高校構(gòu)建安全穩(wěn)定的無(wú)線局域網(wǎng)

李　云　鄭東海

摘要：校園信息化的迅猛發(fā)展使得傳統(tǒng)的有線網(wǎng)絡(luò)無(wú)法滿足不斷增長(zhǎng)的用戶需求，無(wú)線設(shè)備的普及也對(duì)網(wǎng)絡(luò)方式提出了進(jìn)一步的要求。本文主要闡述無(wú)線局域網(wǎng)在高校網(wǎng)絡(luò)建設(shè)及使用中的優(yōu)勢(shì)，然后結(jié)合校園網(wǎng)的具體情況提出了無(wú)線局域網(wǎng)的構(gòu)建方案，最后針對(duì)校園網(wǎng)絡(luò)存在安全問(wèn)題提出有效的防范措施。

關(guān)鍵詞：WLAN 網(wǎng)絡(luò)安全 校園網(wǎng)

隨著醫(yī)學(xué)院校數(shù)字化校院建設(shè)的開展，校園內(nèi)網(wǎng)絡(luò)信息化的普及，原有網(wǎng)絡(luò)規(guī)模已不能滿足日益增長(zhǎng)的網(wǎng)絡(luò)需求。無(wú)線網(wǎng)絡(luò)的發(fā)展為建設(shè)一個(gè)面向未來(lái)網(wǎng)絡(luò)化、信息化，具備多媒體綜合業(yè)務(wù)發(fā)展需求的高等院校提供了必要的網(wǎng)絡(luò)基礎(chǔ)。

一、校園架設(shè)無(wú)線局域網(wǎng)的優(yōu)勢(shì)分析

無(wú)線局域網(wǎng)（WLAN：Wireless local area network）是無(wú)線寬帶接入技術(shù)的一種，它是以無(wú)線信道來(lái)代替?zhèn)鹘y(tǒng)有線傳輸介質(zhì)構(gòu)成的局域網(wǎng)絡(luò)。相對(duì)于傳統(tǒng)的有線網(wǎng)絡(luò)而言，無(wú)線局域網(wǎng)有如下優(yōu)勢(shì)：

1、 充分利用學(xué)?，F(xiàn)有資源

當(dāng)前，教師利用多媒體進(jìn)行教學(xué)已經(jīng)司空見慣，有的高校已經(jīng)基本形成無(wú)紙化課堂。隨著無(wú)線技術(shù)迅速發(fā)展，學(xué)校難以避免的要實(shí)現(xiàn)無(wú)線局域網(wǎng)。無(wú)線局域網(wǎng)的架設(shè)，可以使用戶不再受線路的限制，并能使高速無(wú)線與各校已經(jīng)安裝的有線局域網(wǎng)集成起來(lái)，從而保護(hù)學(xué)校和教師已有的投資。

2、有利于擴(kuò)容重整

對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，網(wǎng)絡(luò)拓?fù)涞母淖兺ǔＲ馕吨匦陆ňW(wǎng)。重新布線是一個(gè)非常昂貴、費(fèi)時(shí)的過(guò)程，但是使用無(wú)線接入方式，既可用于物理布線困難的地方, 調(diào)試也相對(duì)簡(jiǎn)單，又能節(jié)省大量的維護(hù)費(fèi)用，是目前局域網(wǎng)用戶升級(jí)、改造現(xiàn)有網(wǎng)絡(luò)最佳的途徑。

3、充分覆蓋校園

合理地布置無(wú)線局域網(wǎng)接入點(diǎn)，可以使整個(gè)校園都有網(wǎng)絡(luò)，真正實(shí)現(xiàn)數(shù)字化校園的功能。而且由于沒(méi)有線纜的限制，學(xué)?？梢苑奖愕匕葱柙黾庸ぷ髡净蛑匦屡渲霉ぷ髡?。

4、易于管理

由于校園有線網(wǎng)絡(luò)已經(jīng)建成，統(tǒng)一的網(wǎng)絡(luò)管理已經(jīng)投入使用，因此對(duì)于增加的無(wú)線網(wǎng)絡(luò)，要求融入現(xiàn)有校園管理系統(tǒng)中，對(duì)無(wú)線網(wǎng)內(nèi)每一位用戶和每個(gè)無(wú)線接入點(diǎn)/網(wǎng)橋進(jìn)行統(tǒng)一管理。

二、無(wú)線局域網(wǎng)的構(gòu)建

醫(yī)學(xué)院校中的網(wǎng)絡(luò)用戶群主要由教師、科研人員及大量學(xué)生構(gòu)成。上述人群的工作、學(xué)習(xí)、活動(dòng)的主要場(chǎng)所包括教室、辦公室、圖書館、機(jī)房、學(xué)生公寓、運(yùn)動(dòng)場(chǎng)等。根據(jù)醫(yī)學(xué)院校中的無(wú)線局域網(wǎng)設(shè)計(jì)原則，對(duì)各場(chǎng)所應(yīng)采用不同的設(shè)計(jì)方案：

(1)教室和圖書館是教師和學(xué)生的主要活動(dòng)場(chǎng)所，最適宜采用無(wú)線局域網(wǎng)覆蓋方式。施工時(shí)可根據(jù)室內(nèi)面積及容量，確定AP的數(shù)目及位置。

(2)辦公室及科研實(shí)驗(yàn)室都是相對(duì)獨(dú)立的空間，根據(jù)實(shí)際需要，可以在樓道中或每個(gè)房間內(nèi)設(shè)置一定數(shù)目的AP。特別是在會(huì)議室、報(bào)告廳內(nèi)，由于容量較大、用戶相對(duì)密集，可以采用蜂窩網(wǎng)絡(luò)結(jié)構(gòu)和微蜂窩網(wǎng)絡(luò)結(jié)構(gòu)來(lái)保證各區(qū)域完全得到網(wǎng)絡(luò)覆蓋。

