)校的賬號獲取因特網(wǎng)上的信息資源。

這種雙接入、雙認證、雙運營的無線網(wǎng)絡(luò)模式，通過運營商和校園網(wǎng)之間的相互合作，極大地縮短了無線網(wǎng)絡(luò)工程的建設(shè)周期，也大大降低了雙方的運營成本，恰到好處地緩解了校方無線投入資金的不足又很好地滿足了校內(nèi)無線網(wǎng)絡(luò)的應(yīng)用要求。下面我們就分別從這種模式的設(shè)計原則及其實施方法進行詳細介紹。

設(shè)計原則

需求驅(qū)動原則

雙接入無線網(wǎng)絡(luò)存在兩類用戶，一類是運營商的用戶，一類是使用校園網(wǎng)的用戶。用戶在校園里的不同區(qū)域其無線信息點的個數(shù)和信息傳輸量是不同的，在自習(xí)室、圖書館主要使用手提電腦、上網(wǎng)本，而在校園的空曠區(qū)域則主要使用iPAD、iPhone、智能手機等。

所以在無線網(wǎng)絡(luò)設(shè)計前，要進行詳細的需求調(diào)研，形成需求報告，再對需求報告進行充分的評審和論證，根據(jù)需求報告設(shè)計出學(xué)校的無線網(wǎng)絡(luò)邏輯拓撲結(jié)構(gòu)，同時需求報告也是設(shè)備選型、協(xié)議選擇、投入費用估算、工期計劃等的依據(jù)。

責(zé)任共擔(dān)、利益共享原則

師生利用無線網(wǎng)絡(luò)收發(fā)數(shù)據(jù)，既要經(jīng)過運營商的無線AP、無線AC(訪問控制器)、無線路由器等設(shè)備，又要通過學(xué)校的匯聚交換機、有線主干網(wǎng)、核心交換機、核心路由器等設(shè)備。

只有雙方都能保證各自的設(shè)備正常運行，整個無線鏈路才能穩(wěn)定可靠，在上網(wǎng)資費上，既要保障運營商的既得利益，又不能損害學(xué)校和師生的利益。

經(jīng)濟適用性原則

無線AP安裝的位置和AP之間的距離，既要考慮能滿足師生正常的實際需要，又要防止出現(xiàn)重復(fù)建設(shè)和資源浪費，在設(shè)備選型上盡可能考慮性價比高的國產(chǎn)設(shè)備，在充分考慮到運行維護成本的基礎(chǔ)上，盡可能地降低初期的投入成本。

安全可靠性原則

學(xué)校所有的無線AP設(shè)備都通過有線與就近的交換機相連，任何一個AP出現(xiàn)故障，都不影響到其它AP的正常運行，無線冗余結(jié)構(gòu)和備份無線設(shè)備也可以增強無線網(wǎng)絡(luò)的可靠性，無線AC(訪問控制器)設(shè)備和基于MAC等的認證、加密技術(shù)可保障校園無線網(wǎng)絡(luò)的安全。

維護管理透明性原則

對于運營商的設(shè)備，運營商的管理員擁有管理設(shè)備所有的權(quán)利，而學(xué)校的管理員只有查看設(shè)備運行狀況的權(quán)利;對于學(xué)校的設(shè)備只有學(xué)校的管理員才能進行設(shè)置，而運營商管理員卻只能查看。在遵循雙方達成的管理協(xié)議的基礎(chǔ)上，任何一方對設(shè)備的正常管理維護都不會影響另一方的設(shè)備運行。

設(shè)計與實施

胖AP架構(gòu)技術(shù)與瘦AP架構(gòu)技術(shù)的比較

胖AP架構(gòu)技術(shù)中的AP設(shè)備具有用戶數(shù)據(jù)加密認證、Qos、網(wǎng)絡(luò)管理、漫游技術(shù)等高級無線網(wǎng)絡(luò)管理功能。胖AP架構(gòu)技術(shù)有網(wǎng)絡(luò)結(jié)構(gòu)靈活、建設(shè)成本不高、網(wǎng)絡(luò)穩(wěn)定性高等優(yōu)點，缺點是設(shè)備結(jié)構(gòu)復(fù)雜且難于集中管理、網(wǎng)絡(luò)安全性差、不能統(tǒng)一管理、配置和管理成本高、用戶體驗差等。

瘦AP架構(gòu)技術(shù)中的AP功能簡單且不能獨立工作，必須和AC(訪問控制器)結(jié)合才能使用。整個技術(shù)架構(gòu)由三個部分組成，分別是瘦AP、AC、無線網(wǎng)管平臺，瘦AP位于網(wǎng)絡(luò)接入層，由AC對其進行統(tǒng)一配置，其作用是將無線用戶接入無線網(wǎng)絡(luò)中。

瘦AP架構(gòu)技術(shù)具有全局的統(tǒng)一管理、全局的統(tǒng)一安全、全局的統(tǒng)一認證、:全網(wǎng)漫游等優(yōu)點，這種技術(shù)架構(gòu)的無線網(wǎng)絡(luò)管理功能都集中到了AC上，存在單點故障風(fēng)險，但可以通過使用AC備份技術(shù)消除風(fēng)險。在無線AP數(shù)量較多時，瘦AP架構(gòu)技術(shù)是設(shè)計無線局域網(wǎng)較好的選擇。

