摘 要：本文從國家稅務(wù)總局黨校無線網(wǎng)絡(luò)現(xiàn)狀入手，分析了存在問題，著重介紹了無線網(wǎng)絡(luò)設(shè)計(jì)及安全體系建設(shè)。以期為其他院校的無線網(wǎng)絡(luò)建設(shè)提供參考借鑒。

關(guān)鍵詞：無線校園；安全體系

中圖分類號：TP393.18

隨著移動(dòng)辦公、學(xué)習(xí)平臺的開發(fā)使用，微博、微信等新媒體的廣泛應(yīng)用，黨校廣大教職工、學(xué)員的工作、生活都已離不開無線網(wǎng)絡(luò)。

1 無線網(wǎng)絡(luò)現(xiàn)狀

目前各級黨校均組建了基于有線的校園網(wǎng)，正在規(guī)劃并分步實(shí)施無線校園建設(shè)。黨校學(xué)員在校學(xué)習(xí)時(shí)間短，流動(dòng)性大；學(xué)員智能設(shè)備持有率高，但安全意識普遍不強(qiáng)等因素決定了對無線校園建設(shè)安全性、便捷性、穩(wěn)定性有更高的要求，必須在借鑒高校建設(shè)的經(jīng)驗(yàn)教訓(xùn)上切實(shí)做好規(guī)劃設(shè)計(jì)。

以國家稅務(wù)總局黨校為例，該校數(shù)字化校園規(guī)劃建設(shè)起步早，信息化為教學(xué)、科研、管理、后勤等提供了高效穩(wěn)定的支撐。隨著無線設(shè)備的普及、無線應(yīng)用的推廣，辦公室、宿舍等公共場所部署了基于FAT AP的無線網(wǎng)絡(luò)。FAT AP具有配置靈活、安裝簡單、性價(jià)比高等優(yōu)勢。

2 存在問題

隨著應(yīng)用的不斷深入，原有無線網(wǎng)絡(luò)也無法滿足需求，暴露出信號覆蓋面小、安全隱患大、運(yùn)維管理難等問題。

2.1 非法無線路由器接入。學(xué)員自帶無線路由接入宿舍有線網(wǎng)絡(luò)，因市面上家庭無線路由默認(rèn)開啟了DHCP（動(dòng)態(tài)地址分配）功能，其分配的錯(cuò)誤IP 會(huì)影響其它計(jì)算機(jī)用戶正常網(wǎng)絡(luò)訪問；同時(shí)還存在安全隱患，如配置惡意的DNS（域名解析服務(wù)）將一些銀行、電子商務(wù)類網(wǎng)站解析到偽裝網(wǎng)站，從而實(shí)施盜取賬號密碼等敏感信息。

2.2 不能支持大禮堂、報(bào)告廳等場所的多用戶同時(shí)接入。一些新技術(shù)應(yīng)用、危機(jī)處理、知識管理等課程需要使用移動(dòng)設(shè)備訪問無線網(wǎng)絡(luò)。而傳統(tǒng)AP支持并發(fā)連接數(shù)有限，不能智能負(fù)載分擔(dān)，出現(xiàn)負(fù)載滿后，其他人無法正常登錄使用。

2.3 存在覆蓋盲點(diǎn)及易受干擾。頻段設(shè)備多，可用頻譜少，部署過密容易引起干擾，過疏則存在覆蓋盲點(diǎn)。

2.4 不支持漫游。用戶離開現(xiàn)有AP覆蓋范圍連接另一AP時(shí)，可能會(huì)分配不同的IP，使用的Portal認(rèn)證，需重新認(rèn)證。

2.5 運(yùn)維困難。存在不能及時(shí)發(fā)現(xiàn)問題，只能事后被動(dòng)的處理；排查難，無法快速定位有問題的AP；不能統(tǒng)一配置管理等難題。