(3)機(jī)房?jī)?nèi)容量和布置相對(duì)固定，一般不會(huì)有太大變動(dòng)，可以采用傳統(tǒng)的以太網(wǎng)。如有必要可以將無(wú)線局域網(wǎng)作為有線網(wǎng)絡(luò)的擴(kuò)展，以達(dá)到增加機(jī)房容量的效果。

(4)由于學(xué)生公寓內(nèi)房間數(shù)目較多、面積相對(duì)較小，不適宜在室內(nèi)布置AP，可以采用在公寓四周架設(shè)AP的方法。

(5)運(yùn)動(dòng)場(chǎng)等室外場(chǎng)所網(wǎng)絡(luò)用戶稀疏且地帶空曠，在布置無(wú)線局域網(wǎng)時(shí)主要應(yīng)考慮覆蓋面積的因素。為擴(kuò)大單個(gè)AP的覆蓋范圍，可以為每個(gè)AP安裝功率放大器以及大功率天線。

三、無(wú)線局域網(wǎng)安全問(wèn)題

由于無(wú)線網(wǎng)絡(luò)容易受到非法用戶入侵和數(shù)據(jù)竊聽。據(jù)統(tǒng)計(jì)，在不愿意采用無(wú)線局域網(wǎng)技術(shù)的理由中，安全問(wèn)題居第一位，達(dá)到了40%以上。所以無(wú)線局域網(wǎng)的安全問(wèn)題成為制約其發(fā)展的主要原因，針對(duì)校園無(wú)線網(wǎng)我們可以使用支持IEEE802.1x認(rèn)證技術(shù)＋TKIP加密的WAP的無(wú)線AP作為無(wú)線網(wǎng)絡(luò)的安全核心，并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶侵入。

1、 端口訪問(wèn)控制技術(shù)（IEEE802.1X）

IEEE802.1X是基于端口的訪問(wèn)控制協(xié)議，其體系結(jié)構(gòu)包括3個(gè)重要部分：客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。當(dāng)合法用戶接入時(shí)，控制端口打開；當(dāng)非法用戶入侵或沒(méi)有用戶接入時(shí)，端口處于關(guān)閉狀態(tài)。IEEE802.1X的客戶端請(qǐng)求可以由外部的Radius服務(wù)器進(jìn)行認(rèn)證。其認(rèn)證過(guò)程如下：

如圖A，在WLAN中認(rèn)證系統(tǒng)就是無(wú)線接入點(diǎn)AP,認(rèn)證服務(wù)器確認(rèn)用戶身份后，打開控制端口AP允許該用戶接入訪問(wèn)網(wǎng)絡(luò)。IEEE802.1x將遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)協(xié)議。

2、 Wi─Fi保護(hù)接入（WPA）

WPA包括暫時(shí)密鑰完整性協(xié)議(Temporal Key Integrity Protocol, TKIP)和802.1x 機(jī)制。TKIP與802.1x 一起為移動(dòng)客戶機(jī)提供了動(dòng)態(tài)密鑰加密和相互認(rèn)證功能。WPA通過(guò)定期為每臺(tái)客戶機(jī)生成唯一的加密密鑰來(lái)阻止黑客入侵。TKIP為WEP引入了新的算法,這些新算法包括擴(kuò)展的48位初始向量與相關(guān)的序列規(guī)則、數(shù)據(jù)包密鑰構(gòu)建、密鑰生成與分發(fā)功能和信息完整性碼 (也被稱為 “Michael”碼)。在應(yīng)用中,WPA可以與利用 802.1x 和EAP (一種驗(yàn)證機(jī)制) 的認(rèn)證服務(wù)器(如遠(yuǎn)程認(rèn)證撥入用戶服務(wù))連接。這臺(tái)認(rèn)證服務(wù)器用于保存用戶證書。這種功能可以實(shí)現(xiàn)有效的認(rèn)證控制以及與已有信息系統(tǒng)的集成。由于WPA具有運(yùn)行“預(yù)先共享的密鑰模式”的能力, SO-HO 環(huán)境中的 WPA 部署并不需要認(rèn)證服務(wù)器。與WEP類似,一部客戶機(jī)的預(yù)先共享的密鑰(常常被稱為“通行字”)必須與接入點(diǎn)中保存的預(yù)先共享的密鑰相匹配,接入點(diǎn)使用通行字進(jìn)行認(rèn)證,如果通行字相符合,客戶機(jī)被允許訪問(wèn)接入點(diǎn)。

四、總結(jié)

無(wú)線局域網(wǎng)的發(fā)展為校園網(wǎng)的建設(shè)和升級(jí)換代帶來(lái)了新的選擇，把它引入到大學(xué)校園網(wǎng)中。它不僅僅是以前建設(shè)的有線校園網(wǎng)的距離上的延伸, 覆蓋面的提升，而且為教學(xué)方法的改進(jìn),學(xué)習(xí)方式的改變提供了廣闊的信息平臺(tái)。雖然WLAN在安全體系方面還存在不足之處，但我相信隨著無(wú)線技術(shù)的不斷完善，合理組合安全機(jī)制和有效的管理措施，我們將會(huì)享受到無(wú)線局域網(wǎng)帶來(lái)的安全、快捷?！?/p>

參考文獻(xiàn)：

胡艷梅羊 牧，無(wú)線局域網(wǎng)在醫(yī)學(xué)院校數(shù)字化建設(shè)中的應(yīng)用，中國(guó)現(xiàn)代教育裝備，2007年第11期

王亞榮，安全技術(shù)在無(wú)線局域網(wǎng)中的應(yīng)用，計(jì)算機(jī)安全，2008.11