文 /韋磊 寧玉文 劉健 高東懷

隨著信息技術在各行各業(yè)的普及應用[1]，無線校園網(wǎng)絡已成為提升教學環(huán)境品質(zhì)、提高教育資源利用率、增加教育靈活性的重要方式[2]。方便、快捷的移動學習（M-learning）已成為獲取教育信息、教育資源和教育服務的一種新型學習形式[3]。相比于傳統(tǒng)教育，移動學習打破了時間、地點的局限性，極大滿足了學習者的個性化學習需求。然而建設無線網(wǎng)絡，不但要解決與現(xiàn)有有線網(wǎng)絡的認證、計費和管理方式的對接，而且需要考慮無線網(wǎng)絡的安全問題。本文以第四軍醫(yī)大學無線網(wǎng)絡部署為例，從需求分析、網(wǎng)絡部署到安全管理，建成了一套高性能、易運維、安全可靠的網(wǎng)絡系統(tǒng)，與現(xiàn)有有線網(wǎng)絡實現(xiàn)了一體化管理。

醫(yī)學院校無線網(wǎng)絡建設需求分析

與傳統(tǒng)有線網(wǎng)絡對比，無線網(wǎng)絡具有搭建快速、布線靈活等特點[4]。建設無線網(wǎng)絡系統(tǒng)不僅需要考慮當前校園用戶需求，還要考慮學校長遠發(fā)展需求[5]。無線網(wǎng)絡應滿足用戶隨時隨地訪問網(wǎng)絡的需求，更好地為學校教學、醫(yī)療和科研服務。

醫(yī)學學校移動設備增多

近年來，越來越多的人隨身攜帶手機、筆記本等移動終端[6]。在各大醫(yī)學院校里，手機更是師生必備的日常工具之一。無線網(wǎng)絡可以使得用戶持有移動設備在教室、辦公室、圖書館等場所自由移動并與網(wǎng)絡保持持續(xù)連接，滿足隨時隨地上網(wǎng)的需求。

滿足醫(yī)學院校移動學習

隨著翻轉(zhuǎn)課堂、MOOC等教學新模式的出現(xiàn)，使用移動終端進行學習已經(jīng)成為各醫(yī)學院校學生提升個人能力的重要途徑[7]。出于安全需要，學校嚴禁任何人通過無線路由器、私設代理等方式架設無線局域網(wǎng)，這極大限制了新興教育模式的推廣。無線網(wǎng)絡建成后，學生可以通過移動終端實現(xiàn)無處不在的泛在學習[8]；教師也可及時了解國際國內(nèi)最新的教學模式方法，提升課堂教學質(zhì)量。

彌補有線網(wǎng)絡的不足

由于有線網(wǎng)絡靈活性不足，在前期規(guī)劃無線網(wǎng)絡時要預設大量利用率較低的接入點，造成資源浪費。作為有線網(wǎng)絡的補充，無線網(wǎng)絡不但架設簡單、管理方便，而且可以提升網(wǎng)絡的覆蓋面，滿足不同人員上網(wǎng)需要。

圖1 學校網(wǎng)絡拓撲

網(wǎng)絡基本結構與安裝部署方案

經(jīng)過幾年的建設，學校已建成一套覆蓋全校的有線校園網(wǎng)絡，通過網(wǎng)絡扁平化改造解決了用戶私接路由器的問題，提高了學校整體信息安全管控能力，但這也導致用戶接入網(wǎng)絡的渠道較為單一。本章從學校現(xiàn)網(wǎng)結構開始，詳細介紹了無線網(wǎng)絡建設的過程。

學?，F(xiàn)網(wǎng)結構

學校校園網(wǎng)絡分為辦公區(qū)、家屬區(qū)和學生區(qū)3個主要區(qū)域，如圖1所示。其中辦公區(qū)使用IPoE方式認證，家屬區(qū)使用PPPOE認證方式，兩個區(qū)域的網(wǎng)關均為華為ME60。學生區(qū)使用802.1X認證。

校園WLAN部署

無線AP（接入點）通常分為胖AP和瘦AP。胖AP自帶完整的操作系統(tǒng)，除了擁有無線接入功能外，還同時具備WAN、LAN端口，可獨立工作；瘦AP僅提供一個有線、無線信號轉(zhuǎn)換和信號接收、發(fā)射的功能，配合AC（無線控制器）才能成為一個完整的系統(tǒng)。

學校無線網(wǎng)絡建設采用“瘦AP+AC”的部署模式。為了減少對現(xiàn)有網(wǎng)絡的改動，將AC旁掛于匯聚交換機上，并部署2臺做冗余備份。采用本地轉(zhuǎn)發(fā)模式，用戶數(shù)據(jù)報文直接通過AP進行處理，無需經(jīng)過AC。AP放置在目標覆蓋位置，通過接入交換機POE供電。根據(jù)不同的使用場景，分別部署面板式AP、室內(nèi)放裝型AP，如圖2所示。

