1 WLAN的现状及其在校园网的实践情况
无线局域网(Wireless Local Area Networks,WLAN)具有安装便捷、高灵活性、易扩展等有线局域网无法比拟的优点,因此WLAN在学校、医院、机场等公共场所得到越来越广泛的应用。但相较于有线网络,其网络性能、安全性、可管理性却成为阻碍无线局域网发展的重要制约因素。一方面用户对WLAN的需求不断增长,另一方面,WLAN依然面临着诸如带宽不足、漫游不方便、网络管理困难、系统安全性不高等问题,导致了许多用户对量终是否采用WLAN系统犹豫不决。在国内,相较于使用有线局域网,采用WLAN作为校园网的学校寥寥无几,其中一个比较成功的案例是北京师范大学无线校园网。这个建于2008年的国内最大规模的WLAN完全满足了北师大数据、语音、视频等多方面的网络应用需求,并且实现了无线设备和用户的集中管理、射频的智能控管功能以及无线局域网的安全保障。现阶段,大学校园采用的小型WLAN更多是作为对有线网络的一种延伸。
2 基于802.11n标准的WLAN的特点
从量初的802.11b标准到现在802.11n标准,WLAN在这10年间,无论是在数据的传输速率方面还是在使用的组网技术方面都有了突飞猛进的发展。虽然基于802.11g标准的WLAN其最大传输速率已经达到54Mbps,但依旧不足以完全满足校园网WLAN的应用。基于802.11n标准的WL AN可提供300~600Mb/s的传输速率。使用技术方面,其主要采用的技术是将MIMO(多入多出)与OFDM(正交频分复用)技术相结合而应用的MIMO OFDM技术,有效提高了WLAN的传输速率,同时保证了无线传输质量。在范围覆盖方面,802.11n可采用智能天线技术,通过多组独立天线组成的天线阵列,动态调整波束,保证了WLAN用户接收信号的稳定性。因此其覆盖范围可以扩大到好几平方公里,这也极大地提高了WLAN的移动性。在兼容性方面,WLAN不但能实现802.11n向前向后兼容,而且可以实现WLAN与无线广域网的结合。关于WLAN的各种标准的比较如表1所示。
3 基于802.11n标准的WLAN在校园网实践中的相关设计
3.1 无线组网方式设计
传统的基于AP(Aeeem Point)的WLAN,其无线网络系统的管理主要集中在对每个AP的配置和更新。其工作量随AP数目的增加迅速增长,此时在整个无线局域网系统中,AP之间必须相互协调工作。AP配置等的不统一会引起AP之间的无线电波干扰,用户漫游重认证等问题。中大型无线局域网的组网方式主要有分布式设计和集中式设计2种。分布式设计方案中,采用分布式的管理方式,主要用于规模较小的WLAN;而集中式设计方案,所有的无线设备由网络中心统一管理,适用于较大型的WLAN。在具体的组网方式设计中应综合考虑RF覆盖面,带宽,用户的认证,以及接入的安全性等因素。基于以上因素的考虑,虽然大学校园网的网络规模算不上大型局域网,鉴于校园网的特殊性、管理的复杂性以及学校无线网络的扩展要求,在具体选择组网方式时,建议采用集中式的组网方式。集中式管理方式如图1所示。
该方案中校园网网管人员通过管理放置在网络中心的无线交换机就可以管理整个无线网络系统,包括开通、管理、维护所有AP设备,进而实现无线电波频谱、无线安全、接入认证、移动漫游以及用户接入等的统一管理。
3.2 多业务区分设计
根据校园用户的类型进行无线网络逻辑结构的设计。学校用户主要由以下几部分组成:学校的领导和老师,学校的学生包括各类交流生,参加学校会议或活动的与会人员,学校普通的工作者,网络管理员。在具体实施无线业务设计时,可以设置多个SSID。SSID是对学校网络的逻辑划分,拥有相同SSID的用户位于同一个VIAN中,根据每个VLAN的用户对象赋予不同的访问权限,一定程度上也提高了网络的安全性。SSID可以通过无线AP在全网进行广播,进而满足不同用户的使用需求。用户在网络范围内可以搜索到所有的SSID,然后选择相应的SSID进行用户认证,认证成功即可访问校园网络和Internet。
3.3 网络和用户管理
网络管理可采用集中式管理,在管理细节上可以结合相关的网管设备和网管软件进行网络管理,对用户的管理,考虑到实现无线用户的安全接入和易操作,可以通过IMC准入控制软件的设置,对用户的操作进行相应的限制。其具体的配置主要包括以下2个方面:
1)服务器端的设置服务器端的主要功能是创建帐户和密码,在安全性要求较高时,可对用户账户与用户的信息进行绑定。
2)客户端的设置客户端只要下载并安装专用的客户端程序,在使用时双击执行,输入服务器端分配给用户的用户名以及用户自己设置的密码即可连接无线网络。3.4 无线网络安全性设计
与有线局域网相比,连接局域网的各类线缆一定程度上已经对网络的使用进行了接入控制,而无线网络的信道开放,给无线网络带来了一定的安全隐患。主要包括未经授权使用网络,地址欺骗和会话拦截(中间人攻击),高级入侵等。基于以上安全隐患必须采用多种安全设计并举的方式来保证整体网络的安全性,主要的安全性设计包括以下几个方面:
1)多SSID机制多个SSID机制对无线网络进行了逻辑上的划分,不仅有利于网络的分块管理,而且实现了对用户的使用权限的控制。
