職業學院有線無線網絡融合設計

楊彥　沈宗果

摘要：隨著無線網絡技術的發展，職業學院在網絡的規劃和建設中需要充分考慮無線網絡的重要性和無線網絡建設需求。文章就職業學院網絡建設進行分析和設計。

關鍵詞：無線網絡；網絡融合；職業學院

網絡技術對教學的發展提供了更加廣闊的平臺，如利用手機進行網絡教學的藍墨云班課等，對無線網絡的發展也提出了更高的要求。職業學院原有網絡多為有線網，新建設的無線網絡在原有線網絡基礎上進行建設，要設計出一套能夠實現兩者結合的網絡結構。

1.學院網絡總體結構設計

學院所設計無線網為兩個部分，教學區和生活區網絡互相獨立，教學區網絡和原有有線網絡結合，采用固定IP的上網方式，對每個AP設置登陸密碼，SSID不進行廣播；生活區無線網絡采用認證方式，可以獨立運行，由一臺AC設備對生活區無線網絡進行管理。在核心層，通過一臺萬兆交換機和校園網的有線網絡核心設備互聯，外掛一套綜合服務系統，主要進行相應的管理，如身份認證、賬號計費、上網日志審計、網絡管理等。

不同的樓宇所需接入點數量雖然不同，但為提高整網的安全性，所有區域都采用3層結構。同時對于不同的樓宇，AP類型的選擇要根據用戶數量不同選擇不同型號，如用戶數量較少的辦公室，選用功率較小的AP設備，對于用戶數量較多的宿舍，選用功率較大的AP設備，POE交換機可以為AP設備直接供電，提高AP部署靈活性。

2.學院網絡總體安全設計

無線網安全分為7個部分：網絡結構的安全、安全接入功能、統一認證和準入準出、出口的安全、IP地址規劃、SSID和VLAN劃分、網絡管理安全系統。

（1）網絡結構的安全。一般職業學院網絡的規模屬于中型網絡，為了保證網絡的穩定性，采用“瘦”AP+AC的單核心3層結構，核心交換機處部署大規模智能AC設備，對整個網絡中的所有AP進行集中管理。AC所承擔的任務較重，所有的數據都要經過AC轉發，如果AC設備出現問題，無線網絡將癱瘓，存在一定的隱患，可結合學院實際經濟情況，采用單或雙AC+AP模式來保證網絡的安全。采用“瘦”AP+AC模式，AP負責的功能相對較少，AC設備要對AP設備進行負載均衡，當網絡中某些區域的AP接入用戶數量過多，AC設備要控制附近的AP進行負載分擔。一般AC設備支持基于用戶流量和用戶數量的兩種分擔方式，當用戶流量達到門限時，AC會使AP設備拒絕新增用戶的接入，用戶只能加入到附近未達到流量上限的AP設備。用戶數量控制的方式和流量控制類似。為了減輕AC控制的工作量，除了Ac控制外，對AP設備也設置最大連接用戶數，對用戶數量進行控制。（2）接入功能的安全。采用無線入侵檢測系統（WIDS）模塊，可以對無線網絡的入侵攻擊進行檢測和隔離，如果發生非法登錄、Dos攻擊或范洪攻擊等行為時，帶有WIDS模塊的AC設備可以自動檢測發生攻擊的AP和客戶端，將它們從網絡中剔除，以保證網絡的安全，屏蔽有害入侵。合法用戶在AC設備上配置的有名單列表，不在列表內的用戶無法接入無線網絡，有效避免非法用戶的攻擊。（3）用戶訪問控制功能。針對不同權限的用戶采用訪問控制，提供不同的服務質量、帶寬等。對教師用戶一般不限制網絡帶寬，提供全面的服務；對學生用戶，需要進行身份認證，接入后要進行帶寬限制，上網時間段限制。（4）出口安全功能。通過設置專用的防火墻設備，提高網絡出口的安全。對網絡的帶寬需要進行合理的分配，網絡視頻節目越來越多，流媒體播放、大量P2P等APP應用在移動智能終端上使用量較大，對帶寬的要求較高，校園內人員數量大且相對集中，給網絡出口帶來很大壓力。為了保證核心業務的順利進行，需要流量控制設備對視頻、流媒體和P2P應用進行識別和流量控制。（5）IP地址規劃。無線網絡的IP地址主要有4種：用戶的IP地址、AP@IP地址、AC的IP地址和不同業務網關的IP地址。

教學區所有無線設備的IP地址設為固定IP，用戶登陸AP后，由AP自動為用戶分派IP地址；生活區用戶的IP地址和AP的IP地址通過DHCP Server獲得，不需要手動配置。

3.學院教學區無線網絡設計

學院的教學區無線網是在原校園有線網的基礎上擴展而成，由于學校的原有有線網，無線網的建設在層次化結構的選擇上要根據實際情況進行選擇。

3.1有線網和無線網結合方式分析

有線網絡和無線網絡間主要使用單核心3層結構。

單核心3層結構適用于用戶規模較大的WLAN，一般使用網關分離結構。該結構的核心交換機與匯聚交換機通過3層路由口互聯，無線用戶的VLAN信息通過CAPWAP隨道傳到AC，經過AC處理后送入核心交換機，核心交換機與匯聚交換機是3層連接，不能透傳用戶的VLAN二層信息，所以無線用戶的網關配置不能在匯聚交換機上完成，核心交換機只作為網關交換機，通過3層網絡進入外網。AP管理的配置和有線用戶的VLAN必須在匯聚交換機上完成，從而實現了無線用戶和有線用戶的網關在結構上的分離。

