校園無線網絡設計分析

趙志鵬

隨著網絡技術的發展，無線網絡因其方便、快捷、可移動的優勢已成為互聯網訪問的主流技術。通過對無線網絡技術分析，從網絡覆蓋、安全防范等方面探討了建立安全、可靠校園無線網絡可行的技術方案。

【關鍵詞】無線網絡 校園網 網絡協議

隨著網絡信息化的發展，筆記本電腦、智能手機等移動設備的普及，僅僅局限于固定地點上網已經不能滿足人們的需求，越來越多可移動的網絡訪問在廣場、禮堂、大型教室、會議室、體育場館等場所被需求。

1 無線網絡主要技術優勢

1.1 易擴充，覆蓋范圍廣

無線網絡組網靈活，在并發用戶數允許范圍內，增加新用戶無需添加新的設施設備，只需簡單的配置即可，若超出允許范圍，只需增加新的接入點。同有線網絡相比，省去了重新布線、配置復雜等工作。有線網絡受傳輸介質的限制，數據的傳輸僅限于相鄰兩個節點之間，而無線網絡只要是在AP節點覆蓋半徑范圍內，任何無線終端設備均可通過該AP節點連接入網，而且隨著AP節點的擴充可以實現大面積范圍內的無線信號覆蓋。

1.2 布線簡單，成本低

無線網絡接入網絡只需對聯入有線網的AP節點進行布線，無線AP之間的連接無須布線，相比有線網絡每個節點都需要布線、配備網絡端口，無線網絡建設成本大大低于有線網絡。

1.3 網絡終端可移動性強

在傳統的有線網絡環境下，網絡終端只能通過網絡接入端口才能訪問網絡。網絡終端受接入端口位置的限制，物理位置基本固定，可移動差。無線網絡由于使用無線信號傳輸介質，使得網絡終端只要在無線信號范圍內，都可以隨時隨地的接入網絡。

2 校園無線網絡設計分析

2.1 主要協議與設備

常用的無線網絡協議標準主要有美國IEEE（電機電子工程師協會）所制定的802.11標準（包括802.11a 、802.11b 、802.11g、802.11n和802.11ac等標準），藍牙（Bluetooth）標準以及HomeRF（家庭網絡）標準等。其中，IEEE 802.11n是目前廣泛使用的無線局域網標準，它使無線局域網的傳輸速率由802.11a及802.11g提供的54Mbps、108Mbps提高到300Mbps。此外，IEEE 802.11ac，俗稱5G WiFi，采用5GHz頻帶進行通信，理論上能夠提供最少1Gbps帶寬并且向下兼容。

無線校園網主要有終端設備、無線控制器（Access Controller）和無線接入點（Access Point）等設備。其中，終端設備是指帶有無線網卡的設備，如筆記本電腦、智能手機等；無線控制器簡稱AC，用于對所有無線AP進行管理和控制的設備，并能通過與認證服務器的通信來進行信息安全認證；無線接入點簡稱AP，是執行橋接操作的設備，在終端設備和有線之間對無線幀和有線幀進行相互轉換。AP又有瘦AP（Fit AP）和胖AP（Fat AP）之分，瘦AP是指只具有射頻和通信功能的AP，需要在AC的控制下才能工作；胖AP典型的例子是無線路由器，除了無線接入功能，一般還具有WAN、LAN接口，支持DHCP服務器、DNS等功能。

2.2 校園無線網設計方案

2.2.1 設計原則

校園無線覆蓋設計應遵循室內信號范圍最大化原則，在室內進行全面覆蓋的前提下，對校園部分區域進行可選的覆蓋，同時確保無線網絡穩定性、兼容性和可擴展性。

2.2.2 物理結構設計

考慮到網絡的安全性和經濟性，應采用非獨立型的無線網絡結構選型（無線借用原有的有線網絡）。網絡架構建議采用瘦AP+AC模式。其中，AP通過POE交換機提供數據連接和供電，連接到校園內網的每個樓的匯聚交換機，AP的IP地址為靜態IP地址。AC通過創建數據/控制隧道對AP進行數據傳輸、管理控制。

