關(guān)于校園無(wú)線網(wǎng)絡(luò)的構(gòu)建介紹

今天學(xué)習(xí)啦小編就要跟大家講解下校園無(wú)線網(wǎng)絡(luò)的構(gòu)建~那么對(duì)此感興趣的網(wǎng)友可以多來(lái)了解了解下。下面就是具體內(nèi)容!!!

校園無(wú)線網(wǎng)絡(luò)的構(gòu)建

1 校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則

1.1 標(biāo)準(zhǔn)和解決方案的成熟性

在設(shè)計(jì)校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的時(shí)候，需要考慮國(guó)際和國(guó)內(nèi)的相關(guān)標(biāo)準(zhǔn)，按照這些標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和施工，對(duì)于那些未在國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)中包含的新技術(shù)，堅(jiān)決不采用，同時(shí)各項(xiàng)技術(shù)必須與國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)相一致，而且保證與各個(gè)主流廠商的互操作性和兼容性。除了標(biāo)準(zhǔn)的成熟性之外，還要考慮到方案的成熟性，要保證整個(gè)系統(tǒng)具有前瞻性，在相對(duì)長(zhǎng)的時(shí)間都不會(huì)被淘汰。

1.2 安全性和可靠性

首要考慮的就是安全性和可靠性，要防止操作人員誤操作或者系統(tǒng)中某些故障引起的數(shù)據(jù)破壞，同時(shí)要保護(hù)系統(tǒng)免受外部人員非法入侵和操作人員的越權(quán)操作。系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)診斷和測(cè)試能力，實(shí)現(xiàn)在線故障恢復(fù)，同時(shí)關(guān)鍵設(shè)備和線路要實(shí)現(xiàn)實(shí)時(shí)備份，防止出現(xiàn)故障導(dǎo)致數(shù)據(jù)丟失。在規(guī)劃和設(shè)計(jì)時(shí)，可以從3個(gè)方面進(jìn)行考慮：第一，針對(duì)不同用戶提供不同訪問(wèn)策略。這樣，既可以滿足不同用戶在使用網(wǎng)絡(luò)時(shí)的安全性，同時(shí)對(duì)有特殊需求的用戶提供單獨(dú)的訪問(wèn)服務(wù)，不會(huì)收到非法入侵;第二，保護(hù)無(wú)線網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?第三，加強(qiáng)射頻環(huán)境的監(jiān)控，對(duì)非法掃描的行為進(jìn)行定位，向其發(fā)送警告并將其進(jìn)行剔除。

1.3 可管理性和可維護(hù)性

校園無(wú)線網(wǎng)絡(luò)系統(tǒng)應(yīng)該具有良好的可管理性和可維護(hù)性，能夠?qū)o(wú)線網(wǎng)絡(luò)的工作參數(shù)進(jìn)行集中管理，能夠及時(shí)找到并排除故障。同時(shí)要求可以進(jìn)行在線管理，要求設(shè)備模塊做到即插即用。

1.4 可擴(kuò)展性

整個(gè)系統(tǒng)應(yīng)該可以方便地進(jìn)行功能和規(guī)模上的擴(kuò)展，擴(kuò)展時(shí)整個(gè)無(wú)線網(wǎng)絡(luò)構(gòu)架可以無(wú)需做大的改動(dòng)，擴(kuò)展后操作和管理模式不會(huì)發(fā)生大的變化。要做到系統(tǒng)具有可擴(kuò)展性，就不能只考慮目前的需求，更要考慮之后很長(zhǎng)時(shí)間內(nèi)的需求。

2 無(wú)線網(wǎng)絡(luò)系統(tǒng)方案的實(shí)施

在進(jìn)行高校校園無(wú)線網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)，主要考慮兩個(gè)問(wèn)題：第一是無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域的狀況以及網(wǎng)絡(luò)設(shè)備的選型;第二是用戶的上網(wǎng)方式和計(jì)費(fèi)方式。下面對(duì)這兩個(gè)問(wèn)題進(jìn)行詳細(xì)說(shuō)明。

2.1 無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域和設(shè)備

通過(guò)對(duì)校園環(huán)境的實(shí)地調(diào)研、分析以及對(duì)學(xué)校教師和學(xué)生的調(diào)查，將校園分為室內(nèi)和室外兩種無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域。室內(nèi)無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域包括會(huì)議室、圖書館、閱覽室、自習(xí)室、階梯教室和食堂等;室外無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域包括廣場(chǎng)、花園、操場(chǎng)、停車場(chǎng)以及宿舍前面的休息區(qū)等。對(duì)于網(wǎng)絡(luò)設(shè)備的選擇，從兼容性和配置統(tǒng)一的方面來(lái)考慮，所選購(gòu)的無(wú)線網(wǎng)絡(luò)設(shè)備都是與原校園網(wǎng)絡(luò)設(shè)備相同的品牌。

