摘 要：校園無(wú)線網(wǎng)絡(luò)的不斷發(fā)展，對(duì)校園網(wǎng)終端的接入方式提出了更高的要求。相對(duì)傳統(tǒng)的校園有線網(wǎng)絡(luò)而言，無(wú)線網(wǎng)絡(luò)具有移動(dòng)性、靈活性等優(yōu)勢(shì)。文章結(jié)合具體案例就校園無(wú)線網(wǎng)絡(luò)升級(jí)改造策略、無(wú)線網(wǎng)絡(luò)安全等方面進(jìn)行了分析，并提出了相應(yīng)的解決措施，希望能夠在校園無(wú)線網(wǎng)絡(luò)建設(shè)方面提供有益參考。

關(guān)鍵詞：校園無(wú)線網(wǎng)；無(wú)線網(wǎng)絡(luò)安全測(cè)試

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

隨著無(wú)線技術(shù)及其應(yīng)用的迅猛發(fā)展，網(wǎng)絡(luò)時(shí)代正在無(wú)線技術(shù)的強(qiáng)力推動(dòng)下悄然改變我們的生活。但是，當(dāng)無(wú)線網(wǎng)絡(luò)技術(shù)滲透到社會(huì)方方面面的時(shí)候，其安全性也愈來愈受到人們的關(guān)注。因此，一個(gè)有效、安全、強(qiáng)健的無(wú)線網(wǎng)絡(luò)，越來越受到人們的期盼。

作為無(wú)線網(wǎng)絡(luò)最典型的應(yīng)用——校園無(wú)線網(wǎng)絡(luò)，在其功能與安全性上，人們也提出了更高的要求。校園無(wú)線網(wǎng)絡(luò)就是利用無(wú)線局域網(wǎng)技術(shù)，在校園中建立無(wú)縫無(wú)線通訊網(wǎng)絡(luò)，使校園的每個(gè)角落都處在網(wǎng)絡(luò)中，形成真正意義上的移動(dòng)校園網(wǎng)。隨著高校規(guī)模的不斷擴(kuò)大，校園無(wú)線用戶的數(shù)量飛速增加，傳統(tǒng)思路下的無(wú)線校園網(wǎng)已滿足不了現(xiàn)實(shí)的需要。當(dāng)前，校園無(wú)線網(wǎng)在接入規(guī)模上要求滿足大規(guī)模的移動(dòng)智能終端接入；在信號(hào)覆蓋上，更是要求既能彌補(bǔ)有線網(wǎng)絡(luò)覆蓋的不足，還要能同時(shí)覆蓋有線網(wǎng)本身的區(qū)域；在服務(wù)支持上，無(wú)線校園網(wǎng)正在向?qū)崿F(xiàn)全網(wǎng)不間斷漫游的方向發(fā)展；在接入速率上要求提供不遜色于有線接入的傳輸速度。伴隨著校園網(wǎng)無(wú)線網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全問題也日趨凸顯。不過安全是相對(duì)的，一味地強(qiáng)調(diào)安全會(huì)進(jìn)入安全的誤區(qū)，需要在易用性與安全性上找到平衡點(diǎn)，否則一味強(qiáng)調(diào)安全就背離了無(wú)線網(wǎng)絡(luò)便利性的初衷。不存在絕對(duì)安全的網(wǎng)絡(luò)，只存在相對(duì)安全的網(wǎng)絡(luò)。研究在當(dāng)前的技術(shù)條件下校園無(wú)線網(wǎng)絡(luò)的實(shí)現(xiàn)及安全架構(gòu)設(shè)計(jì)，是具有十分重要現(xiàn)實(shí)意義的。

2 校園無(wú)線網(wǎng)絡(luò)升級(jí)設(shè)計(jì)與搭建

有別于一般的園區(qū)無(wú)線網(wǎng)絡(luò)，一方面校園無(wú)線網(wǎng)絡(luò)用戶數(shù)量眾多，在某一時(shí)段的空間中并發(fā)訪問量巨大，例如食堂、圖書館、禮堂等進(jìn)行特定活動(dòng)時(shí)，因此在升級(jí)改造時(shí)應(yīng)考慮某些場(chǎng)所并發(fā)訪問峰值；另一方面，考慮學(xué)生上網(wǎng)行為中下載需求很高，設(shè)計(jì)時(shí)應(yīng)考慮限速策略，并結(jié)合適當(dāng)?shù)挠?jì)費(fèi)規(guī)則適當(dāng)約束現(xiàn)在行為；最后，學(xué)生人群喜歡嘗試使用相關(guān)軟件對(duì)無(wú)線網(wǎng)絡(luò)造成威脅，設(shè)計(jì)時(shí)應(yīng)考慮計(jì)費(fèi)服務(wù)器及相應(yīng)網(wǎng)絡(luò)設(shè)備的安全防護(hù)。

基于此下面以某一高校無(wú)線網(wǎng)絡(luò)升級(jí)建設(shè)為例，在提出設(shè)計(jì)原則基礎(chǔ)上給出了建設(shè)的思路及方案。

