无线网络及智能手机在现如今得到了广泛应用,无线网络为人们的生活提供了便利。但是在目前无线网络在校园建设中仍然存在一些不足,下面文章以山西广播电视大学为例,论述校园无线网络建设的总体需求和无线架构,目前山西广播电视大学仍然使用的是有线校园网,这些已不能满足学校综合科研和教学的需要。在校园构建无线网络已经十分重要,本文对山西广播电视大学无线网络架构的覆盖范围,安全稳定提出了设计思路。
关键词:山西广播电视大学,无线网络,互联网
山西广播电视大学是一所主要以利用互联网进行远程教学的高等学校,各种移动终端的使用和移动学习APP的广泛应用迫使校园无线网络全覆盖的建设。无线网络可以为全校师生提供无处不在、随时随地地接入互联网服务,为移动学习和办公平台的建立提供网络基础,使学校在教学、科研和管理等各项业务变得更加方便便捷,并能更好地服务于学校基于网络的远程教学、在线服务、教育资源共享等各种应用中。
一、我校校园无线网络建设目标
山西广播电视大学是一所主要以利用互联网进行远程教学的高等学校,其无线网络的建设目标就是利用校园现有的有线网络资源对校园网进行无线网络的延伸,以便能够在校园网内实现资源的共享,保证各有线终端和无线移动终端都能够联网,使校园网络的利用率有所提高,继而提高广大教职工和学生工作和学习的效率,提高学校的管理水平和管理层次。
有了无线网络的架设,在校园中,教职工和学生通过学校网络认证系统能够随时随地联网打开与外界交流沟通,校园中能够做到信息的及时共享,随时随地都能学习。教师可以对自己的课程下发作业,能够对学生进行辅导。学生可以利用网络进行学习、交流和组织活动,极大地提高学习效率。学校管理人员也可以接入办公系统,让移动网络无处不在,让办公系统发挥更大的作用。随时都能学习、办公和生活,促进学校数字化校园智慧化校园更好的建设。
二、我校校园无线网络建设总体需求
无线覆盖范围。为了满足学生和教职工在大型的公共场所能随时随地使用无线网络,此次规划的无线覆盖范围涵盖综合办公楼、各种大小会议室、阅读室、招生办等室内,还包括室外可以覆盖操场、食堂等区域。无线网络安全。由于在无线网络环境下无线终端是通过搜索无线信号进行网络连接这一特性决定了在安全管理方面比有线网络具有更高要求和更大难度。要做到接入用户认证,识别用户分类,安全审计用户信息等。便捷易用,稳定可靠。
在接入认证方式上分教师、学生和访客三种身份,要做到一次登录认证,下次无需认证; 要做到在校园内不同场所无需人工切换,无需重复认证。还要做到使用者在使用无线网络时不中断、不掉线、不卡顿等。运营维护管理。方便管理者管理和维护各种不同型号、安装在不同场所中的无线 AP,确保能全面监控所有接入 AP 运行情况,精准定位故障 AP。与原有线网络兼容。为了提高设备利用率,减少不必要的投资,无线网络往往是建设在有线网络的基础上,利用原有线网络核心设备,比如核心、汇聚交换机、认证系统等,与有线网络共用一套认证系统,同一个账号既可以在有线网络上使用,也可以在无线网络上使用,使用相同或者不同的认证策略以及访问控制策略。
三、我校校园网无线覆盖实施方案
( 一) 校园无线网网络架构选择
目前,无线网络覆盖的网络架构有传统的自治型无线接入点即“胖 AP”和“无线交换机+瘦 AP”两种。其两者不同点在于“胖 AP”所有管理与配置集成在设备自身,每个无线设备自己管理,没有全局的统一管理,更没有对无线链路、无线设备和无线用户等的监测与管理、故障排查、流量控制和审计等功能,比如家用的无线 AP 小路由器。而“无线交换机 + 瘦 AP”这种解决方案全部集中在无线控制器上管理控制,并通过控制器后台可以直观地对全网接入设备进行统一的、批量的发现、升级、配置,甚至包括对无线链路的监测,对无线用户的管理。在全局的统一管理、统一安全、统一认证和设备自身的安全性等方面进行对比,结合学校实际情况,适合采用“无线交换机 + 瘦 AP”这种解决方案。
( 二) 校园无线网络结构
为了提高设备利用率,减少不必要的投资,我校无线校园网络建设直接在原有线网络的基础上进行叠加。即利用原有线网络核心设备,比如核心交换机、认证系统等,将 AC无线控制器部署在校园网核心机房,旁挂于内网核心交换机上。
(三) 校园无线网络覆盖设计
