□陳 瑞

( 山西廣播電視大學，山西 太原 030027)

校園無線網絡建設研究
——以山西廣播電視大學為例

□陳 瑞

( 山西廣播電視大學，山西 太原 030027)

隨著無線網絡的迅速發(fā)展和手機等終端的普及應用，無線網絡已成為有線網絡的有益補充。根據山西廣播電視大學目前有線校園網和校區(qū)環(huán)境布局的實際情況，結合科研和教學等需要，針對山西廣播電視大學無線校園網絡建設的總體需求和無線網絡架構、無線網絡結構、覆蓋范圍、安全、可靠、穩(wěn)定以及維護方面等實施方案提出了設計思路。

無線網絡；校園網；網絡架構

山西廣播電視大學是一所主要以利用互聯(lián)網進行遠程教學的高等學校，各種移動終端的使用和移動學習APP的廣泛應用迫使校園無線網絡全覆蓋的建設。無線網絡可以為全校師生提供無處不在、隨時隨地地接入互聯(lián)網服務，為移動學習和辦公平臺的建立提供網絡基礎，使學校在教學、科研和管理等各項業(yè)務變得更加方便便捷，并能更好地服務于學校基于網絡的遠程教學、在線服務、教育資源共享等各種應用中。

一、 我校校園無線網絡建設目標

山西廣播電視大學是一所主要以利用互聯(lián)網進行遠程教學的高等學校，其無線網絡的建設目標就是利用校園現(xiàn)有的有線網絡資源對校園網進行無線網絡的延伸，以便能夠在校園網內實現(xiàn)資源的共享，保證各有線終端和無線移動終端都能夠聯(lián)網，使校園網絡的利用率有所提高，繼而提高廣大教職工和學生工作和學習的效率，提高學校的管理水平和管理層次。

有了無線網絡的架設，在校園中，教職工和學生通過學校網絡認證系統(tǒng)能夠隨時隨地聯(lián)網打開與外界交流溝通，校園中能夠做到信息的及時共享，隨時隨地都能學習。教師可以對自己的課程下發(fā)作業(yè)，能夠對學生進行輔導。學生可以利用網絡進行學習、交流和組織活動，極大地提高學習效率。學校管理人員也可以接入辦公系統(tǒng)，讓移動網絡無處不在，讓辦公系統(tǒng)發(fā)揮更大的作用。隨時都能學習、辦公和生活，促進學校數(shù)字化校園智慧化校園更好的建設。

二、我校校園無線網絡建設總體需求

無線覆蓋范圍。為了滿足學生和教職工在大型的公共場所能隨時隨地使用無線網絡，此次規(guī)劃的無線覆蓋范圍涵蓋綜合辦公樓、各種大小會議室、閱讀室、招生辦等室內，還包括室外可以覆蓋操場、食堂等區(qū)域。

無線網絡安全。由于在無線網絡環(huán)境下無線終端是通過搜索無線信號進行網絡連接這一特性決定了在安全管理方面比有線網絡具有更高要求和更大難度。要做到接入用戶認證，識別用戶分類，安全審計用戶信息等。

便捷易用，穩(wěn)定可靠。在接入認證方式上分教師、學生和訪客三種身份，要做到一次登錄認證，下次無需認證；要做到在校園內不同場所無需人工切換，無需重復認證。還要做到使用者在使用無線網絡時不中斷、不掉線、不卡頓等。

運營維護管理。方便管理者管理和維護各種不同型號、安裝在不同場所中的無線AP，確保能全面監(jiān)控所有接入AP運行情況，精準定位故障AP。

與原有線網絡兼容。為了提高設備利用率，減少不必要的投資，無線網絡往往是建設在有線網絡的基礎上，利用原有線網絡核心設備，比如核心、匯聚交換機、認證系統(tǒng)等，與有線網絡共用一套認證系統(tǒng)，同一個賬號既可以在有線網絡上使用，也可以在無線網絡上使用，使用相同或者不同的認證策略以及訪問控制策略。

三、我校校園網無線覆蓋實施方案

(一)校園無線網網絡架構選擇

目前，無線網絡覆蓋的網絡架構有傳統(tǒng)的自治型無線接入點即“胖AP”和“無線交換機+瘦AP”兩種。其兩者不同點在于“胖AP”所有管理與配置集成在設備自身，每個無線設備自己管理，沒有全局的統(tǒng)一管理，更沒有對無線鏈路、無線設備和無線用戶等的監(jiān)測與管理、故障排查、流量控制和審計等功能，比如家用的無線AP小路由器。

