校園無線網絡升級設計與分析

摘 要：校園無線網絡的不斷發展，對校園網終端的接入方式提出了更高的要求。相對傳統的校園有線網絡而言，無線網絡具有移動性、靈活性等優勢。文章結合具體案例就校園無線網絡升級改造策略、無線網絡安全等方面進行了分析，并提出了相應的解決措施，希望能夠在校園無線網絡建設方面提供有益參考。

關鍵詞：校園無線網；無線網絡安全測試

中圖分類號：TP393.1 文獻標識碼：A

1 引言

隨著無線技術及其應用的迅猛發展，網絡時代正在無線技術的強力推動下悄然改變我們的生活。但是，當無線網絡技術滲透到社會方方面面的時候，其安全性也愈來愈受到人們的關注。因此，一個有效、安全、強健的無線網絡，越來越受到人們的期盼。

作為無線網絡最典型的應用——校園無線網絡，在其功能與安全性上，人們也提出了更高的要求。校園無線網絡就是利用無線局域網技術，在校園中建立無縫無線通訊網絡，使校園的每個角落都處在網絡中，形成真正意義上的移動校園網。隨著高校規模的不斷擴大，校園無線用戶的數量飛速增加，傳統思路下的無線校園網已滿足不了現實的需要。當前，校園無線網在接入規模上要求滿足大規模的移動智能終端接入；在信號覆蓋上，更是要求既能彌補有線網絡覆蓋的不足，還要能同時覆蓋有線網本身的區域；在服務支持上，無線校園網正在向實現全網不間斷漫游的方向發展；在接入速率上要求提供不遜色于有線接入的傳輸速度。伴隨著校園網無線網絡的快速發展，網絡安全問題也日趨凸顯。不過安全是相對的，一味地強調安全會進入安全的誤區，需要在易用性與安全性上找到平衡點，否則一味強調安全就背離了無線網絡便利性的初衷。不存在絕對安全的網絡，只存在相對安全的網絡。研究在當前的技術條件下校園無線網絡的實現及安全架構設計，是具有十分重要現實意義的。

2 校園無線網絡升級設計與搭建

有別于一般的園區無線網絡，一方面校園無線網絡用戶數量眾多，在某一時段的空間中并發訪問量巨大，例如食堂、圖書館、禮堂等進行特定活動時，因此在升級改造時應考慮某些場所并發訪問峰值；另一方面，考慮學生上網行為中下載需求很高，設計時應考慮限速策略，并結合適當的計費規則適當約束現在行為；最后，學生人群喜歡嘗試使用相關軟件對無線網絡造成威脅，設計時應考慮計費服務器及相應網絡設備的安全防護。

基于此下面以某一高校無線網絡升級建設為例，在提出設計原則基礎上給出了建設的思路及方案。

2.1 項目概述

某高校占地面積90萬平方米，建筑面積100萬平方米。室外無線已安裝30部國外某品牌的無線設備，其中包括西區3部，東區北面13部，東區南面14部。當前室外無線點位較為稀疏，部分新建樓宇周圍沒有部署無線AP，部分樓宇下面無法接收到無線信號。計劃拆除原有無線設備，加裝200部國內某品牌無線設備，實現校園室外無線全覆蓋。

2.2 項目需求與總體設計

（1）需求分析

校園無線網絡的升級改造總體需求有七個重點。

實用性：遵循面向應用，注重實效，急用先上，逐步完善的原則，充分保護已有投資，不設計華而不實的無線網絡，也不設計利用率低下的網絡。

先進性：采用先進成熟的網絡概念、技術、方法與設備，反映當今先進水平，又給未來的發展留有余地，充分采用目前國際、國內流行和成熟的技術，保證網絡能適應技術的快速發展。

可靠性：系統必須可靠運行，關鍵的設備部件及骨干鏈路應有冗余，避免單點故障，并且不能造成任何損失。

安全性：終端設備通過統一認證接入網絡，防止非法用戶訪問；無線客戶端做二層隔離技術，阻止惡意訪問。

開放性：選擇的產品應具有好的互操作性和可移植性，并符合相關的國際標準和工業標準，無論發生任何變化，均能夠最大可能性地開放標準。

可擴充性：系統是一個逐步發展的應用環境，在系統結構、產品系統、系統容量與處理能力等方面必須具有升級換代的可能，這種擴充不僅能充分保護原有資源，而且具有較高的性能價格比。

