□陳 瑞

( 山西廣播電視大學(xué)，山西 太原 030027)

校園無線網(wǎng)絡(luò)建設(shè)研究
——以山西廣播電視大學(xué)為例

□陳 瑞

( 山西廣播電視大學(xué)，山西 太原 030027)

隨著無線網(wǎng)絡(luò)的迅速發(fā)展和手機等終端的普及應(yīng)用，無線網(wǎng)絡(luò)已成為有線網(wǎng)絡(luò)的有益補充。根據(jù)山西廣播電視大學(xué)目前有線校園網(wǎng)和校區(qū)環(huán)境布局的實際情況，結(jié)合科研和教學(xué)等需要，針對山西廣播電視大學(xué)無線校園網(wǎng)絡(luò)建設(shè)的總體需求和無線網(wǎng)絡(luò)架構(gòu)、無線網(wǎng)絡(luò)結(jié)構(gòu)、覆蓋范圍、安全、可靠、穩(wěn)定以及維護方面等實施方案提出了設(shè)計思路。

無線網(wǎng)絡(luò)；校園網(wǎng)；網(wǎng)絡(luò)架構(gòu)

山西廣播電視大學(xué)是一所主要以利用互聯(lián)網(wǎng)進行遠程教學(xué)的高等學(xué)校，各種移動終端的使用和移動學(xué)習(xí)APP的廣泛應(yīng)用迫使校園無線網(wǎng)絡(luò)全覆蓋的建設(shè)。無線網(wǎng)絡(luò)可以為全校師生提供無處不在、隨時隨地地接入互聯(lián)網(wǎng)服務(wù)，為移動學(xué)習(xí)和辦公平臺的建立提供網(wǎng)絡(luò)基礎(chǔ)，使學(xué)校在教學(xué)、科研和管理等各項業(yè)務(wù)變得更加方便便捷，并能更好地服務(wù)于學(xué)校基于網(wǎng)絡(luò)的遠程教學(xué)、在線服務(wù)、教育資源共享等各種應(yīng)用中。

一、 我校校園無線網(wǎng)絡(luò)建設(shè)目標(biāo)

山西廣播電視大學(xué)是一所主要以利用互聯(lián)網(wǎng)進行遠程教學(xué)的高等學(xué)校，其無線網(wǎng)絡(luò)的建設(shè)目標(biāo)就是利用校園現(xiàn)有的有線網(wǎng)絡(luò)資源對校園網(wǎng)進行無線網(wǎng)絡(luò)的延伸，以便能夠在校園網(wǎng)內(nèi)實現(xiàn)資源的共享，保證各有線終端和無線移動終端都能夠聯(lián)網(wǎng)，使校園網(wǎng)絡(luò)的利用率有所提高，繼而提高廣大教職工和學(xué)生工作和學(xué)習(xí)的效率，提高學(xué)校的管理水平和管理層次。

有了無線網(wǎng)絡(luò)的架設(shè)，在校園中，教職工和學(xué)生通過學(xué)校網(wǎng)絡(luò)認證系統(tǒng)能夠隨時隨地聯(lián)網(wǎng)打開與外界交流溝通，校園中能夠做到信息的及時共享，隨時隨地都能學(xué)習(xí)。教師可以對自己的課程下發(fā)作業(yè)，能夠?qū)W(xué)生進行輔導(dǎo)。學(xué)生可以利用網(wǎng)絡(luò)進行學(xué)習(xí)、交流和組織活動，極大地提高學(xué)習(xí)效率。學(xué)校管理人員也可以接入辦公系統(tǒng)，讓移動網(wǎng)絡(luò)無處不在，讓辦公系統(tǒng)發(fā)揮更大的作用。隨時都能學(xué)習(xí)、辦公和生活，促進學(xué)校數(shù)字化校園智慧化校園更好的建設(shè)。

二、我校校園無線網(wǎng)絡(luò)建設(shè)總體需求

無線覆蓋范圍。為了滿足學(xué)生和教職工在大型的公共場所能隨時隨地使用無線網(wǎng)絡(luò)，此次規(guī)劃的無線覆蓋范圍涵蓋綜合辦公樓、各種大小會議室、閱讀室、招生辦等室內(nèi)，還包括室外可以覆蓋操場、食堂等區(qū)域。

無線網(wǎng)絡(luò)安全。由于在無線網(wǎng)絡(luò)環(huán)境下無線終端是通過搜索無線信號進行網(wǎng)絡(luò)連接這一特性決定了在安全管理方面比有線網(wǎng)絡(luò)具有更高要求和更大難度。要做到接入用戶認證，識別用戶分類，安全審計用戶信息等。

