今天學習啦小編就要跟大家講解下校園無線網(wǎng)絡的構(gòu)建~那么對此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!

校園無線網(wǎng)絡的構(gòu)建

1 校園無線網(wǎng)絡系統(tǒng)的設(shè)計原則

1.1 標準和解決方案的成熟性

在設(shè)計校園無線網(wǎng)絡系統(tǒng)的時候，需要考慮國際和國內(nèi)的相關(guān)標準，按照這些標準進行設(shè)計和施工，對于那些未在國內(nèi)和國際標準中包含的新技術(shù)，堅決不采用，同時各項技術(shù)必須與國內(nèi)和國際標準相一致，而且保證與各個主流廠商的互操作性和兼容性。除了標準的成熟性之外，還要考慮到方案的成熟性，要保證整個系統(tǒng)具有前瞻性，在相對長的時間都不會被淘汰。

1.2 安全性和可靠性

首要考慮的就是安全性和可靠性，要防止操作人員誤操作或者系統(tǒng)中某些故障引起的數(shù)據(jù)破壞，同時要保護系統(tǒng)免受外部人員非法入侵和操作人員的越權(quán)操作。系統(tǒng)應該具備網(wǎng)絡診斷和測試能力，實現(xiàn)在線故障恢復，同時關(guān)鍵設(shè)備和線路要實現(xiàn)實時備份，防止出現(xiàn)故障導致數(shù)據(jù)丟失。在規(guī)劃和設(shè)計時，可以從3個方面進行考慮：第一，針對不同用戶提供不同訪問策略。這樣，既可以滿足不同用戶在使用網(wǎng)絡時的安全性，同時對有特殊需求的用戶提供單獨的訪問服務，不會收到非法入侵;第二，保護無線網(wǎng)絡中數(shù)據(jù)傳輸?shù)陌踩?第三，加強射頻環(huán)境的監(jiān)控，對非法掃描的行為進行定位，向其發(fā)送警告并將其進行剔除。

1.3 可管理性和可維護性

校園無線網(wǎng)絡系統(tǒng)應該具有良好的可管理性和可維護性，能夠?qū)o線網(wǎng)絡的工作參數(shù)進行集中管理，能夠及時找到并排除故障。同時要求可以進行在線管理，要求設(shè)備模塊做到即插即用。

1.4 可擴展性

整個系統(tǒng)應該可以方便地進行功能和規(guī)模上的擴展，擴展時整個無線網(wǎng)絡構(gòu)架可以無需做大的改動，擴展后操作和管理模式不會發(fā)生大的變化。要做到系統(tǒng)具有可擴展性，就不能只考慮目前的需求，更要考慮之后很長時間內(nèi)的需求。

2 無線網(wǎng)絡系統(tǒng)方案的實施

在進行高校校園無線網(wǎng)絡系統(tǒng)設(shè)計時，主要考慮兩個問題：第一是無線網(wǎng)絡覆蓋區(qū)域的狀況以及網(wǎng)絡設(shè)備的選型;第二是用戶的上網(wǎng)方式和計費方式。下面對這兩個問題進行詳細說明。

2.1 無線網(wǎng)絡覆蓋區(qū)域和設(shè)備

通過對校園環(huán)境的實地調(diào)研、分析以及對學校教師和學生的調(diào)查，將校園分為室內(nèi)和室外兩種無線網(wǎng)絡覆蓋區(qū)域。室內(nèi)無線網(wǎng)絡覆蓋區(qū)域包括會議室、圖書館、閱覽室、自習室、階梯教室和食堂等;室外無線網(wǎng)絡覆蓋區(qū)域包括廣場、花園、操場、停車場以及宿舍前面的休息區(qū)等。對于網(wǎng)絡設(shè)備的選擇，從兼容性和配置統(tǒng)一的方面來考慮，所選購的無線網(wǎng)絡設(shè)備都是與原校園網(wǎng)絡設(shè)備相同的品牌。

所謂無線AP(Access Point)，即無線接入點，是用于無線網(wǎng)絡的無線交換機，也是無線網(wǎng)絡的核心，是移動計算機用戶進入有線網(wǎng)絡的接入點。

在本文設(shè)計的校園無線網(wǎng)絡系統(tǒng)中，室外無線AP采用的是室外型大功率無線接入點產(chǎn)品，其工作頻段為2.4GHz，支持IEEE802.11n標準，內(nèi)置500mW的雙向功率放大器。由于室外場所的環(huán)境有所不同，無線網(wǎng)絡的覆蓋要求也會有差異，室外無線AP可根據(jù)這些條件的不同，配合相應的外接天線，在室外覆蓋良好的無線網(wǎng)絡信號。

