尹方超
摘 要:高校學生宿舍無線網(wǎng)作為學生進行學習、生活的重要工具,是數(shù)字化校園重要的組成部分,本文從宿舍無線網(wǎng)的組網(wǎng)思路入手,深入分析了高校學生宿舍無線網(wǎng)的現(xiàn)狀和特點,利用銳捷認證技術(shù)和OpenWrt系統(tǒng)路由器設計出一種相對比較合理的組網(wǎng)方案,可以高效地進行流量管理、認證計費管理和網(wǎng)絡安全管理。為學院進一步實現(xiàn)數(shù)據(jù)化校園,早日邁入智慧校園行列奠定了堅實的基礎(chǔ)。
關(guān)鍵詞:Openwrt系統(tǒng) 銳捷認證 智慧校園
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-098X(2017)09(c)-0114-02
河北對外經(jīng)貿(mào)職業(yè)學院共有學生8000余人,分布在7個宿舍樓,所有宿舍內(nèi)無網(wǎng)絡設施,所以導致學生無法及時和便利地共享學校豐富的校園網(wǎng)資源(包括精品課、優(yōu)質(zhì)課、網(wǎng)上圖書館等)。在計算機網(wǎng)絡技術(shù)和無線網(wǎng)絡技術(shù)飛速發(fā)展的今天,這一現(xiàn)象是不可想象的,也達不到數(shù)字化校園建設的標準,更不能滿足智慧校園的建設要求。
針對上述現(xiàn)象,本文依托學院現(xiàn)有校園網(wǎng)主架構(gòu),利用學院接入的電信寬帶網(wǎng),研究并設計出一種基于雙認證的無線上網(wǎng)結(jié)構(gòu),使其突破校園網(wǎng)絡限制,實現(xiàn)銳捷認證和學生身份認證,并共享無線網(wǎng)絡的途徑,這樣既滿足了學生在宿舍可以使用WiFi上網(wǎng)的需求,又可以做到實時監(jiān)控用戶的上網(wǎng)行為,管控其上網(wǎng)時間和上網(wǎng)流量。通過細致規(guī)劃和多次論證,確定學生宿舍網(wǎng)絡建設具體運行架構(gòu)為:網(wǎng)絡中心分成Radius認證服務器、Rose熱點服務器、路由器狀態(tài)查詢服務器和核心交換機,學生宿舍網(wǎng)部分的接入層全部采用銳捷RG-3750,匯聚采用銳捷RG-5750,所有交換機都開啟端口開放功能,而在學生宿舍內(nèi)部,采用的是基于OpenWrt系統(tǒng)的路由器作為免費無線AP接入點。采用該方案實現(xiàn)了精簡配置管理界面、便于大規(guī)模投放部署、推送認證頁和廣告頁功能。同時該方案具有成本低、部署靈活的優(yōu)點,已經(jīng)在學院學生宿舍試驗運行。運行效果可以證明此方案非常適合高密度宿舍無線網(wǎng)絡。
1 國內(nèi)外同類研究現(xiàn)狀述評
中國科學技術(shù)大學自動化系對基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁設計做了研究,分析了路由器Web系統(tǒng)Luci搭建網(wǎng)頁的原理和實現(xiàn)細節(jié)。MVC模式是軟件工程實現(xiàn)網(wǎng)站搭建的核心,通過MVC模式,大大簡化了網(wǎng)站的開發(fā)和維護工作。江蘇有線江陰分公司的徐海洪將OpenWrt開源路由器應用在了電網(wǎng)中的組網(wǎng)當中,但是用戶使用量遠遠達不到大學學生的人數(shù)。北京航空航天大學王鵬飛、周林志等人研究并設計了密集型無線宿舍網(wǎng),為學校的15000學生提供了網(wǎng)絡服務,但是該系統(tǒng)的AP采用不是基于OpenWrt系統(tǒng)的路由器,所以其可定制性比較差,可擴展性不高,不能為以后的網(wǎng)絡發(fā)展提供良好基礎(chǔ)。
2 組網(wǎng)設計
2.1 拓撲架構(gòu)和Vlan規(guī)劃
學院宿舍網(wǎng)作為校園網(wǎng)的重要子網(wǎng),其信息點總數(shù)大約在1000個左右。整體拓撲架構(gòu)可以分為3層,分別是核心層、匯聚層和接入層。學院網(wǎng)絡中心機房作為核心層,配置了銳捷銳捷RG-S7606萬兆交換機和網(wǎng)康防火墻等網(wǎng)絡設備,采用電信、教育網(wǎng)等多光纖鏈路接入Internet;每一棟宿舍樓都配備一臺銳捷RG-S5750匯聚交換機,主干鏈路采用單模光纖與核心交換機互聯(lián);每個宿舍內(nèi)部再根據(jù)房間的多少,每一層配備2~3臺銳捷接入交換機RG-S3750,采用超五類網(wǎng)線與匯聚交換機互聯(lián)。每個學生宿舍房間內(nèi)配備一個TP-Link路由器,也經(jīng)超五類網(wǎng)線與接入交換機互聯(lián)。