便捷易用，穩(wěn)定可靠。在接入認證方式上分教師、學(xué)生和訪客三種身份，要做到一次登錄認證，下次無需認證；要做到在校園內(nèi)不同場所無需人工切換，無需重復(fù)認證。還要做到使用者在使用無線網(wǎng)絡(luò)時不中斷、不掉線、不卡頓等。

運營維護管理。方便管理者管理和維護各種不同型號、安裝在不同場所中的無線AP，確保能全面監(jiān)控所有接入AP運行情況，精準(zhǔn)定位故障AP。

與原有線網(wǎng)絡(luò)兼容。為了提高設(shè)備利用率，減少不必要的投資，無線網(wǎng)絡(luò)往往是建設(shè)在有線網(wǎng)絡(luò)的基礎(chǔ)上，利用原有線網(wǎng)絡(luò)核心設(shè)備，比如核心、匯聚交換機、認證系統(tǒng)等，與有線網(wǎng)絡(luò)共用一套認證系統(tǒng)，同一個賬號既可以在有線網(wǎng)絡(luò)上使用，也可以在無線網(wǎng)絡(luò)上使用，使用相同或者不同的認證策略以及訪問控制策略。

三、我校校園網(wǎng)無線覆蓋實施方案

(一)校園無線網(wǎng)網(wǎng)絡(luò)架構(gòu)選擇

目前，無線網(wǎng)絡(luò)覆蓋的網(wǎng)絡(luò)架構(gòu)有傳統(tǒng)的自治型無線接入點即“胖AP”和“無線交換機+瘦AP”兩種。其兩者不同點在于“胖AP”所有管理與配置集成在設(shè)備自身，每個無線設(shè)備自己管理，沒有全局的統(tǒng)一管理，更沒有對無線鏈路、無線設(shè)備和無線用戶等的監(jiān)測與管理、故障排查、流量控制和審計等功能，比如家用的無線AP小路由器。

而“無線交換機+瘦AP”這種解決方案全部集中在無線控制器上管理控制，并通過控制器后臺可以直觀地對全網(wǎng)接入設(shè)備進行統(tǒng)一的、批量的發(fā)現(xiàn)、升級、配置，甚至包括對無線鏈路的監(jiān)測，對無線用戶的管理。

在全局的統(tǒng)一管理、統(tǒng)一安全、統(tǒng)一認證和設(shè)備自身的安全性等方面進行對比，結(jié)合學(xué)校實際情況，適合采用“無線交換機+瘦AP”這種解決方案。

(二)校園無線網(wǎng)絡(luò)結(jié)構(gòu)

為了提高設(shè)備利用率，減少不必要的投資，我校無線校園網(wǎng)絡(luò)建設(shè)直接在原有線網(wǎng)絡(luò)的基礎(chǔ)上進行疊加。即利用原有線網(wǎng)絡(luò)核心設(shè)備，比如核心交換機、認證系統(tǒng)等，將AC無線控制器部署在校園網(wǎng)核心機房，旁掛于內(nèi)網(wǎng)核心交換機上。山西廣播電視大學(xué)無線網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

(三)校園無線網(wǎng)絡(luò)覆蓋設(shè)計

室內(nèi)場景覆蓋。圖書館、會議室等這類用戶數(shù)量多，空間面積大，接入終端多且支持頻率不同的室內(nèi)場景采用室內(nèi)高功率雙頻AP，根據(jù)具體施工情況和安裝效果選擇吸頂或面板式安裝方式。

室外場景覆蓋。室外這類場景有一個典型特點就是：室外環(huán)境復(fù)雜，有雷雨等天氣影響。AP需要具體防塵防雨等特點。

將AP部署在人員密集區(qū)域，不僅需要滿足終端接入還需要滿足信號的穩(wěn)定性和較高的終端接入數(shù)。對于室外環(huán)境，采用高性能、高吞吐量、高用戶并發(fā)等優(yōu)異的性能AP。

(四)SSID規(guī)劃和信道規(guī)劃

便于用戶使用無線網(wǎng)絡(luò)，使用SSID進行廣播，針對學(xué)生、教師和訪客等不同的用戶群體，在無線AP上設(shè)置不同的SSID，同時不同的SSID采用的接入認證方式不同，并通過無線控制器AC針對不同的SSID設(shè)置不同的訪問控制策略等。

