论文部分内容阅读
摘要:根据校园网络的发展趋势,论述了无线网络技术的优点,给出了建设无线校园网的具体架构方案,无线校园网络的管理方案,解决校园无线网安全的技术方案。指出了搭建无线网络可以充分提高网络的利用,提高学校教育信息化应用的深度和广度。
关键词:校园无线网络;系统构建;安全认证
中图分类号:G643文献标志码:A文章编号:1673-291X(2009)27-0267-02
一、校园无线网络概述
近几年来,随着国家的飞速发展,校园网络建设也取得了长足进步,校园办公信息化、网络化、自动化在各高校、中小学校已得到普遍应用,伴随着学校的发展,迫切需要将应用系统扩展到整个校园。虽然各个教学、科研、学生生活区内都已经有了固定的网络接口和信息插座,但是随着创建世界性高水平综合大学战略的深入实施,学校的科研水平不断提高,学术交流活动日益增多。在国际会议中心、综合教学楼、学术报告厅、图书馆、自习室、绿地等开放性场所提供无线网络接入环境的需求越来越强烈,而传统的布线建设受环境影响,周期长、费用高、不利于移动办公等诸多问题,在特定的场所也显得更加突出。改进校园网现有的管理模式已经迫在眉睫,必须提供一个新的环境来满足用户的需求。为此,众多学校启动了无线校园网计划,旨在建成高速度、广覆盖、易管理的安全校园无线网络,满足校园网可持续发展的要求,进一步提升学校的综合实力,为师生带来前所未有的无线体验。
二、校园无线网络分析
1.无线校园网络优点
(1)全面覆盖:无线校园网络以高速无线的方式覆盖整个校园,包括教学楼、办公室、礼堂、公寓、图书馆、廊道、绿地、公共活动场所等,无线网络强大的无缝漫游功能,让学校师生随时随地可以接入网络,享受无线校园带来的乐趣。(2)管理方便:无线校园网络建立在已有校园有线网络之上,可以很好的融入既有校园管理系统中,便于统一管理和维护。(3)安全性高:无线网络使用WPA、802.1x等安全认证技术,具有多层次的安全访问控制措施,可以实现对用户身份鉴别、访问控制、可稽核性和保密性等要求。(4)可扩充性:在校园网络规模不断发展的情况下,无线网络可满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,并保证扩展后的系统可用性与稳定性。(5)多媒体支持:无线网络支持多种无线媒体服务,如无线语音应用、无线视频会议应用、无线多媒体通信应用等。
2.无线网络传输标准
WLAN利用电磁波在空气中发送和接收数据,无须线缆介质,在无线覆盖的模式下室内传输可达几十米,室外传输可达几百米,在无线桥接的模式下,可连接相距几十千米的两地。WLAN大多使用的是2.4或5.8 GHz的频率波段,这在世界范围内是RF频谱中非许可保留的波段,因此使用该频段无须另外申请。
IEEE802.11协议族在协议、传输带宽、传播距离上更具有实用性,已经获得了广泛的市场认可度和厂商支持率,尤其是802.11b(工作于2.4 GHz频段,提供11 Mb/s传输速度)、802.11a(工作于5.8 GHz频段,提供54 Mb/s传输速度)和802.11g(工作于2.4 GHz频段,提供54 Mb/s传输速度)的产品可满足企业、校园等的高速无线传输需求。
3.无线网络系统架构
通过分析,建议校园采用三层总体架构。
第一层为管理层,又称为核心层。主要提供认证、管理等服务,由两台接入服务器构成,接入服务器是运营商和校内用户数据管理系统数据库对接的接口,并负责处理来自其下一层的无线网络控制器发来的用户认证请求,根据预设策略判断认证类型并将请求转发至接入服务器,对用户账号的有效性采用相应的协议(例如PAP、CHAP、EAP等认证协议)进行判别,并将结果返回给底层的无线网络控制器,无线网络控制器根据接入服务器的结果决定是否允许用户的网络访问请求。在三层架构下,本层是最核心的一层,管理层系统的故障将导致整个无线网的瘫痪。因此管理层系统必须提供冗余备份,可以采用两台接入服务器,一台为“主”,另一台为“备”。