设计思想

第一代无线局域网（WLAN）因其便利性，在企业、家庭以及公共区域逐渐普及，然而第一代WLAN存在的“四不一没有”的难题使大规模建设WLAN却步不前。即：频宽不足、漫游不方便、不安全、认证管理不足、没有杀手级应用作为驱动力。

新一代的无线校园网，在第一代无线校园网的经验上做了全面的设计思考。

清华实证网的四个基本点是：统一认证和分布式Radius、数据和语音同传、足够的安全等级、业务区分管理。这也是无线网可运营可管理的基准。在满足这一基准的前提下，清华实证网还要对更多项目： WLAN的服务质量（QoS）、广域漫游、快速切换、网络管理、大规模用户量冲击等等做进一步测试并加以应用。

清华实证网不仅解决了第一代无线校园网的弊病，还给无线校园建设带来很多耳目一新的应用格局。在认证管理、安全、应用、可扩展性方面迈上了一个新台阶，是新一代无线校园的最理想解决方案。

统一认证

在复杂的高校园区实现WLAN，第一步是如何识别用户身份，并给予相应接入权限。用户有学生、教工、家属、访客，应用有纯粹为了上互联网、科研、内部联络、语音通信、视频应用等等，怎样保证对这些用户不同的控制，如何对他们分级别、分权限，对用户进行控制和管理，这是大规模园区部署最先要考虑的。

清华无线实证网采用了基于“用户名＋密码”的统一认证方式，并给予不同的业务不同的接入带宽、不同QoS等级，以及分配不同的IP地址，统一认证，差别管理。通过无线控制网关和Radius配合，保证每一个进入无线网的用户都是合法的、经过认证的用户。

目前，参加测试的大部分无线网已经和清华及赛尔的Radius Server成功对接。保证了每一个用户都是“实名制”的，必须在本地Radius服务器获得认证。

新型覆盖

“无线是有线的补充”这句话不再成立，mesh技术颠覆了这个说法。

摩托罗拉的tropos是一种室外型AP，其无线穿透力十分强大，覆盖范围可达500米。在清华大学的综合体育场放置了两个这种室外AP，快速驱车拨打WIFI电话，信号清晰不掉线。北电的同类mesh产品，也具备半径300米左右的覆盖区域，挂在路灯下，覆盖了很大一片区域，十分适用于覆盖步行街和广场。比起传统的AP覆盖，mesh网的室外AP效果会好很多。一是带宽高，二是发射功率大，三是穿透效果好。

有了这种解决方案，一个园区放置十几个室外mesh设备，就能完全覆盖整个校园的室外或者大型室内场景。无需综合布线，只需要少量的信息点即可。中间的链路完全由无线链路担当。从而校园的建设会变得非常的简捷。

实证网下一步将会在一些特定区域做室外的mesh覆盖，观测其实际效果。

安全等级

网络安全了，它一定是呆板的，因为安全可靠和灵活这是两个矛盾体。怎样实现既安全又灵活的网络和用户管理？

Aruba产品很好地回答了这个问题。对于普通用户，它提供web portal的认证；对于安全等级较高的用户，它建议使用web portal＋VPN加密的认证方式。即除了传统的二层无线安全，还提供了三层的端到端的无线＋有线安全。因为该设备集成了VPN Server、防火墙、防病毒功能，并能监测到IDS无线入侵，为用户安全性加了多个层面的保障。

Bluesocket的无线网关也很好地解决了安全性问题。它支持PPTP - IPSec - L2TP over IPSec等多种VPN方式，提供了基于VPN的“安全无缝漫游”。另外，还通过BlueSecure设施实现IDS无线入侵检测（由于无线空间不能以物理方式进行安全保护，网络管理员需要前瞻性地为校园提供保护，使其免受干扰性 AP、流浪 AP 以及企图闯入 WLAN 的恶意用户所造成的损害）。

以上安全功能均在实证网测试进程中。

Web portal认证方式，虽然不是安全的最高等级，却十分适用于大规模无线部署的应用。首先它提供用户自助登录服务，无需安装客户端软件；其次，它使用了https接入方式，也有足够的安全等级；最后，无线网关接入到Radius的链路是MD5非明文加密，用户名和密码不会被盗取。因此，web portal认证是清华实证网的主要设计思想之一。

无缝漫游

第一代WLAN是基于二层的漫游，而下一代WLAN则是基于三层的漫游，用户可以在不同AP、不同子网、不同VLAN之间漫游，既不会丢失连接，也不需要重启，从而在更大范围内实现更好的无缝漫游。

无线控制网关能够根据用户的特征资料确定用户的访问策略，用户的跨子网漫游不需要重新验证。它承担了有线网络中路由器上的移动IP 处理工作的负担，能够提供更好的漫游性能，从而消除了对无线用户的复杂性，不用在每个移动终端上安装移动性软件。