信道規(guī)劃。學(xué)校無線網(wǎng)絡(luò)部署的是雙頻AP，即一個AP可以同時發(fā)射2.4G網(wǎng)絡(luò)和5G網(wǎng)絡(luò)，使用2.4GHz網(wǎng)絡(luò)，為保證信道之間不相互干擾，通常采用1、6、11三個信道，要求兩個信道之間間隔5個信道以上，比如采用1、6、11三個信道。對于5GHz網(wǎng)絡(luò)來說，最多可以提供5個不重疊的信道同時工作，在我國一共開放了5個信道，分別是149、153、157、161、165信道，這5個信道相互之間不重疊，為互不干擾信道，這樣可以有效降低無線干擾，提高無線上網(wǎng)速度。

除此之外，國家針對于802.11 AC新一代無線網(wǎng)絡(luò)，也逐漸開放了更多的頻段，擁有13個不重疊、不干擾的無線信道。5G網(wǎng)絡(luò)具有無線傳輸快、環(huán)境干擾小的優(yōu)勢。

(五)校園無線網(wǎng)絡(luò)安全性設(shè)計

無線接入認證。對于不同的使用者，可以做不同的認證方式。教師通過無線辦公可以使用802.1X的無感知認證方式。對于學(xué)生可以采用Portal賬號認證，免除了繁瑣的認證方式。對于訪客則可以通過微信短信等認證手段來提高宣傳的力度，增強學(xué)校的整體形象。

無線空口安全。無線校園網(wǎng)的無線空口安全威脅主要來自非法接入點、空口竊聽、惡意攻擊。

非法接入點。非法接入點，如私接無線接入點、共享熱點、AD-Hoc等，其威脅主要是對校園無線網(wǎng)的干擾以及誘使用戶接入從而盜取用戶信息，通過無線控制器AC的檢測功能檢測無線環(huán)境中存在的攻擊和危險行為，實時告警并產(chǎn)生日志，并對指定類型的攻擊對象執(zhí)行反制。

空口竊聽。眾所周知，無線網(wǎng)絡(luò)是以空氣為介質(zhì)進行傳播的，數(shù)據(jù)通常被暴露在空氣中，惡意訪問者利用無線空口抓包工具進行破解賬號密碼、數(shù)據(jù)分析等，對無線校園網(wǎng)造成安全隱患，通過對無線空口進行WPA/WPA2/WAPI等安全加密，或采用高安全性的Portal安全認證方式，對用戶認證數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)進行安全加密，防止空口數(shù)據(jù)被竊聽。

惡意攻擊。在校園網(wǎng)絡(luò)中典型的惡意攻擊包括D-dos攻擊、Ping攻擊、ARP欺騙攻擊，D-dos攻擊、Ping攻擊等洪泛攻擊可以使主機資源被耗盡，從而達到攻擊的目的，致使服務(wù)器癱瘓、無法訪問的情況?？梢酝ㄟ^在無線層面的攻擊檢測技術(shù)，將攻擊終端加入到動態(tài)黑名單中凍結(jié)一段時間并產(chǎn)生告警通知，有效預(yù)防AP接入資源、服務(wù)器等資源被耗盡。同時，不影響其他終端的正常接入。

訪問控制?？梢岳脽o線控制器的應(yīng)用訪問控制，將控制策略下發(fā)到AP，從而實現(xiàn)對內(nèi)外網(wǎng)的訪問權(quán)限控制，保證無線校園網(wǎng)的安全性。

另外，互聯(lián)網(wǎng)資源極其豐富，但卻良莠不齊，學(xué)校作為提供互聯(lián)網(wǎng)上網(wǎng)服務(wù)單位，有義務(wù)規(guī)范學(xué)生的上網(wǎng)行為。將違法、違規(guī)、暴力、黃色等不良網(wǎng)頁過濾掉，凈化網(wǎng)絡(luò)環(huán)境；同時過濾釣魚網(wǎng)站、惡意廣告、垃圾博客，防止用戶不慎訪問不受信的網(wǎng)站帶來的上當(dāng)受騙。

行為審計記錄。為了進一步保證學(xué)校的信息安全，對特定的系統(tǒng)資源以及網(wǎng)絡(luò)輿論進行保護，對與學(xué)校的系統(tǒng)、BBS論壇、貼吧等相關(guān)的網(wǎng)絡(luò)行為進行審計記錄，當(dāng)疑似出現(xiàn)安全問題時，能夠做到有跡可循。