按照本次校園無線網(wǎng)絡系統(tǒng)的規(guī)劃與設(shè)計，室內(nèi)AP，提供兩路接入，共600Mbps，支持IEEE802.11n標準，可以為每個用戶提供不低于10Mbps的無線連接速率，這樣，不但能夠滿足現(xiàn)有校園網(wǎng)應用的帶寬要求，同時，還能夠為學校的視頻、音頻等多媒體資源的點播提供網(wǎng)絡基礎(chǔ)，滿足高校未來信息化發(fā)展的要求。

根據(jù)校園無線網(wǎng)絡系統(tǒng)的要求，所選用的無線AC設(shè)備可以高效地處理學生網(wǎng)絡視頻、音頻和在線游戲、在線聊天等小包的數(shù)據(jù)流。同時，在校園網(wǎng)絡系統(tǒng)的規(guī)劃中，無線AP要提供雙萬兆的上聯(lián)接口，為之后的無線應用擴展和升級預留帶寬。

2.2 上網(wǎng)方式

在高校校園無線網(wǎng)絡系統(tǒng)中，服務的對象主要是教師、學生和學校領(lǐng)導、員工等，因此，校園無線網(wǎng)絡具有覆蓋范圍廣泛、使用者和使用時間不確定的特點。為防止非法使用者使用，更好地滿足合法使用者的使用需求，本無線網(wǎng)絡系統(tǒng)采用了基于SAM的Portal認證方式，只有向?qū)W校申請了無線網(wǎng)絡服務的用戶才能夠使用。根據(jù)無線網(wǎng)絡系統(tǒng)的設(shè)計，系統(tǒng)將根據(jù)使用時間對使用者進行收費，以時間計費。使用者在申請完成之后和使用之前，必須先交納一定的費用，登錄認證成功之后開始計費，下線的時候停止計費，可以精確到秒，當余額不足時會自動下線或者拒絕登錄。

這種方式的具體操作方法是，首先在無線AC上建立無線VLAN，啟動DHCP服務，匯聚層的交換機以Trunk方式與無線AP相連接。當訪問者試圖連接無線網(wǎng)絡的時候，都需要通過portal發(fā)起認證請求，只有認證成功后才能夠上網(wǎng)，在認證成功之后，系統(tǒng)開始計時，這樣在方便無線網(wǎng)絡系統(tǒng)管理和維護的同時也能夠防止非法使用者使用無線網(wǎng)絡，更好地為合法使用者提供無線網(wǎng)絡服務。由于是無線網(wǎng)絡，使用者在使用過程中可能會存在移動位置的情況，為了讓使用者在移動過程中實現(xiàn)無線漫游，在無線網(wǎng)絡系統(tǒng)中，讓集群中的多臺無線控制器共享用戶的數(shù)據(jù)庫，從而實現(xiàn)用戶在整個網(wǎng)絡中不同區(qū)域之間進行移動和跨越過程中無縫漫游。無線上網(wǎng)的流程如圖1所示。

2.3 無線網(wǎng)絡的安全

在校園無線網(wǎng)絡系統(tǒng)的規(guī)劃與構(gòu)建中，安全是重中之重，是系統(tǒng)成功與否的根本。因此，在系統(tǒng)中，要構(gòu)建一個良好的安全體系，從而切實保護用戶和系統(tǒng)自身的安全。 　　(1)802.1X認證。在部署無線網(wǎng)絡的安全體系時，可以采用802.1X和網(wǎng)絡準入相結(jié)合的方式。這兩者的結(jié)合可以很好地保證校園無線網(wǎng)絡系統(tǒng)的安全。具體的操作方法是，當合法用戶連接上無線AP之后，要求輸入AP的連接密碼，在合法用戶輸入密碼之后，分配GUEST VLAN的IP，在GUEST VLAN中暫時不能訪問任何資源。

(2)網(wǎng)絡準入。當用戶被分配GUTST VLAN IP地址之后，用戶暫時不能對資源進行訪問，此時，系統(tǒng)中的用戶接入服務器，即網(wǎng)絡準入，會自動對客戶端上的準入代理進行聯(lián)動，對用戶的系統(tǒng)進行掃描，查看用戶是否符合準入策略的要求，如果符合準入策略的要求，則會重新分配一個校園無線網(wǎng)絡內(nèi)網(wǎng)地址給用戶，這樣用戶就能夠使用學校的無線網(wǎng)絡了。