室内场景覆盖。图书馆、会议室等这类用户数量多,空间面积大,接入终端多且支持频率不同的室内场景采用室内高功率双频 AP,根据具体施工情况和安装效果选择吸顶或面板式安装方式。室外场景覆盖。室外这类场景有一个典型特点就是:室外环境复杂,有雷雨等天气影响。AP 需要具体防尘防雨等特点。将 AP 部署在人员密集区域,不仅需要满足终端接入还需要满足信号的稳定性和较高的终端接入数。对于室外环境,采用高性能、高吞吐量、高用户并发等优异的性能AP。
(四) SSID 规划和信道规划便于用户使用无线网络,使用 SSID 进行广播,针对学生、教师和访客等不同的用户群体,在无线 AP 上设置不同的 SSID,同时不同的 SSID 采用的接入认证方式不同,并通过无线控制器 AC 针对不同的 SSID 设置不同的访问控制策略等。信道规划。学校无线网络部署的是双频 AP,即一个AP 可以同时发射 2. 4G 网络和 5G 网络,使用 2. 4GHz 网络,为保证信道之间不相互干扰,通常采用 1、6、11 三个信道,要求两个信道之间间隔 5 个信道以上,比如采用 1、6、11三个信道。对于 5GHz 网络来说,最多可以提供 5 个不重叠的信道同时工作,在我国一共开放了 5 个信道,分别是149、153、157、161、165 信道,这 5 个信道相互之间不重叠,为互不干扰信道,这样可以有效降低无线干扰,提高无线上网速度。除此之外,国家针对于 802. 11 AC 新一代无线网络,也逐渐开放了更多的频段,拥有 13 个不重叠、不干扰的无线信道。5G 网络具有无线传输快、环境干扰小的优势。
( 五) 校园无线网络安全性设计
无线接入认证。对于不同的使用者,可以做不同的认证方式。教师通过无线办公可以使用 802. 1X 的无感知认证方式。对于学生可以采用 Portal 账号认证,免除了繁琐的认证方式。对于访客则可以通过微信短信等认证手段来提高宣传的力度,增强学校的整体形象。无线空口安全。无线校园网的无线空口安全威胁主要来自非法接入点、空口窃听、恶意攻击。非法接入点。非法接入点,如私接无线接入点、共享热点、AD - Hoc 等,其威胁主要是对校园无线网的干扰以及诱使用户接入从而盗取用户信息,通过无线控制器 AC 的检测功能检测无线环境中存在的攻击和危险行为,实时告警并产生日志,并对指定类型的攻击对象执行反制。
空口窃听,众所周知,无线网络是以空气为介质进行传播的,数据通常被暴露在空气中,恶意访问者利用无线空口抓包工具进行破解账号密码、数据分析等,对无线校园网造成安全隐患,通过对无线空口进行 WPA/WPA2 /WAPI 等安全加密,或采用高安全性的 Portal 安全认证方式,对用户认证数据以及业务数据进行安全加密,防止空口数据被窃听。恶意攻击。在校园网络中典型的恶意攻击包括 D -dos 攻击、Ping 攻击、ARP 欺骗攻击,D - dos 攻击、Ping 攻击等洪泛攻击可以使主机资源被耗尽,从而达到攻击的目的,致使服务器瘫痪、无法访问的情况。可以通过在无线层面的攻击检测技术,将攻击终端加入到动态黑名单中冻结一段时间并产生告警通知,有效预防 AP 接入资源、服务器等资源被耗尽。同时,不影响其他终端的正常接入。
访问控制,可以利用无线控制器的应用访问控制,将控制策略下发到 AP,从而实现对内外网的访问权限控制,保证无线校园网的安全性。另外,互联网资源极其丰富,但却良莠不齐,学校作为提供互联网上网服务单位,有义务规范学生的上网行为。将违法、违规、暴力、黄色等不良网页过滤掉,净化网络环境; 同时过滤钓鱼网站、恶意广告、垃圾博客,防止用户不慎访问不受信的网站带来的上当受骗。行为审计记录。为了进一步保证学校的信息安全,对特定的系统资源以及网络舆论进行保护,对与学校的系统、BBS 论坛、贴吧等相关的网络行为进行审计记录,当疑似出现安全问题时,能够做到有迹可循。针对于无线用户的上网行为审计,包括但不限于 http外发内容、访问的网站和下载、邮件、ftp、telnet、其他网络应用、网页内容、ACL 拒绝行为以及上网流量与时长控制。
( 六) 校园无线网络稳定快速设计
通过流量控制等措施确保校园无线网络稳定快速。由于互联网各类应用程序所需的带宽越来越大,可视化视频应用越来越多,对出口带宽的需求很大。如何能合理地利用有限的带宽,根据用户类别、应用类型和时段等不同因素设置不同的流量极为关键。此次校园网无线覆盖要求:
1. 根据业务类型进行流量控制,比如可以按照 P2P 下载、FTP 下载、视频、网页浏览等应用进行流量控制,并设置一定的优先级,比如教务管理系统、会议视频系统等学校业务应用进行流量的优先设置,这样可以避免占用带宽大的网络应用影响重要业务应用的正常使用;
