張 永 良

(徐州技師學(xué)院，江蘇 徐州 221151)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，筆記本電腦、IPAD、智能手機等移動終端設(shè)備增多，師生對無線上網(wǎng)的需求提高，希望隨時隨地地接入網(wǎng)絡(luò)，并要求提供數(shù)據(jù)接入業(yè)務(wù)。這就要求學(xué)校能夠提供無線信號校園全覆蓋。在無線局域網(wǎng)的規(guī)劃中，要以高效、穩(wěn)定、安全為總的設(shè)計目標［1］，為用戶提供快速數(shù)據(jù)業(yè)務(wù)，同時還要方便網(wǎng)絡(luò)管理人員安裝與維護，便于移植和擴展，從而構(gòu)建更全面的數(shù)字化校園。

1 無線局域網(wǎng)的優(yōu)點

無線局域網(wǎng)主要有以下幾個方面的優(yōu)點［2］。

1.1 移動信息節(jié)點的無線接入

在早期的網(wǎng)絡(luò)布線施工中，教室、圖書館、會議室等地方一般就是放一到二個信息點，無法提供多人同時上網(wǎng)需求。若把無線接入器接入到有線的信息點，不僅擴展了信息點的數(shù)量，還解決了難以布線的難題。

1.2 提高教學(xué)效率

學(xué)校采用無線局域網(wǎng)后，教師可以在辦公室、教室隨時隨地地查閱資料、教案，登錄校園內(nèi)部服務(wù)器。學(xué)生也可以在教室、寢室里通過無線網(wǎng)絡(luò)，查詢資料和教師布置的作業(yè)。同時，無線局域網(wǎng)也可為用戶提供其它網(wǎng)絡(luò)資源，提高了校園資源的利用率。

1.3 節(jié)約建設(shè)成本

在無線局域網(wǎng)中，一個AP 無線接入點可以同時接入幾十個終端設(shè)備，這樣可大大降低布線的前期投資以及后期的維護成本。

1.4 校園內(nèi)無線信號全覆蓋

在行政辦公區(qū)域、教學(xué)場所、學(xué)生宿舍等人口密集區(qū)域，都要做到無線信號全覆蓋。

1.5 保證覆蓋區(qū)域最大用戶并發(fā)數(shù)

充分考慮學(xué)生宿舍、教學(xué)場所、圖書室等人員密集的地區(qū)，留夠足夠的帶寬，以保證該區(qū)域群體上網(wǎng)需求。

1.6 采取IEEE802.n 協(xié)議標準

無線局域網(wǎng)能夠提供802.11a、802.11b、802.11g 標準的聯(lián)網(wǎng)支持，為用戶提供優(yōu)質(zhì)的無線網(wǎng)絡(luò)信號。

2 無線局域網(wǎng)總體布局

2.1 無線網(wǎng)絡(luò)設(shè)備

無線局域網(wǎng)的建設(shè)，主要是利用原有的有線網(wǎng)絡(luò)，部署安裝無線設(shè)備，為人口密集區(qū)域提供無線網(wǎng)絡(luò)服務(wù)。這些區(qū)域分別為行政辦公樓、校園內(nèi)所有的教學(xué)樓、學(xué)生宿舍樓、以及室外廣場等。

無線網(wǎng)絡(luò)的施工時，盡量保持原有的有線網(wǎng)絡(luò)。新上的無線網(wǎng)絡(luò)設(shè)備，要對原有的不同廠商的有線產(chǎn)品能夠兼容，以節(jié)約成本。

2.2 AP 技術(shù)參數(shù)

在需要無線網(wǎng)絡(luò)區(qū)域內(nèi)，所安裝的無線接入點AP，應(yīng)該支持IEEE802.11a、IEEE802.11b、IEEE802.11g 三種無線傳輸協(xié)議。

無線AP 要支持POE 交換機遠程供電，能夠在后臺做到集中管理與配置，方便應(yīng)用與維護，具有Multi SSID 功能，可以劃分不同的子網(wǎng)，為無線用戶接入有線網(wǎng)絡(luò)提供不同的身份認證策略。

不同的無線AP 之間能夠?qū)崿F(xiàn)用戶數(shù)、數(shù)據(jù)流量的控制，實現(xiàn)負載均衡。

2.3 無線局域網(wǎng)配置

在傳統(tǒng)無線局域網(wǎng)的配置中，學(xué)校的網(wǎng)絡(luò)管理員，要根據(jù)不同的需求，對網(wǎng)絡(luò)中的每一個AP進行單獨配置，特別是當無線局域網(wǎng)中的AP 較多時，網(wǎng)絡(luò)管理員的工作量就很大，而且在配置的過程中還容易出差錯。如果在無線網(wǎng)絡(luò)施工中采用無線控制器和FIT AP(AC +AP)方式，只需要在無線控制器上配好相同屬性的AP。當啟動AP工作時，它就能把最新的配置文件從從無線控制器上下載，節(jié)省了網(wǎng)絡(luò)管理人員的時間。即使AP設(shè)備不幸丟失了，也能保證校園的網(wǎng)絡(luò)配置信息不丟失。

