霍志鸣
摘要:如今,高校在组件有线网络的同时,越来越多的高校开始搭建无线网络,作为校园的上网资源。本文结合某高校的无线网络状况,对无线网络的规划,安全设计,应用维护管理等经验予以了相关的阐述。
关键词:WLAN;ARUBA;AP;无线安全
一、无线网络简介
无线局域网(WLAN),是无线网络技术的一种,主要以电磁波作为通信介质,实现远距离的设备互联和数据传输。在校园网络中,无线网络的标准采用IEEE 802.11,是IEEE制定的无线局域网标准。目前产品化的无线网络标准有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n,IEEE 802.11ac。
无线AP(接入点)通常作为有线网络的补充,实现更广范围的网络互联。现在传统的AP搭建模式分为瘦AP与胖AP俩种模式。胖AP是具有单独管理AP的功能,瘦AP仅仅具有AP的功能,对其管理需要无线控制器。针对高校内大面积部署,一般采用瘦AP加无线控制器的组合模式,这样方便管理与维护。
二、无线网络前期规划设计
前期规划无线局域网,首先要考虑安装多少AP可以满足覆盖。某高校采用的是ARUBA公司的无线网络设备。ARUBA开发的RF Planning 可以在计算机上设定楼宇面积大小,设定无线终端的平均带宽,AP之间的覆盖面。该软件能够自动计算,显示AP在图上的安装坐标位置与无线电波的覆盖范围。
无线控制器采用2台ARUBA系列控制器,基于 Master-Local的模式。该模式下俩台控制器既可以在同一地理位置,也可以位于不同地理位置。有利于容灾备份。
由于在整个校园部署,需要部署室内及室外俩种AP。而且AP需要支持802.11a/b/g/n/ac 的标准。室外AP部署尽量沿着路灯部署,方便取电。可以进行以太网供电的地方,尽量使用以太网供电。不能提供网线的地方,可以采用mesh进行组网。根据实际情况,天线可以采用定向与全向天线。室内AP可以采用壁挂部署与棚顶部署俩种,在图书馆,食堂,礼堂等人流密集的地方部署足量的AP,人流稀少的地方实现覆盖。
针对管理软件,可以采用通过web方式对控制器进行网页式管理,管理相应的设备与端口。同时结合AirWave软件对AP进行有效的监管。AirWave不是去管理端口和设备,主要是管理用户,以用户为中心的方式识别网络上有哪些人,他们是从哪里接入网络,使用的是哪种移动设备,以及特定的设备耗费了多大的带宽。
三、校园无线网络安全性设计
无线网络利用空中载波作为传输的载体,很容易受到攻击和威胁。所以需要采用相应的安全策略保证校园网络的安全。
(一)采用用户认证的方式接入网络
利用集中地加密方式在交换机和控制器上实现加密。学校提供俩种认证方式,portal认证和 802.1x认证。portal认证采用web认证,通用性较好;802.1x认证可以做到更快更好的用户漫游切换。无论那种认证,均需要用户名与密码,这些一般需要在网络中心进行注册。没有注册的人员不能连接校园网络。
(二)检测无线入侵和非法拦截和定位
Aruba通过交换机中心化的网管界面,可以查看到是否存在非法的AP,阻止无线终端通过非法AP连接到传输网,并且可以定位非法AP的位置,进行有效的监管。同时Aruba可以定位无线终端,其准确性可以达到3米以上。发现非法终端,可以加入黑名单,可以进行有效的阻拦。
(三)多层次的无线网络安全体系
ARUBA无线系统可以设定用户的角色,每个角色可以基于用户状态防火墙和代理限制的设定等规则。普通学生和来宾权限设置较低,有带宽限制,限制时间段上网。大学教职工及校领导具有较高的权限,可以分配较高的角色。
对于ARP欺骗与IP欺骗的攻击ARUBA内置的机制可以有效的进行防护,并通过准入检查和数据检测进行网络病毒的防护。对于安全性要求更高的用户也可以采用VPN模式,在加密的基础上再加一层VPN网络。
四、维护与管理注意事项
(一)某高校的无线网络的架构是基于ARUBA无线架构,为保证网络的安全性,管理由校方进行。暂时没有和运营商进行无线合作。如果进行合作,设备由运营商提供,还是有校方进行管理。
(二)室外AP做好防水和防雷的处理。没有做好防水处理,会导致设备从网络接口处进水烧毁设备的情况。防水处理可以加装防水箱,同时在接口处使用防水胶带或者相应的胶水。某高校在后期使用中,有些设备的胶水进入到AP的网络接口处,导致设备掉线,需要重新处理。因此采用防水胶水需要更加细心的施工。防雷处理也要做,不做防雷处理,有可能通过AP的网络直接烧毁相应的交换机,造成局域网的瘫痪。另外室外AP 的天线分为定向与全向,由于施工的误差,定向的角度有时需要调整,以保证覆盖的面积。
(三)对于多个AP的管理应该进行分组管理,划分不同VLAN和组。这样有利于设备的管理和维护。
(四)高校需要进行上网的资费,这个可以和有线网络统一认证计费。还有需要管理上网策略,平时上课期间限制上网,并对于其行为进行相应的控制。这些均需要和有线网行为控制进行联动。
五、结语
高校在组件无线wlan时,在满足需求的同时,也要保证安全性。同时要提高网络管理者的素质。高校在组件校园网应根据具体问题具体进行实施。
【参考文献】
[1]金晶.中小企业网络管理员实战指南(第三版)[M].北京:科学出版社,2013.
[2]张宗福.无线局域网安全问题及解决方案[J].计算机安全,2011,(06).
[3]吴家顺,高静.无线校园网建设经验调研分析[J],无线互联科技,2015,,07).
[4]杨哲.无线网络黑客攻防[M].北京:中国铁道出版社,2011.