實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的部署及其安全管理研究

梁雄波

（1.廣東肇慶廣播電視大學(xué)，廣東　肇慶　526020；2.肇慶市第一中等職業(yè)學(xué)校，廣東　肇慶　526020）

實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的部署及其安全管理研究

梁雄波

（1.廣東肇慶廣播電視大學(xué)，廣東肇慶526020；2.肇慶市第一中等職業(yè)學(xué)校，廣東肇慶526020）

本文針對(duì)高校計(jì)算機(jī)實(shí)驗(yàn)室環(huán)境需求，提出了Wi-Fi網(wǎng)絡(luò)的構(gòu)建原則，提出了基本的部署方案，并應(yīng)對(duì)實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境的安全需求設(shè)計(jì)相應(yīng)的安全管理方案，以供高校計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)架設(shè)工作的參考。

實(shí)驗(yàn)室；Wi-Fi網(wǎng)絡(luò)；網(wǎng)絡(luò)部署；安全管理策略

1　Wi-Fi網(wǎng)絡(luò)的優(yōu)勢及基本部署原則

Wi-Fi本身的局域網(wǎng)特性支持多臺(tái)電腦互聯(lián)互通，有效打破了傳統(tǒng)有線網(wǎng)絡(luò)端口數(shù)量局限性的問題。就實(shí)驗(yàn)室應(yīng)用而言，Wi-Fi網(wǎng)絡(luò)本身不再依賴實(shí)體布線、提升網(wǎng)絡(luò)多樣化訪問途徑的優(yōu)勢是最為突出的，這也是實(shí)驗(yàn)室網(wǎng)絡(luò)部署中應(yīng)用Wi-Fi網(wǎng)絡(luò)的核心需求。

無線網(wǎng)絡(luò)是以無線信號(hào)作為數(shù)據(jù)傳輸介質(zhì)的，所以如何保證信號(hào)的覆蓋就是部署無線網(wǎng)絡(luò)的關(guān)鍵，這里有幾點(diǎn)需要注意：

第一，Wi-Fi無線網(wǎng)絡(luò)部署時(shí)應(yīng)盡量放置在實(shí)驗(yàn)室區(qū)域的中心。由于無線信號(hào)的覆蓋是以發(fā)射點(diǎn)為基礎(chǔ)的圓形覆蓋，且距離越近信號(hào)越強(qiáng)，所以這一部署對(duì)未來的應(yīng)用有著非常重要的作用。

第二，無線訪問節(jié)點(diǎn)（AP）應(yīng)當(dāng)避免靠近微波爐、無線電等會(huì)產(chǎn)生信號(hào)干擾的電子設(shè)備。

第三，避免過度追求成本，盡量讓每個(gè)工位上能找到兩個(gè)以上的“熱點(diǎn)”(信號(hào)源)，當(dāng)然由于距離的不同，會(huì)有信號(hào)的強(qiáng)弱，但如果完全憑借一個(gè)AP的覆蓋范圍去支持應(yīng)用，一旦AP出現(xiàn)故障，會(huì)影響整個(gè)區(qū)域的應(yīng)用。也不要為了美觀把AP藏起來，這當(dāng)然還是出于信號(hào)強(qiáng)度的考慮。

2　實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)需求與部署要點(diǎn)分析

本文主要從以下幾點(diǎn)考慮了實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的基本需求：

第一，環(huán)境需求。實(shí)驗(yàn)室環(huán)境一般相對(duì)復(fù)雜，包括建筑設(shè)計(jì)以及空間內(nèi)其他電子電氣設(shè)備干擾問題等，因此在設(shè)計(jì)中必須考慮Wi-Fi網(wǎng)絡(luò)的干擾問題，設(shè)定合適的現(xiàn)場參數(shù)。結(jié)合筆者所在院校計(jì)算機(jī)實(shí)驗(yàn)室的情況來看，所有實(shí)驗(yàn)室分布在教學(xué)樓六、七、八三層；三層均有辦公室、實(shí)驗(yàn)室和網(wǎng)絡(luò)機(jī)房，其中一層還有專門的管理室。在整個(gè)應(yīng)用空間內(nèi)，用戶數(shù)量相對(duì)較少，因此不需要滿足較高的網(wǎng)絡(luò)吞吐量需求，可供300個(gè)以內(nèi)用戶訪問即可；由于實(shí)驗(yàn)室區(qū)域存在2.4GHz頻段干擾，因此需要考慮盡可能避開干擾區(qū)域以保障通信質(zhì)量，同時(shí)也需要在應(yīng)用中提醒用戶遠(yuǎn)離此類干擾源（包括固定電話和微波爐）。

