论文部分内容阅读
摘要:校园无线网络建设越来越普遍,如何建设一个稳定和安全的实用无线校园网络非常重要,本文探索了校园无线网络合理规划,设计和使用,并介绍了一种无线网络规划方案,提出解决一些问题和困难的方法。
关键词:校园无线网络;规划;建设;安全机制
中图分类号:TN925.93 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
一、引言
校园网是提高教学,科研和管理水平的重要保证,是进行国际交流与合作,提高知名度的理想窗口。它可以帮助教师和学生的教学、科研和生活,并提供良好的支持和帮助。据估计,在392所大学中几乎所有的大学正在计划部署无线网络,而且近7%的已经有了较为完善复杂的网络[1]。对于一所大学来说,建设一个先进,成熟,实用的校园无线网络,需要一个相当长的过程,有许多问题需要解决,如建设方案选择,系统配置,应用软件开发,系统管理和安全。
早期的有线网络结构,通过增加开关和网络布线的布局增强功能,不能完全满足人们的需求,随之,无线网络引起关注并逐渐开始采用。无线网络是实现教育信息化目标的较好方式,而且是网络的发展方向。我们需要做的是,利用现有的设备,成熟的无线技术,去促进信息化教育的模式。
二、无线网络技术简介
关键技术为无线AP和微蜂窝覆盖及漫游。无线AP(接入点),即无线接入点,用于无线网络的无线交换机。AP是一个有线网络接入无线的接入点,对建筑物内或者公园内,覆盖上百米范围,重要的技术为802.11系列。大多数的AP无线接入点(AP客户端),与其他无线AP实现互相连接,扩大了网络覆盖范围。无线中继技术的功能是借助于AP的无线接力能力,通过中介在两个点之间传递无线信号,实现了无线网络覆盖面扩大的目的。
在多种多样的无线网络模式中,一个最常用的为微蜂窝无线覆盖和漫游,多个AP进行有效的协作,以使无线网络覆盖面的得到扩大,而作为无线微蜂窝的漫游技术和移动电话系统的功能相接近,只要是移动用户,任意漫游在不同基站覆盖的区域内,并不断变换空间位置,就会自动切换无线信号的链接。对用户而言,这个漫游过程是透明的,尽管切换了链接的基站,但用户的移动信号却没有中断。
无线微蜂窝覆盖,也就是交叉覆盖数个AP,用户独有覆盖无线信号区域,实现一种无缝链接,通过有线骨干网络和双绞线,将全部AP连接。延伸无线覆盖,基础是固定有线网络,最终形成一种大面积的覆盖范围。使无线网络覆盖半径的局限被打破,实现了在AP群覆盖范围内,用户的任意漫游,既不会中断网络,也不会是全联系。
三、校园无线网络规划和建设方案
无线校园网络必须在网络规划时考虑到AP(接入点),以满足无线网络的容量。在网络扩展方面为未来网络扩容预留。在实际应用中,重点在于覆盖校园,有效地提供切实可用的无线网络环境;必须采取规范的标准网络协议如无线局域网通常采用的802.11系列标准,同时应该支持其他标准,以满足许多类型的应用。在实施无线网络设计中,两个重要的考虑因素是覆盖区域和设备、计费和用户访问,在这两个方面给出具体说明。
(一)覆盖区域和设备
确定分为室内和室外两种覆盖区域;对于一些室外场所,有线网络不能接入:如校园内的很多地方,有线网络的接入功能就无法实现,采用无线网络能够实现室外无线网络的接入,最终形成大面积的覆盖。校园无线网络的建设,主要包括教学楼宇附近的空地及宿舍附近的空地的覆盖。有线网络受限或使用不便的空间:一些有较大空间的室内场所,很多人都要使用网络,而有线网络无法满足要求,只能提供数量较少的接口。
无线网络覆盖能够实现实时的网络访问及整合利用数量庞大的移动设备,主要包括各个教学楼、主楼和图书馆等等。考虑到无线网络选型的配置统一、采购集中及兼容性的特征,无线产品的选择上,可以和校园内原有的有线品牌相同或相兼容。从目前众多高校的情况看,实现无线网络设计的目标,往往是利用无线网络技术,以有线网络为依托,将移动校园网络延伸至教学科研区,这个区域有较高的需求,进而提升校园整体的网络服务质量。若区域内没有网络,则可重点进行投入或部署无线,无线接入设备可根据情况随时随地的添加。在具体进行工作部署的时候,可重点考虑以下几个问题:
1.覆盖面积
接入点AP不同,覆盖范围也就不同,要根据不同的格局选择合适的AP 设备,选择统一的品牌;室外或者室内设备可根据不同的距离来选择。学校的无线需求往往集中在教学办公区内,而一些成套软件设备和硬件设备,价格往往较昂贵,初期建设时可选择家用无线路由器。在室外,其覆盖面积可达到800M,在室内,其覆盖面积可达到200M,宽带可达到100兆,对无线上网的各种需求都能满足。