針對于無線用戶的上網(wǎng)行為審計，包括但不限于http外發(fā)內(nèi)容、訪問的網(wǎng)站和下載、郵件、ftp、telnet、其他網(wǎng)絡(luò)應(yīng)用、網(wǎng)頁內(nèi)容、ACL拒絕行為以及上網(wǎng)流量與時長控制。

(六)校園無線網(wǎng)絡(luò)穩(wěn)定快速設(shè)計

通過流量控制等措施確保校園無線網(wǎng)絡(luò)穩(wěn)定快速。由于互聯(lián)網(wǎng)各類應(yīng)用程序所需的帶寬越來越大，可視化視頻應(yīng)用越來越多，對出口帶寬的需求很大。如何能合理地利用有限的帶寬，根據(jù)用戶類別、應(yīng)用類型和時段等不同因素設(shè)置不同的流量極為關(guān)鍵。

此次校園網(wǎng)無線覆蓋要求：1.根據(jù)業(yè)務(wù)類型進行流量控制，比如可以按照P2P下載、FTP下載、視頻、網(wǎng)頁瀏覽等應(yīng)用進行流量控制，并設(shè)置一定的優(yōu)先級，比如教務(wù)管理系統(tǒng)、會議視頻系統(tǒng)等學(xué)校業(yè)務(wù)應(yīng)用進行流量的優(yōu)先設(shè)置，這樣可以避免占用帶寬大的網(wǎng)絡(luò)應(yīng)用影響重要業(yè)務(wù)應(yīng)用的正常使用；2.根據(jù)用戶類型，針對學(xué)生、教師和訪客等不同身份進行帶寬的分配，比如為教師分配相對帶寬大一點，對學(xué)生則統(tǒng)一分配一定額度帶寬等；3.根據(jù)使用無線的時間段進行流量控制，針對不同應(yīng)用、不同的用戶等在不同時間段進行合理的流量控制；4.還可以根據(jù)實際帶寬使用情況，實時調(diào)整通道流量。這樣可以合理分配帶寬資源，提高帶寬利用率。

(七)校園無線網(wǎng)絡(luò)高可靠性設(shè)計

通過AP災(zāi)備冗余、認證服務(wù)器冗余等措施確保校園無線網(wǎng)絡(luò)可靠性。

AP災(zāi)備冗余?；贏C+ FIT AP網(wǎng)絡(luò)架構(gòu)，AC作為無線網(wǎng)絡(luò)中最核心的設(shè)備，當(dāng)AC宕機之后，無線網(wǎng)絡(luò)將變得不可用，通過AP災(zāi)備冗余方案，當(dāng)AP與無線控制器因外界因素(如AC宕機、控制器與核心交換機網(wǎng)線斷開)造成的通信連接斷開后，自動啟用應(yīng)急策略或應(yīng)急SSID，新接入的用戶會劃分到指定的應(yīng)急VLAN以及分配相應(yīng)的應(yīng)急角色，仍然能保證用戶正常上網(wǎng)以及新用戶的認證接入，當(dāng)網(wǎng)絡(luò)恢復(fù)正常時，這些用戶會從災(zāi)備角色中剔除，提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。

認證服務(wù)器冗余。無線校園網(wǎng)利用原有線網(wǎng)絡(luò)的外置認證服務(wù)器進行統(tǒng)一認證，無線網(wǎng)絡(luò)可關(guān)聯(lián)多個 Radius服務(wù)器，實現(xiàn)認證服務(wù)器的冗余備份，當(dāng)一臺Radius服務(wù)器宕機后，另一臺Radius服務(wù)器繼續(xù)提供服務(wù)，為用戶提供可靠的接入服務(wù)。

另外，通過認證服務(wù)器逃生功能，即使當(dāng)無線網(wǎng)絡(luò)關(guān)聯(lián)的全部認證服務(wù)器都宕機后，依然能保證用戶正常上網(wǎng)以及新用戶的認證接入，提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。

(八)校園無線網(wǎng)絡(luò)運營維護設(shè)計

由于無線AP分布較點數(shù)較多、地域較廣，給運營維護和管理方面帶來一定困難。通過無線控制器統(tǒng)一集中管理平臺，對無線AP統(tǒng)一下發(fā)配置，對無線AP進行圖形化管理，根據(jù)圖形顯示情況，確定故障點。

還可以通過對部署在覆蓋目標(biāo)的AP進行分組管理，比如按照建筑物劃分管理組，方便IT管理員管理運維。同時，IT管理員可在控制器上可統(tǒng)一查看所有AP的運行情況(如AP接入用戶、AP帶寬使用情況、設(shè)備利用率、AP在線情況等)，當(dāng)AP設(shè)備出現(xiàn)異?；蚬收蠒r，會出現(xiàn)告警事件，幫助IT管理員及時排除問題。

