论文部分内容阅读
摘 要:无线校园网络的建设步伐紧跟着技术的发展。无线局域网以其灵活布设、高带宽和无线接入的优势,可以突破有线网络节点限制、实现多人同时上网的问题,大大地增加了校园网络信息点,方便在校师生获取信息,进一步提升学校的信息化水平。此外,无线网络环境的引入,为崭新的无线多媒体提供了应用平台,从而将教育信息化建设带入一个崭新的天地。WLAN技术在校园中的无线应用有广阔的前景,在实现与其他运营商之间的互联互通之后,将会发挥出更强的作用。在学校中建设无线校园网,倡导无线技术的应用意义重大,拥有良好前景。
关键词:无线校园;WLAN;信息化
在线学习已经成为高等教育的重要工具,通过在线学习,大学可以为学生提供极高的灵活性,同时可以将他们的课程拓展到非传统性的和远程的学生。研究是大学的核心任务,互联网可以促进协作,帮助人们交流想法和信息。因此,越来越多的研究工作开始转移到网上进行。
一、无线网络
所谓无线网络,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。[1]
二、无线网络设计
无线网络采用层次化,如图,从下往上依次为:无线终端层(用户)、无线接入层(AP)、有线传输层、网络控制层、互联网层(外网)[2]。如图1所示:
图1 无线校园网的层次模型
(一)无线终端层设计
数据终端一般包括笔记本、移动电话、无线办公设备(包括打印机、扫描仪、投影仪)等。
当接入的无线设备过多时,很难保证用户享受高速、安全、稳定的接入质量。针对接入设备,CISCO的CCX(Cisco Compatible Extensions Program)实现了无线终端产品设备能与思科无线网络系统兼容,CCX计划实现了cisco无线网络系统与无线终端厂商的无缝集成。
(二)无线接入层设计
接入层[3]由无线网卡、AP和L2Switch组成,按照宽带网络的定义,接入层的主要功能是完成用户流量的接入和隔离。用户终端通过无线网卡和无线接入点AP完成用户接入,无线接入层是各种传输的平台。
(三)环境与信号
办公区域环境复杂,建材就可以对无线信号进行干扰。不同环境考虑不同设计要点,主要针对覆盖和信噪比[4]等技术参数来考虑。比如礼堂的环境比较空旷,但人员集中,如果在礼堂开会,人数将是最主要的考虑参数。
衰落效应是影响无线通信质量的主要因素之一。其中的快衰落深度可达30~40dB,如果想利用加大发射功率、增加天线尺寸和高度等方法来克服这种深衰落是不现实的,而且会造成对其它电台的干扰。而采用分集方法即在若干个支路上接收相互间相关性很小的载有同一消息的信号,然后通过合并技术再将各个支路信号合并输出,那么便可在接收终端上大大降低深衰落的概率。
对于网络部署,应选用双频无线接入点,采用分集模式,采用顶部安装的方式避免复杂环境对信号衰减的影响。
(四)无线网络安全设计
1、SSID的安全设计
基于cisco的无线网络架构[5]使得无线接入点支持灵活的SSID管理,在无线接入点上开启的所有SSID信息包将被封装并转发到无线控制器上,由无线控制器根据每个信息包的所属SSID的将信息转成802.3以太网封装并传送到直连交换机的VLAN中。思科的AP-group技术更有效的隔离了广播域,提高了无线网络的性能。
2、无线用户的认证和加密
基于cisco的无线用户的认证和加密有802.1X-EAP、TKIP和AES。其中TKIP提供结合信息完整性检查和重新按键机制的信息包密钥。AES是 Wi-Fi? 授权的高效加密标准。
3、无线接入点的接入认证
思科无线控制器和无线接入点系统中,都内嵌了X.509证书,通过证书,无线控制器和无线接入点之间可以互相认证对方的合法性,保证网络中的设备的合法性。思科还能提供关于AP接入点更高级的特征-AP的802.1x认证。
4、无线控制帧的安全管理(MFP)
在目前的无线网络技术的实现过程中,无线管理帧是没有经过认证、加密和签名的,所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息,从而造成用户掉线,AP无法正常接入用户的现象。在思科的无线网络中,思科通过在网络管理帧内部插入MIC,可以及时的保护网络管理帧信息,防止黑客的恶意攻击。
5、终端的安全接入保证(NAC)
在用户进行有效的鉴权以后,用户拥有了接入无线网络的先前条件,但是对于这个用户使用的终端设备,我们认为并不一定是完全安全可靠的,比如用户终端的操作系统是否是最新的版本,是否存在系统漏洞和安全隐患,终端的病毒库是否及时更新,操作系统是否被安装了木马程序等等。即使拥有了合法的用户名和密码或者安装的合法的数字证书,以上这些问题我们还是无法保证。针对这些问题,思科采用NAC系统进行无线的终端安全接入保证。
图2 CISCO AAA认证中Radius和Tacacs模型
图2表示终端在鉴权以后,Radius或Tacacs 认证服务器会通过和第三方服务器进行交互以校验用户终端的操作系统、病毒库等方面的合法性。用户满足条件后,才可以通过整个认证过程,从而接入进无线网络系统。如果某些方面不满足安全要求,用户会被放入一个制定的隔离的网段进行相关软件和补丁的升级,升级完毕以后再进行校验,通过后则允许进入无线网络系统。
三、结语
无线网络局域网给我们的生活带来了极大的方便,为我们提供了无处不在的、高带宽的网络服务,布局和设计出优秀的网络架构,引入良好的安全机制,使无线校园给教学科研添砖加瓦。
参考文献:
[1]魏权利.计算机网络技术与应用[M].北京:机械工业出版社,2013:4.
