文 /韋磊 寧玉文 劉健 高東懷

隨著信息技術(shù)在各行各業(yè)的普及應(yīng)用[1]，無線校園網(wǎng)絡(luò)已成為提升教學(xué)環(huán)境品質(zhì)、提高教育資源利用率、增加教育靈活性的重要方式[2]。方便、快捷的移動學(xué)習(xí)（M-learning）已成為獲取教育信息、教育資源和教育服務(wù)的一種新型學(xué)習(xí)形式[3]。相比于傳統(tǒng)教育，移動學(xué)習(xí)打破了時間、地點的局限性，極大滿足了學(xué)習(xí)者的個性化學(xué)習(xí)需求。然而建設(shè)無線網(wǎng)絡(luò)，不但要解決與現(xiàn)有有線網(wǎng)絡(luò)的認(rèn)證、計費和管理方式的對接，而且需要考慮無線網(wǎng)絡(luò)的安全問題。本文以第四軍醫(yī)大學(xué)無線網(wǎng)絡(luò)部署為例，從需求分析、網(wǎng)絡(luò)部署到安全管理，建成了一套高性能、易運維、安全可靠的網(wǎng)絡(luò)系統(tǒng)，與現(xiàn)有有線網(wǎng)絡(luò)實現(xiàn)了一體化管理。

醫(yī)學(xué)院校無線網(wǎng)絡(luò)建設(shè)需求分析

與傳統(tǒng)有線網(wǎng)絡(luò)對比，無線網(wǎng)絡(luò)具有搭建快速、布線靈活等特點[4]。建設(shè)無線網(wǎng)絡(luò)系統(tǒng)不僅需要考慮當(dāng)前校園用戶需求，還要考慮學(xué)校長遠發(fā)展需求[5]。無線網(wǎng)絡(luò)應(yīng)滿足用戶隨時隨地訪問網(wǎng)絡(luò)的需求，更好地為學(xué)校教學(xué)、醫(yī)療和科研服務(wù)。

醫(yī)學(xué)學(xué)校移動設(shè)備增多

近年來，越來越多的人隨身攜帶手機、筆記本等移動終端[6]。在各大醫(yī)學(xué)院校里，手機更是師生必備的日常工具之一。無線網(wǎng)絡(luò)可以使得用戶持有移動設(shè)備在教室、辦公室、圖書館等場所自由移動并與網(wǎng)絡(luò)保持持續(xù)連接，滿足隨時隨地上網(wǎng)的需求。

滿足醫(yī)學(xué)院校移動學(xué)習(xí)

隨著翻轉(zhuǎn)課堂、MOOC等教學(xué)新模式的出現(xiàn)，使用移動終端進行學(xué)習(xí)已經(jīng)成為各醫(yī)學(xué)院校學(xué)生提升個人能力的重要途徑[7]。出于安全需要，學(xué)校嚴(yán)禁任何人通過無線路由器、私設(shè)代理等方式架設(shè)無線局域網(wǎng)，這極大限制了新興教育模式的推廣。無線網(wǎng)絡(luò)建成后，學(xué)生可以通過移動終端實現(xiàn)無處不在的泛在學(xué)習(xí)[8]；教師也可及時了解國際國內(nèi)最新的教學(xué)模式方法，提升課堂教學(xué)質(zhì)量。

彌補有線網(wǎng)絡(luò)的不足

由于有線網(wǎng)絡(luò)靈活性不足，在前期規(guī)劃無線網(wǎng)絡(luò)時要預(yù)設(shè)大量利用率較低的接入點，造成資源浪費。作為有線網(wǎng)絡(luò)的補充，無線網(wǎng)絡(luò)不但架設(shè)簡單、管理方便，而且可以提升網(wǎng)絡(luò)的覆蓋面，滿足不同人員上網(wǎng)需要。

圖1 學(xué)校網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)基本結(jié)構(gòu)與安裝部署方案

經(jīng)過幾年的建設(shè)，學(xué)校已建成一套覆蓋全校的有線校園網(wǎng)絡(luò)，通過網(wǎng)絡(luò)扁平化改造解決了用戶私接路由器的問題，提高了學(xué)校整體信息安全管控能力，但這也導(dǎo)致用戶接入網(wǎng)絡(luò)的渠道較為單一。本章從學(xué)?，F(xiàn)網(wǎng)結(jié)構(gòu)開始，詳細(xì)介紹了無線網(wǎng)絡(luò)建設(shè)的過程。

