校園局域網的優(yōu)化與維護

張楊

摘 要 隨著信息技術和通信技術的發(fā)展，局域網被大規(guī)模的應用于企業(yè)、學校、機關單位等，而現在無線技術的發(fā)展使得無線局域網成為了一種新的趨勢。本文闡明了校園局域網構建的原則，從機房管理、故障排查以及資料備份等方面分析了其維護方法，同時探討了局域網安全優(yōu)化措施，旨在促進校園局域網的安全發(fā)展。

【關鍵詞】無線局域網 校園網 無線數字 通信安全性

現代校園中，通常都會構建符合學校實際的局域網絡，以便于教師和學生能夠更加方便的進行學習和生活。但是，在局域網的使用過程中，出現了一些安全隱患，給學校和師生帶來了一定的不利影響。所以，本文對校園局域網的日常維護以及安全優(yōu)化措施進行了探討。

1 校園局域網構建原則

1.1 安全性原則

校園局域網在實際的構建過程中，最為重要的一個原則就是安全性原則。只有在安全性原則的指導下進行局域網的構建，才能夠確保網絡服務的安全性，避免教師和學生在使用網絡進行學習和工作時，受到外部的攻擊以及干擾，確保校園內部的數據和信息安全。

1.2 可行性原則

可行性分析主要分析現有技術條件能否順利完成開發(fā)工作，硬、軟件配置能否滿足校園網絡使用的需要等，同時兼顧兼容性、擴展性方面的問題。還需要注意的是，在構建校園局域網的過程中，安全性的確非常重要，但是千萬不能過分的最求“最完美”的安全網絡環(huán)境，盲目的追逐安全性，會導致校園局域網的應用受到諸多限制，本末倒置。

1.3 高效性原則

構建校園局域網最根本的目的是為了提升教師和學生的教學、學習效率，幫助學生更好的學習知識。所以，在校園局域網絡構建的過程中，應該在網絡安全性與高效性之間進行綜合的衡量，既要有安全性，同時也要有高效性。

2 校園局域網日常維護管理

2.1 網絡機房的維護管理

網絡機房的管理涉及方方面面，這里只從網絡技術上提出幾點比較重要的實用的方法，提高網絡管理的效率。

（1）帶寬限制，一定要在核心交換機上對機房的帶寬進行限制，否則很容易出現機房一開始使用，整個局域網就陷入半癱瘓的狀態(tài)，影響學校整體的辦公；

（2）建立網絡映射盤，給學生分發(fā)上機作業(yè)和收作業(yè)時比所有的電子教室軟件都管用；

（3）每臺計算機固定IP和名字，這樣可以避免IP沖突，也可以很容易找到中毒后發(fā)出異常數據包的計算機；

（4）IP地址與MAC地址綁定，能夠有效防止ARP攻擊造成的網絡中斷，也可對學生的上網行為和流量管理實現方便管理；

（5）網絡克隆和還原軟件，這是機房管理的必備軟件。網絡機房的使用對象是全校學生，我們的教學需要學生有較強的動手能力，有些老師稱為“破壞能力”，其實這也是學生學習的過程，我們不應該限制而應該鼓勵，他們往往喜歡隨意更改計算機的桌面配置，修改注冊表，也有可能造成機器感染病毒或機器無法正常運行，會給網絡機房的正常運轉帶來不少麻煩，我們需要做的就是在關機之后所有配置失效就可以了。

2.2 備份措施

幾乎所有設備都有使用壽命和期限，存儲類設備一旦損壞就很可能會導致信息和數據的損失。因此，在局域網維護管理中一定要做好備份工作。具體到實際工作中，主要有以下幾方面：

（1）主干通信網絡光纖一定要有替換備份線路；

（2）服務器的備份，一定要用雙機熱備，兩臺相同的服務器，用商業(yè)軟件或硬件實現。

2.3 網絡故障排查

網絡運行中會受到多方面因素的影響，因此導致其產生故障的原因會非常多。但是在實際工作中，可以采用常見的一些方式來對這些原因進行快速排查，具體方式如下：第一，當在一個交換機后的整個網絡都不通時，很有可能是交換機出了問題，很多時候交換機也會死機，重啟即可。電腦本地連接顯示正常仍然上不去網時，還要檢查交換機的主線進線連接是否正常。第二，如果是個別電腦不能上網時，則：

