李　云　郑东海

摘要：校园信息化的迅猛发展使得传统的有线网络无法满足不断增长的用户需求，无线设备的普及也对网络方式提出了进一步的要求。本文主要阐述无线局域网在高校网络建设及使用中的优势，然后结合校园网的具体情况提出了无线局域网的构建方案，最后针对校园网络存在安全问题提出有效的防范措施。

关键词：WLAN 网络安全 校园网

随着医学院校数字化校院建设的开展，校园内网络信息化的普及，原有网络规模已不能满足日益增长的网络需求。无线网络的发展为建设一个面向未来网络化、信息化，具备多媒体综合业务发展需求的高等院校提供了必要的网络基础。

一、校园架设无线局域网的优势分析

无线局域网（WLAN：Wireless local area network）是无线宽带接入技术的一种，它是以无线信道来代替传统有线传输介质构成的局域网络。相对于传统的有线网络而言，无线局域网有如下优势：

1、 充分利用学校现有资源

当前，教师利用多媒体进行教学已经司空见惯，有的高校已经基本形成无纸化课堂。随着无线技术迅速发展，学校难以避免的要实现无线局域网。无线局域网的架设，可以使用户不再受线路的限制，并能使高速无线与各校已经安装的有线局域网集成起来，从而保护学校和教师已有的投资。

2、有利于扩容重整

对于有线网络来说，网络拓扑的改变通常意味着重新建网。重新布线是一个非常昂贵、费时的过程，但是使用无线接入方式，既可用于物理布线困难的地方, 调试也相对简单，又能节省大量的维护费用，是目前局域网用户升级、改造现有网络最佳的途径。

3、充分覆盖校园

合理地布置无线局域网接入点，可以使整个校园都有网络，真正实现数字化校园的功能。而且由于没有线缆的限制，学校可以方便地按需增加工作站或重新配置工作站。

4、易于管理

由于校园有线网络已经建成，统一的网络管理已经投入使用，因此对于增加的无线网络，要求融入现有校园管理系统中，对无线网内每一位用户和每个无线接入点/网桥进行统一管理。

二、无线局域网的构建

医学院校中的网络用户群主要由教师、科研人员及大量学生构成。上述人群的工作、学习、活动的主要场所包括教室、办公室、图书馆、机房、学生公寓、运动场等。根据医学院校中的无线局域网设计原则，对各场所应采用不同的设计方案：

(1)教室和图书馆是教师和学生的主要活动场所，最适宜采用无线局域网覆盖方式。施工时可根据室内面积及容量，确定AP的数目及位置。

(2)办公室及科研实验室都是相对独立的空间，根据实际需要，可以在楼道中或每个房间内设置一定数目的AP。特别是在会议室、报告厅内，由于容量较大、用户相对密集，可以采用蜂窝网络结构和微蜂窝网络结构来保证各区域完全得到网络覆盖。

(3)机房内容量和布置相对固定，一般不会有太大变动，可以采用传统的以太网。如有必要可以将无线局域网作为有线网络的扩展，以达到增加机房容量的效果。

(4)由于学生公寓内房间数目较多、面积相对较小，不适宜在室内布置AP，可以采用在公寓四周架设AP的方法。

(5)运动场等室外场所网络用户稀疏且地带空旷，在布置无线局域网时主要应考虑覆盖面积的因素。为扩大单个AP的覆盖范围，可以为每个AP安装功率放大器以及大功率天线。

三、无线局域网安全问题

由于无线网络容易受到非法用户入侵和数据窃听。据统计，在不愿意采用无线局域网技术的理由中，安全问题居第一位，达到了40%以上。所以无线局域网的安全问题成为制约其发展的主要原因，针对校园无线网我们可以使用支持IEEE802.1x认证技术＋TKIP加密的WAP的无线AP作为无线网络的安全核心，并通过后台的Radius服务器进行用户身份验证，有效地阻止未经授权的用户侵入。

1、 端口访问控制技术（IEEE802.1X）

IEEE802.1X是基于端口的访问控制协议，其体系结构包括3个重要部分：客户端、认证系统和认证服务器。当合法用户接入时，控制端口打开；当非法用户入侵或没有用户接入时，端口处于关闭状态。IEEE802.1X的客户端请求可以由外部的Radius服务器进行认证。其认证过程如下：

如图A，在WLAN中认证系统就是无线接入点AP,认证服务器确认用户身份后，打开控制端口AP允许该用户接入访问网络。IEEE802.1x将远程认证拨号用户服务协议。

2、 Wi─Fi保护接入（WPA）

WPA包括暂时密钥完整性协议(Temporal Key Integrity Protocol, TKIP)和802.1x 机制。TKIP与802.1x 一起为移动客户机提供了动态密钥加密和相互认证功能。WPA通过定期为每台客户机生成唯一的加密密钥来阻止黑客入侵。TKIP为WEP引入了新的算法,这些新算法包括扩展的48位初始向量与相关的序列规则、数据包密钥构建、密钥生成与分发功能和信息完整性码 (也被称为 “Michael”码)。在应用中,WPA可以与利用 802.1x 和EAP (一种验证机制) 的认证服务器(如远程认证拨入用户服务)连接。这台认证服务器用于保存用户证书。这种功能可以实现有效的认证控制以及与已有信息系统的集成。由于WPA具有运行“预先共享的密钥模式”的能力, SO-HO 环境中的 WPA 部署并不需要认证服务器。与WEP类似,一部客户机的预先共享的密钥(常常被称为“通行字”)必须与接入点中保存的预先共享的密钥相匹配,接入点使用通行字进行认证,如果通行字相符合,客户机被允许访问接入点。

四、总结

无线局域网的发展为校园网的建设和升级换代带来了新的选择，把它引入到大学校园网中。它不仅仅是以前建设的有线校园网的距离上的延伸, 覆盖面的提升，而且为教学方法的改进,学习方式的改变提供了广阔的信息平台。虽然WLAN在安全体系方面还存在不足之处，但我相信随着无线技术的不断完善，合理组合安全机制和有效的管理措施，我们将会享受到无线局域网带来的安全、快捷。◆

参考文献：

胡艳梅羊 牧，无线局域网在医学院校数字化建设中的应用，中国现代教育装备，2007年第11期

王亚荣，安全技术在无线局域网中的应用，计算机安全，2008.11