關(guān)于無線校園網(wǎng)絡的構(gòu)建與應用防護

1、論文摘要:隨著無線網(wǎng)絡技術(shù)的發(fā)展與校園信息化水平的提高,基于WLAN的無線校園網(wǎng)絡構(gòu)建技術(shù)已成趨勢,成為有線校園網(wǎng)網(wǎng)絡延伸的重要手段之一。該文對無線局域網(wǎng)的優(yōu)點和有線校園網(wǎng)中存在問題進行研究分析,提出校園網(wǎng)中使用無線局域網(wǎng)的必要性,探討無線局域網(wǎng)在校園網(wǎng)建設(shè)中的解決方案。 論文關(guān)鍵詞:無線局域網(wǎng);校園網(wǎng);IEEE802.11;AP;子網(wǎng)設(shè)計 隨著網(wǎng)絡應用日益豐富,傳統(tǒng)局域網(wǎng)絡已經(jīng)不能滿足師生對移動網(wǎng)絡的要求,無線局域網(wǎng)作為有線網(wǎng)絡的補充手段,被更多的師生所認同和接受。眾多師生開始在無線局域網(wǎng)中開展各種應用業(yè)務,教學、科研、管理、生活正在悄悄地改變。雖然如今無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡,但近

2、年來,隨著無線局域網(wǎng)技術(shù)業(yè)趨向成熟,無線局域網(wǎng)與有線網(wǎng)絡的無縫連接,無線局域網(wǎng)正在以它的較高傳輸能力和很好的靈活性在高校各項應用中發(fā)揮日益重要的作用。 近幾年來，有線網(wǎng)絡建設(shè)、運行和維護的實踐表明，由于目前網(wǎng)絡是“有線”的，所以在應用中有相當多的問題不可避免。諸如，很多學校只在部分區(qū)域接入網(wǎng)絡，而無法顧及所有區(qū)域;那么，在不宜進行網(wǎng)絡布線的場館該如何聯(lián)網(wǎng)呢?在教室、實驗室等場合如何突破網(wǎng)絡節(jié)點限制，實現(xiàn)多人同時上網(wǎng)呢?這些傳統(tǒng)有線校園網(wǎng)的“網(wǎng)絡盲點”問題，與教員、學員“隨時隨地獲取信息”的新需求之間的矛盾如今將可以通過無線技術(shù)輕松解決。1 無線局域網(wǎng)基礎(chǔ)知識與架構(gòu) 1.1 無線局域網(wǎng) 無線局域

3、網(wǎng)(Wireless Local Area Network,WLAN)是指以無線信道作為傳輸媒介的計算機局域網(wǎng)絡,是計算機網(wǎng)絡與無線通信技術(shù)相結(jié)合的產(chǎn)物,它以無線多址信道作為傳輸媒介,提供傳統(tǒng)有線局域網(wǎng)的功能,能夠使用戶真正實現(xiàn)隨時、隨地、隨意的寬帶網(wǎng)絡接入。 1.2 無線局域網(wǎng)的技術(shù)標準 無線局域網(wǎng)是利用射頻技術(shù)實現(xiàn)無線通信的局域網(wǎng)絡。該技術(shù)產(chǎn)生于20世紀80年代,WLAN主要是作為傳統(tǒng)布線LAN的延展和替代,它能支持較高數(shù)據(jù)速率(1300Mbit/s)、采用微蜂窩、微微蜂窩結(jié)構(gòu)的,自主管理的計算機局部網(wǎng)絡。還可以采用無線電或紅外線作為傳輸媒質(zhì),采用擴展頻譜技術(shù),移動的終端可通過無線接人點來

4、實現(xiàn)對Internet的訪問。無線局域網(wǎng)有以下常用標準: 1)IEEE802.11b 802.11b(通常又稱Wireless Fidelity,WI-FI),是現(xiàn)在最普及的無線標準之一。設(shè)備工作在2.4GHz的范圍內(nèi),帶寬可以達到11Mbps。 2)IEEE802.11a 802.11a標準是一個獲得正式批準的無線以太網(wǎng)標準。它工作在5GHz頻段上,使用正交頻分復用技術(shù),將5GHz分為多個重疊的頻率,在每個子信道上進行窄帶調(diào)制和傳輸,以減少信道之間的相互干擾,使帶寬可以達到54Mbps。 3)IEEE802.11g 802.11g是一種混合標準,能向下兼容傳統(tǒng)的802.11b標準。IEEE8

