高校建設(shè)無線網(wǎng)絡(luò)，不僅要與現(xiàn)有有線網(wǎng)絡(luò)的認證、計費、管理方式相銜接，還要考慮無線網(wǎng)絡(luò)的安全性。第四軍醫(yī)大學(xué)無線網(wǎng)絡(luò)部署，從需求分析、網(wǎng)絡(luò)部署到安全管理，構(gòu)建了一套高性能、易操作維護、安全可靠的網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)了與現(xiàn)有有線網(wǎng)絡(luò)的一體化管理。

醫(yī)學(xué)院校無線網(wǎng)絡(luò)建設(shè)需求分析

與傳統(tǒng)有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)具有建設(shè)速度快、布線靈活的特點。無線網(wǎng)絡(luò)系統(tǒng)的建設(shè)不僅需要考慮當(dāng)前校園用戶的需求，還需要考慮學(xué)校的長遠發(fā)展需求。無線網(wǎng)絡(luò)應(yīng)滿足用戶隨時隨地接入網(wǎng)絡(luò)的需求，更好地為學(xué)校教學(xué)、醫(yī)療和科研服務(wù)。

醫(yī)學(xué)院的移動設(shè)備越來越多

近年來，越來越多的人隨身攜帶手機、筆記本等移動終端。在各大醫(yī)學(xué)院校，手機是師生必備的日常工具之一。無線網(wǎng)絡(luò)使用戶可以手持移動設(shè)備在教室、辦公室、圖書館等場所自由移動，并與網(wǎng)絡(luò)保持持續(xù)連接，滿足隨時隨地上網(wǎng)的需求。

滿足醫(yī)學(xué)院校的移動學(xué)習(xí)

隨著翻轉(zhuǎn)課堂、MOOC等新教學(xué)模式的出現(xiàn)，利用移動終端進行學(xué)習(xí)已經(jīng)成為醫(yī)學(xué)院校學(xué)生提高個人能力的重要途徑。為了安全起見，學(xué)校禁止任何人通過無線路由器和私人代理建立無線局域網(wǎng)，這大大限制了新教育模式的推廣。無線網(wǎng)絡(luò)建成后，學(xué)生可以通過移動終端實現(xiàn)泛在學(xué)習(xí)；教師還可以跟上國際國內(nèi)最新的教學(xué)模式和方法，提高課堂教學(xué)質(zhì)量。

彌補有線網(wǎng)絡(luò)的不足

由于有線網(wǎng)絡(luò)缺乏靈活性，在無線網(wǎng)絡(luò)的早期規(guī)劃中要預(yù)設(shè)大量利用率低的接入點，造成資源浪費。作為有線網(wǎng)絡(luò)的補充，無線網(wǎng)絡(luò)不僅設(shè)置簡單，管理方便，而且可以提高網(wǎng)絡(luò)的覆蓋范圍，滿足不同人群上網(wǎng)的需求。

基本網(wǎng)絡(luò)結(jié)構(gòu)和安裝部署方案

經(jīng)過幾年的建設(shè)，學(xué)校已經(jīng)建成了覆蓋全校的有線校園網(wǎng)，解決了用戶私接路由器的問題，提高了學(xué)校整體的信息安全管控能力，但也導(dǎo)致用戶入網(wǎng)渠道單一。從學(xué)?，F(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)出發(fā)，詳細介紹了無線網(wǎng)絡(luò)建設(shè)的過程。

學(xué)?，F(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)

校園網(wǎng)分為三個主要區(qū)域:辦公區(qū)、家庭區(qū)和學(xué)生區(qū)，如圖1所示。辦公區(qū)采用IPoE認證，家庭區(qū)采用PPPOE認證，兩個區(qū)域都以華為ME60為網(wǎng)關(guān)。學(xué)生區(qū)使用802.1X認證。

校園無線局域網(wǎng)部署

無線APS(接入點)通常分為胖APS和瘦APS。Fat AP自帶完整的操作系統(tǒng)，既有無線接入功能，又有WAN和LAN端口，可以獨立工作；瘦AP只提供有線和無線的信號轉(zhuǎn)換和信號收發(fā)功能，可以和AC(無線控制器)成為一個完整的系統(tǒng)。

學(xué)校無線網(wǎng)絡(luò)建設(shè)采用“瘦AP+AC”的部署模式。為了減少對現(xiàn)有網(wǎng)絡(luò)的改動，將交流側(cè)掛在聚合交換機上，部署兩套冗余備份。采用本地轉(zhuǎn)發(fā)方式，用戶數(shù)據(jù)報文直接通過AP處理，不經(jīng)過AC。接入點位于目標(biāo)覆蓋位置，通過接入交換機POE供電。根據(jù)不同的使用場景，分別部署面板AP和室內(nèi)加載AP，如圖2所示。

