王 琦

(中央社會主義學(xué)院，北京 100081)

隨著教育信息化的發(fā)展，社會主義學(xué)院對移動辦公、移動學(xué)習(xí)的需求也相應(yīng)增加，特別是智能手機(jī)、PAD 等相關(guān)終端APP 應(yīng)用的快速普及，迫切需要建設(shè)覆蓋教學(xué)、辦公樓宇的無線網(wǎng)絡(luò)環(huán)境。采用適應(yīng)國際主流的無線網(wǎng)絡(luò)技術(shù)，研究社會主義學(xué)院無線網(wǎng)絡(luò)建設(shè)目標(biāo)和建設(shè)原則，探析無線網(wǎng)絡(luò)部署、安全設(shè)計、防病毒和無線入侵檢測以及校園無線網(wǎng)絡(luò)管理方面的問題，并提出解決方案已成當(dāng)務(wù)之急。

一、社會主義學(xué)院無線網(wǎng)絡(luò)建設(shè)目標(biāo)和建設(shè)原則

無線網(wǎng)絡(luò)建設(shè)是一項復(fù)雜的系統(tǒng)工程，在實(shí)際建設(shè)過程中，不同地區(qū)、不同行業(yè)、不同領(lǐng)域，建設(shè)的目標(biāo)和原則各不相同。綜合考慮社會主義學(xué)院無線網(wǎng)絡(luò)建設(shè)需求、技術(shù)、管理及高校的先驅(qū)經(jīng)驗，要明確以下建設(shè)目標(biāo)和建設(shè)原則。

(一)建設(shè)目標(biāo)

要求完成辦公、教學(xué)樓宇全方位立體式無線覆蓋，保證被覆蓋的網(wǎng)絡(luò)訪問流暢，教職工可以依托無線網(wǎng)絡(luò)完成教學(xué)科研以及辦公事務(wù)，學(xué)員可以輕松接入數(shù)字圖書館、在線學(xué)習(xí)等應(yīng)用系統(tǒng)獲取資源，訪客可以順暢的訪問互聯(lián)網(wǎng)絡(luò)。同時，盡量利用現(xiàn)在的有線資源，保護(hù)原有投資。

(二)建設(shè)原則

社會主義學(xué)院無線網(wǎng)絡(luò)建設(shè)以“安全快速、操作簡易、統(tǒng)一管理、利舊兼容”為建設(shè)原則。

安全快速:基于無線網(wǎng)絡(luò)無實(shí)質(zhì)物理鏈路的特性，決定了無線網(wǎng)絡(luò)具有可廣泛接入的隱患。因此，無線網(wǎng)絡(luò)建設(shè)首先要具備高安全性，必須通過技術(shù)手段提供完整的安全防范措施。在保證安全的情況下，無線網(wǎng)絡(luò)信號可覆蓋區(qū)域和強(qiáng)度決定了接入速度的體驗，因此，在校園設(shè)計無線網(wǎng)絡(luò)時，需要根據(jù)現(xiàn)場的實(shí)際情況有針對性地部署，以保障無線網(wǎng)絡(luò)高速快捷。

操作簡易:社會主義學(xué)院信息部門的人員增長速度總是無法應(yīng)對網(wǎng)絡(luò)規(guī)模的日漸龐大復(fù)雜性要求。無線網(wǎng)絡(luò)接入層應(yīng)具有即插即用能力，客戶端具有零安裝、零維護(hù)特點(diǎn)，在保障網(wǎng)絡(luò)安全的情況下提供快捷及智能訪問。

統(tǒng)一管理:基于無線網(wǎng)設(shè)備部署場景不同，無線設(shè)備安裝也不具備統(tǒng)一性，無線AP 安裝環(huán)境包括房間、走廊、立桿、平臺等多種組合，因此，對設(shè)備及日常管理的維護(hù)是個較大的挑戰(zhàn)。這就要求無線接入網(wǎng)絡(luò)應(yīng)具備集中管理和維護(hù)特性，并通過統(tǒng)一管理系統(tǒng)對無線網(wǎng)絡(luò)進(jìn)行在線監(jiān)測和實(shí)時調(diào)控，及時查找并排除故障。

