《关于校园无线网络的构建介绍.docx》由会员分享,可在线阅读,更多相关《关于校园无线网络的构建介绍.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、关于校园无线网络的构建介绍关于校园无线网络的构建介绍晓斌安全性和可靠性首要考虑的就是安全性和可靠性,要防止操作人员误操作或者系统中某些故障引起的数据毁坏,同时要保护系统免受外部人员非法入侵和操作人员的越权操作。系统应该具备网络诊断和测试能力,实如今线故障恢复,同时关键设备和线路要实现实时备份,防止出现故障导致数据丢失。在规划和设计时,能够从3个方面进行考虑:第一,针对不同用户提供不同访问策略。这样,既能够知足不同用户在使用网络时的安全性,同时对有特殊需求的用户提供单独的访问服务,不会收到非法入侵;第二,保护无线网络中数据传输的安全性;第三,加强射频环境的监控,对非法扫描的行为进行定位,向其发送
2、警告并将其进行剔除。1.3可管理性和可维护性校园无线网络系统应该具有良好的可管理性和可维护性,能够对无线网络的工作参数进行集中管理,能够及时找到并排除故障。同时要求能够进行在线管理,要求设备模块做到即插即用。1.4可扩展性整个系统应该能够方便地进行功能和规模上的扩展,扩展时整个无线网络构架能够无需做大的改动,扩展后操作和管理形式不会发生大的变化。要做到系统具有可扩展性,就不能只考虑目前的需求,更要考虑之后很长时间内的需求。2无线网络系统方案的施行在进行高校校园无线网络系统设计时,主要考虑两个问题:第一是无线网络覆盖区域的状况以及网络设备的选型;第二是用户的上网方式和计费方式。下面对这两个问题进
3、行具体讲明。2.1无线网络覆盖区域和设备通过对校园环境的实地调研、分析以及对学校老师和学生的调查,将校园分为室内和室外两种无线网络覆盖区域。室内无线网络覆盖区域包括会议室、图书馆、阅览室、自习室、阶梯教室和食堂等;室外无线网络覆盖区域包括广场、花园、操场、停车场以及宿舍前面的休息区等。对于网络设备的选择,从兼容性和配置统一的方面来考虑,所选购的无线网络设备都是与原校园网络设备一样的品牌。所谓无线AP(AccessPoint),即无线接入点,是用于无线网络的无线交换机,也是无线网络的核心,是移动计算机用户进入有线网络的接入点。在本文设计的校园无线网络系统中,室外无线AP采用的是室外型大功率无线接
4、入点产品,其工作频段为2.4GHz,支持IEEE802.11n标准,内置500mW的双向功率放大器。由于室外场所的环境有所不同,无线网络的覆盖要求也会有差异,室外无线AP可根据这些条件的不同,配合相应的外接天线,在室外覆盖良好的无线网络信号。根据本次校园无线网络系统的规划与设计,室内AP,提供两路接入,共600Mbps,支持IEEE802.11n标准,能够为每个用户提供不低于10Mbps的无线连接速率,这样,不但能够知足现有校园网应用的带宽要求,同时,还能够为学校的视频、音频等多媒体资源的点播提供网络基础,知足高校将来信息化发展的要求。根据校园无线网络系统的要求,所选用的无线AC设备能够高效地
5、处理学生网络视频、音频和在线游戏、在线聊天等小包的数据流。同时,在校园网络系统的规划中,无线AP要提供双万兆的上连接口,为之后的无线应用扩展和升级预留带宽。2.2上网方式在高校校园无线网络系统中,服务的对象主要是老师、学生和学校领导、员工等,因而,校园无线网络具有覆盖范围广泛、使用者和使用时间不确定的特点。为防止非法使用者使用,更好地知足合法使用者的使用需求,本无线网络系统采用了基于SAM的Portal认证方式,只要向学校申请了无线网络服务的用户才能够使用。根据无线网络系统的设计,系统将根据使用时间对使用者进行收费,以时间计费。使用者在申请完成之后和使用之前,必须先交纳一定的费用,登录认证成功
6、之后开场计费,下线的时候停止计费,能够准确到秒,当余额缺乏时会自动下线或者拒绝登录。这种方式的详细操作方法是,首先在无线AC上建立无线VLAN,启动DHCP服务,会聚层的交换机以Trunk方式与无线AP相连接。当访问者试图连接无线网络的时候,都需要通过portal发起认证请求,只要认证成功后才能够上网,在认证成功之后,系统开场计时,这样在方便无线网络系统管理和维护的同时也能够防止非法使用者使用无线网络,更好地为合法使用者提供无线网络服务。由于是无线网络,使用者在使用经过中可能会存在移动位置的情况,为了让使用者在移动经过中实现无线遨游,在无线网络系统中,让集群中的多台无线控制器分享用户的数据库,
