白雪峰，鐘震宇，濮偉心

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

高校WLAN覆蓋方案及安全策略研究

白雪峰，鐘震宇，濮偉心

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

高校由于人流密集，用戶資源優(yōu)良，場(chǎng)景豐富，數(shù)據(jù)業(yè)務(wù)需求突出，成為了WLAN覆蓋的重點(diǎn)區(qū)域。本文提出一種普遍可行的高校WLAN建設(shè)方案和多種安全策略。

WLAN；高校覆蓋；網(wǎng)絡(luò)安全

1 引言

隨著移動(dòng)無(wú)線網(wǎng)絡(luò)規(guī)模的擴(kuò)大，宏基站密度增加，城市的無(wú)線覆蓋也進(jìn)一步得到改善和提高。但由于無(wú)線環(huán)境十分復(fù)雜，高速無(wú)線寬帶接入環(huán)境比較容易受到限制，另外，用戶終端在不斷的多樣化，普通的話音業(yè)務(wù)已無(wú)法滿足用戶的需求，對(duì)包括數(shù)據(jù)業(yè)務(wù)、視頻下載、在線點(diǎn)播在內(nèi)的各種特色業(yè)務(wù)需求也越來(lái)越旺盛，這樣無(wú)線寬帶接入問(wèn)題的重要性逐漸突出起來(lái)。

WLAN技術(shù)的發(fā)展為高速無(wú)線數(shù)據(jù)業(yè)務(wù)提供了良好的解決方案，高校由于人流密集，用戶資源優(yōu)良，場(chǎng)景豐富，數(shù)據(jù)業(yè)務(wù)需求突出，成為了WLAN覆蓋的重點(diǎn)區(qū)域。利用WLAN組網(wǎng)覆蓋解決高校高速無(wú)線寬帶接入需求變得很重要。

2 高校WLAN建設(shè)需求分析

高校WLAN規(guī)劃建設(shè)中，需要考慮的基本需求如下：（1）教學(xué)的需求，工作學(xué)習(xí)管理的需求，隨著高校網(wǎng)絡(luò)建設(shè)的不斷完善，越來(lái)越多的信息管理平臺(tái)被應(yīng)用到日常管理中，無(wú)線網(wǎng)絡(luò)的廣泛應(yīng)用可以很好地彌補(bǔ)有線網(wǎng)絡(luò)的不足。（2）大型活動(dòng)的需求，如學(xué)術(shù)交流會(huì)、人才交流會(huì)等各種大型活動(dòng)也舉辦的越來(lái)越多，對(duì)網(wǎng)絡(luò)也提出了需求。（3）高校網(wǎng)絡(luò)建設(shè)的需求，現(xiàn)階段，高校都在不斷擴(kuò)張，建立分校區(qū)，要為新建立的校區(qū)連接網(wǎng)絡(luò)。有線網(wǎng)絡(luò)模式下施工難度大、工期長(zhǎng)，對(duì)迅速擴(kuò)展的高校形成了嚴(yán)重的瓶頸。（4）接入端口數(shù)量增長(zhǎng)的需求，高校中有很多特殊的地方無(wú)法布設(shè)太多有線網(wǎng)絡(luò)接入點(diǎn)，如餐廳、圖書(shū)館、會(huì)議室等，并且很多建筑建設(shè)時(shí)間較長(zhǎng)，不便施工。（5）智能終端大規(guī)模普及應(yīng)用的需求[1]。

3 高校WLAN建設(shè)優(yōu)勢(shì)

高校WLAN規(guī)劃建設(shè)，與有線網(wǎng)絡(luò)相比有如下優(yōu)勢(shì)： (1) 接入網(wǎng)絡(luò)方便、靈活，使網(wǎng)絡(luò)應(yīng)用更加豐富多彩。(2) 與有線局域網(wǎng)互為補(bǔ)充，相互冗余，擴(kuò)充網(wǎng)絡(luò)的使用范圍，降低網(wǎng)絡(luò)故障率。(3) 具有較強(qiáng)的移動(dòng)性，為教學(xué)、辦公等?；顒?dòng)提供移動(dòng)平臺(tái)。(4) 鋪設(shè)網(wǎng)絡(luò)更加經(jīng)濟(jì)方便，使校園網(wǎng)變得更加靈活、便捷。(5) 校園網(wǎng)更易于擴(kuò)充，使大量的數(shù)據(jù)交換變得更加容易、輕松[2]。

