关于校园无线网络的构建介绍
今天小编就要跟大家讲解下校园无线网络的构建~那么对此感兴趣的网友可以多来了解了解下。下面就是具体内容!!!
校园无线网络的构建
1 校园无线网络系统的设计原则
1.1 标准和解决方案的成熟性
在设计校园无线网络系统的时候,需要考虑国际和国内的相关标准,按照这些标准进行设计和施工,对于那些未在国内和国际标准中包含的新技术,坚决不采用,同时各项技术必须与国内和国际标准相一致,而且保证与各个主流厂商的互操作性和兼容性。除了标准的成熟性之外,还要考虑到方案的成熟性,要保证整个系统具有前瞻性,在相对长的时间都不会被淘汰。
1.2 安全性和可靠性
首要考虑的就是安全性和可靠性,要防止操作人员误操作或者系统中某些故障引起的数据破坏,同时要保护系统免受外部人员非法入侵和操作人员的越权操作。系统应该具备网络诊断和测试能力,实现在线故障恢复,同时关键设备和线路要实现实时备份,防止出现故障导致数据丢失。在规划和设计时,可以从3个方面进行考虑:第一,针对不同用户提供不同访问策略。这样,既可以满足不同用户在使用网络时的安全性,同时对有特殊需求的用户提供单独的访问服务,不会收到非法入侵;第二,保护无线网络中数据传输的安全性;第三,加强射频环境的监控,对非法扫描的行为进行定位,向其发送警告并将其进行剔除。
1.3 可管理性和可维护性
校园无线网络系统应该具有良好的可管理性和可维护性,能够对无线网络的工作参数进行集中管理,能够及时找到并排除故障。同时要求可以进行在线管理,要求设备模块做到即插即用。
1.4 可扩展性
整个系统应该可以方便地进行功能和规模上的扩展,扩展时整个无线网络构架可以无需做大的改动,扩展后操作和管理模式不会发生大的变化。要做到系统具有可扩展性,就不能只考虑目前的需求,更要考虑之后很长时间内的需求。
2 无线网络系统方案的实施
在进行高校校园无线网络系统设计时,主要考虑两个问题:第一是无线网络覆盖区域的状况以及网络设备的选型;第二是用户的上网方式和计费方式。下面对这两个问题进行详细说明。
2.1 无线网络覆盖区域和设备
通过对校园环境的实地调研、分析以及对学校教师和学生的调查,将校园分为室内和室外两种无线网络覆盖区域。室内无线网络覆盖区域包括会议室、图书馆、阅览室、自习室、阶梯教室和食堂等;室外无线网络覆盖区域包括广场、花园、操场、停车场以及宿舍前面的休息区等。对于网络设备的选择,从兼容性和配置统一的方面来考虑,所选购的无线网络设备都是与原校园网络设备相同的品牌。
所谓无线AP(Access Point),即无线接入点,是用于无线网络的无线交换机,也是无线网络的核心,是移动计算机用户进入有线网络的接入点。
在本文设计的校园无线网络系统中,室外无线AP采用的是室外型大功率无线接入点产品,其工作频段为2.4GHz,支持IEEE802.11n标准,内置500mW的双向功率放大器。由于室外场所的环境有所不同,无线网络的覆盖要求也会有差异,室外无线AP可根据这些条件的不同,配合相应的外接天线,在室外覆盖良好的无线网络信号。
按照本次校园无线网络系统的规划与设计,室内AP,提供两路接入,共600Mbps,支持IEEE802.11n标准,可以为每个用户提供不低于10Mbps的无线连接速率,这样,不但能够满足现有校园网应用的带宽要求,同时,还能够为学校的视频、音频等多媒体资源的点播提供网络基础,满足高校未来信息化发展的要求。
根据校园无线网络系统的要求,所选用的无线AC设备可以高效地处理学生网络视频、音频和在线游戏、在线聊天等小包的数据流。同时,在校园网络系统的规划中,无线AP要提供双万兆的上联接口,为之后的无线应用扩展和升级预留带宽。
2.2 上网方式
在高校校园无线网络系统中,服务的对象主要是教师、学生和学校领导、员工等,因此,校园无线网络具有覆盖范围广泛、使用者和使用时间不确定的特点。为防止非法使用者使用,更好地满足合法使用者的使用需求,本无线网络系统采用了基于SAM的Portal认证方式,只有向学校申请了无线网络服务的用户才能够使用。根据无线网络系统的设计,系统将根据使用时间对使用者进行收费,以时间计费。使用者在申请完成之后和使用之前,必须先交纳一定的费用,登录认证成功之后开始计费,下线的时候停止计费,可以精确到秒,当余额不足时会自动下线或者拒绝登录。