2.安放位置
视不同格局而定,室内要放置在中心位置;室外要放置在雨水淋不到、太阳晒不到的地方。若办公室空间较大,则可放置2台设备,同时尽可选择方便以后维修的位置。
3.设备配置
以有线网络为基础,进行无线网络扩展时,必须特别设置无线路由器。无线路由器的组成部分是4个LAN 内网口及1个WAN外网口,所以在实际工作中,在一个LAN口上链接网线,软件配置上,不允许使用DHCP服务,设置相同的SSID在同一网段路由中,对不同的频段数字进行配置,为使设备访问的安全性能提高,在需对MAC 地址过滤功能进行开启。
(二)上网方式
本方案主要采用portal认证,WA2220E-AG/WA1208E-AGP与无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于无线业务插卡设备上,后台的iMC是用户鉴权点认证计费系统。用户只有在申请了无线网络服务时方可进行使用。需根据使用时间长短进行计费,若余额不足,则不允许网络登录,只有在成功认证之后方可计费,计费非常准确,以秒计算,若用户下线,则停止进行计费。针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。既使用户的合法权益受到保障,也使无线网络都能在同一VLAN内,提供快捷的维护和管理;数据库可由群内多台无线控制器共享,实现了无缝漫游。 由于主要是学生和教师使用无线网络,出于学习和工作的需要,他们会随时访问Internet及校园网内的资源。而这类用户的个人资料,包括论文、研究资料、科研成果、工资等等,往往具有一定的保密性,所以可通过802.1x 的方式进行认证。来访用户主要是指参加学术交流、培训或参观的用户。针对校园内用户,可先发起认证请求,若没有得到认证,则不可获取IP地址,也不能进行访问。为实现双向认证,可通过数字证书,这样即防止非法AP连入,也防止用户非法使用。用户成功认证后,无线用户可通过服务器获取IP地址,然后利用秘钥,通过加密方式进行通信,因此实现了数据传输的安全性。
(三)无线网络安全
主要由信息安全、设备安全和用户安全组成。
用户安全是指使用了预共享密钥模式和WPA技术,实现了一整套的包括完整算法、加密算法和身份验证等安全方案,同时也弥补了易攻破、认证强度不够的缺陷。针对在室内的无线网络及设备,由于AP放置的位置较高,还有一系列包括红外探头在内的防盗系统,使设备的安全性受到保证。在信息安全方面,可视情况不同而选择TKIP技术、WEP,提供安全保障机制。对射频探针扫描机制进行启动,可实现网管系统对射频干扰源及非法接入点提供的告警。
为了保证无线用户和整个校园网络的安全,仅仅保证接入点的安全性是远远不够的。采用无线EAD解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。配合iNode无线/有线统一客户端可以实现有线,无线用户使用统一的客户端进行认证。
四、问题改进措施
在有线网的基础上构建无线网,本身就需要切实结合有线网的原有网络结构来进行相应的设置,这样才能保证无线网络和有线网络的融合。有线网络按楼宇划分VLAN,并为每个VLAN 内的计算机自动分配IP地址。
构建无线网,必须和有线网络原有结构相结合,在进行相应的设置,这样方可促进二者的有机融合,通过对VLAN进行划分,自动对每台计算机分配IP地址。
将IP智能监控从通常的有线网络接入延伸到无线网络接入,根据用户的应用场景,提供丰富多样的无线组网接入模式,通过统一网管对无线资源和监控资源进行统一管理和控制。无线监控解决方案能够提供端到端的QoS保证,能够实现有线无线网络的统一管理,网络和监控业务的统一管理。同时,通过对突发流量进行码流平滑、多流选择以及误码重传机制,保证了视频流的实时性和流畅性。
五、结语
在建设和优化无线网络的同时,必须结合有线网络的结构,深入研究无线网络的可行性、安全性和联通性。制定切实可行的解决方案,并通过实践证明所订方案的合理性,有效性,可拓展性,进而建设出便捷、安全、稳定的高质量校园无线网络。
参考文献:
[1]DAVID KOTZ,Analysis of a Campus-Wide Wireless Network,Wireless Networks[J].2005,11:115–133
[1]于勇涛,容会,马倩.校园无线网络规划与建设探讨,技术与市场[J].2011,18,3
[2]李洪涛.无线网络在校园中的应用和发展[J].信息产业
