張家松
摘要:目前,我州的大多數(shù)中小學(xué)都建設(shè)了自己的校園網(wǎng),考慮到校園建筑的布線問(wèn)題,以及現(xiàn)在許多老師都配備了帶無(wú)線網(wǎng)卡的筆記本,校園無(wú)線網(wǎng)絡(luò)的建設(shè)也得到快速發(fā)展。但許多學(xué)校都為無(wú)線網(wǎng)絡(luò)的安全接入而頭疼。該文以我校為例,介紹了無(wú)線局域網(wǎng)的建設(shè)和管理,起到一個(gè)拋磚引玉的作用,供同行參考。
關(guān)鍵詞: 無(wú)線局域網(wǎng);無(wú)線AP;軟路由
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2015)24-0016-02
隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和應(yīng)用的不斷普及。充分利用各種網(wǎng)絡(luò)信息資源為教學(xué)服務(wù)已經(jīng)成為學(xué)校信息化的手段,很多學(xué)校為此都建立了自己的校園網(wǎng)。通過(guò)校園網(wǎng),教師可以從互聯(lián)網(wǎng)下載有用的課程資源,學(xué)生也可以進(jìn)行在線學(xué)習(xí)。但傳統(tǒng)的有線組網(wǎng)方式限制了網(wǎng)絡(luò)的使用[1]。隨著無(wú)線局域網(wǎng)技術(shù)的成熟,智能手機(jī)、平板的普及和應(yīng)用,無(wú)線局域網(wǎng)的優(yōu)勢(shì)也更加得以體現(xiàn)。沒(méi)有了網(wǎng)線的束縛,老師和學(xué)生可以更加方便地使用網(wǎng)絡(luò)獲取信息。隨著技術(shù)的發(fā)展,針對(duì)無(wú)線網(wǎng)絡(luò)的攻擊越來(lái)越多,手段也越來(lái)越先進(jìn),設(shè)計(jì)好、管好、用好無(wú)線局域網(wǎng)也成了關(guān)鍵所在。
1 無(wú)線局域網(wǎng)技術(shù)介紹
無(wú)線局域網(wǎng)(WLAN)是基于IEEE802.11標(biāo)準(zhǔn)的局域網(wǎng),利用無(wú)線技術(shù)在空中傳輸數(shù)據(jù)、話音和視頻信號(hào)。作為傳統(tǒng)布線網(wǎng)絡(luò)的一種替代方案或延伸。它允許在局域網(wǎng)絡(luò)環(huán)境中使用可以不必授權(quán)的ISM頻段中的2.4GHz或5GHz射頻波段進(jìn)行無(wú)線連接[2]。從1999年9月IEEE802.11b被正式批準(zhǔn)到現(xiàn)在的十多年時(shí)間里,經(jīng)歷了11b(11Mbps)、11g(54Mbps)、11n(150/300Mbps)、11ac(1.3Gbps)幾個(gè)標(biāo)準(zhǔn),現(xiàn)在用得最多是11n的標(biāo)準(zhǔn),性價(jià)比最好。
2 無(wú)線局域網(wǎng)安全接入的選擇
從安全考慮,接入無(wú)線局域網(wǎng)時(shí)都要進(jìn)行密碼認(rèn)證,目前常用的加密和認(rèn)證方式有以下幾種。(見表1)
我校選擇的是通過(guò)Web方式進(jìn)行無(wú)線接入認(rèn)證,因?yàn)榭梢苑奖銓?duì)上網(wǎng)的各用戶進(jìn)行管理。每位教師有自己的上網(wǎng)賬號(hào)和密碼,并且通過(guò)MAC地址進(jìn)行二次認(rèn)證,避免了用戶名和密碼丟失后被別人盜用的問(wèn)題。而且通過(guò)Web認(rèn)證也不需要安裝軟件,通過(guò)手機(jī)或平板自帶的瀏覽器進(jìn)行認(rèn)證后,就可以使用外網(wǎng)。 使用Web認(rèn)證后,可以不需要對(duì)無(wú)線AP進(jìn)行加密,因此學(xué)生也可以接入,可以訪問(wèn)一些公開的內(nèi)網(wǎng)資源,如查詢自己的考試成績(jī)、試卷答題信息等,但不能訪問(wèn)外網(wǎng),也不能使用需要向外網(wǎng)交換數(shù)據(jù)的程序(如QQ和微信)。這樣,即保證了內(nèi)外網(wǎng)安全,也提高了校園網(wǎng)絡(luò)的利用率。更好地為教師和學(xué)生服務(wù)。
