校园局域网的优化与维护

张杨

摘 要 随着信息技术和通信技术的发展，局域网被大规模的应用于企业、学校、机关单位等，而现在无线技术的发展使得无线局域网成为了一种新的趋势。本文阐明了校园局域网构建的原则，从机房管理、故障排查以及资料备份等方面分析了其维护方法，同时探讨了局域网安全优化措施，旨在促进校园局域网的安全发展。

【关键词】无线局域网 校园网 无线数字 通信安全性

现代校园中，通常都会构建符合学校实际的局域网络，以便于教师和学生能够更加方便的进行学习和生活。但是，在局域网的使用过程中，出现了一些安全隐患，给学校和师生带来了一定的不利影响。所以，本文对校园局域网的日常维护以及安全优化措施进行了探讨。

1 校园局域网构建原则

1.1 安全性原则

校园局域网在实际的构建过程中，最为重要的一个原则就是安全性原则。只有在安全性原则的指导下进行局域网的构建，才能够确保网络服务的安全性，避免教师和学生在使用网络进行学习和工作时，受到外部的攻击以及干扰，确保校园内部的数据和信息安全。

1.2 可行性原则

可行性分析主要分析现有技术条件能否顺利完成开发工作，硬、软件配置能否满足校园网络使用的需要等，同时兼顾兼容性、扩展性方面的问题。还需要注意的是，在构建校园局域网的过程中，安全性的确非常重要，但是千万不能过分的最求“最完美”的安全网络环境，盲目的追逐安全性，会导致校园局域网的应用受到诸多限制，本末倒置。

1.3 高效性原则

构建校园局域网最根本的目的是为了提升教师和学生的教学、学习效率，帮助学生更好的学习知识。所以，在校园局域网络构建的过程中，应该在网络安全性与高效性之间进行综合的衡量，既要有安全性，同时也要有高效性。

2 校园局域网日常维护管理

2.1 网络机房的维护管理

网络机房的管理涉及方方面面，这里只从网络技术上提出几点比较重要的实用的方法，提高网络管理的效率。

（1）带宽限制，一定要在核心交換机上对机房的带宽进行限制，否则很容易出现机房一开始使用，整个局域网就陷入半瘫痪的状态，影响学校整体的办公；

（2）建立网络映射盘，给学生分发上机作业和收作业时比所有的电子教室软件都管用；

（3）每台计算机固定IP和名字，这样可以避免IP冲突，也可以很容易找到中毒后发出异常数据包的计算机；

（4）IP地址与MAC地址绑定，能够有效防止ARP攻击造成的网络中断，也可对学生的上网行为和流量管理实现方便管理；

（5）网络克隆和还原软件，这是机房管理的必备软件。网络机房的使用对象是全校学生，我们的教学需要学生有较强的动手能力，有些老师称为“破坏能力”，其实这也是学生学习的过程，我们不应该限制而应该鼓励，他们往往喜欢随意更改计算机的桌面配置，修改注册表，也有可能造成机器感染病毒或机器无法正常运行，会给网络机房的正常运转带来不少麻烦，我们需要做的就是在关机之后所有配置失效就可以了。

2.2 备份措施

几乎所有设备都有使用寿命和期限，存储类设备一旦损坏就很可能会导致信息和数据的损失。因此，在局域网维护管理中一定要做好备份工作。具体到实际工作中，主要有以下几方面：

（1）主干通信网络光纤一定要有替换备份线路；

（2）服务器的备份，一定要用双机热备，两台相同的服务器，用商业软件或硬件实现。

2.3 网络故障排查

网络运行中会受到多方面因素的影响，因此导致其产生故障的原因会非常多。但是在实际工作中，可以采用常见的一些方式来对这些原因进行快速排查，具体方式如下：第一，当在一个交换机后的整个网络都不通时，很有可能是交换机出了问题，很多时候交换机也会死机，重启即可。电脑本地连接显示正常仍然上不去网时，还要检查交换机的主线进线连接是否正常。第二，如果是个别电脑不能上网时，则：

