□陈 瑞
( 山西广播电视大学,山西 太原 030027)
校园无线网络建设研究
——以山西广播电视大学为例
□陈 瑞
( 山西广播电视大学,山西 太原 030027)
随着无线网络的迅速发展和手机等终端的普及应用,无线网络已成为有线网络的有益补充。根据山西广播电视大学目前有线校园网和校区环境布局的实际情况,结合科研和教学等需要,针对山西广播电视大学无线校园网络建设的总体需求和无线网络架构、无线网络结构、覆盖范围、安全、可靠、稳定以及维护方面等实施方案提出了设计思路。
无线网络;校园网;网络架构
山西广播电视大学是一所主要以利用互联网进行远程教学的高等学校,各种移动终端的使用和移动学习APP的广泛应用迫使校园无线网络全覆盖的建设。无线网络可以为全校师生提供无处不在、随时随地地接入互联网服务,为移动学习和办公平台的建立提供网络基础,使学校在教学、科研和管理等各项业务变得更加方便便捷,并能更好地服务于学校基于网络的远程教学、在线服务、教育资源共享等各种应用中。
山西广播电视大学是一所主要以利用互联网进行远程教学的高等学校,其无线网络的建设目标就是利用校园现有的有线网络资源对校园网进行无线网络的延伸,以便能够在校园网内实现资源的共享,保证各有线终端和无线移动终端都能够联网,使校园网络的利用率有所提高,继而提高广大教职工和学生工作和学习的效率,提高学校的管理水平和管理层次。
有了无线网络的架设,在校园中,教职工和学生通过学校网络认证系统能够随时随地联网打开与外界交流沟通,校园中能够做到信息的及时共享,随时随地都能学习。教师可以对自己的课程下发作业,能够对学生进行辅导。学生可以利用网络进行学习、交流和组织活动,极大地提高学习效率。学校管理人员也可以接入办公系统,让移动网络无处不在,让办公系统发挥更大的作用。随时都能学习、办公和生活,促进学校数字化校园智慧化校园更好的建设。
无线覆盖范围。为了满足学生和教职工在大型的公共场所能随时随地使用无线网络,此次规划的无线覆盖范围涵盖综合办公楼、各种大小会议室、阅读室、招生办等室内,还包括室外可以覆盖操场、食堂等区域。
无线网络安全。由于在无线网络环境下无线终端是通过搜索无线信号进行网络连接这一特性决定了在安全管理方面比有线网络具有更高要求和更大难度。要做到接入用户认证,识别用户分类,安全审计用户信息等。
便捷易用,稳定可靠。在接入认证方式上分教师、学生和访客三种身份,要做到一次登录认证,下次无需认证;要做到在校园内不同场所无需人工切换,无需重复认证。还要做到使用者在使用无线网络时不中断、不掉线、不卡顿等。
运营维护管理。方便管理者管理和维护各种不同型号、安装在不同场所中的无线AP,确保能全面监控所有接入AP运行情况,精准定位故障AP。
与原有线网络兼容。为了提高设备利用率,减少不必要的投资,无线网络往往是建设在有线网络的基础上,利用原有线网络核心设备,比如核心、汇聚交换机、认证系统等,与有线网络共用一套认证系统,同一个账号既可以在有线网络上使用,也可以在无线网络上使用,使用相同或者不同的认证策略以及访问控制策略。
(一)校园无线网网络架构选择
目前,无线网络覆盖的网络架构有传统的自治型无线接入点即“胖AP”和“无线交换机+瘦AP”两种。其两者不同点在于“胖AP”所有管理与配置集成在设备自身,每个无线设备自己管理,没有全局的统一管理,更没有对无线链路、无线设备和无线用户等的监测与管理、故障排查、流量控制和审计等功能,比如家用的无线AP小路由器。
而“无线交换机+瘦AP”这种解决方案全部集中在无线控制器上管理控制,并通过控制器后台可以直观地对全网接入设备进行统一的、批量的发现、升级、配置,甚至包括对无线链路的监测,对无线用户的管理。
在全局的统一管理、统一安全、统一认证和设备自身的安全性等方面进行对比,结合学校实际情况,适合采用“无线交换机+瘦AP”这种解决方案。
(二)校园无线网络结构
为了提高设备利用率,减少不必要的投资,我校无线校园网络建设直接在原有线网络的基础上进行叠加。即利用原有线网络核心设备,比如核心交换机、认证系统等,将AC无线控制器部署在校园网核心机房,旁挂于内网核心交换机上。山西广播电视大学无线网络结构如下图:
(三)校园无线网络覆盖设计
室内场景覆盖。图书馆、会议室等这类用户数量多,空间面积大,接入终端多且支持频率不同的室内场景采用室内高功率双频AP,根据具体施工情况和安装效果选择吸顶或面板式安装方式。
室外场景覆盖。室外这类场景有一个典型特点就是:室外环境复杂,有雷雨等天气影响。AP需要具体防尘防雨等特点。
将AP部署在人员密集区域,不仅需要满足终端接入还需要满足信号的稳定性和较高的终端接入数。对于室外环境,采用高性能、高吞吐量、高用户并发等优异的性能AP。
(四)SSID规划和信道规划
便于用户使用无线网络,使用SSID进行广播,针对学生、教师和访客等不同的用户群体,在无线AP上设置不同的SSID,同时不同的SSID采用的接入认证方式不同,并通过无线控制器AC针对不同的SSID设置不同的访问控制策略等。
