校園無線網(wǎng)絡的設計與安全防范——以廈門技師學院為例

◆蔡加柳

校園網(wǎng)絡安全

校園無線網(wǎng)絡的設計與安全防范——以廈門技師學院為例

◆蔡加柳

（廈門技師學院 福建）

隨著移動終端的快速發(fā)展，無線移動網(wǎng)絡已經(jīng)成為國內的發(fā)展主流。社會在不斷發(fā)展，我國的校園信息化的建設工作也邁進了一個嶄新的階段。為了滿足校園不斷發(fā)展的需求，我院校園無線網(wǎng)絡的建設工作也在全面進行中。本文主要介紹了廈門技師學院無線校園網(wǎng)的現(xiàn)狀、建設的總體目標、無線網(wǎng)絡方案的設計及安全防范、無線網(wǎng)絡使用的效果等，為其他院校的無線校園網(wǎng)的建設與應用提供借鑒。

無線校園網(wǎng)；安全；設計

1 引言

近些年來隨著網(wǎng)絡信息時代的快速發(fā)展、信息技術水平日益提高，各行各業(yè)都采用了信息化管理，我院也逐步加快了信息化建設的進度，通過信息化更好地服務于辦公教學。伴隨著移動互聯(lián)網(wǎng)時代的到來，各類線上教學辦公業(yè)務蓬勃發(fā)展，師生對于校園無線網(wǎng)絡的迫切需求與日俱增，目前學院已經(jīng)建成較為完善的有線網(wǎng)絡。隨著移動終端數(shù)量的爆發(fā)式增長和無線互聯(lián)技術快速發(fā)展，新的技術手段對校園無線網(wǎng)絡建設提出了更高的要求。為了進一步提升校園網(wǎng)的信息服務質量，滿足師生各類移動辦公，學校擬統(tǒng)一規(guī)劃建設覆蓋全校的移動無線校園網(wǎng)。

2 無線校園網(wǎng)的現(xiàn)狀

目前我院的無線網(wǎng)絡主要覆蓋兩個區(qū)域，一部分是教學辦公區(qū)域主要由學院自建，采用無線AP對教學樓進行無線信號覆蓋；另一部分是學生宿舍區(qū)域主要由運營商建設部署，目前包含電信和移動。此外，食堂和室外空曠區(qū)域目前尚未全覆蓋無線網(wǎng)絡。

宿舍區(qū)域的無線網(wǎng)絡，由于多家運營商各自部署，缺乏合理的信道規(guī)劃，存在同頻干擾的問題，導致在無線網(wǎng)絡的使用過程中出現(xiàn)數(shù)據(jù)的沖突丟包，嚴重影響了師生的上網(wǎng)體驗。同時這些區(qū)域主要采用傳統(tǒng)802.11g的室分系統(tǒng)部署，設備的性能理論上僅有54Mbps，無法提供給師生一個高速的無線網(wǎng)絡環(huán)境，也不足以承載未來的各種無線應用。同時，宿舍區(qū)無線網(wǎng)絡由于是運營商自建自營，學院無法對網(wǎng)絡進行直接管控，無法監(jiān)管學生日常的無線上網(wǎng)行為和操作，存在安全隱患。

3 總體建設目標

當前我院已經(jīng)形成完善的校園有線網(wǎng)和部分區(qū)域的無線覆蓋。考慮到多業(yè)務特性的支持。在無線網(wǎng)絡上，除了提高部署時的合理規(guī)劃，提供802.11n的300M的高速接入以外，還需要考慮與有線網(wǎng)絡以及身份認證運維管理系統(tǒng)的有機的結合，實現(xiàn)有線無線一體化的無線校園網(wǎng)建設。

總體上，依據(jù)分階段分步實施的建設原則，學院將形成全校統(tǒng)一的有線網(wǎng)絡和無線網(wǎng)絡，有線校園網(wǎng)通過組播、IPV6、IPTV等下一代網(wǎng)絡技術承載起校內師生高速的互聯(lián)網(wǎng)訪問以及智慧校園應用交互，無線校園網(wǎng)通過高速的802.11n以及802.11ac等技術與有線網(wǎng)絡相輔相成，協(xié)同創(chuàng)新，實現(xiàn)校內實時的互聯(lián)網(wǎng)訪問，同時通過有線無線的一體化集中認證、集中管理，形成一套可靠、高速、安全可運營的基礎網(wǎng)絡。

