王 琦

(中央社会主义学院，北京 100081)

随着教育信息化的发展，社会主义学院对移动办公、移动学习的需求也相应增加，特别是智能手机、PAD 等相关终端APP 应用的快速普及，迫切需要建设覆盖教学、办公楼宇的无线网络环境。采用适应国际主流的无线网络技术，研究社会主义学院无线网络建设目标和建设原则，探析无线网络部署、安全设计、防病毒和无线入侵检测以及校园无线网络管理方面的问题，并提出解决方案已成当务之急。

一、社会主义学院无线网络建设目标和建设原则

无线网络建设是一项复杂的系统工程，在实际建设过程中，不同地区、不同行业、不同领域，建设的目标和原则各不相同。综合考虑社会主义学院无线网络建设需求、技术、管理及高校的先驱经验，要明确以下建设目标和建设原则。

(一)建设目标

要求完成办公、教学楼宇全方位立体式无线覆盖，保证被覆盖的网络访问流畅，教职工可以依托无线网络完成教学科研以及办公事务，学员可以轻松接入数字图书馆、在线学习等应用系统获取资源，访客可以顺畅的访问互联网络。同时，尽量利用现在的有线资源，保护原有投资。

(二)建设原则

社会主义学院无线网络建设以“安全快速、操作简易、统一管理、利旧兼容”为建设原则。

安全快速:基于无线网络无实质物理链路的特性，决定了无线网络具有可广泛接入的隐患。因此，无线网络建设首先要具备高安全性，必须通过技术手段提供完整的安全防范措施。在保证安全的情况下，无线网络信号可覆盖区域和强度决定了接入速度的体验，因此，在校园设计无线网络时，需要根据现场的实际情况有针对性地部署，以保障无线网络高速快捷。

操作简易:社会主义学院信息部门的人员增长速度总是无法应对网络规模的日渐庞大复杂性要求。无线网络接入层应具有即插即用能力，客户端具有零安装、零维护特点，在保障网络安全的情况下提供快捷及智能访问。

统一管理:基于无线网设备部署场景不同，无线设备安装也不具备统一性，无线AP 安装环境包括房间、走廊、立杆、平台等多种组合，因此，对设备及日常管理的维护是个较大的挑战。这就要求无线接入网络应具备集中管理和维护特性，并通过统一管理系统对无线网络进行在线监测和实时调控，及时查找并排除故障。

利旧兼容:各社会主义学院的有线网络发挥了重要的信息化整合和传递作用。为降低投资额度，无线网络设计应充分考虑现有楼宇的装修和有线网络部署状况，在满足要求的情况下，尽量利用现有的线路、设备和基础设施进行无线网络建设。

二、关键技术设计

(一)无线网络部署方案

当前无线网络部署方式主要有放装、室分、智分三种形式，几种部署方式适合不同的应用场景，简单对比如下表:

部署方式实现原理 实现效果 施工难易度楼道大堂大开间放装方式AP 和天线都部署在楼道、大堂、大开间楼道放装方式对于钢混承重墙分隔情况衰减较大，楼道信号非常强，而办公室内信号较弱。大堂、大开间放装在合理设计AP 点位的情况下，接入效果非常好。需施工，需建设无线AP的有线回传链路。室内墙座放装方式利用室内现有墙面信息面板进行无线网改造，AP 放置在办公室。室内接入效果良好。须办公室已有较为充足的有线网络接口墙座，如果不足，将需要考虑和原有网络共用的问题。室分系统方式性能较为低下，在上网高峰期，会出现网速慢的情况部署十分复杂，需要在墙壁上打孔，楼道需施工，需建设无线AP的有线回传链路。网络的管理和维护工作量大。把AP 部署在走廊或弱电间，而天线部署在房间内，AP 和天线之间通过馈线连接，中间还需要加装功分器和耦合器等设备。智分系统方式综合了放装方式和室分方式的优点，AP 部署在任意位置，通过馈线延伸可以把天线部署在办公室内。无需功分器、耦合器，集成了射频卡。性能不再成为瓶颈，适合办公室这样的密集部署环境，在上网高峰期，网速仍可保持稳定。部署较室分简单，易于管理和维护。仍需钻孔，但孔较室分小。

要综合考虑环境、面积、建筑结构、建筑材质、设备性能和小气候等多个因素，分区分片的进行无线网络部署设计，且在实施前进行必要的信号强度测试。同时，无线网络部署必须尽量不破坏原有装修。