5、02.11g的54Mbps高數(shù)據(jù)吞吐量比802.11b快出5倍,將改善已有的應用性能,使高帶寬數(shù)據(jù)應用成為可能。802.11g產(chǎn)品可以在同一個網(wǎng)絡中與802.11b產(chǎn)品結(jié)合使用。 4)IEEE802.11n IEEE802.11n將WLAN的傳輸速率從802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可達320Mbps。與以往的802.11標準不同,802.11n協(xié)議為雙頻工作模式(包含2.4GHz和5GHz兩個工作頻段)。這樣11n保障了以往的802.11a、b、g標準兼容。另外,天線技術(shù)及傳輸技術(shù)使無線局域網(wǎng)的傳輸距離大大增加,可以達到幾公里(并且能夠保障100

6、Mbps的傳輸速度)。 1.3無線局域網(wǎng)的分類1）  簡單的家庭無線LAN：在家庭無線局域網(wǎng)最通用和最便宜的例子，一臺設(shè)備作為防火墻，路由器，交換機和無線接入點。這些無線路由器可以提供廣泛的功能，例如：保護家庭網(wǎng)絡遠離外界的入侵。允許共享一個ISP（Internet服務提供商）的單一IP地址?？蔀?臺計算機提供有線以太網(wǎng)服務，但是也可以和另一個以太網(wǎng)交換機或集線器進行擴展。為多個無線計算機作一個無線接入點。通?；灸K提供2.4GHz802.11b/g操作的Wi-Fi，而更高端模塊將提供雙波段Wi-Fi或高速MIMO性能。雙波段接入點提供2.4GHz802.11b/g和5.

7、3GHz802.11a性能，而MIMO接入點在2.4GHz范圍中可使用多個射頻以提高性能。雙波段接入點本質(zhì)上是兩個接入點為一體并可以同時提供兩個非干擾頻率，而更新的MIMO設(shè)備在2.4GHz范圍或更高的范圍提高了速度。2.4GHz范圍經(jīng)常擁擠不堪而且由于成本問題，廠商避開了雙波段MIMO設(shè)備。雙波段設(shè)備不具有最高性能或范圍，但是允許你在相對不那么擁擠的5.3GHz范圍操作，并且如果兩個設(shè)備在不同的波段，允許它們同時全速操作。家庭網(wǎng)絡中的例子并不常見。該拓撲費用更高但是提供了更強的靈活性。路由器和無線設(shè)備可能不提供高級用戶希望的所有特性。在這個配置中，此類接入點的費用可能會超過一個相當?shù)穆酚善骱?/p>

8、AP一體機的價格，歸因于市場中這種產(chǎn)品較少，因為多數(shù)人喜歡組合功能。一些人需要更高的終端路由器和交換機，因為這些設(shè)備具有諸如帶寬控制，千兆以太網(wǎng)這樣的特性，以及具有允許他們擁有需要靈活性的標準設(shè)計。2）中型無線局域網(wǎng)：中等規(guī)模的企業(yè)傳統(tǒng)上使用一個簡單的設(shè)計，他們簡單地向所有需要無線覆蓋的設(shè)施提供多個接入點。這個特殊的方法可能是最通用的，因為它入口成本低，盡管一旦接入點的數(shù)量超過一定限度它就變得難以管理。大多數(shù)這類無線局域網(wǎng)允許你在接入點之間漫游，因為它們配置在相同的以太子網(wǎng)和SSID中。從管理的角度看，每個接入點以及連接到它的接口都被分開管理。在更高級的支持多個虛擬SSID的操作中，VLAN通

9、道被用來連接訪問點到多個子網(wǎng)，但需要以太網(wǎng)連接具有可管理的交換端口。這種情況中的交換機需要進行配置，以在單一端口上支持多個VLAN。盡管使用一個模板配置多個接入點是可能的，但是當固件和配置需要進行升級時，管理大量的接入點仍會變得困難。從安全的角度來看，每個接入點必須被配置為能夠處理其自己的接入控制和認證。RADIUS服務器將這項任務變得更輕松，因為接入點可以將訪問控制和認證委派給中心化的RADIUS服務器，這些服務器可以輪流和諸如Windows活動目錄這樣的中央用戶數(shù)據(jù)庫進行連接。但是即使如此，仍需要在每個接入點和每個RADIUS服務器之間建立一個RADIUS關(guān)聯(lián)，如果接入點的數(shù)量很多會變得很

