高校校園無線局域網架構與網絡行為管理探究

郭韓英

（杭州輕工技師學院，浙江 杭州 310000）

1 在高校校園構建一個安全的無線局域網

伴隨著終身學習與泛在學習理念的廣泛傳播，教育日益趨向于高度的信息化，數字化學習如期而至，數字化校園應運而生，越來越多的學生與教職員工要求能夠隨時隨地地接收各種信息，從而達到提升自我的目標，因此，在高校校園里構建一個綠色安全的無線局域網是必需的，它具有廣闊的發展前景與空間。

1.1 無線局域網技術概述

1.1.1 無線局域網的概念

無線局域網絡（Wireless Local Area Networks，WLAN）是使用相當便利的數據傳輸系統。它是利用紅外線或射頻（Radio Frequency，RF）的技術，取代舊式礙手礙腳的雙絞銅線所構成的局域網絡，提供了在有限覆蓋區域內的無線連接，是以無線信道作傳輸媒介的計算機局域網，能利用簡單的存取架構讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。

無線局域網定位于有線網的延伸與重要補充，并逐漸成為計算機網絡中一個至關重要的組成部分，廣泛適用于需要可移動數據處理或無法進行物理傳輸介質布線的領域。

1.1.2 無線局域網的優點

無線局域網具有高度可移動性，安裝方便快捷，高可擴充性，易于擴展，支持快速增長的用戶需求，可靠性高。由于無線局域網具有多方面的優點，所以發展十分迅速。在最近幾年里，無線局域網已經在科研所、軍事場所、醫院、商店、工廠和學校等不適合網絡布線的場合得到了廣泛應用，逐漸滲透到眾多領域。

1.2 無線局域網的高校校園應用

1.2.1 實現高校校園的無線網絡覆蓋

（1）設計目標。利用高速寬帶無線網絡，把一座校園覆蓋起來，實現全方位立體式無處不在的寬帶通信網絡，使得任何人都可以很快地在任何時間任何地點學習任何內容。以某高校為例，在規劃設計中，始終秉承高效、穩定、安全為總體設計目標，建立了一個以有線網絡骨干為主、無線網絡接入為輔的復合型高校校園網絡。這樣就突破了有線網絡節點的限制、可以實現多人同時上網，大大地增加了校園網絡的信息點，方便在校師生獲取海量信息，進一步提升學校的信息化水平。

（2）應用范圍。學生的海量無縫資源學習；教師的專家型精細知識體系的獲取；學校規范化管理的支撐。

（3）方案設計。此例無線網絡的建立是完全基于現有網絡基礎，不會搭建新的網絡架構。無線依托有線。這里我們只考慮室內建筑。室外空曠場所主要依托3G蜂窩式無線通信網，利用的是手機、PDA等便攜式通信設備進行通信。

設計的某高校校園無線網絡拓撲如圖1所示。

圖1 無線網絡拓撲

①核心交換機中加載的無線控制器模塊，集無線安全技術、無線AP管理、完備的接入控制、用戶管理等功能。特別是對無線AP的集中管理配置，均衡各個AP流量。

②接入層交換機，各個大樓部署一定數量的接入層交換機，上連核心交換機，并做雙鏈路，防止單點故障。接入交換機下連AP。

③AP，即輕型AP也俗稱瘦AP。上連接入層交換機。在各個樓層科學地部署一定數量的AP，保證樓層任意位置信號良好，防止信號死角，以便用戶自由地游走而保持網絡通暢[1]。

1.2.2 無線集中組網實現

此例采用無線網絡拓撲類型中的基礎結構集中式或中心輻射式拓撲結構（HUB-Based）。在基礎結構拓撲中，固定（有線）基礎結構用來支持移動終端之間和移動終端與固定設備之間的通信。基礎結構網絡通常設計用于較大的無線覆蓋區域或使用多個基站或接入點的情況。在規劃與建設一個復合型校園網絡系統時，無線網絡接入技術作為有線網絡的補充手段，應該選擇基礎結構型拓撲結構作為主要選擇。無線組網示意如圖2所示。

