建設(shè)無(wú)線校園網(wǎng)

目前，移動(dòng)互聯(lián)網(wǎng)呈現(xiàn)井噴式發(fā)展，相關(guān)應(yīng)用已經(jīng)滲透到社會(huì)生活的方方面面，幾乎所有學(xué)生都擁有智能手機(jī)、平板等移動(dòng)上網(wǎng)終端。

無(wú)線網(wǎng)絡(luò)目前已成為高校信息化校園的標(biāo)志之一，其應(yīng)用開(kāi)始覆蓋教學(xué)、科研、管理、生活、娛樂(lè)等多個(gè)方面，并兼顧個(gè)體、部門和整體性業(yè)務(wù)。

筆者所在學(xué)校也啟動(dòng)了無(wú)線教學(xué)網(wǎng)建設(shè)，通過(guò)支持802.11ac標(biāo)準(zhǔn)，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的無(wú)縫、高速覆蓋，為網(wǎng)絡(luò)資源的充分利用和共享提供強(qiáng)有力的保障，為學(xué)校的全面信息化奠定堅(jiān)實(shí)的基礎(chǔ)。下面結(jié)合筆者所在學(xué)校無(wú)線教學(xué)網(wǎng)建設(shè)及管理情況，談一談無(wú)線教學(xué)網(wǎng)絡(luò)設(shè)計(jì)。

整體建設(shè)情況

圖1 無(wú)線教學(xué)網(wǎng)拓?fù)鋱D

整個(gè)學(xué)校的互聯(lián)網(wǎng)網(wǎng)絡(luò)主要由出口流控設(shè)備、萬(wàn)兆核心交換機(jī)、千兆匯聚/接入交換機(jī)和網(wǎng)絡(luò)安全審計(jì)設(shè)備組成。

互聯(lián)網(wǎng)有兩條出口，一條1000M教育網(wǎng)出口和一條50M電信出口，分別連接到流控設(shè)備上，并在流控設(shè)備做NAT。

整個(gè)無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)分為三層結(jié)構(gòu)，分別由出口流控設(shè)備、核心交換機(jī)、匯聚接入交換機(jī)和無(wú)線接入AP組成，新建網(wǎng)絡(luò)管理系統(tǒng)和認(rèn)證系統(tǒng)，實(shí)現(xiàn)有線無(wú)線統(tǒng)一管理，統(tǒng)一認(rèn)證。

無(wú)線網(wǎng)絡(luò)建設(shè)涉及到無(wú)線控制器、無(wú)線匯聚交換機(jī)、無(wú)線AP、POE交換機(jī)以及配套無(wú)線網(wǎng)管系統(tǒng)和上網(wǎng)認(rèn)證系統(tǒng)。

無(wú)線教學(xué)網(wǎng)覆蓋范圍包含圖書館和辦公樓兩類建筑。

圖書館場(chǎng)所的建筑格局特點(diǎn)是空間開(kāi)闊，不同區(qū)域座位數(shù)量不定，有柱子和書架等障礙物，上網(wǎng)人數(shù)多且集中。

而辦公樓的建筑格局特點(diǎn)是房間較密集，走道在中間，辦公室位于建筑的外側(cè)，靠走道的內(nèi)側(cè)無(wú)窗，安裝有防盜鐵門和防盜窗，窗戶位于建筑靠外的墻面，每間辦公室人數(shù)不多，較為分散。

依據(jù)場(chǎng)所的特點(diǎn)，圖書館室內(nèi)的無(wú)線覆蓋設(shè)備必須具備較大的帶機(jī)用戶能力和較強(qiáng)的抗同頻干擾能力，因此我們采用了放裝AP與墻面式AP相結(jié)合的方式進(jìn)行部署，在閱覽室等大面積的空間，使用性能較強(qiáng)的放裝AP。而在面積25-40平米的辦公室等較小房間，則使用墻面AP，將AP直接部署在房間內(nèi)。

辦公樓的無(wú)線覆蓋設(shè)備則需要正常的帶機(jī)用戶能力和較強(qiáng)的無(wú)線覆蓋能力，這種情況下，我們選擇了無(wú)線智分AP與放裝AP相結(jié)合的方式。