10、復雜。3）大型可交換無線局域網(wǎng)：交換無線局域網(wǎng)是無線連網(wǎng)最新的進展，簡化的接入點通過幾個中心化的無線控制器進行控制。數(shù)據(jù)通過Cisco，ArubaNetworks，Symbol和TrapezeNetworks這樣的制造商的中心化無線控制器進行傳輸和管理。這種情況下的接入點具有更簡單的設(shè)計，用來簡化復雜的操作系統(tǒng)，而且更復雜的邏輯被嵌入在無線控制器中。接入點通常沒有物理連接到無線控制器，但是它們邏輯上通過無線控制器交換和路由。要支持多個VLAN，數(shù)據(jù)以某種形式被封裝在隧道中，所以即使設(shè)備處在不同的子網(wǎng)中，但從接入點到無線控制器有一個直接的邏輯連接。   從管理的角度來看，管理

11、員只需要管理可以輪流控制數(shù)百接入點的無線局域網(wǎng)控制器。這些接入點可以使用某些自定義的DHCP屬性以判斷無線控制器在哪里，并且自動連結(jié)到它成為控制器的一個擴充。這極大地改善了交換無線局域網(wǎng)的可伸縮性，因為額外接入點本質(zhì)上是即插即用的。要支持多個VLAN，接入點不再在它連接的交換機上需要一個特殊的VLAN隧道端口，并且可以使用任何交換機甚至易于管理的集線器上的任何老式接入端口。VLAN數(shù)據(jù)被封裝并發(fā)送到中央無線控制器，它處理到核心網(wǎng)絡交換機的單一高速多VLAN連接。安全管理也被加固了，因為所有訪問控制和認證在中心化控制器進行處理，而不是在每個接入點。只有中心化無線控制器需要連接到RADIUS服務器

12、，這些服務器在圖6顯示的例子中輪流連接到活動目錄。2 校園無線網(wǎng)絡應用與優(yōu)勢 無線局域網(wǎng)絡應用：大樓之間：大樓之間建構(gòu)網(wǎng)絡的連結(jié)，取代專線，簡單又便宜。餐飲及零售：餐飲服務業(yè)可使用無線局域網(wǎng)絡產(chǎn)品，直接從餐桌即可輸入并傳送客人點菜內(nèi)容至廚房、柜臺。零售商促銷時，可使用無線局域網(wǎng)絡產(chǎn)品設(shè)置臨時收銀柜臺。醫(yī)療：使用附無線局域網(wǎng)絡產(chǎn)品的手提式計算機取得實時信息，醫(yī)護人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等，而提升對傷患照顧的品質(zhì)。企業(yè)：當企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡產(chǎn)品時，不管他們在辦公室的任何一個角落，有無線局域網(wǎng)絡產(chǎn)品，就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡瀏覽。

13、倉儲管理：一般倉儲人員的盤點事宜，透過無線網(wǎng)絡的應用，能立即將最新的資料輸入計算機倉儲系統(tǒng)。貨柜集散場：一般貨柜集散場的橋式起重車，可于調(diào)動貨柜時，將實時信息傳回office，以利相關(guān)作業(yè)之逐行。監(jiān)視系統(tǒng)：一般位于遠方且需受監(jiān)控現(xiàn)場之場所，由于布線之困難，可藉由無線網(wǎng)絡將遠方之影像傳回主控站。展示會場：諸如一般的電子展，計算機展，由于網(wǎng)絡需求極高，而且布線又會讓會場顯得凌亂，因此若能使用無線網(wǎng)絡，則是再好不過的選擇。無線局域網(wǎng)以其靈活布設(shè)、高帶寬和無線接人的優(yōu)勢,可以突破有線網(wǎng)絡節(jié)點限制、實現(xiàn)多人同時上網(wǎng)的問題,大大地增加了校園網(wǎng)絡信息點,方便在校師生獲取信息,進一步提升學校的信息化水平。 2

14、.1 無線局域網(wǎng)的優(yōu)點 1）全覆蓋:以高速無線的方式覆蓋整個校園，主要包括教學樓辦公室、禮堂、公寓、圖書館、廊道綠地等，強大的無縫漫游功能，確保了網(wǎng)絡通信的流暢性，讓學校師生隨時隨地可以接人網(wǎng)絡，享受無線校園帶來的樂趣。 2）可管理:由于校園有線網(wǎng)絡已經(jīng)建成，統(tǒng)一的網(wǎng)絡管理已經(jīng)投人使用，本次建成的無線網(wǎng)絡，將可以很好的融合進現(xiàn)有校園管理系統(tǒng)中，便于統(tǒng)一管理和維護。   3）可擴充性:在校園網(wǎng)絡規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡可滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下，平滑實現(xiàn)升級和擴充，降低原有網(wǎng)絡的硬件投資，并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。    4）多種服務的