圖2 無線組網示意

1.3 高校校園無線局域網絡的安全實現

（1）傳輸安全。

采取服務集標識（Service Set Identifier，SSID）非廣播方式。數據的加密，采用WPA或WPA2加密技術，不再使用WEP加密。

WPA優點在于：①使用了混合型臨時密鑰而不像WEP使用靜態永久密鑰。②采用每幀序列計數器（per frame sequence counters）。

（2）認證控制。

采用802.1x認證體系，802.1x是一種基于端口的認證協議，是一種對用戶進行認證的方法和策略。端口可以是一個物理端口，也可以是一個邏輯端口（如VLAN）。對于無線局域網來說，一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口保持“關閉”，即只允許802.1x的認證協議報文通過。

（3）接入安全。

采用IP+MAC+DHCP控制方式。

只有合法的MAC地址才能獲取與其對應的IP地址，從而接入網絡。非法MAC地址，將被拒絕為其提供IP地址，并阻止其接入網絡。

使用DHCP，計算機將自動聯系DHCP服務器并且取得適合的新子網的IP地址，使得客戶機在不同子網間移動時不需要重新設置IP地址。

（4）確保鏈路的保密與數據的完整性。防止未授權的用戶讀取或更改網絡上傳輸的數據。

（5）偵測和阻斷非法AP接入。

（6）監測和阻斷無線攻擊，防止攻擊占用某個接入點的所有帶寬，導致其他用戶的正當接入。

2 當前主流的網絡行為管理系統

網絡行為管理系統是一套架設在互聯網出口處，對局域網內所有計算機的網絡行為進行規范和調整的一套系統。

2.1 進行高校校園網絡行為管理的原因

（1）不分時段，不分區域，非業務流量肆無忌憚，嚴重占用了帶寬資源。師生利用校園的網絡資源，在寶貴的教學時間里從事網絡游戲、網上聊天、無效下載、網上購物等與學習無關的負效率網絡行為。這些都為師生自身的發展帶來無法估量的無形和有形的利益損失。

（2）高校公共機房、電子閱覽室等學習區域網吧化嚴重。

（3）數據庫資源超量下載。師生員工對網絡資源無節制濫用。

（4）上網出現“信息迷航”。師生不知道什么可以做，什么不可以做或者做什么，面對電腦上鋪天蓋地的海量信息無所適從。

（5）師生不良的網上行為。如誤操作，大量現成的網絡鏈接指向各種工具，只要輕點一下鼠標，在一瞬間就可以下載具有毀滅性的攻擊工具；或是惡意行為，對于尋找網絡系統中的脆弱點都有相同的興趣，為了滿足好奇心的驅使進行網絡攻擊。

（6）師生員工對Web內容無法正確有效地識別，遭受網絡欺詐和煩人軟件的侵擾。如一些惡意的灰色軟件（間諜軟件、廣告軟件、垃圾郵件、流氓軟件）和一些黑色軟件所帶來的不良信息（如色情、暴力和一些反動信息）廣泛傳播，為師生員工的身心帶來嚴重不良的影響。

（7）師生員工不受控制的網絡訪問行為。訪問黃色、非法站點，散布非法言論等。無人監管，往往在發生不良后果后才追悔莫及。發現問題后無法跟蹤到具體的個人。

（8）常規的病毒問題，網絡病毒泛濫并迅速蔓延。

2.2 當前主流網絡行為管理系統

目前市面上有眾多的網絡行為管理系統，都頗具特色，如表1所示。

從表1我們可以看出，總的來說，網絡行為管理系統都比較關注“網頁過濾”“應用控制”“帶寬管理”“內容審計”這四大核心功能的構建。

目前上網行為管理產品技術層面主要分為協議識別、管理控制、報表分析。

網絡行為管理技術發展主要集中在以下4個特性：（1）上網內容過濾的準確性，特別是URL地址庫的及時更新完善。（2）針對不斷涌現的應用協議識別的完備性，如P2P，IM，音視頻，網游等。（3）信息保密性。防止重要信息通過郵件，IM，BBS，FTP等方式泄露出去。（4）網絡硬件平臺的增強型，通過不斷增強上網行為管理的網絡硬件平臺來保證其性能提升。

