肖品輝

摘要：隨著中國高等教育的高速發(fā)展，對校園網(wǎng)的接入方式提出了更高的要求。相對傳統(tǒng)的校園有線網(wǎng)絡(luò)而言，無線網(wǎng)絡(luò)具有移動性、靈活性等優(yōu)勢。該文就如何在校園中搭建無線網(wǎng)絡(luò)環(huán)境，及對常見無線安全網(wǎng)絡(luò)問題進(jìn)行具體分析，以促進(jìn)wifi在校園網(wǎng)中的應(yīng)用和普及。

關(guān)鍵詞：校園無線網(wǎng)絡(luò)；AP；局域網(wǎng)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）22-5204-02

1 校園無線網(wǎng)絡(luò)現(xiàn)狀與前景

隨著通訊技術(shù)的不斷發(fā)展和普及，國內(nèi)高校對于校園網(wǎng)的要求也越來越高，校園有線網(wǎng)絡(luò)已經(jīng)很難滿足師生的教學(xué)與科研需求。為了進(jìn)一步提升學(xué)校的綜合實(shí)力，越來越多的高等院校在校園內(nèi)部署無線網(wǎng)絡(luò)。一方面，無線網(wǎng)絡(luò)有效緩解了傳統(tǒng)有線網(wǎng)絡(luò)的覆蓋問題，另一方面，無線網(wǎng)絡(luò)為教師和學(xué)生提供了更加靈活的網(wǎng)絡(luò)接入方式，同時也提高了學(xué)校的信息化建設(shè)水平。目前無線網(wǎng)絡(luò)技術(shù)日臻成熟，應(yīng)用也越來越廣泛，隨著3G、4G等無線通信技術(shù)的推廣以及國家信息產(chǎn)業(yè)政策的扶持，校園無線網(wǎng)絡(luò)勢必會得到進(jìn)一步的發(fā)展。

2 校園無線網(wǎng)絡(luò)的應(yīng)用區(qū)域

與傳統(tǒng)有線校園網(wǎng)對比，校園無線網(wǎng)絡(luò)具有搭建快速，布線靈活，服務(wù)移動化等特點(diǎn)。無線技術(shù)在校園網(wǎng)中的主要應(yīng)用區(qū)域有：

1） 綜合布線困難的區(qū)域：如大型報告廳，體育場館，戶外臨時會場，食堂等場所，采用無線局域網(wǎng)技術(shù)，可以快捷方便地搭建臨時網(wǎng)絡(luò)接入平臺，節(jié)省開支，有效優(yōu)化網(wǎng)絡(luò)管理。

2） 學(xué)校圖書館，教學(xué)樓等大型公共區(qū)域：由于有線網(wǎng)絡(luò)接入端口數(shù)量有限以及使用時無法擺脫網(wǎng)線的束縛，導(dǎo)致用戶網(wǎng)絡(luò)接入困難。如果在這些區(qū)域建設(shè)校園無線網(wǎng)絡(luò)，就能很方便地擴(kuò)充現(xiàn)有的網(wǎng)絡(luò)接入容量。

3） 休閑場所：師生戶外環(huán)境隨時隨地接入網(wǎng)絡(luò)，查找資料，收發(fā)電子郵件。

3 校園無線網(wǎng)絡(luò)的搭建

隨著智能手機(jī)、平板電腦等便攜設(shè)備越來越頻繁地出現(xiàn)在校園日常生活中，無線網(wǎng)絡(luò)已成為高校校園網(wǎng)的重要組成部分，而不僅只是傳統(tǒng)有線網(wǎng)絡(luò)的補(bǔ)充和延伸。下面就如何搭建一個穩(wěn)定、高效，安全的校園無線網(wǎng)絡(luò)做出一個簡略的建設(shè)方案：

3.1 建設(shè)目的

根據(jù)當(dāng)前校園網(wǎng)的實(shí)際情況，首先確立校園無線網(wǎng)絡(luò)的建設(shè)目的：利用傳統(tǒng)有線網(wǎng)絡(luò)做為校園骨干網(wǎng)，無線網(wǎng)絡(luò)作為擴(kuò)容補(bǔ)充，實(shí)現(xiàn)網(wǎng)絡(luò)接入方式的多樣化，同時加強(qiáng)教學(xué)的互動效果。以實(shí)用性為原則，盡量保留原有的網(wǎng)絡(luò)設(shè)備，最小代價升級網(wǎng)絡(luò)系統(tǒng)，并保證兼容各種應(yīng)用系統(tǒng)，加快學(xué)校信息化數(shù)字校園的建設(shè)步伐。

