校園無線網(wǎng)絡(luò)的構(gòu)建

1、校園無線網(wǎng)絡(luò)的構(gòu)建摘要：首先介紹了校園無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則，然后從無線網(wǎng)絡(luò)覆蓋區(qū)域和設(shè)備、上網(wǎng)方式、無線網(wǎng)絡(luò)的安全和安全管理體系4個(gè)方面對(duì)無線網(wǎng)絡(luò)系統(tǒng)方案的實(shí)施進(jìn)行了詳細(xì)說明。關(guān)鍵詞：無線網(wǎng)絡(luò)；校園網(wǎng)；網(wǎng)絡(luò)安全1校園無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則標(biāo)準(zhǔn)和解決方案的成熟性在設(shè)計(jì)校園無線網(wǎng)絡(luò)系統(tǒng)的時(shí)候，需要考慮國(guó)際和國(guó)內(nèi)的相關(guān)標(biāo)準(zhǔn)，按照這些標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和施工，對(duì)于那些未在國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)中包含的新技術(shù)，堅(jiān)決不采用，同時(shí)各項(xiàng)技術(shù)必須與國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)相一致，而且保證與各個(gè)主流廠商的互操作性和兼容性。除了標(biāo)準(zhǔn)的成熟性之外，還要考慮到方案的成熟性，要保證整個(gè)系統(tǒng)具有前瞻性，在相對(duì)長(zhǎng)的時(shí)間都不會(huì)被淘汰。安全性和可靠性

2、首要考慮的就是安全性和可靠性，要防止操作人員誤操作或者系統(tǒng)中某些故障引起的數(shù)據(jù)破壞，同時(shí)要保護(hù)系統(tǒng)免受外部人員非法入侵和操作人員的越權(quán)操作。系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)診斷和測(cè)試能力，實(shí)現(xiàn)在線故障恢復(fù)，同時(shí)關(guān)鍵設(shè)備和線路要實(shí)現(xiàn)實(shí)時(shí)備份，防止出現(xiàn)故障導(dǎo)致數(shù)據(jù)丟失。在規(guī)劃和設(shè)計(jì)時(shí)，可以從3個(gè)方面進(jìn)行考慮：第一，針對(duì)不同用戶提供不同訪問策略。這樣，既可以滿足不同用戶在使用網(wǎng)絡(luò)時(shí)的安全性，同時(shí)對(duì)有特殊需求的用戶提供單獨(dú)的訪問服務(wù)，不會(huì)收到非法入侵；第二，保護(hù)無線網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩裕坏谌?，加?qiáng)射頻環(huán)境的監(jiān)控，對(duì)非法掃描的行為進(jìn)行定位，向其發(fā)送警告并將其進(jìn)行剔除?？晒芾硇院涂删S護(hù)性校園無線網(wǎng)絡(luò)系統(tǒng)應(yīng)該具有良好的可

3、管理性和可維護(hù)性，能夠?qū)o線網(wǎng)絡(luò)的工作參數(shù)進(jìn)行集中管理，能夠及時(shí)找到并排除故障。同時(shí)要求可以進(jìn)行在線管理，要求設(shè)備模塊做到即插即用?？蓴U(kuò)展性整個(gè)系統(tǒng)應(yīng)該可以方便地進(jìn)行功能和規(guī)模上的擴(kuò)展，擴(kuò)展時(shí)整個(gè)無線網(wǎng)絡(luò)構(gòu)架可以無需做大的改動(dòng)，擴(kuò)展后操作和管理模式不會(huì)發(fā)生大的變化。要做到系統(tǒng)具有可擴(kuò)展性，就不能只考慮目前的需求，更要考慮之后很長(zhǎng)時(shí)間內(nèi)的需求。2無線網(wǎng)絡(luò)系統(tǒng)方案的實(shí)施在進(jìn)行高校校園無線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)，主要考慮兩個(gè)問題：第一是無線網(wǎng)絡(luò)覆蓋區(qū)域的狀況以及網(wǎng)絡(luò)設(shè)備的選型；第二是用戶的上網(wǎng)方式和計(jì)費(fèi)方式。下面對(duì)這兩個(gè)問題進(jìn)行詳細(xì)說明。無線網(wǎng)絡(luò)覆蓋區(qū)域和設(shè)備通過對(duì)校園環(huán)境的實(shí)地調(diào)研、分析以及對(duì)學(xué)校教師和學(xué)

