高校大规模无线网络的实施与安全管理

◆梁浴文

(西南财经大学天府学院 四川 610000)

高校大规模无线网络的实施与安全管理

◆梁浴文

(西南财经大学天府学院 四川 610000)

随着高校师生各种移动互联设备的普及，传统的有线校园网络难以满足师生随处访问网络资源的需求。无线网络以其接入方式灵活，可扩展性强等特点在高校网络建设中应用得越来越广泛。本文以西南财经大学天府学院校园无线网络建设为例，探讨校园无线网络组建和安全管理的措施，总结了存在的问题及改进思路。

校园无线网络；IEEE802.11n；天府学院；网络安全

0 引言

随着智能手机、平板电脑、智能穿戴设备等移动终端的普及，人们需要能随时随地访问互联网络，传统的有线网络由于其结构特点无法满足这种需求。无线网络以电磁波为数据传输介质实现了网络的灵活接入，能够有效地弥补有线网络的这一缺陷。

我国各个高校纷纷开始建设自己的无线校园网络，广大师生可以很方便地在报告厅、会议室、图书馆、教学楼、实验楼等处采用无线上网的方式访问网络资源，实时地参与各种网络教学活动。

1 无线网络的关键技术及部署方式

1.1 IEEE802.11n标准

IEEE802.11n标准中将MIMO(Multiple Input Multiple Out put)技术与OFDM(Orthogonal Frequency Division Multiplexing)技术相结合，从而提高传输效率和减小子载波之间的相互干扰，其传输速率可以高达600Mbps，具有覆盖范围广、传输质量稳定、抗干扰性强和兼容性好等优点。

1.2 无线网络常见部署方式

无线网络由AP（Access Point：无线访问节点）和AC（Access Controller：接入控制器）两种关键组成部件。在大规模的网络中常用AC+Fit AP集中控制方式，AP仅发挥接入天线的功能，AC负责用户的鉴权、漫游、网络管理等功能，这为网络的运维提供了很大的便利。

2 西南财经大学天府学院校园无线网络方案

2.1 项目总体设计

本项目将对天府学院成都西区所有学生寝室、图书馆等公共场所进行无线网络覆盖，遵循IEEE802.11n标准，使用AC+Fit AP的方式规划及建设。

在校区内适当位置设置网络核心机房，配备上走线桥架和空调等配套设施，接入运营商出口光纤，使用单模光纤对各楼栋弱电间（井）进行汇聚。对于教室和图书馆等公共场所，在房屋中间部署适当数量的吸顶式 AP。对于学生寝室，在每层楼走廊处部署吸顶式 AP。无线网络对校区室内部分全覆盖，成为有线网络的有益补充。

AC负责管理网络中的瘦AP，负责对AP的配置下发和配置参数修改等。采用统一发射的信号标识（SSID），实现无缝漫游。

无线设备支持多种认证方式，支持Radius、LDAP协议，使用WEB-Portal方式的认证Portal实现对用户管理、认证、控制功能。

2.2 主要设备选型

（1）网络设备选型基本原则

网络设备选型的基本原则应考虑厂商因素、扩展性因素、方案实际需求因素和产品自身因素等。优先考虑目前主流的设备供应商，他们的产品线都相对较为全面，有成功案例供参考。

（2）关键设备技术参数

核心交换机的背板容量超过1Tbps，支持IPv4和IPv6的三层路由功能。配置高性能无线控制器模块，实现有线和无线一体化的认证和管理。

防火墙支持并发连接数300万以上，10G以上吞吐量。支持IP Spoofing、ARP欺骗等各类常见攻击的防范，支持ICMP重定向或不可达报文控制功能等。室内型无线 AP，可支持IEEE802.11x模式，支持Fat和Fit两种工作模式。

3 项目实施及系统评测

3.1 AP的定位

AP的定位很大程度上影响无线网络整体的实施效果，在实际施工中需要考虑的主要因素有：尽量避免无线信号覆盖盲区；节约AP的数量以降低整体成本；减少因AP部署过密造成的同频信号交叠；注意实施地点的环境，开阔地带的覆盖半径较大，室内的覆盖区较小。

