◆梁浴文

(西南財(cái)經(jīng)大學(xué)天府學(xué)院 四川 610000)

高校大規(guī)模無(wú)線(xiàn)網(wǎng)絡(luò)的實(shí)施與安全管理

◆梁浴文

(西南財(cái)經(jīng)大學(xué)天府學(xué)院 四川 610000)

隨著高校師生各種移動(dòng)互聯(lián)設(shè)備的普及，傳統(tǒng)的有線(xiàn)校園網(wǎng)絡(luò)難以滿(mǎn)足師生隨處訪問(wèn)網(wǎng)絡(luò)資源的需求。無(wú)線(xiàn)網(wǎng)絡(luò)以其接入方式靈活，可擴(kuò)展性強(qiáng)等特點(diǎn)在高校網(wǎng)絡(luò)建設(shè)中應(yīng)用得越來(lái)越廣泛。本文以西南財(cái)經(jīng)大學(xué)天府學(xué)院校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)為例，探討校園無(wú)線(xiàn)網(wǎng)絡(luò)組建和安全管理的措施，總結(jié)了存在的問(wèn)題及改進(jìn)思路。

校園無(wú)線(xiàn)網(wǎng)絡(luò)；IEEE802.11n；天府學(xué)院；網(wǎng)絡(luò)安全

0 引言

隨著智能手機(jī)、平板電腦、智能穿戴設(shè)備等移動(dòng)終端的普及，人們需要能隨時(shí)隨地訪問(wèn)互聯(lián)網(wǎng)絡(luò)，傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)由于其結(jié)構(gòu)特點(diǎn)無(wú)法滿(mǎn)足這種需求。無(wú)線(xiàn)網(wǎng)絡(luò)以電磁波為數(shù)據(jù)傳輸介質(zhì)實(shí)現(xiàn)了網(wǎng)絡(luò)的靈活接入，能夠有效地彌補(bǔ)有線(xiàn)網(wǎng)絡(luò)的這一缺陷。

我國(guó)各個(gè)高校紛紛開(kāi)始建設(shè)自己的無(wú)線(xiàn)校園網(wǎng)絡(luò)，廣大師生可以很方便地在報(bào)告廳、會(huì)議室、圖書(shū)館、教學(xué)樓、實(shí)驗(yàn)樓等處采用無(wú)線(xiàn)上網(wǎng)的方式訪問(wèn)網(wǎng)絡(luò)資源，實(shí)時(shí)地參與各種網(wǎng)絡(luò)教學(xué)活動(dòng)。

1 無(wú)線(xiàn)網(wǎng)絡(luò)的關(guān)鍵技術(shù)及部署方式

1.1 IEEE802.11n標(biāo)準(zhǔn)

IEEE802.11n標(biāo)準(zhǔn)中將MIMO(Multiple Input Multiple Out put)技術(shù)與OFDM(Orthogonal Frequency Division Multiplexing)技術(shù)相結(jié)合，從而提高傳輸效率和減小子載波之間的相互干擾，其傳輸速率可以高達(dá)600Mbps，具有覆蓋范圍廣、傳輸質(zhì)量穩(wěn)定、抗干擾性強(qiáng)和兼容性好等優(yōu)點(diǎn)。

1.2 無(wú)線(xiàn)網(wǎng)絡(luò)常見(jiàn)部署方式

無(wú)線(xiàn)網(wǎng)絡(luò)由AP（Access Point：無(wú)線(xiàn)訪問(wèn)節(jié)點(diǎn)）和AC（Access Controller：接入控制器）兩種關(guān)鍵組成部件。在大規(guī)模的網(wǎng)絡(luò)中常用AC+Fit AP集中控制方式，AP僅發(fā)揮接入天線(xiàn)的功能，AC負(fù)責(zé)用戶(hù)的鑒權(quán)、漫游、網(wǎng)絡(luò)管理等功能，這為網(wǎng)絡(luò)的運(yùn)維提供了很大的便利。

