校园无线网络构建方案
校园无线网络构建方案
    自1999年IEEE802.11b标准得到批准后,无线局域网的应用变得越来越普遍。本文将介绍如何在校园环境中组建无线网络,以及如何实现用户权限分级管理的问题,并对实现无线网络几种安全标准进行了比较。
    无线接入可以迅速、方便地部署到任何环境中。如果在校园中应用,那么在每次需求发生变化时,可以为教室和实验室重新布线节省所需要的时间和成本。我们可以用一种安全、经济的方式将网络连接拓展到整个校园,使学生、教师和管理人员无论在室内还是室外都可以接入网络,创建移动的无线教室。
传统有线网络面临的问题
    随着校园网络规模不断扩大,网络应用不断增加,网络已经成为老师和学生获得信息的主要手段之一,校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户,越来越多的校园网络应用开始部署,网络变得前所未有的重要,细心观察不难发现传统有线网络容易出现以下问题:
    (1)校内公共网络设施有限,而且使用频繁,人们为了上网不得不在这些地点之间奔波;
    (2)计算机设备较多,其中,笔记本数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;
    (3)有的教室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且学生上课时的位置不是很固定,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便;
    (4)高校通常会有几个在地理分布上并不集中的分校区,用有线光缆连接校园网工程复杂、成本极高。
    而使用无线网络,无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。
校园无线网络实施方案
    对于无线局域网来说,一方面要考虑无线网络的覆盖问题,另一方面也要考虑无线网络安全对网络管理提出的挑战。校园局域网一般具有较大的规模,不是无线产品的简单组合,而是一种整体的校园网络系统。考虑到日后扩展的需要,校园无线局域网系统应尽量保证高吞吐量、安全的移动性以及与有线网络的无缝结合。
    无线网络的容量需求
    为满足无线网络的容量需求,校园无线网络在网络规划时首先需要考虑AP(无线接入点)蜂窝直径内的用户数量与应用内容。用户数量和应用内容是推动带宽需求增长的主要因素。由无线网络的特点决定,用户对带宽的需求越高,要求信号质量越好,从而减小了无线信号的覆盖范围,要计算网络的容量,首先需要确定在覆盖区域和这个区域中的客户机数量,从而计算出这个区域提供服务所需的总带宽,然后在保证网络带宽的前提下,计算提供足够的覆盖所需要的AP数量。
    无线网络的覆盖范围
    一般情况下AP的通信范围室内被限定在30~50米左右、室外被限定在100~150米左右。无线局域网用户往往被束缚于局部空间内,一旦超越信号覆盖范围,那么就会失去与网络的连接,无法继续进行通信。
    针对这种状况,采用多AP微蜂窝无线覆盖可以得到很好的解决。实施微蜂窝覆盖,首先要建立包含多个访问点的无线网络,将要提供服务的范围划分为若干个基本服务区,每个区域由一个访问点以及与其关联的无线客户端构成。无线客户端与访问点关联采用AP的基本服务区标示符(BSSID),内部设备都使用同一个频道通信,相邻蜂窝选择不同的频道。每个接入点分别与有线网络相连,从而形成以有线网络为主干的多接入点的无线网络,这样可以有效地扩大无线网络覆盖面积,达到在较大活动空间无线漫游的目的。
    与移动电话的蜂窝系统十分类似,系统允许一个用户在不同的接入点覆盖区域内任意漫游,随着位置的变换,无线客户端会扫描附近的接入点,并根据信号的强弱和包错误率来自动选择一个接入点进行连接,一旦到新的接入点,无线客户端就向其发送重新关联请求。如果能够收到重新关联响应,信号会由一个AP自动切换到另外一个AP,整个切换过程对用户是完全透明的,而且在切换的过程中网络不会发生中断。
    校园无线网络的用户身份认证
    SSID (服务集合标识符)是Service Set Identifier的缩写,也称为无线网络名称。是一种独一无二的标识符,用来区分不同的无线网络。为了满足学生、教师与管理者对网络的不同需求,在校园无线网络环境中,可以按照使用对象的不同,建立不同权限的SSID,并使用VLAN与访问控制列表结合的方式实现对SSID权限的划分。为在校学生建立SSID:Student,满足访问校园网和教育网的基本需求;为教师和学校管理者建立SSID:Teacher,满足移动办公和访问网络的需求。为便于日后的用户管理工作,每班同学可以公用同一无线帐号登陆网络,而为每位教师建立不同的无线帐号。
    为实现用户访问权限的区分,需选用基于端口的IEEE 802.1x访问控制协议。IEEE 802.1x协议,是由IEEE于2001年6月提出的,它符合IEEE 802协议集的局域网接入控制协议,主要目的是为了解决无线局域网用户的接入认证问题,能够在利用IEEE802.11局域网优势的基础上提供一种对连接到局域网用户的认证
和授权手段,达到接受合法用户接入,保护网络安全的目的。
    目前适用于无线网络的有EAP-TLS、PEAP和LEAP三种类型:
    EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。它依赖客户断和服务器方面的证书进行验证,可用于动态生成基于用户和通话的 WEP 密钥以保障 WLAN 客户端和接入点之间的通信。EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书。对于较大的 WLAN 安装,则是比较重的任务。维护 PKI 基础结构通常很费时费力,让管理员无法忍受,仅适合与大型无线网络。