利舊兼容:各社會主義學(xué)院的有線網(wǎng)絡(luò)發(fā)揮了重要的信息化整合和傳遞作用。為降低投資額度，無線網(wǎng)絡(luò)設(shè)計應(yīng)充分考慮現(xiàn)有樓宇的裝修和有線網(wǎng)絡(luò)部署狀況，在滿足要求的情況下，盡量利用現(xiàn)有的線路、設(shè)備和基礎(chǔ)設(shè)施進(jìn)行無線網(wǎng)絡(luò)建設(shè)。

二、關(guān)鍵技術(shù)設(shè)計

(一)無線網(wǎng)絡(luò)部署方案

當(dāng)前無線網(wǎng)絡(luò)部署方式主要有放裝、室分、智分三種形式，幾種部署方式適合不同的應(yīng)用場景，簡單對比如下表:

部署方式實(shí)現(xiàn)原理 實(shí)現(xiàn)效果 施工難易度樓道大堂大開間放裝方式AP 和天線都部署在樓道、大堂、大開間樓道放裝方式對于鋼混承重墻分隔情況衰減較大，樓道信號非常強(qiáng)，而辦公室內(nèi)信號較弱。大堂、大開間放裝在合理設(shè)計AP 點(diǎn)位的情況下，接入效果非常好。需施工，需建設(shè)無線AP的有線回傳鏈路。室內(nèi)墻座放裝方式利用室內(nèi)現(xiàn)有墻面信息面板進(jìn)行無線網(wǎng)改造，AP 放置在辦公室。室內(nèi)接入效果良好。須辦公室已有較為充足的有線網(wǎng)絡(luò)接口墻座，如果不足，將需要考慮和原有網(wǎng)絡(luò)共用的問題。室分系統(tǒng)方式性能較為低下，在上網(wǎng)高峰期，會出現(xiàn)網(wǎng)速慢的情況部署十分復(fù)雜，需要在墻壁上打孔，樓道需施工，需建設(shè)無線AP的有線回傳鏈路。網(wǎng)絡(luò)的管理和維護(hù)工作量大。把AP 部署在走廊或弱電間，而天線部署在房間內(nèi)，AP 和天線之間通過饋線連接，中間還需要加裝功分器和耦合器等設(shè)備。智分系統(tǒng)方式綜合了放裝方式和室分方式的優(yōu)點(diǎn)，AP 部署在任意位置，通過饋線延伸可以把天線部署在辦公室內(nèi)。無需功分器、耦合器，集成了射頻卡。性能不再成為瓶頸，適合辦公室這樣的密集部署環(huán)境，在上網(wǎng)高峰期，網(wǎng)速仍可保持穩(wěn)定。部署較室分簡單，易于管理和維護(hù)。仍需鉆孔，但孔較室分小。

要綜合考慮環(huán)境、面積、建筑結(jié)構(gòu)、建筑材質(zhì)、設(shè)備性能和小氣候等多個因素，分區(qū)分片的進(jìn)行無線網(wǎng)絡(luò)部署設(shè)計，且在實(shí)施前進(jìn)行必要的信號強(qiáng)度測試。同時，無線網(wǎng)絡(luò)部署必須盡量不破壞原有裝修。