[3]张晓明.无线网络在校园网中的应用,太原大学学报[J].2011,12,4
关键词:校园无线网络;规划;建设;安全机制
中图分类号:TN925.93 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
一、引言
校园网是提高教学,科研和管理水平的重要保证,是进行国际交流与合作,提高知名度的理想窗口。它可以帮助教师和学生的教学、科研和生活,并提供良好的支持和帮助。据估计,在392所大学中几乎所有的大学正在计划部署无线网络,而且近7%的已经有了较为完善复杂的网络[1]。对于一所大学来说,建设一个先进,成熟,实用的校园无线网络,需要一个相当长的过程,有许多问题需要解决,如建设方案选择,系统配置,应用软件开发,系统管理和安全。
早期的有线网络结构,通过增加开关和网络布线的布局增强功能,不能完全满足人们的需求,随之,无线网络引起关注并逐渐开始采用。无线网络是实现教育信息化目标的较好方式,而且是网络的发展方向。我们需要做的是,利用现有的设备,成熟的无线技术,去促进信息化教育的模式。
二、无线网络技术简介
关键技术为无线AP和微蜂窝覆盖及漫游。无线AP(接入点),即无线接入点,用于无线网络的无线交换机。AP是一个有线网络接入无线的接入点,对建筑物内或者公园内,覆盖上百米范围,重要的技术为802.11系列。大多数的AP无线接入点(AP客户端),与其他无线AP实现互相连接,扩大了网络覆盖范围。无线中继技术的功能是借助于AP的无线接力能力,通过中介在两个点之间传递无线信号,实现了无线网络覆盖面扩大的目的。
在多种多样的无线网络模式中,一个最常用的为微蜂窝无线覆盖和漫游,多个AP进行有效的协作,以使无线网络覆盖面的得到扩大,而作为无线微蜂窝的漫游技术和移动电话系统的功能相接近,只要是移动用户,任意漫游在不同基站覆盖的区域内,并不断变换空间位置,就会自动切换无线信号的链接。对用户而言,这个漫游过程是透明的,尽管切换了链接的基站,但用户的移动信号却没有中断。
无线微蜂窝覆盖,也就是交叉覆盖数个AP,用户独有覆盖无线信号区域,实现一种无缝链接,通过有线骨干网络和双绞线,将全部AP连接。延伸无线覆盖,基础是固定有线网络,最终形成一种大面积的覆盖范围。使无线网络覆盖半径的局限被打破,实现了在AP群覆盖范围内,用户的任意漫游,既不会中断网络,也不会是全联系。
三、校园无线网络规划和建设方案
无线校园网络必须在网络规划时考虑到AP(接入点),以满足无线网络的容量。在网络扩展方面为未来网络扩容预留。在实际应用中,重点在于覆盖校园,有效地提供切实可用的无线网络环境;必须采取规范的标准网络协议如无线局域网通常采用的802.11系列标准,同时应该支持其他标准,以满足许多类型的应用。在实施无线网络设计中,两个重要的考虑因素是覆盖区域和设备、计费和用户访问,在这两个方面给出具体说明。
(一)覆盖区域和设备
确定分为室内和室外两种覆盖区域;对于一些室外场所,有线网络不能接入:如校园内的很多地方,有线网络的接入功能就无法实现,采用无线网络能够实现室外无线网络的接入,最终形成大面积的覆盖。校园无线网络的建设,主要包括教学楼宇附近的空地及宿舍附近的空地的覆盖。有线网络受限或使用不便的空间:一些有较大空间的室内场所,很多人都要使用网络,而有线网络无法满足要求,只能提供数量较少的接口。
无线网络覆盖能够实现实时的网络访问及整合利用数量庞大的移动设备,主要包括各个教学楼、主楼和图书馆等等。考虑到无线网络选型的配置统一、采购集中及兼容性的特征,无线产品的选择上,可以和校园内原有的有线品牌相同或相兼容。从目前众多高校的情况看,实现无线网络设计的目标,往往是利用无线网络技术,以有线网络为依托,将移动校园网络延伸至教学科研区,这个区域有较高的需求,进而提升校园整体的网络服务质量。若区域内没有网络,则可重点进行投入或部署无线,无线接入设备可根据情况随时随地的添加。在具体进行工作部署的时候,可重点考虑以下几个问题:
1.覆盖面积
接入点AP不同,覆盖范围也就不同,要根据不同的格局选择合适的AP 设备,选择统一的品牌;室外或者室内设备可根据不同的距离来选择。学校的无线需求往往集中在教学办公区内,而一些成套软件设备和硬件设备,价格往往较昂贵,初期建设时可选择家用无线路由器。在室外,其覆盖面积可达到800M,在室内,其覆盖面积可达到200M,宽带可达到100兆,对无线上网的各种需求都能满足。
2.安放位置