15、支持:基于校園級網(wǎng)絡的未來可持續(xù)發(fā)展，采用的無線產(chǎn)品均具備可適應未來發(fā)展校園級無線寬帶應用(如無線語音應用、無1) 安裝維護方便無線局域網(wǎng)的安裝簡單,無需破墻、掘地、穿線架管,這樣避免對建筑物及周邊環(huán)境影響,減少網(wǎng)絡布線工作量,一般只要安裝一個或多個接入點AP設(shè)備,就可建成覆蓋整個建筑或地區(qū)的局域網(wǎng)絡。一旦發(fā)生事故,不必尋找損壞路線,只要檢查信號發(fā)送端與接收端的信號是否正常即可。 5)移動性強,便于教學 無線校園網(wǎng)的顯著特點就是移動性強。用戶可以在教室、辦公室、實驗室、圖書館之間自由移動并始終與網(wǎng)絡連通。通過無線網(wǎng)絡全校師生可以在學校任何地方很方便地連入校園網(wǎng),方便地進行學習、工作。同時,無線

16、局域網(wǎng)不僅支持移動終端之間的通信,還允許無線設(shè)備接入有線網(wǎng)絡。 6)組網(wǎng)靈活,投資收效快 相對于有線網(wǎng)絡,無線局域網(wǎng)的安裝工作非常簡單,它無需施工許可證,不需要布線或開挖溝槽,它的組建、配置和維護較為容易。同時,無線網(wǎng)絡設(shè)備可以隨辦公環(huán)境的變化而輕松轉(zhuǎn)移和布置,系統(tǒng)結(jié)構(gòu)可以適用于小數(shù)量用戶的對等網(wǎng)絡,也可以適用于幾千名移動用戶的完整基礎(chǔ)網(wǎng)絡,有效提高現(xiàn)有設(shè)備的利用率,并保護的設(shè)備投資。7) 易于擴展 無線局域網(wǎng)技術(shù)有對等模式、中心模式、中繼組網(wǎng)模式等多種配置方式,能夠根據(jù)需要靈活選擇。 8) 使用靈活在有線網(wǎng)絡中,網(wǎng)絡設(shè)備的安放位置受網(wǎng)絡信息點位置的限制。而一旦無線局域網(wǎng)建成后,在無線網(wǎng)的信號

17、覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡。9) 傳輸速率高：無線局域網(wǎng)技術(shù)能夠提供高速數(shù)據(jù)帶寬,其中IEEE802.11g能提供的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達到54Mbit/s?？梢詽M足用戶上網(wǎng)的實際需要。10）靈活性和移動性。在有線網(wǎng)絡中，網(wǎng)絡設(shè)備的安放位置受網(wǎng)絡位置的限制，而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個位置都可以接入網(wǎng)絡。無線局域網(wǎng)另一個最大的優(yōu)點在于其移動性，連接到無線局域網(wǎng)的用戶可以移動且能同時與網(wǎng)絡保持連接。11）安裝便捷。無線局域網(wǎng)可以免去或最大程度地減少網(wǎng)絡布線的工作量，一般只要安裝一個或多個接入點設(shè)備，就可建立覆蓋整個區(qū)域的局域網(wǎng)絡。12）易于進行網(wǎng)絡規(guī)劃和調(diào)整。對于有線

18、網(wǎng)絡來說，辦公地點或網(wǎng)絡拓撲的改變通常意味著重新建網(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程，無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。13）故障定位容易。有線網(wǎng)絡一旦出現(xiàn)物理故障，尤其是由于線路連接不良而造成的網(wǎng)絡中斷，往往很難查明，而且檢修線路需要付出很大的代價。無線網(wǎng)絡則很容易定位故障，只需更換故障設(shè)備即可恢復網(wǎng)絡連接2.2無線局域網(wǎng)的不足之處1)網(wǎng)絡建設(shè)費用較高 作為一項校園設(shè)施,校園網(wǎng)絡系統(tǒng)建設(shè)的投入依然很高,這種投入不僅包括核心網(wǎng)絡設(shè)備,而且還包括貫穿校園的網(wǎng)絡骨干(光纖或銅介質(zhì)網(wǎng)線)以及巨大的施工代價,這個費用與整個校園網(wǎng)絡的大小有直接關(guān)系。 2)難以滿足日益變化發(fā)展的校園格局

