高校無線校園網的建設和安全管理

楊玲

（中央財經大學網絡信息中心，北京100081）

1 引言

隨著教育信息化的高速發展、我國高校數字化校園建設步伐的加快，大部分高校的有線網絡構建已基本完成，并作為校園網的主干，發揮著重要的作用。在“互聯網+”時代下，高校校園網絡逐步呈現出教學、科研、上網服務綜合一體化的新趨勢，在學習、生活、工作和交流等方面極大地方便了廣大在校教職工、學生和外校交流人員。

在高校校園內，教師與學生的流動性很強，原本局限在辦公室的有線網絡顯然已經不能滿足大家的需求，而無線網絡的方便快捷、靈活性、應用范圍廣、投資少等優勢卻得到完全展示。如何在高校校園里構建高效合理的無線網絡，讓有線校園網絡真正成為無線網絡的一個強有力的補充，形成全面覆蓋的校園聯網，同時保證校園無線網絡信息的傳輸安全，對于大多數高校來說是一個急需解決的課題。各個高校都須順應這一時代的需求，將無線網絡建設作為高校建設的重要組成部分納入到高校信息化建設中。

2 校園無線網的發展現狀

高校無線校園網是隨著整個無線網絡技術的高速發展的前提下，慢慢發展起來的。第一批高校無線校園網建設開始于1999年，是清華大學架設了基于 802.11b 標準的無線網絡。緊接著，在2002 年北京大學也開始構建校園無線網絡，首次實現了高校校園無線網，這一舉動給高校校園網的完善發揮了極大的推動作用。當時，北京大學校園無線網的無線帶寬是11Mbps，可以支持 5000 個無線用戶的網絡接入，成為了國內各大高校校園無線網建設學習的標桿。

隨后，中國人民大學、中國礦業大學、北京師范大學、北京郵電大學、上海同濟大學、西安交通大學、武漢大學等高校也根據各高校的實際情況，先后建立了自己的校園無線網絡。

根據《 高等教育信息化發展調研報告（2016）》顯示，超過93%的高等院校已建立校園無線網絡，其中學校自建自維的比例高達46.61%，與運營商共建的超過三成，交給運營商建設的比例占11.76%。

由此可見，校園無線網絡已經成為高校校園網的重要組成部分，校園無線網絡的廣泛應用極大的提升了教學環境品質，增加了教育的靈活性和交流方式，提高了行政管理人員的工作效率，在教育系統中占有愈發重要的位置。

更重要的是，校園無線網絡突破了有線網絡的應用局限，可以實現校園安防、學籍管理、遠程教學、數字支付等多種應用系統的快速部署、全面覆蓋，從而真正實現全方位的數字化校園。

高校無線網絡建設模式如圖1所示。

圖1 高校無線網絡建設模式

3 校園無線網建設方案設計

3.1 設計原則

在滿足全校師生對網絡的需求，將校園無線網絡覆蓋到每一個可能對訪問網絡有需求的地方之外，還要考慮校園無線網絡的兼容性、可靠性、安全性、實用性和擴展性。

（1）兼容性：新建設的校園無線網應具備與有線網絡兼容的能力。該網絡的設備不但要實現高速傳輸等功能，其硬件還要具有兼容之前有線網絡的能力，軟件也要保證實時更新等特點。

（2）可靠性：該無線局域網設備不但要求在通常情況下能正常工作，還要保證在某些設備出現故障時，整個無線局域網絡不會停止運行。

（3）安全性：為了保證校園無線網的平穩運行，新建設的校園無線網絡應具備良好的安全性能。網路入侵者在入侵該校園網絡時，將會受到校園網入口站點的防火墻和反病毒軟件的攔截。

（4）實用性：在建設無線局域網的信息節點時，首先要分析該點弱覆蓋的區域的人員接入網絡的需求，并且還要考慮每個信息節點都能用上，但每兩個信息節點不會有太多的重復區域。

（5）擴展性：在對校園無線局域網進行方案分析時，首先要保證網絡結構清晰，只有清晰的網絡才能完全規劃好區域的信息節點分配。其次要保證該網絡設備要具有向上擴展的能力，因為無線網絡技術在不斷發展，各種技術也在不斷更新，如果建網所用設備擴展性太差，那么很快就會被淘汰。

3.2 設計示例

本文以某高校無線校園網的建設為例，方案設計的目標：一方面利用先進的無線網絡技術擴展校園網絡的覆蓋范圍，讓全校師生可以方便高效的使用校園網絡；另一方面，構建一個高效穩定的無線網絡，滿足學校師生日益增長的移動終端對網絡訪問的需求。另外，通過無線業務的全面開展，改進管理方式，提高教學和管理工作效率，從而進一步推動學校信息化建設。