本方案中的校区共有三栋框架结构的高层建筑，学生宿舍分布密集，接入无线网络的终端数量大，且寝室中的钢架结构家具很密集，AP的定位较特殊。

以其中某楼层为例进行AP初步定位测试，该区域一共有23间学生寝室，每间寝室4个接入终端，一共可能有92个信息点位。经过多次测试，采取在该区域中均匀分布5个AP于中间走廊天花板的方式。对于一些极端覆盖区域，通过调整各AP的门限值及频点减少相邻AP之间的同频交叠区域。

对于开阔的公共区域，采用降低接收单元信号门限值的方式来扩大单个AP的覆盖范围，AP的定位难度较低。

3.2 线路铺设施工

遵循有线网络的施工规范，每个AP到汇聚交换机之间采用超五类双绞线，汇聚交换机到核心设备采用光缆进行连接。无线网络整体综合布线工程量相对较小，施工难度不高。

3.3 系统整体调试

系统整体调试的内容有：无线信号强度测试、系统吞吐量与接入带宽测试、用户认证测试、WEB认证接入延时测试、Ping包测试、网站访问成功率测试、同AP下用户隔离测试、AP间漫游测试。

使用专业的手持式无线网络测试仪快速查看无线网络使用率，识别并定位恶意的无线接入点。利用WirelessMon无线网络质量检测软件查看检测者附近所有AP的信号强度、传输速度等信息，方便检查网络的稳定性。利用Throughput Test软件测试网络吞吐量，以测试设备能够接受的最大速率。

3.4 网络安全管理

（1）地址规划

采用单独部署的DHCP服务器来完成AP的地址规划，实现AP设备的无人值守，当AP上电后就能通过DHCP服务器获得管理IP地址从而建立和AC之间的隧道，提高了网络整体的稳定性。

（2）认证计费

无线网络的认证计费功能在Radius设备上进行。学生在寝室中访问校内各种资源需要认证但免费，访问外网资源要进行认证计费。在教室和图书馆等处需要认证但免费。

（3）上网行为审计

上网行为审计服务器可保留学生上网用户 1-3 个月的上网记录，可满足网络安全监察部门的事前预防、事中监督检查、事后协助调查等要求。

4 存在的问题及优化

4.1 部署实施中存在的问题

随着校园无线上网的用户数的增长，校园无线网络在运营过程中也暴露出一些问题。

单个AP上连接的用户数量过多影响稳定性；无线网络的网络传输速度无法和有线网络媲美；使用环境复杂导致无线信号入室后衰减过大导致覆盖盲区；楼层之间的AP部署密集导致同频交叠干扰等。

4.2 校园无线网络改进优化建议

（1）AP布局调整

对于学生宿舍这样的高密度区域，可考虑使用室内放装工作模式，比如：在AP上连接天线馈线并伸入到寝室内部，或者借用寝室中原有的有线网络安装面板式AP。这两种方式可解决寝室信号覆盖问题，减少AP间的相互干扰，但成本较高。

（2）空口限速技术

考虑利用无线设备的空口限速技术，限制每个用户的带宽，避免出现用户间带宽分配不均衡的问题，但这样会影响用户体验。

（3）端口隔离

将AP间组成的网络进行二层隔离处理，减少同一网络内的广播风暴和ARP的攻击几率，可以在一定程度上增强无线网络的安全性。

（4）合理规划频点

合理规划各AP的频点减少相互之间的频率干扰。采用手工调整频点的方式合理的规划各AP的频点，减少楼层之间的干扰。

5 总结与展望

由于项目组成员初次接触大规模的无线网络，遭遇了不少挫折和失败，在该项目投入实际运行的两年多时间里，进行了多次系统调优，目前系统整体运行情况良好。

由于时间、精力和设备等限制，我们无法进行更深入的研究工作，但相信随着技术的进步，无线网络在数据吞吐容量、安全性等方面会取得长足进步，在高校的信息化建设进程中将扮演更加重要的角色。

[1]崔北亮.网络管理从入门到精通[M].北京:人民邮电出版社，2010.

[2]王勇，刘晓辉.网络综合布线与组网工程[M].北京:科学出版社，2011.

[3]王晓东，郑连清，郭超，杨文峰.基于 WLAN 的大规模校园网设计[J].现代电子技术，2002.

[4]邵瑞华.校园WLAN网络建设方案[D].大连海事大学，2011.