3 優(yōu)化舉措

為了更大的覆蓋校園面積，在綜合考慮技術(shù)成熟性、性價(jià)比等基礎(chǔ)上，我們在WLAN（無線局域網(wǎng)絡(luò)）、WMN（無線網(wǎng)狀網(wǎng)絡(luò)）、MANET（移動(dòng)自組織網(wǎng)絡(luò)）中選擇了WLAN。支持高性能的802.11n，兼容802.11a/b/g；并做好了802.11ac升級準(zhǔn)備。

為解決原有FAT AP組網(wǎng)方式存在的問題，我們選擇了FIT AP組網(wǎng)方式。通過無線控制器統(tǒng)一管理和配置所有AP，為兼容現(xiàn)有網(wǎng)絡(luò)，保護(hù)原有投資，同時(shí)避免AC故障影響整個(gè)網(wǎng)絡(luò)，采用了AC旁掛于核心交換機(jī)設(shè)備的方式。從網(wǎng)絡(luò)可靠性考慮，控制器做到了熱備。處于VRRP狀態(tài)下連接的無線AP，探測到某臺控制器故障時(shí)，將無縫地切換到備用控制器，其下連接的客戶端將無中斷的訪問網(wǎng)絡(luò)。

3.1 智能負(fù)載均衡。智能無線一體化交換機(jī)可以根據(jù)每個(gè)區(qū)域的AP連接用戶數(shù)，判斷是否達(dá)到用戶數(shù)或帶寬的上限，動(dòng)態(tài)地將用戶分散到不同的AP，從而有效利用周邊整體AP的資源，有效的緩解單個(gè)AP的負(fù)擔(dān)，提高多用戶的上網(wǎng)質(zhì)量。

3.2 動(dòng)態(tài)射頻管理。無線控制器具有自動(dòng)調(diào)整射頻功率和無線信道的功能。可根據(jù)具體環(huán)境調(diào)節(jié)信號剛好覆蓋空間，避免相互間的干擾和射頻盲區(qū)覆蓋問題。

3.3 無縫漫游對接。所有用戶信息（連接狀態(tài)、認(rèn)證狀態(tài)、IP地址分配信息、加密驗(yàn)證狀態(tài)等）全部集中在無線交換機(jī)上，用戶跨網(wǎng)段移動(dòng)時(shí)，還會(huì)延續(xù)原有的IP地址、認(rèn)證與加密方式，無需要重新獲取，連接不會(huì)中斷。[1]

3.4 簡便運(yùn)維管理。無線控制器可將軟件版本和配置文件下載到所管理的AP，自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率，F(xiàn)IT AP本身零配置，減少后期維護(hù)和管理的工作量。[2]

3.5 全面安全體系。應(yīng)注重信息安全體系的建設(shè)，提高網(wǎng)絡(luò)的整體安全性。我們通過劃分安全域和用戶兩個(gè)維度，來設(shè)定細(xì)粒度的安全防護(hù)。教師、學(xué)員、訪客是黨校無線網(wǎng)絡(luò)的三種最主要的服務(wù)對象，其訪問的資源、流動(dòng)性等不同。為此我們在身份認(rèn)證、訪問控制等方面采用了不同的方式，以找到便利與安全之間的平衡。

3.5.1 安全域劃分。根據(jù)安全域劃分原則和網(wǎng)絡(luò)優(yōu)化和邊界整合策略，經(jīng)過對業(yè)務(wù)數(shù)據(jù)流分析，對WLAN系統(tǒng)的進(jìn)行安全域劃分。[3]如認(rèn)證系統(tǒng)的安全域，按重要性從高至低可以劃分為：認(rèn)證鑒權(quán)區(qū)域：主要包含Radius、Portal服務(wù)器等；接入控制區(qū)域：AC、防火墻等設(shè)備；熱點(diǎn)接入?yún)^(qū)域：AP、接入終端等。不同區(qū)域的安全保護(hù)需求不同，需設(shè)置嚴(yán)格的安全訪問控制和邊界控制策略。