無線AP部署

圖2 校園WLAN部署

無線網(wǎng)絡設計的主要指標是網(wǎng)絡的覆蓋面積和系統(tǒng)容量[9]，在滿足用戶需求的前提下，最大限度減少AP數(shù)目。學校無線建設區(qū)域主要有教室、圖書館和學生宿舍三類，對無線網(wǎng)絡的需求各不相同。下面對這三類場景下AP的部署進行說明。

1.教室

教室內(nèi)的無線覆蓋主要是滿足學生和教師的上網(wǎng)需求，并發(fā)率較低，帶寬需求小于2M，屬于半開放式的室內(nèi)環(huán)境，每間教室可容納100人左右。其覆蓋需求為：

滿足學生單用戶的下行容量2M，上行容量1M；

滿足教師單用戶的下行容量2M，上行容量1M；

整體環(huán)境要求普遍覆蓋，用戶密度低。

教室的無線終端主要為筆記本，WiFi模式主要為11g/n/ac。終端多支持5.8G，在該場景下選用放裝型、11ac設備。如圖3所示，在每間教室天花板上安裝5個AP（前后各2個，中間1個）。

圖3 教室AP部署

2.圖書館

圖書館無線覆蓋主要是為了滿足校內(nèi)師生在圖書館內(nèi)登錄學校網(wǎng)站的需求，帶寬需求小于2M，屬于半開放式的室內(nèi)環(huán)境，嵌套多個子空間環(huán)境，包含高密度室內(nèi)場景（閱覽室）和流動性室內(nèi)場景（圖書館大廳）。其覆蓋需求為：

提供穩(wěn)定、流暢的網(wǎng)絡速率，保證師生通過個人終端能正常登錄學校網(wǎng)站；

圖書館大廳流動性較強，主要上網(wǎng)需求為查詢書籍信息，閱讀公告等；

圖書館每間閱覽室設置50～60個固定座位，上網(wǎng)并發(fā)率80%。

圖4 圖書館AP部署

圖5 學生宿舍AP部署

圖書館終端主要為筆記本、PAD，WiFi網(wǎng)卡模式主要為11g/n/ac。在該高密度場景下選用放裝型、11ac設備。如圖4所示，在每間閱覽室天花板上均勻安裝5個AP，閱覽室之間的大廳天花板安裝1個AP。

3.學生宿舍

學生宿舍的無線覆蓋主要滿足學生日常上網(wǎng)學習需求，上網(wǎng)高峰期相對集中，并發(fā)率較高，宿舍間緊密相臨，每間宿舍可容納6至8人，每人帶寬約2M左右。其覆蓋需求為：

滿足60%學生同時上網(wǎng)需求，學生的上網(wǎng)業(yè)務主要有：瀏覽網(wǎng)頁、觀看視頻、下載資料等；

信號覆蓋95%以上的區(qū)域，接收信號電平≥-75dBm。

學生使用的多為筆記本電腦、PAD、手機等上網(wǎng)設備，WiFi模式主要是11n模式，少量11ac模式。在該場景下選用面板型、11ac設備。如圖5所示，每個AP負責所在宿舍、左右兩間宿舍及過道內(nèi)的無線信號覆蓋。

無線認證系統(tǒng)部署

與有線網(wǎng)絡一樣，需要對無線上網(wǎng)用戶進行接入認證。傳統(tǒng)的802.1X認證需要在終端安裝客戶端軟件，會產(chǎn)生各種兼容性問題，后續(xù)維護工作量極大。通過對比兩種認證方式（如表1），將學生接入?yún)^(qū)從802.1X改造為IPoE認證，并且從SAM遷移到第三方認證。

在學生區(qū)認證方式改造之前，首先需要將認證網(wǎng)關從原有的交換機遷移到華為M E60上，實現(xiàn)全校認證管理的統(tǒng)一。

圖2中，AC旁掛于匯聚交換機上，在網(wǎng)絡內(nèi)的作用主要為管理AP，不對用戶業(yè)務報文進行處理，這樣可以最大限度利用AC的性能，認證和轉(zhuǎn)發(fā)在ME60上處理。具體如下：

AP與AC確保三層路由可達，AP和AC建立Capwap（無線接入點的控制和配置協(xié)議）隧道，實現(xiàn)AC對AP的管理。

AP選擇本地轉(zhuǎn)發(fā)模式，對于無線終端上行報文進行SSID到VLAN的變換，每個SSID對應一個VLAN。在匯聚交換機上添加外層VLAN。

ME60作為網(wǎng)關，終結QinQ兩層VLAN。無線認證通過后給用戶分配IP地址，Portal認證通過后才能訪問外網(wǎng)業(yè)務。

無線用戶在AP和接入PoE交換機上均實現(xiàn)二層隔離，互訪流量經(jīng)過ME60。

用戶如果移動到無線網(wǎng)絡覆蓋盲區(qū)會導致連接中斷，在重新回到覆蓋區(qū)后將重新連接，在認證的基礎上實現(xiàn)無感知認證。

有線認證方式改造

為實現(xiàn)有線、無線網(wǎng)絡的統(tǒng)一管理，需要將兩套網(wǎng)絡的認證管理進行統(tǒng)一。為此，將網(wǎng)絡的認證網(wǎng)關遷移到ME60上，實現(xiàn)一體化的IPoE認證。具體如下：

