校園無線網(wǎng)絡(luò)的設(shè)計與安全防范——以廈門技師學(xué)院為例

◆蔡加柳

校園網(wǎng)絡(luò)安全

校園無線網(wǎng)絡(luò)的設(shè)計與安全防范——以廈門技師學(xué)院為例

◆蔡加柳

（廈門技師學(xué)院 福建）

隨著移動終端的快速發(fā)展，無線移動網(wǎng)絡(luò)已經(jīng)成為國內(nèi)的發(fā)展主流。社會在不斷發(fā)展，我國的校園信息化的建設(shè)工作也邁進了一個嶄新的階段。為了滿足校園不斷發(fā)展的需求，我院校園無線網(wǎng)絡(luò)的建設(shè)工作也在全面進行中。本文主要介紹了廈門技師學(xué)院無線校園網(wǎng)的現(xiàn)狀、建設(shè)的總體目標(biāo)、無線網(wǎng)絡(luò)方案的設(shè)計及安全防范、無線網(wǎng)絡(luò)使用的效果等，為其他院校的無線校園網(wǎng)的建設(shè)與應(yīng)用提供借鑒。

無線校園網(wǎng)；安全；設(shè)計

1 引言

近些年來隨著網(wǎng)絡(luò)信息時代的快速發(fā)展、信息技術(shù)水平日益提高，各行各業(yè)都采用了信息化管理，我院也逐步加快了信息化建設(shè)的進度，通過信息化更好地服務(wù)于辦公教學(xué)。伴隨著移動互聯(lián)網(wǎng)時代的到來，各類線上教學(xué)辦公業(yè)務(wù)蓬勃發(fā)展，師生對于校園無線網(wǎng)絡(luò)的迫切需求與日俱增，目前學(xué)院已經(jīng)建成較為完善的有線網(wǎng)絡(luò)。隨著移動終端數(shù)量的爆發(fā)式增長和無線互聯(lián)技術(shù)快速發(fā)展，新的技術(shù)手段對校園無線網(wǎng)絡(luò)建設(shè)提出了更高的要求。為了進一步提升校園網(wǎng)的信息服務(wù)質(zhì)量，滿足師生各類移動辦公，學(xué)校擬統(tǒng)一規(guī)劃建設(shè)覆蓋全校的移動無線校園網(wǎng)。

2 無線校園網(wǎng)的現(xiàn)狀

目前我院的無線網(wǎng)絡(luò)主要覆蓋兩個區(qū)域，一部分是教學(xué)辦公區(qū)域主要由學(xué)院自建，采用無線AP對教學(xué)樓進行無線信號覆蓋；另一部分是學(xué)生宿舍區(qū)域主要由運營商建設(shè)部署，目前包含電信和移動。此外，食堂和室外空曠區(qū)域目前尚未全覆蓋無線網(wǎng)絡(luò)。

宿舍區(qū)域的無線網(wǎng)絡(luò)，由于多家運營商各自部署，缺乏合理的信道規(guī)劃，存在同頻干擾的問題，導(dǎo)致在無線網(wǎng)絡(luò)的使用過程中出現(xiàn)數(shù)據(jù)的沖突丟包，嚴(yán)重影響了師生的上網(wǎng)體驗。同時這些區(qū)域主要采用傳統(tǒng)802.11g的室分系統(tǒng)部署，設(shè)備的性能理論上僅有54Mbps，無法提供給師生一個高速的無線網(wǎng)絡(luò)環(huán)境，也不足以承載未來的各種無線應(yīng)用。同時，宿舍區(qū)無線網(wǎng)絡(luò)由于是運營商自建自營，學(xué)院無法對網(wǎng)絡(luò)進行直接管控，無法監(jiān)管學(xué)生日常的無線上網(wǎng)行為和操作，存在安全隱患。

3 總體建設(shè)目標(biāo)

當(dāng)前我院已經(jīng)形成完善的校園有線網(wǎng)和部分區(qū)域的無線覆蓋?？紤]到多業(yè)務(wù)特性的支持。在無線網(wǎng)絡(luò)上，除了提高部署時的合理規(guī)劃，提供802.11n的300M的高速接入以外，還需要考慮與有線網(wǎng)絡(luò)以及身份認(rèn)證運維管理系統(tǒng)的有機的結(jié)合，實現(xiàn)有線無線一體化的無線校園網(wǎng)建設(shè)。

總體上，依據(jù)分階段分步實施的建設(shè)原則，學(xué)院將形成全校統(tǒng)一的有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，有線校園網(wǎng)通過組播、IPV6、IPTV等下一代網(wǎng)絡(luò)技術(shù)承載起校內(nèi)師生高速的互聯(lián)網(wǎng)訪問以及智慧校園應(yīng)用交互，無線校園網(wǎng)通過高速的802.11n以及802.11ac等技術(shù)與有線網(wǎng)絡(luò)相輔相成，協(xié)同創(chuàng)新，實現(xiàn)校內(nèi)實時的互聯(lián)網(wǎng)訪問，同時通過有線無線的一體化集中認(rèn)證、集中管理，形成一套可靠、高速、安全可運營的基礎(chǔ)網(wǎng)絡(luò)。