4 廈門技師學院校園無線網(wǎng)絡設計

4.1 整體框架規(guī)劃設計

校園無線網(wǎng)絡的設計與實施是一個系統(tǒng)性工程，它涉及多個方面的設計細節(jié)和執(zhí)行要求。在基于經(jīng)濟性、實用性、先進性等原則下，整體框架設計上我們將校園網(wǎng)劃分為四個區(qū)域，分別包含有線網(wǎng)、無線網(wǎng)、出口區(qū)域以及數(shù)據(jù)中心區(qū)域。其中，有線網(wǎng)、出口區(qū)域、數(shù)據(jù)中心區(qū)域的架構基本保持不變，繼續(xù)沿用或升級現(xiàn)有網(wǎng)絡設備，無線網(wǎng)絡區(qū)域主要先由AC（無線控制器簡稱下同）統(tǒng)一管理控制AP（無線接入點簡稱下同），然后將AC設備匯聚到交換機再統(tǒng)一的接入學院的核心交換機上。

無線校園網(wǎng)的設計主要依據(jù)不同的應用場景進行設計，在教學樓、圖書館和行政辦公樓區(qū)域部署高性能的無線AP，以便提供更好的信號覆蓋。在學生較為集中且對帶寬要求更高的區(qū)域，確保每個房間一個AP接入點，以保證網(wǎng)絡使用的穩(wěn)定性。針對運動場、升旗廣場、室內體育館等空曠區(qū)域，采用室外雙路雙頻覆蓋的方式，滿足全院至少95%以上區(qū)域的覆蓋。方案建設中整體無線網(wǎng)絡部署采用“AC+瘦AP”的組網(wǎng)方式，將校園網(wǎng)中的無線AP通過無線AC進行集中控制，方便后期的管理維護。

4.2 AP的部署要求

（1）AP覆蓋信號設計

對于用戶數(shù)量接入較多較為集中區(qū)域的接入速率應不低于150Mbps，無線信號的強度不能低于-75dBm，信噪比要大于22。室外無線信號一般要求按能夠穿透一堵墻設計，天線的等效全向輻射功率要大于等于22 dBm。

（2）工作信道規(guī)劃

根據(jù)WLAN的國際規(guī)范和國際無線電管理委員會的標準，無線設備的工作頻段介于2400 MHz和2483.5MHz之間，最多有13個信道可用，每個頻道的帶寬為22 MHz。為了保證頻道之間互不干擾，相對獨立，在具有多個頻道的無線網(wǎng)絡環(huán)境中，要求兩個頻道的中心頻率間隔不能低于25 MHz，此外北美的設計標準中一般還規(guī)定12、13頻道不用，因此在本次的方案設計中我們選用1/6/11信道作為首選。

（3）無線部署方式

在無線AP的部署過程中由于學校內的建筑物分布不規(guī)則，建筑物結構也不盡相同，這對于實現(xiàn)無線信號全覆蓋提出了很大的挑戰(zhàn)。通過對現(xiàn)場環(huán)境的勘察，結合學院建筑進行功能區(qū)域的劃分，在AP部署的方式上我們主要分為以下三個方面來實施。

對于圖書館、校辦工廠、報告廳、教學樓、辦公樓、食堂等空間較大，用戶接入相對集中的區(qū)域，我們采用放裝方式。根據(jù)單位區(qū)域內的接入用戶數(shù)量，確定AP的接入數(shù)量和部署位置，確保該區(qū)域的信號覆蓋。

對于宿舍樓區(qū)域，由于房間較為密集且房間內墻體結構較堅固，房間內死角較多，如衛(wèi)生間陽臺等，且房間門都為鐵門，如果采用傳統(tǒng)方式部署會存在較多盲區(qū)，用戶體驗效果不好。為了確保信號覆蓋無盲區(qū)，我們在每間房間中部署1個面板式的AP。

對于運動廣場等相對空曠而且條件較為惡劣的區(qū)域，應當選用專用的室外大功率無線AP同時要求配置使用定向天線。這樣至少可以保證無線信號在無阻礙環(huán)境下的350米半徑覆蓋，對于障礙物較多的區(qū)域也有較好的穿透能力。

