面向移動學習的醫學院校無線校園網設計

文 /韋磊 寧玉文 劉健 高東懷

隨著信息技術在各行各業的普及應用[1]，無線校園網絡已成為提升教學環境品質、提高教育資源利用率、增加教育靈活性的重要方式[2]。方便、快捷的移動學習（M-learning）已成為獲取教育信息、教育資源和教育服務的一種新型學習形式[3]。相比于傳統教育，移動學習打破了時間、地點的局限性，極大滿足了學習者的個性化學習需求。然而建設無線網絡，不但要解決與現有有線網絡的認證、計費和管理方式的對接，而且需要考慮無線網絡的安全問題。本文以第四軍醫大學無線網絡部署為例，從需求分析、網絡部署到安全管理，建成了一套高性能、易運維、安全可靠的網絡系統，與現有有線網絡實現了一體化管理。

醫學院校無線網絡建設需求分析

與傳統有線網絡對比，無線網絡具有搭建快速、布線靈活等特點[4]。建設無線網絡系統不僅需要考慮當前校園用戶需求，還要考慮學校長遠發展需求[5]。無線網絡應滿足用戶隨時隨地訪問網絡的需求，更好地為學校教學、醫療和科研服務。

醫學學校移動設備增多

近年來，越來越多的人隨身攜帶手機、筆記本等移動終端[6]。在各大醫學院校里，手機更是師生必備的日常工具之一。無線網絡可以使得用戶持有移動設備在教室、辦公室、圖書館等場所自由移動并與網絡保持持續連接，滿足隨時隨地上網的需求。

滿足醫學院校移動學習

隨著翻轉課堂、MOOC等教學新模式的出現，使用移動終端進行學習已經成為各醫學院校學生提升個人能力的重要途徑[7]。出于安全需要，學校嚴禁任何人通過無線路由器、私設代理等方式架設無線局域網，這極大限制了新興教育模式的推廣。無線網絡建成后，學生可以通過移動終端實現無處不在的泛在學習[8]；教師也可及時了解國際國內最新的教學模式方法，提升課堂教學質量。

彌補有線網絡的不足

由于有線網絡靈活性不足，在前期規劃無線網絡時要預設大量利用率較低的接入點，造成資源浪費。作為有線網絡的補充，無線網絡不但架設簡單、管理方便，而且可以提升網絡的覆蓋面，滿足不同人員上網需要。

圖1 學校網絡拓撲

網絡基本結構與安裝部署方案

經過幾年的建設，學校已建成一套覆蓋全校的有線校園網絡，通過網絡扁平化改造解決了用戶私接路由器的問題，提高了學校整體信息安全管控能力，但這也導致用戶接入網絡的渠道較為單一。本章從學校現網結構開始，詳細介紹了無線網絡建設的過程。

學校現網結構

學校校園網絡分為辦公區、家屬區和學生區3個主要區域，如圖1所示。其中辦公區使用IPoE方式認證，家屬區使用PPPOE認證方式，兩個區域的網關均為華為ME60。學生區使用802.1X認證。

校園WLAN部署

無線AP（接入點）通常分為胖AP和瘦AP。胖AP自帶完整的操作系統，除了擁有無線接入功能外，還同時具備WAN、LAN端口，可獨立工作；瘦AP僅提供一個有線、無線信號轉換和信號接收、發射的功能，配合AC（無線控制器）才能成為一個完整的系統。

學校無線網絡建設采用“瘦AP+AC”的部署模式。為了減少對現有網絡的改動，將AC旁掛于匯聚交換機上，并部署2臺做冗余備份。采用本地轉發模式，用戶數據報文直接通過AP進行處理，無需經過AC。AP放置在目標覆蓋位置，通過接入交換機POE供電。根據不同的使用場景，分別部署面板式AP、室內放裝型AP，如圖2所示。

