高校無線網(wǎng)絡(luò)組建經(jīng)驗淺析

霍志鳴

摘要：如今，高校在組件有線網(wǎng)絡(luò)的同時，越來越多的高校開始搭建無線網(wǎng)絡(luò)，作為校園的上網(wǎng)資源。本文結(jié)合某高校的無線網(wǎng)絡(luò)狀況，對無線網(wǎng)絡(luò)的規(guī)劃，安全設(shè)計，應用維護管理等經(jīng)驗予以了相關(guān)的闡述。

關(guān)鍵詞：WLAN；ARUBA；AP；無線安全

一、無線網(wǎng)絡(luò)簡介

無線局域網(wǎng)（WLAN），是無線網(wǎng)絡(luò)技術(shù)的一種，主要以電磁波作為通信介質(zhì)，實現(xiàn)遠距離的設(shè)備互聯(lián)和數(shù)據(jù)傳輸。在校園網(wǎng)絡(luò)中，無線網(wǎng)絡(luò)的標準采用IEEE 802.11，是IEEE制定的無線局域網(wǎng)標準。目前產(chǎn)品化的無線網(wǎng)絡(luò)標準有IEEE 802.11a，IEEE 802.11b，IEEE 802.11g，IEEE 802.11n，IEEE 802.11ac。

無線AP（接入點）通常作為有線網(wǎng)絡(luò)的補充，實現(xiàn)更廣范圍的網(wǎng)絡(luò)互聯(lián)。現(xiàn)在傳統(tǒng)的AP搭建模式分為瘦AP與胖AP倆種模式。胖AP是具有單獨管理AP的功能，瘦AP僅僅具有AP的功能，對其管理需要無線控制器。針對高校內(nèi)大面積部署，一般采用瘦AP加無線控制器的組合模式，這樣方便管理與維護。

二、無線網(wǎng)絡(luò)前期規(guī)劃設(shè)計

前期規(guī)劃無線局域網(wǎng)，首先要考慮安裝多少AP可以滿足覆蓋。某高校采用的是ARUBA公司的無線網(wǎng)絡(luò)設(shè)備。ARUBA開發(fā)的RF Planning 可以在計算機上設(shè)定樓宇面積大小，設(shè)定無線終端的平均帶寬，AP之間的覆蓋面。該軟件能夠自動計算，顯示AP在圖上的安裝坐標位置與無線電波的覆蓋范圍。

無線控制器采用2臺ARUBA系列控制器，基于 Master-Local的模式。該模式下倆臺控制器既可以在同一地理位置，也可以位于不同地理位置。有利于容災備份。

由于在整個校園部署，需要部署室內(nèi)及室外倆種AP。而且AP需要支持802.11a/b/g/n/ac 的標準。室外AP部署盡量沿著路燈部署，方便取電。可以進行以太網(wǎng)供電的地方，盡量使用以太網(wǎng)供電。不能提供網(wǎng)線的地方，可以采用mesh進行組網(wǎng)。根據(jù)實際情況，天線可以采用定向與全向天線。室內(nèi)AP可以采用壁掛部署與棚頂部署倆種，在圖書館，食堂，禮堂等人流密集的地方部署足量的AP，人流稀少的地方實現(xiàn)覆蓋。

針對管理軟件，可以采用通過web方式對控制器進行網(wǎng)頁式管理，管理相應的設(shè)備與端口。同時結(jié)合AirWave軟件對AP進行有效的監(jiān)管。AirWave不是去管理端口和設(shè)備，主要是管理用戶，以用戶為中心的方式識別網(wǎng)絡(luò)上有哪些人，他們是從哪里接入網(wǎng)絡(luò)，使用的是哪種移動設(shè)備，以及特定的設(shè)備耗費了多大的帶寬。

三、校園無線網(wǎng)絡(luò)安全性設(shè)計

無線網(wǎng)絡(luò)利用空中載波作為傳輸?shù)妮d體，很容易受到攻擊和威脅。所以需要采用相應的安全策略保證校園網(wǎng)絡(luò)的安全。

（一）采用用戶認證的方式接入網(wǎng)絡(luò)