视不同格局而定,室内要放置在中心位置;室外要放置在雨水淋不到、太阳晒不到的地方。若办公室空间较大,则可放置2台设备,同时尽可选择方便以后维修的位置。
3.设备配置
以有线网络为基础,进行无线网络扩展时,必须特别设置无线路由器。无线路由器的组成部分是4个LAN 内网口及1个WAN外网口,所以在实际工作中,在一个LAN口上链接网线,软件配置上,不允许使用DHCP服务,设置相同的SSID在同一网段路由中,对不同的频段数字进行配置,为使设备访问的安全性能提高,在需对MAC 地址过滤功能进行开启。
(二)上网方式
本方案主要采用portal认证,WA2220E-AG/WA1208E-AGP与无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于无线业务插卡设备上,后台的iMC是用户鉴权点认证计费系统。用户只有在申请了无线网络服务时方可进行使用。需根据使用时间长短进行计费,若余额不足,则不允许网络登录,只有在成功认证之后方可计费,计费非常准确,以秒计算,若用户下线,则停止进行计费。针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。既使用户的合法权益受到保障,也使无线网络都能在同一VLAN内,提供快捷的维护和管理;数据库可由群内多台无线控制器共享,实现了无缝漫游。 由于主要是学生和教师使用无线网络,出于学习和工作的需要,他们会随时访问Internet及校园网内的资源。而这类用户的个人资料,包括论文、研究资料、科研成果、工资等等,往往具有一定的保密性,所以可通过802.1x 的方式进行认证。来访用户主要是指参加学术交流、培训或参观的用户。针对校园内用户,可先发起认证请求,若没有得到认证,则不可获取IP地址,也不能进行访问。为实现双向认证,可通过数字证书,这样即防止非法AP连入,也防止用户非法使用。用户成功认证后,无线用户可通过服务器获取IP地址,然后利用秘钥,通过加密方式进行通信,因此实现了数据传输的安全性。
(三)无线网络安全
主要由信息安全、设备安全和用户安全组成。
用户安全是指使用了预共享密钥模式和WPA技术,实现了一整套的包括完整算法、加密算法和身份验证等安全方案,同时也弥补了易攻破、认证强度不够的缺陷。针对在室内的无线网络及设备,由于AP放置的位置较高,还有一系列包括红外探头在内的防盗系统,使设备的安全性受到保证。在信息安全方面,可视情况不同而选择TKIP技术、WEP,提供安全保障机制。对射频探针扫描机制进行启动,可实现网管系统对射频干扰源及非法接入点提供的告警。
为了保证无线用户和整个校园网络的安全,仅仅保证接入点的安全性是远远不够的。采用无线EAD解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。配合iNode无线/有线统一客户端可以实现有线,无线用户使用统一的客户端进行认证。
四、问题改进措施
在有线网的基础上构建无线网,本身就需要切实结合有线网的原有网络结构来进行相应的设置,这样才能保证无线网络和有线网络的融合。有线网络按楼宇划分VLAN,并为每个VLAN 内的计算机自动分配IP地址。
构建无线网,必须和有线网络原有结构相结合,在进行相应的设置,这样方可促进二者的有机融合,通过对VLAN进行划分,自动对每台计算机分配IP地址。
将IP智能监控从通常的有线网络接入延伸到无线网络接入,根据用户的应用场景,提供丰富多样的无线组网接入模式,通过统一网管对无线资源和监控资源进行统一管理和控制。无线监控解决方案能够提供端到端的QoS保证,能够实现有线无线网络的统一管理,网络和监控业务的统一管理。同时,通过对突发流量进行码流平滑、多流选择以及误码重传机制,保证了视频流的实时性和流畅性。
五、结语
在建设和优化无线网络的同时,必须结合有线网络的结构,深入研究无线网络的可行性、安全性和联通性。制定切实可行的解决方案,并通过实践证明所订方案的合理性,有效性,可拓展性,进而建设出便捷、安全、稳定的高质量校园无线网络。
参考文献:
[1]DAVID KOTZ,Analysis of a Campus-Wide Wireless Network,Wireless Networks[J].2005,11:115–133
[1]于勇涛,容会,马倩.校园无线网络规划与建设探讨,技术与市场[J].2011,18,3
[2]李洪涛.无线网络在校园中的应用和发展[J].信息产业
[3]张晓明.无线网络在校园网中的应用,太原大学学报[J].2011,12,4