所謂無(wú)線AP(Access Point)，即無(wú)線接入點(diǎn)，是用于無(wú)線網(wǎng)絡(luò)的無(wú)線交換機(jī)，也是無(wú)線網(wǎng)絡(luò)的核心，是移動(dòng)計(jì)算機(jī)用戶進(jìn)入有線網(wǎng)絡(luò)的接入點(diǎn)。

在本文設(shè)計(jì)的校園無(wú)線網(wǎng)絡(luò)系統(tǒng)中，室外無(wú)線AP采用的是室外型大功率無(wú)線接入點(diǎn)產(chǎn)品，其工作頻段為2.4GHz，支持IEEE802.11n標(biāo)準(zhǔn)，內(nèi)置500mW的雙向功率放大器。由于室外場(chǎng)所的環(huán)境有所不同，無(wú)線網(wǎng)絡(luò)的覆蓋要求也會(huì)有差異，室外無(wú)線AP可根據(jù)這些條件的不同，配合相應(yīng)的外接天線，在室外覆蓋良好的無(wú)線網(wǎng)絡(luò)信號(hào)。

按照本次校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與設(shè)計(jì)，室內(nèi)AP，提供兩路接入，共600Mbps，支持IEEE802.11n標(biāo)準(zhǔn)，可以為每個(gè)用戶提供不低于10Mbps的無(wú)線連接速率，這樣，不但能夠滿足現(xiàn)有校園網(wǎng)應(yīng)用的帶寬要求，同時(shí)，還能夠?yàn)閷W(xué)校的視頻、音頻等多媒體資源的點(diǎn)播提供網(wǎng)絡(luò)基礎(chǔ)，滿足高校未來(lái)信息化發(fā)展的要求。

根據(jù)校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的要求，所選用的無(wú)線AC設(shè)備可以高效地處理學(xué)生網(wǎng)絡(luò)視頻、音頻和在線游戲、在線聊天等小包的數(shù)據(jù)流。同時(shí)，在校園網(wǎng)絡(luò)系統(tǒng)的規(guī)劃中，無(wú)線AP要提供雙萬(wàn)兆的上聯(lián)接口，為之后的無(wú)線應(yīng)用擴(kuò)展和升級(jí)預(yù)留帶寬。

2.2 上網(wǎng)方式

在高校校園無(wú)線網(wǎng)絡(luò)系統(tǒng)中，服務(wù)的對(duì)象主要是教師、學(xué)生和學(xué)校領(lǐng)導(dǎo)、員工等，因此，校園無(wú)線網(wǎng)絡(luò)具有覆蓋范圍廣泛、使用者和使用時(shí)間不確定的特點(diǎn)。為防止非法使用者使用，更好地滿足合法使用者的使用需求，本無(wú)線網(wǎng)絡(luò)系統(tǒng)采用了基于SAM的Portal認(rèn)證方式，只有向?qū)W校申請(qǐng)了無(wú)線網(wǎng)絡(luò)服務(wù)的用戶才能夠使用。根據(jù)無(wú)線網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)，系統(tǒng)將根據(jù)使用時(shí)間對(duì)使用者進(jìn)行收費(fèi)，以時(shí)間計(jì)費(fèi)。使用者在申請(qǐng)完成之后和使用之前，必須先交納一定的費(fèi)用，登錄認(rèn)證成功之后開(kāi)始計(jì)費(fèi)，下線的時(shí)候停止計(jì)費(fèi)，可以精確到秒，當(dāng)余額不足時(shí)會(huì)自動(dòng)下線或者拒絕登錄。