4 高校WLAN建設(shè)原則

校園無(wú)線網(wǎng)的設(shè)計(jì)要充分考慮每一個(gè)細(xì)節(jié)，力求滿足整個(gè)校園網(wǎng)的可靠性、先進(jìn)性、實(shí)用性、可兼容性及可擴(kuò)展性。

(1) 根據(jù)實(shí)際使用和擴(kuò)容冗余的需求，確定無(wú)線網(wǎng)絡(luò)的覆蓋范圍和系統(tǒng)的容量。要保證系統(tǒng)可靠運(yùn)行，關(guān)鍵設(shè)備及主要區(qū)域應(yīng)有冗余。

(2) 室內(nèi)覆蓋主要采用合路的室內(nèi)分布建設(shè)方式，特殊情況下采用WLAN單獨(dú)部署的建設(shè)方式。如果WLAN與蜂窩移動(dòng)通信系統(tǒng)共用天饋系統(tǒng)，WLAN信號(hào)的引入就要盡可能地接天饋末端。室外覆蓋主要采用WLAN單獨(dú)部署的建設(shè)方式，對(duì)于有合路需求的，采用合路的分布建設(shè)方式，視具體需求，采用不同的建設(shè)方式。

(3) WLAN網(wǎng)絡(luò)建設(shè)容量要求：?jiǎn)蜛P支持并發(fā)用戶數(shù)：10～15人。按照“多天線、小功率”的原則進(jìn)行建設(shè)。為了保證覆蓋，最好能將室分天線放置于房間內(nèi)，盡可能靠近用戶。單天線覆蓋半徑參考建議為：在半開(kāi)放環(huán)境，單天線情況下，覆蓋半徑取10～16 m；在較封閉環(huán)境，單天線的情況下，覆蓋半徑取6～10 m。多天線連續(xù)覆蓋時(shí)，要取覆蓋半徑的1/5～1/3作為重疊區(qū)域。若因容量等原因需要在同一樓層放置更多AP需進(jìn)行合理頻點(diǎn)規(guī)劃及功率控制，降低干擾水平。

(4) 按照國(guó)家標(biāo)準(zhǔn)，WLAN室內(nèi)型單拉AP發(fā)射功率為100 mW。覆蓋距離的同時(shí)受到室內(nèi)的陳設(shè)、房間分隔、辦公設(shè)備干擾的影響，一般僅能穿透一堵水泥墻進(jìn)行覆蓋，可以在走廊部署一個(gè)AP，解決兩面共4個(gè)房間（96m2）的覆蓋，每層約放置7～8個(gè)AP。

5 高校WLAN覆蓋指標(biāo)

校園無(wú)線網(wǎng)的設(shè)計(jì)技術(shù)指標(biāo)要求如下：

(1) 信號(hào)覆蓋電平。在設(shè)計(jì)目標(biāo)覆蓋區(qū)域內(nèi)95%以上位置，接收信號(hào)強(qiáng)度大于等于-75 dBm，有特殊要求的重要熱點(diǎn)接收信號(hào)強(qiáng)度大于等于-70 dBm。

(2) 信噪比。在設(shè)計(jì)目標(biāo)覆蓋區(qū)域內(nèi)95%以上位置，用戶終端無(wú)線網(wǎng)卡接收到的信噪比（SNR）大于20 dB。

(3) 可接通率。在WLAN無(wú)線覆蓋區(qū)內(nèi)90%的位置，99%的時(shí)間內(nèi)無(wú)線網(wǎng)卡可以接入網(wǎng)絡(luò)。

