萬億泰
摘要:根據(jù)校園網(wǎng)絡的發(fā)展趨勢,論述了無線網(wǎng)絡技術的優(yōu)點,給出了建設無線校園網(wǎng)的具體架構方案,無線校園網(wǎng)絡的管理方案,解決校園無線網(wǎng)安全的技術方案。指出了搭建無線網(wǎng)絡可以充分提高網(wǎng)絡的利用,提高學校教育信息化應用的深度和廣度。
關鍵詞:校園無線網(wǎng)絡;系統(tǒng)構建;安全認證
中圖分類號:G643文獻標志碼:A文章編號:1673-291X(2009)27-0267-02
一、校園無線網(wǎng)絡概述
近幾年來,隨著國家的飛速發(fā)展,校園網(wǎng)絡建設也取得了長足進步,校園辦公信息化、網(wǎng)絡化、自動化在各高校、中小學校已得到普遍應用,伴隨著學校的發(fā)展,迫切需要將應用系統(tǒng)擴展到整個校園。雖然各個教學、科研、學生生活區(qū)內都已經有了固定的網(wǎng)絡接口和信息插座,但是隨著創(chuàng)建世界性高水平綜合大學戰(zhàn)略的深入實施,學校的科研水平不斷提高,學術交流活動日益增多。在國際會議中心、綜合教學樓、學術報告廳、圖書館、自習室、綠地等開放性場所提供無線網(wǎng)絡接入環(huán)境的需求越來越強烈,而傳統(tǒng)的布線建設受環(huán)境影響,周期長、費用高、不利于移動辦公等諸多問題,在特定的場所也顯得更加突出。改進校園網(wǎng)現(xiàn)有的管理模式已經迫在眉睫,必須提供一個新的環(huán)境來滿足用戶的需求。為此,眾多學校啟動了無線校園網(wǎng)計劃,旨在建成高速度、廣覆蓋、易管理的安全校園無線網(wǎng)絡,滿足校園網(wǎng)可持續(xù)發(fā)展的要求,進一步提升學校的綜合實力,為師生帶來前所未有的無線體驗。
二、校園無線網(wǎng)絡分析
1.無線校園網(wǎng)絡優(yōu)點
(1)全面覆蓋:無線校園網(wǎng)絡以高速無線的方式覆蓋整個校園,包括教學樓、辦公室、禮堂、公寓、圖書館、廊道、綠地、公共活動場所等,無線網(wǎng)絡強大的無縫漫游功能,讓學校師生隨時隨地可以接入網(wǎng)絡,享受無線校園帶來的樂趣。(2)管理方便:無線校園網(wǎng)絡建立在已有校園有線網(wǎng)絡之上,可以很好的融入既有校園管理系統(tǒng)中,便于統(tǒng)一管理和維護。(3)安全性高:無線網(wǎng)絡使用WPA、802.1x等安全認證技術,具有多層次的安全訪問控制措施,可以實現(xiàn)對用戶身份鑒別、訪問控制、可稽核性和保密性等要求。(4)可擴充性:在校園網(wǎng)絡規(guī)模不斷發(fā)展的情況下,無線網(wǎng)絡可滿足在不改變主體架構與大部分設備的前提下,平滑實現(xiàn)升級和擴充,并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。(5)多媒體支持:無線網(wǎng)絡支持多種無線媒體服務,如無線語音應用、無線視頻會議應用、無線多媒體通信應用等。
2.無線網(wǎng)絡傳輸標準
WLAN利用電磁波在空氣中發(fā)送和接收數(shù)據(jù),無須線纜介質,在無線覆蓋的模式下室內傳輸可達幾十米,室外傳輸可達幾百米,在無線橋接的模式下,可連接相距幾十千米的兩地。WLAN大多使用的是2.4或5.8 GHz的頻率波段,這在世界范圍內是RF頻譜中非許可保留的波段,因此使用該頻段無須另外申請。
IEEE802.11協(xié)議族在協(xié)議、傳輸帶寬、傳播距離上更具有實用性,已經獲得了廣泛的市場認可度和廠商支持率,尤其是802.11b(工作于2.4 GHz頻段,提供11 Mb/s傳輸速度)、802.11a(工作于5.8 GHz頻段,提供54 Mb/s傳輸速度)和802.11g(工作于2.4 GHz頻段,提供54 Mb/s傳輸速度)的產品可滿足企業(yè)、校園等的高速無線傳輸需求。
3.無線網(wǎng)絡系統(tǒng)架構
通過分析,建議校園采用三層總體架構。
第一層為管理層,又稱為核心層。主要提供認證、管理等服務,由兩臺接入服務器構成,接入服務器是運營商和校內用戶數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)庫對接的接口,并負責處理來自其下一層的無線網(wǎng)絡控制器發(fā)來的用戶認證請求,根據(jù)預設策略判斷認證類型并將請求轉發(fā)至接入服務器,對用戶賬號的有效性采用相應的協(xié)議(例如PAP、CHAP、EAP等認證協(xié)議)進行判別,并將結果返回給底層的無線網(wǎng)絡控制器,無線網(wǎng)絡控制器根據(jù)接入服務器的結果決定是否允許用戶的網(wǎng)絡訪問請求。在三層架構下,本層是最核心的一層,管理層系統(tǒng)的故障將導致整個無線網(wǎng)的癱瘓。因此管理層系統(tǒng)必須提供冗余備份,可以采用兩臺接入服務器,一臺為“主”,另一臺為“備”。平時只有主機工作,備機實時對主機數(shù)據(jù)庫中用戶賬號和配置信息等進行同步,一旦主機故障能夠確保備機可以擁有和主機相同的配置和用戶賬號信息,從而可以保證整個無線網(wǎng)的穩(wěn)定運行。第二層為WLAN網(wǎng)絡控制層,也是安全控制層,由若干臺無線網(wǎng)絡控制器組成,每臺無線網(wǎng)絡控制器負責控制各自所在無線子網(wǎng)的無線用戶,接收所有用戶的認證請求,并將用戶的認證請求轉發(fā)至相應認證服務器。第三層為無線鏈路接入層,該層由熱點區(qū)域的眾多Access Point(AP)組成,主要負責如手提電腦、PC機等終端設備接入。