19、 雖然校園網(wǎng)絡在設(shè)計初期均有比較周密的規(guī)劃,但是教育事業(yè)的蓬勃發(fā)展以及整個社會的快速發(fā)展,勢必導致很多難以預料的情況發(fā)生,傳統(tǒng)的網(wǎng)絡技術(shù)和產(chǎn)品在應對不斷產(chǎn)生的變化方面的能力還顯得十分有限。 3)難以適應用戶數(shù)量的增加 網(wǎng)點的規(guī)劃是任何一個網(wǎng)絡規(guī)劃的重要環(huán)節(jié),校園網(wǎng)絡也不例外。然而網(wǎng)點的預測同樣是一件很難的事。隨著教育手段的變化以及網(wǎng)絡終端設(shè)備數(shù)量的增長,網(wǎng)點的布局將遠不能滿足需要。無線局域網(wǎng)在能夠給網(wǎng)絡用戶帶來便捷和實用的同時，也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個方面：（1）性能。無線局域網(wǎng)是依靠無線電波進行傳輸?shù)?。這些電波通過無線發(fā)射裝置進行發(fā)射，而建筑物、車輛、樹木和其它障

20、礙物都可能阻礙電磁波的傳輸，所以會影響網(wǎng)絡的性能。（2）速率。無線信道的傳輸速率與有線信道相比要低得多。目前，無線局域網(wǎng)的最大傳輸速率為150Mbit/s，只適合于個人終端和小規(guī)模網(wǎng)絡應用。（3）安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，造成通信信息泄漏。2.3 無線校園網(wǎng)的網(wǎng)絡應用 1)電子網(wǎng)絡課堂教學?？梢酝ㄟ^無線網(wǎng)絡進行教學,拓展了知識空間。 2)移動教學。上課不用再聚集于教室,打破了空間的限制,拓展了地域空間。 3)隨時互動輔導。師生不必在課堂上直接對話,拓展了教學空間。 4)科研與教學。校園師生可以隨時、隨

21、地地從網(wǎng)上獲取學術(shù)信息,獲取無限的網(wǎng)絡資源。 5)無線多媒體業(yè)務。無線活動教室;虛擬現(xiàn)實的學習環(huán)境;無線視頻監(jiān)控;校園語音電話及網(wǎng)上視頻點播。 6)在校園網(wǎng)絡建設(shè)中，無線網(wǎng)絡作為一種流程趨勢正在普及開來，同時其用戶也在日益增多。當前在校園網(wǎng)絡不同環(huán)境下，主要用戶分為以下幾類人群，第一類為固定用戶群，包括機關(guān)辦公、機房電腦、教學樓、試驗室等眾多使用者；第二類是活動用戶群，主要包括教師的個人電腦和學生的自用電腦；第三類為臨時用戶群，特指在學術(shù)交流會時所使用電腦上網(wǎng)的群體。經(jīng)過劃分出三類用戶群，便于無線網(wǎng)絡在接入Internet網(wǎng)絡時采取相應的安全策略，以保障整個校園無線網(wǎng)絡的安全性。 

22、7)校園無線網(wǎng)絡的安全措施除了進行WEP數(shù)據(jù)加密協(xié)議外，更要結(jié)合不同用戶群特點，制定相應的安全防范措施。對于固定用戶群可以實行綁定MAC地址，限制非法用戶的訪問，網(wǎng)絡信息中心通過統(tǒng)一分配IP地址來配置MAC地址，進行這種過濾策略保障無線網(wǎng)絡的安全運行；針對活動用戶群實行端口訪問控制，即連接工作站STA和訪問點AP，再利用802.1x認證AP服務，一旦認證許可，AP便為STA開通了邏輯端口，不然接入被禁止執(zhí)行。802.1x需要工作站安裝802.1x的客戶端軟件，并在訪問點內(nèi)置802.1x的認證代理，再作為Radius的客戶端把用戶的認證信息轉(zhuǎn)發(fā)至Radius服務器。802.1x不僅控制端口的訪問

23、，還為用戶提供了認證系統(tǒng)及其計費功能。  AP隔離措施近似于有線網(wǎng)絡的VLAN，對無線客戶端進行全面隔離，僅可訪問AP所連接的固定網(wǎng)絡，進而增強接入Internet網(wǎng)絡的安全性；最后一類臨時用戶群，可以通過設(shè)置密碼限制訪問，無密碼者無法接入無線網(wǎng)絡，利用此手段保障授權(quán)用戶安全穩(wěn)定的使用無線網(wǎng)絡，避免他人肆意進入無線網(wǎng)絡發(fā)生干擾，尤其適合于會議等臨時性場所的使用。 2.4校園無線網(wǎng)絡校園無線網(wǎng)絡應用中的注意事項 1）.無線局域網(wǎng)不可能完全取代有線局域網(wǎng),只能作為有線網(wǎng)絡的補充和完善。無線局域網(wǎng)是在現(xiàn)有的有線網(wǎng)絡的基礎(chǔ)上增加更多實際功能,學校的網(wǎng)絡中心作為Internet的接入

