白雪峰,钟震宇,濮伟心
(中国移动通信集团设计院有限公司,北京 100080)
高校WLAN覆盖方案及安全策略研究
白雪峰,钟震宇,濮伟心
(中国移动通信集团设计院有限公司,北京 100080)
高校由于人流密集,用户资源优良,场景丰富,数据业务需求突出,成为了WLAN覆盖的重点区域。本文提出一种普遍可行的高校WLAN建设方案和多种安全策略。
WLAN;高校覆盖;网络安全
随着移动无线网络规模的扩大,宏基站密度增加,城市的无线覆盖也进一步得到改善和提高。但由于无线环境十分复杂,高速无线宽带接入环境比较容易受到限制,另外,用户终端在不断的多样化,普通的话音业务已无法满足用户的需求,对包括数据业务、视频下载、在线点播在内的各种特色业务需求也越来越旺盛,这样无线宽带接入问题的重要性逐渐突出起来。
WLAN技术的发展为高速无线数据业务提供了良好的解决方案,高校由于人流密集,用户资源优良,场景丰富,数据业务需求突出,成为了WLAN覆盖的重点区域。利用WLAN组网覆盖解决高校高速无线宽带接入需求变得很重要。
高校WLAN规划建设中,需要考虑的基本需求如下:(1)教学的需求,工作学习管理的需求,随着高校网络建设的不断完善,越来越多的信息管理平台被应用到日常管理中,无线网络的广泛应用可以很好地弥补有线网络的不足。(2)大型活动的需求,如学术交流会、人才交流会等各种大型活动也举办的越来越多,对网络也提出了需求。(3)高校网络建设的需求,现阶段,高校都在不断扩张,建立分校区,要为新建立的校区连接网络。有线网络模式下施工难度大、工期长,对迅速扩展的高校形成了严重的瓶颈。(4)接入端口数量增长的需求,高校中有很多特殊的地方无法布设太多有线网络接入点,如餐厅、图书馆、会议室等,并且很多建筑建设时间较长,不便施工。(5)智能终端大规模普及应用的需求[1]。
高校WLAN规划建设,与有线网络相比有如下优势: (1) 接入网络方便、灵活,使网络应用更加丰富多彩。(2) 与有线局域网互为补充,相互冗余,扩充网络的使用范围,降低网络故障率。(3) 具有较强的移动性,为教学、办公等校活动提供移动平台。(4) 铺设网络更加经济方便,使校园网变得更加灵活、便捷。(5) 校园网更易于扩充,使大量的数据交换变得更加容易、轻松[2]。
校园无线网的设计要充分考虑每一个细节,力求满足整个校园网的可靠性、先进性、实用性、可兼容性及可扩展性。
(1) 根据实际使用和扩容冗余的需求,确定无线网络的覆盖范围和系统的容量。要保证系统可靠运行,关键设备及主要区域应有冗余。
(2) 室内覆盖主要采用合路的室内分布建设方式,特殊情况下采用WLAN单独部署的建设方式。如果WLAN与蜂窝移动通信系统共用天馈系统,WLAN信号的引入就要尽可能地接天馈末端。室外覆盖主要采用WLAN单独部署的建设方式,对于有合路需求的,采用合路的分布建设方式,视具体需求,采用不同的建设方式。
(3) WLAN网络建设容量要求:单AP支持并发用户数:10~15人。按照“多天线、小功率”的原则进行建设。为了保证覆盖,最好能将室分天线放置于房间内,尽可能靠近用户。单天线覆盖半径参考建议为:在半开放环境,单天线情况下,覆盖半径取10~16 m;在较封闭环境,单天线的情况下,覆盖半径取6~10 m。多天线连续覆盖时,要取覆盖半径的1/5~1/3作为重叠区域。若因容量等原因需要在同一楼层放置更多AP需进行合理频点规划及功率控制,降低干扰水平。
(4) 按照国家标准,WLAN室内型单拉AP发射功率为100 mW。覆盖距离的同时受到室内的陈设、房间分隔、办公设备干扰的影响,一般仅能穿透一堵水泥墙进行覆盖,可以在走廊部署一个AP,解决两面共4个房间(96m2)的覆盖,每层约放置7~8个AP。
校园无线网的设计技术指标要求如下:
(1) 信号覆盖电平。在设计目标覆盖区域内95%以上位置,接收信号强度大于等于-75 dBm,有特殊要求的重要热点接收信号强度大于等于-70 dBm。