網絡行為管理針對的是人與人以及人與網絡間的交互。人是一個不斷發展變化的個體，這就決定了網絡行為管理的建設也必須是一個動態、持續、全方位的過程。通過研究目前的一些網絡行為管理產品，個人認為其發展趨勢主要有以下幾點：（1）產品的功能更加的完善。多維度的功能實現全方位的網絡行為管理。（2）不斷地自適應網絡的發展需求，跟隨網絡的發展而發展。（3）產品自身的安全性能越來越高。（4）網絡行為管理設計思路超前于網絡用戶，積極引導并規范網絡用戶上網行為。（5）協同防火墻、殺毒軟件共同完成網絡過濾凈化，提供安全穩定的網絡環境[2]。

表1 目前市面上的網絡行為管理系統

3 某高校校園無線局域網網絡行為管理系統的框架

3.1 提出一套網絡行為管理理念

網絡行為，根植于人，故網絡行為管理一切要以人為本，把尊重放在第一位，繼而把無效的網絡行為和有害行為降低到最低限度，最終帶來網絡的利益最大化。我們必須通過有效的技術手段來對網絡的應用行為加以規范管理，對網絡進行合理的利用。

網絡行為管理系統是人、技術、規章制度的完美結合。它是一種特殊的行政管理的輔助手段。

3.1.1 目的

實現某高校校園嚴格的網絡管理，保證其安全、個性化、實時化。網絡行為管理與高校其他日常業務運作融為一體，互為支持。以期達到讓全體師生員工能夠不再依賴支架，能夠不斷地主動獨立學習，從而成為一個個自我監控學習者，促進個性和社會性的發展。

3.1.2 策略

制定相應的合理策略。針對不同區域不同用戶不同部門制定相應合適的策略，滿足個性化和人性化的需要。在充分給予個人網絡行為自由的情況下進行不同程度的相應規范和約束，安全高效地完成個人價值的提升。

3.1.3 實現功能

進行網絡行為管理，網絡監視和網絡控制是兩個重要方面。

（1）網絡流量監控。針對不同區域實現不同的上網流量控制；P2P等非業務性應用的限制；帶寬管理。從而對網絡效能進行有效的統計、分析和評估。

（2）網絡行為監控。嚴格對不同用戶的網絡行為進行規范管理，主動關注人的網絡行為。

（3）網絡安全審計。能夠對用戶的上網行為內容進行安全的審計，紀錄用戶網絡行為數據，過濾用戶網絡行為數據，分析用戶網絡行為，從而能夠進行事后追蹤查詢，如有違規則警懾。