这种方式的具体操作方法是,首先在无线AC上建立无线VLAN,启动DHCP服务,汇聚层的交换机以Trunk方式与无线AP相连接。当访问者试图连接无线网络的时候,都需要通过portal发起认证请求,只有认证成功后才能够上网,在认证成功之后,系统开始计时,这样在方便无线网络系统管理和维护的同时也能够防止非法使用者使用无线网络,更好地为合法使用者提供无线网络服务。由于是无线网络,使用者在使用过程中可能会存在移动位置的情况,为了让使用者在移动过程中实现无线漫游,在无线网络系统中,让集群中的多台无线控制器共享用户的数据库,从而实现用户在整个网络中不同区域之间进行移动和跨越过程中无缝漫游。无线上网的流程如图1所示。
2.3 无线网络的安全
在校园无线网络系统的规划与构建中,安全是重中之重,是系统成功与否的根本。因此,在系统中,要构建一个良好的安全体系,从而切实保护用户和系统自身的安全。 (1)802.1X认证。在部署无线网络的安全体系时,可以采用802.1X和网络准入相结合的方式。这两者的结合可以很好地保证校园无线网络系统的安全。具体的操作方法是,当合法用户连接上无线AP之后,要求输入AP的连接密码,在合法用户输入密码之后,分配GUEST VLAN的IP,在GUEST VLAN中暂时不能访问任何资源。
(2)网络准入。当用户被分配GUTST VLAN IP地址之后,用户暂时不能对资源进行访问,此时,系统中的用户接入服务器,即网络准入,会自动对客户端上的准入代理进行联动,对用户的系统进行扫描,查看用户是否符合准入策略的要求,如果符合准入策略的要求,则会重新分配一个校园无线网络内网地址给用户,这样用户就能够使用学校的无线网络了。
如果合法用户的密码被泄露,非法用户得到密码后去连接无线AP,连接以后要求输入密码,虽然密码是正确的,但是当网络准入对用户系统进行扫描,会发现非法用户不符合网络准入检测,这样非法用户就会一直停留在GUEST VLAN中,有效地保护了校园无线网络内网不受非法用户的威胁。
(3)数据加密。校园无线网络系统中的认证机制和准入机制是构建安全体系的基础,数据加密也是安全体系中不可或缺的部分。在本次校园无线网络的构建中,所有AP与用户端之间的数据传输均采用的是AESCCMP加密,AESCCMP又称为WPA2,它支持AES加密算法,而AES能够为信息和数据提供128位的加密能力,这是WPA2与WPA最大的区别,所以AESCCMP的安全性比起WPA有了很大的提升。正是因为如此,在设备中加入WPA2支持已经成为了很多服务商的选择,而Windows XP系统的补丁SP2中也集成了WPA2的支持。
(4)身份认证。在校园无线网络系统的安全体系中,最重要的是身份认证,因为无线网络不同于有线网络,在无线网络中,攻击者不像有线网络中那么容易被发现。如果身份认证这个关卡被攻破,校园无线网络会被非法用户使用,甚至会被攻击者恶意攻击。为有效地保护校园无线网络免受攻击,也为保护合法用户的权益不受侵害,校园无线网络系统采用了EAP-FAST的身份验证方式来进行相互验证,同时为用户和进程提供动态加密密钥、物理地址和标准802.11验证机制。只有在身份验证时采用最安全的加密算法,才能有效保护用户输入的账号、密码不被抓包软件截获,也不会被黑客软件暴力破解。
(5)GUEST VLAN。用户在通过802.1X之前只能访问有限的网络资源。所谓GUEST VLAN,是用户在通过802.1X认证之前处于的VLAN,用户在访问GUEST VLAN内的资源不需要认证,但也只能访问极其有限的资源,比如从GUEST VLAN服务器上下载802.1X客户端软件、升级客户端、执行其它诸如杀毒软件、操作系统补丁程序等应用程序的升级,而不能访问其它的网络资源。这样设置的目的是为防止一些暂时没有安装认证客户端或者客户端版本过低的合法用户无法认证成功。在用户连接网络的时候,接入设备会把这个端口加入到GUEST VLAN,当认证成功之后,端口离开GUEST VLAN,这样用户就能够访问其它的网络资源了。
2.4 安全管理体系
在构建校园无线网络系统时,不但要从技术方面建立安全体系,也要从管理方面进行安全体系的建设。主要从以下几个方面进行:
(1)对校园无线网络的管理人员进行培训和教育,建立健全相关管理制度。
(2)加强校园无线网络管理人员的安全意识和安全素养。
(3)加强对系统运行环境的安全管理,制定相关制度,进行严格管理。
(4)建立设备选型、采购、使用和维护的管理制度,对设备进行严格的审查和检测以及安全评估。
(5)建立应急处理制度,对可能发主的突发情况制定应急处理方案。
3 结语
社会的飞速发展和网络的快速普及,让校园无线网络的建设成为高校的基础建设之一。校园无线网络是教师、学生获取资源的重要手段,也为学校建立智能化教学系统、提高信息化水平起着巨大作用。因此,规划和构建一个良好的校园无线网络系统,将为学校实现数字化建设发挥重要作用。
关于校园无线网络的构建介绍的评论条评论