黨校無線校園建設研究

摘 要：本文從國家稅務總局黨校無線網(wǎng)絡現(xiàn)狀入手，分析了存在問題，著重介紹了無線網(wǎng)絡設計及安全體系建設。以期為其他院校的無線網(wǎng)絡建設提供參考借鑒。

關鍵詞：無線校園；安全體系

中圖分類號：TP393.18

隨著移動辦公、學習平臺的開發(fā)使用，微博、微信等新媒體的廣泛應用，黨校廣大教職工、學員的工作、生活都已離不開無線網(wǎng)絡。

1 無線網(wǎng)絡現(xiàn)狀

目前各級黨校均組建了基于有線的校園網(wǎng)，正在規(guī)劃并分步實施無線校園建設。黨校學員在校學習時間短，流動性大；學員智能設備持有率高，但安全意識普遍不強等因素決定了對無線校園建設安全性、便捷性、穩(wěn)定性有更高的要求，必須在借鑒高校建設的經(jīng)驗教訓上切實做好規(guī)劃設計。

以國家稅務總局黨校為例，該校數(shù)字化校園規(guī)劃建設起步早，信息化為教學、科研、管理、后勤等提供了高效穩(wěn)定的支撐。隨著無線設備的普及、無線應用的推廣，辦公室、宿舍等公共場所部署了基于FAT AP的無線網(wǎng)絡。FAT AP具有配置靈活、安裝簡單、性價比高等優(yōu)勢。

2 存在問題

隨著應用的不斷深入，原有無線網(wǎng)絡也無法滿足需求，暴露出信號覆蓋面小、安全隱患大、運維管理難等問題。

2.1 非法無線路由器接入。學員自帶無線路由接入宿舍有線網(wǎng)絡，因市面上家庭無線路由默認開啟了DHCP（動態(tài)地址分配）功能，其分配的錯誤IP 會影響其它計算機用戶正常網(wǎng)絡訪問；同時還存在安全隱患，如配置惡意的DNS（域名解析服務）將一些銀行、電子商務類網(wǎng)站解析到偽裝網(wǎng)站，從而實施盜取賬號密碼等敏感信息。

2.2 不能支持大禮堂、報告廳等場所的多用戶同時接入。一些新技術應用、危機處理、知識管理等課程需要使用移動設備訪問無線網(wǎng)絡。而傳統(tǒng)AP支持并發(fā)連接數(shù)有限，不能智能負載分擔，出現(xiàn)負載滿后，其他人無法正常登錄使用。

2.3 存在覆蓋盲點及易受干擾。頻段設備多，可用頻譜少，部署過密容易引起干擾，過疏則存在覆蓋盲點。

2.4 不支持漫游。用戶離開現(xiàn)有AP覆蓋范圍連接另一AP時，可能會分配不同的IP，使用的Portal認證，需重新認證。

2.5 運維困難。存在不能及時發(fā)現(xiàn)問題，只能事后被動的處理；排查難，無法快速定位有問題的AP；不能統(tǒng)一配置管理等難題。

3 優(yōu)化舉措

為了更大的覆蓋校園面積，在綜合考慮技術成熟性、性價比等基礎上，我們在WLAN（無線局域網(wǎng)絡）、WMN（無線網(wǎng)狀網(wǎng)絡）、MANET（移動自組織網(wǎng)絡）中選擇了WLAN。支持高性能的802.11n，兼容802.11a/b/g；并做好了802.11ac升級準備。

為解決原有FAT AP組網(wǎng)方式存在的問題，我們選擇了FIT AP組網(wǎng)方式。通過無線控制器統(tǒng)一管理和配置所有AP，為兼容現(xiàn)有網(wǎng)絡，保護原有投資，同時避免AC故障影響整個網(wǎng)絡，采用了AC旁掛于核心交換機設備的方式。從網(wǎng)絡可靠性考慮，控制器做到了熱備。處于VRRP狀態(tài)下連接的無線AP，探測到某臺控制器故障時，將無縫地切換到備用控制器，其下連接的客戶端將無中斷的訪問網(wǎng)絡。

3.1 智能負載均衡。智能無線一體化交換機可以根據(jù)每個區(qū)域的AP連接用戶數(shù)，判斷是否達到用戶數(shù)或帶寬的上限，動態(tài)地將用戶分散到不同的AP，從而有效利用周邊整體AP的資源，有效的緩解單個AP的負擔，提高多用戶的上網(wǎng)質量。

3.2 動態(tài)射頻管理。無線控制器具有自動調整射頻功率和無線信道的功能?？筛鶕?jù)具體環(huán)境調節(jié)信號剛好覆蓋空間，避免相互間的干擾和射頻盲區(qū)覆蓋問題。