而“無線交換機+瘦AP”這種解決方案全部集中在無線控制器上管理控制，并通過控制器后臺可以直觀地對全網接入設備進行統(tǒng)一的、批量的發(fā)現(xiàn)、升級、配置，甚至包括對無線鏈路的監(jiān)測，對無線用戶的管理。

在全局的統(tǒng)一管理、統(tǒng)一安全、統(tǒng)一認證和設備自身的安全性等方面進行對比，結合學校實際情況，適合采用“無線交換機+瘦AP”這種解決方案。

(二)校園無線網絡結構

為了提高設備利用率，減少不必要的投資，我校無線校園網絡建設直接在原有線網絡的基礎上進行疊加。即利用原有線網絡核心設備，比如核心交換機、認證系統(tǒng)等，將AC無線控制器部署在校園網核心機房，旁掛于內網核心交換機上。山西廣播電視大學無線網絡結構如下圖：

(三)校園無線網絡覆蓋設計

室內場景覆蓋。圖書館、會議室等這類用戶數(shù)量多，空間面積大，接入終端多且支持頻率不同的室內場景采用室內高功率雙頻AP，根據具體施工情況和安裝效果選擇吸頂或面板式安裝方式。

室外場景覆蓋。室外這類場景有一個典型特點就是：室外環(huán)境復雜，有雷雨等天氣影響。AP需要具體防塵防雨等特點。

將AP部署在人員密集區(qū)域，不僅需要滿足終端接入還需要滿足信號的穩(wěn)定性和較高的終端接入數(shù)。對于室外環(huán)境，采用高性能、高吞吐量、高用戶并發(fā)等優(yōu)異的性能AP。

(四)SSID規(guī)劃和信道規(guī)劃

便于用戶使用無線網絡，使用SSID進行廣播，針對學生、教師和訪客等不同的用戶群體，在無線AP上設置不同的SSID，同時不同的SSID采用的接入認證方式不同，并通過無線控制器AC針對不同的SSID設置不同的訪問控制策略等。

信道規(guī)劃。學校無線網絡部署的是雙頻AP，即一個AP可以同時發(fā)射2.4G網絡和5G網絡，使用2.4GHz網絡，為保證信道之間不相互干擾，通常采用1、6、11三個信道，要求兩個信道之間間隔5個信道以上，比如采用1、6、11三個信道。對于5GHz網絡來說，最多可以提供5個不重疊的信道同時工作，在我國一共開放了5個信道，分別是149、153、157、161、165信道，這5個信道相互之間不重疊，為互不干擾信道，這樣可以有效降低無線干擾，提高無線上網速度。

除此之外，國家針對于802.11 AC新一代無線網絡，也逐漸開放了更多的頻段，擁有13個不重疊、不干擾的無線信道。5G網絡具有無線傳輸快、環(huán)境干擾小的優(yōu)勢。

(五)校園無線網絡安全性設計

無線接入認證。對于不同的使用者，可以做不同的認證方式。教師通過無線辦公可以使用802.1X的無感知認證方式。對于學生可以采用Portal賬號認證，免除了繁瑣的認證方式。對于訪客則可以通過微信短信等認證手段來提高宣傳的力度，增強學校的整體形象。

無線空口安全。無線校園網的無線空口安全威脅主要來自非法接入點、空口竊聽、惡意攻擊。

非法接入點。非法接入點，如私接無線接入點、共享熱點、AD-Hoc等，其威脅主要是對校園無線網的干擾以及誘使用戶接入從而盜取用戶信息，通過無線控制器AC的檢測功能檢測無線環(huán)境中存在的攻擊和危險行為，實時告警并產生日志，并對指定類型的攻擊對象執(zhí)行反制。

空口竊聽。眾所周知，無線網絡是以空氣為介質進行傳播的，數(shù)據通常被暴露在空氣中，惡意訪問者利用無線空口抓包工具進行破解賬號密碼、數(shù)據分析等，對無線校園網造成安全隱患，通過對無線空口進行WPA/WPA2/WAPI等安全加密，或采用高安全性的Portal安全認證方式，對用戶認證數(shù)據以及業(yè)務數(shù)據進行安全加密，防止空口數(shù)據被竊聽。

