高校無(wú)線校園網(wǎng)的建設(shè)和安全管理

楊玲

（中央財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息中心，北京100081）

1 引言

隨著教育信息化的高速發(fā)展、我國(guó)高校數(shù)字化校園建設(shè)步伐的加快，大部分高校的有線網(wǎng)絡(luò)構(gòu)建已基本完成，并作為校園網(wǎng)的主干，發(fā)揮著重要的作用。在“互聯(lián)網(wǎng)+”時(shí)代下，高校校園網(wǎng)絡(luò)逐步呈現(xiàn)出教學(xué)、科研、上網(wǎng)服務(wù)綜合一體化的新趨勢(shì)，在學(xué)習(xí)、生活、工作和交流等方面極大地方便了廣大在校教職工、學(xué)生和外校交流人員。

在高校校園內(nèi)，教師與學(xué)生的流動(dòng)性很強(qiáng)，原本局限在辦公室的有線網(wǎng)絡(luò)顯然已經(jīng)不能滿足大家的需求，而無(wú)線網(wǎng)絡(luò)的方便快捷、靈活性、應(yīng)用范圍廣、投資少等優(yōu)勢(shì)卻得到完全展示。如何在高校校園里構(gòu)建高效合理的無(wú)線網(wǎng)絡(luò)，讓有線校園網(wǎng)絡(luò)真正成為無(wú)線網(wǎng)絡(luò)的一個(gè)強(qiáng)有力的補(bǔ)充，形成全面覆蓋的校園聯(lián)網(wǎng)，同時(shí)保證校園無(wú)線網(wǎng)絡(luò)信息的傳輸安全，對(duì)于大多數(shù)高校來(lái)說(shuō)是一個(gè)急需解決的課題。各個(gè)高校都須順應(yīng)這一時(shí)代的需求，將無(wú)線網(wǎng)絡(luò)建設(shè)作為高校建設(shè)的重要組成部分納入到高校信息化建設(shè)中。

2 校園無(wú)線網(wǎng)的發(fā)展現(xiàn)狀

高校無(wú)線校園網(wǎng)是隨著整個(gè)無(wú)線網(wǎng)絡(luò)技術(shù)的高速發(fā)展的前提下，慢慢發(fā)展起來(lái)的。第一批高校無(wú)線校園網(wǎng)建設(shè)開始于1999年，是清華大學(xué)架設(shè)了基于 802.11b 標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)。緊接著，在2002 年北京大學(xué)也開始構(gòu)建校園無(wú)線網(wǎng)絡(luò)，首次實(shí)現(xiàn)了高校校園無(wú)線網(wǎng)，這一舉動(dòng)給高校校園網(wǎng)的完善發(fā)揮了極大的推動(dòng)作用。當(dāng)時(shí)，北京大學(xué)校園無(wú)線網(wǎng)的無(wú)線帶寬是11Mbps，可以支持 5000 個(gè)無(wú)線用戶的網(wǎng)絡(luò)接入，成為了國(guó)內(nèi)各大高校校園無(wú)線網(wǎng)建設(shè)學(xué)習(xí)的標(biāo)桿。

隨后，中國(guó)人民大學(xué)、中國(guó)礦業(yè)大學(xué)、北京師范大學(xué)、北京郵電大學(xué)、上海同濟(jì)大學(xué)、西安交通大學(xué)、武漢大學(xué)等高校也根據(jù)各高校的實(shí)際情況，先后建立了自己的校園無(wú)線網(wǎng)絡(luò)。

根據(jù)《 高等教育信息化發(fā)展調(diào)研報(bào)告（2016）》顯示，超過(guò)93%的高等院校已建立校園無(wú)線網(wǎng)絡(luò)，其中學(xué)校自建自維的比例高達(dá)46.61%，與運(yùn)營(yíng)商共建的超過(guò)三成，交給運(yùn)營(yíng)商建設(shè)的比例占11.76%。

由此可見，校園無(wú)線網(wǎng)絡(luò)已經(jīng)成為高校校園網(wǎng)的重要組成部分，校園無(wú)線網(wǎng)絡(luò)的廣泛應(yīng)用極大的提升了教學(xué)環(huán)境品質(zhì)，增加了教育的靈活性和交流方式，提高了行政管理人員的工作效率，在教育系統(tǒng)中占有愈發(fā)重要的位置。