2 西南財(cái)經(jīng)大學(xué)天府學(xué)院校園無(wú)線(xiàn)網(wǎng)絡(luò)方案

2.1 項(xiàng)目總體設(shè)計(jì)

本項(xiàng)目將對(duì)天府學(xué)院成都西區(qū)所有學(xué)生寢室、圖書(shū)館等公共場(chǎng)所進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋，遵循IEEE802.11n標(biāo)準(zhǔn)，使用AC+Fit AP的方式規(guī)劃及建設(shè)。

在校區(qū)內(nèi)適當(dāng)位置設(shè)置網(wǎng)絡(luò)核心機(jī)房，配備上走線(xiàn)橋架和空調(diào)等配套設(shè)施，接入運(yùn)營(yíng)商出口光纖，使用單模光纖對(duì)各樓棟弱電間（井）進(jìn)行匯聚。對(duì)于教室和圖書(shū)館等公共場(chǎng)所，在房屋中間部署適當(dāng)數(shù)量的吸頂式 AP。對(duì)于學(xué)生寢室，在每層樓走廊處部署吸頂式 AP。無(wú)線(xiàn)網(wǎng)絡(luò)對(duì)校區(qū)室內(nèi)部分全覆蓋，成為有線(xiàn)網(wǎng)絡(luò)的有益補(bǔ)充。

AC負(fù)責(zé)管理網(wǎng)絡(luò)中的瘦AP，負(fù)責(zé)對(duì)AP的配置下發(fā)和配置參數(shù)修改等。采用統(tǒng)一發(fā)射的信號(hào)標(biāo)識(shí)（SSID），實(shí)現(xiàn)無(wú)縫漫游。

無(wú)線(xiàn)設(shè)備支持多種認(rèn)證方式，支持Radius、LDAP協(xié)議，使用WEB-Portal方式的認(rèn)證Portal實(shí)現(xiàn)對(duì)用戶(hù)管理、認(rèn)證、控制功能。

2.2 主要設(shè)備選型

（1）網(wǎng)絡(luò)設(shè)備選型基本原則

網(wǎng)絡(luò)設(shè)備選型的基本原則應(yīng)考慮廠商因素、擴(kuò)展性因素、方案實(shí)際需求因素和產(chǎn)品自身因素等。優(yōu)先考慮目前主流的設(shè)備供應(yīng)商，他們的產(chǎn)品線(xiàn)都相對(duì)較為全面，有成功案例供參考。

（2）關(guān)鍵設(shè)備技術(shù)參數(shù)

核心交換機(jī)的背板容量超過(guò)1Tbps，支持IPv4和IPv6的三層路由功能。配置高性能無(wú)線(xiàn)控制器模塊，實(shí)現(xiàn)有線(xiàn)和無(wú)線(xiàn)一體化的認(rèn)證和管理。

防火墻支持并發(fā)連接數(shù)300萬(wàn)以上，10G以上吞吐量。支持IP Spoofing、ARP欺騙等各類(lèi)常見(jiàn)攻擊的防范，支持ICMP重定向或不可達(dá)報(bào)文控制功能等。室內(nèi)型無(wú)線(xiàn) AP，可支持IEEE802.11x模式，支持Fat和Fit兩種工作模式。

3 項(xiàng)目實(shí)施及系統(tǒng)評(píng)測(cè)

3.1 AP的定位

AP的定位很大程度上影響無(wú)線(xiàn)網(wǎng)絡(luò)整體的實(shí)施效果，在實(shí)際施工中需要考慮的主要因素有：盡量避免無(wú)線(xiàn)信號(hào)覆蓋盲區(qū)；節(jié)約AP的數(shù)量以降低整體成本；減少因AP部署過(guò)密造成的同頻信號(hào)交疊；注意實(shí)施地點(diǎn)的環(huán)境，開(kāi)闊地帶的覆蓋半徑較大，室內(nèi)的覆蓋區(qū)較小。

本方案中的校區(qū)共有三棟框架結(jié)構(gòu)的高層建筑，學(xué)生宿舍分布密集，接入無(wú)線(xiàn)網(wǎng)絡(luò)的終端數(shù)量大，且寢室中的鋼架結(jié)構(gòu)家具很密集，AP的定位較特殊。