無線AP部署

圖2 校園WLAN部署

無線網絡設計的主要指標是網絡的覆蓋面積和系統容量[9]，在滿足用戶需求的前提下，最大限度減少AP數目。學校無線建設區域主要有教室、圖書館和學生宿舍三類，對無線網絡的需求各不相同。下面對這三類場景下AP的部署進行說明。

1.教室

教室內的無線覆蓋主要是滿足學生和教師的上網需求，并發率較低，帶寬需求小于2M，屬于半開放式的室內環境，每間教室可容納100人左右。其覆蓋需求為：

滿足學生單用戶的下行容量2M，上行容量1M；

滿足教師單用戶的下行容量2M，上行容量1M；

整體環境要求普遍覆蓋，用戶密度低。

教室的無線終端主要為筆記本，WiFi模式主要為11g/n/ac。終端多支持5.8G，在該場景下選用放裝型、11ac設備。如圖3所示，在每間教室天花板上安裝5個AP（前后各2個，中間1個）。

圖3 教室AP部署

2.圖書館

圖書館無線覆蓋主要是為了滿足校內師生在圖書館內登錄學校網站的需求，帶寬需求小于2M，屬于半開放式的室內環境，嵌套多個子空間環境，包含高密度室內場景（閱覽室）和流動性室內場景（圖書館大廳）。其覆蓋需求為：

提供穩定、流暢的網絡速率，保證師生通過個人終端能正常登錄學校網站；

圖書館大廳流動性較強，主要上網需求為查詢書籍信息，閱讀公告等；

圖書館每間閱覽室設置50～60個固定座位，上網并發率80%。

圖4 圖書館AP部署

圖5 學生宿舍AP部署

圖書館終端主要為筆記本、PAD，WiFi網卡模式主要為11g/n/ac。在該高密度場景下選用放裝型、11ac設備。如圖4所示，在每間閱覽室天花板上均勻安裝5個AP，閱覽室之間的大廳天花板安裝1個AP。

3.學生宿舍

學生宿舍的無線覆蓋主要滿足學生日常上網學習需求，上網高峰期相對集中，并發率較高，宿舍間緊密相臨，每間宿舍可容納6至8人，每人帶寬約2M左右。其覆蓋需求為：

滿足60%學生同時上網需求，學生的上網業務主要有：瀏覽網頁、觀看視頻、下載資料等；

信號覆蓋95%以上的區域，接收信號電平≥-75dBm。

學生使用的多為筆記本電腦、PAD、手機等上網設備，WiFi模式主要是11n模式，少量11ac模式。在該場景下選用面板型、11ac設備。如圖5所示，每個AP負責所在宿舍、左右兩間宿舍及過道內的無線信號覆蓋。

無線認證系統部署

與有線網絡一樣，需要對無線上網用戶進行接入認證。傳統的802.1X認證需要在終端安裝客戶端軟件，會產生各種兼容性問題，后續維護工作量極大。通過對比兩種認證方式（如表1），將學生接入區從802.1X改造為IPoE認證，并且從SAM遷移到第三方認證。

在學生區認證方式改造之前，首先需要將認證網關從原有的交換機遷移到華為M E60上，實現全校認證管理的統一。

圖2中，AC旁掛于匯聚交換機上，在網絡內的作用主要為管理AP，不對用戶業務報文進行處理，這樣可以最大限度利用AC的性能，認證和轉發在ME60上處理。具體如下：

AP與AC確保三層路由可達，AP和AC建立Capwap（無線接入點的控制和配置協議）隧道，實現AC對AP的管理。

AP選擇本地轉發模式，對于無線終端上行報文進行SSID到VLAN的變換，每個SSID對應一個VLAN。在匯聚交換機上添加外層VLAN。

ME60作為網關，終結QinQ兩層VLAN。無線認證通過后給用戶分配IP地址，Portal認證通過后才能訪問外網業務。

無線用戶在AP和接入PoE交換機上均實現二層隔離，互訪流量經過ME60。

用戶如果移動到無線網絡覆蓋盲區會導致連接中斷，在重新回到覆蓋區后將重新連接，在認證的基礎上實現無感知認證。

有線認證方式改造

為實現有線、無線網絡的統一管理，需要將兩套網絡的認證管理進行統一。為此，將網絡的認證網關遷移到ME60上，實現一體化的IPoE認證。具體如下：

接入交換機配置用戶VLAN，全校所有接入交換機VLAN統一配置。匯聚交換機根據接入端口添加外層VLAN，并透傳到ME60，由ME60終結QinQ報文。實現用戶終端的安全隔離。