更重要的是，校園無(wú)線網(wǎng)絡(luò)突破了有線網(wǎng)絡(luò)的應(yīng)用局限，可以實(shí)現(xiàn)校園安防、學(xué)籍管理、遠(yuǎn)程教學(xué)、數(shù)字支付等多種應(yīng)用系統(tǒng)的快速部署、全面覆蓋，從而真正實(shí)現(xiàn)全方位的數(shù)字化校園。

高校無(wú)線網(wǎng)絡(luò)建設(shè)模式如圖1所示。

圖1 高校無(wú)線網(wǎng)絡(luò)建設(shè)模式

3 校園無(wú)線網(wǎng)建設(shè)方案設(shè)計(jì)

3.1 設(shè)計(jì)原則

在滿足全校師生對(duì)網(wǎng)絡(luò)的需求，將校園無(wú)線網(wǎng)絡(luò)覆蓋到每一個(gè)可能對(duì)訪問(wèn)網(wǎng)絡(luò)有需求的地方之外，還要考慮校園無(wú)線網(wǎng)絡(luò)的兼容性、可靠性、安全性、實(shí)用性和擴(kuò)展性。

（1）兼容性：新建設(shè)的校園無(wú)線網(wǎng)應(yīng)具備與有線網(wǎng)絡(luò)兼容的能力。該網(wǎng)絡(luò)的設(shè)備不但要實(shí)現(xiàn)高速傳輸?shù)裙δ?，其硬件還要具有兼容之前有線網(wǎng)絡(luò)的能力，軟件也要保證實(shí)時(shí)更新等特點(diǎn)。

（2）可靠性：該無(wú)線局域網(wǎng)設(shè)備不但要求在通常情況下能正常工作，還要保證在某些設(shè)備出現(xiàn)故障時(shí)，整個(gè)無(wú)線局域網(wǎng)絡(luò)不會(huì)停止運(yùn)行。

（3）安全性：為了保證校園無(wú)線網(wǎng)的平穩(wěn)運(yùn)行，新建設(shè)的校園無(wú)線網(wǎng)絡(luò)應(yīng)具備良好的安全性能。網(wǎng)路入侵者在入侵該校園網(wǎng)絡(luò)時(shí)，將會(huì)受到校園網(wǎng)入口站點(diǎn)的防火墻和反病毒軟件的攔截。

（4）實(shí)用性：在建設(shè)無(wú)線局域網(wǎng)的信息節(jié)點(diǎn)時(shí)，首先要分析該點(diǎn)弱覆蓋的區(qū)域的人員接入網(wǎng)絡(luò)的需求，并且還要考慮每個(gè)信息節(jié)點(diǎn)都能用上，但每?jī)蓚€(gè)信息節(jié)點(diǎn)不會(huì)有太多的重復(fù)區(qū)域。

（5）擴(kuò)展性：在對(duì)校園無(wú)線局域網(wǎng)進(jìn)行方案分析時(shí)，首先要保證網(wǎng)絡(luò)結(jié)構(gòu)清晰，只有清晰的網(wǎng)絡(luò)才能完全規(guī)劃好區(qū)域的信息節(jié)點(diǎn)分配。其次要保證該網(wǎng)絡(luò)設(shè)備要具有向上擴(kuò)展的能力，因?yàn)闊o(wú)線網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，各種技術(shù)也在不斷更新，如果建網(wǎng)所用設(shè)備擴(kuò)展性太差，那么很快就會(huì)被淘汰。

3.2 設(shè)計(jì)示例

本文以某高校無(wú)線校園網(wǎng)的建設(shè)為例，方案設(shè)計(jì)的目標(biāo)：一方面利用先進(jìn)的無(wú)線網(wǎng)絡(luò)技術(shù)擴(kuò)展校園網(wǎng)絡(luò)的覆蓋范圍，讓全校師生可以方便高效的使用校園網(wǎng)絡(luò)；另一方面，構(gòu)建一個(gè)高效穩(wěn)定的無(wú)線網(wǎng)絡(luò)，滿足學(xué)校師生日益增長(zhǎng)的移動(dòng)終端對(duì)網(wǎng)絡(luò)訪問(wèn)的需求。另外，通過(guò)無(wú)線業(yè)務(wù)的全面開展，改進(jìn)管理方式，提高教學(xué)和管理工作效率，從而進(jìn)一步推動(dòng)學(xué)校信息化建設(shè)。

本方案采用AP就近接入的原則，同時(shí)將每棟樓的有線網(wǎng)絡(luò)為無(wú)線網(wǎng)提供網(wǎng)絡(luò)接口，并下接交換機(jī)完成網(wǎng)絡(luò)接口的擴(kuò)展，同時(shí)完成P O E供電的功能。