3 我校網(wǎng)絡(luò)的建設(shè)情況
我校早在2003年就建設(shè)了校園網(wǎng)絡(luò),通過(guò)4M的ADSL接入互聯(lián)網(wǎng)。2006年新的教學(xué)大樓建成并投入使用,校園網(wǎng)也進(jìn)行了重建?,F(xiàn)在的情況是整棟教學(xué)大樓以Cisco4006三層交換機(jī)為核心交換機(jī),東邊以Cisco2950為邊緣交換機(jī),將學(xué)校的三個(gè)計(jì)算機(jī)教室,各處室、辦公室、教師休息室、30個(gè)教室都接入學(xué)校校園網(wǎng)。校園網(wǎng)通過(guò)TP-LINK6120路由器以100Mbps的帶寬接入中國(guó)移動(dòng)互聯(lián)網(wǎng)。為了方便管理,學(xué)校對(duì)校園網(wǎng)進(jìn)行了VLAN的劃分,將三個(gè)計(jì)算機(jī)教室劃為一個(gè)網(wǎng)段,30個(gè)教室劃為一個(gè)網(wǎng)段,各處室、辦公室、教師休息室劃為一個(gè)網(wǎng)段。除了教室以外,其它兩個(gè)網(wǎng)段都接入互聯(lián)網(wǎng)。上網(wǎng)的每一臺(tái)計(jì)算機(jī)都進(jìn)行了靜態(tài)IP地址的分配,并在路由器上進(jìn)行了IP和MAC地址的綁定。防止非法計(jì)算機(jī)接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)拓?fù)鋱D如下:
4 無(wú)線局域網(wǎng)的實(shí)施
4.1 安裝愛快軟路由系統(tǒng)
因?yàn)閱渭兊挠布J(rèn)證設(shè)備價(jià)格很高,架設(shè)單純的認(rèn)證服務(wù)器對(duì)于普通中小學(xué)也沒(méi)有必要,因此我們使用具備認(rèn)證功能的軟路由來(lái)實(shí)現(xiàn)其功能。愛快軟路由是目前國(guó)內(nèi)做得比較好的一款路由軟件(目前最新版本是2.5.6),其操作簡(jiǎn)單,功能強(qiáng)大,并且是免費(fèi)的,沒(méi)有植入任何廣告。無(wú)線認(rèn)證和路由功能合為一體,無(wú)需單獨(dú)架設(shè)認(rèn)證服務(wù)器,提高了服務(wù)器的利用率,其CPU和內(nèi)存的占用率較小,配置一般的計(jì)算機(jī)都有較好的帶機(jī)量[3]。(見表2)
4.2 安裝無(wú)線AP
IEEE802.11g標(biāo)準(zhǔn)其都只支持3個(gè)不重疊的傳輸信道,只有信道1、6、11或13是不沖突的。為了讓無(wú)線信號(hào)覆蓋整個(gè)校園,又不互相干擾。我們?cè)诎惭b無(wú)線AP時(shí),采用蜂窩結(jié)構(gòu)布點(diǎn),每?jī)蓚€(gè)AP有一定的無(wú)線覆蓋重疊范圍,并使用手動(dòng)設(shè)置信道的方式避免信號(hào)干擾。具體見下圖。
4.3 劃分VLAN
在原校園網(wǎng)的基礎(chǔ)上劃分出第四個(gè)網(wǎng)段,將所有安裝好的無(wú)線AP接入該網(wǎng)段。這樣可以保證原有的網(wǎng)絡(luò)功能不變,同時(shí)有、無(wú)線接入不相互影響。
5 無(wú)線接入認(rèn)證的實(shí)施
1)無(wú)線AP的設(shè)置:主要是設(shè)置無(wú)線AP的IP地址、關(guān)閉無(wú)線AP的DHCP服務(wù)和DNS服務(wù),讓IP地址的分配和DNS的分配由軟路由來(lái)進(jìn)行。