(4) 通信質(zhì)量。覆蓋區(qū)域誤幀率小于5%的區(qū)域占總覆蓋區(qū)域的95%以上。

(5) 室內(nèi)天線功率。根據(jù)國(guó)家環(huán)境電磁波衛(wèi)生標(biāo)準(zhǔn)，室內(nèi)天線的發(fā)射功率應(yīng)小于12 dBm/載波。

(6) 系統(tǒng)吞吐量。在信號(hào)強(qiáng)度大于-70 dBm的區(qū)域，在802.11b模式下，上行或下行單向吞吐量應(yīng)達(dá)到不低于5 Mbit/s；在802.11g模式下，上行或下行單向吞吐量應(yīng)達(dá)到不低于20 Mbit/s；在可選的802.11a模式下，上行或下行單向吞吐量應(yīng)達(dá)到不低于20 Mbit/s。

(7) 上網(wǎng)速率。對(duì)于覆蓋區(qū)域，應(yīng)滿足潛在用戶無(wú)線寬帶上網(wǎng)的容量需求，保證每用戶以不低于500 kbit/s的速度上網(wǎng)。

6 高校WLAN覆蓋分場(chǎng)景建設(shè)方案

以山西大學(xué)城建設(shè)為例，校園WLAN覆蓋的主要場(chǎng)景有以下幾類：學(xué)生宿舍、教學(xué)樓、圖書(shū)館、活動(dòng)中心、體育場(chǎng)館、廣場(chǎng)等，現(xiàn)就幾類有代表性的場(chǎng)景重點(diǎn)分析，其他類別的場(chǎng)景可參考這幾類進(jìn)行建設(shè)。

6.1 學(xué)生宿舍樓

容量方案： 在計(jì)算容量時(shí)，需要對(duì)學(xué)生上網(wǎng)行為和用戶數(shù)進(jìn)行分析，考慮到學(xué)生的上網(wǎng)占用帶寬較大，需要對(duì)每個(gè)用戶進(jìn)行限速。根據(jù)下列公式算出每層樓所需要的AP數(shù)量：

AP個(gè)數(shù)=宿舍數(shù)×每宿舍人數(shù)×筆記本擁有率×WLAN用戶率×并發(fā)率/每AP支持并發(fā)用戶數(shù)

單AP支持并發(fā)用戶數(shù)10～15人。每個(gè)24口PoE交換機(jī)最多可以接16個(gè)AP。

在建設(shè)的初期，按照單AP承載10～15個(gè)用戶進(jìn)行設(shè)計(jì)。中期需要對(duì)WLAN用戶率等參數(shù)進(jìn)行調(diào)整。建設(shè)中，需要為業(yè)務(wù)發(fā)展預(yù)留擴(kuò)容空間，在安裝AP時(shí)，需要同時(shí)預(yù)留一條網(wǎng)線，便于后期擴(kuò)容。出口帶寬測(cè)算和限定參考公式：

出口帶寬=單用戶帶寬需求×用戶數(shù)×并發(fā)上網(wǎng)比例/70%。

單用戶平均帶寬需求在150～500 kbit/s。

覆蓋方案：為了保證宿舍樓覆蓋，最好能將室分天線放置于房間，尤其是對(duì)于宿舍進(jìn)門處帶有衛(wèi)生間的最好能協(xié)調(diào)校方將天線放置于房間內(nèi)。如果確實(shí)無(wú)法協(xié)調(diào)進(jìn)入房間，則需保證在走廊宿舍門口處放置天線。

宿舍AP位置規(guī)劃如圖1所示。

圖1 宿舍AP位置規(guī)劃

每層放置AP需進(jìn)行詳細(xì)AP頻點(diǎn)規(guī)劃。規(guī)劃表如表1所示。

6.2 圖書(shū)館

容量方案：閱覽室的特點(diǎn)是面積較大、區(qū)域空曠、學(xué)生較多、并發(fā)用戶數(shù)比例較低。

一個(gè)閱覽室按100個(gè)座位計(jì)算，用戶攜帶筆記本電腦到閱覽室按20%、同時(shí)上網(wǎng)比例為80%考慮， 同時(shí)上網(wǎng)用戶數(shù)為：100×20%×80%=16個(gè)，一個(gè)閱覽室采用一個(gè)AP即可滿足容量需求。

