問題的提出及解決方案

　　近幾年，隨著無線終端工具，比如自帶無線網卡的手提電腦、上網本、iPAD、iPhone以及智能手機在師生中日益普及，使得有線網絡的空間局限性日益凸顯。

　　學生對于無線網絡需求的增加，不僅給校園網絡無線網絡建設增加了壓力，同時也對校外提供手機無線網絡的運營商提出了更高的要求。在校園內，隨著3G手機等產品在學生中的普及應用，提供出口帶寬的運營商校外手機基站，已明顯不能支持數據量日益增多的學生用戶的3G應用，運營商迫切需要在校園里建設無線局域網，再通過高速光纜傳輸數據，以緩解基站的數據擁塞。無線AP和相應的天線由運營商投入建設，利用校園現有的有線主干網，通過設置相互隔離的邏輯信道，既保證了運營商3G數據的暢通，也給學校師生提供了遍及校園的無線網絡信號，師生既可以通過運營商的賬號上網，也可以學校的賬號獲取因特網上的信息資源。

　　這種雙接入、雙認證、雙運營的無線網絡模式，通過運營商和校園網之間的相互合作，極大地縮短了無線網絡工程的建設周期，也大大降低了雙方的運營成本，恰到好處地緩解了校方無線投入資金的不足又很好地滿足了校內無線網絡的應用要求。下面我們就分別從這種模式的設計原則及其實施方法進行詳細介紹。

　　設計原則

　　需求驅動原則

　　雙接入無線網絡存在兩類用戶，一類是運營商的用戶，一類是使用校園網的用戶。用戶在校園里的不同區域其無線信息點的個數和信息傳輸量是不同的，在自習室、圖書館主要使用手提電腦、上網本，而在校園的空曠區域則主要使用iPAD、iPhone、智能手機等。所以在無線網絡設計前，要進行詳細的需求調研，形成需求報告，再對需求報告進行充分的評審和論證，根據需求報告設計出學校的無線網絡邏輯拓撲結構，同時需求報告也是設備選型、協議選擇、投入費用估算、工期計劃等的依據。

　　責任共擔、利益共享原則

　　師生利用無線網絡收發數據，既要經過運營商的無線AP、無線AC(訪問控制器)、無線路由器等設備，又要通過學校的匯聚交換機、有線主干網、核心交換機、核心路由器等設備。只有雙方都能保證各自的設備正常運行，整個無線鏈路才能穩定可靠，在上網資費上，既要保障運營商的既得利益，又不能損害學校和師生的利益。

　　經濟適用性原則

　　無線AP安裝的位置和AP之間的距離，既要考慮能滿足師生正常的實際需要，又要防止出現重復建設和資源浪費，在設備選型上盡可能考慮性價比高的國產設備，在充分考慮到運行維護成本的基礎上，盡可能地降低初期的投入成本。

　　安全可靠性原則

　　學校所有的無線AP設備都通過有線與就近的交換機相連，任何一個AP出現故障，都不影響到其它AP的正常運行，無線冗余結構和備份無線設備也可以增強無線網絡的可靠性，無線AC(訪問控制器)設備和基于MAC等的認證、加密技術可保障校園無線網絡的安全。

　　維護管理透明性原則

　　對于運營商的設備，運營商的管理員擁有管理設備所有的權利，而學校的管理員只有查看設備運行狀況的權利；對于學校的設備只有學校的管理員才能進行設置，而運營商管理員卻只能查看。在遵循雙方達成的管理協議的基礎上，任何一方對設備的正常管理維護都不會影響另一方的設備運行。

　　設計與實施

　　胖AP架構技術與瘦AP架構技術的比較

　　胖AP架構技術中的AP設備具有用戶數據加密認證、Qos、網絡管理、漫游技術等高級無線網絡管理功能。胖AP架構技術有網絡結構靈活、建設成本不高、網絡穩定性高等優點，缺點是設備結構復雜且難于集中管理、網絡安全性差、不能統一管理、配置和管理成本高、用戶體驗差等。

　　瘦AP架構技術中的AP功能簡單且不能獨立工作，必須和AC(訪問控制器)結合才能使用。整個技術架構由三個部分組成，分別是瘦AP、AC、無線網管平臺，瘦AP位于網絡接入層，由AC對其進行統一配置，其作用是將無線用戶接入無線網絡中。

　　瘦AP架構技術具有全局的統一管理、全局的統一安全、全局的統一認證、:全網漫游等優點，這種技術架構的無線網絡管理功能都集中到了AC上，存在單點故障風險，但可以通過使用AC備份技術消除風險。在無線AP數量較多時，瘦AP架構技術是設計無線局域網較好的選擇。