以其中某樓層為例進(jìn)行AP初步定位測(cè)試，該區(qū)域一共有23間學(xué)生寢室，每間寢室4個(gè)接入終端，一共可能有92個(gè)信息點(diǎn)位。經(jīng)過(guò)多次測(cè)試，采取在該區(qū)域中均勻分布5個(gè)AP于中間走廊天花板的方式。對(duì)于一些極端覆蓋區(qū)域，通過(guò)調(diào)整各AP的門(mén)限值及頻點(diǎn)減少相鄰AP之間的同頻交疊區(qū)域。

對(duì)于開(kāi)闊的公共區(qū)域，采用降低接收單元信號(hào)門(mén)限值的方式來(lái)擴(kuò)大單個(gè)AP的覆蓋范圍，AP的定位難度較低。

3.2 線(xiàn)路鋪設(shè)施工

遵循有線(xiàn)網(wǎng)絡(luò)的施工規(guī)范，每個(gè)AP到匯聚交換機(jī)之間采用超五類(lèi)雙絞線(xiàn)，匯聚交換機(jī)到核心設(shè)備采用光纜進(jìn)行連接。無(wú)線(xiàn)網(wǎng)絡(luò)整體綜合布線(xiàn)工程量相對(duì)較小，施工難度不高。

3.3 系統(tǒng)整體調(diào)試

系統(tǒng)整體調(diào)試的內(nèi)容有：無(wú)線(xiàn)信號(hào)強(qiáng)度測(cè)試、系統(tǒng)吞吐量與接入帶寬測(cè)試、用戶(hù)認(rèn)證測(cè)試、WEB認(rèn)證接入延時(shí)測(cè)試、Ping包測(cè)試、網(wǎng)站訪問(wèn)成功率測(cè)試、同AP下用戶(hù)隔離測(cè)試、AP間漫游測(cè)試。

使用專(zhuān)業(yè)的手持式無(wú)線(xiàn)網(wǎng)絡(luò)測(cè)試儀快速查看無(wú)線(xiàn)網(wǎng)絡(luò)使用率，識(shí)別并定位惡意的無(wú)線(xiàn)接入點(diǎn)。利用WirelessMon無(wú)線(xiàn)網(wǎng)絡(luò)質(zhì)量檢測(cè)軟件查看檢測(cè)者附近所有AP的信號(hào)強(qiáng)度、傳輸速度等信息，方便檢查網(wǎng)絡(luò)的穩(wěn)定性。利用Throughput Test軟件測(cè)試網(wǎng)絡(luò)吞吐量，以測(cè)試設(shè)備能夠接受的最大速率。

3.4 網(wǎng)絡(luò)安全管理

（1）地址規(guī)劃

采用單獨(dú)部署的DHCP服務(wù)器來(lái)完成AP的地址規(guī)劃，實(shí)現(xiàn)AP設(shè)備的無(wú)人值守，當(dāng)AP上電后就能通過(guò)DHCP服務(wù)器獲得管理IP地址從而建立和AC之間的隧道，提高了網(wǎng)絡(luò)整體的穩(wěn)定性。

（2）認(rèn)證計(jì)費(fèi)

無(wú)線(xiàn)網(wǎng)絡(luò)的認(rèn)證計(jì)費(fèi)功能在Radius設(shè)備上進(jìn)行。學(xué)生在寢室中訪問(wèn)校內(nèi)各種資源需要認(rèn)證但免費(fèi)，訪問(wèn)外網(wǎng)資源要進(jìn)行認(rèn)證計(jì)費(fèi)。在教室和圖書(shū)館等處需要認(rèn)證但免費(fèi)。

（3）上網(wǎng)行為審計(jì)

上網(wǎng)行為審計(jì)服務(wù)器可保留學(xué)生上網(wǎng)用戶(hù) 1-3 個(gè)月的上網(wǎng)記錄，可滿(mǎn)足網(wǎng)絡(luò)安全監(jiān)察部門(mén)的事前預(yù)防、事中監(jiān)督檢查、事后協(xié)助調(diào)查等要求。