無線接入點部署

無線網(wǎng)絡(luò)設(shè)計的主要指標(biāo)是網(wǎng)絡(luò)覆蓋面積和系統(tǒng)容量，可以在滿足用戶需求的前提下，盡量減少APS的數(shù)量。學(xué)校的無線施工區(qū)域有教室、圖書館、學(xué)生宿舍三種類型，對無線網(wǎng)絡(luò)的要求不同。下面介紹這三種場景下AP的部署。

課堂

教室無線覆蓋主要是滿足學(xué)生和老師的上網(wǎng)需求，并發(fā)性低，小于2M帶寬要求，屬于半開放的室內(nèi)環(huán)境，每個教室可以容納100人左右。其覆蓋范圍要求是:

滿足學(xué)生單用戶2M下行容量和1m上行容量；

滿足2M的下行能力和單個教師1米的上行能力；

整體環(huán)境要求覆蓋面廣，用戶密度低。

教室里的無線終端主要是筆記本，WiFi模式主要是11g/n/ac。終端大多支持5.8G，在這種場景下，選擇11ac設(shè)備。如圖3所示，每個教室的天花板上安裝了五個APS(前面兩個，中間兩個)。

圖書館

圖書館無線覆蓋主要是滿足圖書館師生登錄學(xué)校網(wǎng)站的需求。帶寬需求小于2M，屬于半開放室內(nèi)環(huán)境，有多個子[/k0/]嵌套環(huán)境，包括高密度室內(nèi)場景(閱覽室)和移動室內(nèi)場景(圖書館大廳)。其覆蓋范圍要求是:

提供穩(wěn)定流暢的網(wǎng)速，保證師生通過個人終端正常登錄學(xué)校網(wǎng)站；

圖書館大堂機動性強，上網(wǎng)需求主要是查詢圖書信息和閱讀公告；

圖書館每個閱覽室固定座位50~60個，上網(wǎng)并發(fā)率80%。

圖書館終端以筆記本和pad為主，WiFi網(wǎng)卡模式以11g/n/ac為主。在這個高密度場景中，選擇了11ac設(shè)備。如圖4所示，每個閱覽室的天花板上均勻安裝五個AP，閱覽室之間的大廳天花板上安裝一個AP。

學(xué)生宿舍

學(xué)生宿舍無線覆蓋主要滿足學(xué)生日常在線學(xué)習(xí)需求。上網(wǎng)高峰期相對集中，并發(fā)率高。宿舍離得很近。每個宿舍可以容納6到8個人，每個宿舍的帶寬約為2M。其覆蓋范圍要求是:

滿足60%學(xué)生同時上網(wǎng)的需求。學(xué)生在線業(yè)務(wù)主要包括瀏覽網(wǎng)頁、觀看視頻、下載資料等。；

信號覆蓋面積超過95%，接收信號電平75dBm。

大部分學(xué)生使用筆記本電腦、PAD、手機等互聯(lián)網(wǎng)設(shè)備，WiFi模式以11n模式為主，少量11ac模式。在這種情況下，選擇面板類型和11ac設(shè)備。如圖5所示，每個接入點負責(zé)其宿舍、左右宿舍和過道中的無線信號覆蓋。

無線認證系統(tǒng)部署

和有線網(wǎng)絡(luò)一樣，無線互聯(lián)網(wǎng)用戶需要接入認證。傳統(tǒng)的802.1X認證需要在終端安裝客戶端軟件，會導(dǎo)致各種兼容性問題，后續(xù)維護工作極其繁重。通過比較兩種認證方式(如表1所示)，將學(xué)生訪問區(qū)域從802.1X轉(zhuǎn)換為IPoE認證，再從SAM移動到第三方認證。

在改革學(xué)生區(qū)認證模式之前，需要將認證網(wǎng)關(guān)從原交換機遷移到華為ME60，實現(xiàn)全校認證管理的統(tǒng)一。

圖2中，AC掛在聚合交換機上，它在網(wǎng)絡(luò)中的作用主要是管理AP，而不是處理用戶服務(wù)消息，這樣可以最大限度的利用AC的性能，在ME60上進行認證和轉(zhuǎn)發(fā)。具體如下:

接入點和接入控制器保證三層路由可以到達，并建立無線接入點控制和配置協(xié)議隧道，實現(xiàn)接入控制器對接入點的管理。

接入點選擇本地轉(zhuǎn)發(fā)模式，將無線終端上行消息的SSID轉(zhuǎn)換為VLAN，每個SSID對應(yīng)一個VLAN。向聚合交換機添加外部VLAN。

ME60作為網(wǎng)關(guān)終止QinQ兩層VLAN。無線身份驗證通過后，將IP地址分配給用戶，門戶身份驗證通過后，才能訪問外部網(wǎng)絡(luò)服務(wù)。

無線用戶在AP和接入PoE交換機上實現(xiàn)兩層隔離，相互接入流量通過ME60。

如果用戶移動到無線網(wǎng)絡(luò)覆蓋盲區(qū)，連接會中斷，用戶回到覆蓋區(qū)域后會重新連接，從而在認證的基礎(chǔ)上實現(xiàn)無感知認證。