（1）先检查电脑的IP地址、子网掩码、默认网关、默认DNS网络参数设置是否正确；

（2）检测TCP/IP 协议，Ping127.0.0.1 本地循环地址，如果Ping 不通，则协议不正常，可重新安装协议；

（3）Ping本机的地址，若Ping 不通，可能是网卡或者驱动的故障，可在设备管理器中卸载网卡再注销，重新安装网卡的驱动程序；

（4）Ping同网段计算机，不通则为网络线路出现故障，可重点检查网线及水晶头是否接触正常。

3 校园局域网安全优化措施

3.1 校园局域网安全威胁

无线局域网通过电磁波传播数据的特性为我们带来便利的同时，安全问题随之而来。在使用WLAN时面临的安全威胁主要有三个方面，一个来自网络自身的漏洞，一个来自外界的恶意威胁，最后一个是网络中承载的信息的价值。无线网络的漏洞包含两个层次。一方面是前面提到的传输介质的开放性导致的漏洞，另一个方面问题是由于无线网络存在的漏洞.影响原有的有线网络的安全性。网络外部的恶意攻击者和网络内部的用户都可能是WLAN安全威胁的带来者。在IEEE802.11协议中，用户数据通过密钥进行加密，看似用户的数据安全性有保障，实际上所用的WEP中规定的加密方案并不能做到。WEP攻击主要有四种：被动型攻击——解密业务流、主动型攻击——接入业务流、针对接收和发送两端的主动攻击、利用解密字典进行攻击。

3.2 802.11无线局域网的安全优化方案

思科开发了802.1X/LEAP认证方案来增强控制.使用基于AES算法的加密方法来取代WEP协议也很常见.另外使用上层的保护手段也比较有效，比如IPSVPN。尽管各大制造商自行研发的解决方案使得WLAN的安全得到了更大的保障，但是这种使用各自不同的解决方方案的情况使得产品之间出现兼容性的问题。IEEE802研发组成立了专门的工作小组来解决802.11出现的安全问题。他们推出的新的安全协议就是802.11这个协议对MAC层的安全进行了保障。802.11的出世既要解决802.11中面临的安全问题，也要做到支持已在市面上的大量产品都能够使用这个新的协议，来保障相关单位在之前做出的投资。在IEEE802.11协议中，IEEE802.11、可扩展认证协议（EAP）、远程身份验证拨入用户服务RADIUS这三个部分共同完成了身份认证和接入控制。

3.2.1 构架方式的优化

建设过程中用的组网方式是无线控制器和FITAP方式。这个模式是在无线控制器上进行配置的。对于同一类的接入点只需要配置一次就足够了。接入点会从无线控制器上把我们配置好的文件下载到本地进行使用，解决了传统方式中工作繁复的问题，即使接入点设备遗失，配置文件也不会泄漏。无线控制器还可以对接人的用户进行管理和监控。这个组网方式支持对接入点的自动软件更新，只要对接入点进行重启.接入点就会去检查自己的软件版本和无线服务器上的软件版本，如果需要更新则更新。FITAP下用户的数据能通过AP中的CAPWAP隧道链接无线控制器。这使得用户的VLAN可以和骨干交换机沟通，而绕过无线交换机。这一个特性对于在校园有线网络的基础上建设校园无线局域网非常有用。可以很大程度减少对有线网络的改造，从而减少工作量。

3.2.2 负载平衡

负载平衡要做的是每当有新的用户想要接入到WLAN时，查看每个AP的连接数，通过比较以后将用户分配给接入数量较少的接入点。这样做能够使用户在使用网络的时候拥有更快的响应。这个机制中，当用户接入点后，无线控制器会做负载平衡。接入点每隔一段时间向无线控制器发送当前已经连接的设备信息。无线控制器收到消息以后，使用这项数据来判断当前的AP是否过载。如果没有超过负载，就会允许用户的接入。否则，依据设置来决定是否允许接入。

3.2.3 认证功能

无线控制器AC需要支持SIM卡，TLS，PEAP，MD5等协议，才能对不同形态的用户进行授权。在原有的有线校园网中，已经有了不少的用户，他们有相应的账号和密码。在建设好无线局域网以后，要使得这些账户仍然可用，而且在无线网络和有线网络的切换中不需要重复认证，这需要在无线控制器中进行设置。

3.2.4 无线控制器的备份

本设计中使用双链路连接的方案来实现备份。这个方案可以实现备份的热进行，在进行备份的时候网络仍然可用。存在两个无线控制器，分别主用和备用，所有的接入点既要与主控制器连接也要与备用控制器连接。当进行备份的时候主控制器就会当机，这时心跳检测机制会告诉接入点主控制器的情况，接入点就会在极短时间内接入到备用的无线控制器，做到在备份的同时不影响到网络的连接和使用。

4 结论

本文对当前校园局域网络的常见维护方式进行了分析，同时依据当前的无线局域网标准安全漏洞和新的安全标准提出了优化方案，希望能够促进校园局域网的健康发展。

参考文献

[1]殷冬冬.大规模校园无线局域网性能优化技术研究[J].无线互联科技，2017（17）：13-14.

[2]周颖.浅谈高中校园网网络安全和维护策略[J].网络安全技术与应用，2015（04）：170-170.

[3]曲伸.关于对校园局域网组建及优化管理的探析[J].电子技术与软件工程，2015（16）：39-39.

作者單位

首都体育学院现代教育技术中心 北京市 100091