萬億泰
摘要:根據(jù)校園網(wǎng)絡(luò)的發(fā)展趨勢(shì),論述了無線網(wǎng)絡(luò)技術(shù)的優(yōu)點(diǎn),給出了建設(shè)無線校園網(wǎng)的具體架構(gòu)方案,無線校園網(wǎng)絡(luò)的管理方案,解決校園無線網(wǎng)安全的技術(shù)方案。指出了搭建無線網(wǎng)絡(luò)可以充分提高網(wǎng)絡(luò)的利用,提高學(xué)校教育信息化應(yīng)用的深度和廣度。
關(guān)鍵詞:校園無線網(wǎng)絡(luò);系統(tǒng)構(gòu)建;安全認(rèn)證
中圖分類號(hào):G643文獻(xiàn)標(biāo)志碼:A文章編號(hào):1673-291X(2009)27-0267-02
一、校園無線網(wǎng)絡(luò)概述
近幾年來,隨著國(guó)家的飛速發(fā)展,校園網(wǎng)絡(luò)建設(shè)也取得了長(zhǎng)足進(jìn)步,校園辦公信息化、網(wǎng)絡(luò)化、自動(dòng)化在各高校、中小學(xué)校已得到普遍應(yīng)用,伴隨著學(xué)校的發(fā)展,迫切需要將應(yīng)用系統(tǒng)擴(kuò)展到整個(gè)校園。雖然各個(gè)教學(xué)、科研、學(xué)生生活區(qū)內(nèi)都已經(jīng)有了固定的網(wǎng)絡(luò)接口和信息插座,但是隨著創(chuàng)建世界性高水平綜合大學(xué)戰(zhàn)略的深入實(shí)施,學(xué)校的科研水平不斷提高,學(xué)術(shù)交流活動(dòng)日益增多。在國(guó)際會(huì)議中心、綜合教學(xué)樓、學(xué)術(shù)報(bào)告廳、圖書館、自習(xí)室、綠地等開放性場(chǎng)所提供無線網(wǎng)絡(luò)接入環(huán)境的需求越來越強(qiáng)烈,而傳統(tǒng)的布線建設(shè)受環(huán)境影響,周期長(zhǎng)、費(fèi)用高、不利于移動(dòng)辦公等諸多問題,在特定的場(chǎng)所也顯得更加突出。改進(jìn)校園網(wǎng)現(xiàn)有的管理模式已經(jīng)迫在眉睫,必須提供一個(gè)新的環(huán)境來滿足用戶的需求。為此,眾多學(xué)校啟動(dòng)了無線校園網(wǎng)計(jì)劃,旨在建成高速度、廣覆蓋、易管理的安全校園無線網(wǎng)絡(luò),滿足校園網(wǎng)可持續(xù)發(fā)展的要求,進(jìn)一步提升學(xué)校的綜合實(shí)力,為師生帶來前所未有的無線體驗(yàn)。
二、校園無線網(wǎng)絡(luò)分析
1.無線校園網(wǎng)絡(luò)優(yōu)點(diǎn)
(1)全面覆蓋:無線校園網(wǎng)絡(luò)以高速無線的方式覆蓋整個(gè)校園,包括教學(xué)樓、辦公室、禮堂、公寓、圖書館、廊道、綠地、公共活動(dòng)場(chǎng)所等,無線網(wǎng)絡(luò)強(qiáng)大的無縫漫游功能,讓學(xué)校師生隨時(shí)隨地可以接入網(wǎng)絡(luò),享受無線校園帶來的樂趣。(2)管理方便:無線校園網(wǎng)絡(luò)建立在已有校園有線網(wǎng)絡(luò)之上,可以很好的融入既有校園管理系統(tǒng)中,便于統(tǒng)一管理和維護(hù)。(3)安全性高:無線網(wǎng)絡(luò)使用WPA、802.1x等安全認(rèn)證技術(shù),具有多層次的安全訪問控制措施,可以實(shí)現(xiàn)對(duì)用戶身份鑒別、訪問控制、可稽核性和保密性等要求。(4)可擴(kuò)充性:在校園網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下,無線網(wǎng)絡(luò)可滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下,平滑實(shí)現(xiàn)升級(jí)和擴(kuò)充,并保證擴(kuò)展后的系統(tǒng)可用性與穩(wěn)定性。(5)多媒體支持:無線網(wǎng)絡(luò)支持多種無線媒體服務(wù),如無線語音應(yīng)用、無線視頻會(huì)議應(yīng)用、無線多媒體通信應(yīng)用等。
2.無線網(wǎng)絡(luò)傳輸標(biāo)準(zhǔn)
WLAN利用電磁波在空氣中發(fā)送和接收數(shù)據(jù),無須線纜介質(zhì),在無線覆蓋的模式下室內(nèi)傳輸可達(dá)幾十米,室外傳輸可達(dá)幾百米,在無線橋接的模式下,可連接相距幾十千米的兩地。WLAN大多使用的是2.4或5.8 GHz的頻率波段,這在世界范圍內(nèi)是RF頻譜中非許可保留的波段,因此使用該頻段無須另外申請(qǐng)。
