高校大規模無線網絡的實施與安全管理

◆梁浴文

(西南財經大學天府學院 四川 610000)

高校大規模無線網絡的實施與安全管理

◆梁浴文

(西南財經大學天府學院 四川 610000)

隨著高校師生各種移動互聯設備的普及，傳統的有線校園網絡難以滿足師生隨處訪問網絡資源的需求。無線網絡以其接入方式靈活，可擴展性強等特點在高校網絡建設中應用得越來越廣泛。本文以西南財經大學天府學院校園無線網絡建設為例，探討校園無線網絡組建和安全管理的措施，總結了存在的問題及改進思路。

校園無線網絡；IEEE802.11n；天府學院；網絡安全

0 引言

隨著智能手機、平板電腦、智能穿戴設備等移動終端的普及，人們需要能隨時隨地訪問互聯網絡，傳統的有線網絡由于其結構特點無法滿足這種需求。無線網絡以電磁波為數據傳輸介質實現了網絡的靈活接入，能夠有效地彌補有線網絡的這一缺陷。

我國各個高校紛紛開始建設自己的無線校園網絡，廣大師生可以很方便地在報告廳、會議室、圖書館、教學樓、實驗樓等處采用無線上網的方式訪問網絡資源，實時地參與各種網絡教學活動。

1 無線網絡的關鍵技術及部署方式

1.1 IEEE802.11n標準

IEEE802.11n標準中將MIMO(Multiple Input Multiple Out put)技術與OFDM(Orthogonal Frequency Division Multiplexing)技術相結合，從而提高傳輸效率和減小子載波之間的相互干擾，其傳輸速率可以高達600Mbps，具有覆蓋范圍廣、傳輸質量穩定、抗干擾性強和兼容性好等優點。

1.2 無線網絡常見部署方式

無線網絡由AP（Access Point：無線訪問節點）和AC（Access Controller：接入控制器）兩種關鍵組成部件。在大規模的網絡中常用AC+Fit AP集中控制方式，AP僅發揮接入天線的功能，AC負責用戶的鑒權、漫游、網絡管理等功能，這為網絡的運維提供了很大的便利。

2 西南財經大學天府學院校園無線網絡方案

2.1 項目總體設計

本項目將對天府學院成都西區所有學生寢室、圖書館等公共場所進行無線網絡覆蓋，遵循IEEE802.11n標準，使用AC+Fit AP的方式規劃及建設。

在校區內適當位置設置網絡核心機房，配備上走線橋架和空調等配套設施，接入運營商出口光纖，使用單模光纖對各樓棟弱電間（井）進行匯聚。對于教室和圖書館等公共場所，在房屋中間部署適當數量的吸頂式 AP。對于學生寢室，在每層樓走廊處部署吸頂式 AP。無線網絡對校區室內部分全覆蓋，成為有線網絡的有益補充。

AC負責管理網絡中的瘦AP，負責對AP的配置下發和配置參數修改等。采用統一發射的信號標識（SSID），實現無縫漫游。

無線設備支持多種認證方式，支持Radius、LDAP協議，使用WEB-Portal方式的認證Portal實現對用戶管理、認證、控制功能。

2.2 主要設備選型

（1）網絡設備選型基本原則

網絡設備選型的基本原則應考慮廠商因素、擴展性因素、方案實際需求因素和產品自身因素等。優先考慮目前主流的設備供應商，他們的產品線都相對較為全面，有成功案例供參考。

（2）關鍵設備技術參數

核心交換機的背板容量超過1Tbps，支持IPv4和IPv6的三層路由功能。配置高性能無線控制器模塊，實現有線和無線一體化的認證和管理。

防火墻支持并發連接數300萬以上，10G以上吞吐量。支持IP Spoofing、ARP欺騙等各類常見攻擊的防范，支持ICMP重定向或不可達報文控制功能等。室內型無線 AP，可支持IEEE802.11x模式，支持Fat和Fit兩種工作模式。

3 項目實施及系統評測

3.1 AP的定位

AP的定位很大程度上影響無線網絡整體的實施效果，在實際施工中需要考慮的主要因素有：盡量避免無線信號覆蓋盲區；節約AP的數量以降低整體成本；減少因AP部署過密造成的同頻信號交疊；注意實施地點的環境，開闊地帶的覆蓋半徑較大，室內的覆蓋區較小。