第二，應(yīng)用需求。結(jié)合用戶所需，需要保證無線覆蓋范圍，并保障網(wǎng)絡(luò)容量，其中：覆蓋范圍可以通過合理增加AP數(shù)量、調(diào)整AP位置來提供保障，一般室內(nèi)AP覆蓋范圍主要為20-30m，而計(jì)算機(jī)實(shí)驗(yàn)室一般覆蓋面較小，不需要覆蓋多個(gè)AP，但考慮到非實(shí)驗(yàn)室區(qū)域訪問需求特點(diǎn)（用戶分散但訪問需求量較小），因此可以在實(shí)驗(yàn)室以外區(qū)域每隔20m設(shè)置一個(gè)AP，保證基本網(wǎng)絡(luò)覆蓋即可；網(wǎng)絡(luò)容量方面不需要提供較高標(biāo)準(zhǔn)，但需要保證基本的穩(wěn)定性，雖然不同Wi-Fi標(biāo)準(zhǔn)的傳輸速率差異較大，但目前市場上常見的設(shè)備大多能夠支持最新標(biāo)準(zhǔn)，因此可以采用傳輸速率最高的IEEE802.11n標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)最高傳輸速率可達(dá)300Mbit/s，完全能夠滿足用戶需求，不過在應(yīng)用中需要考慮多AP接入的網(wǎng)絡(luò)沖擊問題，因此不在實(shí)驗(yàn)室以外區(qū)域設(shè)置過多AP。另外，考慮到目前Wi-Fi技術(shù)發(fā)展中的多頻段條件，可以利用這一條件設(shè)置5.8GHz頻段（包括149、153、157、161、165信道，信道抗干擾能力較強(qiáng)）提供額外頻道組網(wǎng)，便于個(gè)別對(duì)Wi-Fi網(wǎng)絡(luò)有較高穩(wěn)定性需求的應(yīng)用系統(tǒng)測試使用。

第三，安全性需求。Wi-Fi網(wǎng)絡(luò)屬于典型的半開放式網(wǎng)絡(luò)，因此在實(shí)際網(wǎng)絡(luò)服務(wù)中存在多種安全問題，因此網(wǎng)絡(luò)規(guī)劃必須考慮安全服務(wù)的部署，目前常用的Wi-Fi網(wǎng)絡(luò)安全方案有集團(tuán)認(rèn)證、本地認(rèn)證和家庭用戶認(rèn)證三類。從實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的需求來看，用戶數(shù)量較少、且不需要用于商業(yè)運(yùn)營，實(shí)際網(wǎng)絡(luò)搭建中所能投入的成本也十分有限，因此建議使用家庭用戶認(rèn)證策略，采用安全性較高的WPA2-PSD認(rèn)證和AES算法來保證網(wǎng)絡(luò)安全，同時(shí)關(guān)閉SSID廣播并設(shè)置MAC地址過濾策略來進(jìn)一步限制非法訪問風(fēng)險(xiǎn)。

3　實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)部署與安全管理應(yīng)用策略

首先，設(shè)計(jì)部署方案。結(jié)合上述實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)使用需求，設(shè)計(jì)中采用簡單的綜合布線，Wi-Fi網(wǎng)絡(luò)實(shí)現(xiàn)方面采用路由器輔助無線AP的方式進(jìn)行Wi-Fi部署，其中外網(wǎng)訪問由路由器實(shí)現(xiàn)。該方案中具體設(shè)備選擇如下：AP選用商業(yè)級(jí)設(shè)備中價(jià)格相對(duì)低廉的思科Aironet1000系列設(shè)備；交換機(jī)采用內(nèi)置控制器的思科Catalyst3000系列設(shè)備；系統(tǒng)考慮了外網(wǎng)數(shù)據(jù)安全性問題，使用了防火墻作為安全檢測設(shè)備，設(shè)備使用思科IDS4200。