2)開啟愛快軟路由對(duì)應(yīng)無(wú)線接入的網(wǎng)卡的DHCP服務(wù):通過(guò)瀏覽器進(jìn)入愛快軟路由管理界面,在“網(wǎng)絡(luò)設(shè)置”中,選擇“DHCP設(shè)置”選擇和主無(wú)線AP同在一個(gè)網(wǎng)段的網(wǎng)卡,開啟服務(wù),同時(shí),在“客戶端靜態(tài)分配”頁(yè)面里,將各位教師的無(wú)線網(wǎng)卡的MAC地址和IP地址進(jìn)行綁定。
3)開啟認(rèn)證服務(wù):在“認(rèn)證計(jì)費(fèi)”中找到“認(rèn)證服務(wù)管理”頁(yè)面,開啟WEB認(rèn)證服務(wù),愛快路由支持的認(rèn)證方式很多,有“一鍵認(rèn)證”、“QQ認(rèn)證”、“微信認(rèn)證”、“用戶密碼認(rèn)證”、“優(yōu)惠券認(rèn)證”等,我們選擇的是“用戶密碼”認(rèn)證方式和“優(yōu)惠券”認(rèn)證方式。
4)認(rèn)證賬號(hào)管理:在“認(rèn)證賬號(hào)管理”中,可以根據(jù)需要,添加上網(wǎng)教師的賬號(hào)、密碼,并二次綁定MAC和IP地址。上、下行帶寬數(shù)值、共享賬號(hào)數(shù)等信息。
5)使用無(wú)線方式接入互聯(lián)網(wǎng):開啟一個(gè)設(shè)備的無(wú)線網(wǎng)卡(如手機(jī)),自動(dòng)找到了開放的無(wú)線AP,打開設(shè)備的瀏覽器,自動(dòng)彈出了認(rèn)證的界面(圖3),輸入正確的用戶名和密碼,順利通過(guò)認(rèn)證(圖4),即可正常使用網(wǎng)絡(luò)。
6 日常維護(hù)
1)系統(tǒng)的維護(hù):愛快軟路由系統(tǒng)比較穩(wěn)定,維護(hù)也相對(duì)簡(jiǎn)單,一般30天左右重啟一次即可。平時(shí)多觀察系統(tǒng)生成的各種日志信息,特別是系統(tǒng)日志和用戶日志,對(duì)可疑的網(wǎng)絡(luò)攻擊行為和反復(fù)登錄失敗的用戶要及時(shí)處理。
2)無(wú)線AP的維護(hù):每天檢測(cè)無(wú)線AP的運(yùn)行情況,分析數(shù)量的流量,每周對(duì)無(wú)線AP進(jìn)行重啟。對(duì)于數(shù)據(jù)傳輸量過(guò)大的無(wú)線AP,可以通過(guò)增加接入點(diǎn)來(lái)分流數(shù)據(jù)。平時(shí)要留有一定數(shù)量的無(wú)線AP,方便設(shè)備出問(wèn)題時(shí)可以在第一時(shí)間進(jìn)行更換。
7 小結(jié)
通過(guò)以上方案的實(shí)施,各位教師可以方便的在教學(xué)樓里將自己的筆記本、平板、手機(jī)通過(guò)無(wú)線網(wǎng)絡(luò)接入互聯(lián)網(wǎng),獲取所需要的教學(xué)資源。上網(wǎng)位置發(fā)生變化時(shí),可以自動(dòng)選擇信號(hào)最強(qiáng)的無(wú)線AP實(shí)現(xiàn)“無(wú)線漫游”,不需要重新認(rèn)證。需要擴(kuò)大上網(wǎng)范圍時(shí),只需要增加無(wú)線AP的數(shù)量就可以輕松實(shí)現(xiàn)。通過(guò)半年多的使用,目前整個(gè)系統(tǒng)運(yùn)行一切正常。
參考文獻(xiàn):
[1] 廖振宇. 校園無(wú)線局域網(wǎng)的設(shè)計(jì)方案[DB/OL]. http://wenku.baidu.com/link?url=HwAxmrXXnmoWLgzgstgyQ5ocnA9Je1Np LNVerWc-ISdQ7aMETfK5qobTxRYhwAKazb4paJ87RsaHgkE GfoIXrQai9yWnX4ZXlbJTCxHykoa
[2] 校園無(wú)線網(wǎng)絡(luò)的應(yīng)用與設(shè)計(jì)實(shí)現(xiàn)[DB/OL]. http://wenku.baidu.com/view/132630ee0975f46527d3e1b3.html
[3] 愛快推薦硬件配置[DB/OL]. http://www.ikuai8.com/support_article.php?id=229