這種方式的具體操作方法是，首先在無(wú)線AC上建立無(wú)線VLAN，啟動(dòng)DHCP服務(wù)，匯聚層的交換機(jī)以Trunk方式與無(wú)線AP相連接。當(dāng)訪問(wèn)者試圖連接無(wú)線網(wǎng)絡(luò)的時(shí)候，都需要通過(guò)portal發(fā)起認(rèn)證請(qǐng)求，只有認(rèn)證成功后才能夠上網(wǎng)，在認(rèn)證成功之后，系統(tǒng)開(kāi)始計(jì)時(shí)，這樣在方便無(wú)線網(wǎng)絡(luò)系統(tǒng)管理和維護(hù)的同時(shí)也能夠防止非法使用者使用無(wú)線網(wǎng)絡(luò)，更好地為合法使用者提供無(wú)線網(wǎng)絡(luò)服務(wù)。由于是無(wú)線網(wǎng)絡(luò)，使用者在使用過(guò)程中可能會(huì)存在移動(dòng)位置的情況，為了讓使用者在移動(dòng)過(guò)程中實(shí)現(xiàn)無(wú)線漫游，在無(wú)線網(wǎng)絡(luò)系統(tǒng)中，讓集群中的多臺(tái)無(wú)線控制器共享用戶的數(shù)據(jù)庫(kù)，從而實(shí)現(xiàn)用戶在整個(gè)網(wǎng)絡(luò)中不同區(qū)域之間進(jìn)行移動(dòng)和跨越過(guò)程中無(wú)縫漫游。無(wú)線上網(wǎng)的流程如圖1所示。

2.3 無(wú)線網(wǎng)絡(luò)的安全

在校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的規(guī)劃與構(gòu)建中，安全是重中之重，是系統(tǒng)成功與否的根本。因此，在系統(tǒng)中，要構(gòu)建一個(gè)良好的安全體系，從而切實(shí)保護(hù)用戶和系統(tǒng)自身的安全。 　　(1)802.1X認(rèn)證。在部署無(wú)線網(wǎng)絡(luò)的安全體系時(shí)，可以采用802.1X和網(wǎng)絡(luò)準(zhǔn)入相結(jié)合的方式。這兩者的結(jié)合可以很好地保證校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全。具體的操作方法是，當(dāng)合法用戶連接上無(wú)線AP之后，要求輸入AP的連接密碼，在合法用戶輸入密碼之后，分配GUEST VLAN的IP，在GUEST VLAN中暫時(shí)不能訪問(wèn)任何資源。

(2)網(wǎng)絡(luò)準(zhǔn)入。當(dāng)用戶被分配GUTST VLAN IP地址之后，用戶暫時(shí)不能對(duì)資源進(jìn)行訪問(wèn)，此時(shí)，系統(tǒng)中的用戶接入服務(wù)器，即網(wǎng)絡(luò)準(zhǔn)入，會(huì)自動(dòng)對(duì)客戶端上的準(zhǔn)入代理進(jìn)行聯(lián)動(dòng)，對(duì)用戶的系統(tǒng)進(jìn)行掃描，查看用戶是否符合準(zhǔn)入策略的要求，如果符合準(zhǔn)入策略的要求，則會(huì)重新分配一個(gè)校園無(wú)線網(wǎng)絡(luò)內(nèi)網(wǎng)地址給用戶，這樣用戶就能夠使用學(xué)校的無(wú)線網(wǎng)絡(luò)了。

如果合法用戶的密碼被泄露，非法用戶得到密碼后去連接無(wú)線AP，連接以后要求輸入密碼，雖然密碼是正確的，但是當(dāng)網(wǎng)絡(luò)準(zhǔn)入對(duì)用戶系統(tǒng)進(jìn)行掃描，會(huì)發(fā)現(xiàn)非法用戶不符合網(wǎng)絡(luò)準(zhǔn)入檢測(cè)，這樣非法用戶就會(huì)一直停留在GUEST VLAN中，有效地保護(hù)了校園無(wú)線網(wǎng)絡(luò)內(nèi)網(wǎng)不受非法用戶的威脅。

(3)數(shù)據(jù)加密。校園無(wú)線網(wǎng)絡(luò)系統(tǒng)中的認(rèn)證機(jī)制和準(zhǔn)入機(jī)制是構(gòu)建安全體系的基礎(chǔ)，數(shù)據(jù)加密也是安全體系中不可或缺的部分。在本次校園無(wú)線網(wǎng)絡(luò)的構(gòu)建中，所有AP與用戶端之間的數(shù)據(jù)傳輸均采用的是AESCCMP加密，AESCCMP又稱為WPA2，它支持AES加密算法，而AES能夠?yàn)樾畔⒑蛿?shù)據(jù)提供128位的加密能力，這是WPA2與WPA最大的區(qū)別，所以AESCCMP的安全性比起WPA有了很大的提升。正是因?yàn)槿绱耍谠O(shè)備中加入WPA2支持已經(jīng)成為了很多服務(wù)商的選擇，而Windows XP系統(tǒng)的補(bǔ)丁SP2中也集成了WPA2的支持。