AP 設(shè)備啟動后，能夠自動獲取分配好的IP地址、自動獲取AC 的工作列表、自動和AC 建立關(guān)聯(lián)。當設(shè)備運轉(zhuǎn)正常以后，無線控制器能對所管理的AP 及接入的用戶進行實時監(jiān)管，并能對所監(jiān)管的信息實時上傳給網(wǎng)絡(luò)管理人員，保證網(wǎng)絡(luò)的安全性，減輕網(wǎng)絡(luò)管理員的維護工作量。

此外，無線用戶的VLAN 是可通過無線交換機和骨干交換機相連，對原來的有線網(wǎng)絡(luò)不需要做出改變，有利于無線局域網(wǎng)的施工，極大地擴展了網(wǎng)絡(luò)覆蓋范圍。

2.4 接入點設(shè)備及控制器選擇

無線局域網(wǎng)的設(shè)備，采用H3C 公司的WA2610 -GN 無線接入點設(shè)備，該設(shè)備完全支持IEEE802.11a、IEEE802.11b、IEEE802.11g 三種無線傳輸協(xié)議，支持通過802.3af 兼容的POE 交換機供電，發(fā)射功率≤20dBm，最大用戶接入數(shù)為250，安全策略采用加密、802.11i、WAPI、認證等方式，在二三層功能支持IP 地址設(shè)置，支持Native IPv6、IPv6 Portal、IPv6 SAVI、ACL 等。

無線局域網(wǎng)中所采用的無線控制器設(shè)備為WX6103。該設(shè)備可管理的AP 數(shù)為128 個，支持802.11 局域網(wǎng)協(xié)議、CAPWAP 協(xié)議，支持802.11i標準(含802.1x 認證和PSK 認證)，支持具有國家自主知識產(chǎn)權(quán)的WAPI 標準的認證和加密，支持WPA、WPA2 標準，支持用戶名與SSID 綁定，支持基于域、SSID 選擇AAA 服務(wù)器等。

在無線局域網(wǎng)AP 部署時，要充分考慮到現(xiàn)在網(wǎng)絡(luò)的實際情況，對現(xiàn)有的有線網(wǎng)絡(luò)接入情況，盡量不要做任何的修改。如果需要修改，也盡量只是修改DHCP 服務(wù)器的配置。在無線局域網(wǎng)的設(shè)備配置上，只要配置好無線控制器(AC)，通過它就可以為用戶提供無線接入服務(wù)，降低網(wǎng)絡(luò)設(shè)備的投入成本。當無線AP 出現(xiàn)問題，需要更換新AP 設(shè)備，無需改變無線控制器上的配置，只要把新設(shè)備接上以太網(wǎng)線就可以接入網(wǎng)絡(luò)，減輕了網(wǎng)絡(luò)維護人員的后期工作量。

2.5 不同的用戶接入方式

在無線局域網(wǎng)方案的設(shè)計中，要求采用基于SSID 的用戶接入控制。特別在有外來人員，如來校講學(xué)或訪問時，有無線接入需要時，可以建立一個來賓賬戶，通過基于SSID 的接入控制，限制了使用者對校園網(wǎng)的訪問權(quán)限，最大程度地保護了校園網(wǎng)絡(luò)資源。

3 校園內(nèi)無線局域網(wǎng)設(shè)計方案

根據(jù)以上的需求分析，在校園內(nèi)部署無線網(wǎng)絡(luò)，其功能模塊見圖1。

圖1 無線網(wǎng)功能部署模塊圖

目前有線網(wǎng)絡(luò)使用的是基于802.1x 的認證方式，而無線控制器本身就能很好地支持基于802.1x 的認證功能，可以將無線用戶提交的賬戶信息直接與有線網(wǎng)絡(luò)RADIUS 進行聯(lián)動，就可以保證全網(wǎng)用戶有線與無線的認證賬號統(tǒng)一［3］。其認證過程見圖2。

無線AP 通過與RADIUS 服務(wù)器用戶身份驗證，未經(jīng)授權(quán)的用戶就不能接入校園網(wǎng)絡(luò)。通過無線交換機與SAM 的聯(lián)動認證，不但可以使用數(shù)字化校園原有的賬戶信息，并且還可以利用無線控制器強大的擴展功能，對上網(wǎng)用戶的行為進行監(jiān)督與管理。

