李智

摘要：伴隨著“互聯(lián)網(wǎng)+”時(shí)代的到來，國家對智慧校園的建設(shè)越來越重視，在新時(shí)代的背景下，原來的有線網(wǎng)絡(luò)架構(gòu)已經(jīng)不能滿足廣大師生的上網(wǎng)需求了，無論是日常使用還是網(wǎng)絡(luò)教學(xué)，無線網(wǎng)絡(luò)的普及已經(jīng)迫在眉睫。本文將積極探索校園無線網(wǎng)絡(luò)設(shè)計(jì)方案以及無線上網(wǎng)的認(rèn)證策略，給全校師生提供一個(gè)便捷和安全的無線網(wǎng)絡(luò)使用環(huán)境。

關(guān)鍵詞：智慧校園；無線網(wǎng)絡(luò)；認(rèn)證策略；便捷和安全

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2019）04-0038-02

1 校園無線網(wǎng)絡(luò)建設(shè)背景

伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，越來越多的高校加快了信息化建設(shè)的步伐，在原有的校園網(wǎng)基礎(chǔ)上，開展無線網(wǎng)絡(luò)全覆蓋的建設(shè)，不僅給師生日常工作生活中提供了很大的便利，并且為網(wǎng)絡(luò)教學(xué)、在線服務(wù)、移動(dòng)辦公等服務(wù)上提供了強(qiáng)有力的網(wǎng)絡(luò)保障。現(xiàn)階段校園網(wǎng)用戶已經(jīng)不再滿足使用臺(tái)式機(jī)在固定信息點(diǎn)的辦公學(xué)習(xí)區(qū)域進(jìn)行上網(wǎng)了，而是更希望能通過筆記本、平板電腦、手機(jī)在學(xué)校范圍內(nèi)任何一個(gè)地點(diǎn)上網(wǎng)，所以校園無線網(wǎng)絡(luò)全覆蓋已經(jīng)迫在眉睫，成為校園網(wǎng)基礎(chǔ)建設(shè)的重點(diǎn)。無線局域網(wǎng)（WLAN）技術(shù)使用的標(biāo)準(zhǔn)也從原來最初的802.11b、802.11a和802.11g發(fā)展到802.11n和802.11ac，網(wǎng)速也從原來的11M提高到現(xiàn)在的1G，無線網(wǎng)絡(luò)傳輸穩(wěn)定性上也得到了極大的提升，本文將在現(xiàn)階段WLAN技術(shù)基礎(chǔ)上，基于穩(wěn)定可靠且安全的網(wǎng)絡(luò)通訊產(chǎn)品基礎(chǔ)上，建設(shè)校園無線網(wǎng)絡(luò)。

2 WLAN無線網(wǎng)絡(luò)需求分析

校園無線網(wǎng)絡(luò)建設(shè)要基于本校實(shí)際環(huán)境進(jìn)行需求分析，在合理投入的基礎(chǔ)上確保無線網(wǎng)的建設(shè)更加具備實(shí)用效益，具體需求分析將從以下幾點(diǎn)進(jìn)行討論。

2.1較高的實(shí)用性

選擇的無線網(wǎng)絡(luò)管理系統(tǒng)要具有一定的先進(jìn)性，是目前比較流行的管理技術(shù)，選擇技術(shù)相對成熟、維護(hù)成本小、管理簡便的無線網(wǎng)管系統(tǒng)，即“無線控制器+瘦AP”方式。整套系統(tǒng)能夠易于網(wǎng)絡(luò)管理者快速定位故障點(diǎn)、系統(tǒng)應(yīng)急處理功能等常用的維護(hù)手段，對于普通用戶能夠提供一個(gè)簡便、安全、快速的網(wǎng)絡(luò)接入方式。