網(wǎng)絡(luò)結(jié)構(gòu)方面，采用“瘦” AP+AC的單核心三層架構(gòu)模型，將校園無(wú)線網(wǎng)的網(wǎng)絡(luò)層次分為核心層、匯聚層、接入層。

在核心層上，無(wú)線網(wǎng)絡(luò)的萬(wàn)兆交換機(jī)通過(guò)校園網(wǎng)的核心交換機(jī)接入網(wǎng)絡(luò)，并作為整個(gè)無(wú)線校園網(wǎng)的中央管理控制器，并配備雙AC設(shè)備冗余，從而增強(qiáng)了校園無(wú)線網(wǎng)的穩(wěn)定性。

此外，從校園無(wú)線網(wǎng)的安全性上考慮，可在核心交換機(jī)上同時(shí)部署認(rèn)證計(jì)費(fèi)系統(tǒng)、日志審計(jì)系統(tǒng)、防火墻相關(guān)安全軟件。

高校無(wú)線網(wǎng)設(shè)計(jì)總體網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2 高校無(wú)線網(wǎng)設(shè)計(jì)總體網(wǎng)絡(luò)拓?fù)鋱D

4 高校校園無(wú)線網(wǎng)絡(luò)安全管理

由于校園無(wú)線網(wǎng)通過(guò)無(wú)線電波傳輸數(shù)據(jù)，校園無(wú)線網(wǎng)用戶可以在無(wú)線覆蓋范圍內(nèi)的任意地方訪問(wèn)這些數(shù)據(jù)，影響了防火墻對(duì)通過(guò)無(wú)線電波傳輸?shù)木W(wǎng)絡(luò)通訊的安全攔截作用，從而任何無(wú)線網(wǎng)用戶在校園無(wú)線網(wǎng)的覆蓋范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。

因此，雖然校園無(wú)線網(wǎng)擴(kuò)展了網(wǎng)絡(luò)用戶操作的靈活性，比如安裝便捷、增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)靈活等一系列的優(yōu)勢(shì)，卻在如何保證校園無(wú)線網(wǎng)絡(luò)的安全性方面，存在著新的問(wèn)題。

高校校園無(wú)線網(wǎng)的安全管理可以從以下幾方面考慮。

4.1 校園無(wú)線網(wǎng)進(jìn)出口安全

為了確保校園無(wú)線網(wǎng)的安全平穩(wěn)運(yùn)行，首要前提是保障校園內(nèi)網(wǎng)能夠抵御外網(wǎng)的攻擊，需要在出口設(shè)備上部署完善的安全措施。防火墻(Firewall)則是校園 無(wú)線網(wǎng)的首要防御措施，可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶對(duì)外界網(wǎng)絡(luò)的訪問(wèn)控制和外界非法網(wǎng)絡(luò)資源入侵的隔離功能。

防火墻的主要功能是對(duì)用戶訪問(wèn)數(shù)據(jù)的控制，即所有內(nèi)部網(wǎng)絡(luò)用戶與外界網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)和信息交換時(shí)，都要受到防火墻的過(guò)濾，只有能通過(guò)防火墻過(guò)濾的數(shù)據(jù)和信息才可以正常傳輸。因此，為了保障校園無(wú)線網(wǎng)進(jìn)出口安全，防火墻須具有很強(qiáng)的抗攻擊能力，并能同時(shí)記錄和監(jiān)督非法信息和入侵者的網(wǎng)絡(luò)行為。

高校校園無(wú)線網(wǎng)選擇防火墻應(yīng)具有幾項(xiàng)功能。

（1）應(yīng)具備完善的日志功能，可以統(tǒng)計(jì)和分析能網(wǎng)絡(luò)流量，并且對(duì)網(wǎng)絡(luò)中的各項(xiàng)事件進(jìn)行監(jiān)控和跟蹤，同時(shí)將相關(guān)數(shù)據(jù)提供給日志管理系統(tǒng)，以便日志管理系統(tǒng)的分析和處理。

（2）應(yīng)具備較高的防攻擊能力。例如，可以防護(hù) DoS 攻擊、CC 攻擊等。同時(shí)，還應(yīng)具備一定的防御蠕蟲病毒能力，例如能防備 TCP 報(bào)文標(biāo)志不合法的攻擊等。