4、生的調(diào)查，將校園分為室內(nèi)和室外兩種無線網(wǎng)絡(luò)覆蓋區(qū)域。室內(nèi)無線網(wǎng)絡(luò)覆蓋區(qū)域包括會(huì)議室、圖書館、閱覽室、自習(xí)室、階梯教室和食堂等；室外無線網(wǎng)絡(luò)覆蓋區(qū)域包括廣場(chǎng)、花園、操場(chǎng)、停車場(chǎng)以及宿舍前面的休息區(qū)等。對(duì)于網(wǎng)絡(luò)設(shè)備的選擇，從兼容性和配置統(tǒng)一的方面來考慮，所選購(gòu)的無線網(wǎng)絡(luò)設(shè)備都是與原校園網(wǎng)絡(luò)設(shè)備相同的品牌所謂無線AP(AccessPoint),即無線接入點(diǎn)，是用于無線網(wǎng)絡(luò)的無線交換機(jī)，也是無線網(wǎng)絡(luò)的核心，是移動(dòng)計(jì)算機(jī)用戶進(jìn)入有線網(wǎng)絡(luò)的接入點(diǎn)。在本文設(shè)計(jì)的校園無線網(wǎng)絡(luò)系統(tǒng)中,室外無線AP采用的是室外型大功率無線接入點(diǎn)產(chǎn)品，其工作頻段為2.4GHz,支持IEEE802.11n標(biāo)準(zhǔn),內(nèi)置500mW的雙向功

5、率放大器。由于室外場(chǎng)所的環(huán)境有所不同,無線網(wǎng)絡(luò)的覆蓋要求也會(huì)有差異,室外無線AP可根據(jù)這些條件的不同,配合相應(yīng)的外接天線,在室外覆蓋良好的無線網(wǎng)絡(luò)信號(hào)。按照本次校園無線網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與設(shè)計(jì)，室內(nèi)AP，提供兩路接入，共600Mbps，支持IEEE802.11n標(biāo)準(zhǔn)，可以為每個(gè)用戶提供不低于10Mbps的無線連接速率，這樣，不但能夠滿足現(xiàn)有校園網(wǎng)應(yīng)用的帶寬要求,同時(shí),還能夠?yàn)閷W(xué)校的視頻、音頻等多媒體資源的點(diǎn)播提供網(wǎng)絡(luò)基礎(chǔ),滿足高校未來信息化發(fā)展的要求。根據(jù)校園無線網(wǎng)絡(luò)系統(tǒng)的要求,所選用的無線AC設(shè)備可以高效地處理學(xué)生網(wǎng)絡(luò)視頻、音頻和在線游戲、在線聊天等小包的數(shù)據(jù)流。同時(shí),在校園網(wǎng)絡(luò)系統(tǒng)的規(guī)劃中,無

6、線AP要提供雙萬兆的上聯(lián)接口,為之后的無線應(yīng)用擴(kuò)展和升級(jí)預(yù)留帶寬。上網(wǎng)方式在高校校園無線網(wǎng)絡(luò)系統(tǒng)中,服務(wù)的對(duì)象主要是教師、學(xué)生和學(xué)校領(lǐng)導(dǎo)、員工等,因此,校園無線網(wǎng)絡(luò)具有覆蓋范圍廣泛、使用者和使用時(shí)間不確定的特點(diǎn)。為防止非法使用者使用,更好地滿足合法使用者的使用需求，本無線網(wǎng)絡(luò)系統(tǒng)采用了基于SAM的Portal認(rèn)證方式，只有向?qū)W校申請(qǐng)了無線網(wǎng)絡(luò)服務(wù)的用戶才能夠使用。根據(jù)無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)，系統(tǒng)將根據(jù)使用時(shí)間對(duì)使用者進(jìn)行收費(fèi)，以時(shí)間計(jì)費(fèi)。使用者在申請(qǐng)完成之后和使用之前，必須先交納一定的費(fèi)用，登錄認(rèn)證成功之后開始計(jì)費(fèi)，下線的時(shí)候停止計(jì)費(fèi)，可以精確到秒，當(dāng)余額不足時(shí)會(huì)自動(dòng)下線或者拒絕登錄。這種方式的具