(2) 信噪比。在设计目标覆盖区域内95%以上位置,用户终端无线网卡接收到的信噪比(SNR)大于20 dB。
(3) 可接通率。在WLAN无线覆盖区内90%的位置,99%的时间内无线网卡可以接入网络。
(4) 通信质量。覆盖区域误帧率小于5%的区域占总覆盖区域的95%以上。
(5) 室内天线功率。根据国家环境电磁波卫生标准,室内天线的发射功率应小于12 dBm/载波。
(6) 系统吞吐量。在信号强度大于-70 dBm的区域,在802.11b模式下,上行或下行单向吞吐量应达到不低于5 Mbit/s;在802.11g模式下,上行或下行单向吞吐量应达到不低于20 Mbit/s;在可选的802.11a模式下,上行或下行单向吞吐量应达到不低于20 Mbit/s。
(7) 上网速率。对于覆盖区域,应满足潜在用户无线宽带上网的容量需求,保证每用户以不低于500 kbit/s的速度上网。
以山西大学城建设为例,校园WLAN覆盖的主要场景有以下几类:学生宿舍、教学楼、图书馆、活动中心、体育场馆、广场等,现就几类有代表性的场景重点分析,其他类别的场景可参考这几类进行建设。
6.1 学生宿舍楼
容量方案: 在计算容量时,需要对学生上网行为和用户数进行分析,考虑到学生的上网占用带宽较大,需要对每个用户进行限速。根据下列公式算出每层楼所需要的AP数量:
AP个数=宿舍数×每宿舍人数×笔记本拥有率×WLAN用户率×并发率/每AP支持并发用户数
单AP支持并发用户数10~15人。每个24口PoE交换机最多可以接16个AP。
在建设的初期,按照单AP承载10~15个用户进行设计。中期需要对WLAN用户率等参数进行调整。建设中,需要为业务发展预留扩容空间,在安装AP时,需要同时预留一条网线,便于后期扩容。出口带宽测算和限定参考公式:
出口带宽=单用户带宽需求×用户数×并发上网比例/70%。
单用户平均带宽需求在150~500 kbit/s。
覆盖方案:为了保证宿舍楼覆盖,最好能将室分天线放置于房间,尤其是对于宿舍进门处带有卫生间的最好能协调校方将天线放置于房间内。如果确实无法协调进入房间,则需保证在走廊宿舍门口处放置天线。
宿舍AP位置规划如图1所示。
图1 宿舍AP位置规划
每层放置AP需进行详细AP频点规划。规划表如表1所示。
6.2 图书馆
容量方案:阅览室的特点是面积较大、区域空旷、学生较多、并发用户数比例较低。
一个阅览室按100个座位计算,用户携带笔记本电脑到阅览室按20%、同时上网比例为80%考虑, 同时上网用户数为:100×20%×80%=16个,一个阅览室采用一个AP即可满足容量需求。
覆盖方案:应该结合室内分布系统建设,将AP在末端馈入,一般一个AP接1~2副天线,按照室内天线输出电平10~12 dBm,考虑室内吊顶对信号的衰减,覆盖半径在10 m左右,单天线覆盖面积约为300 m2。
6.3 室外区域
室外区域空旷、流动学生较多,持有笔记本电脑的用户较少,并发用户数比例比较低。这种区域以覆盖为主,覆盖方式以在楼顶安装室外大功率AP+定向天线解决,覆盖半径可达200 m。对于传输不能到达的区域,可以采用Mesh AP解决。
6.4 教学楼、办公楼
该类型建筑物多为钢筋混凝土结构或钢筋混凝土结构外加玻璃幕墙, 通常楼层较高,平层内部建筑隔断较多,穿透损耗情况复杂,楼层间穿透损耗也较大。
典型的平层房间布局为包括走廊+单/双边房间或大开间。高端用户比例相对较高,业务需求均较高。
容量方案:一般办公楼单楼层在1 000 m2,用户数大约为40人,按照重点客户的办公全部使用WLAN无线上网的极限环境来看,需要3个AP满足容量覆盖,现阶段在用户发展不明确的情况下,按照用户笔记本电脑拥有率为50%,同时上网比例为50%考虑, 同时上网用户数为:40×50%×50%=10个,单楼层布放一个AP即可满足容量需求,建设中可以考虑为扩容AP预留网线,便于后续扩容。教学楼、办公楼内教室、会议室按照人员容纳和面积可以分为3种类型。