接入交換機配置用戶VLAN，全校所有接入交換機VLAN統(tǒng)一配置。匯聚交換機根據(jù)接入端口添加外層VLAN，并透傳到ME60，由ME60終結QinQ報文。實現(xiàn)用戶終端的安全隔離。

表1 兩種認證方式對比

ME60作為用戶網(wǎng)關，IPoE用戶上線到ME60轉(zhuǎn)DHCP服務器給用戶分配雙棧IP地址，用戶的第一個HTTP報文重定向到Portal服務器，實現(xiàn)WEB認證。

有線用戶基于樓宇交換機VLAN，樓宇互訪通過樓棟交換機同VLAN互訪，跨樓宇和區(qū)域互訪經(jīng)過ME60轉(zhuǎn)發(fā)。

校園無線網(wǎng)絡安全管理

無線網(wǎng)的信號是在開放空間中傳送的，接入也更加靈活[10]。在部署WLAN保證用戶體驗的同時，要重點考慮可能存在的安全問題[11]。無線網(wǎng)絡安全問題分為空口安全、用戶安全和終端安全。

空口安全

空口即終端和基站之間的接口，主要包含Rouge設備、惡意攻擊和空口竊聽三個方面。

1.Rogue設備及應對措施

高校中可能出現(xiàn)的Rogue設備包括Rogue AP，Rogue Client，Ad-hoc等設備，對這些非法設備的安全防護措施包括：AP設置在混合模式，通過監(jiān)聽報文搜集無線設備，并把這些信息上報給AC，AC根據(jù)一定的規(guī)則檢測到Rogue設備后，AP從AC下載攻擊列表，使用Rogue設備的MAC地址發(fā)送假的廣播解除認證幀來對Rogue AP設備進行反制。

2.惡意攻擊及應對措施

當某個惡意用戶發(fā)送大量的“連接請求報文”時，AP會將這些報文轉(zhuǎn)發(fā)到AC上，AC通知AP將來自該用戶的報文丟棄；如果用戶發(fā)來的報文使用了WEP加密算法，啟動IV檢測，AC根據(jù)IV的安全性策略判斷是否存在Weak IV攻擊；如果攻擊者以其他設備的名義發(fā)送攻擊報文，AC接收到這種報文時將認定是欺騙攻擊，并阻止該攻擊者。

3.空口竊聽及應對措施

空口竊聽往往是學校中一些充滿好奇心的學生們經(jīng)常嘗試破解的點，需要對AP傳輸?shù)臄?shù)據(jù)加密。常用的空口加密方式有WEP、WPA/WPA2、WAPI等，在實際網(wǎng)絡部署中，空口加密和用戶認證一起考慮。

用戶安全

用戶安全分為合法用戶非法訪問其范圍以外的資源和非法用戶接入網(wǎng)絡兩部分內(nèi)容。

1.非法訪問及應對措施

學校為不同用戶群劃分不同的SSID，授予不同訪問權限。用戶訪問授權采用遠端授權的方式，WLAN用戶認證成功后，Radius服務器下發(fā)用戶分組，通過用戶分組和ACL規(guī)則的關聯(lián)，對每類用戶進行ACL授權信息控制；訪客用戶采用集中轉(zhuǎn)發(fā)方式，內(nèi)部用戶采用本地轉(zhuǎn)發(fā)方式。

2.非法用戶及應對措施

WLAN支持多種接入認證技術，其中比較典型的有MAC認證、Portal認證、802.1x認證和IPoE認證。通過對接入用戶的身份進行認證，有效防止非法用戶接入。

終端安全

實現(xiàn)終端安全接入互聯(lián)網(wǎng)，需要解決兩個方面的問題：第一是終端用戶身份確認，第二是終端用戶安全使用終端的控制。為了保證這兩個方面安全，首先必須保證注冊用戶信息真實可靠，其次對于終端安全接入網(wǎng)絡必須強制使用客戶端軟件。

總結

本文通過對面向移動學習的醫(yī)學院校無線網(wǎng)絡方案進行設計研究，結合第四軍醫(yī)大學的特殊性，詳細介紹了在無線網(wǎng)絡建設中的需求分析、網(wǎng)絡部署和安全管理等問題。在醫(yī)學院校組建無線網(wǎng)絡促進教育教學發(fā)展的過程中，需要根據(jù)學校的實際情況，充分考慮有線無線網(wǎng)絡一體化運維，確保校園無線網(wǎng)絡系統(tǒng)的穩(wěn)定性和安全性，促進校園的信息化建設。