(九)校園廣告

當(dāng)然校園網(wǎng)無線覆蓋不僅可以方便用戶使用網(wǎng)絡(luò)，還可以針對不同用戶推送一些新聞公告等信息，主要包括WiFi入口廣告推送、推廣學(xué)校公眾號和用戶行為精準(zhǔn)推送等。

WiFi入口廣告推送。在WiFi入口進行校園廣播等信息展示，訪客連入WiFi時，會觀看到推送的公告信息。學(xué)?？梢愿鶕?jù)樓層、區(qū)域的不同推送不同的WiFi入口信息，比如：當(dāng)用戶連接校園東區(qū)無線網(wǎng)時，提示校園東區(qū)等信息；并且可以強制用戶觀看一定時間的公告之后才可以點擊我要認證上網(wǎng)。

推廣學(xué)校公眾號。學(xué)校為用戶提供免費的無線網(wǎng)絡(luò)，訪客通過關(guān)注學(xué)校微信公眾號獲得上網(wǎng)資格，有效幫助學(xué)校推廣教學(xué)資源以及提高學(xué)校整體形象。當(dāng)學(xué)校需要發(fā)布消息時，可以在微信平臺發(fā)布。提高了學(xué)校發(fā)布信息的效率。

用戶行為精準(zhǔn)推送。當(dāng)用戶使用學(xué)校WiFi時，用戶行為精準(zhǔn)推送，會根據(jù)用戶在百度、谷歌等網(wǎng)頁搜索引擎內(nèi)容進行信息推送(需管理員設(shè)置好關(guān)鍵字組對應(yīng)的廣告，比如搜索“圖書”時推送學(xué)校相應(yīng)的書籍內(nèi)容)，推送形式支持網(wǎng)頁內(nèi)嵌banner廣告、微信、短信等方式。

四、結(jié)語

無線網(wǎng)絡(luò)的覆蓋彌補了傳統(tǒng)有線網(wǎng)絡(luò)的不足。滿足了師生隨時隨地通信、學(xué)習(xí)等辦公、學(xué)習(xí)和生活的需要，同時也為我校提供了日常生活、辦公和學(xué)校管理緊密相連的信息化平臺，也提高了整個網(wǎng)絡(luò)的性能。

但本文只是針對我校無線校園網(wǎng)絡(luò)建設(shè)的總體需求和無線網(wǎng)絡(luò)架構(gòu)、無線網(wǎng)絡(luò)結(jié)構(gòu)、覆蓋范圍、安全、可靠、穩(wěn)定以及維護方面等實施方案提出的一種設(shè)計思路，具體實施中還需要針對具體校園環(huán)境和實際應(yīng)用需求進行不斷改進、完善和優(yōu)化。

在以后無線網(wǎng)絡(luò)建設(shè)和使用過程中，應(yīng)對無線網(wǎng)絡(luò)進行合理分布、配置優(yōu)化。在網(wǎng)絡(luò)安全方面，要完善管理制度。隨著無線體系的逐步完善，無線網(wǎng)絡(luò)使我們生活和學(xué)習(xí)真正享受無線的樂趣。

[1]鄧寧.校園無線網(wǎng)絡(luò)建設(shè)方案實例探討[J].中國教育技術(shù)裝備,2015(20).

[2]徐瑩，石堅.基于WLAN的校園無線網(wǎng)絡(luò)的規(guī)劃與設(shè)計[J].電子測試,2015(23).

[3]陳瑞. 無線網(wǎng)絡(luò)故障分析及其解決策略[J].山西廣播電視大學(xué)學(xué)報,2013(3).

本文責(zé)編：趙鳳媛

Research on the Construction of Campus Wireless Network——Taking Shanxi TV University as an Example

Chen Rui

(Shanxi TV University, Taiyuan, Shanxi， 030027)

With the rapid development of wireless network and the popularity of mobile terminals, wireless network has become a useful supplement to the wired network. The design ideas are put forward according to the actual situation of Shanxi TV University, the current campus wired network and campus environment layout, the needs of research and teaching, the overall demand for the construction of Shanxi TV University campus wireless network and wireless network architecture, wireless network structure, coverage, security, reliability, stability and maintenance.

wireless network; campus network; network architecture

2016—11—01

陳 瑞(1981—)，男，山西朔州人，山西廣播電視大學(xué)，講師，碩士。

G728

B

1008—8350(2017)01—0016—04