（1）網管分離結構優點：這種結構下核心交換機的壓力較小，在安全方面，不僅實現了多網段用戶統一管理，隔離了有線用戶和無線用戶，使網絡更加強健。（2）網管分離結構缺點：不支持不同VLAN的用戶間數據轉發。

3.2教學區網絡結構設計

結合學院情況，教學區網絡采用有線和無線分離的方式，既能保證教學區內為各個辦公室提供無線信號覆蓋，又能保障整個有線網絡的安全，使學院原有核心業務如學生信息、財務等核心業務不受影響。

4.教學區無線網絡安全設計

教學區無線網絡使用隱藏SSID，對無線AP進行加密的方式提高網絡的安全性。

整體結構上，為了保障原有線網絡中核心業務的安全，教學區無線網和有線網絡的融合采用網管分離結構，使接入無線的用戶不能訪問有線網絡，從而防止惡意攻擊者通過非法手段接入無線網絡，攻擊核心有線網的情況出現。

5.學院生活區無線網絡設計

5.1生活區無線網絡需求分析

（1）服務對象需求分析。生活區主要針對學生用戶提供服務，和教學區分離，屬于網絡的兩個不同部分。隨著技術的發展，無線移動設備的大量普及，智能手機、平板電腦、手提電腦等保有量越來越大，在校學生除了一部分擁有筆記本電腦外，幾乎人手一部智能手機，所以在生活區對無線網絡的需求量比較大，對網絡的帶寬要求較高。且學生用戶上網的時間段比較集中，對業務的需求以視頻、游戲等為主。（2）管理需求分析。由于服務對象主要是學生，而學生的上網行為對其學業的影響較大，為了能夠有效地對學生的上網行為進行干預，需要在為學生提供網絡服務的同時進行有效管理。

5.2生活區無線網絡結構設計

根據以上需求，設計獨立成網的無線生活區網絡，網絡結構上使無線網建設更加結構分明，方便進行整體規劃，安全上保證了整個網絡的強健，和有線網絡部分進行隔離，降低了有線網絡部分的安全隱患。

獨立成網的無線網絡優勢分析：（1）網絡結構更加優化。獨立的無線網和有線網絡互為備份，不管有線網還是無線網其中一方出現問題時，另一方可以作為應急措施，較好地保證校園網核心業務的正常進行。兩者的結合能夠進一步完善校園網的組網結構，實現網絡資源的優化使用。（2）統一的安全策略。獨立成網的無線網在架構上不會影響有線網的安全，能夠制定全網統一的安全策略，如全網絡SSID的命名、全網的虛擬局域網（VLAN）規劃、認證加密方式的選擇、用戶權限的訪問控制等，方便了管理員進行管理和維護。（3）整個無線網設備維護方便。獨立建設的無線網在設備選擇上可以選擇兼容陛較號的設備，一般選擇相同品牌的產品，設備間配合更加緊密，出現問題可以方便替代和維護。（4）清晰劃分VLAN。無線網絡和有線網絡之間在邏輯上相互獨立，使無線網的VLAN劃分更清晰，有利于控制無線用戶進行訪問，保證無線網絡的安全。

生活區的網絡設計采用獨立成網的網絡結構，網絡結構上采取“瘦”AP+AC3層結構模型，采用具備POE供電技術的交換機，方便管理。這樣可以做到邏輯上與有線網接入層的隔離，網絡的安全性提高，同時可以保證能夠根據信號覆蓋的實際需要對整個生活區實現全信號覆蓋，在設計和施工上更加自由。在設計上可以對無線網絡的后期擴展進行充分考慮，保障網絡的可發展性。

6.學院生活區無線網絡安全設計

6.1無線網絡安全需求分析

生活區無線網絡采用單獨成網的網絡結構，在結構上和有線網之間實現了隔離。面臨的安全問題主要為網內用戶的認證、設備的管理。

用戶認證需要根據用戶設備選擇最方便的認證方式，對所有認證在線用戶能夠進行管理，需要控制器AC具有該功能。

6.2生活區無線網絡安全設計

采用獨立成網的無線網絡，在接入部分采用和有線網類似的方式對網絡進行保護，比如使用POE交換機端口控制，安全身份認證，將無線用戶的MAC地址和IP地址進行綁定等措施，和有線網的用戶管理獨立開來，這樣就避免了對網絡設備進行大量復雜的配置。

生活區核心交換機再連接學院總核心交換機，由總交換機為生活區核心交換機提供網絡接口。

獨立成網的無線網絡隔離了有線用戶，保障了有線用戶的安全，可以對無線用戶統一實施安全策略，提高了網絡的安全水平，和有線網絡的結合提高了網絡的可用性，但是由于無線網絡的信號是開放的，所面臨的安全壓力較大，需要在無線網絡的安全上采取完善的措施來保障網絡的安全。

7.結語

本文介紹了學院網絡的整體設計，在教學區采用和有線網絡結合，但邏輯上分離的結構，對教學區各無線接入點采用物理地址過濾，隱藏SSID等方式保障安全；生活區使用獨立成網的建設方式，可以使生活區網絡的安全性能大幅提高，提高了網絡的抗攻擊能力，保證核心業務的順利運行，并可以進行更加自由的設計，充分考慮網絡的后續建設。