(4)身份認(rèn)證。在校園無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全體系中，最重要的是身份認(rèn)證，因?yàn)闊o(wú)線網(wǎng)絡(luò)不同于有線網(wǎng)絡(luò)，在無(wú)線網(wǎng)絡(luò)中，攻擊者不像有線網(wǎng)絡(luò)中那么容易被發(fā)現(xiàn)。如果身份認(rèn)證這個(gè)關(guān)卡被攻破，校園無(wú)線網(wǎng)絡(luò)會(huì)被非法用戶使用，甚至?xí)还粽邜阂夤?。為有效地保護(hù)校園無(wú)線網(wǎng)絡(luò)免受攻擊，也為保護(hù)合法用戶的權(quán)益不受侵害，校園無(wú)線網(wǎng)絡(luò)系統(tǒng)采用了EAP-FAST的身份驗(yàn)證方式來(lái)進(jìn)行相互驗(yàn)證，同時(shí)為用戶和進(jìn)程提供動(dòng)態(tài)加密密鑰、物理地址和標(biāo)準(zhǔn)802.11驗(yàn)證機(jī)制。只有在身份驗(yàn)證時(shí)采用最安全的加密算法，才能有效保護(hù)用戶輸入的賬號(hào)、密碼不被抓包軟件截獲，也不會(huì)被黑客軟件暴力解除。

(5)GUEST VLAN。用戶在通過(guò)802.1X之前只能訪問(wèn)有限的網(wǎng)絡(luò)資源。所謂GUEST VLAN，是用戶在通過(guò)802.1X認(rèn)證之前處于的VLAN，用戶在訪問(wèn)GUEST VLAN內(nèi)的資源不需要認(rèn)證，但也只能訪問(wèn)極其有限的資源，比如從GUEST VLAN服務(wù)器上下載802.1X客戶端軟件、升級(jí)客戶端、執(zhí)行其它諸如殺毒軟件、操作系統(tǒng)補(bǔ)丁程序等應(yīng)用程序的升級(jí)，而不能訪問(wèn)其它的網(wǎng)絡(luò)資源。這樣設(shè)置的目的是為防止一些暫時(shí)沒(méi)有安裝認(rèn)證客戶端或者客戶端版本過(guò)低的合法用戶無(wú)法認(rèn)證成功。在用戶連接網(wǎng)絡(luò)的時(shí)候，接入設(shè)備會(huì)把這個(gè)端口加入到GUEST VLAN，當(dāng)認(rèn)證成功之后，端口離開(kāi)GUEST VLAN，這樣用戶就能夠訪問(wèn)其它的網(wǎng)絡(luò)資源了。

2.4 安全管理體系

在構(gòu)建校園無(wú)線網(wǎng)絡(luò)系統(tǒng)時(shí)，不但要從技術(shù)方面建立安全體系，也要從管理方面進(jìn)行安全體系的建設(shè)。主要從以下幾個(gè)方面進(jìn)行：

(1)對(duì)校園無(wú)線網(wǎng)絡(luò)的管理人員進(jìn)行培訓(xùn)和教育，建立健全相關(guān)管理制度。

(2)加強(qiáng)校園無(wú)線網(wǎng)絡(luò)管理人員的安全意識(shí)和安全素養(yǎng)。

(3)加強(qiáng)對(duì)系統(tǒng)運(yùn)行環(huán)境的安全管理，制定相關(guān)制度，進(jìn)行嚴(yán)格管理。

(4)建立設(shè)備選型、采購(gòu)、使用和維護(hù)的管理制度，對(duì)設(shè)備進(jìn)行嚴(yán)格的審查和檢測(cè)以及安全評(píng)估。

(5)建立應(yīng)急處理制度，對(duì)可能發(fā)主的突發(fā)情況制定應(yīng)急處理方案。

3 結(jié)語(yǔ)

社會(huì)的飛速發(fā)展和網(wǎng)絡(luò)的快速普及，讓校園無(wú)線網(wǎng)絡(luò)的建設(shè)成為高校的基礎(chǔ)建設(shè)之一。校園無(wú)線網(wǎng)絡(luò)是教師、學(xué)生獲取資源的重要手段，也為學(xué)校建立智能化教學(xué)系統(tǒng)、提高信息化水平起著巨大作用。因此，規(guī)劃和構(gòu)建一個(gè)良好的校園無(wú)線網(wǎng)絡(luò)系統(tǒng)，將為學(xué)校實(shí)現(xiàn)數(shù)字化建設(shè)發(fā)揮重要作用。