平时只有主机工作,备机实时对主机数据库中用户账号和配置信息等进行同步,一旦主机故障能够确保备机可以拥有和主机相同的配置和用户账号信息,从而可以保证整个无线网的稳定运行。第二层为WLAN网络控制层,也是安全控制层,由若干台无线网络控制器组成,每台无线网络控制器负责控制各自所在无线子网的无线用户,接收所有用户的认证请求,并将用户的认证请求转发至相应认证服务器。第三层为无线链路接入层,该层由热点区域的众多Access Point(AP)组成,主要负责如手提电脑、PC机等终端设备接入。
4.无线网络组网
通过在校园内热点区域采用蜂窝状信号覆盖方式,以实现无线网络信号的无缝覆盖。各热点区域内AP通过在交换机上划分到全局的独立的VLAN中,该VLAN在中心不做三层交换以保证用户在未认证之前与校园有线网络之间的隔离。由于目前学校面积范围普遍都比较大,因此考虑学校无线网络规模大、覆盖范围广、用户数多的特点,对网络性能和用户认证都提出了很高要求,如果将全无线网络都划到一个VLAN内,则会严重影响网络性能,因此建议将全无线网络根据无线网络覆盖的功能区域及用户数划分为几个子网,每个无线子网分别由一台无线网络控制器对其所辖无线子网用户进行控制,以实现降低网络广播、用户分流的目的。
5.无线网络管理
为了保证无线网络的稳定运行,对其进行方便、高效的管理是必不可少的。因此,建议在方案中采用一个完整的无线局域网网管系统WNMS。WNMS采用网络管理的标准协议SNMP对相关无线局域网设备进行配置及管理数据、性能数据、故障数据的采集和分析,同时也可通过WNMS对具体设备上的参数进行配置、调整、故障诊断。WNMS还提供拓扑发现、管理的功能,可以直观的反映出无线网络控制器、AP和其他相关设备之间的对应关系。网络监视基于网络拓扑图进行,在性能、告警、配置等方面动态反映网络的变化。由于无线AP孤立地分布在比较分散的位置,因此在一个完整的WLAN解决方案中,WNMS系统将成为保障无线网络稳定运行不可缺少的重要组成部分。
6.无线安全网络认证
由于WLAN是承载于现有的有线校园网之上,通过电磁波信号将有线网扩展到整个三维空间中,实现了将有线网中的位置分散的信息点在连续空间中的延续,任何可以接受到电磁波信号的人都可以访问网络。而对于有线网络来说一般只要控制有线信息点不让非法人员接触,就可以保障网络的安全,因此如果应用了一个没有控制的WLAN将会比有线网络更易受到攻击和入侵。因此,WLAN用户的安全认证、接人控制、数据加密更是尤为重要。针对目前校园在无线网应用中的需求,笔者平衡了不同种类用户对网络安全级别要求不同及用户易于使用两者之间的关系,提出利用无线网络控制器,为整体无线网络提出基于WPA2认证和WEB+DHCP认证的用户安全认证的解决方案:
(1)WPA2认证。无线网络控制器采用WPA2认证,WPA即Wi-Fiprotected access的简称,WPA2是WPA协议的第二版,与WPA后向兼容,但是与WPA采用RC4加密算法不同,WPA2支持更高级的AES算法,能够更好地解决无线网络的安全问题。从而实现了对数据更高级别的安全保护。
(2)WEB+DHCP认证。考虑到WPA2认证方式对客户端需要进行一定设置才能工作,为了便于用户使用、简化操作,也可以使用无线网络控制器对无线用户采用WEB十DHCP方式进行认证。WEB+DHCP认证方式是一种非常便于操作的认证方式,无须用户端安装任何软件,当用户需要上网时仅需打开浏览器即可弹出认证页面,用户在认证页面上输入自己的账号名和密码即可,同时用户在认证时,用户的账号信息均通过SSL/TLS方式进行加密,保障用户账号信息的安全。并在认证页面上也会有一系列的使用提示信息,能够对用户上网操作进行一定引导,方便了用户的使用。