4 存在的問(wèn)題及優(yōu)化

4.1 部署實(shí)施中存在的問(wèn)題

隨著校園無(wú)線(xiàn)上網(wǎng)的用戶(hù)數(shù)的增長(zhǎng)，校園無(wú)線(xiàn)網(wǎng)絡(luò)在運(yùn)營(yíng)過(guò)程中也暴露出一些問(wèn)題。

單個(gè)AP上連接的用戶(hù)數(shù)量過(guò)多影響穩(wěn)定性；無(wú)線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)傳輸速度無(wú)法和有線(xiàn)網(wǎng)絡(luò)媲美；使用環(huán)境復(fù)雜導(dǎo)致無(wú)線(xiàn)信號(hào)入室后衰減過(guò)大導(dǎo)致覆蓋盲區(qū)；樓層之間的AP部署密集導(dǎo)致同頻交疊干擾等。

4.2 校園無(wú)線(xiàn)網(wǎng)絡(luò)改進(jìn)優(yōu)化建議

（1）AP布局調(diào)整

對(duì)于學(xué)生宿舍這樣的高密度區(qū)域，可考慮使用室內(nèi)放裝工作模式，比如：在AP上連接天線(xiàn)饋線(xiàn)并伸入到寢室內(nèi)部，或者借用寢室中原有的有線(xiàn)網(wǎng)絡(luò)安裝面板式AP。這兩種方式可解決寢室信號(hào)覆蓋問(wèn)題，減少AP間的相互干擾，但成本較高。

（2）空口限速技術(shù)

考慮利用無(wú)線(xiàn)設(shè)備的空口限速技術(shù)，限制每個(gè)用戶(hù)的帶寬，避免出現(xiàn)用戶(hù)間帶寬分配不均衡的問(wèn)題，但這樣會(huì)影響用戶(hù)體驗(yàn)。

（3）端口隔離

將AP間組成的網(wǎng)絡(luò)進(jìn)行二層隔離處理，減少同一網(wǎng)絡(luò)內(nèi)的廣播風(fēng)暴和ARP的攻擊幾率，可以在一定程度上增強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。

（4）合理規(guī)劃頻點(diǎn)

合理規(guī)劃各AP的頻點(diǎn)減少相互之間的頻率干擾。采用手工調(diào)整頻點(diǎn)的方式合理的規(guī)劃各AP的頻點(diǎn)，減少樓層之間的干擾。

5 總結(jié)與展望

由于項(xiàng)目組成員初次接觸大規(guī)模的無(wú)線(xiàn)網(wǎng)絡(luò)，遭遇了不少挫折和失敗，在該項(xiàng)目投入實(shí)際運(yùn)行的兩年多時(shí)間里，進(jìn)行了多次系統(tǒng)調(diào)優(yōu)，目前系統(tǒng)整體運(yùn)行情況良好。

由于時(shí)間、精力和設(shè)備等限制，我們無(wú)法進(jìn)行更深入的研究工作，但相信隨著技術(shù)的進(jìn)步，無(wú)線(xiàn)網(wǎng)絡(luò)在數(shù)據(jù)吞吐容量、安全性等方面會(huì)取得長(zhǎng)足進(jìn)步，在高校的信息化建設(shè)進(jìn)程中將扮演更加重要的角色。

[1]崔北亮.網(wǎng)絡(luò)管理從入門(mén)到精通[M].北京:人民郵電出版社，2010.

[2]王勇，劉曉輝.網(wǎng)絡(luò)綜合布線(xiàn)與組網(wǎng)工程[M].北京:科學(xué)出版社，2011.

[3]王曉東，鄭連清，郭超，楊文峰.基于 WLAN 的大規(guī)模校園網(wǎng)設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2002.

[4]邵瑞華.校園WLAN網(wǎng)絡(luò)建設(shè)方案[D].大連海事大學(xué)，2011.