◆蔡加柳

校園網(wǎng)絡(luò)安全

校園無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)與安全防范——以廈門技師學(xué)院為例

◆蔡加柳

（廈門技師學(xué)院 福建）

隨著移動(dòng)終端的快速發(fā)展，無(wú)線移動(dòng)網(wǎng)絡(luò)已經(jīng)成為國(guó)內(nèi)的發(fā)展主流。社會(huì)在不斷發(fā)展，我國(guó)的校園信息化的建設(shè)工作也邁進(jìn)了一個(gè)嶄新的階段。為了滿足校園不斷發(fā)展的需求，我院校園無(wú)線網(wǎng)絡(luò)的建設(shè)工作也在全面進(jìn)行中。本文主要介紹了廈門技師學(xué)院無(wú)線校園網(wǎng)的現(xiàn)狀、建設(shè)的總體目標(biāo)、無(wú)線網(wǎng)絡(luò)方案的設(shè)計(jì)及安全防范、無(wú)線網(wǎng)絡(luò)使用的效果等，為其他院校的無(wú)線校園網(wǎng)的建設(shè)與應(yīng)用提供借鑒。

無(wú)線校園網(wǎng)；安全；設(shè)計(jì)

1 引言

近些年來(lái)隨著網(wǎng)絡(luò)信息時(shí)代的快速發(fā)展、信息技術(shù)水平日益提高，各行各業(yè)都采用了信息化管理，我院也逐步加快了信息化建設(shè)的進(jìn)度，通過(guò)信息化更好地服務(wù)于辦公教學(xué)。伴隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，各類線上教學(xué)辦公業(yè)務(wù)蓬勃發(fā)展，師生對(duì)于校園無(wú)線網(wǎng)絡(luò)的迫切需求與日俱增，目前學(xué)院已經(jīng)建成較為完善的有線網(wǎng)絡(luò)。隨著移動(dòng)終端數(shù)量的爆發(fā)式增長(zhǎng)和無(wú)線互聯(lián)技術(shù)快速發(fā)展，新的技術(shù)手段對(duì)校園無(wú)線網(wǎng)絡(luò)建設(shè)提出了更高的要求。為了進(jìn)一步提升校園網(wǎng)的信息服務(wù)質(zhì)量，滿足師生各類移動(dòng)辦公，學(xué)校擬統(tǒng)一規(guī)劃建設(shè)覆蓋全校的移動(dòng)無(wú)線校園網(wǎng)。

2 無(wú)線校園網(wǎng)的現(xiàn)狀

目前我院的無(wú)線網(wǎng)絡(luò)主要覆蓋兩個(gè)區(qū)域，一部分是教學(xué)辦公區(qū)域主要由學(xué)院自建，采用無(wú)線AP對(duì)教學(xué)樓進(jìn)行無(wú)線信號(hào)覆蓋；另一部分是學(xué)生宿舍區(qū)域主要由運(yùn)營(yíng)商建設(shè)部署，目前包含電信和移動(dòng)。此外，食堂和室外空曠區(qū)域目前尚未全覆蓋無(wú)線網(wǎng)絡(luò)。

宿舍區(qū)域的無(wú)線網(wǎng)絡(luò)，由于多家運(yùn)營(yíng)商各自部署，缺乏合理的信道規(guī)劃，存在同頻干擾的問(wèn)題，導(dǎo)致在無(wú)線網(wǎng)絡(luò)的使用過(guò)程中出現(xiàn)數(shù)據(jù)的沖突丟包，嚴(yán)重影響了師生的上網(wǎng)體驗(yàn)。同時(shí)這些區(qū)域主要采用傳統(tǒng)802.11g的室分系統(tǒng)部署，設(shè)備的性能理論上僅有54Mbps，無(wú)法提供給師生一個(gè)高速的無(wú)線網(wǎng)絡(luò)環(huán)境，也不足以承載未來(lái)的各種無(wú)線應(yīng)用。同時(shí)，宿舍區(qū)無(wú)線網(wǎng)絡(luò)由于是運(yùn)營(yíng)商自建自營(yíng)，學(xué)院無(wú)法對(duì)網(wǎng)絡(luò)進(jìn)行直接管控，無(wú)法監(jiān)管學(xué)生日常的無(wú)線上網(wǎng)行為和操作，存在安全隱患。

3 總體建設(shè)目標(biāo)

