802.11n无线网部署

　　后主楼无线网络覆盖区域包括后主楼一层至二十三层， 其中一层为大厅、 二层至八层图书馆、九层至二十二层为各院系办公及教学场所、 二十三层为博物馆。 除此之外还包括后主楼北广场、京师广场两个室外场地，主楼A区三、四层校领导办公区。图书馆和会议室用户密度大，要求AP高密度部署；主楼A区三层、四层部署的产品，存在和其他产品同楼部署，信号干扰问题严重；后主楼建筑面积大，用户众多，信号漫游问题比较严重；另外，该楼宇用户复杂，认证方式的多样性也是制约无线应用的主要问题之一。

　　无线网络信道规划

　　802.11b/g/n的频率范围是2400-2483.5MHz，划分了14个子频道，频带宽为22MHz，最多可以提供3个不重叠的频道同时工作(1，6，11)。

　　在大规模部署时AP会由于避免信道之间干扰而采用错频方式进行部署，即1/6/11交叉部署。 而当AP数量增多到一定程度， 再新增加AP时则会出现无法寻找到合适错频空间的问题，使得新增AP成为困难。

　　本次采用的无线AP可以在同一个频道部署，而不产出干扰，同样在多AP环境下新增AP 时无需考虑错频带来的困扰。

　　结合产品的以上技术特点，北师大在后主楼无线网络项目中，每个楼层部署的AP均放置在同一信道，相邻两楼层的AP放置于不同信道，即：一层AP使用信道1、二层AP使用信道6、三层AP使用信道11，如此反复（具体部署方式参见下图）。我们将这种方式俗称为“同层部署、多层叠加”由此带来的优势有：1.每层新增AP 时无需进行无线站点勘测和信道规划；2.最大程度的提升了高密度无线接入能力；3. 将同频干扰的可能降至最低；4. 客户端可实现“零漫游” 。

　　虚拟SSID和VLAN规划

　　一般用户都误解无线局域网的SSID为局域网的VLAN， 这可能是由于第一代的无线局域网都是通过“FAT AP”组网的原因。其实二者之间的关系并非是一对一，即一个SSID必须对应有一个VLAN。当然把一个SSID设定在一个VLAN内，对只能够支持第二层的无线用户漫游的传统无线局域网是唯一可实现的方式。但这样的组网必须在现有的网络上做出很多改动，AP数量多时，无线用户VLAN/IP子网也增多，无线用户IP子网在局域网内必须全打通， (即汇聚层和骨干层的路由开通) 否则无线用户就不能访问局域网上其它网点，包括在不同接入层的无线用户。

　　根据不同的用户需求，北师大后主楼无线网除了会议室，均使用BNU作为其唯一的SSID，该SSID对应一个VLAN，共8个C 类IP 地址。图书馆的会议室、主楼A座3、4层和室外无线，因用户的需要不同，需要专门为这几个地方分配单独的SSID和VLAN， 方便于统一管理，同时为每个VLAN分配1-2个C类IP地址。

　　无线安全设计

　　无线网络一直面临安全问题，安全问题也越来越成为企业决策者决定是否部署WLAN网络的关键因素。

　　认证方式：通过学校网络核心三层交换机配合无线控制器，一起规划和设置互相隔离的业务VLAN和用户，用于针对不同业务类型的无线终端的访问， 不同的专用业务通道可选择不同的认证和信号加密方法。

　　后主楼（除会议室以外）统一使用Captive Portal的方式（BNU），把portal认证和计费系统相结合，通过web页面认证一次通过，用户根据访问网络类型不同，选择校内、国内和国际方式登录。室外无线因为迎新需要，把无线分成两个SSID，一个SSID使用Captive Portal的方式（BNU-JSGC），认证方式与后主楼同，普通师生可以使用；另一个SSID用于迎新工作人员使用， 采用802.1X认证+WPA2信号加密方式（BNU-YX）等。

　　加密：支持WEP、TKIP、AES等多种安全加密方法，保证数据传输的私密性和完整性。

　　VPN：无线网络产品可以为用户提供独特的多层次的安全机制,能很好的为WLAN网络提供无缝的安全防护。

　　无线系统提供内置的IDS无线入侵检测系统，可以对非法Rogue  AP 和RogueClient进行检测、定位和抑制；无线系统还可以提供出色的和有线安全设备的联动功能，例如IDS/IPS、ACS等等，实现对L2-L7层入侵攻击的防范，弥补WIDS方法L2入侵攻击的不足，实现对客户访问的认证和授权，体现一体化的安全策略。

　　无线拓扑结构

　　如图3所示，控制器直连三层交换机，POE 交换机通过光纤汇聚至光纤交换机，光纤交换机连至三层交换机，三层交换机直接上联至核心交换机。控制器集中控制所有的无线AP，通过在控制器上集中配置各种不同级别的应用策略，再分发至接入层无线AP，将用校园网络和公用网络在逻辑上区分开来，从根本上保护校园网内的数据安全性。

　　本文根据802.11n产品的特性，提出特定的无线网架构。为北师大教学区和后续802.11n无线网改造积累了丰富的经验。另外， 此次无线设备支持同频部署，可以支持同时部署3个SSID，对未来多样性服务的扩展性提供了基础准备。

　　（作者单位为北京师范大学信息网络中心）