3.2 規(guī)劃以及設(shè)計

1）根據(jù)實(shí)際情況，確定建設(shè)目標(biāo)：網(wǎng)絡(luò)設(shè)計初期應(yīng)充分考慮整個無線網(wǎng)絡(luò)的規(guī)模，AP的分布，網(wǎng)絡(luò)總出口帶寬大小，無線覆蓋的范圍等問題。

2）選定合適的通信協(xié)議：采用 802.11n的無線通信協(xié)議，同時保證向下兼容 802.11a、802.11b、802.11g 等早期無線網(wǎng)絡(luò)通信協(xié)議。做好頻率規(guī)劃，確保AP間最小干擾，實(shí)現(xiàn)2.4G/5G 雙頻在線。

3） IP規(guī)劃：調(diào)查統(tǒng)計無線網(wǎng)絡(luò)用戶的最大同時上網(wǎng)人數(shù)，分配合適的IP段，同時配置好DHCP服務(wù)器。

4）組網(wǎng)模式：采用 Fit AP+AC的搭建方案，集中化管理AP，達(dá)到AP無線信道和發(fā)射功率自動調(diào)整，QOS快速配置等目標(biāo)。

5）安全認(rèn)證計費(fèi)模式：從安全和校園網(wǎng)的運(yùn)營角度考慮，增加認(rèn)證計費(fèi)模塊，采用 802.1x+RADIUS認(rèn)證技術(shù)以確保校園無線網(wǎng)絡(luò)的安全穩(wěn)定和長久發(fā)展。

6）設(shè)備選型：根據(jù)現(xiàn)有的校園網(wǎng)結(jié)構(gòu)和建設(shè)的實(shí)際要求選擇合適設(shè)備，保證采購的設(shè)備支持802.11 a/b/g/n 協(xié)議、多種無線安全加密方式、QOS管理、ACL過濾、POE供電等功能。綜合考慮多個知名品牌的產(chǎn)品，最后確定采購的設(shè)備型號。

3.3網(wǎng)絡(luò)測試

1）覆蓋范圍測試： 通過智能手機(jī)，平板電腦或者筆記本等便攜設(shè)備，安裝無線信號強(qiáng)度測試軟件，在AP的不同距離段進(jìn)行多方位移動測試，記錄各點(diǎn)的信號強(qiáng)度，再調(diào)整AP位置或者增加發(fā)射功率，確保各區(qū)域不存在網(wǎng)絡(luò)盲點(diǎn)。

2）可靠性測試： 通過網(wǎng)絡(luò)分析軟件發(fā)送大量數(shù)據(jù)包，使整個區(qū)域無線WLAN處于滿負(fù)荷工作狀態(tài)。期間監(jiān)測并記錄整個網(wǎng)絡(luò)運(yùn)行狀況，分析錯誤故障的次數(shù)是否在正常的范圍內(nèi)。

3）吞吐量測試：利用網(wǎng)絡(luò)工具，發(fā)送大量的不同長度的幀到被測試網(wǎng)絡(luò)中，監(jiān)測一段時間內(nèi)整個網(wǎng)絡(luò)的丟包率。確保上網(wǎng)高峰期，不會發(fā)生網(wǎng)絡(luò)擁塞。

4）響應(yīng)時間測試：通過PING命令獲取網(wǎng)絡(luò)接入點(diǎn)到各個無線網(wǎng)關(guān)的平均響應(yīng)時間，排查產(chǎn)生瓶頸的網(wǎng)絡(luò)設(shè)備，保證網(wǎng)絡(luò)的響應(yīng)時間。

4 校園無線網(wǎng)絡(luò)的安全威脅

無線網(wǎng)絡(luò)具有傳統(tǒng)有線網(wǎng)絡(luò)無法比擬的諸多優(yōu)勢，但其與生俱來的不安全因素也一直讓人詬病。無線網(wǎng)絡(luò)中常見的安全威脅有：

4.1 DOS攻擊

隨著無線技術(shù)的發(fā)展，DOS攻擊不僅針對于有線網(wǎng)絡(luò)，也越來越多的把攻擊的方向指向了無線網(wǎng)絡(luò)。DOS攻擊者利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請求，使被攻擊主機(jī)無法及時處理其它正常的請求。