3.3 無縫漫游對接。所有用戶信息（連接狀態(tài)、認證狀態(tài)、IP地址分配信息、加密驗證狀態(tài)等）全部集中在無線交換機上，用戶跨網(wǎng)段移動時，還會延續(xù)原有的IP地址、認證與加密方式，無需要重新獲取，連接不會中斷。[1]

3.4 簡便運維管理。無線控制器可將軟件版本和配置文件下載到所管理的AP，自動調節(jié)AP的工作信道以及發(fā)射功率，F(xiàn)IT AP本身零配置，減少后期維護和管理的工作量。[2]

3.5 全面安全體系。應注重信息安全體系的建設，提高網(wǎng)絡的整體安全性。我們通過劃分安全域和用戶兩個維度，來設定細粒度的安全防護。教師、學員、訪客是黨校無線網(wǎng)絡的三種最主要的服務對象，其訪問的資源、流動性等不同。為此我們在身份認證、訪問控制等方面采用了不同的方式，以找到便利與安全之間的平衡。

3.5.1 安全域劃分。根據(jù)安全域劃分原則和網(wǎng)絡優(yōu)化和邊界整合策略，經(jīng)過對業(yè)務數(shù)據(jù)流分析，對WLAN系統(tǒng)的進行安全域劃分。[3]如認證系統(tǒng)的安全域，按重要性從高至低可以劃分為：認證鑒權區(qū)域：主要包含Radius、Portal服務器等；接入控制區(qū)域：AC、防火墻等設備；熱點接入?yún)^(qū)域：AP、接入終端等。不同區(qū)域的安全保護需求不同，需設置嚴格的安全訪問控制和邊界控制策略。

3.5.2 接入控制。接入控制層我們要做好非法用戶冒用、非法AP接入、拒絕服務攻擊等安全風險的應對防范。

（1）身份認證?？梢圆捎?02.1x認證、Web Portal認證、MAC地址認證等方式對用戶進行身份認證。對于不同身份的用戶和設備類型，采用不同的安全加密方式保證用戶安全接入。學員、訪客使用Web Portal認證，移動終端無需安裝客戶端，提高了使用的便捷性。教師因訪問黨校的資源多、權限高，同時人員流動小，使用802.1x認證，通過在移動設備上安裝客戶端認證軟件，從而提高安全防護級別。

（2）拒絕非法AP。無線控制器RF掃描探測熱點區(qū)域Rouge AP，可以及時排除其他AP的干擾，保障AP的穩(wěn)定運行。

（3）入侵防御系統(tǒng)，可以防止DHCP地址耗盡、指定用戶斷線等拒絕服務攻擊。通過分布網(wǎng)絡各處的探測器完成數(shù)據(jù)包的捕獲和解析，發(fā)現(xiàn)無線設備非法操作，迅速報告給管理員并立即阻斷該設備的連接。

3.5.3 數(shù)據(jù)加密。數(shù)據(jù)傳輸中使用先進的加密技術，可以增加破譯的難度，減少數(shù)據(jù)泄露的可能性，保障數(shù)據(jù)傳輸?shù)陌踩?/p>

3.5.4 訪問控制。通過發(fā)布針對教師、學員、訪客不同類型的SSID，并對不同的SSID實施不同的加密策略和認證形式。每類用戶按照定制化的網(wǎng)絡訪問策略進行權限管理，隔離不同類別用戶間的互訪。通過QOS還可以保證全網(wǎng)流量的合理分配。

3.5.5 日志審計。通過采集設備的日志，主動挖掘隱藏的安全問題。根據(jù)要求存儲不少于六十天的用戶上網(wǎng)記錄。

經(jīng)過優(yōu)化，黨校無線網(wǎng)絡已經(jīng)由最初的局部覆蓋、滿足基本的訪問需求，演變?yōu)槿娓采w、安全穩(wěn)定的無線校園。我們還將緊跟技術發(fā)展，不斷完善安全防范措施，切實保障無線網(wǎng)絡的安全可靠。

參考文獻：

[1]從手持終端看無線護理的應用.銳捷快訊（技術版）[DB/OL].http：//www.ruijie.com.cn/ruijiekx/rjkx_t04/05_2.html.

[2]陳增輝.青島恒星學院無線局域網(wǎng)的規(guī)劃設計及網(wǎng)絡優(yōu)化[D].中國海洋大學碩士論文，2011，3.

[3]智慧城市WLAN安全不容忽視.新華網(wǎng)[DB/OL].http：//news.xinhuanet.com/tech/2012-12/27/c_124157809_3.htm.

作者簡介：陸鑫?。?979-），男，網(wǎng)絡培訓處信息網(wǎng)絡中心副主任，碩士，工程師，主要研究：網(wǎng)絡安全、項目管理、網(wǎng)絡培訓技術等。

作者單位：中共國家稅務總局黨校，江蘇揚州 225007