惡意攻擊。在校園網絡中典型的惡意攻擊包括D-dos攻擊、Ping攻擊、ARP欺騙攻擊，D-dos攻擊、Ping攻擊等洪泛攻擊可以使主機資源被耗盡，從而達到攻擊的目的，致使服務器癱瘓、無法訪問的情況?？梢酝ㄟ^在無線層面的攻擊檢測技術，將攻擊終端加入到動態(tài)黑名單中凍結一段時間并產生告警通知，有效預防AP接入資源、服務器等資源被耗盡。同時，不影響其他終端的正常接入。

訪問控制?？梢岳脽o線控制器的應用訪問控制，將控制策略下發(fā)到AP，從而實現(xiàn)對內外網的訪問權限控制，保證無線校園網的安全性。

另外，互聯(lián)網資源極其豐富，但卻良莠不齊，學校作為提供互聯(lián)網上網服務單位，有義務規(guī)范學生的上網行為。將違法、違規(guī)、暴力、黃色等不良網頁過濾掉，凈化網絡環(huán)境；同時過濾釣魚網站、惡意廣告、垃圾博客，防止用戶不慎訪問不受信的網站帶來的上當受騙。

行為審計記錄。為了進一步保證學校的信息安全，對特定的系統(tǒng)資源以及網絡輿論進行保護，對與學校的系統(tǒng)、BBS論壇、貼吧等相關的網絡行為進行審計記錄，當疑似出現(xiàn)安全問題時，能夠做到有跡可循。

針對于無線用戶的上網行為審計，包括但不限于http外發(fā)內容、訪問的網站和下載、郵件、ftp、telnet、其他網絡應用、網頁內容、ACL拒絕行為以及上網流量與時長控制。

(六)校園無線網絡穩(wěn)定快速設計

通過流量控制等措施確保校園無線網絡穩(wěn)定快速。由于互聯(lián)網各類應用程序所需的帶寬越來越大，可視化視頻應用越來越多，對出口帶寬的需求很大。如何能合理地利用有限的帶寬，根據用戶類別、應用類型和時段等不同因素設置不同的流量極為關鍵。

此次校園網無線覆蓋要求：1.根據業(yè)務類型進行流量控制，比如可以按照P2P下載、FTP下載、視頻、網頁瀏覽等應用進行流量控制，并設置一定的優(yōu)先級，比如教務管理系統(tǒng)、會議視頻系統(tǒng)等學校業(yè)務應用進行流量的優(yōu)先設置，這樣可以避免占用帶寬大的網絡應用影響重要業(yè)務應用的正常使用；2.根據用戶類型，針對學生、教師和訪客等不同身份進行帶寬的分配，比如為教師分配相對帶寬大一點，對學生則統(tǒng)一分配一定額度帶寬等；3.根據使用無線的時間段進行流量控制，針對不同應用、不同的用戶等在不同時間段進行合理的流量控制；4.還可以根據實際帶寬使用情況，實時調整通道流量。這樣可以合理分配帶寬資源，提高帶寬利用率。

(七)校園無線網絡高可靠性設計

通過AP災備冗余、認證服務器冗余等措施確保校園無線網絡可靠性。

AP災備冗余?；贏C+ FIT AP網絡架構，AC作為無線網絡中最核心的設備，當AC宕機之后，無線網絡將變得不可用，通過AP災備冗余方案，當AP與無線控制器因外界因素(如AC宕機、控制器與核心交換機網線斷開)造成的通信連接斷開后，自動啟用應急策略或應急SSID，新接入的用戶會劃分到指定的應急VLAN以及分配相應的應急角色，仍然能保證用戶正常上網以及新用戶的認證接入，當網絡恢復正常時，這些用戶會從災備角色中剔除，提高網絡的穩(wěn)定性和可靠性。

認證服務器冗余。無線校園網利用原有線網絡的外置認證服務器進行統(tǒng)一認證，無線網絡可關聯(lián)多個 Radius服務器，實現(xiàn)認證服務器的冗余備份，當一臺Radius服務器宕機后，另一臺Radius服務器繼續(xù)提供服務，為用戶提供可靠的接入服務。