有線認證模式的轉(zhuǎn)變

為了實現(xiàn)有線和無線網(wǎng)絡(luò)的統(tǒng)一管理，有必要統(tǒng)一兩個網(wǎng)絡(luò)的認證管理。因此，將網(wǎng)絡(luò)的認證網(wǎng)關(guān)遷移到ME60，實現(xiàn)一體化的IPoE認證。具體如下:

接入交換機配置用戶VLAN，全校所有接入交換機統(tǒng)一配置。聚合交換機根據(jù)接入端口添加一個外部VLAN，并透明地傳輸給ME60，ME60終止QinQ消息。實現(xiàn)了用戶終端的安全隔離。

ME60作為用戶網(wǎng)關(guān)，IPoE用戶上線到ME60-to-DHCP服務(wù)器為用戶分配雙棧IP地址，用戶的第一條HTTP消息重定向到Portal服務(wù)器實現(xiàn)WEB認證。

有線用戶以樓宇交換機VLAN為基礎(chǔ)，通過樓宇交換機與VLAN進行樓宇互訪，跨樓宇和區(qū)域互訪通過ME60轉(zhuǎn)發(fā)。

校園無線網(wǎng)絡(luò)安全管理

無線網(wǎng)絡(luò)信號在open 空中傳輸，接入更加靈活。在部署無線局域網(wǎng)以確保用戶體驗的同時，有必要關(guān)注可能的安全問題。無線網(wǎng)絡(luò)安全問題分為空端口安全、用戶安全和終端安全。

空端口安全

空端口是終端和基站之間的接口，主要包括三個方面:Rouge設(shè)備、惡意攻擊和空端口竊聽。

流氓設(shè)備及對策

高校中可能出現(xiàn)的流氓設(shè)備有流氓AP、流氓客戶端、Ad-hoc等。對這些非法設(shè)備的安全保護措施包括:將AP設(shè)置為混合模式，通過監(jiān)控消息收集無線設(shè)備，并將這些信息報告給AC。AC按照一定的規(guī)則檢測到流氓設(shè)備后，AP從AC下載攻擊列表，并使用流氓設(shè)備的m AC地址發(fā)送虛假的廣播反認證幀來對抗流氓AP設(shè)備。

惡意攻擊及對策

當(dāng)惡意用戶發(fā)送大量“連接請求消息”時，AP會將這些消息轉(zhuǎn)發(fā)給AC，AC會通知AP丟棄來自該用戶的消息；如果用戶發(fā)送的消息使用WEP加密算法，則啟動IV檢測，AC根據(jù)IV安全策略判斷是否存在Weak IV攻擊；如果攻擊者以其他設(shè)備的名義發(fā)送攻擊消息，AC收到消息后會將其識別為欺騙攻擊，并阻止攻擊者。

空竊聽與對策

空竊聽往往是學(xué)校里一些好奇的同學(xué)經(jīng)常試圖破解的點，AP傳輸?shù)臄?shù)據(jù)需要加密。常用的空端口加密方法有WEP、WPA/WPA2、WAPI等。在實際的網(wǎng)絡(luò)部署中，空端口加密和用戶認證是一起考慮的。

用戶安全

用戶安全分為兩個部分:合法用戶非法訪問其范圍之外的資源和非法用戶訪問網(wǎng)絡(luò)。

非法訪問及對策

學(xué)校針對不同的用戶組劃分不同的SSID，授予不同的訪問權(quán)限。用戶訪問授權(quán)采用遠程授權(quán)方式。WLAN用戶認證成功后，Radius服務(wù)器發(fā)布用戶分組，通過用戶分組與ACL規(guī)則的關(guān)聯(lián)，對每種類型的用戶控制ACL授權(quán)信息。訪客用戶采用集中轉(zhuǎn)發(fā)模式，內(nèi)部用戶采用本地轉(zhuǎn)發(fā)模式。

非法用戶及對策

WLAN支持多種接入認證技術(shù)，其中典型的有MAC認證、Portal認證、802.1x認證和IPoE認證。通過認證訪問用戶的身份，可以有效防止非法用戶的訪問。

終端保密性

要實現(xiàn)終端安全接入互聯(lián)網(wǎng)，需要解決兩個問題:一是終端用戶的身份確認，二是終端用戶安全使用的控制。為了保證這兩方面的安全性，首先注冊的用戶信息必須真實可靠，其次終端必須使用客戶端軟件才能安全接入網(wǎng)絡(luò)。

在建立無線網(wǎng)絡(luò)促進醫(yī)學(xué)院校教育教學(xué)發(fā)展的過程中，要根據(jù)學(xué)校的實際情況，充分考慮有線和無線網(wǎng)絡(luò)的綜合運維，保證校園無線網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定和安全，促進校園信息化建設(shè)。

結(jié)束