當(dāng)前我院已經(jīng)形成完善的校園有線網(wǎng)和部分區(qū)域的無(wú)線覆蓋?？紤]到多業(yè)務(wù)特性的支持。在無(wú)線網(wǎng)絡(luò)上，除了提高部署時(shí)的合理規(guī)劃，提供802.11n的300M的高速接入以外，還需要考慮與有線網(wǎng)絡(luò)以及身份認(rèn)證運(yùn)維管理系統(tǒng)的有機(jī)的結(jié)合，實(shí)現(xiàn)有線無(wú)線一體化的無(wú)線校園網(wǎng)建設(shè)。

總體上，依據(jù)分階段分步實(shí)施的建設(shè)原則，學(xué)院將形成全校統(tǒng)一的有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)，有線校園網(wǎng)通過(guò)組播、IPV6、IPTV等下一代網(wǎng)絡(luò)技術(shù)承載起校內(nèi)師生高速的互聯(lián)網(wǎng)訪問(wèn)以及智慧校園應(yīng)用交互，無(wú)線校園網(wǎng)通過(guò)高速的802.11n以及802.11ac等技術(shù)與有線網(wǎng)絡(luò)相輔相成，協(xié)同創(chuàng)新，實(shí)現(xiàn)校內(nèi)實(shí)時(shí)的互聯(lián)網(wǎng)訪問(wèn)，同時(shí)通過(guò)有線無(wú)線的一體化集中認(rèn)證、集中管理，形成一套可靠、高速、安全可運(yùn)營(yíng)的基礎(chǔ)網(wǎng)絡(luò)。

4 廈門技師學(xué)院校園無(wú)線網(wǎng)絡(luò)設(shè)計(jì)

4.1 整體框架規(guī)劃設(shè)計(jì)

校園無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)施是一個(gè)系統(tǒng)性工程，它涉及多個(gè)方面的設(shè)計(jì)細(xì)節(jié)和執(zhí)行要求。在基于經(jīng)濟(jì)性、實(shí)用性、先進(jìn)性等原則下，整體框架設(shè)計(jì)上我們將校園網(wǎng)劃分為四個(gè)區(qū)域，分別包含有線網(wǎng)、無(wú)線網(wǎng)、出口區(qū)域以及數(shù)據(jù)中心區(qū)域。其中，有線網(wǎng)、出口區(qū)域、數(shù)據(jù)中心區(qū)域的架構(gòu)基本保持不變，繼續(xù)沿用或升級(jí)現(xiàn)有網(wǎng)絡(luò)設(shè)備，無(wú)線網(wǎng)絡(luò)區(qū)域主要先由AC（無(wú)線控制器簡(jiǎn)稱下同）統(tǒng)一管理控制AP（無(wú)線接入點(diǎn)簡(jiǎn)稱下同），然后將AC設(shè)備匯聚到交換機(jī)再統(tǒng)一的接入學(xué)院的核心交換機(jī)上。

無(wú)線校園網(wǎng)的設(shè)計(jì)主要依據(jù)不同的應(yīng)用場(chǎng)景進(jìn)行設(shè)計(jì)，在教學(xué)樓、圖書館和行政辦公樓區(qū)域部署高性能的無(wú)線AP，以便提供更好的信號(hào)覆蓋。在學(xué)生較為集中且對(duì)帶寬要求更高的區(qū)域，確保每個(gè)房間一個(gè)AP接入點(diǎn)，以保證網(wǎng)絡(luò)使用的穩(wěn)定性。針對(duì)運(yùn)動(dòng)場(chǎng)、升旗廣場(chǎng)、室內(nèi)體育館等空曠區(qū)域，采用室外雙路雙頻覆蓋的方式，滿足全院至少95%以上區(qū)域的覆蓋。方案建設(shè)中整體無(wú)線網(wǎng)絡(luò)部署采用“AC+瘦AP”的組網(wǎng)方式，將校園網(wǎng)中的無(wú)線AP通過(guò)無(wú)線AC進(jìn)行集中控制，方便后期的管理維護(hù)。

4.2 AP的部署要求

（1）AP覆蓋信號(hào)設(shè)計(jì)

對(duì)于用戶數(shù)量接入較多較為集中區(qū)域的接入速率應(yīng)不低于150Mbps，無(wú)線信號(hào)的強(qiáng)度不能低于-75dBm，信噪比要大于22。室外無(wú)線信號(hào)一般要求按能夠穿透一堵墻設(shè)計(jì)，天線的等效全向輻射功率要大于等于22 dBm。