IEEE802.11協(xié)議族在協(xié)議、傳輸帶寬、傳播距離上更具有實(shí)用性,已經(jīng)獲得了廣泛的市場(chǎng)認(rèn)可度和廠商支持率,尤其是802.11b(工作于2.4 GHz頻段,提供11 Mb/s傳輸速度)、802.11a(工作于5.8 GHz頻段,提供54 Mb/s傳輸速度)和802.11g(工作于2.4 GHz頻段,提供54 Mb/s傳輸速度)的產(chǎn)品可滿足企業(yè)、校園等的高速無線傳輸需求。
3.無線網(wǎng)絡(luò)系統(tǒng)架構(gòu)
通過分析,建議校園采用三層總體架構(gòu)。
第一層為管理層,又稱為核心層。主要提供認(rèn)證、管理等服務(wù),由兩臺(tái)接入服務(wù)器構(gòu)成,接入服務(wù)器是運(yùn)營(yíng)商和校內(nèi)用戶數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)庫(kù)對(duì)接的接口,并負(fù)責(zé)處理來自其下一層的無線網(wǎng)絡(luò)控制器發(fā)來的用戶認(rèn)證請(qǐng)求,根據(jù)預(yù)設(shè)策略判斷認(rèn)證類型并將請(qǐng)求轉(zhuǎn)發(fā)至接入服務(wù)器,對(duì)用戶賬號(hào)的有效性采用相應(yīng)的協(xié)議(例如PAP、CHAP、EAP等認(rèn)證協(xié)議)進(jìn)行判別,并將結(jié)果返回給底層的無線網(wǎng)絡(luò)控制器,無線網(wǎng)絡(luò)控制器根據(jù)接入服務(wù)器的結(jié)果決定是否允許用戶的網(wǎng)絡(luò)訪問請(qǐng)求。在三層架構(gòu)下,本層是最核心的一層,管理層系統(tǒng)的故障將導(dǎo)致整個(gè)無線網(wǎng)的癱瘓。因此管理層系統(tǒng)必須提供冗余備份,可以采用兩臺(tái)接入服務(wù)器,一臺(tái)為“主”,另一臺(tái)為“備”。平時(shí)只有主機(jī)工作,備機(jī)實(shí)時(shí)對(duì)主機(jī)數(shù)據(jù)庫(kù)中用戶賬號(hào)和配置信息等進(jìn)行同步,一旦主機(jī)故障能夠確保備機(jī)可以擁有和主機(jī)相同的配置和用戶賬號(hào)信息,從而可以保證整個(gè)無線網(wǎng)的穩(wěn)定運(yùn)行。第二層為WLAN網(wǎng)絡(luò)控制層,也是安全控制層,由若干臺(tái)無線網(wǎng)絡(luò)控制器組成,每臺(tái)無線網(wǎng)絡(luò)控制器負(fù)責(zé)控制各自所在無線子網(wǎng)的無線用戶,接收所有用戶的認(rèn)證請(qǐng)求,并將用戶的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)認(rèn)證服務(wù)器。第三層為無線鏈路接入層,該層由熱點(diǎn)區(qū)域的眾多Access Point(AP)組成,主要負(fù)責(zé)如手提電腦、PC機(jī)等終端設(shè)備接入。
4.無線網(wǎng)絡(luò)組網(wǎng)
通過在校園內(nèi)熱點(diǎn)區(qū)域采用蜂窩狀信號(hào)覆蓋方式,以實(shí)現(xiàn)無線網(wǎng)絡(luò)信號(hào)的無縫覆蓋。各熱點(diǎn)區(qū)域內(nèi)AP通過在交換機(jī)上劃分到全局的獨(dú)立的VLAN中,該VLAN在中心不做三層交換以保證用戶在未認(rèn)證之前與校園有線網(wǎng)絡(luò)之間的隔離。由于目前學(xué)校面積范圍普遍都比較大,因此考慮學(xué)校無線網(wǎng)絡(luò)規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點(diǎn),對(duì)網(wǎng)絡(luò)性能和用戶認(rèn)證都提出了很高要求,如果將全無線網(wǎng)絡(luò)都劃到一個(gè)VLAN內(nèi),則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能,因此建議將全無線網(wǎng)絡(luò)根據(jù)無線網(wǎng)絡(luò)覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個(gè)子網(wǎng),每個(gè)無線子網(wǎng)分別由一臺(tái)無線網(wǎng)絡(luò)控制器對(duì)其所轄無線子網(wǎng)用戶進(jìn)行控制,以實(shí)現(xiàn)降低網(wǎng)絡(luò)廣播、用戶分流的目的。
5.無線網(wǎng)絡(luò)管理