利用集中地加密方式在交換機和控制器上實現(xiàn)加密。學校提供倆種認證方式，portal認證和 802.1x認證。portal認證采用web認證，通用性較好；802.1x認證可以做到更快更好的用戶漫游切換。無論那種認證，均需要用戶名與密碼，這些一般需要在網(wǎng)絡(luò)中心進行注冊。沒有注冊的人員不能連接校園網(wǎng)絡(luò)。

（二）檢測無線入侵和非法攔截和定位

Aruba通過交換機中心化的網(wǎng)管界面，可以查看到是否存在非法的AP，阻止無線終端通過非法AP連接到傳輸網(wǎng)，并且可以定位非法AP的位置，進行有效的監(jiān)管。同時Aruba可以定位無線終端，其準確性可以達到3米以上。發(fā)現(xiàn)非法終端，可以加入黑名單，可以進行有效的阻攔。

（三）多層次的無線網(wǎng)絡(luò)安全體系

ARUBA無線系統(tǒng)可以設(shè)定用戶的角色，每個角色可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。普通學生和來賓權(quán)限設(shè)置較低，有帶寬限制，限制時間段上網(wǎng)。大學教職工及校領(lǐng)導具有較高的權(quán)限，可以分配較高的角色。

對于ARP欺騙與IP欺騙的攻擊ARUBA內(nèi)置的機制可以有效的進行防護，并通過準入檢查和數(shù)據(jù)檢測進行網(wǎng)絡(luò)病毒的防護。對于安全性要求更高的用戶也可以采用VPN模式，在加密的基礎(chǔ)上再加一層VPN網(wǎng)絡(luò)。

四、維護與管理注意事項

（一）某高校的無線網(wǎng)絡(luò)的架構(gòu)是基于ARUBA無線架構(gòu)，為保證網(wǎng)絡(luò)的安全性，管理由校方進行。暫時沒有和運營商進行無線合作。如果進行合作，設(shè)備由運營商提供，還是有校方進行管理。

（二）室外AP做好防水和防雷的處理。沒有做好防水處理，會導致設(shè)備從網(wǎng)絡(luò)接口處進水燒毀設(shè)備的情況。防水處理可以加裝防水箱，同時在接口處使用防水膠帶或者相應的膠水。某高校在后期使用中，有些設(shè)備的膠水進入到AP的網(wǎng)絡(luò)接口處，導致設(shè)備掉線，需要重新處理。因此采用防水膠水需要更加細心的施工。防雷處理也要做，不做防雷處理，有可能通過AP的網(wǎng)絡(luò)直接燒毀相應的交換機，造成局域網(wǎng)的癱瘓。另外室外AP 的天線分為定向與全向，由于施工的誤差，定向的角度有時需要調(diào)整，以保證覆蓋的面積。

（三）對于多個AP的管理應該進行分組管理，劃分不同VLAN和組。這樣有利于設(shè)備的管理和維護。

（四）高校需要進行上網(wǎng)的資費，這個可以和有線網(wǎng)絡(luò)統(tǒng)一認證計費。還有需要管理上網(wǎng)策略，平時上課期間限制上網(wǎng)，并對于其行為進行相應的控制。這些均需要和有線網(wǎng)行為控制進行聯(lián)動。

五、結(jié)語

高校在組件無線wlan時，在滿足需求的同時，也要保證安全性。同時要提高網(wǎng)絡(luò)管理者的素質(zhì)。高校在組件校園網(wǎng)應根據(jù)具體問題具體進行實施。

【參考文獻】

[1]金晶.中小企業(yè)網(wǎng)絡(luò)管理員實戰(zhàn)指南（第三版）[M].北京：科學出版社，2013.

[2]張宗福.無線局域網(wǎng)安全問題及解決方案[J].計算機安全，2011，（06）.

[3]吳家順，高靜.無線校園網(wǎng)建設(shè)經(jīng)驗調(diào)研分析[J]，無線互聯(lián)科技，2015，，07）.

[4]楊哲.無線網(wǎng)絡(luò)黑客攻防[M].北京：中國鐵道出版社，2011.