（3）應(yīng)具備強(qiáng)大的病毒過(guò)濾功能，例如能過(guò)濾Web、郵件、FTP等多類型文檔，同時(shí)應(yīng)具備一定的監(jiān)控功能，可以實(shí)現(xiàn)對(duì)SMTP 、FTP、HTTP等多種應(yīng)用層的協(xié)議狀態(tài)進(jìn)行監(jiān)控。

4.2 認(rèn)證計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)

無(wú)線網(wǎng)絡(luò)用戶認(rèn)證計(jì)費(fèi)系統(tǒng)主要是實(shí)現(xiàn)多類型用戶的統(tǒng)一認(rèn)證，使同一個(gè)用戶可以通過(guò)不同的服務(wù)接入，完成包括用戶接入、認(rèn)證、計(jì)費(fèi)及用戶管理的功能。

目前大多數(shù)高校校園無(wú)線網(wǎng)采用的認(rèn)證方式是Web 認(rèn)證，通過(guò)啟動(dòng)一個(gè)Web 頁(yè)面輸入用戶名和密碼，實(shí)現(xiàn)對(duì)用戶是否有使用權(quán)限的認(rèn)證。

Web 認(rèn)證方式有以下優(yōu)點(diǎn)：無(wú)需安裝客戶軟件，方便了用戶的網(wǎng)絡(luò)接入，同時(shí)也減少了學(xué)校無(wú)線網(wǎng)絡(luò)管理部門維護(hù)和管理的工作量。

在計(jì)費(fèi)系統(tǒng)上，計(jì)費(fèi)配置。

（1）用戶組：共建立了四個(gè)用戶組，分別是VIP無(wú)線用戶組、教師無(wú)線用戶組、本科生無(wú)線用戶組、研究生無(wú)線用戶組。

（2）計(jì)費(fèi)策略：共建立了三種策略，分別是Default、教師無(wú)線計(jì)費(fèi)、學(xué)生無(wú)線計(jì)費(fèi)，如表1所示。

表1 無(wú)線網(wǎng)用戶組和相應(yīng)的計(jì)費(fèi)策略對(duì)應(yīng)表

第一種，Default：不限時(shí)、不限流量、完全免費(fèi)。

第二種，教師無(wú)線計(jì)費(fèi)：包月計(jì)流量，一個(gè)月為一周期，在此周期內(nèi)前5G免費(fèi)，超出則每G流量4元。具體計(jì)費(fèi)策略是本月1號(hào)到下月1號(hào)之間，開戶并使用無(wú)線網(wǎng)，流量不超過(guò)5個(gè)G的用戶，免費(fèi)上無(wú)線網(wǎng)。在此周期內(nèi)流量超過(guò)5G的，每G流量4元。不超出則不扣費(fèi)，但本月未使用的流量不會(huì)累加到下一個(gè)周期內(nèi)。

第三種，學(xué)生無(wú)線計(jì)費(fèi)：包月計(jì)流量，一個(gè)月為一周期，每月繳納20元可使用15G流量，超出則每G流量4元。具體計(jì)費(fèi)策略是本月1號(hào)到下月1號(hào)之間，開戶并使用無(wú)線網(wǎng)，繳納20元一個(gè)月可以使用15G的流量。在此周期內(nèi)，流量超過(guò)15G的，每G流量4元，不使用則不扣費(fèi)，本月未使用的流量也不會(huì)累加到下一個(gè)周期內(nèi)。

5 結(jié)束語(yǔ)

在“互聯(lián)網(wǎng)+”時(shí)代下，無(wú)線網(wǎng)作為高校信息化建設(shè)的重要部分，在高校教學(xué)中起到關(guān)鍵作用，在建設(shè)高校無(wú)線網(wǎng)時(shí)要合理有效，對(duì)高校無(wú)線網(wǎng)的維護(hù)應(yīng)專業(yè)全面。高校無(wú)線網(wǎng)的建設(shè)中要充分考慮師生在教學(xué)中的廣泛應(yīng)用，利用先進(jìn)的無(wú)線網(wǎng)絡(luò)技術(shù)擴(kuò)展校園網(wǎng)絡(luò)的覆蓋范圍，讓全校師生可以方便高效的使用校園網(wǎng)絡(luò)；還要關(guān)注保障無(wú)線網(wǎng)傳輸安全相關(guān)設(shè)備的部署和措施，以及無(wú)線網(wǎng)維護(hù)的安全策略、運(yùn)維和管控，才能保證校園無(wú)線網(wǎng)的安全與暢通。