高校建设无线网络,不仅要与现有有线网络的认证、计费、管理方式相衔接,还要考虑无线网络的安全性。第四军医大学无线网络部署,从需求分析、网络部署到安全管理,构建了一套高性能、易操作维护、安全可靠的网络系统,实现了与现有有线网络的一体化管理。
医学院校无线网络建设需求分析
与传统有线网络相比,无线网络具有建设速度快、布线灵活的特点。无线网络系统的建设不仅需要考虑当前校园用户的需求,还需要考虑学校的长远发展需求。无线网络应满足用户随时随地接入网络的需求,更好地为学校教学、医疗和科研服务。
医学院的移动设备越来越多
近年来,越来越多的人随身携带手机、笔记本等移动终端。在各大医学院校,手机是师生必备的日常工具之一。无线网络使用户可以手持移动设备在教室、办公室、图书馆等场所自由移动,并与网络保持持续连接,满足随时随地上网的需求。
满足医学院校的移动学习
随着翻转课堂、MOOC等新教学模式的出现,利用移动终端进行学习已经成为医学院校学生提高个人能力的重要途径。为了安全起见,学校禁止任何人通过无线路由器和私人代理建立无线局域网,这大大限制了新教育模式的推广。无线网络建成后,学生可以通过移动终端实现泛在学习;教师还可以跟上国际国内最新的教学模式和方法,提高课堂教学质量。
弥补有线网络的不足
由于有线网络缺乏灵活性,在无线网络的早期规划中要预设大量利用率低的接入点,造成资源浪费。作为有线网络的补充,无线网络不仅设置简单,管理方便,而且可以提高网络的覆盖范围,满足不同人群上网的需求。
基本网络结构和安装部署方案
经过几年的建设,学校已经建成了覆盖全校的有线校园网,解决了用户私接路由器的问题,提高了学校整体的信息安全管控能力,但也导致用户入网渠道单一。从学校现有的网络结构出发,详细介绍了无线网络建设的过程。
学校现有网络结构
校园网分为三个主要区域:办公区、家庭区和学生区,如图1所示。办公区采用IPoE认证,家庭区采用PPPOE认证,两个区域都以华为ME60为网关。学生区使用802.1X认证。
校园无线局域网部署
无线APS(接入点)通常分为胖APS和瘦APS。Fat AP自带完整的操作系统,既有无线接入功能,又有WAN和LAN端口,可以独立工作;瘦AP只提供有线和无线的信号转换和信号收发功能,可以和AC(无线控制器)成为一个完整的系统。
学校无线网络建设采用“瘦AP+AC”的部署模式。为了减少对现有网络的改动,将交流侧挂在聚合交换机上,部署两套冗余备份。采用本地转发方式,用户数据报文直接通过AP处理,不经过AC。接入点位于目标覆盖位置,通过接入交换机POE供电。根据不同的使用场景,分别部署面板AP和室内加载AP,如图2所示。
无线接入点部署
无线网络设计的主要指标是网络覆盖面积和系统容量,可以在满足用户需求的前提下,尽量减少APS的数量。学校的无线施工区域有教室、图书馆、学生宿舍三种类型,对无线网络的要求不同。下面介绍这三种场景下AP的部署。
课堂
教室无线覆盖主要是满足学生和老师的上网需求,并发性低,小于2M带宽要求,属于半开放的室内环境,每个教室可以容纳100人左右。其覆盖范围要求是:
满足学生单用户2M下行容量和1m上行容量;
满足2M的下行能力和单个教师1米的上行能力;
整体环境要求覆盖面广,用户密度低。
教室里的无线终端主要是笔记本,WiFi模式主要是11g/n/ac。终端大多支持5.8G,在这种场景下,选择11ac设备。如图3所示,每个教室的天花板上安装了五个APS(前面两个,中间两个)。
图书馆
图书馆无线覆盖主要是满足图书馆师生登录学校网站的需求。带宽需求小于2M,属于半开放室内环境,有多个子[/k0/]嵌套环境,包括高密度室内场景(阅览室)和移动室内场景(图书馆大厅)。其覆盖范围要求是:
提供稳定流畅的网速,保证师生通过个人终端正常登录学校网站;
图书馆大堂机动性强,上网需求主要是查询图书信息和阅读公告;
图书馆每个阅览室固定座位50~60个,上网并发率80%。
图书馆终端以笔记本和pad为主,WiFi网卡模式以11g/n/ac为主。在这个高密度场景中,选择了11ac设备。如图4所示,每个阅览室的天花板上均匀安装五个AP,阅览室之间的大厅天花板上安装一个AP。
学生宿舍
学生宿舍无线覆盖主要满足学生日常在线学习需求。上网高峰期相对集中,并发率高。宿舍离得很近。每个宿舍可以容纳6到8个人,每个宿舍的带宽约为2M。其覆盖范围要求是:
满足60%学生同时上网的需求。学生在线业务主要包括浏览网页、观看视频、下载资料等。;
信号覆盖面积超过95%,接收信号电平75dBm。
大部分学生使用笔记本电脑、PAD、手机等互联网设备,WiFi模式以11n模式为主,少量11ac模式。在这种情况下,选择面板类型和11ac设备。如图5所示,每个接入点负责其宿舍、左右宿舍和过道中的无线信号覆盖。
无线认证系统部署