2.1 項(xiàng)目概述

某高校占地面積90萬(wàn)平方米，建筑面積100萬(wàn)平方米。室外無(wú)線已安裝30部國(guó)外某品牌的無(wú)線設(shè)備，其中包括西區(qū)3部，東區(qū)北面13部，東區(qū)南面14部。當(dāng)前室外無(wú)線點(diǎn)位較為稀疏，部分新建樓宇周圍沒有部署無(wú)線AP，部分樓宇下面無(wú)法接收到無(wú)線信號(hào)。計(jì)劃拆除原有無(wú)線設(shè)備，加裝200部國(guó)內(nèi)某品牌無(wú)線設(shè)備，實(shí)現(xiàn)校園室外無(wú)線全覆蓋。

2.2 項(xiàng)目需求與總體設(shè)計(jì)

（1）需求分析

校園無(wú)線網(wǎng)絡(luò)的升級(jí)改造總體需求有七個(gè)重點(diǎn)。

實(shí)用性：遵循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則，充分保護(hù)已有投資，不設(shè)計(jì)華而不實(shí)的無(wú)線網(wǎng)絡(luò)，也不設(shè)計(jì)利用率低下的網(wǎng)絡(luò)。

先進(jìn)性：采用先進(jìn)成熟的網(wǎng)絡(luò)概念、技術(shù)、方法與設(shè)備，反映當(dāng)今先進(jìn)水平，又給未來的發(fā)展留有余地，充分采用目前國(guó)際、國(guó)內(nèi)流行和成熟的技術(shù)，保證網(wǎng)絡(luò)能適應(yīng)技術(shù)的快速發(fā)展。

可靠性：系統(tǒng)必須可靠運(yùn)行，關(guān)鍵的設(shè)備部件及骨干鏈路應(yīng)有冗余，避免單點(diǎn)故障，并且不能造成任何損失。

安全性：終端設(shè)備通過統(tǒng)一認(rèn)證接入網(wǎng)絡(luò)，防止非法用戶訪問；無(wú)線客戶端做二層隔離技術(shù)，阻止惡意訪問。

開放性：選擇的產(chǎn)品應(yīng)具有好的互操作性和可移植性，并符合相關(guān)的國(guó)際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)，無(wú)論發(fā)生任何變化，均能夠最大可能性地開放標(biāo)準(zhǔn)。

可擴(kuò)充性：系統(tǒng)是一個(gè)逐步發(fā)展的應(yīng)用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級(jí)換代的可能，這種擴(kuò)充不僅能充分保護(hù)原有資源，而且具有較高的性能價(jià)格比。

可維護(hù)性：系統(tǒng)具有良好的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可維護(hù)性。

（2）總體架構(gòu)設(shè)計(jì)

校園無(wú)線網(wǎng)絡(luò)采用 “瘦”AP+AC 的雙核心三層架構(gòu)的設(shè)計(jì)方案。在核心交換機(jī)上設(shè)計(jì)部署超大規(guī)模的智能 AC 設(shè)備對(duì)全網(wǎng)所有 AP 進(jìn)行集中式管理。為了確保無(wú)線網(wǎng)絡(luò)的高可用性，防止 AC、 核心出現(xiàn)問題導(dǎo)致網(wǎng)絡(luò)癱瘓，采用雙 AC、 雙核心冗余方式來保證網(wǎng)絡(luò)結(jié)構(gòu)的安全。雙 AC 冗余設(shè)計(jì)采用 AC 的 1+1快速熱備份。采用兩臺(tái) AC 設(shè)備分別與核心交換機(jī)連接互聯(lián)，分別設(shè)置為一主一備兩個(gè)控制器。網(wǎng)絡(luò)里所有 AP 同時(shí)與兩臺(tái) AC 建立CAPWAP 隧道。核心下聯(lián)各樓宇匯聚交換機(jī)，采用萬(wàn)兆單模光纖互聯(lián)提升數(shù)據(jù)交互能力。各接入交換機(jī)均采用千兆光纖至匯聚交換機(jī)，實(shí)現(xiàn)全網(wǎng)光路傳輸。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

2.3 整體實(shí)施

（1）POE供電設(shè)計(jì)

通過POE供電模塊實(shí)現(xiàn)對(duì)室外無(wú)線AP的供電。首先，在機(jī)房?jī)?nèi)安裝POE供電模塊； 然后，通過六類雙絞線連接POE供電模塊（LAN接口）和千兆交換機(jī)；最后，通過六類雙絞線連接POE供電模塊（POE接口）和室外無(wú)線AP（POE接口），對(duì)AP實(shí)現(xiàn)供電，如圖2所示。

（2）線管走線及安裝設(shè)計(jì)

