校园无线网络的建设和管理
2015-11-17张家松
张家松
摘要:目前,我州的大多数中小学都建设了自己的校园网,考虑到校园建筑的布线问题,以及现在许多老师都配备了带无线网卡的笔记本,校园无线网络的建设也得到快速发展。但许多学校都为无线网络的安全接入而头疼。该文以我校为例,介绍了无线局域网的建设和管理,起到一个抛砖引玉的作用,供同行参考。
关键词: 无线局域网;无线AP;软路由
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)24-0016-02
随着计算机网络的飞速发展和应用的不断普及。充分利用各种网络信息资源为教学服务已经成为学校信息化的手段,很多学校为此都建立了自己的校园网。通过校园网,教师可以从互联网下载有用的课程资源,学生也可以进行在线学习。但传统的有线组网方式限制了网络的使用[1]。随着无线局域网技术的成熟,智能手机、平板的普及和应用,无线局域网的优势也更加得以体现。没有了网线的束缚,老师和学生可以更加方便地使用网络获取信息。随着技术的发展,针对无线网络的攻击越来越多,手段也越来越先进,设计好、管好、用好无线局域网也成了关键所在。
1 无线局域网技术介绍
无线局域网(WLAN)是基于IEEE802.11标准的局域网,利用无线技术在空中传输数据、话音和视频信号。作为传统布线网络的一种替代方案或延伸。它允许在局域网络环境中使用可以不必授权的ISM频段中的2.4GHz或5GHz射频波段进行无线连接[2]。从1999年9月IEEE802.11b被正式批准到现在的十多年时间里,经历了11b(11Mbps)、11g(54Mbps)、11n(150/300Mbps)、11ac(1.3Gbps)几个标准,现在用得最多是11n的标准,性价比最好。
2 无线局域网安全接入的选择
从安全考虑,接入无线局域网时都要进行密码认证,目前常用的加密和认证方式有以下几种。(见表1)
我校选择的是通过Web方式进行无线接入认证,因为可以方便对上网的各用户进行管理。每位教师有自己的上网账号和密码,并且通过MAC地址进行二次认证,避免了用户名和密码丢失后被别人盗用的问题。而且通过Web认证也不需要安装软件,通过手机或平板自带的浏览器进行认证后,就可以使用外网。 使用Web认证后,可以不需要对无线AP进行加密,因此学生也可以接入,可以访问一些公开的内网资源,如查询自己的考试成绩、试卷答题信息等,但不能访问外网,也不能使用需要向外网交换数据的程序(如QQ和微信)。这样,即保证了内外网安全,也提高了校园网络的利用率。更好地为教师和学生服务。
3 我校网络的建设情况
我校早在2003年就建设了校园网络,通过4M的ADSL接入互联网。2006年新的教学大楼建成并投入使用,校园网也进行了重建。现在的情况是整栋教学大楼以Cisco4006三层交换机为核心交换机,东边以Cisco2950为边缘交换机,将学校的三个计算机教室,各处室、办公室、教师休息室、30个教室都接入学校校园网。校园网通过TP-LINK6120路由器以100Mbps的带宽接入中国移动互联网。为了方便管理,学校对校园网进行了VLAN的划分,将三个计算机教室划为一个网段,30个教室划为一个网段,各处室、办公室、教师休息室划为一个网段。除了教室以外,其它两个网段都接入互联网。上网的每一台计算机都进行了静态IP地址的分配,并在路由器上进行了IP和MAC地址的绑定。防止非法计算机接入互联网。网络拓扑图如下:
4 无线局域网的实施
4.1 安装爱快软路由系统
因为单纯的硬件认证设备价格很高,架设单纯的认证服务器对于普通中小学也没有必要,因此我们使用具备认证功能的软路由来实现其功能。爱快软路由是目前国内做得比较好的一款路由软件(目前最新版本是2.5.6),其操作简单,功能强大,并且是免费的,没有植入任何广告。无线认证和路由功能合为一体,无需单独架设认证服务器,提高了服务器的利用率,其CPU和内存的占用率较小,配置一般的计算机都有较好的带机量[3]。(见表2)
4.2 安装无线AP
IEEE802.11g标准其都只支持3个不重叠的传输信道,只有信道1、6、11或13是不冲突的。为了让无线信号覆盖整个校园,又不互相干扰。我们在安装无线AP时,采用蜂窝结构布点,每两个AP有一定的无线覆盖重叠范围,并使用手动设置信道的方式避免信号干扰。具体见下图。
4.3 划分VLAN
在原校园网的基础上划分出第四个网段,将所有安装好的无线AP接入该网段。这样可以保证原有的网络功能不变,同时有、无线接入不相互影响。
5 无线接入认证的实施
1)无线AP的设置:主要是设置无线AP的IP地址、关闭无线AP的DHCP服务和DNS服务,让IP地址的分配和DNS的分配由软路由来进行。
2)开启爱快软路由对应无线接入的网卡的DHCP服务:通过浏览器进入爱快软路由管理界面,在“网络设置”中,选择“DHCP设置”选择和主无线AP同在一个网段的网卡,开启服务,同时,在“客户端静态分配”页面里,将各位教师的无线网卡的MAC地址和IP地址进行绑定。
3)开启认证服务:在“认证计费”中找到“认证服务管理”页面,开启WEB认证服务,爱快路由支持的认证方式很多,有“一键认证”、“QQ认证”、“微信认证”、“用户密码认证”、“优惠券认证”等,我们选择的是“用户密码”认证方式和“优惠券”认证方式。
4)认证账号管理:在“认证账号管理”中,可以根据需要,添加上网教师的账号、密码,并二次绑定MAC和IP地址。上、下行带宽数值、共享账号数等信息。
5)使用无线方式接入互联网:开启一个设备的无线网卡(如手机),自动找到了开放的无线AP,打开设备的浏览器,自动弹出了认证的界面(图3),输入正确的用户名和密码,顺利通过认证(图4),即可正常使用网络。
6 日常维护
1)系统的维护:爱快软路由系统比较稳定,维护也相对简单,一般30天左右重启一次即可。平时多观察系统生成的各种日志信息,特别是系统日志和用户日志,对可疑的网络攻击行为和反复登录失败的用户要及时处理。
2)无线AP的维护:每天检测无线AP的运行情况,分析数量的流量,每周对无线AP进行重启。对于数据传输量过大的无线AP,可以通过增加接入点来分流数据。平时要留有一定数量的无线AP,方便设备出问题时可以在第一时间进行更换。
7 小结
通过以上方案的实施,各位教师可以方便的在教学楼里将自己的笔记本、平板、手机通过无线网络接入互联网,获取所需要的教学资源。上网位置发生变化时,可以自动选择信号最强的无线AP实现“无线漫游”,不需要重新认证。需要扩大上网范围时,只需要增加无线AP的数量就可以轻松实现。通过半年多的使用,目前整个系统运行一切正常。
参考文献:
[1] 廖振宇. 校园无线局域网的设计方案[DB/OL]. http://wenku.baidu.com/link?url=HwAxmrXXnmoWLgzgstgyQ5ocnA9Je1Np LNVerWc-ISdQ7aMETfK5qobTxRYhwAKazb4paJ87RsaHgkE GfoIXrQai9yWnX4ZXlbJTCxHykoa
[2] 校园无线网络的应用与设计实现[DB/OL]. http://wenku.baidu.com/view/132630ee0975f46527d3e1b3.html
[3] 爱快推荐硬件配置[DB/OL]. http://www.ikuai8.com/support_article.php?id=229