智能无线网络系统，全无线覆盖校园网新模式

北京邮电除夜黉舍园网初于1994年成立，至今履历了二十多年的延续培育汲引。从三节点环状园区网到星型园区网，再到2018岁首完成的三校区环状光纤网，校园网已从初为科研、藏书楼等少数部门处事的小规模汇集，成长成为全校师生教学、科研、办公、糊口处事的多营业承载的多校区除夜规模宽带汇集。　　

北京邮电除夜学沙河校区位于北京市昌平区沙河高教园区东南部，总用地面积约1348亩，总建筑面积约70万平方米，整体建成后将能够容纳16000名学生。根底汇集培育汲引是北京邮电除夜学沙河校区聪明校园培育汲引的一项首要内容。沙河校区一期汇集培育汲引触及教学考试考试综合楼、学生宿舍雁北园、行政办公楼、学生食堂、教工食堂和学生勾傍边心。沙河校区二期汇集培育汲引触及学生宿舍雁南园、藏书楼和信息楼。　　

现状与问题　　

跟着黉舍信息化水平不竭提高，校园网早已成为校园里不成贫窭的根底步履法子，在西土城路校区的汇集培育汲引和运维治理工作中，不竭呈现出新的挑战。　　首先，用户接入需求从有线改变到无线。桌面互联网时代，用户终端主若是台式电脑，经由过程有线汇集接入校园网；即便笔记本电脑慢慢成为主流的工具，因为它们同时配备了以太网接口和Wi-Fi模块，有线汇集仍然能够知足用户需求。移动互联网时代，智高手机和平板电脑早除夜量闪现，这些终端只能经由过程Wi-Fi或3G/4G接入汇集，甚至愈来愈多的笔记本电脑早不配备以太网接口，只供给有线接入的校园网已没法知足用户需求。　　

其次，用户入网设备从终端扩年夜到。桌面互联网时代，用户终端经由集线器或二层交流机毗连到校园网三层设备，汇集治理系统能够感知用户终端的链路状况，便于故障排查和准入策略节制。跟着无线终端增多，用户晨安装带NAT功能的无线路由器，不单增添了汇集故障点和排查难度，还给准入节制带来了坚苦，同时导致了无线频谱成本的干扰和华侈，也让用户发生了额外的经济成本和时刻开消。此外，一些科研团队将专用设备及处事器连到用户接入汇集，超出了原本设计的工作场景，造成了一系列汇集异常事务。　　

再次，用户组网需求从简单演进到复杂。传统的营业部门只有少量步履法子可接入校园网，跟着校园信息化培育汲引的快速睁开，诸如门禁、水控、一卡通消费、节能减排、安防监控、桌面虚拟化等营业都要依托汇集撑持。因为数据的敏感性，这些营业凡是需要孤立组网，封锁运行，公共处事营业还要求跨校区通信。同时，跟着除夜数据分化的需要，营业数据要在必定水平上能够向校园网用户供给在线访谒。面临这些复杂的组网需求，现有的汇集根底步履法子难以矫捷撑持。　　

因为黉舍西土城路校区的校园网培育汲引已延续二十多年，治理模式一时难以全数改变，以上问题存在了很长时刻。可是，跟着近几年无线汇集培育汲引的睁开，慢慢发现无线汇集的操作特点在必定水平上可以解决上述问题，出格是在新校区操作下场加倍较着：　　

1.无线汇集可以知足除夜量用户无线终端统一接入的需求；　　

2.无线汇集可以避免用户私行安装三层设备，便当运营和故障排查；　　

3.无线汇集的接入交流机和节制器可以用地道的编制组建封锁专网。　　

设计思绪　　

跟着黉舍沙河新校区培育汲引机缘的到来，借助全新的汇集设计方案，实现从根柢上超越汇集治理模式的障碍，避免重蹈老校区所面临的逆境。　　

沙河新校区校园网的设计原则是：无线为主，周全笼盖，面向全数用户开放；有线为辅，按需开通，仅领受部门用户申请。　　

手艺前进前辈性和合用性　　

系统培育汲引要有必定的前瞻性，保证知足无线操作营业的同时，又要闪现出汇集手艺的前进前辈性。把前进前辈的理念与现有的成熟手艺和尺度连络起来，充实考虑到黉舍操作的现状和未来成长趋向。在汇集建成后的3至5年内，不会因为营业量的增添导致对汇集结构及首要设备的重除夜调剂。　　高度的靠得住性和不变性　　汇集系统的不变靠得住是操作系统正常运行的关头保证，无线系统应采纳成熟的瘦AP汇集架构，采纳室内放装的编制进行全笼盖放置。无线设备要撑持802.11a/b/g/n/ac。无线设备操作的各项手艺必需与国际主流手艺相一致。系统整体上具有高可用性、易治理性、高安然性、可扩年夜性和撑持高密度。　　