2.2.3 覆蓋方案

WLAN無線信號覆蓋方式分為室內覆蓋和室外覆蓋兩種。校園WLAN覆蓋方式的選擇應依據區域的具體情況，教學樓、辦公樓和學員宿舍等室內區域，建議以室內覆蓋為主，其他區域以室外覆蓋為輔的方式進行覆蓋。

從建筑布局來看，對于辦公樓、學員宿舍等雙面房間的建筑，應考慮采用在走廊放置吸頂式AP室內覆蓋方式，采用多個無線AP整合交叉覆蓋形成大面積覆蓋區域，無線信號通過房間的門窗傳輸到室內，實現無線信號的覆蓋。

對于學校體育場等室外空曠的區域，可根據區域的形狀、面積等因素，設計建立多個無線覆蓋點，采用蜂窩式覆蓋方式，無線信號的覆蓋范圍盡量遠離教室。

2.3 安全防范

校園無線網絡安全技術主要有服務集標識（SSID）、接入認證、無線加密技術和無線網卡物理地址（MAC）過濾等。SSID技術將無線網絡劃分為具有不同訪問權限的子網，每個子網需要獨立的身份驗證，只有具有合法身份的用戶才能對所屬子網的資源進行訪問。

接入認證是指對接入到網絡的身份進行確認，通常包括IEEE802.1X認證技術、PPPOE認證、WEB認證和RADIUS認證服務等，可依據實際安全需求應用相應的認證方法。比如由于用戶的流動性和周邊環境的復雜性，采用長期不變的靜態口令不能滿足安全要求。一次性口令技術（One-Time Password，簡稱OTP）克服了靜態口令的缺陷，它規定每次用戶進行網絡訪問認證時使用不同的口令并限制同一口令的生存周期，用戶在客戶端輸入只有自己知道的通行密語，通過內置算法生成一個口令，該口令通過網絡送到驗證服務器，服務器校驗此口令，若認證成功，則客戶被授權訪問網絡，同時該口令被廢棄。

無線接入認證技術只是使沒有授權的用戶無法接入無線網絡，但是黑客仍然可以通過專業的設備對無線信號截獲。如果數據沒有加密，黑客很容易獲取信息的內容。因此，IEEE制定了三種無線網絡安全協議：WEP、TKIP、CCMP。這些協議是在數據發送之前對明文數據經過加密鑰匙和加密函數轉換，使數據變成無意義的密文，接收方在接收到密文后經過解密函數、解密鑰匙還原成明文。

無線網卡物理地址過濾是將合法的網絡終端的網卡地址進行登記，只有已登記MAC地址的網絡終端才能接入網絡。

2.4 校園無線網絡安全管理

網絡信息安全除了有效的接入技術和加密算法，合理選擇安全管理策略同樣可以加強網絡的安全可靠性。因此，在確保所有AP設備的集中管理前提下還應實現：

（1）對非法無線入侵、射頻干擾、非法AP能夠精確定位和隔離；

（2）配備冗余的無線控制器保證在突發情況下的安全無線接入；

（3）設立隔離機制，使來訪用戶與校園網用戶隔離；

（4）對非法的賬號盜用能夠及時發現和禁止。

3 結束語

無線網絡已成為網絡發展的必然趨勢，校園無線網絡對網絡管理和應用有了更高的要求，更多的問題和技術需要去研究和探討。

參考文獻

[1]榮曼生，郭兆宏.校園無線網絡的構建及其在教學中的應用[J].中國電化教育，2005（10）：101-104.

[2]肖品輝.校園無線網絡的構建與安全分析[J].電腦知識與技術，2014，22：5204-5205，5208.

[3]曾偉.校園無線網絡規劃與建設探討[J].信息系統工程，2013（1）：53-54.

作者單位

遼寧稅務高等?？茖W校 遼寧省大連市 116023