3.5.2 接入控制。接入控制層我們要做好非法用戶冒用、非法AP接入、拒絕服務(wù)攻擊等安全風(fēng)險(xiǎn)的應(yīng)對防范。

（1）身份認(rèn)證?？梢圆捎?02.1x認(rèn)證、Web Portal認(rèn)證、MAC地址認(rèn)證等方式對用戶進(jìn)行身份認(rèn)證。對于不同身份的用戶和設(shè)備類型，采用不同的安全加密方式保證用戶安全接入。學(xué)員、訪客使用Web Portal認(rèn)證，移動(dòng)終端無需安裝客戶端，提高了使用的便捷性。教師因訪問黨校的資源多、權(quán)限高，同時(shí)人員流動(dòng)小，使用802.1x認(rèn)證，通過在移動(dòng)設(shè)備上安裝客戶端認(rèn)證軟件，從而提高安全防護(hù)級別。

（2）拒絕非法AP。無線控制器RF掃描探測熱點(diǎn)區(qū)域Rouge AP，可以及時(shí)排除其他AP的干擾，保障AP的穩(wěn)定運(yùn)行。

（3）入侵防御系統(tǒng)，可以防止DHCP地址耗盡、指定用戶斷線等拒絕服務(wù)攻擊。通過分布網(wǎng)絡(luò)各處的探測器完成數(shù)據(jù)包的捕獲和解析，發(fā)現(xiàn)無線設(shè)備非法操作，迅速報(bào)告給管理員并立即阻斷該設(shè)備的連接。

3.5.3 數(shù)據(jù)加密。數(shù)據(jù)傳輸中使用先進(jìn)的加密技術(shù)，可以增加破譯的難度，減少數(shù)據(jù)泄露的可能性，保障數(shù)據(jù)傳輸?shù)陌踩?/p>

3.5.4 訪問控制。通過發(fā)布針對教師、學(xué)員、訪客不同類型的SSID，并對不同的SSID實(shí)施不同的加密策略和認(rèn)證形式。每類用戶按照定制化的網(wǎng)絡(luò)訪問策略進(jìn)行權(quán)限管理，隔離不同類別用戶間的互訪。通過QOS還可以保證全網(wǎng)流量的合理分配。

3.5.5 日志審計(jì)。通過采集設(shè)備的日志，主動(dòng)挖掘隱藏的安全問題。根據(jù)要求存儲不少于六十天的用戶上網(wǎng)記錄。

經(jīng)過優(yōu)化，黨校無線網(wǎng)絡(luò)已經(jīng)由最初的局部覆蓋、滿足基本的訪問需求，演變?yōu)槿娓采w、安全穩(wěn)定的無線校園。我們還將緊跟技術(shù)發(fā)展，不斷完善安全防范措施，切實(shí)保障無線網(wǎng)絡(luò)的安全可靠。

參考文獻(xiàn)：

[1]從手持終端看無線護(hù)理的應(yīng)用.銳捷快訊（技術(shù)版）[DB/OL].http：//www.ruijie.com.cn/ruijiekx/rjkx_t04/05_2.html.

[2]陳增輝.青島恒星學(xué)院無線局域網(wǎng)的規(guī)劃設(shè)計(jì)及網(wǎng)絡(luò)優(yōu)化[D].中國海洋大學(xué)碩士論文，2011，3.

[3]智慧城市WLAN安全不容忽視.新華網(wǎng)[DB/OL].http：//news.xinhuanet.com/tech/2012-12/27/c_124157809_3.htm.

作者簡介：陸鑫俊（1979-），男，網(wǎng)絡(luò)培訓(xùn)處信息網(wǎng)絡(luò)中心副主任，碩士，工程師，主要研究：網(wǎng)絡(luò)安全、項(xiàng)目管理、網(wǎng)絡(luò)培訓(xùn)技術(shù)等。

作者單位：中共國家稅務(wù)總局黨校，江蘇揚(yáng)州 225007