（1）先檢查電腦的IP地址、子網掩碼、默認網關、默認DNS網絡參數設置是否正確；

（2）檢測TCP/IP 協議，Ping127.0.0.1 本地循環(huán)地址，如果Ping 不通，則協議不正常，可重新安裝協議；

（3）Ping本機的地址，若Ping 不通，可能是網卡或者驅動的故障，可在設備管理器中卸載網卡再注銷，重新安裝網卡的驅動程序；

（4）Ping同網段計算機，不通則為網絡線路出現故障，可重點檢查網線及水晶頭是否接觸正常。

3 校園局域網安全優(yōu)化措施

3.1 校園局域網安全威脅

無線局域網通過電磁波傳播數據的特性為我們帶來便利的同時，安全問題隨之而來。在使用WLAN時面臨的安全威脅主要有三個方面，一個來自網絡自身的漏洞，一個來自外界的惡意威脅，最后一個是網絡中承載的信息的價值。無線網絡的漏洞包含兩個層次。一方面是前面提到的傳輸介質的開放性導致的漏洞，另一個方面問題是由于無線網絡存在的漏洞.影響原有的有線網絡的安全性。網絡外部的惡意攻擊者和網絡內部的用戶都可能是WLAN安全威脅的帶來者。在IEEE802.11協議中，用戶數據通過密鑰進行加密，看似用戶的數據安全性有保障，實際上所用的WEP中規(guī)定的加密方案并不能做到。WEP攻擊主要有四種：被動型攻擊——解密業(yè)務流、主動型攻擊——接入業(yè)務流、針對接收和發(fā)送兩端的主動攻擊、利用解密字典進行攻擊。

3.2 802.11無線局域網的安全優(yōu)化方案

思科開發(fā)了802.1X/LEAP認證方案來增強控制.使用基于AES算法的加密方法來取代WEP協議也很常見.另外使用上層的保護手段也比較有效，比如IPSVPN。盡管各大制造商自行研發(fā)的解決方案使得WLAN的安全得到了更大的保障，但是這種使用各自不同的解決方方案的情況使得產品之間出現兼容性的問題。IEEE802研發(fā)組成立了專門的工作小組來解決802.11出現的安全問題。他們推出的新的安全協議就是802.11這個協議對MAC層的安全進行了保障。802.11的出世既要解決802.11中面臨的安全問題，也要做到支持已在市面上的大量產品都能夠使用這個新的協議，來保障相關單位在之前做出的投資。在IEEE802.11協議中，IEEE802.11、可擴展認證協議（EAP）、遠程身份驗證撥入用戶服務RADIUS這三個部分共同完成了身份認證和接入控制。

3.2.1 構架方式的優(yōu)化

建設過程中用的組網方式是無線控制器和FITAP方式。這個模式是在無線控制器上進行配置的。對于同一類的接入點只需要配置一次就足夠了。接入點會從無線控制器上把我們配置好的文件下載到本地進行使用，解決了傳統方式中工作繁復的問題，即使接入點設備遺失，配置文件也不會泄漏。無線控制器還可以對接人的用戶進行管理和監(jiān)控。這個組網方式支持對接入點的自動軟件更新，只要對接入點進行重啟.接入點就會去檢查自己的軟件版本和無線服務器上的軟件版本，如果需要更新則更新。FITAP下用戶的數據能通過AP中的CAPWAP隧道鏈接無線控制器。這使得用戶的VLAN可以和骨干交換機溝通，而繞過無線交換機。這一個特性對于在校園有線網絡的基礎上建設校園無線局域網非常有用?？梢院艽蟪潭葴p少對有線網絡的改造，從而減少工作量。

3.2.2 負載平衡

負載平衡要做的是每當有新的用戶想要接入到WLAN時，查看每個AP的連接數，通過比較以后將用戶分配給接入數量較少的接入點。這樣做能夠使用戶在使用網絡的時候擁有更快的響應。這個機制中，當用戶接入點后，無線控制器會做負載平衡。接入點每隔一段時間向無線控制器發(fā)送當前已經連接的設備信息。無線控制器收到消息以后，使用這項數據來判斷當前的AP是否過載。如果沒有超過負載，就會允許用戶的接入。否則，依據設置來決定是否允許接入。

3.2.3 認證功能

無線控制器AC需要支持SIM卡，TLS，PEAP，MD5等協議，才能對不同形態(tài)的用戶進行授權。在原有的有線校園網中，已經有了不少的用戶，他們有相應的賬號和密碼。在建設好無線局域網以后，要使得這些賬戶仍然可用，而且在無線網絡和有線網絡的切換中不需要重復認證，這需要在無線控制器中進行設置。

3.2.4 無線控制器的備份

本設計中使用雙鏈路連接的方案來實現備份。這個方案可以實現備份的熱進行，在進行備份的時候網絡仍然可用。存在兩個無線控制器，分別主用和備用，所有的接入點既要與主控制器連接也要與備用控制器連接。當進行備份的時候主控制器就會當機，這時心跳檢測機制會告訴接入點主控制器的情況，接入點就會在極短時間內接入到備用的無線控制器，做到在備份的同時不影響到網絡的連接和使用。

4 結論

本文對當前校園局域網絡的常見維護方式進行了分析，同時依據當前的無線局域網標準安全漏洞和新的安全標準提出了優(yōu)化方案，希望能夠促進校園局域網的健康發(fā)展。

參考文獻

[1]殷冬冬.大規(guī)模校園無線局域網性能優(yōu)化技術研究[J].無線互聯科技，2017（17）：13-14.

[2]周穎.淺談高中校園網網絡安全和維護策略[J].網絡安全技術與應用，2015（04）：170-170.

[3]曲伸.關于對校園局域網組建及優(yōu)化管理的探析[J].電子技術與軟件工程，2015（16）：39-39.

作者單位

首都體育學院現代教育技術中心 北京市 100091