覆蓋方案：應(yīng)該結(jié)合室內(nèi)分布系統(tǒng)建設(shè)，將AP在末端饋入，一般一個(gè)AP接1～2副天線，按照室內(nèi)天線輸出電平10～12 dBm，考慮室內(nèi)吊頂對(duì)信號(hào)的衰減，覆蓋半徑在10 m左右，單天線覆蓋面積約為300 m2。

6.3 室外區(qū)域

室外區(qū)域空曠、流動(dòng)學(xué)生較多，持有筆記本電腦的用戶較少，并發(fā)用戶數(shù)比例比較低。這種區(qū)域以覆蓋為主，覆蓋方式以在樓頂安裝室外大功率AP+定向天線解決，覆蓋半徑可達(dá)200 m。對(duì)于傳輸不能到達(dá)的區(qū)域，可以采用Mesh AP解決。

6.4 教學(xué)樓、辦公樓

該類型建筑物多為鋼筋混凝土結(jié)構(gòu)或鋼筋混凝土結(jié)構(gòu)外加玻璃幕墻， 通常樓層較高，平層內(nèi)部建筑隔斷較多，穿透損耗情況復(fù)雜，樓層間穿透損耗也較大。

典型的平層房間布局為包括走廊+單/雙邊房間或大開(kāi)間。高端用戶比例相對(duì)較高，業(yè)務(wù)需求均較高。

容量方案：一般辦公樓單樓層在1 000 m2，用戶數(shù)大約為40人，按照重點(diǎn)客戶的辦公全部使用WLAN無(wú)線上網(wǎng)的極限環(huán)境來(lái)看，需要3個(gè)AP滿足容量覆蓋，現(xiàn)階段在用戶發(fā)展不明確的情況下，按照用戶筆記本電腦擁有率為50%，同時(shí)上網(wǎng)比例為50%考慮， 同時(shí)上網(wǎng)用戶數(shù)為：40×50%×50%=10個(gè)，單樓層布放一個(gè)AP即可滿足容量需求，建設(shè)中可以考慮為擴(kuò)容AP預(yù)留網(wǎng)線，便于后續(xù)擴(kuò)容。教學(xué)樓、辦公樓內(nèi)教室、會(huì)議室按照人員容納和面積可以分為3種類型。

表1 詳細(xì)AP頻點(diǎn)規(guī)劃

（1）小型教室、會(huì)議室，面積大約為40m2，可容納用戶數(shù)為10～15人，單獨(dú)布放一個(gè)AP即可滿足用戶上網(wǎng)需求。

（2） 中型教室、會(huì)議室，面積大約為100m2，可容納用戶數(shù)為50～60人，按照用戶筆記本電腦擁有率為50%，同時(shí)上網(wǎng)比例為50%考慮， 共同上網(wǎng)用戶數(shù)為：60×50%×50%=15個(gè)，布放單拉一個(gè)AP的方式即可滿足用戶上網(wǎng)需求。

（3） 大型教室、會(huì)議室，面積約為200～250m2，可容納用戶數(shù)為100～120人，按照用戶筆記本電腦擁有率為50%，同時(shí)上網(wǎng)比例為50%考慮， 共同上網(wǎng)用戶數(shù)為：100×50%×50%=25個(gè)，布放單拉兩個(gè)AP的方式即可滿足用戶上網(wǎng)需求。

覆蓋方案：1F大廳：對(duì)于1F大廳等與室外直接相連之處，應(yīng)注意避免信號(hào)功率外泄，可選用全向天線安裝在大廳靠?jī)?nèi)側(cè)的邊上進(jìn)行覆蓋，配之以較低的天線輸出功率，或者選用定向小板狀天線安裝在門廳處向大堂內(nèi)部覆蓋。

樓內(nèi)大房間（比如會(huì)議室）：平層樓內(nèi)常出現(xiàn)像會(huì)議室這類大房間的覆蓋場(chǎng)景，寫字樓內(nèi)部分樓層可能會(huì)有中小型會(huì)議室，對(duì)于這樣的場(chǎng)景，一般采用全向吸頂天線進(jìn)房間進(jìn)行覆蓋。