因为良好的移动性，Voice over WLAN的应用性能得以改善，在新的WLAN网络中，WIFI语音的延迟、带宽、Qos、漫游特性均得以保障。

某些厂家把移动 IP 及 DHCP 与用户验证及移动防火墙等安全性功能集成到一起，在无线体系结构中维护用户身份、访问控制策略以及连接状态。用户状态保存在一部全局活动用户数据库中，能够在用户移动时无缝、持续地提供移动服务，同时透明地实施用户安全性策略。这种“移动的安全漫游”值得关注。

自动配置、自愈合

大规模部署无线网络，如果能自动为AP分配地址等信息，无需手工配置，将会大大简化学校网络管理的工作量。另外，若AP工作状态不正常，99％的问题通过重新加电复位都能解决。若能自动判断故障并重启AP，维护工作将变得非常简易。

Aruba的“瘦AP＋无线交换机”结构就是这样一套自动配置，自愈合系统。所有AP的配置工作都集中在无线交换机上自动进行。在加电启动时，每一个 AP 都与 WLAN 交换机联系以获取其初始化配置，以后的配置变化也都在 WLAN 交换机上集中完成并上载到每个AP中；为了替换出现故障的 AP，网络管理员只需插入一个新 AP 即可，它随即可以被 WLAN 交换机发现并得到自动配置，真正实现了“即插即用”的WI-FI。AP只剩下收发器和电波监视功能，管理功能集中到无线交换机上。

Cisco与gemtek的无线设备也支持自动配置，自动愈合，并自动调节发射功率，从而缩减了大规模无线网的维护量。

实证网将在实际环境中验证以上功能。

突破性应用

WIFI phone是下一代WLAN的重要推动力。从传统的数据上网业务，到能够支持VoIP及多媒体业务广泛应用，无线应用到了WIFI phone阶段终于有了突破。无线局域网语音（VoWLAN）是2005年的一个热门主题，WLAN手持终端也可以和蜂窝电话一样自由漫游，作为学生们替代蜂窝电话的一个廉价选择。

用WLAN在教室传递数据、用IP固话传输语音的校园正在把两者结合起来。使用新一代无线基础设施组成的WLAN网，师生无论在校园的哪个角落都可以同时使用数据和语音两种业务，可以拨打国内和国际电话长途。

新一代无线校园网，带来超乎想象力的应用，比如：无线视频监控。使用无线摄像头做监控，只需要提供一个电源，就能在学校任何有无线覆盖的角落做现场直播、考试监控、宿舍保安等。安装隐蔽且灵活，无需传统的网线和编解码器。

4月23日，值清华大学九十四周年校庆之际，清华大学网络中心和赛尔网络个人业务部联合举办了第一次无线展。在东门外和主楼大厅里为来宾们提供了免费无线上网体验和最新的WIFI phone电话服务。展台旁边架设的无线摄像机将校庆现场生动的一幕幕记录并在网上直播。主楼、FIT大楼及主楼广场到东门等均有无线信号覆盖。无线展获得了非常好的效果：无线上网的流量增加，校友们在体验到了WIFI电话的魅力，以及看到无线直播的实景后惊叹不已。

实证网的意义

除了充分展现现有设备的功能，找到特定解决方案最适合的特定场景，实证网还有更深远的意义。一是指导厂商开发出他们以前没有的性能特点的产品，以更贴切校园网用户的需求，从而更加具有市场竞争力，并符合国内院校的实际使用情况。二是有了真实的无线环境，可以做一些深远的研究，如无线优化，使得网络性能最好地支撑大容量多并发的业务使用；三是通过监视数据流量，分析客户行为，制定更符合客户消费习惯的新业务；四是做一些新标准的试验，如WiMax，802.16e等。

另外，无线的解决方案并不是尽善尽美，或多或少都有一些不尽如人意的地方。比如某些QoS能力有限，某些漫游能力不足，只有在实证网中才能暴露出最多的问题，在试运行阶段做出改进，从而在大规模商用之前尽可能规避风险。

成熟应用的大规模无线网是清华实证网的目标，看似遥远，其实可以提前实现。每个厂家在实证网设计思想的引领下，安装调试完毕后均能提供出功能更多更好的产品。

在清华大学的应用环境下，整合校园的应用需求和厂家的技术力量，实证网逐渐成为中国无线联盟的一个大平台。它提前将各种未来应用的场景集中在一个校区，呈现在参观者的面前。

目前加入实证网的厂商已有： aruba，bluesocket/清华比威，cisco，abovecable（宽讯），airespace，gemtek（正诚），nortel（北电），motorola/tropos，中兴，华为3com等等。集中在清华大学无线校园网建设中的均为无线业界的领先厂家以及其最新产品。（待续）

(李贺武 李风华 何涛:清华大学信息网络工程研究中心)

（陈瑶：赛尔网络有限公司）