2.2無線網(wǎng)絡(luò)安全

和有線網(wǎng)絡(luò)不同，無線網(wǎng)絡(luò)更加具有開放性，用戶們通常是通過SSID號連接到無線網(wǎng)絡(luò)的，這就代表公開了一個(gè)網(wǎng)絡(luò)接入點(diǎn)。所以針對這個(gè)問題，整個(gè)無線網(wǎng)絡(luò)體系對用戶進(jìn)行接入進(jìn)行訪問控制是非常有必要的，靈活運(yùn)用網(wǎng)絡(luò)防火墻的功能，在保證信息系統(tǒng)、教育資源不受到侵害的情況下，為師生提供一個(gè)安全、便捷的接入方式。

2.3覆蓋區(qū)域

由于現(xiàn)在學(xué)校發(fā)展的需求建設(shè)了新校區(qū)，新校區(qū)的特點(diǎn)普遍就是比較大，并且教學(xué)樓和辦公樓也比較多，這就給無線網(wǎng)絡(luò)覆蓋提出了很高的要求。教學(xué)區(qū)、辦公區(qū)、宿舍區(qū)、實(shí)驗(yàn)室、圖書館、操場等室內(nèi)外的建筑風(fēng)格和環(huán)境都各有同，要做到全方位無死角的覆蓋整個(gè)校園，需要到各個(gè)區(qū)域進(jìn)行信號勘測，以提高無線AP覆蓋的準(zhǔn)確性和高效性。

2.4可擴(kuò)展性

隨著大數(shù)據(jù)的時(shí)代到來，無線網(wǎng)絡(luò)要具備一定的可擴(kuò)展性，可以與主流的大數(shù)據(jù)平臺(tái)進(jìn)行數(shù)據(jù)交換，能夠提供準(zhǔn)確的用戶定位信息，與上網(wǎng)行為審計(jì)、認(rèn)證計(jì)費(fèi)等常規(guī)的系統(tǒng)可以很好對接，為未來信息化建設(shè)的提供很好的數(shù)據(jù)支持。

3 校園無線網(wǎng)絡(luò)設(shè)計(jì)

3.1無線網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

無線網(wǎng)絡(luò)在原有網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行建設(shè)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也是遵循“核心—匯聚—接入”部署原則，但相對原有的網(wǎng)絡(luò)又是一個(gè)相對獨(dú)立的子網(wǎng)，設(shè)備之間通過雙鏈路冗余上聯(lián)，無線控制器和認(rèn)證系統(tǒng)旁掛無線核心，對AP進(jìn)行控制和賬號登錄認(rèn)證，所有無線數(shù)據(jù)最終是通過無線核心交換機(jī)與有線核心交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，無線核心與有線核心之間啟用端口聚合配置，具體網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

3.2室內(nèi)外無線網(wǎng)絡(luò)覆蓋

1）室內(nèi)AP覆蓋搭建

對于不同建筑物的風(fēng)格要根據(jù)具體情況來進(jìn)行搭建，這樣才能保證信號能夠全面覆蓋。例如在比較空曠的會(huì)議室、禮堂、階梯教室等地方，這里同一時(shí)間可能會(huì)聚集很多人，這就要考慮AP能否承受多用戶同時(shí)登錄的能力，所以這些地方需要部署高性能的高密度放裝AP；在普通教室、學(xué)生宿舍、辦公室等比較狹小空間內(nèi)，如果只是統(tǒng)一在樓道放置放裝AP話，房間內(nèi)某些角落無線信號會(huì)非常弱，影響用戶體驗(yàn)，這時(shí)就需要對每個(gè)房間采用面板AP進(jìn)行覆蓋，保證每個(gè)房間都有充足的信號。

2）室外AP覆蓋搭建

由于高校校園戶外都比較開闊且面積較大，如果只放高密度AP則無法輻射較遠(yuǎn)，這時(shí)候就要采用部署室外大功率AP進(jìn)行覆蓋，并且將其放置在不同建筑物的樓頂，同時(shí)也要注意周圍建筑物以及環(huán)境的影響，例如樓棟比較矮且周圍有較高的樓房，這樣會(huì)造成AP覆蓋范圍大打折扣，另一種情況是要避開樓頂有運(yùn)營商基站的情況，防止信號干擾。