標(biāo)準(zhǔn)平層：標(biāo)準(zhǔn)平層內(nèi)的天線一般安裝在走廊內(nèi)，采用全向吸頂天線。根據(jù)二級(jí)分類場(chǎng)景情況，分別描述如下：

（1） 走廊+單雙邊房間（房間縱深6 m以內(nèi)）。

一般走廊+單邊房間類型場(chǎng)景的寫字樓，房間縱深6 m以內(nèi)，天線安裝在門外走廊基本可以解決房間內(nèi)信號(hào)，天線布放間距在10 m左右。

（2）走廊+單雙邊房間（房間縱深6 m以上）。

對(duì)于房間縱深超過(guò)6 m的情況，建議天線進(jìn)房間實(shí)現(xiàn)覆蓋，如果實(shí)際施工有難度，天線必須安裝在靠近房間門口的位置。

如果天線進(jìn)房間，可以采用定向天線或全向天線方式，定向天線應(yīng)安裝在靠近房間外緣的位置向內(nèi)覆蓋，全向天線的安裝位置應(yīng)在滿足覆蓋需求的基礎(chǔ)上盡量遠(yuǎn)離窗邊以控制泄漏。

7 高校WLAN安全策略問(wèn)題

校園中 WLAN 的安全隱患主要有以下幾種：

第一，蹭網(wǎng)，有的用戶為了達(dá)到不交網(wǎng)費(fèi)就上網(wǎng)的目的，通過(guò)直接登陸或破解密碼等方法，連接到WLAN 免費(fèi)上網(wǎng)，也就是俗稱的蹭網(wǎng)。

第二，竊取文件，辦公室的網(wǎng)絡(luò)中，往往有多臺(tái)計(jì)算機(jī)、打印機(jī)、傳真機(jī)共享。非法用戶連接到 WLAN后，就可以免費(fèi)使用這些硬件資源，并竊取如學(xué)生信息、教師信息、考試試卷等文件，從而造成難以估計(jì)的嚴(yán)重后果。

第三，攻擊和投放病毒，非法用戶登錄到高校WLAN后，可以通過(guò)地址解析ARP、拒絕服務(wù)(DOS)等方式向網(wǎng)絡(luò)中的合法用戶發(fā)起攻擊，使得合法用戶的正常上網(wǎng)出現(xiàn)困難。同時(shí)，非法用戶還可以借助該WLAN 窺探其他網(wǎng)絡(luò)，或向別的網(wǎng)絡(luò)發(fā)起攻擊。

通過(guò)以上分析可知，WLAN也存在一定的網(wǎng)絡(luò)安全隱患。

WLAN的安全隱患來(lái)自多個(gè)方面，應(yīng)該多管齊下，通過(guò)多種技術(shù)融合，才能打造健康安全的WLAN。

第一，物理防范，一般WLAN的室內(nèi)傳播距離是100 m，并受到墻壁等因素的影響。如果AP安裝在門口或者窗邊，那么黑客很容易通過(guò)高靈敏度天線從路邊、樓宇中檢測(cè)到信號(hào)并發(fā)起攻擊。因此對(duì)AP的安裝位置要特別注意。

第二，加密處理，首先，用戶必須增強(qiáng)意識(shí)，設(shè)定比較復(fù)雜的密碼，例如大小寫字母、數(shù)字、特殊字符相結(jié)合的密碼，并定期更新密碼，而不應(yīng)該使用空密碼、默認(rèn)密碼、簡(jiǎn)單的密碼。如果密碼比較復(fù)雜且位數(shù)較長(zhǎng)，那么黑客通過(guò)窮舉法很可能需要幾十年甚至幾百年的時(shí)間。

再次，采用高級(jí)加密算法，常用的WEP協(xié)議采用的是RC4流密碼算法，其種子密鑰由初始化向量IV和原始密鑰Key組成。假設(shè)采用相同的IV和Key，則對(duì)明文P1和P2加密后的數(shù)據(jù)流分別為：