7、进而实现用户在整个网络中不同区域之间进行移动和跨越经过中无缝遨游。无线上网的流程如图1所示。2.3无线网络的安全在校园无线网络系统的规划与构建中,安全是重中之重,是系统成功与否的根本。因而,在系统中,要构建一个良好的安全体系,进而切实保护用户和系统本身的安全。(1)802.1X认证。在部署无线网络的安全体系时,能够采用802.1X和网络准入相结合的方式。这两者的结合能够很好地保证校园无线网络系统的安全。详细的操作方法是,当合法用户连接上无线AP之后,要求输入AP的连接密码,在合法用户输入密码之后,分配GUESTVLAN的IP,在GUESTVLAN中暂时不能访问任何资源。(2)网络准入。当用户被
8、分配GUTSTVLANIP地址之后,用户暂时不能对资源进行访问,此时,系统中的用户接入服务器,即网络准入,会自动对客户端上的准入代理进行联动,对用户的系统进行扫描,查看用户能否符合准入策略的要求,假如符合准入策略的要求,则会重新分配一个校园无线网络内网地址给用户,这样用户就能够使用学校的无线网络了。假如合法用户的密码被泄露,非法用户得到密码后去连接无线AP,连接以后要求输入密码,固然密码是正确的,但是当网络准入对用户系统进行扫描,会发现非法用户不符合网络准入检测,这样非法用户就会一直停留在GUESTVLAN中,有效地保护了校园无线网络内网不受非法用户的威胁。(3)数据加密。校园无线网络系统中的
9、认证机制和准入机制是构建安全体系的基础,数据加密也是安全体系中不可或缺的部分。在本次校园无线网络的构建中,所有AP与用户端之间的数据传输均采用的是AESCCMP加密,AESCCMP又称为WPA2,它支持AES加密算法,而AES能够为信息和数据提供128位的加密能力,这是WPA2与WPA最大的区别,所以AESCCMP的安全性比起WPA有了很大的提升。正是由于如此,在设备中参加WPA2支持已经成为了很多服务商的选择,而WindowsXP系统的补丁SP2中也集成了WPA2的支持。(4)身份认证。在校园无线网络系统的安全体系中,最重要的是身份认证,由于无线网络不同于有线网络,在无线网络中,攻击者不像有
10、线网络中那么容易被发现。假如身份认证这个关卡被攻破,校园无线网络会被非法用户使用,甚至会被攻击者恶意攻击。为有效地保护校园无线网络免受攻击,也为保护合法用户的权益不受损害,校园无线网络系统采用了EAP-FAST的身份验证方式来进行互相验证,同时为用户和进程提供动态加密密钥、物理地址和标准802.11验证机制。只要在身份验证时采用最安全的加密算法,才能有效保护用户输入的账号、密码不被抓包软件截获,也不会被黑客软件暴力解除。(5)GUESTVLAN。用户在通过802.1X之前只能访问有限的网络资源。所谓GUESTVLAN,是用户在通过802.1X认证之前处于的VLAN,用户在访问GUESTVLAN
11、内的资源不需要认证,但也只能访问极其有限的资源,比方从GUESTVLAN服务器上下载802.1X客户端软件、升级客户端、执行其它诸如杀毒软件、操作系统补丁程序等应用程序的升级,而不能访问其它的网络资源。这样设置的目的是为防止一些暂时没有安装认证客户端或者客户端版本过低的合法用户无法认证成功。在用户连接网络的时候,接入设备会把这个端口参加到GUESTVLAN,当认证成功之后,端口离开GUESTVLAN,这样用户就能够访问其它的网络资源了。2.4安全管理体系在构建校园无线网络系统时,不但要从技术方面建立安全体系,也要从管理方面进行安全体系的建设。主要从下面几个方面进行:(1)对校园无线网络的管理人员进行培训和教育,建立健全相关管理制度。(2)加强校园无线网络管理人员的安全意识和安全素养。(3)加强对系统运行环境的安全管理,制定相关制度,进行严格管理。(4)建立设备选型、采购、使用和维护的管理制度,对设备进行严格的审查和检测以及安全评估。(5)建立应急处理制度,对可能发主的突发情况制定应急处理方案。3结语社会的飞速发展和网络的快速普及,让校园无线网络的建设成为高校的基础建设之一。校园无线网络是老师、学生获取资源的重要手段,也为学校建立智能化教学系统、提高信息化水平起着宏大作用。因而,规划和构建一个良好的校园无线网络系统,将为学校实现数字化建设发挥重要作用。