摘 要：校园无线网络的不断发展，对校园网终端的接入方式提出了更高的要求。相对传统的校园有线网络而言，无线网络具有移动性、灵活性等优势。文章结合具体案例就校园无线网络升级改造策略、无线网络安全等方面进行了分析，并提出了相应的解决措施，希望能够在校园无线网络建设方面提供有益参考。

关键词：校园无线网；无线网络安全测试

中图分类号：TP393.1 文献标识码：A

1 引言

随着无线技术及其应用的迅猛发展，网络时代正在无线技术的强力推动下悄然改变我们的生活。但是，当无线网络技术渗透到社会方方面面的时候，其安全性也愈来愈受到人们的关注。因此，一个有效、安全、强健的无线网络，越来越受到人们的期盼。

作为无线网络最典型的应用——校园无线网络，在其功能与安全性上，人们也提出了更高的要求。校园无线网络就是利用无线局域网技术，在校园中建立无缝无线通讯网络，使校园的每个角落都处在网络中，形成真正意义上的移动校园网。随着高校规模的不断扩大，校园无线用户的数量飞速增加，传统思路下的无线校园网已满足不了现实的需要。当前，校园无线网在接入规模上要求满足大规模的移动智能终端接入；在信号覆盖上，更是要求既能弥补有线网络覆盖的不足，还要能同时覆盖有线网本身的区域；在服务支持上，无线校园网正在向实现全网不间断漫游的方向发展；在接入速率上要求提供不逊色于有线接入的传输速度。伴随着校园网无线网络的快速发展，网络安全问题也日趋凸显。不过安全是相对的，一味地强调安全会进入安全的误区，需要在易用性与安全性上找到平衡点，否则一味强调安全就背离了无线网络便利性的初衷。不存在绝对安全的网络，只存在相对安全的网络。研究在当前的技术条件下校园无线网络的实现及安全架构设计，是具有十分重要现实意义的。

2 校园无线网络升级设计与搭建

有别于一般的园区无线网络，一方面校园无线网络用户数量众多，在某一时段的空间中并发访问量巨大，例如食堂、图书馆、礼堂等进行特定活动时，因此在升级改造时应考虑某些场所并发访问峰值；另一方面，考虑学生上网行为中下载需求很高，设计时应考虑限速策略，并结合适当的计费规则适当约束现在行为；最后，学生人群喜欢尝试使用相关软件对无线网络造成威胁，设计时应考虑计费服务器及相应网络设备的安全防护。

基于此下面以某一高校无线网络升级建设为例，在提出设计原则基础上给出了建设的思路及方案。

2.1 项目概述

某高校占地面积90万平方米，建筑面积100万平方米。室外无线已安装30部国外某品牌的无线设备，其中包括西区3部，东区北面13部，东区南面14部。当前室外无线点位较为稀疏，部分新建楼宇周围没有部署无线AP，部分楼宇下面无法接收到无线信号。计划拆除原有无线设备，加装200部国内某品牌无线设备，实现校园室外无线全覆盖。

2.2 项目需求与总体设计

（1）需求分析

校园无线网络的升级改造总体需求有七个重点。

实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则，充分保护已有投资，不设计华而不实的无线网络，也不设计利用率低下的网络。

先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地，充分采用目前国际、国内流行和成熟的技術，保证网络能适应技术的快速发展。

可靠性：系统必须可靠运行，关键的设备部件及骨干链路应有冗余，避免单点故障，并且不能造成任何损失。

安全性：终端设备通过统一认证接入网络，防止非法用户访问；无线客户端做二层隔离技术，阻止恶意访问。

开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准，无论发生任何变化，均能够最大可能性地开放标准。

可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比。

可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性。

（2）总体架构设计

校园无线网络采用 “瘦”AP+AC 的双核心三层架构的设计方案。在核心交换机上设计部署超大规模的智能 AC 设备对全网所有 AP 进行集中式管理。为了确保无线网络的高可用性，防止 AC、 核心出现问题导致网络瘫痪，采用双 AC、 双核心冗余方式来保证网络结构的安全。双 AC 冗余设计采用 AC 的 1+1快速热备份。采用两台 AC 设备分别与核心交换机连接互联，分别设置为一主一备两个控制器。网络里所有 AP 同时与两台 AC 建立CAPWAP 隧道。核心下联各楼宇汇聚交换机，采用万兆单模光纤互联提升数据交互能力。各接入交换机均采用千兆光纤至汇聚交换机，实现全网光路传输。网络拓扑结构如图1所示。

