一種基于校園網(wǎng)的WLAN建設(shè)方案-技術(shù)方案

精品文檔-下載后可編輯一種基于校園網(wǎng)的WLAN建設(shè)方案-技術(shù)方案校園網(wǎng)已經(jīng)成為校園生活的重要組成部分，是教職員工和學(xué)生獲取資源和信息的主要途徑。他將校園里的院系、學(xué)生與從事社交、學(xué)術(shù)、業(yè)務(wù)活動(dòng)的行政人員緊密地聯(lián)系在一起，在教育系統(tǒng)中具有重要的作用。目前，越來(lái)越多的學(xué)生擁有筆記本電腦，在教室、實(shí)驗(yàn)室、圖書館、大型會(huì)議室、體育館、室外廣場(chǎng)等場(chǎng)合如何突破網(wǎng)絡(luò)節(jié)點(diǎn)限制、實(shí)現(xiàn)多人同時(shí)上網(wǎng)的問(wèn)題在應(yīng)用中不可避免。無(wú)線網(wǎng)絡(luò)解決方案能有效緩解校園網(wǎng)建設(shè)中存在的傳統(tǒng)有線網(wǎng)絡(luò)無(wú)法解決的難題，無(wú)線網(wǎng)絡(luò)技術(shù)具有無(wú)縫三維覆蓋、可移動(dòng)通訊等優(yōu)點(diǎn)，彌補(bǔ)了有線網(wǎng)絡(luò)的不足。如果校園網(wǎng)中采用無(wú)線接人，這一切都會(huì)發(fā)生很大的變化。

1無(wú)線局域網(wǎng)原理和應(yīng)用

無(wú)線局域網(wǎng)(WirelesLocalAreaNetwork，WLAN)是一項(xiàng)已經(jīng)相當(dāng)成熟的技術(shù)，指應(yīng)用無(wú)線通信技術(shù)將計(jì)算機(jī)設(shè)備互聯(lián)起來(lái)，構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的網(wǎng)絡(luò)體系?，F(xiàn)在國(guó)內(nèi)外各運(yùn)營(yíng)商都已經(jīng)展開(kāi)了激烈的市場(chǎng)競(jìng)爭(zhēng)，在運(yùn)營(yíng)商網(wǎng)絡(luò)覆蓋范圍之內(nèi)，用戶通過(guò)無(wú)線局域網(wǎng)卡，利用筆記本電腦、PDA(指掌上電腦)、臺(tái)式機(jī)等終端設(shè)備以無(wú)線方式高速接人互聯(lián)網(wǎng)／企業(yè)網(wǎng)，獲取相關(guān)信息或進(jìn)行移動(dòng)辦公。

無(wú)線局域網(wǎng)使用紅外線或射頻(RF)的傳輸方式，其中RF由其作用距離長(zhǎng)、帶寬大及覆蓋范圍更廣的特點(diǎn)受到歡迎。WLAN利用電磁波在空氣中發(fā)送和接收數(shù)據(jù)，無(wú)需線纜介質(zhì)，在無(wú)線覆蓋的模式下室內(nèi)傳輸可達(dá)幾十米，室外傳輸可達(dá)幾百米，在無(wú)線橋接的模式下，可連接相距幾十千米的兩地。WLAN大多使用的是2.4或5.8GHz的頻率波段，這在世界范圍內(nèi)是RF頻譜中非許可備保留的波段，因此使用該頻段無(wú)需另外申請(qǐng)。

IEEE802.11協(xié)議族在協(xié)議、傳輸帶寬、傳播距離上更具有實(shí)用性，已經(jīng)獲得了廣泛的市場(chǎng)認(rèn)可度和廠商支持率，尤其是802.11b(工作于2.4GHz頻段，提供11Mb／s傳輸速度)、802.11a(工作于5.8GHz頻段，提供54Mb／s傳輸速度)和802.11g(工作于2.4GHz頻段，提供54Mb／s傳輸速度)的產(chǎn)品可滿足企業(yè)、校園等的高速無(wú)線傳輸需求。

2基于校園網(wǎng)的WLAN建設(shè)方案

為了使無(wú)線網(wǎng)絡(luò)能與原來(lái)的有線網(wǎng)絡(luò)、應(yīng)用系統(tǒng)以及安全策略有機(jī)并且能夠無(wú)縫的相結(jié)合在一起，針對(duì)學(xué)校對(duì)于校園無(wú)線網(wǎng)絡(luò)的需求，本文從用戶安全、用戶管理和無(wú)線網(wǎng)絡(luò)管理等方面提出如下總體解決方案。

2.1無(wú)線網(wǎng)絡(luò)組網(wǎng)

