校园无线局域网设计与实现

2015-01-20张永良

扬州职业大学学报 2015年3期

张永良

(徐州技师学院，江苏徐州 221151)

随着网络技术的发展，笔记本电脑、IPAD、智能手机等移动终端设备增多，师生对无线上网的需求提高，希望随时随地地接入网络，并要求提供数据接入业务。这就要求学校能够提供无线信号校园全覆盖。在无线局域网的规划中，要以高效、稳定、安全为总的设计目标［1］，为用户提供快速数据业务，同时还要方便网络管理人员安装与维护，便于移植和扩展，从而构建更全面的数字化校园。

1 无线局域网的优点

无线局域网主要有以下几个方面的优点［2］。

1.1 移动信息节点的无线接入

在早期的网络布线施工中，教室、图书馆、会议室等地方一般就是放一到二个信息点，无法提供多人同时上网需求。若把无线接入器接入到有线的信息点，不仅扩展了信息点的数量，还解决了难以布线的难题。

1.2 提高教学效率

学校采用无线局域网后，教师可以在办公室、教室随时随地地查阅资料、教案，登录校园内部服务器。学生也可以在教室、寝室里通过无线网络，查询资料和教师布置的作业。同时，无线局域网也可为用户提供其它网络资源，提高了校园资源的利用率。

1.3 节约建设成本

在无线局域网中，一个AP 无线接入点可以同时接入几十个终端设备，这样可大大降低布线的前期投资以及后期的维护成本。

1.4 校园内无线信号全覆盖

在行政办公区域、教学场所、学生宿舍等人口密集区域，都要做到无线信号全覆盖。

1.5 保证覆盖区域最大用户并发数

充分考虑学生宿舍、教学场所、图书室等人员密集的地区，留够足够的带宽，以保证该区域群体上网需求。

1.6 采取IEEE802.n 协议标准

无线局域网能够提供802.11a、802.11b、802.11g 标准的联网支持，为用户提供优质的无线网络信号。

2 无线局域网总体布局

2.1 无线网络设备

无线局域网的建设，主要是利用原有的有线网络，部署安装无线设备，为人口密集区域提供无线网络服务。这些区域分别为行政办公楼、校园内所有的教学楼、学生宿舍楼、以及室外广场等。

无线网络的施工时，尽量保持原有的有线网络。新上的无线网络设备，要对原有的不同厂商的有线产品能够兼容，以节约成本。

2.2 AP 技术参数

在需要无线网络区域内，所安装的无线接入点AP，应该支持IEEE802.11a、IEEE802.11b、IEEE802.11g 三种无线传输协议。

无线AP 要支持POE 交换机远程供电，能够在后台做到集中管理与配置，方便应用与维护，具有Multi SSID 功能，可以划分不同的子网，为无线用户接入有线网络提供不同的身份认证策略。

不同的无线AP 之间能够实现用户数、数据流量的控制，实现负载均衡。

2.3 无线局域网配置

在传统无线局域网的配置中，学校的网络管理员，要根据不同的需求，对网络中的每一个AP进行单独配置，特别是当无线局域网中的AP 较多时，网络管理员的工作量就很大，而且在配置的过程中还容易出差错。如果在无线网络施工中采用无线控制器和FIT AP(AC +AP)方式，只需要在无线控制器上配好相同属性的AP。当启动AP工作时，它就能把最新的配置文件从从无线控制器上下载，节省了网络管理人员的时间。即使AP设备不幸丢失了，也能保证校园的网络配置信息不丢失。

AP 设备启动后，能够自动获取分配好的IP地址、自动获取AC 的工作列表、自动和AC 建立关联。当设备运转正常以后，无线控制器能对所管理的AP 及接入的用户进行实时监管，并能对所监管的信息实时上传给网络管理人员，保证网络的安全性，减轻网络管理员的维护工作量。