本方案采用AP就近接入的原則，同時將每棟樓的有線網絡為無線網提供網絡接口，并下接交換機完成網絡接口的擴展，同時完成P O E供電的功能。

網絡結構方面，采用“瘦” AP+AC的單核心三層架構模型，將校園無線網的網絡層次分為核心層、匯聚層、接入層。

在核心層上，無線網絡的萬兆交換機通過校園網的核心交換機接入網絡，并作為整個無線校園網的中央管理控制器，并配備雙AC設備冗余，從而增強了校園無線網的穩定性。

此外，從校園無線網的安全性上考慮，可在核心交換機上同時部署認證計費系統、日志審計系統、防火墻相關安全軟件。

高校無線網設計總體網絡拓撲圖如圖2所示。

圖2 高校無線網設計總體網絡拓撲圖

4 高校校園無線網絡安全管理

由于校園無線網通過無線電波傳輸數據，校園無線網用戶可以在無線覆蓋范圍內的任意地方訪問這些數據，影響了防火墻對通過無線電波傳輸的網絡通訊的安全攔截作用，從而任何無線網用戶在校園無線網的覆蓋范圍之內都可以截獲和插入數據。

因此，雖然校園無線網擴展了網絡用戶操作的靈活性，比如安裝便捷、增加用戶或更改網絡結構靈活等一系列的優勢，卻在如何保證校園無線網絡的安全性方面，存在著新的問題。

高校校園無線網的安全管理可以從以下幾方面考慮。

4.1 校園無線網進出口安全

為了確保校園無線網的安全平穩運行，首要前提是保障校園內網能夠抵御外網的攻擊，需要在出口設備上部署完善的安全措施。防火墻(Firewall)則是校園 無線網的首要防御措施，可以實現內部網絡用戶對外界網絡的訪問控制和外界非法網絡資源入侵的隔離功能。

防火墻的主要功能是對用戶訪問數據的控制，即所有內部網絡用戶與外界網絡進行數據和信息交換時，都要受到防火墻的過濾，只有能通過防火墻過濾的數據和信息才可以正常傳輸。因此，為了保障校園無線網進出口安全，防火墻須具有很強的抗攻擊能力，并能同時記錄和監督非法信息和入侵者的網絡行為。

高校校園無線網選擇防火墻應具有幾項功能。

（1）應具備完善的日志功能，可以統計和分析能網絡流量，并且對網絡中的各項事件進行監控和跟蹤，同時將相關數據提供給日志管理系統，以便日志管理系統的分析和處理。

（2）應具備較高的防攻擊能力。例如，可以防護 DoS 攻擊、CC 攻擊等。同時，還應具備一定的防御蠕蟲病毒能力，例如能防備 TCP 報文標志不合法的攻擊等。

（3）應具備強大的病毒過濾功能，例如能過濾Web、郵件、FTP等多類型文檔，同時應具備一定的監控功能，可以實現對SMTP 、FTP、HTTP等多種應用層的協議狀態進行監控。

4.2 認證計費系統的設計

無線網絡用戶認證計費系統主要是實現多類型用戶的統一認證，使同一個用戶可以通過不同的服務接入，完成包括用戶接入、認證、計費及用戶管理的功能。

目前大多數高校校園無線網采用的認證方式是Web 認證，通過啟動一個Web 頁面輸入用戶名和密碼，實現對用戶是否有使用權限的認證。

Web 認證方式有以下優點：無需安裝客戶軟件，方便了用戶的網絡接入，同時也減少了學校無線網絡管理部門維護和管理的工作量。

在計費系統上，計費配置。

（1）用戶組：共建立了四個用戶組，分別是VIP無線用戶組、教師無線用戶組、本科生無線用戶組、研究生無線用戶組。

（2）計費策略：共建立了三種策略，分別是Default、教師無線計費、學生無線計費，如表1所示。

表1 無線網用戶組和相應的計費策略對應表

第一種，Default：不限時、不限流量、完全免費。

第二種，教師無線計費：包月計流量，一個月為一周期，在此周期內前5G免費，超出則每G流量4元。具體計費策略是本月1號到下月1號之間，開戶并使用無線網，流量不超過5個G的用戶，免費上無線網。在此周期內流量超過5G的，每G流量4元。不超出則不扣費，但本月未使用的流量不會累加到下一個周期內。

第三種，學生無線計費：包月計流量，一個月為一周期，每月繳納20元可使用15G流量，超出則每G流量4元。具體計費策略是本月1號到下月1號之間，開戶并使用無線網，繳納20元一個月可以使用15G的流量。在此周期內，流量超過15G的，每G流量4元，不使用則不扣費，本月未使用的流量也不會累加到下一個周期內。

5 結束語

在“互聯網+”時代下，無線網作為高校信息化建設的重要部分，在高校教學中起到關鍵作用，在建設高校無線網時要合理有效，對高校無線網的維護應專業全面。高校無線網的建設中要充分考慮師生在教學中的廣泛應用，利用先進的無線網絡技術擴展校園網絡的覆蓋范圍，讓全校師生可以方便高效的使用校園網絡；還要關注保障無線網傳輸安全相關設備的部署和措施，以及無線網維護的安全策略、運維和管控，才能保證校園無線網的安全與暢通。