如果合法用戶的密碼被泄露，非法用戶得到密碼后去連接無線AP，連接以后要求輸入密碼，雖然密碼是正確的，但是當網(wǎng)絡準入對用戶系統(tǒng)進行掃描，會發(fā)現(xiàn)非法用戶不符合網(wǎng)絡準入檢測，這樣非法用戶就會一直停留在GUEST VLAN中，有效地保護了校園無線網(wǎng)絡內(nèi)網(wǎng)不受非法用戶的威脅。

(3)數(shù)據(jù)加密。校園無線網(wǎng)絡系統(tǒng)中的認證機制和準入機制是構(gòu)建安全體系的基礎(chǔ)，數(shù)據(jù)加密也是安全體系中不可或缺的部分。在本次校園無線網(wǎng)絡的構(gòu)建中，所有AP與用戶端之間的數(shù)據(jù)傳輸均采用的是AESCCMP加密，AESCCMP又稱為WPA2，它支持AES加密算法，而AES能夠為信息和數(shù)據(jù)提供128位的加密能力，這是WPA2與WPA最大的區(qū)別，所以AESCCMP的安全性比起WPA有了很大的提升。正是因為如此，在設(shè)備中加入WPA2支持已經(jīng)成為了很多服務商的選擇，而Windows XP系統(tǒng)的補丁SP2中也集成了WPA2的支持。

(4)身份認證。在校園無線網(wǎng)絡系統(tǒng)的安全體系中，最重要的是身份認證，因為無線網(wǎng)絡不同于有線網(wǎng)絡，在無線網(wǎng)絡中，攻擊者不像有線網(wǎng)絡中那么容易被發(fā)現(xiàn)。如果身份認證這個關(guān)卡被攻破，校園無線網(wǎng)絡會被非法用戶使用，甚至會被攻擊者惡意攻擊。為有效地保護校園無線網(wǎng)絡免受攻擊，也為保護合法用戶的權(quán)益不受侵害，校園無線網(wǎng)絡系統(tǒng)采用了EAP-FAST的身份驗證方式來進行相互驗證，同時為用戶和進程提供動態(tài)加密密鑰、物理地址和標準802.11驗證機制。只有在身份驗證時采用最安全的加密算法，才能有效保護用戶輸入的賬號、密碼不被抓包軟件截獲，也不會被黑客軟件暴力解除。

(5)GUEST VLAN。用戶在通過802.1X之前只能訪問有限的網(wǎng)絡資源。所謂GUEST VLAN，是用戶在通過802.1X認證之前處于的VLAN，用戶在訪問GUEST VLAN內(nèi)的資源不需要認證，但也只能訪問極其有限的資源，比如從GUEST VLAN服務器上下載802.1X客戶端軟件、升級客戶端、執(zhí)行其它諸如殺毒軟件、操作系統(tǒng)補丁程序等應用程序的升級，而不能訪問其它的網(wǎng)絡資源。這樣設(shè)置的目的是為防止一些暫時沒有安裝認證客戶端或者客戶端版本過低的合法用戶無法認證成功。在用戶連接網(wǎng)絡的時候，接入設(shè)備會把這個端口加入到GUEST VLAN，當認證成功之后，端口離開GUEST VLAN，這樣用戶就能夠訪問其它的網(wǎng)絡資源了。

2.4 安全管理體系

在構(gòu)建校園無線網(wǎng)絡系統(tǒng)時，不但要從技術(shù)方面建立安全體系，也要從管理方面進行安全體系的建設(shè)。主要從以下幾個方面進行：

(1)對校園無線網(wǎng)絡的管理人員進行培訓和教育，建立健全相關(guān)管理制度。

(2)加強校園無線網(wǎng)絡管理人員的安全意識和安全素養(yǎng)。

(3)加強對系統(tǒng)運行環(huán)境的安全管理，制定相關(guān)制度，進行嚴格管理。

(4)建立設(shè)備選型、采購、使用和維護的管理制度，對設(shè)備進行嚴格的審查和檢測以及安全評估。

(5)建立應急處理制度，對可能發(fā)主的突發(fā)情況制定應急處理方案。

3 結(jié)語

社會的飛速發(fā)展和網(wǎng)絡的快速普及，讓校園無線網(wǎng)絡的建設(shè)成為高校的基礎(chǔ)建設(shè)之一。校園無線網(wǎng)絡是教師、學生獲取資源的重要手段，也為學校建立智能化教學系統(tǒng)、提高信息化水平起著巨大作用。因此，規(guī)劃和構(gòu)建一個良好的校園無線網(wǎng)絡系統(tǒng)，將為學校實現(xiàn)數(shù)字化建設(shè)發(fā)揮重要作用。