以中央社會主義學(xué)院為例，辦公樓是一棟六層樓房，為長條筒形建筑，中間為廊道，兩側(cè)布設(shè)各部門辦公室，房間結(jié)構(gòu)相對標(biāo)準(zhǔn)統(tǒng)一;教學(xué)樓為四層建筑，中心為中空大廳，周圈各教室形成圍合式結(jié)構(gòu)。在裝設(shè)無線網(wǎng)絡(luò)時，我們需要綜合考慮利舊、實(shí)現(xiàn)效果和施工實(shí)施的難度，考慮在學(xué)院原有的有線網(wǎng)絡(luò)基礎(chǔ)，進(jìn)行無線網(wǎng)絡(luò)部署。辦公室、小型會議室等房間密集型環(huán)境采取室內(nèi)墻座放裝方式，走廊覆蓋不佳的地方在廊道頂棚內(nèi)敷設(shè)AP作為輔助;教室、大型會議室、休息室、大廳等大開間、高密度的環(huán)境采用高性能室內(nèi)放裝的方式。由于建筑不規(guī)則，在無線AP 點(diǎn)位設(shè)計過程中，需要考慮不同建筑對信號衰減的干擾，合理分配無線接入點(diǎn)的部署位置，輔以X－Sense 智能天線、智能負(fù)載調(diào)節(jié)等技術(shù)，讓無線信號覆蓋到所有角落，使之真正滿足辦公和教學(xué)科研需求。

(二)安全設(shè)計

無線網(wǎng)絡(luò)安全是一個復(fù)雜的系統(tǒng)工程，不同的業(yè)務(wù)特征有著不同的需求。具體到社會主義學(xué)院無線網(wǎng)絡(luò)，在滿足設(shè)備級、網(wǎng)絡(luò)級的安全特性外，安全策略主要包括用戶終端管理、防病毒和入侵檢測以及無線網(wǎng)絡(luò)管理等方面。

1、用戶終端管理

無線終端是用戶登錄并訪問網(wǎng)絡(luò)的起點(diǎn)，更是病毒傳播、從內(nèi)部發(fā)起惡意攻擊、內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭［1］。用戶終端管理的部署包括身份認(rèn)證、安全檢查、用戶綁定、權(quán)限和帶寬控制、用戶隔離以及監(jiān)控審計六個層面。

(1)身份認(rèn)證系統(tǒng)設(shè)計

校園無線網(wǎng)絡(luò)用戶主要有三類:教職工、學(xué)員和訪客。教職工和學(xué)員要求能夠隨時隨地接入無線網(wǎng)絡(luò)，訪問社院辦公平臺、圖書館數(shù)字資源以及在線學(xué)習(xí)平臺等學(xué)院內(nèi)部資源，可以使用終端智能識別的WEB 認(rèn)證;訪客主要是來學(xué)校參觀、培訓(xùn)或者進(jìn)行學(xué)術(shù)交流的一些用戶，對他們來說最重要的就是可以即時接入互聯(lián)網(wǎng)絡(luò)，可以使用訪客手機(jī)自身認(rèn)證。

身份認(rèn)證系統(tǒng)建立了覆蓋全員的身份管理，員工賬號與現(xiàn)有辦公平臺的員工數(shù)據(jù)相對接，訪客的手機(jī)號作為登陸賬號。實(shí)名管理機(jī)制建立了網(wǎng)絡(luò)世界與現(xiàn)實(shí)之間的聯(lián)系，便于精確定位和追根溯源網(wǎng)絡(luò)中出現(xiàn)的安全問題，能夠提高用戶的責(zé)任意識，有效預(yù)防和控制不負(fù)責(zé)的網(wǎng)絡(luò)行為，從而降低無線網(wǎng)絡(luò)的安全隱患。

(2)安全檢查

除身份認(rèn)證外，系統(tǒng)還須對接入終端實(shí)施安全檢查，當(dāng)接入用戶不符合既定安全策略時，采用自動阻斷、強(qiáng)制隔離等方式處理，切斷有安全隱患的終端對無線網(wǎng)絡(luò)的影響。

(3)用戶綁定

對用戶信息進(jìn)行多維度綁定，可將用戶的帳號與接入的SSID、關(guān)聯(lián)AP/AC的IP 和MAC 地址進(jìn)行標(biāo)識。一旦出現(xiàn)問題，能夠快速定位事發(fā)用戶、終端甚至位置。