    LEAP (轻型可扩展验证协议) 是一种由Cisco开发的 EAP 验证类型,主要用于 Cisco Aironet WLAN。它使用动态生成的 WEP 密钥对数据传输进行加密,并支持相互验证。目前Cisco已将 LEAP 授权其它制造商许可使用,从而可以将 LEAP 用于非 Cisco 适配器。
    PEAP (受保护的可扩展验证协议)通过 802.11 无线网络提供了一种安全传输验证数据的方法,包括传统的密码保护协议。该协议通过使用 PEAP 客户端和验证服务器之间的隧道来实现认证过程中的加密,仅使用服务器单边证书来验证无线 LAN 客户端,相对与EAP-TLS来说有效地简化了安全无线LAN 的执行和管理任务。
    因EAP-TLS需要在各个无线客户端上安装客户证书,实现过于复杂,只适用于大型网络环境,而校园无线网络的使用环境和户用较为单一,对网络安全要求不是十分严格,在对以上三种认证方式的实施难度与安全级别等方式进行详细比较后,PEAP与LEAP两种认证方式可以满足校园无线网络对不同用户身份验证的要求。整体认证系统采用RADIUS+EAP的形式,对每位用户的身份进行验证,根据用户的身份授予不同的网络访问权限。
    认证系统的后端RADIUS服务器可以选用Cisco公司的ACS 3.3版本作为认证服务器,该版本的ACS服务器同时支持LEAP、PEAP、EAP-TLS等不同标准的认证协议,并提供产生数字证书功能,这样可以省去在网络中配置证书服务器的步骤,降低网络的构建与维护难度,易于无线网络在校园中的实现。在网络运行时,还需要一台与RADIUS服务器配合使用的DHCP服务器,为通过授权的用户分配IP合法地址,如果在预算有限的情况下,也可以让RADIUS服务器兼职此项功能。
    要接入校园无线网络,首先用户选择需要加入的SSID名称,经身份验证后,RADIUS服务器会根据用户的访问级别授予不同的网络访问权限,生成不同级别的访问控制列表,并将访问列表信息派发到各个接入点,以实现对用户的访问控制。SSID Student网络访问权限较低,为了方便学生接入到无线网,可将网络配置成自动广播SSID名称,同时为了保证内部网络安全,只放开学校允许学生访问的网络资源;SSID Teach无线适配器或访问点有问题怎么办
er的访问权限较高,可以访问学校办公网络,为近一步保证办公网络的安全,可以设置不对SSID进行广播,且需要同时验证用户密码和无线网卡的MAC地址信息。具体配置可以按照需求的不同,随时进行调整。
    无线网络的安全防范措施
    为保证无线网络系统的安全,在网络正式启用前,需要在每个接入点上指定认证服务器的地址,并配置认证密码,确认RADIUS服务器的信息,防止攻击者擅自添加认证服务器,或修改用户数据库信息,绕过正常的用户身份验证过程,接入到无线网络。
    对于认证服务器,则需要实现对AP的认证。首先在ACS服务客户端中添加AP配置信息以及使用的认证类型,此外在认证过程中,强制AP提供验证密码,在通过密码验证后,认证服务器还需要在本地查接入的IP得知记录信息,一切确认无误后,ACS才对AP的用户认证信息予以回复。在每次认证过程中,可以配置ACS服务器自动记录请求验证者的MAC地址信息,验证请求时间,验证者名称和连接、断开网络时间,便于以后的查询工作,因记录信息较多,生成的日志文件较大,需要管理员及时对日志进行清理和备份工作,以免服务器当机。
    何谓无线局域网
    无线局域网(Wireless Local Area Network,缩写为“WLAN”)是高速发展的现代无线通信技术在计算机网络中的应用,是计算机网络与无线通信技术相结合的产物。不像传统以太网那样,基于802.11标准的无线网络在空气中传播射频信号,在信号范围内的无线客户端都可以接受到数据,为通信的移动化、个人化和多媒体应用提供了实现的手段。
    与有线网络相比,无线局域网以其方便、快捷、廉价等诸多优势,可以为不易布线的地方和短距离的数据传输提供网络支持,在校园和公共热点地区等领域的应用中很快得到了长足的发展和巨大的成功。IEEE 802.11 是电气和电子工程师协会关于无线局域网技术的行业标准,目前应用最为广泛的三种标准为:
    1.802.11a标准
    802.11a标准是第一个获得正式批准的无线以太网标准。它工作在5GHz频段上,使用正交频分复用技术(Orthogonal Frequency Division Multiplexing,OFDM)将5 GHz分为多个重叠的频率,在每个子信道上进行窄带调制和传输,这样减少了子信道之间的相互干扰,使带宽可以达到54 Mbps。但是802.11标准并没有得到迅速普及,因为其采用了正交频分复用技术,该技术的实现方法相对于直接序列扩频更为复杂,所以开发的进程也相对较慢。由于这个原因,首先得到应用的反而是802.11b标准。
    2. 802.11b标准
    802.11b规定设备工作在2.4GHz的范围内,使用直接序列扩频技术(Direct Sequence Spread Spectrum,DSSS)来发送无线信号。直接序列扩频技术将信号一次性扩展到多个频率上,从而避免干扰。它选取一个字节的数据,将其分解成几部分,再通过不同的频率,以多路传输的方式将各个部分同时发送出去,使带宽可以达到11 Mbps。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。