杨 莉

（三门峡职业技术学院，河南 三门峡 472000）

0 引 言

随着计算机技术的不断发展，尤其是5G技术的发展，无线网络已经成为高校师生学习、生活不可获取的部分。因此，某高校要结合自身特点构建完善的无线网络系统，实现无线网络的全覆盖。

1 高校计算机无线网络系统构建的目标

计算机无线网络最早在北京大学实施。2004年9月英特尔公司联合CERNET宣布推出中国无线大学计划，促进了无线网络在高校的应用。2019年教育部出台了教育信息化2.0行动计划，为高校无线网络建设提供了行动指引。基于校园数字化建设的不断发展，构建安全、稳定的无线网络系统是适应高校教学工作的内在要求。一方面基于高校网络教学模式的发展要求，高校要构建安全稳定的无线网络系统，其中线上教学成为高校教学工作的重要组成部分，而线上教学必须依赖稳定的无线网络系统；另一方面，无线网络系统的构建弥补了有线网络的不足，即有线网络存在前期规划设计不足、有效接入点利用率不高的缺陷，而无线网络系统依托架构简单、管理方便的特点弥补了有线网络的缺陷。

随着移动终端设备的不断发展，高校无线网络建设需要满足以下几方面要求。

（1）稳定的无线覆盖。基于无线网络在高校教学中的重要性，为了保证无线网络信号传输的稳定性，避免无线信号被周围环境影响而导致网络传输差出现卡顿等现象，高校无线网络建设必须要保证新建的无线网络系统具有稳定的信号传输性能。

（2）安全的无线覆盖。无线网络基于无线信号的开放性，因此在高校无线网络建设过程中如何阻止未授权用户接入无线网络是高校无线网络系统建设所要解决的关键问题。尤其是在电子商务经济发展的环境下，无线网络已经成为高校师生消费的重要技术支撑，如校园一卡通等都依赖于无线网络的支持，所以无线网络覆盖安全性必须要设置无线网络安全防护技术。

（3）可扩充的无线覆盖。无线网络技术处于不断完善发展的过程，高校需要根据无线网络技术的发展不断更新校园无线网络系统，因此构建无线网络时必须要保证系统具有可扩充性。例如，基于Wi-Fi 6的发展，高校要及时更新升级无线网络，以满足教学需求[1]。

2 网络基本结构与安装部署方案

2.1 网络结构设计

基于高校建设规模的不断扩大和在校生人数的增加，现有的有线网络系统已经不能满足高校网络教学工作及师生的学习、生活要求。因此，根据高校建筑结构布局，在位于高校正中心的图书馆6楼设定无线网络控制机房。考虑到无线网络出现故障可能会影响高校正常的教学秩序，因此采取独立成网的无线网络结构，以避免有线网络出现故障后无线网络无法使用的弊端。考虑到无线网络需要覆盖整个校园，如宿舍、教学楼、食堂以及家属院都要含有无线网络信信号，因此某高校无线网络采取3层网络结构的方式，即接入网（以每栋建筑物为单位，布置若干接入交换机）、中间层的汇聚网（主要是根据用网需求将交换机中的信号汇集到汇聚交换机，以实现对交换机无线信号的分配）以及顶层的核心网（将汇聚交换机连接到核心交换机中，以实现与外网的连接）。

2.2 校园WLAN部署

实务操作中，无线AP设置主要分为胖AP和瘦AP两种模式。胖AP带有完整的操作系统，可以独立实现拨号、路由器等功能。瘦AP是去掉路由、DNS等功能，仅保留无线接入部分，是无线局域网的重要部件，必须配合AC才能实现无线网络设计。虽然胖AP具有独立的操作系统，但是比较适用于对覆盖面积较小的家庭、小型办公场景等。因此，基于某高校无线网络设计的总体要求，采取“瘦AP+AC”的模式。本着节省资金，尽可能降低对现有网络的改动，采取将AC旁挂在汇聚交换机上的方式，并且部署2台做冗余备份，具体见图1。

图1 某高校WLAN部署

2.3 无线AP部署

无线网络实现全覆盖的关键是要根据覆盖范围设计相应的AP。基于节省成本的原则，高校在设置AP时考虑到了系统容量最大原则。由于该高校主要是在教师、图书馆、宿舍以及食堂设置无线网络，而不同场景对于无线网络的需求不同，因此AP部署也不同。