另外，通過認證服務器逃生功能，即使當無線網絡關聯(lián)的全部認證服務器都宕機后，依然能保證用戶正常上網以及新用戶的認證接入，提高網絡的穩(wěn)定性和可靠性。

(八)校園無線網絡運營維護設計

由于無線AP分布較點數(shù)較多、地域較廣，給運營維護和管理方面帶來一定困難。通過無線控制器統(tǒng)一集中管理平臺，對無線AP統(tǒng)一下發(fā)配置，對無線AP進行圖形化管理，根據圖形顯示情況，確定故障點。

還可以通過對部署在覆蓋目標的AP進行分組管理，比如按照建筑物劃分管理組，方便IT管理員管理運維。同時，IT管理員可在控制器上可統(tǒng)一查看所有AP的運行情況(如AP接入用戶、AP帶寬使用情況、設備利用率、AP在線情況等)，當AP設備出現(xiàn)異常或故障時，會出現(xiàn)告警事件，幫助IT管理員及時排除問題。

(九)校園廣告

當然校園網無線覆蓋不僅可以方便用戶使用網絡，還可以針對不同用戶推送一些新聞公告等信息，主要包括WiFi入口廣告推送、推廣學校公眾號和用戶行為精準推送等。

WiFi入口廣告推送。在WiFi入口進行校園廣播等信息展示，訪客連入WiFi時，會觀看到推送的公告信息。學?？梢愿鶕菍?、區(qū)域的不同推送不同的WiFi入口信息，比如：當用戶連接校園東區(qū)無線網時，提示校園東區(qū)等信息；并且可以強制用戶觀看一定時間的公告之后才可以點擊我要認證上網。

推廣學校公眾號。學校為用戶提供免費的無線網絡，訪客通過關注學校微信公眾號獲得上網資格，有效幫助學校推廣教學資源以及提高學校整體形象。當學校需要發(fā)布消息時，可以在微信平臺發(fā)布。提高了學校發(fā)布信息的效率。

用戶行為精準推送。當用戶使用學校WiFi時，用戶行為精準推送，會根據用戶在百度、谷歌等網頁搜索引擎內容進行信息推送(需管理員設置好關鍵字組對應的廣告，比如搜索“圖書”時推送學校相應的書籍內容)，推送形式支持網頁內嵌banner廣告、微信、短信等方式。

四、結語

無線網絡的覆蓋彌補了傳統(tǒng)有線網絡的不足。滿足了師生隨時隨地通信、學習等辦公、學習和生活的需要，同時也為我校提供了日常生活、辦公和學校管理緊密相連的信息化平臺，也提高了整個網絡的性能。

但本文只是針對我校無線校園網絡建設的總體需求和無線網絡架構、無線網絡結構、覆蓋范圍、安全、可靠、穩(wěn)定以及維護方面等實施方案提出的一種設計思路，具體實施中還需要針對具體校園環(huán)境和實際應用需求進行不斷改進、完善和優(yōu)化。

在以后無線網絡建設和使用過程中，應對無線網絡進行合理分布、配置優(yōu)化。在網絡安全方面，要完善管理制度。隨著無線體系的逐步完善，無線網絡使我們生活和學習真正享受無線的樂趣。

[1]鄧寧.校園無線網絡建設方案實例探討[J].中國教育技術裝備,2015(20).

[2]徐瑩，石堅.基于WLAN的校園無線網絡的規(guī)劃與設計[J].電子測試,2015(23).

[3]陳瑞. 無線網絡故障分析及其解決策略[J].山西廣播電視大學學報,2013(3).

本文責編：趙鳳媛

Research on the Construction of Campus Wireless Network——Taking Shanxi TV University as an Example

Chen Rui

(Shanxi TV University, Taiyuan, Shanxi， 030027)

With the rapid development of wireless network and the popularity of mobile terminals, wireless network has become a useful supplement to the wired network. The design ideas are put forward according to the actual situation of Shanxi TV University, the current campus wired network and campus environment layout, the needs of research and teaching, the overall demand for the construction of Shanxi TV University campus wireless network and wireless network architecture, wireless network structure, coverage, security, reliability, stability and maintenance.

wireless network; campus network; network architecture

2016—11—01

陳 瑞(1981—)，男，山西朔州人，山西廣播電視大學，講師，碩士。

G728

B

1008—8350(2017)01—0016—04