（2）工作信道規(guī)劃

根據(jù)WLAN的國(guó)際規(guī)范和國(guó)際無(wú)線電管理委員會(huì)的標(biāo)準(zhǔn)，無(wú)線設(shè)備的工作頻段介于2400 MHz和2483.5MHz之間，最多有13個(gè)信道可用，每個(gè)頻道的帶寬為22 MHz。為了保證頻道之間互不干擾，相對(duì)獨(dú)立，在具有多個(gè)頻道的無(wú)線網(wǎng)絡(luò)環(huán)境中，要求兩個(gè)頻道的中心頻率間隔不能低于25 MHz，此外北美的設(shè)計(jì)標(biāo)準(zhǔn)中一般還規(guī)定12、13頻道不用，因此在本次的方案設(shè)計(jì)中我們選用1/6/11信道作為首選。

（3）無(wú)線部署方式

在無(wú)線AP的部署過(guò)程中由于學(xué)校內(nèi)的建筑物分布不規(guī)則，建筑物結(jié)構(gòu)也不盡相同，這對(duì)于實(shí)現(xiàn)無(wú)線信號(hào)全覆蓋提出了很大的挑戰(zhàn)。通過(guò)對(duì)現(xiàn)場(chǎng)環(huán)境的勘察，結(jié)合學(xué)院建筑進(jìn)行功能區(qū)域的劃分，在AP部署的方式上我們主要分為以下三個(gè)方面來(lái)實(shí)施。

對(duì)于圖書館、校辦工廠、報(bào)告廳、教學(xué)樓、辦公樓、食堂等空間較大，用戶接入相對(duì)集中的區(qū)域，我們采用放裝方式。根據(jù)單位區(qū)域內(nèi)的接入用戶數(shù)量，確定AP的接入數(shù)量和部署位置，確保該區(qū)域的信號(hào)覆蓋。

對(duì)于宿舍樓區(qū)域，由于房間較為密集且房間內(nèi)墻體結(jié)構(gòu)較堅(jiān)固，房間內(nèi)死角較多，如衛(wèi)生間陽(yáng)臺(tái)等，且房間門都為鐵門，如果采用傳統(tǒng)方式部署會(huì)存在較多盲區(qū)，用戶體驗(yàn)效果不好。為了確保信號(hào)覆蓋無(wú)盲區(qū)，我們?cè)诿块g房間中部署1個(gè)面板式的AP。

對(duì)于運(yùn)動(dòng)廣場(chǎng)等相對(duì)空曠而且條件較為惡劣的區(qū)域，應(yīng)當(dāng)選用專用的室外大功率無(wú)線AP同時(shí)要求配置使用定向天線。這樣至少可以保證無(wú)線信號(hào)在無(wú)阻礙環(huán)境下的350米半徑覆蓋，對(duì)于障礙物較多的區(qū)域也有較好的穿透能力。

4.3 無(wú)線漫游設(shè)計(jì)

廈門技師學(xué)院無(wú)線網(wǎng)的設(shè)計(jì)既要滿足高速漫游、又要能夠?qū)崿F(xiàn)智能漫游。首先關(guān)于高速漫游，本方案設(shè)計(jì)要求同一個(gè)AC管理下的AP之間和不同AC管理下的AP之間均能夠無(wú)縫快速漫游；從而保證無(wú)線客戶端從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍時(shí)，通信不會(huì)中斷，也不需要重新進(jìn)行登錄驗(yàn)證。其次關(guān)于智能漫游，本方案通過(guò)定義不同的漫游組，及其漫游范圍來(lái)實(shí)現(xiàn)。根據(jù)用戶的身份和級(jí)別劃定其是否可以漫游，是否能夠連接到相應(yīng)的無(wú)線網(wǎng)絡(luò)的區(qū)域。通過(guò)設(shè)定訪客、學(xué)生、老師三種身份，針對(duì)不同身份設(shè)定不同的無(wú)線接入?yún)^(qū)域。例如，定義學(xué)生組不能在行政辦公區(qū)域接入無(wú)線，其他區(qū)域不做限制；訪客只能在行政辦公樓的會(huì)議室接入無(wú)線；教師組不做限制。

4.4 無(wú)線安全設(shè)計(jì)