信道规划。学校无线网络部署的是双频AP,即一个AP可以同时发射2.4G网络和5G网络,使用2.4GHz网络,为保证信道之间不相互干扰,通常采用1、6、11三个信道,要求两个信道之间间隔5个信道以上,比如采用1、6、11三个信道。对于5GHz网络来说,最多可以提供5个不重叠的信道同时工作,在我国一共开放了5个信道,分别是149、153、157、161、165信道,这5个信道相互之间不重叠,为互不干扰信道,这样可以有效降低无线干扰,提高无线上网速度。
除此之外,国家针对于802.11 AC新一代无线网络,也逐渐开放了更多的频段,拥有13个不重叠、不干扰的无线信道。5G网络具有无线传输快、环境干扰小的优势。
(五)校园无线网络安全性设计
无线接入认证。对于不同的使用者,可以做不同的认证方式。教师通过无线办公可以使用802.1X的无感知认证方式。对于学生可以采用Portal账号认证,免除了繁琐的认证方式。对于访客则可以通过微信短信等认证手段来提高宣传的力度,增强学校的整体形象。
无线空口安全。无线校园网的无线空口安全威胁主要来自非法接入点、空口窃听、恶意攻击。
非法接入点。非法接入点,如私接无线接入点、共享热点、AD-Hoc等,其威胁主要是对校园无线网的干扰以及诱使用户接入从而盗取用户信息,通过无线控制器AC的检测功能检测无线环境中存在的攻击和危险行为,实时告警并产生日志,并对指定类型的攻击对象执行反制。
空口窃听。众所周知,无线网络是以空气为介质进行传播的,数据通常被暴露在空气中,恶意访问者利用无线空口抓包工具进行破解账号密码、数据分析等,对无线校园网造成安全隐患,通过对无线空口进行WPA/WPA2/WAPI等安全加密,或采用高安全性的Portal安全认证方式,对用户认证数据以及业务数据进行安全加密,防止空口数据被窃听。
恶意攻击。在校园网络中典型的恶意攻击包括D-dos攻击、Ping攻击、ARP欺骗攻击,D-dos攻击、Ping攻击等洪泛攻击可以使主机资源被耗尽,从而达到攻击的目的,致使服务器瘫痪、无法访问的情况。可以通过在无线层面的攻击检测技术,将攻击终端加入到动态黑名单中冻结一段时间并产生告警通知,有效预防AP接入资源、服务器等资源被耗尽。同时,不影响其他终端的正常接入。
访问控制。可以利用无线控制器的应用访问控制,将控制策略下发到AP,从而实现对内外网的访问权限控制,保证无线校园网的安全性。
另外,互联网资源极其丰富,但却良莠不齐,学校作为提供互联网上网服务单位,有义务规范学生的上网行为。将违法、违规、暴力、黄色等不良网页过滤掉,净化网络环境;同时过滤钓鱼网站、恶意广告、垃圾博客,防止用户不慎访问不受信的网站带来的上当受骗。
行为审计记录。为了进一步保证学校的信息安全,对特定的系统资源以及网络舆论进行保护,对与学校的系统、BBS论坛、贴吧等相关的网络行为进行审计记录,当疑似出现安全问题时,能够做到有迹可循。
针对于无线用户的上网行为审计,包括但不限于http外发内容、访问的网站和下载、邮件、ftp、telnet、其他网络应用、网页内容、ACL拒绝行为以及上网流量与时长控制。
(六)校园无线网络稳定快速设计
通过流量控制等措施确保校园无线网络稳定快速。由于互联网各类应用程序所需的带宽越来越大,可视化视频应用越来越多,对出口带宽的需求很大。如何能合理地利用有限的带宽,根据用户类别、应用类型和时段等不同因素设置不同的流量极为关键。
此次校园网无线覆盖要求:1.根据业务类型进行流量控制,比如可以按照P2P下载、FTP下载、视频、网页浏览等应用进行流量控制,并设置一定的优先级,比如教务管理系统、会议视频系统等学校业务应用进行流量的优先设置,这样可以避免占用带宽大的网络应用影响重要业务应用的正常使用;2.根据用户类型,针对学生、教师和访客等不同身份进行带宽的分配,比如为教师分配相对带宽大一点,对学生则统一分配一定额度带宽等;3.根据使用无线的时间段进行流量控制,针对不同应用、不同的用户等在不同时间段进行合理的流量控制;4.还可以根据实际带宽使用情况,实时调整通道流量。这样可以合理分配带宽资源,提高带宽利用率。
(七)校园无线网络高可靠性设计
通过AP灾备冗余、认证服务器冗余等措施确保校园无线网络可靠性。
AP灾备冗余。基于AC+ FIT AP网络架构,AC作为无线网络中最核心的设备,当AC宕机之后,无线网络将变得不可用,通过AP灾备冗余方案,当AP与无线控制器因外界因素(如AC宕机、控制器与核心交换机网线断开)造成的通信连接断开后,自动启用应急策略或应急SSID,新接入的用户会划分到指定的应急VLAN以及分配相应的应急角色,仍然能保证用户正常上网以及新用户的认证接入,当网络恢复正常时,这些用户会从灾备角色中剔除,提高网络的稳定性和可靠性。
认证服务器冗余。无线校园网利用原有线网络的外置认证服务器进行统一认证,无线网络可关联多个 Radius服务器,实现认证服务器的冗余备份,当一台Radius服务器宕机后,另一台Radius服务器继续提供服务,为用户提供可靠的接入服务。