通過(guò)在校園內(nèi)熱點(diǎn)區(qū)域采用蜂窩狀信號(hào)覆蓋方式，以實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)信號(hào)的無(wú)縫覆蓋。各熱點(diǎn)區(qū)域內(nèi)AP通過(guò)在交換機(jī)上劃分到全局的獨(dú)立的VLAN中，該VLAN在中心不做三層交換以保證用戶在未之前與校園有線網(wǎng)絡(luò)之間的隔離。由于目前學(xué)校面積范圍普遍都比較大，因此考慮學(xué)校無(wú)線網(wǎng)絡(luò)規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點(diǎn)，對(duì)網(wǎng)絡(luò)性能和用戶都提出了很高要求，如果將全無(wú)線網(wǎng)絡(luò)都劃到一個(gè)VLAN內(nèi)，則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，因此建議將全無(wú)線網(wǎng)絡(luò)根據(jù)無(wú)線網(wǎng)絡(luò)覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個(gè)子網(wǎng)，每個(gè)無(wú)線子網(wǎng)分別由一臺(tái)無(wú)線網(wǎng)絡(luò)控制器對(duì)其所轄無(wú)線子網(wǎng)用戶進(jìn)行控制，以實(shí)現(xiàn)降低網(wǎng)絡(luò)廣播、用戶分流的目的。如圖1所示。

2.2無(wú)線安全網(wǎng)絡(luò)

由于WLAN是承載于現(xiàn)有的有線校園網(wǎng)之上，通過(guò)電磁波信號(hào)將有線網(wǎng)擴(kuò)展到整個(gè)三維空間中，實(shí)現(xiàn)了將有線網(wǎng)中的位置分散的信息點(diǎn)在連續(xù)空間中的延續(xù)，任何可以接受到電磁波信號(hào)的人都可以訪問(wèn)網(wǎng)絡(luò)。而對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)一般只要控制有線信息點(diǎn)不讓非法人員接觸，就可以保障網(wǎng)絡(luò)的安全，因此如果應(yīng)用了一個(gè)沒(méi)有控制的WLAN將會(huì)比有線網(wǎng)絡(luò)更易受到攻擊和入侵。因此WLAN用戶的安全、接人控制、數(shù)據(jù)加密更是尤為重要。針對(duì)目前校園在無(wú)線網(wǎng)應(yīng)用中的需求，筆者平衡了不同種類用戶對(duì)網(wǎng)絡(luò)安全級(jí)別要求不同及用戶易于使用兩者之間的關(guān)系，提出利用無(wú)線網(wǎng)絡(luò)控制器，為整體無(wú)線網(wǎng)絡(luò)提出基于WPA2和WEB+DHCP的用戶安全的解決方案：

(1)WPA2

無(wú)線網(wǎng)絡(luò)控制器采用WPA2，WPA即Wi-Fiprotectedaccess的簡(jiǎn)稱，WPA2是WPA協(xié)議的第二版，與WPA后向兼容，但是與WPA采用RC4加密算法不同，WPA2支持更的AES算法，能夠更好地解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。從而實(shí)現(xiàn)了對(duì)數(shù)據(jù)更別的安全保護(hù)。

(2)WEB+DHCP

考慮到WPA2方式對(duì)客戶端需要進(jìn)行一定設(shè)置才能工作，為了便于用戶使用、簡(jiǎn)化操作，也可以使用無(wú)線網(wǎng)絡(luò)控制器對(duì)無(wú)線用戶采用WEB十DHCP方式進(jìn)行。WEB+DHCP方式是一種非常便于操作的方式，無(wú)需用戶端安裝任何軟件，當(dāng)用戶需要上網(wǎng)時(shí)僅需打開(kāi)瀏覽器即可彈出頁(yè)面，用戶在頁(yè)面上輸入自己的賬號(hào)名和密碼即可，同時(shí)用戶在時(shí)，用戶的賬號(hào)信息均通過(guò)SSL／TLS方式進(jìn)行加密，保障用戶賬號(hào)信息的安全。并在頁(yè)面上也會(huì)有一系列的使用提示信息，能夠?qū)τ脩羯暇W(wǎng)操作進(jìn)行一定引導(dǎo)，方便了用戶的使用。

2.3網(wǎng)絡(luò)系統(tǒng)架構(gòu)