①WEP(Wired Equivalent Privacy)是WLAN的第一个安全协议,WEP使用一个共享的密钥对数据进行加密,密钥的长度为64位或128位。目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就能被攻破,已被证实不安全。
②)WPA(Wi-Fi Protected Access)加密方式及其加密特性决定了它比WEP更难以入侵。可以说WPA=802.1X+EAP+TKIP+MIC,其中TKIP(Temporal Key Integrity Protocod)成为临时密钥完整性协议,其采用的加密算法是RC4,但在RC4基础上采用了更加复杂的数据封装,密钥长度也提高到了128位且密钥由服务器自动分发。在802.1X/EAP(可扩展的认证协议)的认证支持下,TKIP实现了用户密钥、会话密钥、数据包密钥的分级密钥体系。MIC(Message integrity Check)全称信息完整检查技术,用于防止数据的伪造。由此可知WPA安全性主要体现在身份认证、加密机制和数据包检查等方面,而且它还可以加强无线网络的管理。根据校园网的特点,应采用WPA加密方式为宜。
3)网络带宽的限制、网络带宽的限制主要是对无线网络中重放攻击等安全隐患的预防,给不同权限的用户设定一个最大带宽以有效地保证整个网络带宽的合理使用,对防止病毒在WLAN中的传播也起到一定的遏制作用。
4)病毒防护及入侵检测机 根据WPDRRC安全模型的定义,检测是保证无线网络安全的重要环节,要及时检测网络中存在的异常,尽早把病毒等不安全因素遏制在“摇篮之中”。在病毒防护方面可以通过检测用户的状态并根据准入机制限制病毒等进入网络。
5)设备安全措施保障无线网络设备的安全是保证无线园区网络正常运行的前提,当前无线网络设备的安全主要包括无线设备的物理安全,无线设备的密码安全及安全访问等。与有线网络设备一般放在配线间不同,无线AP等网络设备需要分布在无线网络空问相应的位置以满足网络覆盖的要求,且无线网络设备常需要暴露在室外,防盗、防雷等在部署园区无线网络时是必须考虑的问题。针对设备的物理安全可以采取警报系统,和安装避雷针等方式解决。在为无线网络设备设置密码时应避免使用无线网络设备的默认密码,创建健全的密码保障无线设备不会被轻而易举地访问。
3.5 移动漫游设计
移动漫游设计中可采用基于二层漫游设计和三层漫游设计2种方式。目前大多数的无线产品都只能支持基于二层的漫游设计,相比三层漫游而言,用户在跨网段访问时需要二次认证,这其中不可避免的会引起丢包或增加网络延时,严格意义上来说,不属于真正的无缝漫游。而基于三层的漫游可以保证用户在AP、WLAN交换机、不同的VLAN之间进行无缝漫游,漫游过程中不会丢失连接也不需要重启DHCP。在具体选择漫游方式时,需要根据用户具体的应用而定,在使用语音等QoS要求较高的业务时,使用三层漫游则更为合理。
3.6 无线设备的相关设计
在无线设备的相关设计中主要包括无线设备的选址和无线设备的选型等。
1)无线设备的选址无线设备的选址应根据一定的原则,即在满足用户需求的前提下要使用最少的设备,在具体设计时可先采用仿真软件模拟现实的环境。控制好无线信号的重叠范围,无线信号的功率,无线信号的辐射方向。过多的无线信号重叠会引起频繁的无线漫游,进而影响服务质量;在靠近校外的建筑物上放置AP最好使用定向天线,尽量减少无线信号辐射到校园外,以及减少因信号辐射到校园外而增加网络管理复杂度和不安全性。
2)无线设备的造型在教室等墙体密集的区域可以通过增强无线信号的辐射功率或采用高灵敏度、穿透能力强的无线AP产品,并配合分离式吸璜天线,以一个AP配合一个天线或一个AP配合多个天线的方式完成室内区域的完全覆盖。室外选用室外无线AP,通过天线聚集信号使无线覆盖范围更大、更远。设备与天线可安置于楼顶或楼底,使无线信号向下或向上整体覆盖楼宇。具体设计中还应考虑电能的供应情况,在电能供应方便的地方采用电源供电,否则使用带有POE功能的设备,以POE方式供能。
3.7 测试方案的设计
基本的WLAN搭建完成后,应做相应的测试。网络管理是一个不断测试,不断发现并及时解决问题的过程。无线网络的测试主要包括IP联通性的测试、无线网络速率的测试、无线网络的漫游功能的测试以及准入测试等4个方面。IP联通性的测试可通过ping、tracert等网络测试命令实现。无线网络速率的测试可以通过计算机自带的功能进行速率的测试,也可通过相关的测试设备或测试软件进行速率的测试。在进行无线网络漫游功能的测试时,可以利用笔记本电脑连接到无线网络,在不同的两个无线区域之间进行移动,同时使用ping命令ping网关地址,并利用telnet工具登录到无线控制器等设备上,输入相关的命令查看漫游记录。准入测试可以在服务器端配置不同的测试用户和密码,在客户端以不同的用户和密码进行测试,并与预期的设计理念核对。
3. 8 其他设计
一个健全的WLAN,要经受不同季节、不同天气的考验,因此,在WLAN的设计中要把天气等环境因素考虑到网络设计中,由于无线网络易受天气、建筑等因素的影响,所以要准备相应的应急预案。另外还要考虑停电等突发情况的影响。
4 结论
随着无线技术的不断发展,制约传统WLAN发展的一些因素正在被新的技术所改善,无线局域网的优势也进一步突显出来,WLAN不仅弥补了有线局域网的不足,而且为局域网开辟了一个崭新的技术和应用领域。WLAN技术在校园网的应用也必将给大学校园的学习、工作、交流带来更大的便捷。