校园无线网络伴随着校园信息化、自动化无缝需求的发展而发展,它的搭建可以充分提高网络的利用,满足教学科研对网络连接无所不在的要求,提高学校教育信息化应用的深度和广度,是校园网络发展的必然方向,校园无线网络的构建,必将带给师生前所未有的无线体验。
关键词:校园无线网络;系统构建;安全认证
中图分类号:G643文献标志码:A文章编号:1673-291X(2009)27-0267-02
一、校园无线网络概述
近几年来,随着国家的飞速发展,校园网络建设也取得了长足进步,校园办公信息化、网络化、自动化在各高校、中小学校已得到普遍应用,伴随着学校的发展,迫切需要将应用系统扩展到整个校园。虽然各个教学、科研、学生生活区内都已经有了固定的网络接口和信息插座,但是随着创建世界性高水平综合大学战略的深入实施,学校的科研水平不断提高,学术交流活动日益增多。在国际会议中心、综合教学楼、学术报告厅、图书馆、自习室、绿地等开放性场所提供无线网络接入环境的需求越来越强烈,而传统的布线建设受环境影响,周期长、费用高、不利于移动办公等诸多问题,在特定的场所也显得更加突出。改进校园网现有的管理模式已经迫在眉睫,必须提供一个新的环境来满足用户的需求。为此,众多学校启动了无线校园网计划,旨在建成高速度、广覆盖、易管理的安全校园无线网络,满足校园网可持续发展的要求,进一步提升学校的综合实力,为师生带来前所未有的无线体验。
二、校园无线网络分析
1.无线校园网络优点
(1)全面覆盖:无线校园网络以高速无线的方式覆盖整个校园,包括教学楼、办公室、礼堂、公寓、图书馆、廊道、绿地、公共活动场所等,无线网络强大的无缝漫游功能,让学校师生随时随地可以接入网络,享受无线校园带来的乐趣。(2)管理方便:无线校园网络建立在已有校园有线网络之上,可以很好的融入既有校园管理系统中,便于统一管理和维护。(3)安全性高:无线网络使用WPA、802.1x等安全认证技术,具有多层次的安全访问控制措施,可以实现对用户身份鉴别、访问控制、可稽核性和保密性等要求。(4)可扩充性:在校园网络规模不断发展的情况下,无线网络可满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,并保证扩展后的系统可用性与稳定性。(5)多媒体支持:无线网络支持多种无线媒体服务,如无线语音应用、无线视频会议应用、无线多媒体通信应用等。
2.无线网络传输标准
WLAN利用电磁波在空气中发送和接收数据,无须线缆介质,在无线覆盖的模式下室内传输可达几十米,室外传输可达几百米,在无线桥接的模式下,可连接相距几十千米的两地。WLAN大多使用的是2.4或5.8 GHz的频率波段,这在世界范围内是RF频谱中非许可保留的波段,因此使用该频段无须另外申请。
IEEE802.11协议族在协议、传输带宽、传播距离上更具有实用性,已经获得了广泛的市场认可度和厂商支持率,尤其是802.11b(工作于2.4 GHz频段,提供11 Mb/s传输速度)、802.11a(工作于5.8 GHz频段,提供54 Mb/s传输速度)和802.11g(工作于2.4 GHz频段,提供54 Mb/s传输速度)的产品可满足企业、校园等的高速无线传输需求。
3.无线网络系统架构
通过分析,建议校园采用三层总体架构。
第一层为管理层,又称为核心层。主要提供认证、管理等服务,由两台接入服务器构成,接入服务器是运营商和校内用户数据管理系统数据库对接的接口,并负责处理来自其下一层的无线网络控制器发来的用户认证请求,根据预设策略判断认证类型并将请求转发至接入服务器,对用户账号的有效性采用相应的协议(例如PAP、CHAP、EAP等认证协议)进行判别,并将结果返回给底层的无线网络控制器,无线网络控制器根据接入服务器的结果决定是否允许用户的网络访问请求。在三层架构下,本层是最核心的一层,管理层系统的故障将导致整个无线网的瘫痪。因此管理层系统必须提供冗余备份,可以采用两台接入服务器,一台为“主”,另一台为“备”。平时只有主机工作,备机实时对主机数据库中用户账号和配置信息等进行同步,一旦主机故障能够确保备机可以拥有和主机相同的配置和用户账号信息,从而可以保证整个无线网的稳定运行。第二层为WLAN网络控制层,也是安全控制层,由若干台无线网络控制器组成,每台无线网络控制器负责控制各自所在无线子网的无线用户,接收所有用户的认证请求,并将用户的认证请求转发至相应认证服务器。第三层为无线链路接入层,该层由热点区域的众多Access Point(AP)组成,主要负责如手提电脑、PC机等终端设备接入。