2. 根据用户类型,针对学生、教师和访客等不同身份进行带宽的分配,比如为教师分配相对带宽大一点,对学生则统一分配一定额度带宽等;
3. 根据使用无线的时间段进行流量控制,针对不同应用、不同的用户等在不同时间段进行合理的流量控制; 4. 还可以根据实际带宽使用情况,实时调整通道流量。这样可以合理分配带宽资源,提高带宽利用率。
( 七) 校园无线网络高可靠性设计
通过 AP 灾备冗余、认证服务器冗余等措施确保校园无线网络可靠性。AP 灾备冗余。基于 AC + FIT AP 网络架构,AC 作为无线网络中最核心的设备,当 AC 宕机之后,无线网络将变得不可用,通过 AP 灾备冗余方案,当 AP 与无线控制器因外界因素( 如 AC 宕机、控制器与核心交换机网线断开) 造成的通信连接断开后,自动启用应急策略或应急 SSID,新接入的用户会划分到指定的应急 VLAN 以及分配相应的应急角色,仍然能保证用户正常上网以及新用户的认证接入,当网络恢复正常时,这些用户会从灾备角色中剔除,提高网络的稳定性和可靠性。
认证服务器冗余。无线校园网利用原有线网络的外置认证服务器进行统一认证,无线网络可关联多个 Radius 服务器,实现认证服务器的冗余备份,当一台 Radius 服务器宕机后,另一台 Radius 服务器继续提供服务,为用户提供可靠的接入服务。另外,通过认证服务器逃生功能,即使当无线网络关联的全部认证服务器都宕机后,依然能保证用户正常上网以及新用户的认证接入,提高网络的稳定性和可靠性。
( 八) 校园无线网络运营维护设计
由于无线 AP 分布较点数较多、地域较广,给运营维护和管理方面带来一定困难。通过无线控制器统一集中管理平台,对无线 AP 统一下发配置,对无线 AP 进行图形化管理,根据图形显示情况,确定故障点。还可以通过对部署在覆盖目标的 AP 进行分组管理,比如按照建筑物划分管理组,方便 IT 管理员管理运维。同时,IT 管理员可在控制器上可统一查看所有 AP 的运行情况( 如 AP 接入用户、AP 带宽使用情况、设备利用率、AP 在线情况等) ,当 AP 设备出现异常或故障时,会出现告警事件,帮助 IT 管理员及时排除问题。
( 九) 校园广告
当然校园网无线覆盖不仅可以方便用户使用网络,还可以针对不同用户推送一些新闻公告等信息,主要包括Wi Fi 入口广告推送、推广学校公众号和用户行为精准推送等。Wi Fi 入口广告推送。在 Wi Fi 入口进行校园广播等信息展示,访客连入 Wi Fi 时,会观看到推送的公告信息。学校可以根据楼层、区域的不同推送不同的 Wi Fi 入口信息,比如: 当用户连接校园东区无线网时,提示校园东区等信息; 并且可以强制用户观看一定时间的公告之后才可以点击我要认证上网。
推广学校公众号。学校为用户提供免费的无线网络,访客通过关注学校微信公众号获得上网资格,有效帮助学校推广教学资源以及提高学校整体形象。当学校需要发布消息时,可以在微信平台发布。提高了学校发布信息的效率。用户行为精准推送。当用户使用学校 Wi Fi 时,用户行为精准推送,会根据用户在百度、谷歌等网页搜索引擎内容进行信息推送( 需管理员设置好关键字组对应的广告,比如搜索“图书”时推送学校相应的书籍内容) ,推送形式支持网页内嵌 banner 广告、微信、短信等方式。
四、结语
无线网络的覆盖弥补了传统有线网络的不足。满足了师生随时随地通信、学习等办公、学习和生活的需要,同时也为我校提供了日常生活、办公和学校管理紧密相连的信息化平台,也提高了整个网络的性能。但本文只是针对我校无线校园网络建设的总体需求和无线网络架构、无线网络结构、覆盖范围、安全、可靠、稳定以及维护方面等实施方案提出的一种设计思路,具体实施中还需要针对具体校园环境和实际应用需求进行不断改进、完善和优化。在以后无线网络建设和使用过程中,应对无线网络进行合理分布、配置优化。在网络安全方面,要完善管理制度。随着无线体系的逐步完善,无线网络使我们生活和学习真正享受无线的乐趣。
参考文献:
[1]邓宁.校园无线网络建设方案实例探讨[J].中国教育技术装备,2015( 20) .
[2]徐莹,石坚.基于 WLAN 的校园无线网络的规划与设计[J].电子测试,2015( 23) .
[3]陈瑞.无线网络故障分析及其解决策略[J].山西广播电视大学学报,2013( 3) .
相关阅读:山西广播电视大学学报论文发表
论文指导 >
SCI期刊推荐 >
论文常见问题 >
SCI常见问题 >