教室AP部署。由于教室无线网络主要是服务于教学工作，而教室教学使用无线网络的要求主要是服务于本教室师生，因此带宽需求相对较小，具体的覆盖需求为能够满足用户的下行容量2M，上行容量1M即可。因此，考虑到教室面积，选择在每层教学楼的天花板安装3个AP的设计结构，见图2。

图书馆AP部署。由于图书馆属于高密集人群场所，基于数字化图书馆建设的要求，为了满足师生用网需求，在图书馆的每间借阅室内安装6个AP，在走廊安装6个AP。这样既能满足师生浏览网络的需求，也能最大程度节约网络资源。

图2 A3栋教学楼AP布置结构图

学生宿舍。学生宿舍是无线网络使用的主要场所，如学生通过无线网络浏览网页、登入网课系统、购物以及玩游戏等。同时，宿舍无线网络使用时间相对集中，并发率较高，在无线网络AP部署时需要考虑上述因素，要保证无线网络信号覆盖率达到100%的效果。因此，在每间宿舍内设置1个AP，在走廊内每隔10 m设置1个AP[2]。

3 高校无线网络系统安全应用的技术措施

针对无线网络开放性特点，高校无线网络系统构建必须要关注网络安全问题。因此，在具体的规划设计中采取以下安全防范技术。

3.1 用户接入认证

由于无线网络具有开放性，为了保护师生个人信息安全，需要在无线网络部署设计中实施用户接入认证技术。目前，对用户的网络接入进行认证的方式主要包括短信认证、微信认证、802.1X认证以及CA双向证书认证等。传统的802.1X认证需要在终端安装客户端软件，这样会出现兼容性问题，增加了后续的工作量。因此，考虑到高校的实际情况，本次选择IPOE认证方式。学生的认证账号为学号，密码为身份证号码后8位。初次登录时，系统会提示修改密码。

3.2 无线非法入侵和非法拦截技术

在无线网络构建过程中，无线管理系统需要及时检测与拦截非法入侵的无线网络，以保护师生的用网安全。对于非法入侵的检测设计，主要通过AC交换机的网管系统检查校园网内是否有未授权的AP。未授权的无线AP接入点会被同最近的AP通过所发出的802.11De—A uth所切断[3]，即通过不停地发出802.11 De—A uth包直到已经连接的无线终端连接被打断。另外，系统中还要实施数据加密技术，即利用无线网络传输时要对数据进行加密处理，从根本上保证数据的安全性。

3.3 上网权限管理

无线网络系统虽然为师生提供了便利条件，但是也存在学生利用无线网络在上课期间玩游戏的现象。针对该问题，在无线网络设计中实施上网权限管理，根据用户的身份、终端种类以及地理位置等进行访问规则设置，以确保信息数据在授权范围内合法使用。为了防止学生通宵玩游戏的现象，高校将宿舍无线网络进行了时间设置，规定22：30到次日5：30断网。该高校在上网权限上主要通过设置SDXY_Teacher和SDXY_Student两个服务集标识（Service Set Identifier，SSID）信号实现。SDXY_Teacher主要分配给教师使用，便于教师从事办公工作，主要通过该信号进入到学校的科研系统、慕课网站以及教务系统；SDXY_Student主要是供学生使用，可以接入到高校的教务系统、各种学习网站，以实现数字化教学，同时有效阻断了系统与游戏网络的接入[4]。

3.4 设置防钓鱼AP

针对当前网络黑客利用AP非法入侵用户网络系统的弊端，高校根据无线网络布局结构，在图书馆、会议室等安全要求高的场所设置防钓鱼AP，以实时扫描无线信号，从而根据防钓鱼AP系统识别钓鱼信号，然后系统将识别信息反馈给后端无线控制系统，由系统对前端反制AP下发并执行反制命令。AP接收到命令，发射对应钓鱼信号的无线解关联数据帧给已链接该钓鱼信号的终端设备，终端设备接收到解关联数据帧后，通过打断手机终端与钓鱼AP的关联隧道。这样即使用户可以看到钓鱼无线信号，但是其不能与之联网，从而有效保护了师生的个人信息安全。

通过对该高校无线网络系统构建运行成效分析，经过一段时间的运行测试可知，构建的无线网络系统能够满足师生用网需求，大大提升了无线网络系统的安全性。

4 结 论

基于高校数字化教育模式的发展，构建安全、高效、全覆盖的无线网络系统是促进高校智能化教学发展的重要基础。因此，高校要结合师生特点，依托现有网络架构不断优化与改造无线网络系统，为师生提供安全的网络环境。