以中央社会主义学院为例，办公楼是一栋六层楼房，为长条筒形建筑，中间为廊道，两侧布设各部门办公室，房间结构相对标准统一;教学楼为四层建筑，中心为中空大厅，周圈各教室形成围合式结构。在装设无线网络时，我们需要综合考虑利旧、实现效果和施工实施的难度，考虑在学院原有的有线网络基础，进行无线网络部署。办公室、小型会议室等房间密集型环境采取室内墙座放装方式，走廊覆盖不佳的地方在廊道顶棚内敷设AP作为辅助;教室、大型会议室、休息室、大厅等大开间、高密度的环境采用高性能室内放装的方式。由于建筑不规则，在无线AP 点位设计过程中，需要考虑不同建筑对信号衰减的干扰，合理分配无线接入点的部署位置，辅以X－Sense 智能天线、智能负载调节等技术，让无线信号覆盖到所有角落，使之真正满足办公和教学科研需求。

(二)安全设计

无线网络安全是一个复杂的系统工程，不同的业务特征有着不同的需求。具体到社会主义学院无线网络，在满足设备级、网络级的安全特性外，安全策略主要包括用户终端管理、防病毒和入侵检测以及无线网络管理等方面。

1、用户终端管理

无线终端是用户登录并访问网络的起点，更是病毒传播、从内部发起恶意攻击、内部保密数据盗用或失窃的源头［1］。用户终端管理的部署包括身份认证、安全检查、用户绑定、权限和带宽控制、用户隔离以及监控审计六个层面。

(1)身份认证系统设计

校园无线网络用户主要有三类:教职工、学员和访客。教职工和学员要求能够随时随地接入无线网络，访问社院办公平台、图书馆数字资源以及在线学习平台等学院内部资源，可以使用终端智能识别的WEB 认证;访客主要是来学校参观、培训或者进行学术交流的一些用户，对他们来说最重要的就是可以即时接入互联网络，可以使用访客手机自身认证。

身份认证系统建立了覆盖全员的身份管理，员工账号与现有办公平台的员工数据相对接，访客的手机号作为登陆账号。实名管理机制建立了网络世界与现实之间的联系，便于精确定位和追根溯源网络中出现的安全问题，能够提高用户的责任意识，有效预防和控制不负责的网络行为，从而降低无线网络的安全隐患。

(2)安全检查

除身份认证外，系统还须对接入终端实施安全检查，当接入用户不符合既定安全策略时，采用自动阻断、强制隔离等方式处理，切断有安全隐患的终端对无线网络的影响。

(3)用户绑定

对用户信息进行多维度绑定，可将用户的帐号与接入的SSID、关联AP/AC的IP 和MAC 地址进行标识。一旦出现问题，能够快速定位事发用户、终端甚至位置。

(4)权限和带宽控制

配合身份认证系统，实现精细化的无线用户管理。通过划分SSID 可以将用户接入相应的VLAN 内，SSID 和VLAN 一一对应，通过设定VLAN 权限做到带宽和用户访问权限的灵活控制。对教职工和学员给予较高的带宽等级，并根据业务特点划分相应的访问权限;访客只给予最基本的带宽、只可访问互联网。

(5)用户隔离

访客划入单独的SSID，院内用户根据不同的业务特性也划分为多个SSID。采用用户隔离技术，一是将访客和院内用户的流量完全隔离开来，二是认真分析院内业务特点，按需对各SSID 子网或VLAN的用户实施隔离，以保护数据和网络资源的安全。

(6)监控审计

公安部82 号令要求，即《互联网安全保护技术措施规定》:“记录并留存用户访问的互联网地址或域名。”需重点考虑对用户行为记录的查询、审计和控制，实时监控无线终端接入网络后的行为，保障无线网络的合法使用。

2、防病毒和入侵检测

病毒具有很强的破坏性，复制性和传染性、为了保证无线网络能够安全运行，必须部署防病毒系统，通过积极的防御和强大的查杀功能，防杀结合，将病毒隔离在网络大门之外，从而保障日常业务工作的正常进行。

购买无线入侵检测系统，对设备和系统的运行状况进行监控，监视交有效分析用户的活动，及时检测到攻击事件的发生，准确识别攻击来源，并给出报警和审计信息。

3、无线网络管理

管理一个具有一定规模的校园无线网络是一件非常复杂的事情，工作量巨大且繁琐。一是使用具有无线局域网集中式管理功能的瘦AP +无线控制器架构，网管员在无线控制器端对无线AP和移动终端进行开通、管理和维护等操作，AP 自身不需要进行任何配置。此架构增强了无线网络的稳定性，极大地提高无线网络的维护效率。二是建立无线局域网网管系统，深入了解设备的配置、运行、性能以及故障等信息，对校园无线网络的工作状态进行直观和详细地监控，确保无线网络正确运转。三是制定完备的管理制度，加强用户教育，同时不断提高网管员的业务水平。

校园无线网的规划建设是一项艰巨而长期的工作，随着无线网络技术不断发展，还将会有更多新的问题和新的需求产生。必须不断探索，充分考虑部署、安全、管理等各方面因素，才能充分应用先进技术推进全国社会主义学院信息化建设事业的科学发展。

［1］贾晓巍．如何构建全面的终端准入控制［EB/OL］．http://blog．sina．com．cn/s/blog_61bd83dc01017 jt8．html，2012－10－10．