此外，无线用户的VLAN 是可通过无线交换机和骨干交换机相连，对原来的有线网络不需要做出改变，有利于无线局域网的施工，极大地扩展了网络覆盖范围。

2.4 接入点设备及控制器选择

无线局域网的设备，采用H3C 公司的WA2610 -GN 无线接入点设备，该设备完全支持IEEE802.11a、IEEE802.11b、IEEE802.11g 三种无线传输协议，支持通过802.3af 兼容的POE 交换机供电，发射功率≤20dBm，最大用户接入数为250，安全策略采用加密、802.11i、WAPI、认证等方式，在二三层功能支持IP 地址设置，支持Native IPv6、IPv6 Portal、IPv6 SAVI、ACL 等。

无线局域网中所采用的无线控制器设备为WX6103。该设备可管理的AP 数为128 个，支持802.11 局域网协议、CAPWAP 协议，支持802.11i标准(含802.1x 认证和PSK 认证)，支持具有国家自主知识产权的WAPI 标准的认证和加密，支持WPA、WPA2 标准，支持用户名与SSID 绑定，支持基于域、SSID 选择AAA 服务器等。

在无线局域网AP 部署时，要充分考虑到现在网络的实际情况，对现有的有线网络接入情况，尽量不要做任何的修改。如果需要修改，也尽量只是修改DHCP 服务器的配置。在无线局域网的设备配置上，只要配置好无线控制器(AC)，通过它就可以为用户提供无线接入服务，降低网络设备的投入成本。当无线AP 出现问题，需要更换新AP 设备，无需改变无线控制器上的配置，只要把新设备接上以太网线就可以接入网络，减轻了网络维护人员的后期工作量。

2.5 不同的用户接入方式

在无线局域网方案的设计中，要求采用基于SSID 的用户接入控制。特别在有外来人员，如来校讲学或访问时，有无线接入需要时，可以建立一个来宾账户，通过基于SSID 的接入控制，限制了使用者对校园网的访问权限，最大程度地保护了校园网络资源。

3 校园内无线局域网设计方案

根据以上的需求分析，在校园内部署无线网络，其功能模块见图1。

图1 无线网功能部署模块图

目前有线网络使用的是基于802.1x 的认证方式，而无线控制器本身就能很好地支持基于802.1x 的认证功能，可以将无线用户提交的账户信息直接与有线网络RADIUS 进行联动，就可以保证全网用户有线与无线的认证账号统一［3］。其认证过程见图2。

无线AP 通过与RADIUS 服务器用户身份验证，未经授权的用户就不能接入校园网络。通过无线交换机与SAM 的联动认证，不但可以使用数字化校园原有的账户信息，并且还可以利用无线控制器强大的扩展功能，对上网用户的行为进行监督与管理。

无线网络设备还可以进行自动监测非法设备，如果检测到非法AP，能主动上报到网络管理中心。无线网络设备只允许合法的无线用户进行数据交换，对非法用户的报文进行丢弃处理，减轻了无线网络的压力。

图2 基于802.1X 认证过程图

无线网络控制器还提供黑名单功能。通过检测或侦听的方式，来确定网络中是否有异常通信。如有则把该设备加入到黑名单中，该设备再发的数据会在AP 上被丢掉，减轻了对无线网络的通信压力。无线控制器还支持多种攻击的检测，例如拒绝服务攻击，溢出攻击等。无线控制器还具有动态黑名单功能，当设备检测到网络攻击时，就将攻击端加入到动态黑名单中，拒绝其再接入网络，从而保证了校园网络系统的安全。

无线用户接入控制有三种类型的列表［4］:(1)白名单列表。包含合法接入用户的无线客户端的物理地址;(2)静态黑名单列表。包含非法用户、拒绝接入用户的无线客户端的物理地址;(3)动态黑名单列表。当无线控制器检测到来自某一设备的非法攻击时，将该设备动态加入到黑名单中，禁止其接入到网络中，保证了无线网络的安全。