當(dāng)前，在GPU浮點(diǎn)運(yùn)算能力日益強(qiáng)大、云計(jì)算平臺(tái)快速發(fā)展的今天，黑客的計(jì)算能力和破解能力獲得很大提升，對(duì)加密算法提出了更高的要求。使用增強(qiáng)型的WPA2對(duì)抵御黑客的進(jìn)攻，目前還是比較理想的。

第三，訪問(wèn)控制，首先，WLAN都有一個(gè)SSID（服務(wù)區(qū)標(biāo)識(shí)符），通過(guò)SSID可以識(shí)別不同的AP[4]。為了對(duì)訪問(wèn)網(wǎng)絡(luò)進(jìn)行區(qū)別限制，應(yīng)該對(duì) AP設(shè)置不同的SSID，并要求用戶計(jì)算機(jī)出示正確的SSID才能訪問(wèn)AP。同時(shí)禁止SSID廣播，避免黑客掌握其編碼信息。其次，對(duì)MAC（物理地址）進(jìn)行過(guò)濾。由于每個(gè)網(wǎng)卡都有一個(gè)唯一的物理地址，如果對(duì)訪問(wèn)網(wǎng)絡(luò)的網(wǎng)卡MAC進(jìn)行限制，就能有效避免非法用戶的連接。此時(shí)，只需要啟用AP的MAC白名單規(guī)則，并將合法用戶的MAC地址存入MAC列表即可。

第四，網(wǎng)絡(luò)結(jié)構(gòu)控制，為了進(jìn)一步提高安全性，在網(wǎng)絡(luò)結(jié)構(gòu)上，可以對(duì)核心網(wǎng)和外圍網(wǎng)進(jìn)行劃分。如果有條件，還應(yīng)該采用VPN、防火墻的結(jié)構(gòu)，這樣能極大提高安全性能[5]。

8 結(jié)論

綜上，通過(guò)對(duì)WLAN校園覆蓋建設(shè)問(wèn)題的分析，得出WLAN在高校網(wǎng)絡(luò)建設(shè)中的基本原則，并結(jié)合容量、帶寬的計(jì)算方法，分析了其在具體覆蓋場(chǎng)景下，各種不同的覆蓋規(guī)劃方法。提出一種適合于WLAN校園網(wǎng)絡(luò)建設(shè)的普遍適用方案。并通過(guò)校園WLAN網(wǎng)絡(luò)安全問(wèn)題的分析，給出了可以參考的多種安全策略方案。

[1] 段水福， 歷曉華． 無(wú)線局域網(wǎng) (WLAN) 設(shè)計(jì)與實(shí)現(xiàn)[M]． 杭州：浙江大學(xué)出版社， 2007．

[2] 王剛． 無(wú)線校園網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[J]． 安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)， 2009．

[3] Stubblefield A，Ioannidis J，Rubin A D．Using the Fluhrer，Mantin and Shamir Attack to Break WEP[R]． AT&T Labs Teehnical Report TD-4ZCPZZ，Revision 2，August 21，2001．

[4] 李歆，任紀(jì)生． 無(wú)線局域網(wǎng)協(xié)議安全性研究與改進(jìn)[J]． 電腦知識(shí)與技術(shù)，2007(18)：1551-1553．

[5] 王志新，許林英． 無(wú)線局域網(wǎng)安全性研究[J]． 微處理機(jī)，2009(3)．43-48．

WLAN coverage in university and security program

BAI Xue-feng, ZHONG Zhen-yu, PU Wei-xin
(China Mobile Group Design Institute Co., Ltd., Beijing, 100080, China)

With the expansion of mobile wireless networks, the city's wireless coverage further improved and enhanced. However, due to the wireless environment is very complex, high-speed wireless broadband access is not easy to be built. In addition, the user terminal is diversification, data services, video downloads, online features, including a variety of business needs has become increasingly strong. WLAN technology for the high-speed wireless data services provides a good solution, especially, in university. This paper presents a general viable WLAN program in university and a variety of WLAN security programs.

WLAN; network security; coverage in university

TN915

A

1008-5599（2013）09-0059-05

2013-06-27