4.無線網(wǎng)絡組網(wǎng)
通過在校園內熱點區(qū)域采用蜂窩狀信號覆蓋方式,以實現(xiàn)無線網(wǎng)絡信號的無縫覆蓋。各熱點區(qū)域內AP通過在交換機上劃分到全局的獨立的VLAN中,該VLAN在中心不做三層交換以保證用戶在未認證之前與校園有線網(wǎng)絡之間的隔離。由于目前學校面積范圍普遍都比較大,因此考慮學校無線網(wǎng)絡規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點,對網(wǎng)絡性能和用戶認證都提出了很高要求,如果將全無線網(wǎng)絡都劃到一個VLAN內,則會嚴重影響網(wǎng)絡性能,因此建議將全無線網(wǎng)絡根據(jù)無線網(wǎng)絡覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個子網(wǎng),每個無線子網(wǎng)分別由一臺無線網(wǎng)絡控制器對其所轄無線子網(wǎng)用戶進行控制,以實現(xiàn)降低網(wǎng)絡廣播、用戶分流的目的。
5.無線網(wǎng)絡管理
為了保證無線網(wǎng)絡的穩(wěn)定運行,對其進行方便、高效的管理是必不可少的。因此,建議在方案中采用一個完整的無線局域網(wǎng)網(wǎng)管系統(tǒng)WNMS。WNMS采用網(wǎng)絡管理的標準協(xié)議SNMP對相關無線局域網(wǎng)設備進行配置及管理數(shù)據(jù)、性能數(shù)據(jù)、故障數(shù)據(jù)的采集和分析,同時也可通過WNMS對具體設備上的參數(shù)進行配置、調整、故障診斷。WNMS還提供拓撲發(fā)現(xiàn)、管理的功能,可以直觀的反映出無線網(wǎng)絡控制器、AP和其他相關設備之間的對應關系。網(wǎng)絡監(jiān)視基于網(wǎng)絡拓撲圖進行,在性能、告警、配置等方面動態(tài)反映網(wǎng)絡的變化。由于無線AP孤立地分布在比較分散的位置,因此在一個完整的WLAN解決方案中,WNMS系統(tǒng)將成為保障無線網(wǎng)絡穩(wěn)定運行不可缺少的重要組成部分。
6.無線安全網(wǎng)絡認證
由于WLAN是承載于現(xiàn)有的有線校園網(wǎng)之上,通過電磁波信號將有線網(wǎng)擴展到整個三維空間中,實現(xiàn)了將有線網(wǎng)中的位置分散的信息點在連續(xù)空間中的延續(xù),任何可以接受到電磁波信號的人都可以訪問網(wǎng)絡。而對于有線網(wǎng)絡來說一般只要控制有線信息點不讓非法人員接觸,就可以保障網(wǎng)絡的安全,因此如果應用了一個沒有控制的WLAN將會比有線網(wǎng)絡更易受到攻擊和入侵。因此,WLAN用戶的安全認證、接人控制、數(shù)據(jù)加密更是尤為重要。針對目前校園在無線網(wǎng)應用中的需求,筆者平衡了不同種類用戶對網(wǎng)絡安全級別要求不同及用戶易于使用兩者之間的關系,提出利用無線網(wǎng)絡控制器,為整體無線網(wǎng)絡提出基于WPA2認證和WEB+DHCP認證的用戶安全認證的解決方案:
(1)WPA2認證。無線網(wǎng)絡控制器采用WPA2認證,WPA即Wi-Fiprotected access的簡稱,WPA2是WPA協(xié)議的第二版,與WPA后向兼容,但是與WPA采用RC4加密算法不同,WPA2支持更高級的AES算法,能夠更好地解決無線網(wǎng)絡的安全問題。從而實現(xiàn)了對數(shù)據(jù)更高級別的安全保護。
(2)WEB+DHCP認證??紤]到WPA2認證方式對客戶端需要進行一定設置才能工作,為了便于用戶使用、簡化操作,也可以使用無線網(wǎng)絡控制器對無線用戶采用WEB十DHCP方式進行認證。WEB+DHCP認證方式是一種非常便于操作的認證方式,無須用戶端安裝任何軟件,當用戶需要上網(wǎng)時僅需打開瀏覽器即可彈出認證頁面,用戶在認證頁面上輸入自己的賬號名和密碼即可,同時用戶在認證時,用戶的賬號信息均通過SSL/TLS方式進行加密,保障用戶賬號信息的安全。并在認證頁面上也會有一系列的使用提示信息,能夠對用戶上網(wǎng)操作進行一定引導,方便了用戶的使用。
校園無線網(wǎng)絡伴隨著校園信息化、自動化無縫需求的發(fā)展而發(fā)展,它的搭建可以充分提高網(wǎng)絡的利用,滿足教學科研對網(wǎng)絡連接無所不在的要求,提高學校教育信息化應用的深度和廣度,是校園網(wǎng)絡發(fā)展的必然方向,校園無線網(wǎng)絡的構建,必將帶給師生前所未有的無線體驗。