7、體操作方法是，首先在無線AC上建立無線VLAN，啟動(dòng)DHCP服務(wù)，匯聚層的交換機(jī)以Trunk方式與無線AP相連接。當(dāng)訪問者試圖連接無線網(wǎng)絡(luò)的時(shí)候，都需要通過portal發(fā)起認(rèn)證請(qǐng)求，只有認(rèn)證成功后才能夠上網(wǎng)，在認(rèn)證成功之后，系統(tǒng)開始計(jì)時(shí)，這樣在方便無線網(wǎng)絡(luò)系統(tǒng)管理和維護(hù)的同時(shí)也能夠防止非法使用者使用無線網(wǎng)絡(luò)，更好地為合法使用者提供無線網(wǎng)絡(luò)服務(wù)。由于是無線網(wǎng)絡(luò)，使用者在使用過程中可能會(huì)存在移動(dòng)位置的情況，為了讓使用者在移動(dòng)過程中實(shí)現(xiàn)無線漫游，在無線網(wǎng)絡(luò)系統(tǒng)中，讓集群中的多臺(tái)無線控制器共享用戶的數(shù)據(jù)庫(kù)，從而實(shí)現(xiàn)用戶在整個(gè)網(wǎng)絡(luò)中不同區(qū)域之間進(jìn)行移動(dòng)和跨越過程中無縫漫游。無線上網(wǎng)的流程如圖1所示。無線

8、網(wǎng)絡(luò)的安全在校園無線網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與構(gòu)建中，安全是重中之重，是系統(tǒng)成功與否的根本。因此，在系統(tǒng)中，要構(gòu)建一個(gè)良好的安全體系，從而切實(shí)保護(hù)用戶和系統(tǒng)自身的安全。（1）802.1X認(rèn)證。在部署無線網(wǎng)絡(luò)的安全體系時(shí)，可以采用802.1X和網(wǎng)絡(luò)準(zhǔn)入相結(jié)合的方式。這兩者的結(jié)合可以很好地保證校園無線網(wǎng)絡(luò)系統(tǒng)的安全。具體的操作方法是，當(dāng)合法用戶連接上無線AP之后，要求輸入AP的連接密碼，在合法用戶輸入密碼之后，分配GUESTVLAN的IP,在GUESTVLAN中暫時(shí)不能訪問任何資源。網(wǎng)絡(luò)準(zhǔn)入。當(dāng)用戶被分配GUTSTVLANIP地址之后，用戶暫時(shí)不能對(duì)資源進(jìn)行訪問,此時(shí),系統(tǒng)中的用戶接入服務(wù)器,即網(wǎng)絡(luò)準(zhǔn)入,會(huì)

9、自動(dòng)對(duì)客戶端上的準(zhǔn)入代理進(jìn)行聯(lián)動(dòng),對(duì)用戶的系統(tǒng)進(jìn)行掃描,查看用戶是否符合準(zhǔn)入策略的要求,如果符合準(zhǔn)入策略的要求,則會(huì)重新分配一個(gè)校園無線網(wǎng)絡(luò)內(nèi)網(wǎng)地址給用戶,這樣用戶就能夠使用學(xué)校的無線網(wǎng)絡(luò)了。如果合法用戶的密碼被泄露,非法用戶得到密碼后去連接無線AP，連接以后要求輸入密碼，雖然密碼是正確的，但是當(dāng)網(wǎng)絡(luò)準(zhǔn)入對(duì)用戶系統(tǒng)進(jìn)行掃描,會(huì)發(fā)現(xiàn)非法用戶不符合網(wǎng)絡(luò)準(zhǔn)入檢測(cè),這樣非法用戶就會(huì)一直停留在GUESTVLAN中,有效地保護(hù)了校園無線網(wǎng)絡(luò)內(nèi)網(wǎng)不受非法用戶的威脅。數(shù)據(jù)加密。校園無線網(wǎng)絡(luò)系統(tǒng)中的認(rèn)證機(jī)制和準(zhǔn)入機(jī)制是構(gòu)建安全體系的基礎(chǔ),數(shù)據(jù)加密也是安全體系中不可或缺的部分。在本次校園無線網(wǎng)絡(luò)的構(gòu)建中,所有AP

