基于802.11n标准的校园无线网设计和部署

文/皇甫大鹏 陈平 王兴建

基于802.11n标准的校园无线网设计和部署

文/皇甫大鹏 陈平 王兴建

IEEE 802.11n协议在物理层采用了MIMO和OFDM复用以及40MHz信道宽度等技术，使它的物理速率最高可以达到300Mbps。本文汲取北师大无线网络建设经验，及国内外无线校园网建设方案中成功之处，规划并完成了北师大基于802.11n标准的校园无线网的建设。该组网方案具有安装便捷、使用方便、扩展性较好、高速安全等特点。

北师大无线网络概况

北京师范大学校园无线网始建于2007年，先后经历了无线一期、无线一期增补、无线二期以及后主楼为主的无线三期建设，经过三期无线网络建设，无线网络覆盖了全校的教学、科研、办公和学生宿舍区。

北京师范大学校园无线网现共有近1500 多个无线AP，200 余个PoE供电交换机，6 个无线控制器。

现有的无线网络主要存在以下困难：

1.无线网络通过各楼宇的有线网络上联，容易受到有线网络环境的影响（中病毒，环路，断网等）；

2. 无线产品技术陈旧，不支持portal和认证计费的对接，无法保证信息安全；

3. 产品到了故障高发期，线路、AP及交换机故障较多，且无法购买到同类型的替代产品；

4. 交换机百兆上联，成为瓶颈；

5. 无线AP采用室外照射方式部署，且部署密度稀疏，信号覆盖情况较差；

6. 通过有线网上联，并且采用百兆口上联。

图1 无线AP支持用户数

图2 40MHz频谱叠加图

传统无线面临的挑战

无线网络采用的是公用频段2.4Ghz，5.0Ghz，当无线电波设备在同一空间发射相同频段的无线电波时，无线电波会产生干扰，影响正常通讯。所以，在传统无线网络部署过程中，无线厂家采用错频蜂窝式部署方式，即相邻AP之间采用不同的频段来对外提供服务，减少干扰产生。

高密度覆盖

在教室、会议室、图书馆等座位密集，RF覆盖密度需要很高的地区，一般厂商的AP最高支持30多个客户端，超过30客户端再往上连，整个性能将急剧降低，北师大采用的无线产品，单射频卡AP可以最大支持到128个用户，高密度环境下依然能保证稳定的带宽。

RF高带宽接入

目前在2.4GHz 频段使用 40MHz 11n的频宽，只有在同频技术下才能实现。原理如图2。如果在2.4GHz这个频段使用20MHz 11n 对于微蜂窝来说将有1、6、11 三个信道使用，但如果使用40MHz 11n，只有1个不干扰的信道可以使用，这样存在两个以上AP的环境就无法部署。如下图所示：红色40MHz频宽和黄色40MHz频宽会叠加。

RF干扰

会议室需要支持很高的用户密度，采用微蜂窝架构需要大量重复使用相同的信道，RF信号将面临着严重的干扰，而单频架构，通过专利技术很好地处理了干扰的问题。

漫游

对于微蜂窝架构来说，要想支持讲堂内如此高密度的用户数量，必须部署很多AP，增加了客户端在AP之间跳动的几率，客户端在漫游时将出现很多问题。

连通稳定性

还是微蜂窝带来的问题，在讲堂空旷的空间内，部署很多AP，客户端会发现很多信号强度差不多，且具有相同SSID的AP，使得客户端在AP之间跳动，整个WLAN容易出现不稳定 。

公平传输

在高密度环境下，存在各种各样的客户端，有快的有慢的，如何保证传输的公平性，让慢的客户端不至于长时间得不到传输；同时不让快的客户端被慢的客户端“黏住”，趋向于慢的客户端速率。

802.11n无线网部署

后主楼无线网络覆盖区域包括后主楼一层至二十三层，其中一层为大厅、二层至八层图书馆、九层至二十二层为各院系办公及教学场所、二十三层为博物馆。除此之外还包括后主楼北广场、京师广场两个室外场地，主楼A区三、四层校领导办公区。图书馆和会议室用户密度大，要求AP高密度部署；主楼A区三层、四层部署的产品，存在和其他产品同楼部署，信号干扰问题严重；后主楼建筑面积大，用户众多，信号漫游问题比较严重；另外，该楼宇用户复杂，认证方式的多样性也是制约无线应用的主要问题之一。