學(xué)?，F(xiàn)網(wǎng)結(jié)構(gòu)

學(xué)校校園網(wǎng)絡(luò)分為辦公區(qū)、家屬區(qū)和學(xué)生區(qū)3個主要區(qū)域，如圖1所示。其中辦公區(qū)使用IPoE方式認(rèn)證，家屬區(qū)使用PPPOE認(rèn)證方式，兩個區(qū)域的網(wǎng)關(guān)均為華為ME60。學(xué)生區(qū)使用802.1X認(rèn)證。

校園WLAN部署

無線AP（接入點）通常分為胖AP和瘦AP。胖AP自帶完整的操作系統(tǒng)，除了擁有無線接入功能外，還同時具備WAN、LAN端口，可獨立工作；瘦AP僅提供一個有線、無線信號轉(zhuǎn)換和信號接收、發(fā)射的功能，配合AC（無線控制器）才能成為一個完整的系統(tǒng)。

學(xué)校無線網(wǎng)絡(luò)建設(shè)采用“瘦AP+AC”的部署模式。為了減少對現(xiàn)有網(wǎng)絡(luò)的改動，將AC旁掛于匯聚交換機上，并部署2臺做冗余備份。采用本地轉(zhuǎn)發(fā)模式，用戶數(shù)據(jù)報文直接通過AP進行處理，無需經(jīng)過AC。AP放置在目標(biāo)覆蓋位置，通過接入交換機POE供電。根據(jù)不同的使用場景，分別部署面板式AP、室內(nèi)放裝型AP，如圖2所示。

無線AP部署

圖2 校園WLAN部署

無線網(wǎng)絡(luò)設(shè)計的主要指標(biāo)是網(wǎng)絡(luò)的覆蓋面積和系統(tǒng)容量[9]，在滿足用戶需求的前提下，最大限度減少AP數(shù)目。學(xué)校無線建設(shè)區(qū)域主要有教室、圖書館和學(xué)生宿舍三類，對無線網(wǎng)絡(luò)的需求各不相同。下面對這三類場景下AP的部署進行說明。

1.教室

教室內(nèi)的無線覆蓋主要是滿足學(xué)生和教師的上網(wǎng)需求，并發(fā)率較低，帶寬需求小于2M，屬于半開放式的室內(nèi)環(huán)境，每間教室可容納100人左右。其覆蓋需求為：

滿足學(xué)生單用戶的下行容量2M，上行容量1M；

滿足教師單用戶的下行容量2M，上行容量1M；

整體環(huán)境要求普遍覆蓋，用戶密度低。

教室的無線終端主要為筆記本，WiFi模式主要為11g/n/ac。終端多支持5.8G，在該場景下選用放裝型、11ac設(shè)備。如圖3所示，在每間教室天花板上安裝5個AP（前后各2個，中間1個）。

圖3 教室AP部署

2.圖書館

圖書館無線覆蓋主要是為了滿足校內(nèi)師生在圖書館內(nèi)登錄學(xué)校網(wǎng)站的需求，帶寬需求小于2M，屬于半開放式的室內(nèi)環(huán)境，嵌套多個子空間環(huán)境，包含高密度室內(nèi)場景（閱覽室）和流動性室內(nèi)場景（圖書館大廳）。其覆蓋需求為：

提供穩(wěn)定、流暢的網(wǎng)絡(luò)速率，保證師生通過個人終端能正常登錄學(xué)校網(wǎng)站；

圖書館大廳流動性較強，主要上網(wǎng)需求為查詢書籍信息，閱讀公告等；

圖書館每間閱覽室設(shè)置50～60個固定座位，上網(wǎng)并發(fā)率80%。

圖4 圖書館AP部署

圖5 學(xué)生宿舍AP部署

圖書館終端主要為筆記本、PAD，WiFi網(wǎng)卡模式主要為11g/n/ac。在該高密度場景下選用放裝型、11ac設(shè)備。如圖4所示，在每間閱覽室天花板上均勻安裝5個AP，閱覽室之間的大廳天花板安裝1個AP。

