校園無(wú)線網(wǎng)絡(luò)設(shè)計(jì)分析

趙志鵬

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線網(wǎng)絡(luò)因其方便、快捷、可移動(dòng)的優(yōu)勢(shì)已成為互聯(lián)網(wǎng)訪問(wèn)的主流技術(shù)。通過(guò)對(duì)無(wú)線網(wǎng)絡(luò)技術(shù)分析，從網(wǎng)絡(luò)覆蓋、安全防范等方面探討了建立安全、可靠校園無(wú)線網(wǎng)絡(luò)可行的技術(shù)方案。

【關(guān)鍵詞】無(wú)線網(wǎng)絡(luò) 校園網(wǎng) 網(wǎng)絡(luò)協(xié)議

隨著網(wǎng)絡(luò)信息化的發(fā)展，筆記本電腦、智能手機(jī)等移動(dòng)設(shè)備的普及，僅僅局限于固定地點(diǎn)上網(wǎng)已經(jīng)不能滿足人們的需求，越來(lái)越多可移動(dòng)的網(wǎng)絡(luò)訪問(wèn)在廣場(chǎng)、禮堂、大型教室、會(huì)議室、體育場(chǎng)館等場(chǎng)所被需求。

1 無(wú)線網(wǎng)絡(luò)主要技術(shù)優(yōu)勢(shì)

1.1 易擴(kuò)充，覆蓋范圍廣

無(wú)線網(wǎng)絡(luò)組網(wǎng)靈活，在并發(fā)用戶數(shù)允許范圍內(nèi)，增加新用戶無(wú)需添加新的設(shè)施設(shè)備，只需簡(jiǎn)單的配置即可，若超出允許范圍，只需增加新的接入點(diǎn)。同有線網(wǎng)絡(luò)相比，省去了重新布線、配置復(fù)雜等工作。有線網(wǎng)絡(luò)受傳輸介質(zhì)的限制，數(shù)據(jù)的傳輸僅限于相鄰兩個(gè)節(jié)點(diǎn)之間，而無(wú)線網(wǎng)絡(luò)只要是在AP節(jié)點(diǎn)覆蓋半徑范圍內(nèi)，任何無(wú)線終端設(shè)備均可通過(guò)該AP節(jié)點(diǎn)連接入網(wǎng)，而且隨著AP節(jié)點(diǎn)的擴(kuò)充可以實(shí)現(xiàn)大面積范圍內(nèi)的無(wú)線信號(hào)覆蓋。

1.2 布線簡(jiǎn)單，成本低

無(wú)線網(wǎng)絡(luò)接入網(wǎng)絡(luò)只需對(duì)聯(lián)入有線網(wǎng)的AP節(jié)點(diǎn)進(jìn)行布線，無(wú)線AP之間的連接無(wú)須布線，相比有線網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)都需要布線、配備網(wǎng)絡(luò)端口，無(wú)線網(wǎng)絡(luò)建設(shè)成本大大低于有線網(wǎng)絡(luò)。

1.3 網(wǎng)絡(luò)終端可移動(dòng)性強(qiáng)

在傳統(tǒng)的有線網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)終端只能通過(guò)網(wǎng)絡(luò)接入端口才能訪問(wèn)網(wǎng)絡(luò)。網(wǎng)絡(luò)終端受接入端口位置的限制，物理位置基本固定，可移動(dòng)差。無(wú)線網(wǎng)絡(luò)由于使用無(wú)線信號(hào)傳輸介質(zhì)，使得網(wǎng)絡(luò)終端只要在無(wú)線信號(hào)范圍內(nèi)，都可以隨時(shí)隨地的接入網(wǎng)絡(luò)。

2 校園無(wú)線網(wǎng)絡(luò)設(shè)計(jì)分析

2.1 主要協(xié)議與設(shè)備

常用的無(wú)線網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)主要有美國(guó)IEEE（電機(jī)電子工程師協(xié)會(huì)）所制定的802.11標(biāo)準(zhǔn)（包括802.11a 、802.11b 、802.11g、802.11n和802.11ac等標(biāo)準(zhǔn)），藍(lán)牙（Bluetooth）標(biāo)準(zhǔn)以及HomeRF（家庭網(wǎng)絡(luò)）標(biāo)準(zhǔn)等。其中，IEEE 802.11n是目前廣泛使用的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，它使無(wú)線局域網(wǎng)的傳輸速率由802.11a及802.11g提供的54Mbps、108Mbps提高到300Mbps。此外，IEEE 802.11ac，俗稱5G WiFi，采用5GHz頻帶進(jìn)行通信，理論上能夠提供最少1Gbps帶寬并且向下兼容。