（1）認(rèn)證方式

基于“接入安全”的設(shè)計(jì)理念，本次無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案中采用了web認(rèn)證的方式并通過(guò)AC與學(xué)院有線網(wǎng)絡(luò)中使用的RG-SAM認(rèn)證系統(tǒng)相結(jié)合。當(dāng)無(wú)線終端通過(guò)AP連接進(jìn)入無(wú)線網(wǎng)絡(luò)時(shí)候，無(wú)線網(wǎng)絡(luò)中的控制器設(shè)備會(huì)先與SAM認(rèn)證系統(tǒng)的網(wǎng)關(guān)進(jìn)行對(duì)接，用portal的方式把用戶認(rèn)證頁(yè)面推送給客戶端，同時(shí)將用戶認(rèn)證所需要的密碼及用戶名上傳至無(wú)線AC，AC利用與SAM認(rèn)證系統(tǒng)的對(duì)接取得認(rèn)證用戶的相關(guān)信息。如果認(rèn)證連接通過(guò)，AC將通知AP并允許用戶訪問(wèn)對(duì)應(yīng)的資源，無(wú)線客戶端通過(guò)瀏覽器就能夠完成認(rèn)證，這樣不僅保證了無(wú)線接入用戶的合法性還能夠讓接入用戶簡(jiǎn)單快速使用無(wú)線網(wǎng)絡(luò)，大大提升了用戶的體驗(yàn)感。

（2）數(shù)據(jù)加密

在這次的無(wú)線網(wǎng)絡(luò)方案設(shè)計(jì)中，無(wú)線AP設(shè)備均支持TKIP、 AES、WEP等加密技術(shù)，我們選用TKIP、AES這些更為安全的加密方式為接入用戶提供完整的數(shù)據(jù)安全加密保障機(jī)制，保證無(wú)線網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全。該方案中的無(wú)線接入點(diǎn)與無(wú)線控制器之間則通過(guò)CAPWAP加密隧道模式進(jìn)行通信，從而保證了傳輸過(guò)程中的數(shù)據(jù)內(nèi)容安全。

（3）射頻安全

本方案中要求選用產(chǎn)品的網(wǎng)絡(luò)管理系統(tǒng)還能夠與無(wú)線控制器配合，支持無(wú)線AP開(kāi)啟射頻探針掃描，工作中能夠?qū)崟r(shí)探測(cè)非法接入點(diǎn)、或其他射頻干擾源，并進(jìn)行預(yù)警提示，這樣保證我們可以隨時(shí)監(jiān)控到各個(gè)無(wú)線區(qū)域的潛在威脅。

5 廈門技師學(xué)院無(wú)線網(wǎng)絡(luò)使用情況

目前廈門技師學(xué)院校園無(wú)線網(wǎng)絡(luò)服務(wù)于全院師生約5000人，截至2020年5月，最大同時(shí)接入終端數(shù)超過(guò)3500個(gè)，校園無(wú)線網(wǎng)絡(luò)的流量峰值超過(guò)3.5GBps。該無(wú)線網(wǎng)絡(luò)滿足了全院師生在各種場(chǎng)景下的用網(wǎng)需求。在教學(xué)行政辦公區(qū)域，師生可以在任意一間實(shí)訓(xùn)室通過(guò)無(wú)線終端快速接入校園網(wǎng)，并訪問(wèn)校園網(wǎng)資源。在宿舍區(qū)域，學(xué)生可以在無(wú)線網(wǎng)絡(luò)中訪問(wèn)校內(nèi)外網(wǎng)絡(luò)資源。另外訪客能夠在會(huì)議室接入無(wú)線校園網(wǎng)，并訪問(wèn)外網(wǎng)資源。

6 結(jié)束語(yǔ)

校園無(wú)線網(wǎng)絡(luò)的建設(shè)是一個(gè)長(zhǎng)期性任務(wù)，在這一過(guò)程中，我們要認(rèn)真分析校園信息化的發(fā)展趨勢(shì)，秉持以人為本的建設(shè)理念，并且堅(jiān)持對(duì)無(wú)線校園網(wǎng)及其安全防護(hù)設(shè)計(jì)的嚴(yán)謹(jǐn)態(tài)度，結(jié)合各個(gè)學(xué)校自身的實(shí)際情況進(jìn)行統(tǒng)籌安排，這樣設(shè)計(jì)出來(lái)的無(wú)線校園網(wǎng)才能夠更好地服務(wù)于廣大師生，進(jìn)而推動(dòng)校園信息化建設(shè)長(zhǎng)足發(fā)展。

[1]姜鴻斌.高校校園無(wú)線網(wǎng)絡(luò)建設(shè)探討——以安徽行政學(xué)院為例[J]. 合肥學(xué)院學(xué)報(bào)（綜合版），2019，36（2）：68-72.

[2]李緯.無(wú)線校園網(wǎng)的設(shè)計(jì)與優(yōu)化[J].電子技術(shù)與軟件工程，2017（6）：55-57.

[3]李健.無(wú)線校園網(wǎng)的設(shè)計(jì)與安全策略實(shí)施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：89-90.