校园无线网络的设计与安全防范——以厦门技师学院为例

◆蔡加柳

校园网络安全

校园无线网络的设计与安全防范——以厦门技师学院为例

◆蔡加柳

（厦门技师学院 福建）

随着移动终端的快速发展，无线移动网络已经成为国内的发展主流。社会在不断发展，我国的校园信息化的建设工作也迈进了一个崭新的阶段。为了满足校园不断发展的需求，我院校园无线网络的建设工作也在全面进行中。本文主要介绍了厦门技师学院无线校园网的现状、建设的总体目标、无线网络方案的设计及安全防范、无线网络使用的效果等，为其他院校的无线校园网的建设与应用提供借鉴。

无线校园网；安全；设计

1 引言

近些年来随着网络信息时代的快速发展、信息技术水平日益提高，各行各业都采用了信息化管理，我院也逐步加快了信息化建设的进度，通过信息化更好地服务于办公教学。伴随着移动互联网时代的到来，各类线上教学办公业务蓬勃发展，师生对于校园无线网络的迫切需求与日俱增，目前学院已经建成较为完善的有线网络。随着移动终端数量的爆发式增长和无线互联技术快速发展，新的技术手段对校园无线网络建设提出了更高的要求。为了进一步提升校园网的信息服务质量，满足师生各类移动办公，学校拟统一规划建设覆盖全校的移动无线校园网。

2 无线校园网的现状

目前我院的无线网络主要覆盖两个区域，一部分是教学办公区域主要由学院自建，采用无线AP对教学楼进行无线信号覆盖；另一部分是学生宿舍区域主要由运营商建设部署，目前包含电信和移动。此外，食堂和室外空旷区域目前尚未全覆盖无线网络。

宿舍区域的无线网络，由于多家运营商各自部署，缺乏合理的信道规划，存在同频干扰的问题，导致在无线网络的使用过程中出现数据的冲突丢包，严重影响了师生的上网体验。同时这些区域主要采用传统802.11g的室分系统部署，设备的性能理论上仅有54Mbps，无法提供给师生一个高速的无线网络环境，也不足以承载未来的各种无线应用。同时，宿舍区无线网络由于是运营商自建自营，学院无法对网络进行直接管控，无法监管学生日常的无线上网行为和操作，存在安全隐患。

3 总体建设目标

当前我院已经形成完善的校园有线网和部分区域的无线覆盖。考虑到多业务特性的支持。在无线网络上，除了提高部署时的合理规划，提供802.11n的300M的高速接入以外，还需要考虑与有线网络以及身份认证运维管理系统的有机的结合，实现有线无线一体化的无线校园网建设。

总体上，依据分阶段分步实施的建设原则，学院将形成全校统一的有线网络和无线网络，有线校园网通过组播、IPV6、IPTV等下一代网络技术承载起校内师生高速的互联网访问以及智慧校园应用交互，无线校园网通过高速的802.11n以及802.11ac等技术与有线网络相辅相成，协同创新，实现校内实时的互联网访问，同时通过有线无线的一体化集中认证、集中管理，形成一套可靠、高速、安全可运营的基础网络。

4 厦门技师学院校园无线网络设计

4.1 整体框架规划设计

校园无线网络的设计与实施是一个系统性工程，它涉及多个方面的设计细节和执行要求。在基于经济性、实用性、先进性等原则下，整体框架设计上我们将校园网划分为四个区域，分别包含有线网、无线网、出口区域以及数据中心区域。其中，有线网、出口区域、数据中心区域的架构基本保持不变，继续沿用或升级现有网络设备，无线网络区域主要先由AC（无线控制器简称下同）统一管理控制AP（无线接入点简称下同），然后将AC设备汇聚到交换机再统一的接入学院的核心交换机上。

无线校园网的设计主要依据不同的应用场景进行设计，在教学楼、图书馆和行政办公楼区域部署高性能的无线AP，以便提供更好的信号覆盖。在学生较为集中且对带宽要求更高的区域，确保每个房间一个AP接入点，以保证网络使用的稳定性。针对运动场、升旗广场、室内体育馆等空旷区域，采用室外双路双频覆盖的方式，满足全院至少95%以上区域的覆盖。方案建设中整体无线网络部署采用“AC+瘦AP”的组网方式，将校园网中的无线AP通过无线AC进行集中控制，方便后期的管理维护。

4.2 AP的部署要求

（1）AP覆盖信号设计

对于用户数量接入较多较为集中区域的接入速率应不低于150Mbps，无线信号的强度不能低于-75dBm，信噪比要大于22。室外无线信号一般要求按能够穿透一堵墙设计，天线的等效全向辐射功率要大于等于22 dBm。

（2）工作信道规划

根据WLAN的国际规范和国际无线电管理委员会的标准，无线设备的工作频段介于2400 MHz和2483.5MHz之间，最多有13个信道可用，每个频道的带宽为22 MHz。为了保证频道之间互不干扰，相对独立，在具有多个频道的无线网络环境中，要求两个频道的中心频率间隔不能低于25 MHz，此外北美的设计标准中一般还规定12、13频道不用，因此在本次的方案设计中我们选用1/6/11信道作为首选。

