无线网络的设计
描述角度:
无线网络的规划设计流程包括需求分析、现场勘查、干扰探测、覆盖规划、容量规划、频率规划、方案评审、安装施工、实地测试和调整优化等步骤。
素材:规划
合理的前期规划需要考虑网络架构、用户需求、覆盖范围、用户密度、建筑结构、用户业务、管理等各方面的需求。
首先是网络架构。目前无线局域网有胖 AP(FAT AP)和瘦 AP(FIT AP)两种方案,瘦 AP 架构,由无线控制器实现无线 AP 的管理和控制,无线 AP 实现无线信号的加密解密;这种组网方式具有组网灵活、业务开展能力强等特点,更适合规模部署:而胖 AP 在小规模部署的时候存在成本低,部署简单的优势。由于无线校园网 AP 总数一般都比较多,所以在无线校园网中,一般采用瘦 AP 架构。
其次是无线覆盖方案规划。WLAN 覆盖规划需要考虑建筑结构、用户密度等因素,一般有软件模拟、现场实测、现场人工勘察几种方式。
目前有很多 WLAN 网络规划软件,只需要输入目标区域的图片或者 CAD 图,加上各种材质的衰减等必要的参数,即可模拟出部署 AP 之后的覆盖效果,但这种方式只是理论上的计算,与实际效果可能存在比较大的差距。加上很多旧楼根本没有电子版的图纸,所以采用软件模拟的规划方式只能作为参考,更进一步的规划需要实际测试和现场工堪相配合。比较好的网络规划一般采用软件模拟 + 设备实测 + 现场工勘的方式完成。这种方案既简化现场勘测工作量,又结合用户实际情况,避免普通网络规划软件考虑不周造成方案失真。
第一步,根据用户提供的平面图或者 CAD 图,使用专业的 WLAN 网络规划软件,模拟目标区域覆盖的效果;
第二步,典型区域现场测试;对于比较有典型性同时又可能出问题的区域,需要带设备进行实测,根据测试结果,调整覆盖方案;
第三步,对于条件受限不能进行实测的区域,由专业的 WIAN 规划团队进行现场勘测,结合现场测试和规划软件结果,制定最终的 WLAN 规划方案。
素材:部署
WLAN 的部署需要根据目标区域的不同制定最佳的 WLAN 覆盖方案,根据覆盖区域和用户要求的不同,可以采用室内直接覆盖、室内分布式覆盖、室外覆盖、室外覆盖室内等多种覆盖方案。
室内直接覆盖方案
适用于用户密度高,信号衰减小如图书馆、学术厅、教室的区域。这种情况下,AP 可以采用壁挂或者吸顶安装。此时优先考虑的因素是用户数量而不是信号质量。通常,每个 AP 支持用户数量的合理值在 15 – 20 个,根据用户总数和使用无线局域网的比例来合理规划每个区域部署 AP 的位置和数量。
室内分布式覆盖方案
适用于用户密度不高,信号衰减大的区域如办公楼、学生宿含等。每个 AP 通过室内分布式天馈系统带多个天线来达到扩大覆盖区域,提高信号质量的目的。此时 AP 一般部署于楼道天花板上或者弱电间中,天线则部署于楼道内。在使用室内分布式覆盖的情况下,AP 的数量主要在施工难度和信号质量之间取平衡。
室外覆盖方案
适合于操场、广场,迎新大道等室外开阔区域;在这种区域中,需要覆盖的区域范围广,并且通常会有比较多的树木等影响无线信号;同时设备部署到室外,必须考虑防水、防尘、防雷、防高温、防低温等因素,因此室外覆盖方案对无线设备要求非常高,一般必须使用专业室外型产品,在距离超过以太网作用范围的情况下,要求 AP 必须支持光纤接口。室外覆盖方案首要考虑是信号质量,一般情况下,普通 100mw 的室外型产品能够覆盖 100 – 200 米,大功率室外型 AP 可以覆盖超过 300 米。
室外覆盖室内方案
