无线通项目系统框架

　　1. 上海高校无线校园网建设现状

　　据不完全统计，目前上海高校中的一般热点区域均已建成了无线网络。根据其建设方案的汇总归类，无线校园网的整体方案可以归结为“传统AP+认证计费网关”的方式及“无线交换机”的方式，或两种方式兼而有之。

　　传统AP相当于有线网络中的集线器，提供无线信号发射和接收的功能，可以对自身进行基本配置，如IP、SSID、基本安全设置等。传统AP架构的无线网络中，都会在无线网络的核心节点使用若干台AC（Access Controller）设备作为计费、认证网关进行无线网络用户的安全认证。

　　无线交换机集中实现射频监控、数据流量管理、安全认证、QoS、接入控制、负载均衡，以及AP的控制管理等功能。AP只实现802.11的空口功能，完成无线电波收发任务。

　　这两种架构的无线网络各有优缺点，且为互补。有些学校是保留部分老的无线覆盖项目，在新建的项目中使用更新的无线交换机技术建设，这样能够保护原有的投资。有些学校则根据单位面积的用户数量或者重要性，有选择地交替使用两种无线模型。

　　2.  无线校园网用户认证方式分析

　　在无线校园网建设中另一个重要的环节就是接入用户认证的方式。经过对上海十余所高校无线网络接入认证情况的调研和总结，高校内无线校园网络认证的后端结构大致有三个模式：多认证链路并存、轮询认证、认证委托。

　　多认证链路并存是指同时存在多条无线链路，可按校区、行政、教学、宿舍等规则划分，每条链路的认证是独立的，有些链路建设较早，使用胖AP模式，有些链路是新建设的，使用瘦AP模式。虽然每条认证链路都是独立的，但其认证源可能是同一个，或者不同链路使用不同认证源。如校中心LDAP、Radius服务、校数据中心、校邮箱POP3认证等。这样既便于用户的管理，又解决了不同时期建设的无线网络的兼容问题。不同的认证链路可以受同一个总AC控制器控制，这样能方便、策略地配置下发，实际的认证也可以灵活变动。

　　轮询认证是指AC在收到用户的认证信息后，按顺序去多个认证源检查用户的认证信息，只要有一个认证源通过认证即放行该用户。例如用户接入无线网络并输入认证信息后，AC控制器会先在校LDAP上认证用户账户，若没有通过认证再到校数据中心检查，然后再依次到Radius服务、邮箱POP3、访客系统等认证源中进行检查，AC控制器可能会有级联，每个AC可能会到不同的认证源认证，只要有一个认证源通过，所有AC都会放行。该认证模式的用户管理较灵活，适应高校内用户账户数据分散的现状。此外有些高校建立了认证中心或统一身份认证来完成轮询的各步骤。

　　认证委托是指将认证委托给其他系统，如校信息门户、校统一身份认证、校认证中心等。无线网络接入认证时将页面重定向到委托的认证系统，然后等待接受其他系统的认证结果，通过认证后放行。