4 廈門技師學(xué)院校園無線網(wǎng)絡(luò)設(shè)計

4.1 整體框架規(guī)劃設(shè)計

校園無線網(wǎng)絡(luò)的設(shè)計與實施是一個系統(tǒng)性工程，它涉及多個方面的設(shè)計細(xì)節(jié)和執(zhí)行要求。在基于經(jīng)濟性、實用性、先進性等原則下，整體框架設(shè)計上我們將校園網(wǎng)劃分為四個區(qū)域，分別包含有線網(wǎng)、無線網(wǎng)、出口區(qū)域以及數(shù)據(jù)中心區(qū)域。其中，有線網(wǎng)、出口區(qū)域、數(shù)據(jù)中心區(qū)域的架構(gòu)基本保持不變，繼續(xù)沿用或升級現(xiàn)有網(wǎng)絡(luò)設(shè)備，無線網(wǎng)絡(luò)區(qū)域主要先由AC（無線控制器簡稱下同）統(tǒng)一管理控制AP（無線接入點簡稱下同），然后將AC設(shè)備匯聚到交換機再統(tǒng)一的接入學(xué)院的核心交換機上。

無線校園網(wǎng)的設(shè)計主要依據(jù)不同的應(yīng)用場景進行設(shè)計，在教學(xué)樓、圖書館和行政辦公樓區(qū)域部署高性能的無線AP，以便提供更好的信號覆蓋。在學(xué)生較為集中且對帶寬要求更高的區(qū)域，確保每個房間一個AP接入點，以保證網(wǎng)絡(luò)使用的穩(wěn)定性。針對運動場、升旗廣場、室內(nèi)體育館等空曠區(qū)域，采用室外雙路雙頻覆蓋的方式，滿足全院至少95%以上區(qū)域的覆蓋。方案建設(shè)中整體無線網(wǎng)絡(luò)部署采用“AC+瘦AP”的組網(wǎng)方式，將校園網(wǎng)中的無線AP通過無線AC進行集中控制，方便后期的管理維護。

4.2 AP的部署要求

（1）AP覆蓋信號設(shè)計

對于用戶數(shù)量接入較多較為集中區(qū)域的接入速率應(yīng)不低于150Mbps，無線信號的強度不能低于-75dBm，信噪比要大于22。室外無線信號一般要求按能夠穿透一堵墻設(shè)計，天線的等效全向輻射功率要大于等于22 dBm。

（2）工作信道規(guī)劃

根據(jù)WLAN的國際規(guī)范和國際無線電管理委員會的標(biāo)準(zhǔn)，無線設(shè)備的工作頻段介于2400 MHz和2483.5MHz之間，最多有13個信道可用，每個頻道的帶寬為22 MHz。為了保證頻道之間互不干擾，相對獨立，在具有多個頻道的無線網(wǎng)絡(luò)環(huán)境中，要求兩個頻道的中心頻率間隔不能低于25 MHz，此外北美的設(shè)計標(biāo)準(zhǔn)中一般還規(guī)定12、13頻道不用，因此在本次的方案設(shè)計中我們選用1/6/11信道作為首選。

（3）無線部署方式

在無線AP的部署過程中由于學(xué)校內(nèi)的建筑物分布不規(guī)則，建筑物結(jié)構(gòu)也不盡相同，這對于實現(xiàn)無線信號全覆蓋提出了很大的挑戰(zhàn)。通過對現(xiàn)場環(huán)境的勘察，結(jié)合學(xué)院建筑進行功能區(qū)域的劃分，在AP部署的方式上我們主要分為以下三個方面來實施。

對于圖書館、校辦工廠、報告廳、教學(xué)樓、辦公樓、食堂等空間較大，用戶接入相對集中的區(qū)域，我們采用放裝方式。根據(jù)單位區(qū)域內(nèi)的接入用戶數(shù)量，確定AP的接入數(shù)量和部署位置，確保該區(qū)域的信號覆蓋。

對于宿舍樓區(qū)域，由于房間較為密集且房間內(nèi)墻體結(jié)構(gòu)較堅固，房間內(nèi)死角較多，如衛(wèi)生間陽臺等，且房間門都為鐵門，如果采用傳統(tǒng)方式部署會存在較多盲區(qū)，用戶體驗效果不好。為了確保信號覆蓋無盲區(qū)，我們在每間房間中部署1個面板式的AP。

對于運動廣場等相對空曠而且條件較為惡劣的區(qū)域，應(yīng)當(dāng)選用專用的室外大功率無線AP同時要求配置使用定向天線。這樣至少可以保證無線信號在無阻礙環(huán)境下的350米半徑覆蓋，對于障礙物較多的區(qū)域也有較好的穿透能力。