和有线网络一样,无线互联网用户需要接入认证。传统的802.1X认证需要在终端安装客户端软件,会导致各种兼容性问题,后续维护工作极其繁重。通过比较两种认证方式(如表1所示),将学生访问区域从802.1X转换为IPoE认证,再从SAM移动到第三方认证。
在改革学生区认证模式之前,需要将认证网关从原交换机迁移到华为ME60,实现全校认证管理的统一。
图2中,AC挂在聚合交换机上,它在网络中的作用主要是管理AP,而不是处理用户服务消息,这样可以最大限度的利用AC的性能,在ME60上进行认证和转发。具体如下:
接入点和接入控制器保证三层路由可以到达,并建立无线接入点控制和配置协议隧道,实现接入控制器对接入点的管理。
接入点选择本地转发模式,将无线终端上行消息的SSID转换为VLAN,每个SSID对应一个VLAN。向聚合交换机添加外部VLAN。
ME60作为网关终止QinQ两层VLAN。无线身份验证通过后,将IP地址分配给用户,门户身份验证通过后,才能访问外部网络服务。
无线用户在AP和接入PoE交换机上实现两层隔离,相互接入流量通过ME60。
如果用户移动到无线网络覆盖盲区,连接会中断,用户回到覆盖区域后会重新连接,从而在认证的基础上实现无感知认证。
有线认证模式的转变
为了实现有线和无线网络的统一管理,有必要统一两个网络的认证管理。因此,将网络的认证网关迁移到ME60,实现一体化的IPoE认证。具体如下:
接入交换机配置用户VLAN,全校所有接入交换机统一配置。聚合交换机根据接入端口添加一个外部VLAN,并透明地传输给ME60,ME60终止QinQ消息。实现了用户终端的安全隔离。
ME60作为用户网关,IPoE用户上线到ME60-to-DHCP服务器为用户分配双栈IP地址,用户的第一条HTTP消息重定向到Portal服务器实现WEB认证。
有线用户以楼宇交换机VLAN为基础,通过楼宇交换机与VLAN进行楼宇互访,跨楼宇和区域互访通过ME60转发。
校园无线网络安全管理
无线网络信号在open 空中传输,接入更加灵活。在部署无线局域网以确保用户体验的同时,有必要关注可能的安全问题。无线网络安全问题分为空端口安全、用户安全和终端安全。
空端口安全
空端口是终端和基站之间的接口,主要包括三个方面:Rouge设备、恶意攻击和空端口窃听。
流氓设备及对策
高校中可能出现的流氓设备有流氓AP、流氓客户端、Ad-hoc等。对这些非法设备的安全保护措施包括:将AP设置为混合模式,通过监控消息收集无线设备,并将这些信息报告给AC。AC按照一定的规则检测到流氓设备后,AP从AC下载攻击列表,并使用流氓设备的m AC地址发送虚假的广播反认证帧来对抗流氓AP设备。
恶意攻击及对策
当恶意用户发送大量“连接请求消息”时,AP会将这些消息转发给AC,AC会通知AP丢弃来自该用户的消息;如果用户发送的消息使用WEP加密算法,则启动IV检测,AC根据IV安全策略判断是否存在Weak IV攻击;如果攻击者以其他设备的名义发送攻击消息,AC收到消息后会将其识别为欺骗攻击,并阻止攻击者。
空窃听与对策
空窃听往往是学校里一些好奇的同学经常试图破解的点,AP传输的数据需要加密。常用的空端口加密方法有WEP、WPA/WPA2、WAPI等。在实际的网络部署中,空端口加密和用户认证是一起考虑的。
用户安全
用户安全分为两个部分:合法用户非法访问其范围之外的资源和非法用户访问网络。
非法访问及对策
学校针对不同的用户组划分不同的SSID,授予不同的访问权限。用户访问授权采用远程授权方式。WLAN用户认证成功后,Radius服务器发布用户分组,通过用户分组与ACL规则的关联,对每种类型的用户控制ACL授权信息。访客用户采用集中转发模式,内部用户采用本地转发模式。
非法用户及对策
WLAN支持多种接入认证技术,其中典型的有MAC认证、Portal认证、802.1x认证和IPoE认证。通过认证访问用户的身份,可以有效防止非法用户的访问。
终端保密性
要实现终端安全接入互联网,需要解决两个问题:一是终端用户的身份确认,二是终端用户安全使用的控制。为了保证这两方面的安全性,首先注册的用户信息必须真实可靠,其次终端必须使用客户端软件才能安全接入网络。
在建立无线网络促进医学院校教育教学发展的过程中,要根据学校的实际情况,充分考虑有线和无线网络的综合运维,保证校园无线网络系统的稳定和安全,促进校园信息化建设。
结束
1.《校园wlan 如何建设校园无线网络?第四军医大学经验分享》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《校园wlan 如何建设校园无线网络?第四军医大学经验分享》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/tiyu/1634291.html