24、點,也作為無線站的中心站,負責控制所有站點對網(wǎng)絡的訪問。 2）.無線網(wǎng)絡基礎(chǔ)構(gòu)建的時候要考慮采用專業(yè)的設(shè)施,聘請專業(yè)的隊伍去操作,否則在規(guī)模擴大到一定程度時就會遇到功率控制、頻率選擇、環(huán)境噪聲等很多問題。 3）.妥善考慮無線網(wǎng)絡的支撐系統(tǒng)(包括無線網(wǎng)管、無線安全,無線計費等),否則無線設(shè)備之間的不兼容性,或者網(wǎng)絡管理的混亂會導致大量問題。 4）.由于無線局域網(wǎng)依靠無線電波的傳播,電波發(fā)射時,受墻壁、大型用具和其他障礙物阻礙,使得網(wǎng)絡的性能降低。因此,在校園網(wǎng)內(nèi)要做到有線和無線的合理布局。 5）.要建立可靠的網(wǎng)絡安全機制和提供完善的支持服務。無線電波本質(zhì)上不要求物理性的訪問聯(lián)接,但如果獲得網(wǎng)絡的

25、訪問代碼,那么,在無線電波廣播范圍內(nèi)的任何人,都可以監(jiān)聽網(wǎng)絡的通信。因此,網(wǎng)絡安全成為刻不容緩的問題,必須建立起安全可靠的身份確認和授權(quán)機制。的規(guī)劃與設(shè)計 3. 校園無線網(wǎng)絡的規(guī)劃與設(shè)計3.1 網(wǎng)絡需求分析 本文所討論的無線校園網(wǎng)的規(guī)劃是以江陰職業(yè)技術(shù)學院為對象,本學院地處江陰市南郊,占地500畝。校園內(nèi)共有大小建筑27幢,師生員工9000余人,地理環(huán)境簡單,考慮滿足以下幾個方面的需求: 1)建設(shè)一個滿足教學和工作需要的安全可靠的無線校園網(wǎng)絡; 2)無線與有線的統(tǒng)一:高校網(wǎng)絡一般已經(jīng)建設(shè)了有線網(wǎng)絡,無線網(wǎng)絡建設(shè)必須在原有的有線網(wǎng)絡上進行,并實現(xiàn)網(wǎng)絡互聯(lián)、認證計費、安全防御等方面與有線網(wǎng)絡進行良

26、好的兼容和互補。這就要求校園有線網(wǎng)絡的架構(gòu)不需要任何改變,只需用原有的網(wǎng)管、認證、計費系統(tǒng)就可以對無線網(wǎng)絡進行管理和統(tǒng)一認證。 3)所有教學樓及實訓實驗大樓:各層走廊和教室均要求信號覆蓋;所有學生宿舍樓:鑒于各宿舍都有有線接通,盡量覆蓋各宿舍(不做要求);籃球場及足球場:信號要求完全覆蓋;室內(nèi)體育館:信號要求完全覆蓋;各建筑周圍的草坪和場所:信號要求完全覆蓋;行政樓:要求信號完全覆蓋;學生食堂:要求信號完全覆蓋;教師宿舍樓:要求信號完全覆蓋;要求能提供1000并發(fā)用戶能力; 4)各信號輸出點信號強度10-15dbm;將按照2.4G工作頻段2.4122.462GHz(FCC)分為channel1

27、、channel6、channel11三個完全不干擾頻段設(shè)計;要求室內(nèi)容許最大覆蓋距離為35100米,室外容許最大距離100400米。 5)校園無線網(wǎng)絡在支持數(shù)據(jù)轉(zhuǎn)發(fā)的同時支持數(shù)據(jù)、語音等多種業(yè)務,網(wǎng)絡應該具有其它智能業(yè)務擴展的能力,滿足學院的多功能發(fā)展需求; 6)現(xiàn)在建設(shè)高校無線網(wǎng)絡,除了要考慮對現(xiàn)有IPv4網(wǎng)絡終端的無線接入,還要支持高性能的IPv6的用戶接入,以適應網(wǎng)絡發(fā)展趨勢,并保護網(wǎng)絡投資。 3.2 無線校園網(wǎng)的設(shè)計 3.2.1 校園無線網(wǎng)絡拓撲結(jié)構(gòu)設(shè)計 對于局部無線網(wǎng)絡,主要采用的是以AP或者無線交換機等為中心結(jié)點的星型結(jié)構(gòu),其目的是為了滿足多用戶的需求。而如果建設(shè)全局無線校園網(wǎng),

