淺談高校無線校園網的建設

摘 要:隨著高校信息化建設水平的不斷提高，無線網絡已經成為高校校園網建設方案的最佳選擇。本文對高校無線校園網的建設進行探討，并對校園無線網絡的接入方式、安全問題進行了剖析，給出了一種相對安全的高校無線校園網建設方案。

關鍵詞:高校無線網校園網建設

中圖分類號:TP393文獻標識碼:A文章編號:1674-098x(2011)08(b)-0025-01

引言

當今高校有線校園網絡已經比較完善，并且已經具備相當規模，但隨著高校規模的不斷擴大，教學科研水平不斷提高，學術交流日趨頻繁，在會議中心、多媒體開放教室、圖書館閱覽室、自主學習區、自習學習角等空曠場所提供網絡服務的呼聲越來越高。然而有線校園網鋪設費用高、施工周期長、移動困難、維護成本高、覆蓋面積小等問題，嚴重地限制了網絡布署和擴展的靈活性。另外，作為信息化時代的大學生基本人手一臺電腦，其中又以筆記本居多，自帶的無線網卡最方便實現他們隨時隨地上網的愿望。因此我校啟動了無線校園網計劃，旨在建成高速度、廣覆蓋、易管理的安全校園無線網絡，突破有線網絡節點限制、實現多人同時上網的問題，大大地增加了校園網絡信息點，滿足校園網可持續發展要求。那么如何實現無線校園網建設呢？

1 無線校園網建設的方案

1.1 搭建無線校園網的理論基礎

無線局域網技術(Wireless Local Area Network，WLAN)是計算機網絡與無線通信技術結合的產物。采用無線微蜂窩覆蓋技術，將多個AP形成的無線信號覆蓋區域進行交叉覆蓋，確保了各覆蓋區域之間無縫連接。所有AP通過線纜與有線骨干網絡相連，無線終端通過就近的AP接入網絡，從而訪問整個網絡資源。無線網絡中大部分的AP采用不加密方式或采用128 bit數據加密。無線局域網絡采用先進的IEEE 802.11g協議，最大連接速率可以達到54 bit/s，向下兼容IEEE 802.11b。IP地址分配使用DHCP動態地址分配，可盡量滿足更多臺計算機同時上網的需求。無線網絡有良好的可擴充性，可隨時根據使用情況增加無線接入設備的配置。

1.2 無線網存在的安全隱患

高校無線校園網的安全隱患可能存在以下幾種情況:(1)學生信息泄露、非授權接入、數據篡改、病毒傳播等各種問題;(2)校園網絡入侵者可以通過無線網絡連接技術輕松進入局域LAN中，獲取網絡訪問權限后，不僅可訪問網絡資源和共享文檔，還可以對網絡上其它用戶的文件、目錄、硬盤驅動器進行復制、刪除、修改等操作，甚至可以對網絡上其它接入計算機種植木馬放置間諜、病毒程序等;(3)無線網絡接入者使用黑客工具，可使其他接入者的WEB頁面被實時重建，在獲取WEB站點的URL后，可獲得到對該網址使用的各類賬號和密碼;(4)開放的WLAN可被入侵者用來架設FTP服務，傳送盜版電影、音樂、色情文件，也可被用來作為發送垃圾郵件、DOS攻擊等網絡攻擊的終端。假如提著筆記本電腦在某個校園內走動，會搜索到很多無線接入點，而這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入，讓不明身份的人進入無線網絡，進而進入校園網，就會對校園網絡構成威脅。

1.3 無線校園網安全保障

1.3.1 基于MAC地址的認證

基于MAC地址的認證是目前在校園網絡非常常用的一種技術手段，它方便，快捷，安全基于對所用電腦的MAC地址的認證來防止外來用戶非法登錄使用網絡。IP地址與MAC地址在計算機里都是以二進制表示的，IP地址是32位的，而MAC地址則是48位的。MA地址的長度為48位(6個字節)，通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如08:00:20:0A:8C:6D就是一個MAC地址，其中前位16進制數08: 00:20代表網絡硬件制造商的編號，它由IEEE(電氣與電子工程師協會)分配，而后3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品(如網卡)的系列號。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。而MAC地址過濾是通過預先在AP內寫入合法的MAC地址列表，只有當所登錄計算機的MAC地址和合法MAC地址表中的地址匹配，AP才允許計算機與之通信，實現物理地址過濾。

1.3.2 共享密鑰認證跟802.1x認證

使用校園網的用戶特殊性，為了保障無線校園網的安全，可對不同上網用戶采取不同的認證方法。在校園網內主要分成兩類不同的用戶:一類是校內用戶，主要是學校的師生，可使用802.1x認證方式對用戶進行認證，以保障傳輸數據的安全。另一類是校外來訪用戶，主要是來校參觀、培訓或進行學術交流的一些用戶，來訪用戶所關心的是方便和快捷，對安全性的要求不高，可采用DHCP+強制Portal認證的方式接入校園無線網絡。來訪用戶先通過DHCP服務器獲得IP地址，當來訪用戶打開瀏覽器訪問Intemet網站時，強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網站，用戶只能訪問該網站中提供的服務，無法訪問校園網內部的其他受限資源，如果要訪問校園網以外的資源，必須通過強制Portal認證。對于校內用戶，先由無線用戶終端發起認證請求，沒通過認證之前，不能訪問任何地方，并且不能獲得IP地址。可通過數字證書(需要設立證書服務器)實現雙向認證，既可以防止非法用戶使用網絡，也可以防止用戶連入非法AP。雙向認證通過后，無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運用所協商的加密算法進行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數據的安全傳輸。

2 結語

校園網絡已經成為一種不可代替的獲得資源的重要手段，是一個蘊藏著豐富知識的寶藏。無線網絡技術在校園網絡中的應用，給學校師生帶來了方便，教師和學生可以隨時隨地的通過移動電腦，手機等移動設備接入到校園網絡中，進行課表查詢，教學評價等各種應用。所以無線網絡環境的引入，為嶄新的無線多媒體提供了應用平臺，對整合教育資源，改變教學模式，提高學校的信息化水平有著巨大的作用，為實現校園數字化建設打下良好的基礎，將教育信息化建設帶入一個嶄新的天地，無線網絡的發展趨勢勢不可擋。

參考文獻

[1] 梁德華.基于無線網的校園網絡安全策略研究[J].科技廣場.2009(5):94-95

[2]何巍.探討大學校園無線網未來發展的模式[J].信息與電腦.2010(12):65.

[3]劉明輝.校園無線網絡安全管理風險和防范技術研究[J].長春大學學報，2010(2):68:70.