10、與用戶端之間的數(shù)據(jù)傳輸均采用的是AESCCMP加密，AESCCMP又稱為WPA2，它支持AES加密算法，而AES能夠?yàn)樾畔⒑蛿?shù)據(jù)提供128位的加密能力，這是WPA2與WPA最大的區(qū)別，所以AESCCMP的安全性比起WPA有了很大的提升。正是因?yàn)槿绱耍谠O(shè)備中加入WPA2支持已經(jīng)成為了很多服務(wù)商的選擇，而WindowsXP系統(tǒng)的補(bǔ)丁SP2中也集成了WPA2的支持。（4）身份認(rèn)證。在校園無線網(wǎng)絡(luò)系統(tǒng)的安全體系中，最重要的是身份認(rèn)證，因?yàn)闊o線網(wǎng)絡(luò)不同于有線網(wǎng)絡(luò)，在無線網(wǎng)絡(luò)中，攻擊者不像有線網(wǎng)絡(luò)中那么容易被發(fā)現(xiàn)。如果身份認(rèn)證這個(gè)關(guān)卡被攻破，校園無線網(wǎng)絡(luò)會(huì)被非法用戶使用，甚至?xí)还粽邜阂夤?。為有效?/p>

11、保護(hù)校園無線網(wǎng)絡(luò)免受攻擊，也為保護(hù)合法用戶的權(quán)益不受侵害，校園無線網(wǎng)絡(luò)系統(tǒng)采用了EAP-FAST的身份驗(yàn)證方式來進(jìn)行相互驗(yàn)證，同時(shí)為用戶和進(jìn)程提供動(dòng)態(tài)加密密鑰、物理地址和標(biāo)準(zhǔn)802.11驗(yàn)證機(jī)制。只有在身份驗(yàn)證時(shí)采用最安全的加密算法，才能有效保護(hù)用戶輸入的賬號(hào)、密碼不被抓包軟件截獲，也不會(huì)被黑客軟件暴力破解。（5）GUESTVLAN。用戶在通過802.1X之前只能訪問有限的網(wǎng)絡(luò)資源。所謂GUESTVLAN，是用戶在通過802.1X認(rèn)證之前處于的VLAN，用戶在訪問GUESTVLAN內(nèi)的資源不需要認(rèn)證，但也只能訪問極其有限的資源，比如從GUESTVLAN服務(wù)器上下載802.1X客戶端軟件、升級(jí)客

12、戶端、執(zhí)行其它諸如殺毒軟件、操作系統(tǒng)補(bǔ)丁程序等應(yīng)用程序的升級(jí)，而不能訪問其它的網(wǎng)絡(luò)資源。這樣設(shè)置的目的是為防止一些暫時(shí)沒有安裝認(rèn)證客戶端或者客戶端版本過低的合法用戶無法認(rèn)證成功。在用戶連接網(wǎng)絡(luò)的時(shí)候，接入設(shè)備會(huì)把這個(gè)端口加入到GUESTVLAN，當(dāng)認(rèn)證成功之后，端口離開GUESTVLAN，這樣用戶就能夠訪問其它的網(wǎng)絡(luò)資源了。安全管理體系在構(gòu)建校園無線網(wǎng)絡(luò)系統(tǒng)時(shí)，不但要從技術(shù)方面建立安全體系，也要從管理方面進(jìn)行安全體系的建設(shè)。主要從以下幾個(gè)方面進(jìn)行：（1）對(duì)校園無線網(wǎng)絡(luò)的管理人員進(jìn)行培訓(xùn)和教育，建立健全相關(guān)管理制度。（2）加強(qiáng)校園無線網(wǎng)絡(luò)管理人員的安全意識(shí)和安全素養(yǎng)。（3）加強(qiáng)對(duì)系統(tǒng)運(yùn)行環(huán)境的安全管理，制定相關(guān)制度，進(jìn)行嚴(yán)格管理。（4）建立設(shè)備選型、采購(gòu)、使用和維護(hù)的管理制度，對(duì)設(shè)備進(jìn)行嚴(yán)格的審查和檢測(cè)以及安全評(píng)估。（5）建立應(yīng)急處理制度，對(duì)可能發(fā)主的突發(fā)情況制定應(yīng)急處理方案。3結(jié)語社會(huì)的飛速發(fā)展和網(wǎng)絡(luò)的快速普及，讓校園無線網(wǎng)絡(luò)的建設(shè)成為高校的基礎(chǔ)建設(shè)之一。校園無線網(wǎng)絡(luò)是教師、學(xué)生獲取資源的重要手段，也為學(xué)校建立