3.3 無線控制器AC配置

在完成了基礎(chǔ)網(wǎng)絡(luò)拓?fù)浯罱ê同F(xiàn)場AP部署工作后，就需要配置無線控制器進(jìn)行AP管理了，由于采用的是“無線控制器+瘦AP”的部署形式，AC通過CAPWAP隧道與AP進(jìn)行通信和下發(fā)配置，并且能過該隧道能夠?qū)P進(jìn)行管理和監(jiān)控，所以AC的配置就顯得尤為重要，合理的規(guī)劃配置是便于日后維護(hù)的基礎(chǔ)。由于大部分師生都在新校區(qū)進(jìn)行辦公學(xué)習(xí)，本次將采用“本地轉(zhuǎn)發(fā)”的形式以減少AC的負(fù)荷，具體配置步驟如下所示。

1）服務(wù)模板創(chuàng)建

wlan service-template local-forward //創(chuàng)建服務(wù)模板名稱

ssid glmc //服務(wù)模板對應(yīng)SSID號

client forwarding-location ap vlan 3301 to 3316 //應(yīng)用Vlan范圍

service-template enable //啟用服務(wù)模板

2）AP分組配置

wlan ap-group dc-lib //創(chuàng)建AP分組

if-match ip 10.90.2.0 255.255.255.0 //自動(dòng)判斷ip，將AP劃入該組

ap-model WA5320H //配置AP型號

map-configuration cfa0：/ap-cfg/LIB-WA5320H.cfg //下發(fā)AP配置

radio 1 //5G射頻信號

radio enable //射頻信號開啟

service-template local-forward vlan 3302 //將服務(wù)模板應(yīng)用于射頻1

radio 2 //2.4G射頻信號

radio enable //射頻信號開啟

service-template local-forward vlan 3302 //將服務(wù)模板應(yīng)用于射頻2

3）相關(guān)基本配置

wlan auto-ap enable //開啟AP自動(dòng)發(fā)現(xiàn)功能

ip https enable //開啟無線控制器Web管理功能

4 無線網(wǎng)絡(luò)認(rèn)證方式探索

校園無線網(wǎng)絡(luò)使用用戶以學(xué)生為主，并且每天都在不同地方使用無線網(wǎng)絡(luò)，為了提高安全性，必須采用相關(guān)的認(rèn)證方式，對用戶身份進(jìn)行“準(zhǔn)入和準(zhǔn)出”驗(yàn)證，目前最流行的認(rèn)證方式有以下幾種。

4.1 常用的認(rèn)證方方式

1）802.1x認(rèn)證

802.1x認(rèn)證是基于C/S架構(gòu)的傳統(tǒng)認(rèn)證方式，該認(rèn)證方式根據(jù)用戶或者設(shè)備，對終端或端口進(jìn)行權(quán)限鑒定，采用遠(yuǎn)程認(rèn)證撥號用戶（RADIUS）方法，將其分為請求、認(rèn)證和授權(quán)。該認(rèn)證方式用戶需要安裝客戶端，適用于臺(tái)式PC機(jī)和筆記本，對于移動(dòng)端認(rèn)證不是很友好，結(jié)合我校的用戶的特點(diǎn)，不適用此認(rèn)證方式。

2）Portal認(rèn)證

Portal認(rèn)證是目前最流行、最便捷的認(rèn)證方式，是基于B/S架構(gòu)的新型認(rèn)證方式，用戶在認(rèn)證過程中無須下載客戶端，減少了對客戶端維護(hù)工作。用戶訪問校內(nèi)或者校外資源時(shí)，所有的http或者h(yuǎn)ttps請求都將會(huì)跳轉(zhuǎn)到Portal認(rèn)證界面，認(rèn)證成功后即可訪問網(wǎng)絡(luò)資源，目前這種認(rèn)證方式在校園網(wǎng)絡(luò)認(rèn)證中使用最多。

