杨玲
(中央财经大学网络信息中心,北京100081)
随着教育信息化的高速发展、我国高校数字化校园建设步伐的加快,大部分高校的有线网络构建已基本完成,并作为校园网的主干,发挥着重要的作用。在“互联网+”时代下,高校校园网络逐步呈现出教学、科研、上网服务综合一体化的新趋势,在学习、生活、工作和交流等方面极大地方便了广大在校教职工、学生和外校交流人员。
在高校校园内,教师与学生的流动性很强,原本局限在办公室的有线网络显然已经不能满足大家的需求,而无线网络的方便快捷、灵活性、应用范围广、投资少等优势却得到完全展示。如何在高校校园里构建高效合理的无线网络,让有线校园网络真正成为无线网络的一个强有力的补充,形成全面覆盖的校园联网,同时保证校园无线网络信息的传输安全,对于大多数高校来说是一个急需解决的课题。各个高校都须顺应这一时代的需求,将无线网络建设作为高校建设的重要组成部分纳入到高校信息化建设中。
高校无线校园网是随着整个无线网络技术的高速发展的前提下,慢慢发展起来的。第一批高校无线校园网建设开始于1999年,是清华大学架设了基于 802.11b 标准的无线网络。紧接着,在2002 年北京大学也开始构建校园无线网络,首次实现了高校校园无线网,这一举动给高校校园网的完善发挥了极大的推动作用。当时,北京大学校园无线网的无线带宽是11Mbps,可以支持 5000 个无线用户的网络接入,成为了国内各大高校校园无线网建设学习的标杆。
随后,中国人民大学、中国矿业大学、北京师范大学、北京邮电大学、上海同济大学、西安交通大学、武汉大学等高校也根据各高校的实际情况,先后建立了自己的校园无线网络。
根据《 高等教育信息化发展调研报告(2016)》显示,超过93%的高等院校已建立校园无线网络,其中学校自建自维的比例高达46.61%,与运营商共建的超过三成,交给运营商建设的比例占11.76%。
由此可见,校园无线网络已经成为高校校园网的重要组成部分,校园无线网络的广泛应用极大的提升了教学环境品质,增加了教育的灵活性和交流方式,提高了行政管理人员的工作效率,在教育系统中占有愈发重要的位置。
更重要的是,校园无线网络突破了有线网络的应用局限,可以实现校园安防、学籍管理、远程教学、数字支付等多种应用系统的快速部署、全面覆盖,从而真正实现全方位的数字化校园。
高校无线网络建设模式如图1所示。
图1 高校无线网络建设模式
在满足全校师生对网络的需求,将校园无线网络覆盖到每一个可能对访问网络有需求的地方之外,还要考虑校园无线网络的兼容性、可靠性、安全性、实用性和扩展性。
(1)兼容性:新建设的校园无线网应具备与有线网络兼容的能力。该网络的设备不但要实现高速传输等功能,其硬件还要具有兼容之前有线网络的能力,软件也要保证实时更新等特点。
(2)可靠性:该无线局域网设备不但要求在通常情况下能正常工作,还要保证在某些设备出现故障时,整个无线局域网络不会停止运行。
(3)安全性:为了保证校园无线网的平稳运行,新建设的校园无线网络应具备良好的安全性能。网路入侵者在入侵该校园网络时,将会受到校园网入口站点的防火墙和反病毒软件的拦截。
(4)实用性:在建设无线局域网的信息节点时,首先要分析该点弱覆盖的区域的人员接入网络的需求,并且还要考虑每个信息节点都能用上,但每两个信息节点不会有太多的重复区域。
(5)扩展性:在对校园无线局域网进行方案分析时,首先要保证网络结构清晰,只有清晰的网络才能完全规划好区域的信息节点分配。其次要保证该网络设备要具有向上扩展的能力,因为无线网络技术在不断发展,各种技术也在不断更新,如果建网所用设备扩展性太差,那么很快就会被淘汰。
本文以某高校无线校园网的建设为例,方案设计的目标:一方面利用先进的无线网络技术扩展校园网络的覆盖范围,让全校师生可以方便高效的使用校园网络;另一方面,构建一个高效稳定的无线网络,满足学校师生日益增长的移动终端对网络访问的需求。另外,通过无线业务的全面开展,改进管理方式,提高教学和管理工作效率,从而进一步推动学校信息化建设。
本方案采用AP就近接入的原则,同时将每栋楼的有线网络为无线网提供网络接口,并下接交换机完成网络接口的扩展,同时完成P O E供电的功能。
网络结构方面,采用“瘦” AP+AC的单核心三层架构模型,将校园无线网的网络层次分为核心层、汇聚层、接入层。