表1 详细AP频点规划
(1)小型教室、会议室,面积大约为40m2,可容纳用户数为10~15人,单独布放一个AP即可满足用户上网需求。
(2) 中型教室、会议室,面积大约为100m2,可容纳用户数为50~60人,按照用户笔记本电脑拥有率为50%,同时上网比例为50%考虑, 共同上网用户数为:60×50%×50%=15个,布放单拉一个AP的方式即可满足用户上网需求。
(3) 大型教室、会议室,面积约为200~250m2,可容纳用户数为100~120人,按照用户笔记本电脑拥有率为50%,同时上网比例为50%考虑, 共同上网用户数为:100×50%×50%=25个,布放单拉两个AP的方式即可满足用户上网需求。
覆盖方案:1F大厅:对于1F大厅等与室外直接相连之处,应注意避免信号功率外泄,可选用全向天线安装在大厅靠内侧的边上进行覆盖,配之以较低的天线输出功率,或者选用定向小板状天线安装在门厅处向大堂内部覆盖。
楼内大房间(比如会议室):平层楼内常出现像会议室这类大房间的覆盖场景,写字楼内部分楼层可能会有中小型会议室,对于这样的场景,一般采用全向吸顶天线进房间进行覆盖。
标准平层:标准平层内的天线一般安装在走廊内,采用全向吸顶天线。根据二级分类场景情况,分别描述如下:
(1) 走廊+单双边房间(房间纵深6 m以内)。
一般走廊+单边房间类型场景的写字楼,房间纵深6 m以内,天线安装在门外走廊基本可以解决房间内信号,天线布放间距在10 m左右。
(2)走廊+单双边房间(房间纵深6 m以上)。
对于房间纵深超过6 m的情况,建议天线进房间实现覆盖,如果实际施工有难度,天线必须安装在靠近房间门口的位置。
如果天线进房间,可以采用定向天线或全向天线方式,定向天线应安装在靠近房间外缘的位置向内覆盖,全向天线的安装位置应在满足覆盖需求的基础上尽量远离窗边以控制泄漏。
校园中 WLAN 的安全隐患主要有以下几种:
第一,蹭网,有的用户为了达到不交网费就上网的目的,通过直接登陆或破解密码等方法,连接到WLAN 免费上网,也就是俗称的蹭网。
第二,窃取文件,办公室的网络中,往往有多台计算机、打印机、传真机共享。非法用户连接到 WLAN后,就可以免费使用这些硬件资源,并窃取如学生信息、教师信息、考试试卷等文件,从而造成难以估计的严重后果。
第三,攻击和投放病毒,非法用户登录到高校WLAN后,可以通过地址解析ARP、拒绝服务(DOS)等方式向网络中的合法用户发起攻击,使得合法用户的正常上网出现困难。同时,非法用户还可以借助该WLAN 窥探其他网络,或向别的网络发起攻击。
通过以上分析可知,WLAN也存在一定的网络安全隐患。
WLAN的安全隐患来自多个方面,应该多管齐下,通过多种技术融合,才能打造健康安全的WLAN。
第一,物理防范,一般WLAN的室内传播距离是100 m,并受到墙壁等因素的影响。如果AP安装在门口或者窗边,那么黑客很容易通过高灵敏度天线从路边、楼宇中检测到信号并发起攻击。因此对AP的安装位置要特别注意。
第二,加密处理,首先,用户必须增强意识,设定比较复杂的密码,例如大小写字母、数字、特殊字符相结合的密码,并定期更新密码,而不应该使用空密码、默认密码、简单的密码。如果密码比较复杂且位数较长,那么黑客通过穷举法很可能需要几十年甚至几百年的时间。
再次,采用高级加密算法,常用的WEP协议采用的是RC4流密码算法,其种子密钥由初始化向量IV和原始密钥Key组成。假设采用相同的IV和Key,则对明文P1和P2加密后的数据流分别为:
当前,在GPU浮点运算能力日益强大、云计算平台快速发展的今天,黑客的计算能力和破解能力获得很大提升,对加密算法提出了更高的要求。使用增强型的WPA2对抵御黑客的进攻,目前还是比较理想的。