3.學(xué)生宿舍

學(xué)生宿舍的無線覆蓋主要滿足學(xué)生日常上網(wǎng)學(xué)習(xí)需求，上網(wǎng)高峰期相對集中，并發(fā)率較高，宿舍間緊密相臨，每間宿舍可容納6至8人，每人帶寬約2M左右。其覆蓋需求為：

滿足60%學(xué)生同時上網(wǎng)需求，學(xué)生的上網(wǎng)業(yè)務(wù)主要有：瀏覽網(wǎng)頁、觀看視頻、下載資料等；

信號覆蓋95%以上的區(qū)域，接收信號電平≥-75dBm。

學(xué)生使用的多為筆記本電腦、PAD、手機等上網(wǎng)設(shè)備，WiFi模式主要是11n模式，少量11ac模式。在該場景下選用面板型、11ac設(shè)備。如圖5所示，每個AP負(fù)責(zé)所在宿舍、左右兩間宿舍及過道內(nèi)的無線信號覆蓋。

無線認(rèn)證系統(tǒng)部署

與有線網(wǎng)絡(luò)一樣，需要對無線上網(wǎng)用戶進行接入認(rèn)證。傳統(tǒng)的802.1X認(rèn)證需要在終端安裝客戶端軟件，會產(chǎn)生各種兼容性問題，后續(xù)維護工作量極大。通過對比兩種認(rèn)證方式（如表1），將學(xué)生接入?yún)^(qū)從802.1X改造為IPoE認(rèn)證，并且從SAM遷移到第三方認(rèn)證。

在學(xué)生區(qū)認(rèn)證方式改造之前，首先需要將認(rèn)證網(wǎng)關(guān)從原有的交換機遷移到華為M E60上，實現(xiàn)全校認(rèn)證管理的統(tǒng)一。

圖2中，AC旁掛于匯聚交換機上，在網(wǎng)絡(luò)內(nèi)的作用主要為管理AP，不對用戶業(yè)務(wù)報文進行處理，這樣可以最大限度利用AC的性能，認(rèn)證和轉(zhuǎn)發(fā)在ME60上處理。具體如下：

AP與AC確保三層路由可達，AP和AC建立Capwap（無線接入點的控制和配置協(xié)議）隧道，實現(xiàn)AC對AP的管理。

AP選擇本地轉(zhuǎn)發(fā)模式，對于無線終端上行報文進行SSID到VLAN的變換，每個SSID對應(yīng)一個VLAN。在匯聚交換機上添加外層VLAN。

ME60作為網(wǎng)關(guān)，終結(jié)QinQ兩層VLAN。無線認(rèn)證通過后給用戶分配IP地址，Portal認(rèn)證通過后才能訪問外網(wǎng)業(yè)務(wù)。

無線用戶在AP和接入PoE交換機上均實現(xiàn)二層隔離，互訪流量經(jīng)過ME60。

用戶如果移動到無線網(wǎng)絡(luò)覆蓋盲區(qū)會導(dǎo)致連接中斷，在重新回到覆蓋區(qū)后將重新連接，在認(rèn)證的基礎(chǔ)上實現(xiàn)無感知認(rèn)證。

有線認(rèn)證方式改造

為實現(xiàn)有線、無線網(wǎng)絡(luò)的統(tǒng)一管理，需要將兩套網(wǎng)絡(luò)的認(rèn)證管理進行統(tǒng)一。為此，將網(wǎng)絡(luò)的認(rèn)證網(wǎng)關(guān)遷移到ME60上，實現(xiàn)一體化的IPoE認(rèn)證。具體如下：

接入交換機配置用戶VLAN，全校所有接入交換機VLAN統(tǒng)一配置。匯聚交換機根據(jù)接入端口添加外層VLAN，并透傳到ME60，由ME60終結(jié)QinQ報文。實現(xiàn)用戶終端的安全隔離。

表1 兩種認(rèn)證方式對比

ME60作為用戶網(wǎng)關(guān)，IPoE用戶上線到ME60轉(zhuǎn)DHCP服務(wù)器給用戶分配雙棧IP地址，用戶的第一個HTTP報文重定向到Portal服務(wù)器，實現(xiàn)WEB認(rèn)證。