將每一臺匯聚交換機設置為一個獨立的Vlan,通過合理的規(guī)劃VLan可以限制宿舍網(wǎng)局域網(wǎng)內(nèi)部的廣播域,防止網(wǎng)絡風暴出現(xiàn),還可以節(jié)省網(wǎng)絡帶寬,同時提高數(shù)據(jù)傳輸速率。為第一臺配置VLan的交換機配置訪問控制策略。實現(xiàn)每一個宿舍樓內(nèi)部的上網(wǎng)終端可以互訪,但是不同樓內(nèi)的跨VLan的上網(wǎng)終端互相隔離。
2.2 OpenWrt路由器刷機認證
第一步:首先將帶有OpenWrt系統(tǒng)的路TP-Link路由器通過網(wǎng)線連接PC機,然后訪問地址:192.168.1.253,統(tǒng)一設置無線路由器的管理密碼。
第二步:進入OpenWrt系統(tǒng)后,點擊系統(tǒng)工具,用最新的刷機包升級軟件,將固件刷在系統(tǒng)當中。同時設置無線網(wǎng)的密碼和通信信道和SSID名稱等基本信息。
第三步:將winscp中上傳3個文件(mentohust、mentohust_0.3.1-1_ar71xx、luci-app-mentohust_trunk+svn-1_ar71xx)復制到到路由器root根目錄下替換原來文件。
第四步:用開啟PC機DHCP功能,然后通過putty軟件連接路由器執(zhí)行opkg install/*.ipk命令,將mentohust文件復制到usr/sbin目錄下覆蓋源文件。
第五步:系統(tǒng)恢復備份。
2.3 網(wǎng)絡帶寬與流量管理
由于宿舍聯(lián)網(wǎng)信息點眾多,網(wǎng)絡同時訪問流量會很大,也為了不讓學生沉迷網(wǎng)絡,設置合理的上網(wǎng)時間,所以如何合理分配帶寬以及流量就顯得尤為重要。經(jīng)實驗測試,需要在每一臺接入交換機上做一個流量分配的策略。限制所有的上網(wǎng)終端上行和下行速度小于等于5MB。每人每天的流量為3GB。
2.4 雙重認證
首先在上述第二個階段中,將銳捷認證程序mentohust已經(jīng)放入路由器當中,Mentohust是銳捷認證的一種替代程序,由華中科技大學首先在Linux系統(tǒng)下開發(fā)出來,可以在Linux系統(tǒng)下操作,可以很好地代替銳捷認證。
其實在每個宿舍樓的接入交換機當中設置如下命令:
Switch#configure terminal
Switch(config)#interface f 1/1
Switch(config-if)#dot1x port-control auto
打開接口的認證功能
Switch(config)#end
Switch(config-if)#no dot1x port-control auto
監(jiān)控每個合法上網(wǎng)終端的行為,如果不是本網(wǎng)絡的合法用戶,則立即停止其上網(wǎng)流量。
這樣就實現(xiàn)了路由器認證和交換機認證的雙重認證,就不會有非法用戶進入網(wǎng)絡,保證了學生宿舍無線網(wǎng)絡的安全。
3 結(jié)語
學生宿舍無線網(wǎng)的建設是學院數(shù)字化建設的重要組成部分,它不僅可以使學生在宿舍就能夠和網(wǎng)絡世界互通,還可以讓學生足不出戶就充分享受學院校園網(wǎng)上豐富的教學資源,極大地提高了學生學習的興趣,充分利用了學生一切可以利用的時間。系統(tǒng)采用銳捷交換機認證技術(shù)和OpenWrt系統(tǒng)的固件認證技術(shù),切實保障了學生宿舍無線網(wǎng)的安全性,同時還較好地控制了學生上網(wǎng)行為和上網(wǎng)時間,真正實現(xiàn)了學生在玩中學,在學中做的強大功能。
參考文獻
[1] 李龍躍.路由器進行校園網(wǎng)銳捷認證的一種途徑[J].電腦知識與技術(shù):學術(shù)交流,2013(9X):6089-6090.
[2] 曹為華,凌強,張雷,等.基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁設計[J].微型機與應用,2015,34(23):91-94.
[3] 許倩.基于OpenWrt系統(tǒng)路由器的功能模塊的開發(fā)[D]. 中國石油大學(華東),2013.
[4] 柴銳鋒.基于OPENWRT的無線自組網(wǎng)路由協(xié)議研究與實現(xiàn)[D].哈爾濱工業(yè)大學,2009.
[5] 徐凱.OpenWRT實現(xiàn)向量網(wǎng)接入設備的接入認證和流量統(tǒng)計[D].北京交通大學,2016.endprint