4.2 密鑰破解

為解決無線網(wǎng)絡(luò)的安全問題，無線網(wǎng)絡(luò)采用了密鑰認(rèn)證的方式來識別接入用戶的合法身份。常見的保密協(xié)議包括 WEP，WPA，WPA2等。攻擊者通過偽裝合法用戶，請求重新連接的方式，截獲握手包。然后通過分析握手包，得到正確的網(wǎng)絡(luò)訪問密鑰。WEP是早期最普遍的無線加密機(jī)制，同時也是非常脆弱的安全機(jī)制。目前破解WEP密鑰的方法越來越成熟，攻擊者可以輕松獲得認(rèn)證密碼。WPA、WPA2相對安全，攻擊者想要破解得到正確密鑰，一般通過密碼字典進(jìn)行暴力破解，破解難度則取決于無線網(wǎng)絡(luò)的密鑰強(qiáng)度。

4.3 網(wǎng)絡(luò)竊聽

WIFI網(wǎng)絡(luò)通過電波作為媒介傳播信號的特性使得網(wǎng)絡(luò)竊聽成為一個非常大的安全隱患。一旦攻擊者破解得到無線網(wǎng)絡(luò)密鑰，就可以對網(wǎng)絡(luò)中的其他用戶的數(shù)據(jù)進(jìn)行嗅探分析，并可能通過分析網(wǎng)絡(luò)數(shù)據(jù)包，截獲合法用戶的用戶名、密碼、郵件信息等個人敏感數(shù)據(jù)。

5 校園無線網(wǎng)絡(luò)的安全策略

雖然無線網(wǎng)絡(luò)的安全威脅很多，但只要合理應(yīng)用安全策略就能有針對性地減少無線網(wǎng)絡(luò)中的安全風(fēng)險。主要的安全策略如下：

1） 升級早期無線網(wǎng)絡(luò)設(shè)備的固件版本，設(shè)置更多的安全選項。

2） 隱匿SSID，開啟MAC名單過濾，導(dǎo)入合法的IP-MAC表。

3） 采用SSL等安全通信協(xié)議保護(hù)管理配置通信，限制管理ip的范圍，更換默認(rèn)的管理登陸口。

4） 盡量使用安全等級更高的加密保護(hù)方式，推薦使用WPA或者WPA2。

5） 設(shè)置密碼時，盡量采用強(qiáng)密碼，不建議密碼當(dāng)中包含個人信息。最大可能避免密鑰被暴力字典破解。

6） 更換無線網(wǎng)絡(luò)設(shè)備的缺省網(wǎng)關(guān)，配置防御DOS策略。

7） 限制使用無線網(wǎng)卡與AP相連的BSS模式。

6 結(jié)束語

無線網(wǎng)絡(luò)在高校信息化過程中扮演著越來越重要的角色，在高校組建或升級無線網(wǎng)絡(luò)的過程中，我們要根據(jù)本校的實(shí)際情況，規(guī)劃不同的網(wǎng)絡(luò)升級方案，確保校園無線網(wǎng)絡(luò)系統(tǒng)的穩(wěn)健性和安全性。同時可以借鑒已經(jīng)實(shí)現(xiàn)校園無線網(wǎng)絡(luò)工程的高校的建設(shè)與應(yīng)用經(jīng)驗，少走彎路，摒棄過時的技術(shù)標(biāo)準(zhǔn)，搭建一個現(xiàn)代化的無線局域網(wǎng)，使無線網(wǎng)絡(luò)平臺更好地服務(wù)高校師生，促進(jìn)校園信息化建設(shè)進(jìn)程。 （下轉(zhuǎn)第5208頁）

（上接第5205頁）

參考文獻(xiàn)：

[1] 陳卓. 無線局域網(wǎng)在校園網(wǎng)中的應(yīng)用[J]. 南京廣播電視大學(xué)學(xué)報，2005（4）.

[2] 丁家鳳. 無線網(wǎng)絡(luò)在圖書館應(yīng)用時的安全分析與防范策略[J]. 高校圖書情報論壇， 2007（12）：75-78.

[3] 周航，朱秀麗. 校園無線網(wǎng)絡(luò)的安全分析與防范策略[J]. 周口師范學(xué)院學(xué)報， 2012，29（5）：104-106.

[4] 張藝萌. T校園無線網(wǎng)絡(luò)的建設(shè)和應(yīng)用[J]. 陜西廣播電視大學(xué)學(xué)報， 2009.06，11（2）：16-19.