尹方超

摘 要：高校學生宿舍無線網(wǎng)作為學生進行學習、生活的重要工具，是數(shù)字化校園重要的組成部分，本文從宿舍無線網(wǎng)的組網(wǎng)思路入手，深入分析了高校學生宿舍無線網(wǎng)的現(xiàn)狀和特點，利用銳捷認證技術(shù)和OpenWrt系統(tǒng)路由器設計出一種相對比較合理的組網(wǎng)方案，可以高效地進行流量管理、認證計費管理和網(wǎng)絡安全管理。為學院進一步實現(xiàn)數(shù)據(jù)化校園，早日邁入智慧校園行列奠定了堅實的基礎(chǔ)。

關(guān)鍵詞：Openwrt系統(tǒng) 銳捷認證 智慧校園

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）09（c）-0114-02

河北對外經(jīng)貿(mào)職業(yè)學院共有學生8000余人，分布在7個宿舍樓，所有宿舍內(nèi)無網(wǎng)絡設施，所以導致學生無法及時和便利地共享學校豐富的校園網(wǎng)資源（包括精品課、優(yōu)質(zhì)課、網(wǎng)上圖書館等）。在計算機網(wǎng)絡技術(shù)和無線網(wǎng)絡技術(shù)飛速發(fā)展的今天，這一現(xiàn)象是不可想象的，也達不到數(shù)字化校園建設的標準，更不能滿足智慧校園的建設要求。

針對上述現(xiàn)象，本文依托學院現(xiàn)有校園網(wǎng)主架構(gòu)，利用學院接入的電信寬帶網(wǎng)，研究并設計出一種基于雙認證的無線上網(wǎng)結(jié)構(gòu)，使其突破校園網(wǎng)絡限制，實現(xiàn)銳捷認證和學生身份認證，并共享無線網(wǎng)絡的途徑，這樣既滿足了學生在宿舍可以使用WiFi上網(wǎng)的需求，又可以做到實時監(jiān)控用戶的上網(wǎng)行為，管控其上網(wǎng)時間和上網(wǎng)流量。通過細致規(guī)劃和多次論證，確定學生宿舍網(wǎng)絡建設具體運行架構(gòu)為：網(wǎng)絡中心分成Radius認證服務器、Rose熱點服務器、路由器狀態(tài)查詢服務器和核心交換機，學生宿舍網(wǎng)部分的接入層全部采用銳捷RG-3750，匯聚采用銳捷RG-5750，所有交換機都開啟端口開放功能，而在學生宿舍內(nèi)部，采用的是基于OpenWrt系統(tǒng)的路由器作為免費無線AP接入點。采用該方案實現(xiàn)了精簡配置管理界面、便于大規(guī)模投放部署、推送認證頁和廣告頁功能。同時該方案具有成本低、部署靈活的優(yōu)點，已經(jīng)在學院學生宿舍試驗運行。運行效果可以證明此方案非常適合高密度宿舍無線網(wǎng)絡。

1 國內(nèi)外同類研究現(xiàn)狀述評

中國科學技術(shù)大學自動化系對基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁設計做了研究，分析了路由器Web系統(tǒng)Luci搭建網(wǎng)頁的原理和實現(xiàn)細節(jié)。MVC模式是軟件工程實現(xiàn)網(wǎng)站搭建的核心，通過MVC模式，大大簡化了網(wǎng)站的開發(fā)和維護工作。江蘇有線江陰分公司的徐海洪將OpenWrt開源路由器應用在了電網(wǎng)中的組網(wǎng)當中，但是用戶使用量遠遠達不到大學學生的人數(shù)。北京航空航天大學王鵬飛、周林志等人研究并設計了密集型無線宿舍網(wǎng)，為學校的15000學生提供了網(wǎng)絡服務，但是該系統(tǒng)的AP采用不是基于OpenWrt系統(tǒng)的路由器，所以其可定制性比較差，可擴展性不高，不能為以后的網(wǎng)絡發(fā)展提供良好基礎(chǔ)。

2 組網(wǎng)設計

2.1 拓撲架構(gòu)和Vlan規(guī)劃

學院宿舍網(wǎng)作為校園網(wǎng)的重要子網(wǎng)，其信息點總數(shù)大約在1000個左右。整體拓撲架構(gòu)可以分為3層，分別是核心層、匯聚層和接入層。學院網(wǎng)絡中心機房作為核心層，配置了銳捷銳捷RG-S7606萬兆交換機和網(wǎng)康防火墻等網(wǎng)絡設備，采用電信、教育網(wǎng)等多光纖鏈路接入Internet；每一棟宿舍樓都配備一臺銳捷RG-S5750匯聚交換機，主干鏈路采用單模光纖與核心交換機互聯(lián)；每個宿舍內(nèi)部再根據(jù)房間的多少，每一層配備2～3臺銳捷接入交換機RG-S3750，采用超五類網(wǎng)線與匯聚交換機互聯(lián)。每個學生宿舍房間內(nèi)配備一個TP-Link路由器，也經(jīng)超五類網(wǎng)線與接入交換機互聯(lián)。