無(wú)線校園網(wǎng)主要有終端設(shè)備、無(wú)線控制器（Access Controller）和無(wú)線接入點(diǎn)（Access Point）等設(shè)備。其中，終端設(shè)備是指帶有無(wú)線網(wǎng)卡的設(shè)備，如筆記本電腦、智能手機(jī)等；無(wú)線控制器簡(jiǎn)稱AC，用于對(duì)所有無(wú)線AP進(jìn)行管理和控制的設(shè)備，并能通過(guò)與認(rèn)證服務(wù)器的通信來(lái)進(jìn)行信息安全認(rèn)證；無(wú)線接入點(diǎn)簡(jiǎn)稱AP，是執(zhí)行橋接操作的設(shè)備，在終端設(shè)備和有線之間對(duì)無(wú)線幀和有線幀進(jìn)行相互轉(zhuǎn)換。AP又有瘦AP（Fit AP）和胖AP（Fat AP）之分，瘦AP是指只具有射頻和通信功能的AP，需要在AC的控制下才能工作；胖AP典型的例子是無(wú)線路由器，除了無(wú)線接入功能，一般還具有WAN、LAN接口，支持DHCP服務(wù)器、DNS等功能。

2.2 校園無(wú)線網(wǎng)設(shè)計(jì)方案

2.2.1 設(shè)計(jì)原則

校園無(wú)線覆蓋設(shè)計(jì)應(yīng)遵循室內(nèi)信號(hào)范圍最大化原則，在室內(nèi)進(jìn)行全面覆蓋的前提下，對(duì)校園部分區(qū)域進(jìn)行可選的覆蓋，同時(shí)確保無(wú)線網(wǎng)絡(luò)穩(wěn)定性、兼容性和可擴(kuò)展性。

2.2.2 物理結(jié)構(gòu)設(shè)計(jì)

考慮到網(wǎng)絡(luò)的安全性和經(jīng)濟(jì)性，應(yīng)采用非獨(dú)立型的無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)選型（無(wú)線借用原有的有線網(wǎng)絡(luò)）。網(wǎng)絡(luò)架構(gòu)建議采用瘦AP+AC模式。其中，AP通過(guò)POE交換機(jī)提供數(shù)據(jù)連接和供電，連接到校園內(nèi)網(wǎng)的每個(gè)樓的匯聚交換機(jī)，AP的IP地址為靜態(tài)IP地址。AC通過(guò)創(chuàng)建數(shù)據(jù)/控制隧道對(duì)AP進(jìn)行數(shù)據(jù)傳輸、管理控制。

2.2.3 覆蓋方案

WLAN無(wú)線信號(hào)覆蓋方式分為室內(nèi)覆蓋和室外覆蓋兩種。校園WLAN覆蓋方式的選擇應(yīng)依據(jù)區(qū)域的具體情況，教學(xué)樓、辦公樓和學(xué)員宿舍等室內(nèi)區(qū)域，建議以室內(nèi)覆蓋為主，其他區(qū)域以室外覆蓋為輔的方式進(jìn)行覆蓋。

從建筑布局來(lái)看，對(duì)于辦公樓、學(xué)員宿舍等雙面房間的建筑，應(yīng)考慮采用在走廊放置吸頂式AP室內(nèi)覆蓋方式，采用多個(gè)無(wú)線AP整合交叉覆蓋形成大面積覆蓋區(qū)域，無(wú)線信號(hào)通過(guò)房間的門(mén)窗傳輸?shù)绞覂?nèi)，實(shí)現(xiàn)無(wú)線信號(hào)的覆蓋。

對(duì)于學(xué)校體育場(chǎng)等室外空曠的區(qū)域，可根據(jù)區(qū)域的形狀、面積等因素，設(shè)計(jì)建立多個(gè)無(wú)線覆蓋點(diǎn)，采用蜂窩式覆蓋方式，無(wú)線信號(hào)的覆蓋范圍盡量遠(yuǎn)離教室。

2.3 安全防范

校園無(wú)線網(wǎng)絡(luò)安全技術(shù)主要有服務(wù)集標(biāo)識(shí)（SSID）、接入認(rèn)證、無(wú)線加密技術(shù)和無(wú)線網(wǎng)卡物理地址（MAC）過(guò)濾等。SSID技術(shù)將無(wú)線網(wǎng)絡(luò)劃分為具有不同訪問(wèn)權(quán)限的子網(wǎng)，每個(gè)子網(wǎng)需要獨(dú)立的身份驗(yàn)證，只有具有合法身份的用戶才能對(duì)所屬子網(wǎng)的資源進(jìn)行訪問(wèn)。