本方案中的校區共有三棟框架結構的高層建筑，學生宿舍分布密集，接入無線網絡的終端數量大，且寢室中的鋼架結構家具很密集，AP的定位較特殊。

以其中某樓層為例進行AP初步定位測試，該區域一共有23間學生寢室，每間寢室4個接入終端，一共可能有92個信息點位。經過多次測試，采取在該區域中均勻分布5個AP于中間走廊天花板的方式。對于一些極端覆蓋區域，通過調整各AP的門限值及頻點減少相鄰AP之間的同頻交疊區域。

對于開闊的公共區域，采用降低接收單元信號門限值的方式來擴大單個AP的覆蓋范圍，AP的定位難度較低。

3.2 線路鋪設施工

遵循有線網絡的施工規范，每個AP到匯聚交換機之間采用超五類雙絞線，匯聚交換機到核心設備采用光纜進行連接。無線網絡整體綜合布線工程量相對較小，施工難度不高。

3.3 系統整體調試

系統整體調試的內容有：無線信號強度測試、系統吞吐量與接入帶寬測試、用戶認證測試、WEB認證接入延時測試、Ping包測試、網站訪問成功率測試、同AP下用戶隔離測試、AP間漫游測試。

使用專業的手持式無線網絡測試儀快速查看無線網絡使用率，識別并定位惡意的無線接入點。利用WirelessMon無線網絡質量檢測軟件查看檢測者附近所有AP的信號強度、傳輸速度等信息，方便檢查網絡的穩定性。利用Throughput Test軟件測試網絡吞吐量，以測試設備能夠接受的最大速率。

3.4 網絡安全管理

（1）地址規劃

采用單獨部署的DHCP服務器來完成AP的地址規劃，實現AP設備的無人值守，當AP上電后就能通過DHCP服務器獲得管理IP地址從而建立和AC之間的隧道，提高了網絡整體的穩定性。

（2）認證計費

無線網絡的認證計費功能在Radius設備上進行。學生在寢室中訪問校內各種資源需要認證但免費，訪問外網資源要進行認證計費。在教室和圖書館等處需要認證但免費。

（3）上網行為審計

上網行為審計服務器可保留學生上網用戶 1-3 個月的上網記錄，可滿足網絡安全監察部門的事前預防、事中監督檢查、事后協助調查等要求。

4 存在的問題及優化

4.1 部署實施中存在的問題

隨著校園無線上網的用戶數的增長，校園無線網絡在運營過程中也暴露出一些問題。

單個AP上連接的用戶數量過多影響穩定性；無線網絡的網絡傳輸速度無法和有線網絡媲美；使用環境復雜導致無線信號入室后衰減過大導致覆蓋盲區；樓層之間的AP部署密集導致同頻交疊干擾等。

4.2 校園無線網絡改進優化建議

（1）AP布局調整

對于學生宿舍這樣的高密度區域，可考慮使用室內放裝工作模式，比如：在AP上連接天線饋線并伸入到寢室內部，或者借用寢室中原有的有線網絡安裝面板式AP。這兩種方式可解決寢室信號覆蓋問題，減少AP間的相互干擾，但成本較高。

（2）空口限速技術

考慮利用無線設備的空口限速技術，限制每個用戶的帶寬，避免出現用戶間帶寬分配不均衡的問題，但這樣會影響用戶體驗。

（3）端口隔離

將AP間組成的網絡進行二層隔離處理，減少同一網絡內的廣播風暴和ARP的攻擊幾率，可以在一定程度上增強無線網絡的安全性。

（4）合理規劃頻點

合理規劃各AP的頻點減少相互之間的頻率干擾。采用手工調整頻點的方式合理的規劃各AP的頻點，減少樓層之間的干擾。

5 總結與展望

由于項目組成員初次接觸大規模的無線網絡，遭遇了不少挫折和失敗，在該項目投入實際運行的兩年多時間里，進行了多次系統調優，目前系統整體運行情況良好。

由于時間、精力和設備等限制，我們無法進行更深入的研究工作，但相信隨著技術的進步，無線網絡在數據吞吐容量、安全性等方面會取得長足進步，在高校的信息化建設進程中將扮演更加重要的角色。

[1]崔北亮.網絡管理從入門到精通[M].北京:人民郵電出版社，2010.

[2]王勇，劉曉輝.網絡綜合布線與組網工程[M].北京:科學出版社，2011.

[3]王曉東，鄭連清，郭超，楊文峰.基于 WLAN 的大規模校園網設計[J].現代電子技術，2002.

[4]邵瑞華.校園WLAN網絡建設方案[D].大連海事大學，2011.