通過(guò)分析，本方案中采用了三層總體架構(gòu)，如圖2所示：

層為管理層，又稱為層。主要提供計(jì)費(fèi)、、管理等服務(wù)，由主備兩臺(tái)接人服務(wù)器構(gòu)成，接人服務(wù)器是運(yùn)營(yíng)商和校內(nèi)用戶數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)庫(kù)的對(duì)接的接口，并負(fù)責(zé)處理來(lái)自其下一層的無(wú)線網(wǎng)絡(luò)控制器發(fā)來(lái)的用戶請(qǐng)求，根據(jù)預(yù)設(shè)策略判斷類型并將請(qǐng)求轉(zhuǎn)發(fā)至接入服務(wù)器本地，對(duì)用戶賬號(hào)的有效性采用相應(yīng)的協(xié)議(例如PAP，CHAP，EAP等協(xié)議)進(jìn)行判別，并將結(jié)果返回給底層的無(wú)線網(wǎng)絡(luò)控制器，無(wú)線網(wǎng)絡(luò)控制器根據(jù)接入服務(wù)器的結(jié)果決定是否允許用戶的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。另外，管理層還根據(jù)其下一層提供的計(jì)費(fèi)原始數(shù)據(jù)對(duì)無(wú)線用戶進(jìn)行計(jì)費(fèi)。由此可見(jiàn)，在三層架構(gòu)下，本層是的一層，管理層系統(tǒng)的故障將導(dǎo)致整個(gè)無(wú)線網(wǎng)的癱瘓。因此管理層系統(tǒng)必須提供冗余備份，可以采用兩臺(tái)接入服務(wù)器，一臺(tái)為“主”，另一臺(tái)為“備”。平時(shí)只有主機(jī)工作，備機(jī)實(shí)時(shí)對(duì)主機(jī)數(shù)據(jù)庫(kù)中用戶賬號(hào)和配置信息等進(jìn)行同步，一旦主機(jī)故障能夠確保備機(jī)可以擁有和主機(jī)相同的配置和用戶賬號(hào)信息，從而可以保證整個(gè)無(wú)線網(wǎng)的穩(wěn)定運(yùn)行。

第二層為WLAN網(wǎng)絡(luò)控制層，也是安全控制層，由若干臺(tái)無(wú)線網(wǎng)絡(luò)控制器組成，每臺(tái)無(wú)線網(wǎng)絡(luò)控制器負(fù)責(zé)控制各自所在無(wú)線子網(wǎng)的無(wú)線用戶，接收所有用戶的請(qǐng)求，并將用戶的請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)服務(wù)器，此外還負(fù)責(zé)為上一層提供用戶計(jì)費(fèi)原始信息的采集。

第三層為無(wú)線鏈路接入層，該層由熱點(diǎn)區(qū)域的眾多AccessPoint(AP)組成，主要負(fù)責(zé)如手提電腦、PC機(jī)等終端設(shè)備接入。

2.4無(wú)線網(wǎng)絡(luò)管理

為了保證無(wú)線網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，對(duì)其進(jìn)行方便、高效的管理是必不可少的。因此在本方案中采用了一個(gè)完整的無(wú)線局域網(wǎng)網(wǎng)管系統(tǒng)WNMS。WNMS采用網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)協(xié)議SNMP對(duì)相關(guān)無(wú)線局域網(wǎng)設(shè)備進(jìn)行配置、管理數(shù)據(jù)、性能數(shù)據(jù)、故障數(shù)據(jù)的采集和分析，同時(shí)也可通過(guò)WNMS對(duì)具體設(shè)備上的參數(shù)進(jìn)行配置，調(diào)整，故障診斷。WNMS還提供拓?fù)浒l(fā)現(xiàn)、管理的功能，可以直觀的反映出無(wú)線網(wǎng)絡(luò)控制器、AP和其他相關(guān)設(shè)備之間的對(duì)應(yīng)關(guān)系。網(wǎng)絡(luò)監(jiān)視基于網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行，在性能、告警、配置等方面動(dòng)態(tài)反映網(wǎng)絡(luò)的變化。由于無(wú)線AP孤立地分布在比較分散的位置，因此在一個(gè)完整的WLAN解決方案中，WNMS系統(tǒng)將成為保障無(wú)線網(wǎng)絡(luò)穩(wěn)定運(yùn)行不可缺少的重要組成部分，如圖3所示。

3結(jié)語(yǔ)

本方案主要是基于校園網(wǎng)提出的WLAN應(yīng)用方案，終目的是使學(xué)校內(nèi)的教職員工和學(xué)生能便捷的訪問(wèn)網(wǎng)絡(luò)資源、以及便于各校之間的人員和信息交流。

本方案主要有以下幾點(diǎn)優(yōu)勢(shì)：

(1)可以支持多種方式同時(shí)并存，滿足不同種類用戶對(duì)網(wǎng)絡(luò)安全、易使用、賬號(hào)控制策略方面的需求。

(2)既對(duì)現(xiàn)有校園網(wǎng)業(yè)務(wù)進(jìn)行了有效的整合，又保持了無(wú)線網(wǎng)業(yè)務(wù)的高度可擴(kuò)展性和相對(duì)獨(dú)立性