無線雙接入設(shè)計與AP部署

無線終端的接入過程是首先通過主動掃描或被動掃描技術(shù)來發(fā)現(xiàn)周圍存在的無線服務(wù)，然后與發(fā)射無線信號的AP建立無線連接，連接的建立過程是無線AP與無線終端成功地交換認證請求、認證響應(yīng)、關(guān)聯(lián)請求、關(guān)聯(lián)響應(yīng)等一系列信息幀，連接的維持也是通過定期發(fā)送或接收監(jiān)測幀，穩(wěn)定無線連接是無線網(wǎng)絡(luò)進行數(shù)據(jù)傳輸?shù)那疤帷?/p>

針對“瘦AP+無線控制器”的網(wǎng)絡(luò)體系結(jié)構(gòu)，接入設(shè)計是通過AC對AP的USSID、射頻以及認證方式進行設(shè)計，由于AC能控制的有限數(shù)量的AP，為了避免用戶從一個AC控制的AP進入到另一個AC控制的AP時因需要網(wǎng)絡(luò)重新連接、重新認證而發(fā)生網(wǎng)絡(luò)中斷現(xiàn)象，還需要在AC之間設(shè)計漫游。

為AC控制的每一個AP設(shè)置兩個統(tǒng)一的SSID名稱，分別是ChinaNet和GDSSPT如圖一所示，ChinaNet為運營商提供無線服務(wù)，GDSSPT給學(xué)校用戶提供網(wǎng)絡(luò)服務(wù)，相同名稱的SSID屬于同一個VLAN。

AP射頻的最大功率、支持的最大用戶數(shù)、天線類型以及現(xiàn)場的可視情況等是AP部署方案的主要依據(jù)，AP部署是根據(jù)AP信號的覆蓋范圍和用戶對網(wǎng)路的需求來確定AP設(shè)備安裝的位置以及AP之間的距離。

無線雙認證設(shè)計與實施

依據(jù)網(wǎng)絡(luò)的體系結(jié)構(gòu)，無線網(wǎng)絡(luò)的認證可分為兩大類，一類是無線鏈路認證，另一類是用戶接入認證。無線鏈路認證是無線終端與無線AP建立連接時進行的認證，認證的結(jié)果是成功建立連接或不能建立連接，鏈路認證又根據(jù)是否使用密鑰可分為開放式認證和共享密鑰認證，開放式認證就是AP只要收到請求就同意建立連接，而共享密鑰認證則是終端和AP必須使用相同的密鑰方可建立連接。

用戶接入認證是成功建立連接的基礎(chǔ)上，網(wǎng)絡(luò)控制設(shè)備對用戶是否有權(quán)利訪問網(wǎng)絡(luò)進行認證，一般可分為預(yù)共享密鑰認證(PSK)、802.1X認證、MAC地址認證等三種認證方式，也可以在有線網(wǎng)絡(luò)中的認證系統(tǒng)，對來自無線網(wǎng)絡(luò)的信息出口時進行WEB認證。

利用有線網(wǎng)絡(luò)中的匯聚層和核心層設(shè)備的路由功能，將不同類得用戶數(shù)據(jù)信息路由到不同的認證系統(tǒng)進行用戶認證，以實現(xiàn)網(wǎng)絡(luò)的雙認證功能，如圖所示。VLAN1的數(shù)據(jù)被路由到本地服務(wù)器進行出口的WEB認證，WEB認證服務(wù)器設(shè)在校園網(wǎng)的出口，學(xué)校用戶只有使用正確的賬號和密碼才能訪問外部資源，而校內(nèi)的資源不需要認證就可以使用。

VLAN2的數(shù)據(jù)信息被路由到運營商的遠程RADIUS認證系統(tǒng)進行認證，要求無線客戶端得SSID網(wǎng)絡(luò)使用遠程MAC地址認證方式接入因特網(wǎng)。RADIUS服務(wù)器擔(dān)當(dāng)認證、授權(quán)、計費服務(wù)的職責(zé)。

雙運營安全策略

目前無線設(shè)備一般支持三種加密技術(shù)策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是對無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進行加密，希望達到有線網(wǎng)絡(luò)同樣的安全效果，根據(jù)密鑰產(chǎn)生的方式，又可分為靜態(tài)WEP加密和動態(tài)WEP加密。

靜態(tài)WEP加密技術(shù)是使用RC4串流技術(shù)對數(shù)據(jù)進行加密，而動態(tài)WEP加密則必須與802.1X認證方式綁定使用，并且RIDIUS服務(wù)器定期強制客戶端重新驗證并生成新的密鑰。

TKIP加密是在802.1X/EAP構(gòu)架下，認證服務(wù)器接受了用戶身份后，使用802.1X產(chǎn)生一個唯一的主密鑰來處理會話，并通過安全通道分發(fā)到AP和客戶端，形成一個密鑰架構(gòu)管理系統(tǒng)，通過主密鑰可動態(tài)生成一個唯一的數(shù)據(jù)加密密鑰，對無線網(wǎng)絡(luò)上的數(shù)據(jù)進行加密。

CCMP加密是基于AES加密算法，結(jié)合了用于加密的CTR和用于認證、完整性的加密塊鏈接消息認證碼，給無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)提供加密、認證、完整性保護功能。CMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。

CCMP包含了一套動態(tài)密鑰協(xié)商和管理方法，每一個無線用戶都會動態(tài)的協(xié)商一套密鑰，而且密鑰可以定時進行更新，進一步提供了CCMP加密機制的安全性。在加密處理過程中，CCMP也會使用48位的PN(Packet Number)機制，保證每一個加密報文都會是用不同的PN，在一定程度上提高了無線網(wǎng)絡(luò)的安全性。