高机能　　

为了实时、火速地措置汇集上传送的数据，汇集设备必需具有高速措置能力，供给高速数据链路，保证汇集高吞吐能力，知足各类操作对汇集带宽的需求。　　

易于安装、操作和治理　　

精采的组织和治理对汇集的正常运转和高效操作有很除夜辅佐，汇集理当能够供给便当、矫捷、有力的工具，使得不管是安装、操作仍是操作都较为便捷。　　

可扩充性　　

跟着用户操作规模的不竭扩除夜，要求汇集可以便当地扩充容量，撑持更多的用户及操作；跟着汇集手艺的不竭成长，汇集必需能够滑腻地过渡到新的手艺和设备，确保黉舍投入发生除夜效能。　　

高度的安然性　　

无线产物必需具有高安然性。经由过程对无线用户做矫捷的认证、加密来确保汇集和用户的安然性，可对不合的用户做不合的安然策略，而且可以对用户无线操作及访谒的成本做可视化治理。　　

IPv6　　

无线设备必需撑持IPv4/IPv6双栈手艺，而且能够在纯IPv6汇集气象中正常工作。　　

无线网架构　　

1.无线系统采纳“AC AP”瘦AP组网模式，沙河校区的无线节制器与西土城路校区的无线节制器采纳集群模式组网，经由过程一台MASTER节制器进行全网的统一治理和设置设备放置，遵循校区采纳无线节制器N 1备份，如图2所示。　　

2.沙河校区一期无线网采纳2台无线节制器（每台可治理2048个AP），治理在线运行的1740颗无线AP，二期无线网也采纳2台无线节制器，治理在线运行的1144颗无线。总AP数目已达到2884个。　　

3.经由过程一套网管系统实现对全网所有设备和终端的治理。无线网管供给了实时据守、AP远程设置设备放置、自动报警和历史数据陈述。它具有专用面板视图，能快速诊断RF笼盖、可视化监控设备的运行状况和汇集处事健康状况。　　

4.操作ClearPass统一实现多个校区的无线用户策略治理，和无感知认证。能够遵循不合的操作系统和终端类型采纳不合的认证和安然节制。　　

认证和计费策略　　

1.沙河校区广播了5个SSID，而且在不合区域有所分辩，气象以下，如图3所示。　　

（1）办公和教学区：BUPT-mobile，BUPT-portal，BUPT-guest，BUPT-iot，eduroam　　

（2）宿舍区：BUPT-mobile，BUPT-portal　　

2.五个SSID采纳了不合的认证编制和计费策略，其中BUPT-mobile和BUPTportal经由过程ClearPass做策略节制和终端数图2无线网架构量绑定限制，气象以下：　　

（1）BUPT-mobile：访谒互联网，802.1x认证，仅给智能终端操作（iOS，Android），笔记本和台式机不能接入操作（Windows，macOS）。　　

（2）BUPT-portal：收费访谒互联网，经由过程ClearPass做准入认证，经由过程WebPortal做准出认证，所有没有线终端都可以接入操作。　　

（3）BUPT-guest：限时访谒互联网，Web Portal认证，经由过程访客的手机号注册，所有没有线终端都可以接入操作，今朝的策略是每个访客账号每个月可操作8小时。　　（4）BUPT-iot：不能访谒互联网，仅用于物联网设备（如无线打印机、无线摄像头、无线自助处事机等）与三校区内校园网用户之间的通信，经由过程MAC地址做认证，只有汇集治理员准予的物联网设备才能接入操作。　　

（5）Eduroam：访谒互联网，仅用于Eduroam联盟成员用户在三校区的办公和教学区接入操作，经由过程Eduroam处事进行无线漫游认证，本校师生不能接入操作。　　

地道专网架构　　

因为校病院、一卡通、安防等营业需要跨校区睁开，而且但愿与泛泛互联网流量隔离，是以需要培育汲引各类专用汇集。沙河校区采纳地道手艺实现一张汇集承载多种营业，充实操作现有汇集根底步履法子，快速放置各类专网。采纳地道手艺，首要考虑到3个方面成分：　　

1.完全培育汲引多套笼盖全校的物理专网成本较高；　　

2.培育汲引物理专网对多个校区的呵护和扩年夜，难度较高；　　

3.培育汲引基于MPLS或VLAN的专网，呵护复杂，故障排查难。　　

地道专网经由过程集中节制器与基于地道手艺的无线接入交流机进行组网，如图4所示。地道交流机撑持遵循不合端口分拨不合的专网（VLAN），能够在统一个物理交流机上矫捷扩年夜出多个不合的专网。而且可以遵循现实需要，随时搬场和从头接入，不需要对地道交流机做任何设置设备放置调剂，不需要改削任何现网设备的设置设备放置，即插即用。同时，经由过程集中节制器还可以监控所有设备工作状况。　　