2.3 整体实施

（1）POE供电设计

通过POE供电模块实现对室外无线AP的供电。首先，在机房内安装POE供电模块； 然后，通过六类双绞线连接POE供电模块（LAN接口）和千兆交换机；最后，通过六类双绞线连接POE供电模块（POE接口）和室外无线AP（POE接口），对AP实现供电，如图2所示。

（2）线管走线及安装设计

线缆路由遵循五原则：a.室内部分，线缆尽量利用原敷设的桥架进行敷设，尽量减少因二次施工对楼宇造成破环；b.室外部分，使用20Φ镀锌管进行线缆敷设；c.桥架和镀锌20Φ通过软管套件（包括软管及接头等）进行连接；d.无线AP于立地约3～5米的位置进行安装；e.无线AP接线处通过套管的方式来对线缆进行保护。

（3）无线AP安装

首先，通过现场环境勘查，确定安装位置；然后，做好实施安全防护区域标识，避免非工作人员进入；最后，通过膨胀螺栓进行无线AP的固定，特殊的墙体将使用定制的膨胀螺栓进行固定，保障设备安装后的稳固性。

（4）网络设备配置

两台AC、核心分别做虚拟化实现冗余备份，并采用双链路做聚合互联实现链路备份，AC做802.1X或Web Portal认证及二层隔离等安全协议，核心交换机做IPv4和IPv6地址池，为用户分发IP地址，并配置Dhcp Snooping防止非法Dhcp服务器接入；规划AP业务Vlan、用户Vlan和所有设备的管理Vlan，并为所有设备开启SNMP功能实现统一管理。

2.4 区域实施设计

（1）无线AP点位分布

通过信号辐射模拟软件，将现有校园平面图导入模拟软件，均匀布放AP，进行信号模拟及信道模拟测试，把现有AP选择最佳点位，最佳信道，进行尽可能的全覆盖。

（2）安装位置规划

通过模拟软件选好点位，根据现场实际情况（包括周围的树、墻体材料等）选择最佳位置进行安装，安装高度推荐3～5米。正常情况下，安装完毕AP的水平尺应该处于水平位置，或天线与水平地面垂直，如有特殊情况，以项目实际情况为准。

2.5 校园无线网络安全测试

常见的无线网线络攻击包括有AP伪装、未经授权使用服务、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵等。要验证无线校园网方案的安全功能能不能达到高校安全的要求，还需要进行一系列的安全功能测试。比如，非法 AP 的检测和抑制功能测试、网管系统发现 AP 故障并处理的功能测试、网管系统定位合法和非法终端的功能测试等。如测试结果良好，则说明无线校园网的安全功能达到了设计要求。

3 结束语

校园无线网络在高校信息化过程中扮演着越来越重要的角色，在校园网络组建或升级为无线网络的过程中，我们要根据本校的实际情况，规划不同的网络升级或者建设方案，确保校园无线网络系统的稳健性和安全性。同时，可以借鉴已经实现校园无线网络工程的高校的建设与应用经验，少走弯路，摒弃过时的技术标准，搭建一个现代化的无线网络平台满足主流应用并又一定的升级空间，使其更好地服务高校师生，促进校园信息化建设进程。

参考文献

[1] 张博.无线网络安全技术分析[J].信息安全与技术，2013.

[2] 李益.WLAN安全缺陷及解决方案的研究[J].信息安全与技术，2014.

[3] 宋振.全双工通信系统中干扰消除方法研究[J].中国新通信，2018.