[2]于雷,余兆明.高校校园无线局域网部署方案的分析研究[J].中国科技信息,2008,(4).
[3]张圣,陈伟.基于WLAN技术的无线校园网组网研究[J].中国数据通信,2008,(2).
作者简介:王喆(1990.2.10-),男,天津人,天津工业大学计算机科学与软件学院 2009级本科生,主要研究方向:网络工程相关问题。
关键词:无线校园;WLAN;信息化
在线学习已经成为高等教育的重要工具,通过在线学习,大学可以为学生提供极高的灵活性,同时可以将他们的课程拓展到非传统性的和远程的学生。研究是大学的核心任务,互联网可以促进协作,帮助人们交流想法和信息。因此,越来越多的研究工作开始转移到网上进行。
一、无线网络
所谓无线网络,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。[1]
二、无线网络设计
无线网络采用层次化,如图,从下往上依次为:无线终端层(用户)、无线接入层(AP)、有线传输层、网络控制层、互联网层(外网)[2]。如图1所示:
图1 无线校园网的层次模型
(一)无线终端层设计
数据终端一般包括笔记本、移动电话、无线办公设备(包括打印机、扫描仪、投影仪)等。
当接入的无线设备过多时,很难保证用户享受高速、安全、稳定的接入质量。针对接入设备,CISCO的CCX(Cisco Compatible Extensions Program)实现了无线终端产品设备能与思科无线网络系统兼容,CCX计划实现了cisco无线网络系统与无线终端厂商的无缝集成。
(二)无线接入层设计
接入层[3]由无线网卡、AP和L2Switch组成,按照宽带网络的定义,接入层的主要功能是完成用户流量的接入和隔离。用户终端通过无线网卡和无线接入点AP完成用户接入,无线接入层是各种传输的平台。
(三)环境与信号
办公区域环境复杂,建材就可以对无线信号进行干扰。不同环境考虑不同设计要点,主要针对覆盖和信噪比[4]等技术参数来考虑。比如礼堂的环境比较空旷,但人员集中,如果在礼堂开会,人数将是最主要的考虑参数。
衰落效应是影响无线通信质量的主要因素之一。其中的快衰落深度可达30~40dB,如果想利用加大发射功率、增加天线尺寸和高度等方法来克服这种深衰落是不现实的,而且会造成对其它电台的干扰。而采用分集方法即在若干个支路上接收相互间相关性很小的载有同一消息的信号,然后通过合并技术再将各个支路信号合并输出,那么便可在接收终端上大大降低深衰落的概率。
对于网络部署,应选用双频无线接入点,采用分集模式,采用顶部安装的方式避免复杂环境对信号衰减的影响。
(四)无线网络安全设计
1、SSID的安全设计
基于cisco的无线网络架构[5]使得无线接入点支持灵活的SSID管理,在无线接入点上开启的所有SSID信息包将被封装并转发到无线控制器上,由无线控制器根据每个信息包的所属SSID的将信息转成802.3以太网封装并传送到直连交换机的VLAN中。思科的AP-group技术更有效的隔离了广播域,提高了无线网络的性能。
2、无线用户的认证和加密
基于cisco的无线用户的认证和加密有802.1X-EAP、TKIP和AES。其中TKIP提供结合信息完整性检查和重新按键机制的信息包密钥。AES是 Wi-Fi? 授权的高效加密标准。
3、无线接入点的接入认证
思科无线控制器和无线接入点系统中,都内嵌了X.509证书,通过证书,无线控制器和无线接入点之间可以互相认证对方的合法性,保证网络中的设备的合法性。思科还能提供关于AP接入点更高级的特征-AP的802.1x认证。
4、无线控制帧的安全管理(MFP)
在目前的无线网络技术的实现过程中,无线管理帧是没有经过认证、加密和签名的,所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息,从而造成用户掉线,AP无法正常接入用户的现象。在思科的无线网络中,思科通过在网络管理帧内部插入MIC,可以及时的保护网络管理帧信息,防止黑客的恶意攻击。
5、终端的安全接入保证(NAC)
在用户进行有效的鉴权以后,用户拥有了接入无线网络的先前条件,但是对于这个用户使用的终端设备,我们认为并不一定是完全安全可靠的,比如用户终端的操作系统是否是最新的版本,是否存在系统漏洞和安全隐患,终端的病毒库是否及时更新,操作系统是否被安装了木马程序等等。即使拥有了合法的用户名和密码或者安装的合法的数字证书,以上这些问题我们还是无法保证。针对这些问题,思科采用NAC系统进行无线的终端安全接入保证。
图2 CISCO AAA认证中Radius和Tacacs模型
图2表示终端在鉴权以后,Radius或Tacacs 认证服务器会通过和第三方服务器进行交互以校验用户终端的操作系统、病毒库等方面的合法性。用户满足条件后,才可以通过整个认证过程,从而接入进无线网络系统。如果某些方面不满足安全要求,用户会被放入一个制定的隔离的网段进行相关软件和补丁的升级,升级完毕以后再进行校验,通过后则允许进入无线网络系统。
三、结语
无线网络局域网给我们的生活带来了极大的方便,为我们提供了无处不在的、高带宽的网络服务,布局和设计出优秀的网络架构,引入良好的安全机制,使无线校园给教学科研添砖加瓦。
参考文献:
[1]魏权利.计算机网络技术与应用[M].北京:机械工业出版社,2013:4.
[2]于雷,余兆明.高校校园无线局域网部署方案的分析研究[J].中国科技信息,2008,(4).
[3]张圣,陈伟.基于WLAN技术的无线校园网组网研究[J].中国数据通信,2008,(2).
作者简介:王喆(1990.2.10-),男,天津人,天津工业大学计算机科学与软件学院 2009级本科生,主要研究方向:网络工程相关问题。