4.3 無線漫游設(shè)計

廈門技師學(xué)院無線網(wǎng)的設(shè)計既要滿足高速漫游、又要能夠?qū)崿F(xiàn)智能漫游。首先關(guān)于高速漫游，本方案設(shè)計要求同一個AC管理下的AP之間和不同AC管理下的AP之間均能夠無縫快速漫游；從而保證無線客戶端從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍時，通信不會中斷，也不需要重新進行登錄驗證。其次關(guān)于智能漫游，本方案通過定義不同的漫游組，及其漫游范圍來實現(xiàn)。根據(jù)用戶的身份和級別劃定其是否可以漫游，是否能夠連接到相應(yīng)的無線網(wǎng)絡(luò)的區(qū)域。通過設(shè)定訪客、學(xué)生、老師三種身份，針對不同身份設(shè)定不同的無線接入?yún)^(qū)域。例如，定義學(xué)生組不能在行政辦公區(qū)域接入無線，其他區(qū)域不做限制；訪客只能在行政辦公樓的會議室接入無線；教師組不做限制。

4.4 無線安全設(shè)計

（1）認(rèn)證方式

基于“接入安全”的設(shè)計理念，本次無線網(wǎng)絡(luò)設(shè)計方案中采用了web認(rèn)證的方式并通過AC與學(xué)院有線網(wǎng)絡(luò)中使用的RG-SAM認(rèn)證系統(tǒng)相結(jié)合。當(dāng)無線終端通過AP連接進入無線網(wǎng)絡(luò)時候，無線網(wǎng)絡(luò)中的控制器設(shè)備會先與SAM認(rèn)證系統(tǒng)的網(wǎng)關(guān)進行對接，用portal的方式把用戶認(rèn)證頁面推送給客戶端，同時將用戶認(rèn)證所需要的密碼及用戶名上傳至無線AC，AC利用與SAM認(rèn)證系統(tǒng)的對接取得認(rèn)證用戶的相關(guān)信息。如果認(rèn)證連接通過，AC將通知AP并允許用戶訪問對應(yīng)的資源，無線客戶端通過瀏覽器就能夠完成認(rèn)證，這樣不僅保證了無線接入用戶的合法性還能夠讓接入用戶簡單快速使用無線網(wǎng)絡(luò)，大大提升了用戶的體驗感。

（2）數(shù)據(jù)加密

在這次的無線網(wǎng)絡(luò)方案設(shè)計中，無線AP設(shè)備均支持TKIP、 AES、WEP等加密技術(shù)，我們選用TKIP、AES這些更為安全的加密方式為接入用戶提供完整的數(shù)據(jù)安全加密保障機制，保證無線網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全。該方案中的無線接入點與無線控制器之間則通過CAPWAP加密隧道模式進行通信，從而保證了傳輸過程中的數(shù)據(jù)內(nèi)容安全。

（3）射頻安全

本方案中要求選用產(chǎn)品的網(wǎng)絡(luò)管理系統(tǒng)還能夠與無線控制器配合，支持無線AP開啟射頻探針掃描，工作中能夠?qū)崟r探測非法接入點、或其他射頻干擾源，并進行預(yù)警提示，這樣保證我們可以隨時監(jiān)控到各個無線區(qū)域的潛在威脅。

5 廈門技師學(xué)院無線網(wǎng)絡(luò)使用情況

目前廈門技師學(xué)院校園無線網(wǎng)絡(luò)服務(wù)于全院師生約5000人，截至2020年5月，最大同時接入終端數(shù)超過3500個，校園無線網(wǎng)絡(luò)的流量峰值超過3.5GBps。該無線網(wǎng)絡(luò)滿足了全院師生在各種場景下的用網(wǎng)需求。在教學(xué)行政辦公區(qū)域，師生可以在任意一間實訓(xùn)室通過無線終端快速接入校園網(wǎng)，并訪問校園網(wǎng)資源。在宿舍區(qū)域，學(xué)生可以在無線網(wǎng)絡(luò)中訪問校內(nèi)外網(wǎng)絡(luò)資源。另外訪客能夠在會議室接入無線校園網(wǎng)，并訪問外網(wǎng)資源。

6 結(jié)束語

校園無線網(wǎng)絡(luò)的建設(shè)是一個長期性任務(wù)，在這一過程中，我們要認(rèn)真分析校園信息化的發(fā)展趨勢，秉持以人為本的建設(shè)理念，并且堅持對無線校園網(wǎng)及其安全防護設(shè)計的嚴(yán)謹(jǐn)態(tài)度，結(jié)合各個學(xué)校自身的實際情況進行統(tǒng)籌安排，這樣設(shè)計出來的無線校園網(wǎng)才能夠更好地服務(wù)于廣大師生，進而推動校園信息化建設(shè)長足發(fā)展。

[1]姜鴻斌.高校校園無線網(wǎng)絡(luò)建設(shè)探討——以安徽行政學(xué)院為例[J]. 合肥學(xué)院學(xué)報（綜合版），2019，36（2）：68-72.

[2]李緯.無線校園網(wǎng)的設(shè)計與優(yōu)化[J].電子技術(shù)與軟件工程，2017（6）：55-57.

[3]李健.無線校園網(wǎng)的設(shè)計與安全策略實施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：89-90.