有線用戶基于樓宇交換機VLAN，樓宇互訪通過樓棟交換機同VLAN互訪，跨樓宇和區(qū)域互訪經(jīng)過ME60轉(zhuǎn)發(fā)。

校園無線網(wǎng)絡(luò)安全管理

無線網(wǎng)的信號是在開放空間中傳送的，接入也更加靈活[10]。在部署WLAN保證用戶體驗的同時，要重點考慮可能存在的安全問題[11]。無線網(wǎng)絡(luò)安全問題分為空口安全、用戶安全和終端安全。

空口安全

空口即終端和基站之間的接口，主要包含Rouge設(shè)備、惡意攻擊和空口竊聽三個方面。

1.Rogue設(shè)備及應(yīng)對措施

高校中可能出現(xiàn)的Rogue設(shè)備包括Rogue AP，Rogue Client，Ad-hoc等設(shè)備，對這些非法設(shè)備的安全防護措施包括：AP設(shè)置在混合模式，通過監(jiān)聽報文搜集無線設(shè)備，并把這些信息上報給AC，AC根據(jù)一定的規(guī)則檢測到Rogue設(shè)備后，AP從AC下載攻擊列表，使用Rogue設(shè)備的MAC地址發(fā)送假的廣播解除認(rèn)證幀來對Rogue AP設(shè)備進行反制。

2.惡意攻擊及應(yīng)對措施

當(dāng)某個惡意用戶發(fā)送大量的“連接請求報文”時，AP會將這些報文轉(zhuǎn)發(fā)到AC上，AC通知AP將來自該用戶的報文丟棄；如果用戶發(fā)來的報文使用了WEP加密算法，啟動IV檢測，AC根據(jù)IV的安全性策略判斷是否存在Weak IV攻擊；如果攻擊者以其他設(shè)備的名義發(fā)送攻擊報文，AC接收到這種報文時將認(rèn)定是欺騙攻擊，并阻止該攻擊者。

3.空口竊聽及應(yīng)對措施

空口竊聽往往是學(xué)校中一些充滿好奇心的學(xué)生們經(jīng)常嘗試破解的點，需要對AP傳輸?shù)臄?shù)據(jù)加密。常用的空口加密方式有WEP、WPA/WPA2、WAPI等，在實際網(wǎng)絡(luò)部署中，空口加密和用戶認(rèn)證一起考慮。

用戶安全

用戶安全分為合法用戶非法訪問其范圍以外的資源和非法用戶接入網(wǎng)絡(luò)兩部分內(nèi)容。

1.非法訪問及應(yīng)對措施

學(xué)校為不同用戶群劃分不同的SSID，授予不同訪問權(quán)限。用戶訪問授權(quán)采用遠端授權(quán)的方式，WLAN用戶認(rèn)證成功后，Radius服務(wù)器下發(fā)用戶分組，通過用戶分組和ACL規(guī)則的關(guān)聯(lián)，對每類用戶進行ACL授權(quán)信息控制；訪客用戶采用集中轉(zhuǎn)發(fā)方式，內(nèi)部用戶采用本地轉(zhuǎn)發(fā)方式。

2.非法用戶及應(yīng)對措施

WLAN支持多種接入認(rèn)證技術(shù)，其中比較典型的有MAC認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證和IPoE認(rèn)證。通過對接入用戶的身份進行認(rèn)證，有效防止非法用戶接入。

終端安全

實現(xiàn)終端安全接入互聯(lián)網(wǎng)，需要解決兩個方面的問題：第一是終端用戶身份確認(rèn)，第二是終端用戶安全使用終端的控制。為了保證這兩個方面安全，首先必須保證注冊用戶信息真實可靠，其次對于終端安全接入網(wǎng)絡(luò)必須強制使用客戶端軟件。

總結(jié)

本文通過對面向移動學(xué)習(xí)的醫(yī)學(xué)院校無線網(wǎng)絡(luò)方案進行設(shè)計研究，結(jié)合第四軍醫(yī)大學(xué)的特殊性，詳細(xì)介紹了在無線網(wǎng)絡(luò)建設(shè)中的需求分析、網(wǎng)絡(luò)部署和安全管理等問題。在醫(yī)學(xué)院校組建無線網(wǎng)絡(luò)促進教育教學(xué)發(fā)展的過程中，需要根據(jù)學(xué)校的實際情況，充分考慮有線無線網(wǎng)絡(luò)一體化運維，確保校園無線網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性，促進校園的信息化建設(shè)。