　　無線雙接入設計與AP部署

　　無線終端的接入過程是首先通過主動掃描或被動掃描技術來發現周圍存在的無線服務，然后與發射無線信號的AP建立無線連接，連接的建立過程是無線AP與無線終端成功地交換認證請求、認證響應、關聯請求、關聯響應等一系列信息幀，連接的維持也是通過定期發送或接收監測幀，穩定無線連接是無線網絡進行數據傳輸的前提。

　　針對“瘦AP+無線控制器”的網絡體系結構，接入設計是通過AC對AP的USSID、射頻以及認證方式進行設計，由于AC能控制的有限數量的AP，為了避免用戶從一個AC控制的AP進入到另一個AC控制的AP時因需要網絡重新連接、重新認證而發生網絡中斷現象，還需要在AC之間設計漫游。

　　為AC控制的每一個AP設置兩個統一的SSID名稱，分別是ChinaNet和GDSSPT如圖一所示，ChinaNet為運營商提供無線服務，GDSSPT給學校用戶提供網絡服務，相同名稱的SSID屬于同一個VLAN。

　　AP射頻的最大功率、支持的最大用戶數、天線類型以及現場的可視情況等是AP部署方案的主要依據，AP部署是根據AP信號的覆蓋范圍和用戶對網路的需求來確定AP設備安裝的位置以及AP之間的距離。

　　無線雙認證設計與實施

　　依據網絡的體系結構，無線網絡的認證可分為兩大類，一類是無線鏈路認證，另一類是用戶接入認證。無線鏈路認證是無線終端與無線AP建立連接時進行的認證，認證的結果是成功建立連接或不能建立連接，鏈路認證又根據是否使用密鑰可分為開放式認證和共享密鑰認證，開放式認證就是AP只要收到請求就同意建立連接，而共享密鑰認證則是終端和AP必須使用相同的密鑰方可建立連接。

　　用戶接入認證是成功建立連接的基礎上，網絡控制設備對用戶是否有權利訪問網絡進行認證，一般可分為預共享密鑰認證(PSK)、802.1X認證、MAC地址認證等三種認證方式，也可以在有線網絡中的認證系統，對來自無線網絡的信息出口時進行WEB認證。

圖1 雙接入雙認證拓撲

　　利用有線網絡中的匯聚層和核心層設備的路由功能，將不同類得用戶數據信息路由到不同的認證系統進行用戶認證，以實現網絡的雙認證功能，如圖1所示。VLAN1的數據被路由到本地服務器進行出口的WEB認證，WEB認證服務器設在校園網的出口，學校用戶只有使用正確的賬號和密碼才能訪問外部資源，而校內的資源不需要認證就可以使用。VLAN2的數據信息被路由到運營商的遠程RADIUS認證系統進行認證，要求無線客戶端得SSID網絡使用遠程MAC地址認證方式接入因特網。RADIUS服務器擔當認證、授權、計費服務的職責。

　　雙運營安全策略

　　目前無線設備一般支持三種加密技術策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是對無線網絡上傳輸的數據進行加密，希望達到有線網絡同樣的安全效果，根據密鑰產生的方式，又可分為靜態WEP加密和動態WEP加密。靜態WEP加密技術是使用RC4串流技術對數據進行加密，而動態WEP加密則必須與802.1X認證方式綁定使用，并且RIDIUS服務器定期強制客戶端重新驗證并生成新的密鑰。

　　TKIP加密是在802.1X/EAP構架下，認證服務器接受了用戶身份后，使用802.1X產生一個唯一的主密鑰來處理會話，并通過安全通道分發到AP和客戶端，形成一個密鑰架構管理系統，通過主密鑰可動態生成一個唯一的數據加密密鑰，對無線網絡上的數據進行加密。

　　CCMP加密是基于AES加密算法，結合了用于加密的CTR和用于認證、完整性的加密塊鏈接消息認證碼，給無線網絡上傳輸的數據提供加密、認證、完整性保護功能。CMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。CCMP包含了一套動態密鑰協商和管理方法，每一個無線用戶都會動態的協商一套密鑰，而且密鑰可以定時進行更新，進一步提供了CCMP加密機制的安全性。在加密處理過程中，CCMP也會使用48位的PN(Packet Number)機制，保證每一個加密報文都會是用不同的PN，在一定程度上提高了無線網絡的安全性。

　　廣東松山職業技術學院于2009年與中國電信簽訂了合作協議，除學生宿舍外的學校所有地方都部署了無線網絡，全部使用H3C無線網絡設備，兩年來運行效果良好。學校在無線網絡上沒投入任何資金，學校師生卻體驗著無線網絡帶來的方便。

　　(作者單位為廣東松山職業技術學院)

　　參考閱讀：

　　[1]閔應驊計算機網絡路由研究綜述《計算機學報》2003年6期

　　[2]褚御芝鄭寶玉認知無線網絡中基于最佳中繼選擇的協作傳輸策略《儀器儀表學報》2011年3期

　　[3]IEEE802.11iSpeciafication September2004

　　[4]IEEEStandard802.111999 Edition(1999)10-14