將每一臺匯聚交換機設置為一個獨立的Vlan，通過合理的規(guī)劃VLan可以限制宿舍網(wǎng)局域網(wǎng)內(nèi)部的廣播域，防止網(wǎng)絡風暴出現(xiàn)，還可以節(jié)省網(wǎng)絡帶寬，同時提高數(shù)據(jù)傳輸速率。為第一臺配置VLan的交換機配置訪問控制策略。實現(xiàn)每一個宿舍樓內(nèi)部的上網(wǎng)終端可以互訪，但是不同樓內(nèi)的跨VLan的上網(wǎng)終端互相隔離。

2.2 OpenWrt路由器刷機認證

第一步：首先將帶有OpenWrt系統(tǒng)的路TP-Link路由器通過網(wǎng)線連接PC機，然后訪問地址：192.168.1.253，統(tǒng)一設置無線路由器的管理密碼。

第二步：進入OpenWrt系統(tǒng)后，點擊系統(tǒng)工具，用最新的刷機包升級軟件，將固件刷在系統(tǒng)當中。同時設置無線網(wǎng)的密碼和通信信道和SSID名稱等基本信息。

第三步：將winscp中上傳3個文件（mentohust、mentohust_0.3.1-1_ar71xx、luci-app-mentohust_trunk+svn-1_ar71xx）復制到到路由器root根目錄下替換原來文件。

第四步：用開啟PC機DHCP功能，然后通過putty軟件連接路由器執(zhí)行opkg install/*.ipk命令，將mentohust文件復制到usr/sbin目錄下覆蓋源文件。

第五步：系統(tǒng)恢復備份。

2.3 網(wǎng)絡帶寬與流量管理

由于宿舍聯(lián)網(wǎng)信息點眾多，網(wǎng)絡同時訪問流量會很大，也為了不讓學生沉迷網(wǎng)絡，設置合理的上網(wǎng)時間，所以如何合理分配帶寬以及流量就顯得尤為重要。經(jīng)實驗測試，需要在每一臺接入交換機上做一個流量分配的策略。限制所有的上網(wǎng)終端上行和下行速度小于等于5MB。每人每天的流量為3GB。

2.4 雙重認證

首先在上述第二個階段中，將銳捷認證程序mentohust已經(jīng)放入路由器當中，Mentohust是銳捷認證的一種替代程序，由華中科技大學首先在Linux系統(tǒng)下開發(fā)出來，可以在Linux系統(tǒng)下操作，可以很好地代替銳捷認證。

其實在每個宿舍樓的接入交換機當中設置如下命令：

Switch#configure terminal

Switch（config）#interface f 1/1

Switch（config-if）#dot1x port-control auto

打開接口的認證功能

Switch（config）#end

Switch（config-if）#no dot1x port-control auto

監(jiān)控每個合法上網(wǎng)終端的行為，如果不是本網(wǎng)絡的合法用戶，則立即停止其上網(wǎng)流量。

這樣就實現(xiàn)了路由器認證和交換機認證的雙重認證，就不會有非法用戶進入網(wǎng)絡，保證了學生宿舍無線網(wǎng)絡的安全。

3 結(jié)語

學生宿舍無線網(wǎng)的建設是學院數(shù)字化建設的重要組成部分，它不僅可以使學生在宿舍就能夠和網(wǎng)絡世界互通，還可以讓學生足不出戶就充分享受學院校園網(wǎng)上豐富的教學資源，極大地提高了學生學習的興趣，充分利用了學生一切可以利用的時間。系統(tǒng)采用銳捷交換機認證技術(shù)和OpenWrt系統(tǒng)的固件認證技術(shù)，切實保障了學生宿舍無線網(wǎng)的安全性，同時還較好地控制了學生上網(wǎng)行為和上網(wǎng)時間，真正實現(xiàn)了學生在玩中學，在學中做的強大功能。

參考文獻

[1] 李龍躍.路由器進行校園網(wǎng)銳捷認證的一種途徑[J].電腦知識與技術(shù)：學術(shù)交流，2013（9X）：6089-6090.

[2] 曹為華，凌強，張雷，等.基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁設計[J].微型機與應用，2015，34（23）：91-94.

[3] 許倩.基于OpenWrt系統(tǒng)路由器的功能模塊的開發(fā)[D]. 中國石油大學（華東），2013.

[4] 柴銳鋒.基于OPENWRT的無線自組網(wǎng)路由協(xié)議研究與實現(xiàn)[D].哈爾濱工業(yè)大學，2009.

[5] 徐凱.OpenWRT實現(xiàn)向量網(wǎng)接入設備的接入認證和流量統(tǒng)計[D].北京交通大學，2016.endprint