可維護性：系統具有良好的網絡管理、網絡監控、故障分析和處理能力，使系統具有極高的可維護性。

（2）總體架構設計

校園無線網絡采用 “瘦”AP+AC 的雙核心三層架構的設計方案。在核心交換機上設計部署超大規模的智能 AC 設備對全網所有 AP 進行集中式管理。為了確保無線網絡的高可用性，防止 AC、 核心出現問題導致網絡癱瘓，采用雙 AC、 雙核心冗余方式來保證網絡結構的安全。雙 AC 冗余設計采用 AC 的 1+1快速熱備份。采用兩臺 AC 設備分別與核心交換機連接互聯，分別設置為一主一備兩個控制器。網絡里所有 AP 同時與兩臺 AC 建立CAPWAP 隧道。核心下聯各樓宇匯聚交換機，采用萬兆單模光纖互聯提升數據交互能力。各接入交換機均采用千兆光纖至匯聚交換機，實現全網光路傳輸。網絡拓撲結構如圖1所示。

2.3 整體實施

（1）POE供電設計

通過POE供電模塊實現對室外無線AP的供電。首先，在機房內安裝POE供電模塊； 然后，通過六類雙絞線連接POE供電模塊（LAN接口）和千兆交換機；最后，通過六類雙絞線連接POE供電模塊（POE接口）和室外無線AP（POE接口），對AP實現供電，如圖2所示。

（2）線管走線及安裝設計

線纜路由遵循五原則：a.室內部分，線纜盡量利用原敷設的橋架進行敷設，盡量減少因二次施工對樓宇造成破環；b.室外部分，使用20Φ鍍鋅管進行線纜敷設；c.橋架和鍍鋅20Φ通過軟管套件（包括軟管及接頭等）進行連接；d.無線AP于立地約3～5米的位置進行安裝；e.無線AP接線處通過套管的方式來對線纜進行保護。

（3）無線AP安裝

首先，通過現場環境勘查，確定安裝位置；然后，做好實施安全防護區域標識，避免非工作人員進入；最后，通過膨脹螺栓進行無線AP的固定，特殊的墻體將使用定制的膨脹螺栓進行固定，保障設備安裝后的穩固性。

（4）網絡設備配置

兩臺AC、核心分別做虛擬化實現冗余備份，并采用雙鏈路做聚合互聯實現鏈路備份，AC做802.1X或Web Portal認證及二層隔離等安全協議，核心交換機做IPv4和IPv6地址池，為用戶分發IP地址，并配置Dhcp Snooping防止非法Dhcp服務器接入；規劃AP業務Vlan、用戶Vlan和所有設備的管理Vlan，并為所有設備開啟SNMP功能實現統一管理。

2.4 區域實施設計

（1）無線AP點位分布

通過信號輻射模擬軟件，將現有校園平面圖導入模擬軟件，均勻布放AP，進行信號模擬及信道模擬測試，把現有AP選擇最佳點位，最佳信道，進行盡可能的全覆蓋。

（2）安裝位置規劃

通過模擬軟件選好點位，根據現場實際情況（包括周圍的樹、墻體材料等）選擇最佳位置進行安裝，安裝高度推薦3～5米。正常情況下，安裝完畢AP的水平尺應該處于水平位置，或天線與水平地面垂直，如有特殊情況，以項目實際情況為準。

2.5 校園無線網絡安全測試

常見的無線網線絡攻擊包括有AP偽裝、未經授權使用服務、地址欺騙和會話攔截、流量分析與流量偵聽、高級入侵等。要驗證無線校園網方案的安全功能能不能達到高校安全的要求，還需要進行一系列的安全功能測試。比如，非法 AP 的檢測和抑制功能測試、網管系統發現 AP 故障并處理的功能測試、網管系統定位合法和非法終端的功能測試等。如測試結果良好，則說明無線校園網的安全功能達到了設計要求。

3 結束語

校園無線網絡在高校信息化過程中扮演著越來越重要的角色，在校園網絡組建或升級為無線網絡的過程中，我們要根據本校的實際情況，規劃不同的網絡升級或者建設方案，確保校園無線網絡系統的穩健性和安全性。同時，可以借鑒已經實現校園無線網絡工程的高校的建設與應用經驗，少走彎路，摒棄過時的技術標準，搭建一個現代化的無線網絡平臺滿足主流應用并又一定的升級空間，使其更好地服務高校師生，促進校園信息化建設進程。

參考文獻

[1] 張博.無線網絡安全技術分析[J].信息安全與技術，2013.

[2] 李益.WLAN安全缺陷及解決方案的研究[J].信息安全與技術，2014.

[3] 宋振.全雙工通信系統中干擾消除方法研究[J].中國新通信，2018.