萬盛學電腦網

 萬盛學電腦網 >> 無線網絡知識 >> 關於校園無線網絡的構建介紹

關於校園無線網絡的構建介紹

  今天學習啦小編就要跟大家講解下校園無線網絡的構建~那麼對此感興趣的網友可以多來了解了解下。下面就是具體內容!!!

  校園無線網絡的構建

  1 校園無線網絡系統的設計原則

  1.1 標准和解決方案的成熟性

  在設計校園無線網絡系統的時候,需要考慮國際和國內的相關標准,按照這些標准進行設計和施工,對於那些未在國內和國際標准中包含的新技術,堅決不采用,同時各項技術必須與國內和國際標准相一致,而且保證與各個主流廠商的互操作性和兼容性。除了標准的成熟性之外,還要考慮到方案的成熟性,要保證整個系統具有前瞻性,在相對長的時間都不會被淘汰。

  1.2 安全性和可靠性

  首要考慮的就是安全性和可靠性,要防止操作人員誤操作或者系統中某些故障引起的數據破壞,同時要保護系統免受外部人員非法入侵和操作人員的越權操作。系統應該具備網絡診斷和測試能力,實現在線故障恢復,同時關鍵設備和線路要實現實時備份,防止出現故障導致數據丟失。在規劃和設計時,可以從3個方面進行考慮:第一,針對不同用戶提供不同訪問策略。這樣,既可以滿足不同用戶在使用網絡時的安全性,同時對有特殊需求的用戶提供單獨的訪問服務,不會收到非法入侵;第二,保護無線網絡中數據傳輸的安全性;第三,加強射頻環境的監控,對非法掃描的行為進行定位,向其發送警告並將其進行剔除。

  1.3 可管理性和可維護性

  校園無線網絡系統應該具有良好的可管理性和可維護性,能夠對無線網絡的工作參數進行集中管理,能夠及時找到並排除故障。同時要求可以進行在線管理,要求設備模塊做到即插即用。

  1.4 可擴展性

  整個系統應該可以方便地進行功能和規模上的擴展,擴展時整個無線網絡構架可以無需做大的改動,擴展後操作和管理模式不會發生大的變化。要做到系統具有可擴展性,就不能只考慮目前的需求,更要考慮之後很長時間內的需求。

  2 無線網絡系統方案的實施

  在進行高校校園無線網絡系統設計時,主要考慮兩個問題:第一是無線網絡覆蓋區域的狀況以及網絡設備的選型;第二是用戶的上網方式和計費方式。下面對這兩個問題進行詳細說明。

  2.1 無線網絡覆蓋區域和設備

  通過對校園環境的實地調研、分析以及對學校教師和學生的調查,將校園分為室內和室外兩種無線網絡覆蓋區域。室內無線網絡覆蓋區域包括會議室、圖書館、閱覽室、自習室、階梯教室和食堂等;室外無線網絡覆蓋區域包括廣場、花園、操場、停車場以及宿捨前面的休息區等。對於網絡設備的選擇,從兼容性和配置統一的方面來考慮,所選購的無線網絡設備都是與原校園網絡設備相同的品牌。

  所謂無線AP(Access Point),即無線接入點,是用於無線網絡的無線交換機,也是無線網絡的核心,是移動計算機用戶進入有線網絡的接入點。

  在本文設計的校園無線網絡系統中,室外無線AP采用的是室外型大功率無線接入點產品,其工作頻段為2.4GHz,支持IEEE802.11n標准,內置500mW的雙向功率放大器。由於室外場所的環境有所不同,無線網絡的覆蓋要求也會有差異,室外無線AP可根據這些條件的不同,配合相應的外接天線,在室外覆蓋良好的無線網絡信號。

  按照本次校園無線網絡系統的規劃與設計,室內AP,提供兩路接入,共600Mbps,支持IEEE802.11n標准,可以為每個用戶提供不低於10Mbps的無線連接速率,這樣,不但能夠滿足現有校園網應用的帶寬要求,同時,還能夠為學校的視頻、音頻等多媒體資源的點播提供網絡基礎,滿足高校未來信息化發展的要求。

  根據校園無線網絡系統的要求,所選用的無線AC設備可以高效地處理學生網絡視頻、音頻和在線游戲、在線聊天等小包的數據流。同時,在校園網絡系統的規劃中,無線AP要提供雙萬兆的上聯接口,為之後的無線應用擴展和升級預留帶寬。

  2.2 上網方式

  在高校校園無線網絡系統中,服務的對象主要是教師、學生和學校領導、員工等,因此,校園無線網絡具有覆蓋范圍廣泛、使用者和使用時間不確定的特點。為防止非法使用者使用,更好地滿足合法使用者的使用需求,本無線網絡系統采用了基於SAM的Portal認證方式,只有向學校申請了無線網絡服務的用戶才能夠使用。根據無線網絡系統的設計,系統將根據使用時間對使用者進行收費,以時間計費。使用者在申請完成之後和使用之前,必須先交納一定的費用,登錄認證成功之後開始計費,下線的時候停止計費,可以精確到秒,當余額不足時會自動下線或者拒絕登錄。