為了優(yōu)化系統(tǒng)安全管理，本文采用了基于網(wǎng)絡(luò)檢測掃描的自主安全控制策略。選擇Acrylic進(jìn)行主動(dòng)檢測，入侵檢測模塊可以在windows、Mac OSX、Linux和BSD上運(yùn)行。Acrylic是Wi-Fi分析軟件，可以識(shí)別接入點(diǎn)和Wi-Fi信道，并且可以實(shí)時(shí)分析802.11a/b/g/n/ac無線網(wǎng)絡(luò)。其最主要的特點(diǎn)是可以針對(duì)SSID的利用率來進(jìn)行特定的安全防護(hù)，比如在發(fā)現(xiàn)流量較高的AP后可以針對(duì)具體情況判斷MAC地址的合法性并判斷是否在已登記設(shè)備之內(nèi)，進(jìn)而保障網(wǎng)絡(luò)安全性。同時(shí)Acrylic也提供了網(wǎng)絡(luò)攻擊預(yù)警功能，可以通過網(wǎng)絡(luò)請求、反饋的實(shí)際情況判斷網(wǎng)絡(luò)占用，如果存在惡意攻擊行為，軟件也能夠快速進(jìn)行反映，向管理者進(jìn)行警告和提醒。相對(duì)于其他主流的Wi-Fi網(wǎng)絡(luò)監(jiān)測工具而言，Acerylic擁有兼容性強(qiáng)、價(jià)格低廉等顯著優(yōu)勢，對(duì)實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的簡單應(yīng)用來說已經(jīng)足夠應(yīng)付絕大多數(shù)問題。

4　總結(jié)

本文簡要闡述了實(shí)驗(yàn)室Wi-Fi網(wǎng)絡(luò)的部署方案和安全管理策略，能夠?yàn)閷W(xué)校計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境搭建提供參考。從未來發(fā)展來看，Wi-Fi會(huì)成為局域網(wǎng)構(gòu)建中的必要組成部分，但Wi-Fi技術(shù)本身傾向于便利性的特點(diǎn)也使得安全性保障較為困難，這也給網(wǎng)絡(luò)設(shè)計(jì)者帶來一定的障礙。因此，有必要在Wi-Fi網(wǎng)絡(luò)設(shè)計(jì)中進(jìn)行合理的安全性考量，以保障網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性。

[1]馬欣，王勝開，冉晨光．發(fā)展Wi-Fi網(wǎng)絡(luò)需解決的問題研究[J]．互聯(lián)網(wǎng)天地，2015(2)．

[2]邱煥枝，陳永燦，范潮升，等．基于WiFi物聯(lián)網(wǎng)技術(shù)的智慧教室系統(tǒng)分析[J]．企業(yè)技術(shù)開發(fā)月刊，2016，35(3)：62-63．

[3]郭巍．Wi-Fi應(yīng)用安全現(xiàn)狀及對(duì)策[J]．電子技術(shù)與軟件工程，2015(11)：230-231．

Deployment of Laboratory Wi-Fi Network and the Security Management Research

Liang Xiongbo
(1.Guangdong Radio and TV University,Zhaoqing 526020,Guangdong; 2.The first Secondary Vocational School of Zhaoqing,Zhaoqing 526020,Guangdong)

In view of the needs of university computer lab environment,this paper proposes the building principle of Wi-Fi network,puts forward the basic deployment plan and addresses the security needs of the laboratory network environment to design appropriate safety management programs,providing reference for the construction of university computer lab network.

laboratory;Wi-Fi network;network deployment;security management strategy

TN915.08

A

1008-6609(2016)06-0055-02

梁雄波，男，廣東新興人，本科，助理實(shí)驗(yàn)師，研究方向：實(shí)驗(yàn)室管理和實(shí)驗(yàn)教學(xué)。