28、可將網(wǎng)絡劃分為核心層、分布層、接入層進行設(shè)計,在整體上一般采用以樹型和星型混合的拓撲結(jié)構(gòu)。 3.2.2 校園無線網(wǎng)絡物理結(jié)構(gòu)設(shè)計 本校已經(jīng)建成了“千兆主干,百兆交換到桌面”,信息點覆蓋教學、辦公、圖書和實驗等大樓主要部分的校園網(wǎng),在目前的校園網(wǎng)環(huán)境下,借助于輕型AP模式架構(gòu),可以在現(xiàn)有校園有線網(wǎng)絡的基礎(chǔ)上建立邏輯獨立的無線網(wǎng)絡。 通常模式下所有無線數(shù)據(jù)及控制流量均交由無線控制器來處理,所以我們采用現(xiàn)有校園網(wǎng)的交換機/路由器組成集中控制管理的“覆蓋式”(Overlay)無線網(wǎng)絡設(shè)計,如圖1所示。 修改現(xiàn)有校園網(wǎng)交換機的VLAN參數(shù)設(shè)置、路由設(shè)置,使得AP盡量不與一般有線網(wǎng)絡設(shè)備混合在同一個VLA

29、N中,避免有線設(shè)備的異常流量阻斷AP和無線控制器之間的通訊;將連接在同一交換機端口下的所有AP放置在一個受保護的VLAN中,設(shè)計時統(tǒng)一分配給這些AP靜態(tài)IP地址,以便于管理;采用核心交換機搭配無線控制模塊的方式,進一步減小AP和無線控制器的AP-Manager之間端到端環(huán)回延遲,保證AP能夠順利連接在現(xiàn)有的校園網(wǎng)接入交換機上。3.2.3 無線校園網(wǎng)的構(gòu)建方法 校園無線網(wǎng)絡構(gòu)建的兩種方法。第一,閥值法。通過調(diào)整AP的閥值設(shè)置,控制AP接入覆蓋范圍,從而在相同覆蓋面積條件下,通過增加AP數(shù)量,提高系統(tǒng)容量。第二種,頻率復用。學校人群主要由管理人員、教師、科研人員和大量學生構(gòu)成,以上人群工作和學習生

30、活分布在以下區(qū)域:圖書館、教學樓、辦公樓、實驗研究樓、學生宿舍、運動場以及各類休閑場地(草坪廣場等)。 因此,在同一覆蓋范圍內(nèi)的多個AP利用802.11g規(guī)定的13個可用信道中相互干擾最小信道1、6、11三個信道進行設(shè)計,客戶端無線網(wǎng)卡根據(jù)各AP信號強度,選擇不同信道工作,從而提高系統(tǒng)容量。 3.2.4 室內(nèi)網(wǎng)絡組建 室內(nèi)的范圍主要包括所有的教室、實驗室、辦公室等,在這些場合中主要需要解決兩大問題,即AP的覆蓋范圍和AP的容量問題。由于AP是通過微波來進行數(shù)據(jù)傳輸?shù)?室內(nèi)要考慮的首要問題就是信號覆蓋的問題。由于辦公室、教室、實驗室被各種墻面分割,這對信號的衰減影響很大,因此在室內(nèi)構(gòu)建無線局域網(wǎng)

31、時必須對建筑物的信號強度進行詳細測試。在合理地分析各個AP的容量與覆蓋面后,還需考慮信號衰減因素,適當?shù)卦黾覣P個數(shù)來減少數(shù)據(jù)盲區(qū)。室內(nèi)組建簡圖見圖2。 兩個AP的放置要保證AP覆蓋區(qū)域無間隙并且AP重疊區(qū)域最小。相鄰AP工作在不同頻道,以1、6、11三個頻道實現(xiàn)全方位的覆蓋。根據(jù)經(jīng)驗值,當相鄰AP設(shè)定相同頻點時,要求間隔25米以上;當相鄰AP設(shè)定相鄰頻點時,要求AP間隔16米以上;當AP設(shè)定相隔頻點時,要求間隔12米以上。 對于房間多、用戶數(shù)量不多但分布較分散的樓宇,如教學樓等,用戶主要為學生、教師,因此應用肯定會比較頻繁,由于樓長、墻體結(jié)構(gòu)厚、房間多等特點,所以在該環(huán)境下覆蓋AP安裝在樓道