無線網(wǎng)絡(luò)設(shè)備還可以進行自動監(jiān)測非法設(shè)備，如果檢測到非法AP，能主動上報到網(wǎng)絡(luò)管理中心。無線網(wǎng)絡(luò)設(shè)備只允許合法的無線用戶進行數(shù)據(jù)交換，對非法用戶的報文進行丟棄處理，減輕了無線網(wǎng)絡(luò)的壓力。

圖2 基于802.1X 認證過程圖

無線網(wǎng)絡(luò)控制器還提供黑名單功能。通過檢測或偵聽的方式，來確定網(wǎng)絡(luò)中是否有異常通信。如有則把該設(shè)備加入到黑名單中，該設(shè)備再發(fā)的數(shù)據(jù)會在AP 上被丟掉，減輕了對無線網(wǎng)絡(luò)的通信壓力。無線控制器還支持多種攻擊的檢測，例如拒絕服務(wù)攻擊，溢出攻擊等。無線控制器還具有動態(tài)黑名單功能，當設(shè)備檢測到網(wǎng)絡(luò)攻擊時，就將攻擊端加入到動態(tài)黑名單中，拒絕其再接入網(wǎng)絡(luò)，從而保證了校園網(wǎng)絡(luò)系統(tǒng)的安全。

無線用戶接入控制有三種類型的列表［4］:(1)白名單列表。包含合法接入用戶的無線客戶端的物理地址;(2)靜態(tài)黑名單列表。包含非法用戶、拒絕接入用戶的無線客戶端的物理地址;(3)動態(tài)黑名單列表。當無線控制器檢測到來自某一設(shè)備的非法攻擊時，將該設(shè)備動態(tài)加入到黑名單中，禁止其接入到網(wǎng)絡(luò)中，保證了無線網(wǎng)絡(luò)的安全。

4 無線網(wǎng)絡(luò)實施步驟

4.1 建設(shè)校園網(wǎng)絡(luò)的技術(shù)準備

了解現(xiàn)有的有線情況和無線網(wǎng)絡(luò)需求情況，掌握無線網(wǎng)絡(luò)施工區(qū)域平面圖，進行完整的現(xiàn)場勘察。

4.2 無線網(wǎng)絡(luò)的規(guī)劃

根據(jù)調(diào)查詳細了解用戶的分布區(qū)域，網(wǎng)絡(luò)產(chǎn)品的選擇、設(shè)備的安裝位置等詳細規(guī)劃。特別是在一些條件較為復(fù)雜的區(qū)域，部署無線網(wǎng)絡(luò)后，需進行數(shù)據(jù)的測試，以保證該區(qū)域的無線信號強度。

4.3 無線網(wǎng)絡(luò)的實施

在無線局域網(wǎng)的施工過程中，對每一個細節(jié)都要嚴格把關(guān)，做到精益求精，不要因為一個細節(jié)問題，埋下安全隱患，從而影響了整個校園網(wǎng)絡(luò)的通信質(zhì)量。

4.4 無線控制器功能模塊的實現(xiàn)

無線控制器通過后臺統(tǒng)一配置，在無線網(wǎng)絡(luò)中負載實現(xiàn)均衡及熱備份功能。

無線網(wǎng)絡(luò)的建設(shè)，是在有線網(wǎng)絡(luò)的基礎(chǔ)之上擴建的。無線網(wǎng)絡(luò)信號覆蓋行政辦公樓、教學(xué)樓、圖書館、主廣場、體育場和大學(xué)生活動中心等區(qū)域，為全體師生、外來用戶提供無線網(wǎng)絡(luò)服務(wù)。

5 結(jié)論

本文分析了校園無線局域網(wǎng)建設(shè)的實際應(yīng)用需求，給出了與現(xiàn)有有線網(wǎng)絡(luò)相結(jié)合的無線局域網(wǎng)設(shè)計規(guī)劃思路，重點研究了基于IEEE802.11i安全標準的校園無線局域網(wǎng)安全機制，解決了無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)安全配置、認證、管理等問題，通過無線局域網(wǎng)的擴展建設(shè)，構(gòu)建了更加全面的數(shù)字化校園。

［1］ 張圣，陳偉.基于WLAN 技術(shù)的無線校園網(wǎng)組網(wǎng)研究［J］.網(wǎng)絡(luò)與應(yīng)用，2005(2):22 -26.

［2］ 董述杰. 校園無線局域網(wǎng)的設(shè)計［J］. 通信電源技術(shù)，2015(2):90 -93.

［3］ 孫宏，楊義先. 無線局域網(wǎng)協(xié)議802.1 安全性分析［J］.電子學(xué)報，2003，31(7):1098 -1100.

［4］ 劉乃安. 無線局域網(wǎng)(WLAN)——原理、技術(shù)與應(yīng)用［M］.西安:西安電子科技大學(xué)出版社，2008.