表1 兩種認證方式對比

ME60作為用戶網關，IPoE用戶上線到ME60轉DHCP服務器給用戶分配雙棧IP地址，用戶的第一個HTTP報文重定向到Portal服務器，實現WEB認證。

有線用戶基于樓宇交換機VLAN，樓宇互訪通過樓棟交換機同VLAN互訪，跨樓宇和區域互訪經過ME60轉發。

校園無線網絡安全管理

無線網的信號是在開放空間中傳送的，接入也更加靈活[10]。在部署WLAN保證用戶體驗的同時，要重點考慮可能存在的安全問題[11]。無線網絡安全問題分為空口安全、用戶安全和終端安全。

空口安全

空口即終端和基站之間的接口，主要包含Rouge設備、惡意攻擊和空口竊聽三個方面。

1.Rogue設備及應對措施

高校中可能出現的Rogue設備包括Rogue AP，Rogue Client，Ad-hoc等設備，對這些非法設備的安全防護措施包括：AP設置在混合模式，通過監聽報文搜集無線設備，并把這些信息上報給AC，AC根據一定的規則檢測到Rogue設備后，AP從AC下載攻擊列表，使用Rogue設備的MAC地址發送假的廣播解除認證幀來對Rogue AP設備進行反制。

2.惡意攻擊及應對措施

當某個惡意用戶發送大量的“連接請求報文”時，AP會將這些報文轉發到AC上，AC通知AP將來自該用戶的報文丟棄；如果用戶發來的報文使用了WEP加密算法，啟動IV檢測，AC根據IV的安全性策略判斷是否存在Weak IV攻擊；如果攻擊者以其他設備的名義發送攻擊報文，AC接收到這種報文時將認定是欺騙攻擊，并阻止該攻擊者。

3.空口竊聽及應對措施

空口竊聽往往是學校中一些充滿好奇心的學生們經常嘗試破解的點，需要對AP傳輸的數據加密。常用的空口加密方式有WEP、WPA/WPA2、WAPI等，在實際網絡部署中，空口加密和用戶認證一起考慮。

用戶安全

用戶安全分為合法用戶非法訪問其范圍以外的資源和非法用戶接入網絡兩部分內容。

1.非法訪問及應對措施

學校為不同用戶群劃分不同的SSID，授予不同訪問權限。用戶訪問授權采用遠端授權的方式，WLAN用戶認證成功后，Radius服務器下發用戶分組，通過用戶分組和ACL規則的關聯，對每類用戶進行ACL授權信息控制；訪客用戶采用集中轉發方式，內部用戶采用本地轉發方式。

2.非法用戶及應對措施

WLAN支持多種接入認證技術，其中比較典型的有MAC認證、Portal認證、802.1x認證和IPoE認證。通過對接入用戶的身份進行認證，有效防止非法用戶接入。

終端安全

實現終端安全接入互聯網，需要解決兩個方面的問題：第一是終端用戶身份確認，第二是終端用戶安全使用終端的控制。為了保證這兩個方面安全，首先必須保證注冊用戶信息真實可靠，其次對于終端安全接入網絡必須強制使用客戶端軟件。

總結

本文通過對面向移動學習的醫學院校無線網絡方案進行設計研究，結合第四軍醫大學的特殊性，詳細介紹了在無線網絡建設中的需求分析、網絡部署和安全管理等問題。在醫學院校組建無線網絡促進教育教學發展的過程中，需要根據學校的實際情況，充分考慮有線無線網絡一體化運維，確保校園無線網絡系統的穩定性和安全性，促進校園的信息化建設。