（3）无线部署方式

在无线AP的部署过程中由于学校内的建筑物分布不规则，建筑物结构也不尽相同，这对于实现无线信号全覆盖提出了很大的挑战。通过对现场环境的勘察，结合学院建筑进行功能区域的划分，在AP部署的方式上我们主要分为以下三个方面来实施。

对于图书馆、校办工厂、报告厅、教学楼、办公楼、食堂等空间较大，用户接入相对集中的区域，我们采用放装方式。根据单位区域内的接入用户数量，确定AP的接入数量和部署位置，确保该区域的信号覆盖。

对于宿舍楼区域，由于房间较为密集且房间内墙体结构较坚固，房间内死角较多，如卫生间阳台等，且房间门都为铁门，如果采用传统方式部署会存在较多盲区，用户体验效果不好。为了确保信号覆盖无盲区，我们在每间房间中部署1个面板式的AP。

对于运动广场等相对空旷而且条件较为恶劣的区域，应当选用专用的室外大功率无线AP同时要求配置使用定向天线。这样至少可以保证无线信号在无阻碍环境下的350米半径覆盖，对于障碍物较多的区域也有较好的穿透能力。

4.3 无线漫游设计

厦门技师学院无线网的设计既要满足高速漫游、又要能够实现智能漫游。首先关于高速漫游，本方案设计要求同一个AC管理下的AP之间和不同AC管理下的AP之间均能够无缝快速漫游；从而保证无线客户端从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不会中断，也不需要重新进行登录验证。其次关于智能漫游，本方案通过定义不同的漫游组，及其漫游范围来实现。根据用户的身份和级别划定其是否可以漫游，是否能够连接到相应的无线网络的区域。通过设定访客、学生、老师三种身份，针对不同身份设定不同的无线接入区域。例如，定义学生组不能在行政办公区域接入无线，其他区域不做限制；访客只能在行政办公楼的会议室接入无线；教师组不做限制。

4.4 无线安全设计

（1）认证方式

基于“接入安全”的设计理念，本次无线网络设计方案中采用了web认证的方式并通过AC与学院有线网络中使用的RG-SAM认证系统相结合。当无线终端通过AP连接进入无线网络时候，无线网络中的控制器设备会先与SAM认证系统的网关进行对接，用portal的方式把用户认证页面推送给客户端，同时将用户认证所需要的密码及用户名上传至无线AC，AC利用与SAM认证系统的对接取得认证用户的相关信息。如果认证连接通过，AC将通知AP并允许用户访问对应的资源，无线客户端通过浏览器就能够完成认证，这样不仅保证了无线接入用户的合法性还能够让接入用户简单快速使用无线网络，大大提升了用户的体验感。

（2）数据加密

在这次的无线网络方案设计中，无线AP设备均支持TKIP、 AES、WEP等加密技术，我们选用TKIP、AES这些更为安全的加密方式为接入用户提供完整的数据安全加密保障机制，保证无线网络数据的传输安全。该方案中的无线接入点与无线控制器之间则通过CAPWAP加密隧道模式进行通信，从而保证了传输过程中的数据内容安全。

（3）射频安全

本方案中要求选用产品的网络管理系统还能够与无线控制器配合，支持无线AP开启射频探针扫描，工作中能够实时探测非法接入点、或其他射频干扰源，并进行预警提示，这样保证我们可以随时监控到各个无线区域的潜在威胁。

5 厦门技师学院无线网络使用情况

目前厦门技师学院校园无线网络服务于全院师生约5000人，截至2020年5月，最大同时接入终端数超过3500个，校园无线网络的流量峰值超过3.5GBps。该无线网络满足了全院师生在各种场景下的用网需求。在教学行政办公区域，师生可以在任意一间实训室通过无线终端快速接入校园网，并访问校园网资源。在宿舍区域，学生可以在无线网络中访问校内外网络资源。另外访客能够在会议室接入无线校园网，并访问外网资源。

6 结束语

校园无线网络的建设是一个长期性任务，在这一过程中，我们要认真分析校园信息化的发展趋势，秉持以人为本的建设理念，并且坚持对无线校园网及其安全防护设计的严谨态度，结合各个学校自身的实际情况进行统筹安排，这样设计出来的无线校园网才能够更好地服务于广大师生，进而推动校园信息化建设长足发展。

[1]姜鸿斌.高校校园无线网络建设探讨——以安徽行政学院为例[J]. 合肥学院学报（综合版），2019，36（2）：68-72.

[2]李纬.无线校园网的设计与优化[J].电子技术与软件工程，2017（6）：55-57.

[3]李健.无线校园网的设计与安全策略实施[J].网络安全技术与应用，2018（2）：89-90.