（4）針對所有群體實現用戶有效身份認證和上網權限、責任的管理。

（5）具有良好的可擴充性，能夠滿足學校網絡的不斷發展需求。

（6）自身相應速度合理，安全性高，網絡運行穩定。

（7）能夠進行有害信息的過濾，進行URL過濾、協議過濾等。

（8）上網時間段控制，如上課工作時間，只允許訪問相關網絡，其他時間開放所有網絡資源，提高有限資源利用率。

（9）報表自動生成，根據用戶需求，自動生成對流量統計報表、監視報表等。

（10）端口級別的控制，進行嚴格的UDP/TCP整個網段的全系列端口級別的控制。

（11）協議級別的控制，針對網絡協議進行過濾控制。（12）倡導并輔助網絡用戶，如何安全使用網絡獲取知識，避免誤入歧途、害人害己。

（13）協同防火墻、殺毒軟件。病毒非法網站是網絡毒瘤，變異速度快，通過聯動，第一時間發現并上報，協同解決，最快速度的“斬殺”毒瘤。

3.2 某高校校園無線局域網網絡行為管理系統模型的建立

本文從教育心理學的角度出發，構架了某高校校園無線局域網網絡行為管理流程模型。網絡行為管理系統立足于人，以人為本，實現人的行為監控和管理，促進人的發展。

校園，首先與之息息相關的是學習。何謂學習，指的是由經驗引起知識和行為上的持久性變化的過程。那么，學生的學習，教師的授課，其他員工的工作都屬于校園學習的范疇。既然是變化，那么就有好的，也有不好的；有自覺的，也有不自覺的。本例趨向于由于人與校園無線網絡環境的相互作用，導致行動產生改變，從而產生蝴蝶效應。

學習的過程中，做為個體的人，首先必須具備足夠的知識，每個個體需要了解自我特征、自我學習的最佳方法、學習對象、學習任務、學習策略以及所需應用條件等，對自我的認知風格、學習風格、智力等有深入的了解。然后就可以擁有學習的動力了，具備相應的動機，從而確定具有強烈激勵性的目標，一切準備就緒后就可以憑借自我意識自由行動了，我們這里指的是無線局域網網絡行為。這是整個模型的核心部分，我們加入網絡行為管理軟件或是硬件，在知曉嚴格的規章制度的前提下，利用先進的技術手段，對網絡用戶的行為進行管理，一切都必須由人掌握和實施。主要有網絡監控和網絡審計兩部分。實時進行網絡監控，對用戶進行管理，如身份信息認證、安全認證、基于角色的動態授權、準入控制認證、用戶有效身份認證、上網權限管理、訪問策略管理等。我們需要對網絡行為的規范與內容安全審計過濾，進行上網行為審計和網絡訪問行為審計。生成用戶上網行為的日志，從而進行報表分析。違規警惕，滿足追蹤查詢需求。審計主要分為數據紀錄、數據挖掘、數據分析、反饋4個步驟。根據反饋的信息，個人進行行為的反思，看看到底什么是合適的，什么是不合適的，哪些是重要的，哪些是次要的，從而形成全新的個人自我意圖，這個意圖又反過來會影響下一次的網絡行為。個人不斷調整自我的網絡行為，不斷發展自身素質，不斷自我約束，最后成功地成為一個自我監控學習者，達到終極目的。網絡行為流程如圖3所示。

進行網絡行為管理，首先要加強網絡行為的規范化教育，提高整體的自我控制思想意識。根據網絡資源用戶的職責，對不同用戶授予不同權限，分開制定用戶應該承擔的責任。加強內部管理，有相應文檔紀錄，日志文件分析系統，建立審計和追蹤系統。

圖3 網絡行為流程

網絡的結構是多維的，但是網絡本身的管理卻是平面的。對網絡用戶的行為進行管理，是由人來掌控的。總體結構如圖4所示，整個的系統都是人與人之間的一個交互過程，網絡用戶通過行為數據庫讓網絡管理員知曉管理方面的眾多信息，網絡管理員通過分析數據庫里的數據能夠對網絡用戶的行為進行監控管理。最終達到行為的規范與和諧。系統需要管理控制臺、數據存儲中心、數據處理器等部分。

圖4 總體結構

深入了解了學習的整個流程和總體的結構，我們可以更加方便地實現校園無線局域網網絡行為管理，以期達到整個高校校園的安全、綠色、和諧，促進所有師生員工的整體發展。

[1]吳金龍，洪家軍.網絡安全[M].北京：高等教育出版社，2009.

[2]阿妮塔·伍德沃克.教育心理學[M].陳紅兵，譯.南京：江蘇教育出版社，2005.