随着移动互联网的迅猛发展,越来越多的用户青睐于利用移动终端快速接入互联网,因此,校园内支持无线的智能手机、iPad等无线终端设备的数量大规模增加,同时,用户移动办公的需求也日益增长。为了满足需求,人们试图在校园内建设统一管理的高质量、高稳定性、高可用的校园无线网络,使校园网成为一个能够承载多业务的综合网络。在国内高校中,无线网络已经成为校园网络建设中的重要组成部分。
总体架构设计
无线校园网的建设目标是要建立一个高速接入的、可管理的,不被厂商私有协议控制的无线网络。大连理工大学在建设无线网的过程中,依托现有校园网络资源,从校园网络核心到各个教学楼宇的无线接入交换机都采用独立的传输链路,汇聚到现有的校园网核心路由器的专用虚拟网。
另外,我们在建设无线校园网的过程中采用802.11n技术。802.11n作为现阶段无线网络的主流技术,被越来越多地应用在无线领域,而过去的无线网络由于受到技术和设备的限制而逐渐被802.11n的产品所替换。
校园无线网络采用集中控制和管理的方式,采用数个无线控制器对分布在校园内的众多的瘦AP进行统一管理,无线控制器之间相互备份,实现高可用管理。当无线控制器出现故障时,AP 能够在短时间内进行自动恢复,同时保证用户的网络通畅。无线网络管理软件还能够发现对无线网络造成干扰的射频干扰源,并对其进行物理位置的定位。
依托现有校园网拓扑架构(如图1所示),我们使用虚拟路由转发表构建独立运行的无线业务承载网。无线AP通过专用的虚拟网络连接到无线控制器,用户通过本地转发寻找智能服务网关进行权限的认证和分配。
图1 校园无线网络拓扑结构
智能服务网关可以独立于无线控制器工作,与现有校园网统一认证平台相结合,通过校园网统一认证平台对用户进行认证和权限的分配,向无线、有线用户提供统一的服务,实现有线无线一体化。
无线接入点AP选择
校园无线网AP全部选用基于802.11n标准下的具有2×3∶2以上MIMO天线矩阵的瘦AP,支持无线控制器对其的集中控制和远程自动升级,支持本地转发和频谱分析。802.11n 标准协议的通过加速了无线厂商对802.11n的设备的投入和生产,产品的价格也比过去有大幅度的降低。
802.11n无线AP天线分为2×2、2×3、3×3三种,前面的数字代表发送信号的天线数量,后面的数字代表接受信号的天线数量。在距离AP较近或空旷的区域,天线矩阵的数量对无线信号的强弱和用户的接入速率的影响并不是很大,在建筑楼宇的空间结构复杂或房间布局密集的区域,2×3的无线AP信号覆盖范围相对比较广,对用户的接入能力相对较强。
无线AP支持2.4G/5G同时进行双频工作。对无线用户进行判断,对于客户端支持5G 的频率用户,优先提供5G 的无线接入服务,使用户能够得到更高的带宽和接入速率。无线AP 可自由切换使用集中转发和本地转发的工作方式,发现Wi-Fi和非Wi-Fi频段内的干扰源,并对其进行物理定位。
无线控制器选择
无线控制器是对校园无线网络AP接入点进行集中控制、功率分配、负载监控、统一部署、修改配置的网络设备。无线控制器直接连接到网络核心路由器,因此,需要足够的带宽保证。上行链路需支持端口捆绑技术,无线控制器需要能够支持多个千兆和万兆以太网接口。
无线控制器的一个优势是对AP进行统一部署,这可以极大地提高工作效率,避免同一区域AP 间的相互干扰。单台无线控制器能管理的AP数量是有限的,而校园无线网络的AP数量较多,需要多台无线控制器对校园内的AP进行统一部署和管理。无线控制器可自由切换AP,使用采取本地转发和集中转发的方式。在集中转发的方式下,同时支持内置和外置Portal。使用标准协议同Radius进行交互,对用户进行认证、策略更改和强制下线。
无线控制器的故障直接影响到校园无线网络的服务质量,为了降低无线控制器的故障对无线网络的影响,需要多台无线控制器在高可用模式下工作:当一台无线控制器出现故障时,其他的无线控制器可以接管此控制器管理的无线AP。在本地转发模式下,用户的无线服务不会中断,能够保障用户正常使用无线网络。
无线控制器对用户采取两层隔离,分别可以对同一个VLAN下的用户进行隔离,对于同一个SSID下的用户进行隔离。无线控制器能够支持多VLAN技术,对不同AP进行分组,在不同的AP上支持多个VLAN。
无线控制器可判断接入客户端是否支持5G的频段,对于支持5G的用户优先接入5G频段,在同一频率下能够自动选择信道。
无线频谱分析
无线频段内有可能存在Wi-Fi和非Wi-Fi的干扰源。这就需要无线射频分析工具发现干扰源,并进行分析。无线射频分析工具采用图形化界面主动探测和识别Wi-Fi和非Wi-Fi波段的射频干扰源,提供实时FFT图、频谱密度图、占空比、频道功率、干扰功率。