線纜路由遵循五原則：a.室內(nèi)部分，線纜盡量利用原敷設(shè)的橋架進(jìn)行敷設(shè)，盡量減少因二次施工對(duì)樓宇造成破環(huán)；b.室外部分，使用20Φ鍍鋅管進(jìn)行線纜敷設(shè)；c.橋架和鍍鋅20Φ通過軟管套件（包括軟管及接頭等）進(jìn)行連接；d.無(wú)線AP于立地約3～5米的位置進(jìn)行安裝；e.無(wú)線AP接線處通過套管的方式來對(duì)線纜進(jìn)行保護(hù)。

（3）無(wú)線AP安裝

首先，通過現(xiàn)場(chǎng)環(huán)境勘查，確定安裝位置；然后，做好實(shí)施安全防護(hù)區(qū)域標(biāo)識(shí)，避免非工作人員進(jìn)入；最后，通過膨脹螺栓進(jìn)行無(wú)線AP的固定，特殊的墻體將使用定制的膨脹螺栓進(jìn)行固定，保障設(shè)備安裝后的穩(wěn)固性。

（4）網(wǎng)絡(luò)設(shè)備配置

兩臺(tái)AC、核心分別做虛擬化實(shí)現(xiàn)冗余備份，并采用雙鏈路做聚合互聯(lián)實(shí)現(xiàn)鏈路備份，AC做802.1X或Web Portal認(rèn)證及二層隔離等安全協(xié)議，核心交換機(jī)做IPv4和IPv6地址池，為用戶分發(fā)IP地址，并配置Dhcp Snooping防止非法Dhcp服務(wù)器接入；規(guī)劃AP業(yè)務(wù)Vlan、用戶Vlan和所有設(shè)備的管理Vlan，并為所有設(shè)備開啟SNMP功能實(shí)現(xiàn)統(tǒng)一管理。

2.4 區(qū)域?qū)嵤┰O(shè)計(jì)

（1）無(wú)線AP點(diǎn)位分布

通過信號(hào)輻射模擬軟件，將現(xiàn)有校園平面圖導(dǎo)入模擬軟件，均勻布放AP，進(jìn)行信號(hào)模擬及信道模擬測(cè)試，把現(xiàn)有AP選擇最佳點(diǎn)位，最佳信道，進(jìn)行盡可能的全覆蓋。

（2）安裝位置規(guī)劃

通過模擬軟件選好點(diǎn)位，根據(jù)現(xiàn)場(chǎng)實(shí)際情況（包括周圍的樹、墻體材料等）選擇最佳位置進(jìn)行安裝，安裝高度推薦3～5米。正常情況下，安裝完畢AP的水平尺應(yīng)該處于水平位置，或天線與水平地面垂直，如有特殊情況，以項(xiàng)目實(shí)際情況為準(zhǔn)。

2.5 校園無(wú)線網(wǎng)絡(luò)安全測(cè)試

常見的無(wú)線網(wǎng)線絡(luò)攻擊包括有AP偽裝、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會(huì)話攔截、流量分析與流量偵聽、高級(jí)入侵等。要驗(yàn)證無(wú)線校園網(wǎng)方案的安全功能能不能達(dá)到高校安全的要求，還需要進(jìn)行一系列的安全功能測(cè)試。比如，非法 AP 的檢測(cè)和抑制功能測(cè)試、網(wǎng)管系統(tǒng)發(fā)現(xiàn) AP 故障并處理的功能測(cè)試、網(wǎng)管系統(tǒng)定位合法和非法終端的功能測(cè)試等。如測(cè)試結(jié)果良好，則說明無(wú)線校園網(wǎng)的安全功能達(dá)到了設(shè)計(jì)要求。

3 結(jié)束語(yǔ)

校園無(wú)線網(wǎng)絡(luò)在高校信息化過程中扮演著越來越重要的角色，在校園網(wǎng)絡(luò)組建或升級(jí)為無(wú)線網(wǎng)絡(luò)的過程中，我們要根據(jù)本校的實(shí)際情況，規(guī)劃不同的網(wǎng)絡(luò)升級(jí)或者建設(shè)方案，確保校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的穩(wěn)健性和安全性。同時(shí)，可以借鑒已經(jīng)實(shí)現(xiàn)校園無(wú)線網(wǎng)絡(luò)工程的高校的建設(shè)與應(yīng)用經(jīng)驗(yàn)，少走彎路，摒棄過時(shí)的技術(shù)標(biāo)準(zhǔn)，搭建一個(gè)現(xiàn)代化的無(wú)線網(wǎng)絡(luò)平臺(tái)滿足主流應(yīng)用并又一定的升級(jí)空間，使其更好地服務(wù)高校師生，促進(jìn)校園信息化建設(shè)進(jìn)程。

參考文獻(xiàn)

[1] 張博.無(wú)線網(wǎng)絡(luò)安全技術(shù)分析[J].信息安全與技術(shù)，2013.

[2] 李益.WLAN安全缺陷及解決方案的研究[J].信息安全與技術(shù)，2014.

[3] 宋振.全雙工通信系統(tǒng)中干擾消除方法研究[J].中國(guó)新通信，2018.