為了保證無線網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,對(duì)其進(jìn)行方便、高效的管理是必不可少的。因此,建議在方案中采用一個(gè)完整的無線局域網(wǎng)網(wǎng)管系統(tǒng)WNMS。WNMS采用網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)協(xié)議SNMP對(duì)相關(guān)無線局域網(wǎng)設(shè)備進(jìn)行配置及管理數(shù)據(jù)、性能數(shù)據(jù)、故障數(shù)據(jù)的采集和分析,同時(shí)也可通過WNMS對(duì)具體設(shè)備上的參數(shù)進(jìn)行配置、調(diào)整、故障診斷。WNMS還提供拓?fù)浒l(fā)現(xiàn)、管理的功能,可以直觀的反映出無線網(wǎng)絡(luò)控制器、AP和其他相關(guān)設(shè)備之間的對(duì)應(yīng)關(guān)系。網(wǎng)絡(luò)監(jiān)視基于網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行,在性能、告警、配置等方面動(dòng)態(tài)反映網(wǎng)絡(luò)的變化。由于無線AP孤立地分布在比較分散的位置,因此在一個(gè)完整的WLAN解決方案中,WNMS系統(tǒng)將成為保障無線網(wǎng)絡(luò)穩(wěn)定運(yùn)行不可缺少的重要組成部分。
6.無線安全網(wǎng)絡(luò)認(rèn)證
由于WLAN是承載于現(xiàn)有的有線校園網(wǎng)之上,通過電磁波信號(hào)將有線網(wǎng)擴(kuò)展到整個(gè)三維空間中,實(shí)現(xiàn)了將有線網(wǎng)中的位置分散的信息點(diǎn)在連續(xù)空間中的延續(xù),任何可以接受到電磁波信號(hào)的人都可以訪問網(wǎng)絡(luò)。而對(duì)于有線網(wǎng)絡(luò)來說一般只要控制有線信息點(diǎn)不讓非法人員接觸,就可以保障網(wǎng)絡(luò)的安全,因此如果應(yīng)用了一個(gè)沒有控制的WLAN將會(huì)比有線網(wǎng)絡(luò)更易受到攻擊和入侵。因此,WLAN用戶的安全認(rèn)證、接人控制、數(shù)據(jù)加密更是尤為重要。針對(duì)目前校園在無線網(wǎng)應(yīng)用中的需求,筆者平衡了不同種類用戶對(duì)網(wǎng)絡(luò)安全級(jí)別要求不同及用戶易于使用兩者之間的關(guān)系,提出利用無線網(wǎng)絡(luò)控制器,為整體無線網(wǎng)絡(luò)提出基于WPA2認(rèn)證和WEB+DHCP認(rèn)證的用戶安全認(rèn)證的解決方案:
(1)WPA2認(rèn)證。無線網(wǎng)絡(luò)控制器采用WPA2認(rèn)證,WPA即Wi-Fiprotected access的簡(jiǎn)稱,WPA2是WPA協(xié)議的第二版,與WPA后向兼容,但是與WPA采用RC4加密算法不同,WPA2支持更高級(jí)的AES算法,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。從而實(shí)現(xiàn)了對(duì)數(shù)據(jù)更高級(jí)別的安全保護(hù)。
(2)WEB+DHCP認(rèn)證??紤]到WPA2認(rèn)證方式對(duì)客戶端需要進(jìn)行一定設(shè)置才能工作,為了便于用戶使用、簡(jiǎn)化操作,也可以使用無線網(wǎng)絡(luò)控制器對(duì)無線用戶采用WEB十DHCP方式進(jìn)行認(rèn)證。WEB+DHCP認(rèn)證方式是一種非常便于操作的認(rèn)證方式,無須用戶端安裝任何軟件,當(dāng)用戶需要上網(wǎng)時(shí)僅需打開瀏覽器即可彈出認(rèn)證頁(yè)面,用戶在認(rèn)證頁(yè)面上輸入自己的賬號(hào)名和密碼即可,同時(shí)用戶在認(rèn)證時(shí),用戶的賬號(hào)信息均通過SSL/TLS方式進(jìn)行加密,保障用戶賬號(hào)信息的安全。并在認(rèn)證頁(yè)面上也會(huì)有一系列的使用提示信息,能夠?qū)τ脩羯暇W(wǎng)操作進(jìn)行一定引導(dǎo),方便了用戶的使用。
校園無線網(wǎng)絡(luò)伴隨著校園信息化、自動(dòng)化無縫需求的發(fā)展而發(fā)展,它的搭建可以充分提高網(wǎng)絡(luò)的利用,滿足教學(xué)科研對(duì)網(wǎng)絡(luò)連接無所不在的要求,提高學(xué)校教育信息化應(yīng)用的深度和廣度,是校園網(wǎng)絡(luò)發(fā)展的必然方向,校園無線網(wǎng)絡(luò)的構(gòu)建,必將帶給師生前所未有的無線體驗(yàn)。