4.3 無線漫游設計

廈門技師學院無線網(wǎng)的設計既要滿足高速漫游、又要能夠實現(xiàn)智能漫游。首先關于高速漫游，本方案設計要求同一個AC管理下的AP之間和不同AC管理下的AP之間均能夠無縫快速漫游；從而保證無線客戶端從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍時，通信不會中斷，也不需要重新進行登錄驗證。其次關于智能漫游，本方案通過定義不同的漫游組，及其漫游范圍來實現(xiàn)。根據(jù)用戶的身份和級別劃定其是否可以漫游，是否能夠連接到相應的無線網(wǎng)絡的區(qū)域。通過設定訪客、學生、老師三種身份，針對不同身份設定不同的無線接入?yún)^(qū)域。例如，定義學生組不能在行政辦公區(qū)域接入無線，其他區(qū)域不做限制；訪客只能在行政辦公樓的會議室接入無線；教師組不做限制。

4.4 無線安全設計

（1）認證方式

基于“接入安全”的設計理念，本次無線網(wǎng)絡設計方案中采用了web認證的方式并通過AC與學院有線網(wǎng)絡中使用的RG-SAM認證系統(tǒng)相結合。當無線終端通過AP連接進入無線網(wǎng)絡時候，無線網(wǎng)絡中的控制器設備會先與SAM認證系統(tǒng)的網(wǎng)關進行對接，用portal的方式把用戶認證頁面推送給客戶端，同時將用戶認證所需要的密碼及用戶名上傳至無線AC，AC利用與SAM認證系統(tǒng)的對接取得認證用戶的相關信息。如果認證連接通過，AC將通知AP并允許用戶訪問對應的資源，無線客戶端通過瀏覽器就能夠完成認證，這樣不僅保證了無線接入用戶的合法性還能夠讓接入用戶簡單快速使用無線網(wǎng)絡，大大提升了用戶的體驗感。

（2）數(shù)據(jù)加密

在這次的無線網(wǎng)絡方案設計中，無線AP設備均支持TKIP、 AES、WEP等加密技術，我們選用TKIP、AES這些更為安全的加密方式為接入用戶提供完整的數(shù)據(jù)安全加密保障機制，保證無線網(wǎng)絡數(shù)據(jù)的傳輸安全。該方案中的無線接入點與無線控制器之間則通過CAPWAP加密隧道模式進行通信，從而保證了傳輸過程中的數(shù)據(jù)內容安全。

（3）射頻安全

本方案中要求選用產(chǎn)品的網(wǎng)絡管理系統(tǒng)還能夠與無線控制器配合，支持無線AP開啟射頻探針掃描，工作中能夠實時探測非法接入點、或其他射頻干擾源，并進行預警提示，這樣保證我們可以隨時監(jiān)控到各個無線區(qū)域的潛在威脅。

5 廈門技師學院無線網(wǎng)絡使用情況

目前廈門技師學院校園無線網(wǎng)絡服務于全院師生約5000人，截至2020年5月，最大同時接入終端數(shù)超過3500個，校園無線網(wǎng)絡的流量峰值超過3.5GBps。該無線網(wǎng)絡滿足了全院師生在各種場景下的用網(wǎng)需求。在教學行政辦公區(qū)域，師生可以在任意一間實訓室通過無線終端快速接入校園網(wǎng)，并訪問校園網(wǎng)資源。在宿舍區(qū)域，學生可以在無線網(wǎng)絡中訪問校內外網(wǎng)絡資源。另外訪客能夠在會議室接入無線校園網(wǎng)，并訪問外網(wǎng)資源。

6 結束語

校園無線網(wǎng)絡的建設是一個長期性任務，在這一過程中，我們要認真分析校園信息化的發(fā)展趨勢，秉持以人為本的建設理念，并且堅持對無線校園網(wǎng)及其安全防護設計的嚴謹態(tài)度，結合各個學校自身的實際情況進行統(tǒng)籌安排，這樣設計出來的無線校園網(wǎng)才能夠更好地服務于廣大師生，進而推動校園信息化建設長足發(fā)展。

[1]姜鴻斌.高校校園無線網(wǎng)絡建設探討——以安徽行政學院為例[J]. 合肥學院學報（綜合版），2019，36（2）：68-72.

[2]李緯.無線校園網(wǎng)的設計與優(yōu)化[J].電子技術與軟件工程，2017（6）：55-57.

[3]李健.無線校園網(wǎng)的設計與安全策略實施[J].網(wǎng)絡安全技術與應用，2018（2）：89-90.