无线控制器利用AP的射频分析功能对所在区域进行扫描和记录,主动发现存在的干扰,调整AP所在的信道,躲避外界无线环境的干扰。
大规模的无线网络覆盖需要管理上千个AP,对AP进行分别配置和管理的工作量非常大并容易出错,我们采用无线网络管理软件对所有的无线设备进行统一的配置和管理,能够在第一时间发现并报告故障点,支持查看每个AP上所连接的客户端数量、AP信道状态、信道使用率、信噪比、信号强度分布及AP的状态,对大批量的AP 或者控制器配置采取模板定制功能,通过无线网络管理软件自动下发参数,实现AP的零配置管理。
该管理软件还可以对同一区域内的无线设备进行动态功率调节和监控,使得在同一区域内的AP 可自动调节AP工作的信道,避免同一区域内的相互干扰。在某个AP出现故障时,能够自动对周围的AP进行功率增强,覆盖出现故障AP的区域。
无线网络管理软件具有分析网络运行日志的功能,能够输出到指定的日志服务器,能够完整地保留所有设备的运行日志,能够记录、查找设备的运行状态。我们利用无线网络管理软件,在设定的时间进行自动统计,针对于不同的SSID出具统计报告。
无线网管软件还能够根据对实时网络环境和射频的监控,从而提供对终端用户、RFID、Rogue AP和非Wi-Fi干扰源的物理定位。
PoE交换机
无线网络基本覆盖区域内所有的建筑楼宇,无线AP分散分布在楼宇内各个区域,这使得给无线AP提供220V电源在工程施工上存在一定的难度,而使用以太网供电技术(Power over Ethernet,PoE)给无线AP设备供电是较为方便的一种方法。
楼宇内所部署的是基于802.11n标准的无线AP,对用户提供高达300MB的接入带宽。我们使用24口或者48口的千兆以太网PoE 交换机提供接入无线AP 的服务。千兆PoE交换机能够在满配置情况下对全部AP进行满负荷供电。千兆PoE交换机需支持VLAN划分,可通过Telnet和SSH进行远程带内管理,支持动态链路聚合。
智能服务网关是用户统一认证的平台。无线设备厂商对于无线用户的认证都是基于私有协议在无线控制器上的实现。这种方式对于用户的认证、策略修改和权限管理具有一定的局限性和依赖性。在大规模部署的应用中,会对无线控制器造成较大的压力,同时也会对整个系统增加故障点。为了避免对厂商私有协议的依赖性,降低对无线控制器的压力,对用户的认证和授权使用外置旁路智能服务网关的方式实现。
用户流量通过无线AP 的本地转发接入到校园网,经过专用网络连接到智能服务网关。智能服务网关与校内统一认证平台进行数据交互来确认用户的身份,对于不同的用户分配不同的权限,实现无线和有线用户的集中统一认证授权。智能服务网关使用标准RFC协议、公开接口,使用外置Radius和外置Portal。外置Radius和Portal服务器采用Linux系统,对关键程序实行自主开发和编写代码,或者采购开放源代码的Portal系统,通过标准协议和智能服务网关进行交互信息。
无线网络综合布线工程
校园无线网络需要覆盖的每个楼宇现状不太相同。部分楼宇内部已经完成综合布线系统的施工,但是没有无线网络预留点位,部分网络内部没有进行综合网络布线。对完成综合布线的楼宇要尽量避免重复性的工作,尽量使用现有的水平和垂直线槽。在对未进行综合布线的楼宇施工时,对无线网络的水平和垂直实行主干线缆的施工,垂直使用铁线槽,水平使用白色PVC线槽。
对每个楼层的每个无线AP至网络设备间敷设六类非屏蔽双绞线,保证无线AP的高速连接和以太网供电。在每层楼内无线AP使用六类标准制作水晶头;在网络设备间内的指定机柜中,需要安装标准六类线配线模块,使用六类跳线跳到无线接入交换机上。
校园无线网络运行效果
校园无线网络选用802.11n技术是无线行业内主流技术,采用无线控制器和瘦AP的架构对校园内大规模部署无线网络节省人力成本和管理成本,采用多个控制器的高可用管理能够避免在控制器停止工作情况下对无线AP 的管理,对用户提供7×24不中断的无线服务。
无线AP采用2×3∶2以上MIMO天线矩阵能够保证边缘用户的有效接入,提高无线信号质量,增加接入带宽。无线网络集成射频分析工具,能够及时有效地发现无线频段内的Wi-Fi和非Wi-Fi干扰源,并能够对干扰源进行物理定位。
智能服务网关经过详细的模拟系统搭建和抓包,对认证过程进行详细的分析,结果证明采取标准RFC协议和开放接口对用户进行认证、授权、权限变更和强制下线是可行的。用户的认证脱离了厂商的私有协议,认证服务器可以完成和校园网统一认证平台的结合。 |