AP放置方案　　

1.教学区　　

教学区采纳高密度AP，AP安装到教室内，遵循坐位数目，遵循每50个坐位对应一个AP进行筹算。遵循坐位的结构和安装前提，采纳吸顶或壁挂安装编制，AP尽可能接近笼盖区域，削减对四周区域的频段干扰。　　

2.办公区　　

办公区采纳通俗室内AP，AP安装到房间内，根底原则遵循每个房间对应1个AP，遵循房间面积可能安装1个或多个AP，采纳吸顶或壁挂安装编制。　　

3.宿舍区　　

宿舍区采纳通俗室内AP，AP安装到房间内，遵循每间宿舍对应1个AP，采纳吸顶或壁挂安装编制，AP配有防护盒，避免学生破损或粉刷破损AP，如图5所示。　　

4.食堂、体育馆、藏书楼和会议中心　　

食堂、体育馆、藏书楼和会议中心属于高密度区，这些区域采纳高密度AP，遵循坐位数目和可容纳人数，遵循每50个坐位（人）对应一个AP进行筹算。采纳吸顶、壁挂或坐位下潜匿安装，AP尽可能接近笼盖区域，削减对四周区域的频段干扰。　　

5.室外　　

室外勾当区域可以采纳室外型AP，AP固定在墙壁或灯杆上，采纳POE供电，如图6所示。重点笼盖室外固定的公共勾当区域，例如藏书楼周边的长椅区。两个室外AP之间的距离不超越200米。遵循勾当区域内的人数，遵循每个AP笼盖80～100人进行设计。　　

操作气象　　

一期无线网处事于二年级学生和教职工，约3200多人，除夜同时接入终端总数超越4400个，其中移动终端数超越3000个。二期无线网处事于一年级新生，约3000多人，除夜同时接入终端总数超越4100个，其中移动终端数超越2800个。除移动终端，其余终端为笔记本电脑、插USB无线网卡的台式电脑或物联网设备。　　

截至2018年1月，北邮沙河校区一期无线汇集从2015年9月早已不变运行两年半，一期无线网孤立运行时代，入流量峰值超越2Gbps，非假期时段的入流量平均值除夜约1Gbps。截至2018年3月，二期无线汇集从2017年9月早已不变运行半年。一期和二期无线汇集配合运行时代，无线网入流量峰值达到7.6Gbps，非假期时段的入流量平均值除夜约2Gbps。　　

二期无线网从2017年9月早启用，图7可以看到一期无线网自力运行时代的流量气象，和与两期无线网配合运行时的对比。图8可以看到2018年3月两期无线网配合运行时代的天天流量气象。　　

全无线汇集的接入编制知足了小我用户在各类场景下的用网需求。在教学区，师生可以在肆意一间教室内将自己携带的无线终端快速接入校园网，没需要再寻觅墙壁网口，也没需要再咨询教室治理员，而且撑持除夜量终端同时接入。在宿舍区，学生在无线汇集中访谒校内外汇集成本，除个体游戏和个体终端在岑岭期略有延时以外，各类IPv4和IPv6操作都可以正常工作，同时运维人员消弭汇集故障的速度除夜除夜提高。在办公区，为台式电脑配备了USB无线网卡，教职工可以正常访谒校内办公系统和校外汇集成本。　　全无线汇集的接入编制也为部门用户供给了便当。无线打印机和无线摄像甲等自带无线接入能力的设备，经治理员设置设备放置后可以快速接入汇集，避免了破钞人力物力的弱电刷新工程，连结了新校区的崭新脸蛋。针对没有没有线接入能力可是基于x86架构研制的设备，可以经由过程添加USB无线网卡的编制刷新为无线接入终端；针对部门用户的汇集打印机、汇集摄像头、一卡通数据等不存在无线能力或USB接口的纯有线设备，采纳按需申请开通有线网接口的编制接入；针对教学科研处事器、公共教学机房主机等部门用户自建局域汇集接入校园网的场景，采纳按需申请开通光纤接口的编制接入。根底知足了部门用户在各类场景下的用网需求。　　

瞻望未来　　

党的十九除夜陈述了了提出“催促新型工业化、信息化、城镇化、农业现代化同步成长”。信息化水平成为一个城市或地域现代化水安然舒适综合实力的首要标识表记标帜。北京邮电除夜学的信息化培育汲引任重而道远，我们将依托黉舍的成本优势，积极进修外界新手艺新模式，勇于立异，为高校的信息化培育汲引做出更多供献