适合学生宿舍、家属楼等区域的补点方案。AP 部署在目标区域的两侧,在两侧安装室外型 AP 加定向天线的方式完成对目标区域的覆盖。这种情况下,每个 AP 能够覆盖的区域很广,信号通过窗户进入房间,因此窗口附近的信号质量高,远离出口的区域信号质量稍差。对于家属楼,如果要求不高,可以只覆盖书房所在的一面,而对于学生宿舍楼,必须采用双面覆盖。室外覆盖室内的方案只能解决信号覆盖问题,如果使用无线网络的用户比例增加,上网速度则会下降。这种情况下,建议更换为室内覆盖方案。
素材:安全
无线局域网由于其物理介质的开放性,会面临更多的安全性问题。WLAN 安全解决方案,涵盖从链路层到应用层,能够发现和防护常用的无线攻击,确保无线信号传输过程中的安全性。
在链路层,需要考虑结合 802.1x 认证,防范针对 802.11 报文的 Flood、Null Data 等常见攻击;在安全标准方面,802.11i 安全机制被广泛使用,能满足无线校园网对数据传输安全性的要求。此外,瘦 AP 架构能够很好的发现和防范非法 AP,确保用户不会连接到非法 AP 上而导致泄密。
很多校园网 ARP 病毒泛滥,无线局域网由于共享带宽机制,更易受到 ARP 病毒影响,因此,必须在应用层提供解决方案能够全面防护 ARP 攻击,避免 ARP 病毒爆发而导致无线网络不可用。有条件的情况下,无线网络上提供安全准入功能,这样能够更有效的减少病毒或者系统漏洞对网络可用性带来的影响。另外无线控制器集成 IPS 功能很好的防御高层攻击已成为一种趋势。
素材:运营和优化
WLAN 的运营,既有 WLAN 自身的特点,又需要和现有的有线网络尽可能保持一致,因此需要全面统一考虑。
认证方面:重要的认证技术包括 802.1x、Web Portal 和 PPPoE 认证。但对于无线校园网来说,由于用户的终端类型多种多样,802.1x 认证的终端兼容性问题很难解决,所以在无线校园网中不推荐使用 802.1x 认证,而推荐使用 WebPortal 方式认证。在和运营商联合建设的情况下,可以使用 PPPoE 认证。
计费方面,大多数学校的有线网络都是采用校园网包月、外网按流量计费的模式。此模式包括两个认证过程:第一个过程是用户接入无线网络时检查用户是否存在以及是否缴纳包月费用;第二个过程是用户访问外网时出发启动流量计费认证。由于用户需要输入两次同样的用户名密码,很不方便,因此无线校园网在计费策略和有线网络保持一致的情况下,可以通过实现一次认证,简化用户认证流程。
对于网络优化来说,是一个持续的过程。无线局域网容易受到外界干扰,对于短期的干扰,无线控制器自动信道调整和自动功率控制能够把干扰的影响降到最低;而对于长期的干扰,必须根据用户长期使用效果进行人工调节或者调整。
素材:网络管理
目前很多已建成的无线校园网都是有线设备一套管理系统,无线设备一套管理系统。很多时候,无线网络出现问题后必须有线网管系统配合才能最终找到问题的原因,给系统维护带来极大的工作量。因此无线校园网的管理系统必须能够实现对无线校园网建设所需的所有设备,包括 AC、FIT AP、FAT AP、PoE 交换机、汇聚交换机、核心交换机在内的有线和无线设备的统一管理;使无线校园网能够作为一个完整的系统,实现单独的管理和运营。
用户的管理:传统的有线网络可以通过 IP、MAC、端口等多维度的绑定来实现对用户的管理。而对于无线网络,用户的 IP、MAC 都有可能变化,端口更是随着用户的漫游在变化,因此必须有一种更加切实可行的方式来增强对用户的管理。
对于无线校园网来说,无线管理系统必须能够实现对用户 IP、MAC 地址、用户名、所在 AP、安全策略等动态的管理,能够在系统中实时查询到每个用户的相关信息并记录成日志,以备审计,实现对用户的良好管理。