  這種方式的具體操作方法是,首先在無線AC上建立無線VLAN,啟動DHCP服務,匯聚層的交換機以Trunk方式與無線AP相連接。當訪問者試圖連接無線網絡的時候,都需要通過portal發起認證請求,只有認證成功後才能夠上網,在認證成功之後,系統開始計時,這樣在方便無線網絡系統管理和維護的同時也能夠防止非法使用者使用無線網絡,更好地為合法使用者提供無線網絡服務。由於是無線網絡,使用者在使用過程中可能會存在移動位置的情況,為了讓使用者在移動過程中實現無線漫游,在無線網絡系統中,讓集群中的多台無線控制器共享用戶的數據庫,從而實現用戶在整個網絡中不同區域之間進行移動和跨越過程中無縫漫游。無線上網的流程如圖1所示。

  2.3 無線網絡的安全

  在校園無線網絡系統的規劃與構建中,安全是重中之重,是系統成功與否的根本。因此,在系統中,要構建一個良好的安全體系,從而切實保護用戶和系統自身的安全。   (1)802.1X認證。在部署無線網絡的安全體系時,可以采用802.1X和網絡准入相結合的方式。這兩者的結合可以很好地保證校園無線網絡系統的安全。具體的操作方法是,當合法用戶連接上無線AP之後,要求輸入AP的連接密碼,在合法用戶輸入密碼之後,分配GUEST VLAN的IP,在GUEST VLAN中暫時不能訪問任何資源。

  (2)網絡准入。當用戶被分配GUTST VLAN IP地址之後,用戶暫時不能對資源進行訪問,此時,系統中的用戶接入服務器,即網絡准入,會自動對客戶端上的准入代理進行聯動,對用戶的系統進行掃描,查看用戶是否符合准入策略的要求,如果符合准入策略的要求,則會重新分配一個校園無線網絡內網地址給用戶,這樣用戶就能夠使用學校的無線網絡了。

  如果合法用戶的密碼被洩露,非法用戶得到密碼後去連接無線AP,連接以後要求輸入密碼,雖然密碼是正確的,但是當網絡准入對用戶系統進行掃描,會發現非法用戶不符合網絡准入檢測,這樣非法用戶就會一直停留在GUEST VLAN中,有效地保護了校園無線網絡內網不受非法用戶的威脅。

  (3)數據加密。校園無線網絡系統中的認證機制和准入機制是構建安全體系的基礎,數據加密也是安全體系中不可或缺的部分。在本次校園無線網絡的構建中,所有AP與用戶端之間的數據傳輸均采用的是AESCCMP加密,AESCCMP又稱為WPA2,它支持AES加密算法,而AES能夠為信息和數據提供128位的加密能力,這是WPA2與WPA最大的區別,所以AESCCMP的安全性比起WPA有了很大的提升。正是因為如此,在設備中加入WPA2支持已經成為了很多服務商的選擇,而Windows XP系統的補丁SP2中也集成了WPA2的支持。

  (4)身份認證。在校園無線網絡系統的安全體系中,最重要的是身份認證,因為無線網絡不同於有線網絡,在無線網絡中,攻擊者不像有線網絡中那麼容易被發現。如果身份認證這個關卡被攻破,校園無線網絡會被非法用戶使用,甚至會被攻擊者惡意攻擊。為有效地保護校園無線網絡免受攻擊,也為保護合法用戶的權益不受侵害,校園無線網絡系統采用了EAP-FAST的身份驗證方式來進行相互驗證,同時為用戶和進程提供動態加密密鑰、物理地址和標准802.11驗證機制。只有在身份驗證時采用最安全的加密算法,才能有效保護用戶輸入的賬號、密碼不被抓包軟件截獲,也不會被黑客軟件暴力破解。

  (5)GUEST VLAN。用戶在通過802.1X之前只能訪問有限的網絡資源。所謂GUEST VLAN,是用戶在通過802.1X認證之前處於的VLAN,用戶在訪問GUEST VLAN內的資源不需要認證,但也只能訪問極其有限的資源,比如從GUEST VLAN服務器上下載802.1X客戶端軟件、升級客戶端、執行其它諸如殺毒軟件、操作系統補丁程序等應用程序的升級,而不能訪問其它的網絡資源。這樣設置的目的是為防止一些暫時沒有安裝認證客戶端或者客戶端版本過低的合法用戶無法認證成功。在用戶連接網絡的時候,接入設備會把這個端口加入到GUEST VLAN,當認證成功之後,端口離開GUEST VLAN,這樣用戶就能夠訪問其它的網絡資源了。

  2.4 安全管理體系

  在構建校園無線網絡系統時,不但要從技術方面建立安全體系,也要從管理方面進行安全體系的建設。主要從以下幾個方面進行:

  (1)對校園無線網絡的管理人員進行培訓和教育,建立健全相關管理制度。

  (2)加強校園無線網絡管理人員的安全意識和安全素養。

  (3)加強對系統運行環境的安全管理,制定相關制度,進行嚴格管理。

  (4)建立設備選型、采購、使用和維護的管理制度,對設備進行嚴格的審查和檢測以及安全評估。

  (5)建立應急處理制度,對可能發主的突發情況制定應急處理方案。

  3 結語

  社會的飛速發展和網絡的快速普及,讓校園無線網絡的建設成為高校的基礎建設之一。校園無線網絡是教師、學生獲取資源的重要手段,也為學校建立智能化教學系統、提高信息化水平起著巨大作用。因此,規劃和構建一個良好的校園無線網絡系統,將為學校實現數字化建設發揮重要作用。

copyright © 萬盛學電腦網 all rights reserved