接入認(rèn)證是指對(duì)接入到網(wǎng)絡(luò)的身份進(jìn)行確認(rèn)，通常包括IEEE802.1X認(rèn)證技術(shù)、PPPOE認(rèn)證、WEB認(rèn)證和RADIUS認(rèn)證服務(wù)等，可依據(jù)實(shí)際安全需求應(yīng)用相應(yīng)的認(rèn)證方法。比如由于用戶的流動(dòng)性和周邊環(huán)境的復(fù)雜性，采用長(zhǎng)期不變的靜態(tài)口令不能滿足安全要求。一次性口令技術(shù)（One-Time Password，簡(jiǎn)稱OTP）克服了靜態(tài)口令的缺陷，它規(guī)定每次用戶進(jìn)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證時(shí)使用不同的口令并限制同一口令的生存周期，用戶在客戶端輸入只有自己知道的通行密語(yǔ)，通過(guò)內(nèi)置算法生成一個(gè)口令，該口令通過(guò)網(wǎng)絡(luò)送到驗(yàn)證服務(wù)器，服務(wù)器校驗(yàn)此口令，若認(rèn)證成功，則客戶被授權(quán)訪問(wèn)網(wǎng)絡(luò)，同時(shí)該口令被廢棄。

無(wú)線接入認(rèn)證技術(shù)只是使沒(méi)有授權(quán)的用戶無(wú)法接入無(wú)線網(wǎng)絡(luò)，但是黑客仍然可以通過(guò)專業(yè)的設(shè)備對(duì)無(wú)線信號(hào)截獲。如果數(shù)據(jù)沒(méi)有加密，黑客很容易獲取信息的內(nèi)容。因此，IEEE制定了三種無(wú)線網(wǎng)絡(luò)安全協(xié)議：WEP、TKIP、CCMP。這些協(xié)議是在數(shù)據(jù)發(fā)送之前對(duì)明文數(shù)據(jù)經(jīng)過(guò)加密鑰匙和加密函數(shù)轉(zhuǎn)換，使數(shù)據(jù)變成無(wú)意義的密文，接收方在接收到密文后經(jīng)過(guò)解密函數(shù)、解密鑰匙還原成明文。

無(wú)線網(wǎng)卡物理地址過(guò)濾是將合法的網(wǎng)絡(luò)終端的網(wǎng)卡地址進(jìn)行登記，只有已登記MAC地址的網(wǎng)絡(luò)終端才能接入網(wǎng)絡(luò)。

2.4 校園無(wú)線網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)信息安全除了有效的接入技術(shù)和加密算法，合理選擇安全管理策略同樣可以加強(qiáng)網(wǎng)絡(luò)的安全可靠性。因此，在確保所有AP設(shè)備的集中管理前提下還應(yīng)實(shí)現(xiàn)：

（1）對(duì)非法無(wú)線入侵、射頻干擾、非法AP能夠精確定位和隔離；

（2）配備冗余的無(wú)線控制器保證在突發(fā)情況下的安全無(wú)線接入；

（3）設(shè)立隔離機(jī)制，使來(lái)訪用戶與校園網(wǎng)用戶隔離；

（4）對(duì)非法的賬號(hào)盜用能夠及時(shí)發(fā)現(xiàn)和禁止。

3 結(jié)束語(yǔ)

無(wú)線網(wǎng)絡(luò)已成為網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，校園無(wú)線網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)管理和應(yīng)用有了更高的要求，更多的問(wèn)題和技術(shù)需要去研究和探討。

參考文獻(xiàn)

[1]榮曼生，郭兆宏.校園無(wú)線網(wǎng)絡(luò)的構(gòu)建及其在教學(xué)中的應(yīng)用[J].中國(guó)電化教育，2005（10）：101-104.

[2]肖品輝.校園無(wú)線網(wǎng)絡(luò)的構(gòu)建與安全分析[J].電腦知識(shí)與技術(shù)，2014，22：5204-5205，5208.

[3]曾偉.校園無(wú)線網(wǎng)絡(luò)規(guī)劃與建設(shè)探討[J].信息系統(tǒng)工程，2013（1）：53-54.

作者單位

遼寧稅務(wù)高等?？茖W(xué)校 遼寧省大連市 116023