无线网络信道规划

802.11b/g/n的频率范围是2400-2483.5MHz，划分了14个子频道，频带宽为22MHz，最多可以提供3个不重叠的频道同时工作(1，6，11)。

在大规模部署时AP会由于避免信道之间干扰而采用错频方式进行部署，即1/6/11交叉部署。而当AP数量增多到一定程度，再新增加AP时则会出现无法寻找到合适错频空间的问题，使得新增AP成为困难。

本次采用的无线AP可以在同一个频道部署，而不产出干扰，同样在多AP环境下新增AP时无需考虑错频带来的困扰。

结合产品的以上技术特点，北师大在后主楼无线网络项目中，每个楼层部署的AP均放置在同一信道，相邻两楼层的AP放置于不同信道，即：一层AP使用信道1、二层AP使用信道6、三层AP使用信道11，如此反复（具体部署方式参见下图）。我们将这种方式俗称为“同层部署、多层叠加”由此带来的优势有：1.每层新增AP时无需进行无线站点勘测和信道规划；2.最大程度的提升了高密度无线接入能力；3. 将同频干扰的可能降至最低；4. 客户端可实现“零漫游”。

图3无线网络拓扑图

虚拟SSID和VLAN规划

一般用户都误解无线局域网的SSID为局域网的VLAN，这可能是由于第一代的无线局域网都是通过“FAT AP”组网的原因。其实二者之间的关系并非是一对一，即一个SSID必须对应有一个VLAN。当然把一个SSID设定在一个VLAN内，对只能够支持第二层的无线用户漫游的传统无线局域网是唯一可实现的方式。但这样的组网必须在现有的网络上做出很多改动，AP数量多时，无线用户VLAN/IP子网也增多，无线用户IP子网在局域网内必须全打通， (即汇聚层和骨干层的路由开通) 否则无线用户就不能访问局域网上其它网点，包括在不同接入层的无线用户。

根据不同的用户需求，北师大后主楼无线网除了会议室，均使用BNU作为其唯一的SSID，该SSID对应一个VLAN，共8个C类IP地址。图书馆的会议室、主楼A座3、4层和室外无线，因用户的需要不同，需要专门为这几个地方分配单独的SSID和VLAN，方便于统一管理，同时为每个VLAN分配1-2个C类IP地址。

无线安全设计

无线网络一直面临安全问题，安全问题也越来越成为企业决策者决定是否部署WLAN网络的关键因素。

认证方式：通过学校网络核心三层交换机配合无线控制器，一起规划和设置互相隔离的业务VLAN和用户，用于针对不同业务类型的无线终端的访问，不同的专用业务通道可选择不同的认证和信号加密方法。

后主楼（除会议室以外）统一使用Captive Portal的方式（BNU），把portal认证和计费系统相结合，通过web页面认证一次通过，用户根据访问网络类型不同，选择校内、国内和国际方式登录。室外无线因为迎新需要，把无线分成两个SSID，一个SSID使用Captive Portal的方式（BNU-JSGC），认证方式与后主楼同，普通师生可以使用；另一个SSID用于迎新工作人员使用，采用802.1X认证+WPA2信号加密方式（BNU-YX）等。

加密：支持WEP、TKIP、AES等多种安全加密方法，保证数据传输的私密性和完整性。

VPN：无线网络产品可以为用户提供独特的多层次的安全机制,能很好的为WLAN网络提供无缝的安全防护。

无线系统提供内置的IDS无线入侵检测系统，可以对非法Rogue AP和Rogue Client进行检测、定位和抑制；无线系统还可以提供出色的和有线安全设备的联动功能，例如IDS/IPS、ACS等等，实现对L2-L7层入侵攻击的防范，弥补WIDS方法L2入侵攻击的不足，实现对客户访问的认证和授权，体现一体化的安全策略。

无线拓扑结构

如图3所示，控制器直连三层交换机，POE交换机通过光纤汇聚至光纤交换机，光纤交换机连至三层交换机，三层交换机直接上联至核心交换机。控制器集中控制所有的无线AP，通过在控制器上集中配置各种不同级别的应用策略，再分发至接入层无线AP，将用校园网络和公用网络在逻辑上区分开来，从根本上保护校园网内的数据安全性。

本文根据802.11n产品的特性，提出特定的无线网架构。为北师大教学区和后续802.11n无线网改造积累了丰富的经验。另外，此次无线设备支持同频部署，可以支持同时部署3个SSID，对未来多样性服务的扩展性提供了基础准备。

（作者单位为北京师范大学信息网络中心）