另外,通过认证服务器逃生功能,即使当无线网络关联的全部认证服务器都宕机后,依然能保证用户正常上网以及新用户的认证接入,提高网络的稳定性和可靠性。
(八)校园无线网络运营维护设计
由于无线AP分布较点数较多、地域较广,给运营维护和管理方面带来一定困难。通过无线控制器统一集中管理平台,对无线AP统一下发配置,对无线AP进行图形化管理,根据图形显示情况,确定故障点。
还可以通过对部署在覆盖目标的AP进行分组管理,比如按照建筑物划分管理组,方便IT管理员管理运维。同时,IT管理员可在控制器上可统一查看所有AP的运行情况(如AP接入用户、AP带宽使用情况、设备利用率、AP在线情况等),当AP设备出现异常或故障时,会出现告警事件,帮助IT管理员及时排除问题。
(九)校园广告
当然校园网无线覆盖不仅可以方便用户使用网络,还可以针对不同用户推送一些新闻公告等信息,主要包括WiFi入口广告推送、推广学校公众号和用户行为精准推送等。
WiFi入口广告推送。在WiFi入口进行校园广播等信息展示,访客连入WiFi时,会观看到推送的公告信息。学校可以根据楼层、区域的不同推送不同的WiFi入口信息,比如:当用户连接校园东区无线网时,提示校园东区等信息;并且可以强制用户观看一定时间的公告之后才可以点击我要认证上网。
推广学校公众号。学校为用户提供免费的无线网络,访客通过关注学校微信公众号获得上网资格,有效帮助学校推广教学资源以及提高学校整体形象。当学校需要发布消息时,可以在微信平台发布。提高了学校发布信息的效率。
用户行为精准推送。当用户使用学校WiFi时,用户行为精准推送,会根据用户在百度、谷歌等网页搜索引擎内容进行信息推送(需管理员设置好关键字组对应的广告,比如搜索“图书”时推送学校相应的书籍内容),推送形式支持网页内嵌banner广告、微信、短信等方式。
无线网络的覆盖弥补了传统有线网络的不足。满足了师生随时随地通信、学习等办公、学习和生活的需要,同时也为我校提供了日常生活、办公和学校管理紧密相连的信息化平台,也提高了整个网络的性能。
但本文只是针对我校无线校园网络建设的总体需求和无线网络架构、无线网络结构、覆盖范围、安全、可靠、稳定以及维护方面等实施方案提出的一种设计思路,具体实施中还需要针对具体校园环境和实际应用需求进行不断改进、完善和优化。
在以后无线网络建设和使用过程中,应对无线网络进行合理分布、配置优化。在网络安全方面,要完善管理制度。随着无线体系的逐步完善,无线网络使我们生活和学习真正享受无线的乐趣。
[1]邓宁.校园无线网络建设方案实例探讨[J].中国教育技术装备,2015(20).
[2]徐莹,石坚.基于WLAN的校园无线网络的规划与设计[J].电子测试,2015(23).
[3]陈瑞. 无线网络故障分析及其解决策略[J].山西广播电视大学学报,2013(3).
本文责编:赵凤媛
Research on the Construction of Campus Wireless Network——Taking Shanxi TV University as an Example
Chen Rui
(Shanxi TV University, Taiyuan, Shanxi, 030027)
With the rapid development of wireless network and the popularity of mobile terminals, wireless network has become a useful supplement to the wired network. The design ideas are put forward according to the actual situation of Shanxi TV University, the current campus wired network and campus environment layout, the needs of research and teaching, the overall demand for the construction of Shanxi TV University campus wireless network and wireless network architecture, wireless network structure, coverage, security, reliability, stability and maintenance.
wireless network; campus network; network architecture
2016—11—01
陈 瑞(1981—),男,山西朔州人,山西广播电视大学,讲师,硕士。
G728
B
1008—8350(2017)01—0016—04