智分主AP放置在樓內(nèi)弱電井中，每間辦公室內(nèi)部署一臺(tái)專為密集高并發(fā)場(chǎng)景的微AP，微AP通過(guò)六類線纜接入主AP，主AP可以對(duì)微AP進(jìn)行POE供電，所以微AP無(wú)需本地供電。對(duì)于面積50-70平方的房間，則使用更大覆蓋范圍的放裝AP來(lái)進(jìn)行覆蓋。

管理手段

由于目前我校無(wú)線教學(xué)網(wǎng)上暫時(shí)還沒(méi)有部署相關(guān)系統(tǒng)，因此在安全管理手段上主要采用認(rèn)證+審計(jì)的方式進(jìn)行管理。

用戶通過(guò)認(rèn)證后方可上網(wǎng)，且進(jìn)行了MAC地址綁定。系統(tǒng)具有保存90天以上的用戶使用日志記錄功能，內(nèi)容包括IP地址及MAC地址使用情況。

審計(jì)系統(tǒng)能夠通過(guò)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識(shí)別，實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)網(wǎng)絡(luò)行為，實(shí)時(shí)報(bào)警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會(huì)話和事件。兩者結(jié)合可實(shí)現(xiàn)用戶上網(wǎng)情況全程可追溯。

無(wú)線教學(xué)網(wǎng)默認(rèn)向持正式校園卡的用戶開(kāi)放，用戶使用本人校園卡卡號(hào)及初始密碼登錄系統(tǒng)，登錄成功后跳轉(zhuǎn)至學(xué)校主頁(yè)。

用戶第一次登錄時(shí)系統(tǒng)強(qiáng)制修改密碼，且自動(dòng)綁定該上網(wǎng)設(shè)備MAC地址，考慮終端多樣性，每個(gè)用戶默認(rèn)綁定最先登錄的兩個(gè)設(shè)備MAC地址，也可根據(jù)管理需求對(duì)特定設(shè)備、上網(wǎng)時(shí)段等條件分別進(jìn)行管理與控制，最大限度避免盜用他人卡號(hào)情況發(fā)生。

非正式校園卡人員因工作學(xué)習(xí)需要確需開(kāi)通無(wú)線教學(xué)網(wǎng)上網(wǎng)權(quán)限，需填寫相關(guān)申請(qǐng)表格，報(bào)相關(guān)領(lǐng)導(dǎo)簽字蓋章后方可開(kāi)通。

在出口架設(shè)防火墻，通過(guò)相關(guān)策略設(shè)置拒絕外來(lái)的惡意攻擊。部分不適合覆蓋無(wú)線教學(xué)網(wǎng)的場(chǎng)所內(nèi)，采用安裝屏蔽器進(jìn)行干擾的方式進(jìn)行隔離。

此外，無(wú)線網(wǎng)管系統(tǒng)的拓?fù)涔芾砉δ苷故颈还芾砭W(wǎng)絡(luò)的真實(shí)情況，直觀地為網(wǎng)絡(luò)管理人員提供了全網(wǎng)布局情況和設(shè)備運(yùn)行情況，便于網(wǎng)管人員實(shí)時(shí)的檢視網(wǎng)絡(luò)運(yùn)行的全貌。

建設(shè)展望

經(jīng)過(guò)近一年的試用，我校無(wú)線教學(xué)網(wǎng)使用情況較好，但教學(xué)應(yīng)用需求牽引不足的問(wèn)題也同時(shí)存在。

根據(jù)后臺(tái)數(shù)據(jù)發(fā)現(xiàn)，大部分情況下無(wú)線教學(xué)網(wǎng)僅僅成為一個(gè)訪問(wèn)外部資源的通道。在下一步的建設(shè)過(guò)程中，我校將加強(qiáng)無(wú)線教學(xué)網(wǎng)教學(xué)應(yīng)用需求研究論證，出臺(tái)相關(guān)政策，引導(dǎo)教師生在教學(xué)過(guò)程中使用無(wú)線教學(xué)網(wǎng)。

同時(shí)，進(jìn)一步加強(qiáng)無(wú)線教學(xué)網(wǎng)教學(xué)資源建設(shè)、擴(kuò)大無(wú)線教學(xué)網(wǎng)覆蓋范圍，并對(duì)后臺(tái)管理功能進(jìn)一步提升，以充分發(fā)揮無(wú)線教學(xué)網(wǎng)的使用效益。