在核心层上,无线网络的万兆交换机通过校园网的核心交换机接入网络,并作为整个无线校园网的中央管理控制器,并配备双AC设备冗余,从而增强了校园无线网的稳定性。
此外,从校园无线网的安全性上考虑,可在核心交换机上同时部署认证计费系统、日志审计系统、防火墙相关安全软件。
高校无线网设计总体网络拓扑图如图2所示。
图2 高校无线网设计总体网络拓扑图
由于校园无线网通过无线电波传输数据,校园无线网用户可以在无线覆盖范围内的任意地方访问这些数据,影响了防火墙对通过无线电波传输的网络通讯的安全拦截作用,从而任何无线网用户在校园无线网的覆盖范围之内都可以截获和插入数据。
因此,虽然校园无线网扩展了网络用户操作的灵活性,比如安装便捷、增加用户或更改网络结构灵活等一系列的优势,却在如何保证校园无线网络的安全性方面,存在着新的问题。
高校校园无线网的安全管理可以从以下几方面考虑。
为了确保校园无线网的安全平稳运行,首要前提是保障校园内网能够抵御外网的攻击,需要在出口设备上部署完善的安全措施。防火墙(Firewall)则是校园 无线网的首要防御措施,可以实现内部网络用户对外界网络的访问控制和外界非法网络资源入侵的隔离功能。
防火墙的主要功能是对用户访问数据的控制,即所有内部网络用户与外界网络进行数据和信息交换时,都要受到防火墙的过滤,只有能通过防火墙过滤的数据和信息才可以正常传输。因此,为了保障校园无线网进出口安全,防火墙须具有很强的抗攻击能力,并能同时记录和监督非法信息和入侵者的网络行为。
高校校园无线网选择防火墙应具有几项功能。
(1)应具备完善的日志功能,可以统计和分析能网络流量,并且对网络中的各项事件进行监控和跟踪,同时将相关数据提供给日志管理系统,以便日志管理系统的分析和处理。
(2)应具备较高的防攻击能力。例如,可以防护 DoS 攻击、CC 攻击等。同时,还应具备一定的防御蠕虫病毒能力,例如能防备 TCP 报文标志不合法的攻击等。
(3)应具备强大的病毒过滤功能,例如能过滤Web、邮件、FTP等多类型文档,同时应具备一定的监控功能,可以实现对SMTP 、FTP、HTTP等多种应用层的协议状态进行监控。
无线网络用户认证计费系统主要是实现多类型用户的统一认证,使同一个用户可以通过不同的服务接入,完成包括用户接入、认证、计费及用户管理的功能。
目前大多数高校校园无线网采用的认证方式是Web 认证,通过启动一个Web 页面输入用户名和密码,实现对用户是否有使用权限的认证。
Web 认证方式有以下优点:无需安装客户软件,方便了用户的网络接入,同时也减少了学校无线网络管理部门维护和管理的工作量。
在计费系统上,计费配置。
(1)用户组:共建立了四个用户组,分别是VIP无线用户组、教师无线用户组、本科生无线用户组、研究生无线用户组。
(2)计费策略:共建立了三种策略,分别是Default、教师无线计费、学生无线计费,如表1所示。
表1 无线网用户组和相应的计费策略对应表
第一种,Default:不限时、不限流量、完全免费。
第二种,教师无线计费:包月计流量,一个月为一周期,在此周期内前5G免费,超出则每G流量4元。具体计费策略是本月1号到下月1号之间,开户并使用无线网,流量不超过5个G的用户,免费上无线网。在此周期内流量超过5G的,每G流量4元。不超出则不扣费,但本月未使用的流量不会累加到下一个周期内。
第三种,学生无线计费:包月计流量,一个月为一周期,每月缴纳20元可使用15G流量,超出则每G流量4元。具体计费策略是本月1号到下月1号之间,开户并使用无线网,缴纳20元一个月可以使用15G的流量。在此周期内,流量超过15G的,每G流量4元,不使用则不扣费,本月未使用的流量也不会累加到下一个周期内。
在“互联网+”时代下,无线网作为高校信息化建设的重要部分,在高校教学中起到关键作用,在建设高校无线网时要合理有效,对高校无线网的维护应专业全面。高校无线网的建设中要充分考虑师生在教学中的广泛应用,利用先进的无线网络技术扩展校园网络的覆盖范围,让全校师生可以方便高效的使用校园网络;还要关注保障无线网传输安全相关设备的部署和措施,以及无线网维护的安全策略、运维和管控,才能保证校园无线网的安全与畅通。