(4)權(quán)限和帶寬控制

配合身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)精細(xì)化的無線用戶管理。通過劃分SSID 可以將用戶接入相應(yīng)的VLAN 內(nèi)，SSID 和VLAN 一一對應(yīng)，通過設(shè)定VLAN 權(quán)限做到帶寬和用戶訪問權(quán)限的靈活控制。對教職工和學(xué)員給予較高的帶寬等級，并根據(jù)業(yè)務(wù)特點(diǎn)劃分相應(yīng)的訪問權(quán)限;訪客只給予最基本的帶寬、只可訪問互聯(lián)網(wǎng)。

(5)用戶隔離

訪客劃入單獨(dú)的SSID，院內(nèi)用戶根據(jù)不同的業(yè)務(wù)特性也劃分為多個SSID。采用用戶隔離技術(shù)，一是將訪客和院內(nèi)用戶的流量完全隔離開來，二是認(rèn)真分析院內(nèi)業(yè)務(wù)特點(diǎn)，按需對各SSID 子網(wǎng)或VLAN的用戶實(shí)施隔離，以保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)資源的安全。

(6)監(jiān)控審計

公安部82 號令要求，即《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》:“記錄并留存用戶訪問的互聯(lián)網(wǎng)地址或域名。”需重點(diǎn)考慮對用戶行為記錄的查詢、審計和控制，實(shí)時監(jiān)控?zé)o線終端接入網(wǎng)絡(luò)后的行為，保障無線網(wǎng)絡(luò)的合法使用。

2、防病毒和入侵檢測

病毒具有很強(qiáng)的破壞性，復(fù)制性和傳染性、為了保證無線網(wǎng)絡(luò)能夠安全運(yùn)行，必須部署防病毒系統(tǒng)，通過積極的防御和強(qiáng)大的查殺功能，防殺結(jié)合，將病毒隔離在網(wǎng)絡(luò)大門之外，從而保障日常業(yè)務(wù)工作的正常進(jìn)行。

購買無線入侵檢測系統(tǒng)，對設(shè)備和系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)控，監(jiān)視交有效分析用戶的活動，及時檢測到攻擊事件的發(fā)生，準(zhǔn)確識別攻擊來源，并給出報警和審計信息。

3、無線網(wǎng)絡(luò)管理

管理一個具有一定規(guī)模的校園無線網(wǎng)絡(luò)是一件非常復(fù)雜的事情，工作量巨大且繁瑣。一是使用具有無線局域網(wǎng)集中式管理功能的瘦AP +無線控制器架構(gòu)，網(wǎng)管員在無線控制器端對無線AP和移動終端進(jìn)行開通、管理和維護(hù)等操作，AP 自身不需要進(jìn)行任何配置。此架構(gòu)增強(qiáng)了無線網(wǎng)絡(luò)的穩(wěn)定性，極大地提高無線網(wǎng)絡(luò)的維護(hù)效率。二是建立無線局域網(wǎng)網(wǎng)管系統(tǒng)，深入了解設(shè)備的配置、運(yùn)行、性能以及故障等信息，對校園無線網(wǎng)絡(luò)的工作狀態(tài)進(jìn)行直觀和詳細(xì)地監(jiān)控，確保無線網(wǎng)絡(luò)正確運(yùn)轉(zhuǎn)。三是制定完備的管理制度，加強(qiáng)用戶教育，同時不斷提高網(wǎng)管員的業(yè)務(wù)水平。

校園無線網(wǎng)的規(guī)劃建設(shè)是一項艱巨而長期的工作，隨著無線網(wǎng)絡(luò)技術(shù)不斷發(fā)展，還將會有更多新的問題和新的需求產(chǎn)生。必須不斷探索，充分考慮部署、安全、管理等各方面因素，才能充分應(yīng)用先進(jìn)技術(shù)推進(jìn)全國社會主義學(xué)院信息化建設(shè)事業(yè)的科學(xué)發(fā)展。

［1］賈曉?。绾螛?gòu)建全面的終端準(zhǔn)入控制［EB/OL］．http://blog．sina．com．cn/s/blog_61bd83dc01017 jt8．html，2012－10－10．