3）MAC地址認(rèn)證

Mac地址認(rèn)證是根據(jù)終端Mac地址作為特征進(jìn)行識別，網(wǎng)絡(luò)管理人員需要在認(rèn)證系統(tǒng)數(shù)據(jù)庫里添加一張Mac地址緩存表，當(dāng)用戶認(rèn)證的時(shí)候，系統(tǒng)會(huì)首先判斷終端的Mac地址是否與緩存表中的Mac地址一致，只有匹配才允許登陸。這種認(rèn)證方式只適用于小型網(wǎng)絡(luò)，像校園網(wǎng)規(guī)模的用戶量是不適用的，且存在很大的安全隱患，黑客可以偽造Mac地址進(jìn)行登陸。

4.2 高效且安全的認(rèn)證方法——無感知認(rèn)證

在當(dāng)前無線網(wǎng)絡(luò)建設(shè)中，在保證網(wǎng)絡(luò)的安全性的情況下，如何降低用戶認(rèn)證的操作復(fù)雜性，是研究的一個(gè)重點(diǎn)。上一節(jié)分析了主流的三個(gè)認(rèn)證方式特點(diǎn)，本節(jié)結(jié)合學(xué)校用戶和設(shè)備部署的實(shí)際情況，決定采用Portal認(rèn)證和 Mac地址認(rèn)證結(jié)合的認(rèn)證方式，實(shí)現(xiàn)最終的無感知認(rèn)證，具體認(rèn)證流程如下所示。

1）用戶第一次連接無線SSID信號后，由用戶終端向無線控制器發(fā)起認(rèn)證請求，無線控制器將用戶的Mac地址發(fā)送給Portal認(rèn)證服務(wù)器，此時(shí)因?yàn)橛脩舻谝淮蔚顷?，在Mac地址緩存表中沒有該終端的Mac地址，此時(shí)無線控制器會(huì)重定向用戶的瀏覽頁面指向認(rèn)證界面，用戶將通過賬號密碼進(jìn)行登錄認(rèn)證，認(rèn)證成功后系統(tǒng)將存儲(chǔ)該用戶的信息和終端的Mac地址。

2）用戶在下一次登錄認(rèn)證的時(shí)候，依然是通過無線控制器發(fā)起認(rèn)證請求，由于之前有登錄認(rèn)證成功過，后臺(tái)數(shù)據(jù)庫已經(jīng)存有該用戶和終端的信息，用戶就不需要再次認(rèn)證，直接就可以認(rèn)證成功，因此無感知認(rèn)證降低了認(rèn)證操作的復(fù)雜性，大大提高了用戶使用的體驗(yàn)性。

5 結(jié)語

無線網(wǎng)絡(luò)覆蓋已經(jīng)成為高校信息化建設(shè)的趨勢，科學(xué)合理的網(wǎng)絡(luò)規(guī)劃配置，標(biāo)準(zhǔn)化的建設(shè)工程，不斷優(yōu)化的無線網(wǎng)絡(luò)架構(gòu)是打造一個(gè)良好的無線校園網(wǎng)的基礎(chǔ)。通過以上的工作部署和設(shè)備配置，可以基本滿足無線網(wǎng)絡(luò)的使用和簡單的維護(hù)管理工作，日后可以根據(jù)需求繼續(xù)添加相關(guān)使用和管理功能。

參考文獻(xiàn)：

[1] 李萬軍，唐贊玉.校園無線網(wǎng)絡(luò)的構(gòu)建[J].軟件導(dǎo)刊，2012（11）.

[2] 呂紀(jì)霆，霍振興.基于校園網(wǎng)建設(shè) WLAN 的網(wǎng)絡(luò)建設(shè)與運(yùn)營管理方案[J].數(shù)據(jù)通信，2013（05）.

[3] 柏軍洋，杜慶東.校園網(wǎng)認(rèn)證系統(tǒng)的安全分析與研究[J].沈陽師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2013（2）：263-267.

[4] 曾偉.校園無線網(wǎng)絡(luò)規(guī)劃與建設(shè)探討[J].信息系統(tǒng)工程，2013（1）：53-54.

[5] 劉宇.無線局域網(wǎng)技術(shù)與搭建探究[J].通訊世界，2016（12上）：187-188.

[6] 袁林德.高校無線校園網(wǎng)建設(shè)及優(yōu)化[J].中國新通信，2017，19（15）：115-116.

【通聯(lián)編輯：唐一東】