32、內(nèi),通過內(nèi)置天線覆蓋樓道兩側(cè)房間,微波通過房間的門窗傳輸?shù)绞覂?nèi),實現(xiàn)了比較細膩的覆蓋環(huán)境,AP通過有線接入到樓層交換機。 3.2.5 室外無線網(wǎng)絡組建 室外設(shè)備的AP使用數(shù)量基本也遵循室內(nèi)的條件,但室外AP的放置和設(shè)計又有它自己的特點。由于室外環(huán)境的特殊性和不確定性,我們放置的設(shè)備必須是在密封盒內(nèi)的,天線布置應該增加避雷器防止雷擊,不提供本地供電的場所選用遠程供電設(shè)備。我們通過室外無線接入點外接增益天線的方式覆蓋室外區(qū)域,體現(xiàn)覆蓋范圍最大化的覆蓋原則來保證無線用戶需求。 從整體上對學院室外部分進行規(guī)劃,通過室外建設(shè)WLAN射頻基站對室外和室內(nèi)用戶進行無線覆蓋。室外射頻基站由室外型AP、外接天線

33、(全向、扇區(qū))以及配套避雷設(shè)備組成。根據(jù)復雜的室外建筑結(jié)構(gòu),外接天線的選擇更加尤為重要。選擇天線型號時應根據(jù)現(xiàn)場環(huán)境考慮增益、水平波束寬度、垂直波束寬度、極化方式、視覺效果(尺寸、外形、重量)等因素。 學校體育場、足球場、教學樓宇間公共區(qū)域等,一般是學校需要實現(xiàn)無線覆蓋的室外公共區(qū)域。根據(jù)需覆蓋的室外區(qū)域的實際情況,可以設(shè)計建立多個無線覆蓋基站,采用重疊交叉無線覆蓋的方式,完成區(qū)域的無縫無線覆蓋。選用室外型無線路由器,在空曠地方,信號傳輸距可以達到300M600M左右,視空間大小可以使用多個,或者使用室外無線AP,配合室外大夾角定向天線,成功實現(xiàn)系統(tǒng)設(shè)計目標。簡單設(shè)計如圖3所示。 4 無線校園

34、網(wǎng)的網(wǎng)絡安全維護當一個無線局域網(wǎng)組建成功后,用戶最關(guān)心的是無線局域網(wǎng)的安全問題。為了保證網(wǎng)絡安全,我們可以從以下幾個方面考慮: 1)用戶接入認證控制:原有線校園網(wǎng)絡已經(jīng)部署了用戶認證系統(tǒng),建成后的無線網(wǎng)絡必須完全融合進該認證系統(tǒng)中。 2)基于用戶的訪問策略:不同的用戶可能有不同的上網(wǎng)行為,包括HTTP、FTP、語音等,針對不同的應用,應加以配置不同的行為控制權(quán)限,保障不同用戶的網(wǎng)絡互訪的安全性。 3)受保護的無線數(shù)據(jù)傳輸:無線網(wǎng)絡安全事件往往會發(fā)生在數(shù)據(jù)傳輸階段。因此,建成的無線網(wǎng)絡必須能夠滿足合法的無線用戶與無線接入點數(shù)據(jù)傳輸?shù)陌踩?以及無線接入點與上行網(wǎng)絡之間數(shù)據(jù)傳輸?shù)陌踩浴?4.1常

35、見的無線網(wǎng)絡安全措施  無線網(wǎng)絡受到安全威脅，主要是因為“接入關(guān)”這個環(huán)節(jié)沒有處理好，因此以下從兩方面著手來直接保障企業(yè)網(wǎng)線網(wǎng)絡的安全性。  4.1.1 MAC地址過濾  MAC地址過濾作為一種常見的有線網(wǎng)絡安全防范措施，憑借其操作手法和有線網(wǎng)絡操作交換機一致的特性，經(jīng)過無線控制器將指定的無線網(wǎng)卡MAC地址下發(fā)至每個AP中，或者在AP交換機端實行設(shè)置，或者直接存儲于無線控制器中。  4.1.2 隱藏SSID  所謂SSID，即指用來區(qū)分不同網(wǎng)絡的標識符，其類似于網(wǎng)絡中的VLAN，計算機僅可和一個SSID網(wǎng)絡連接并通信，因此SSID就被定為區(qū)別不同網(wǎng)絡服務的標識。SSID最多由32個字符構(gòu)成，當無線終端接入無線網(wǎng)絡時須要有效的SIID，經(jīng)匹配SSID后方可接入。通常無線AP會廣播SSID，從而接入終端通過掃描即可獲知附近存在的無線網(wǎng)絡資源。比如windows XP系統(tǒng)自帶掃描功能，檢索附近的無線網(wǎng)絡資源、羅列出SSID信息。然而，為了網(wǎng)絡安全最好設(shè)置AP不廣播SSID，同時將其名字設(shè)置成難以猜解的長字符串。通過這種手段便于隱藏SSID，避免接入端利用掃描功