第三,访问控制,首先,WLAN都有一个SSID(服务区标识符),通过SSID可以识别不同的AP[4]。为了对访问网络进行区别限制,应该对 AP设置不同的SSID,并要求用户计算机出示正确的SSID才能访问AP。同时禁止SSID广播,避免黑客掌握其编码信息。其次,对MAC(物理地址)进行过滤。由于每个网卡都有一个唯一的物理地址,如果对访问网络的网卡MAC进行限制,就能有效避免非法用户的连接。此时,只需要启用AP的MAC白名单规则,并将合法用户的MAC地址存入MAC列表即可。
第四,网络结构控制,为了进一步提高安全性,在网络结构上,可以对核心网和外围网进行划分。如果有条件,还应该采用VPN、防火墙的结构,这样能极大提高安全性能[5]。
综上,通过对WLAN校园覆盖建设问题的分析,得出WLAN在高校网络建设中的基本原则,并结合容量、带宽的计算方法,分析了其在具体覆盖场景下,各种不同的覆盖规划方法。提出一种适合于WLAN校园网络建设的普遍适用方案。并通过校园WLAN网络安全问题的分析,给出了可以参考的多种安全策略方案。
[1] 段水福, 历晓华. 无线局域网 (WLAN) 设计与实现[M]. 杭州:浙江大学出版社, 2007.
[2] 王刚. 无线校园网的设计与实现[J]. 安徽电子信息职业技术学院学报, 2009.
[3] Stubblefield A,Ioannidis J,Rubin A D.Using the Fluhrer,Mantin and Shamir Attack to Break WEP[R]. AT&T Labs Teehnical Report TD-4ZCPZZ,Revision 2,August 21,2001.
[4] 李歆,任纪生. 无线局域网协议安全性研究与改进[J]. 电脑知识与技术,2007(18):1551-1553.
[5] 王志新,许林英. 无线局域网安全性研究[J]. 微处理机,2009(3).43-48.
WLAN coverage in university and security program
BAI Xue-feng, ZHONG Zhen-yu, PU Wei-xin
(China Mobile Group Design Institute Co., Ltd., Beijing, 100080, China)
With the expansion of mobile wireless networks, the city's wireless coverage further improved and enhanced. However, due to the wireless environment is very complex, high-speed wireless broadband access is not easy to be built. In addition, the user terminal is diversification, data services, video downloads, online features, including a variety of business needs has become increasingly strong. WLAN technology for the high-speed wireless data services provides a good solution, especially, in university. This paper presents a general viable WLAN program in university and a variety of WLAN security programs.
WLAN; network security; coverage in university
TN915
A
1008-5599(2013)09-0059-05
2013-06-27