4.无线网络组网
通过在校园内热点区域采用蜂窝状信号覆盖方式,以实现无线网络信号的无缝覆盖。各热点区域内AP通过在交换机上划分到全局的独立的VLAN中,该VLAN在中心不做三层交换以保证用户在未认证之前与校园有线网络之间的隔离。由于目前学校面积范围普遍都比较大,因此考虑学校无线网络规模大、覆盖范围广、用户数多的特点,对网络性能和用户认证都提出了很高要求,如果将全无线网络都划到一个VLAN内,则会严重影响网络性能,因此建议将全无线网络根据无线网络覆盖的功能区域及用户数划分为几个子网,每个无线子网分别由一台无线网络控制器对其所辖无线子网用户进行控制,以实现降低网络广播、用户分流的目的。
5.无线网络管理
为了保证无线网络的稳定运行,对其进行方便、高效的管理是必不可少的。因此,建议在方案中采用一个完整的无线局域网网管系统WNMS。WNMS采用网络管理的标准协议SNMP对相关无线局域网设备进行配置及管理数据、性能数据、故障数据的采集和分析,同时也可通过WNMS对具体设备上的参数进行配置、调整、故障诊断。WNMS还提供拓扑发现、管理的功能,可以直观的反映出无线网络控制器、AP和其他相关设备之间的对应关系。网络监视基于网络拓扑图进行,在性能、告警、配置等方面动态反映网络的变化。由于无线AP孤立地分布在比较分散的位置,因此在一个完整的WLAN解决方案中,WNMS系统将成为保障无线网络稳定运行不可缺少的重要组成部分。
6.无线安全网络认证
由于WLAN是承载于现有的有线校园网之上,通过电磁波信号将有线网扩展到整个三维空间中,实现了将有线网中的位置分散的信息点在连续空间中的延续,任何可以接受到电磁波信号的人都可以访问网络。而对于有线网络来说一般只要控制有线信息点不让非法人员接触,就可以保障网络的安全,因此如果应用了一个没有控制的WLAN将会比有线网络更易受到攻击和入侵。因此,WLAN用户的安全认证、接人控制、数据加密更是尤为重要。针对目前校园在无线网应用中的需求,笔者平衡了不同种类用户对网络安全级别要求不同及用户易于使用两者之间的关系,提出利用无线网络控制器,为整体无线网络提出基于WPA2认证和WEB+DHCP认证的用户安全认证的解决方案:
(1)WPA2认证。无线网络控制器采用WPA2认证,WPA即Wi-Fiprotected access的简称,WPA2是WPA协议的第二版,与WPA后向兼容,但是与WPA采用RC4加密算法不同,WPA2支持更高级的AES算法,能够更好地解决无线网络的安全问题。从而实现了对数据更高级别的安全保护。
(2)WEB+DHCP认证。考虑到WPA2认证方式对客户端需要进行一定设置才能工作,为了便于用户使用、简化操作,也可以使用无线网络控制器对无线用户采用WEB十DHCP方式进行认证。WEB+DHCP认证方式是一种非常便于操作的认证方式,无须用户端安装任何软件,当用户需要上网时仅需打开浏览器即可弹出认证页面,用户在认证页面上输入自己的账号名和密码即可,同时用户在认证时,用户的账号信息均通过SSL/TLS方式进行加密,保障用户账号信息的安全。并在认证页面上也会有一系列的使用提示信息,能够对用户上网操作进行一定引导,方便了用户的使用。
校园无线网络伴随着校园信息化、自动化无缝需求的发展而发展,它的搭建可以充分提高网络的利用,满足教学科研对网络连接无所不在的要求,提高学校教育信息化应用的深度和广度,是校园网络发展的必然方向,校园无线网络的构建,必将带给师生前所未有的无线体验。