论文部分内容阅读
摘要:无线网络作为有线网络的有效补充,在校园网络建设中越来越被重视。根据无线网络技术的发展现状以及对校园无线网的建设需求、认证和安全管理等问题的分析,设计出相对安全的现代校园无线网络建设方案,并根据现代无线网络架构的特点,提出校园无线网络集中式管理的架构。
关键词:校园无线网;建设;管理;Portal认证
中图分类号:TP393.0 文献标识码:B 文章编号:1673-8454(2012)15-0054-02
一、引言
随着无线网络技术的发展和移动终端的普及,学校师生对移动学习的需求也进一步提高。不仅希望能够在办公室、实验室、宿舍等有固定网络信息点的场所使用校园网络,同时希望在图书馆、会议室、教室、操场、校内广场等场所使用校园网络查找资料,获取信息。这些场所一般较为空旷,无法布设固定的网络信息点。无线网络作为有线网络的有效补充,可以很好地对校园内的空旷地区进行网络覆盖,满足广大师生对移动学习的需求,因此建设高安全性、高可靠性、可管理的校园无线网络成为校园网络发展的必然。
二、无线网的发展现状
早期的无线网络技术只是简单地采取无线AP作为网络接入点连接移动客户端,基本上没有其他功能。目前所流行的无线网络技术,采用AC(控制器)+智能瘦AP构架,瘦AP实现移动客户端接入、AC实现网络控制和用户的管理功能,比如:账号认证、流量控制、访问控制等。
三、现代校园无线网络设计
1.设计原则
(1)高可用性。无线网络在建设时应充分考虑冗余问题,不但满足现有的业务需求,还应能够满足今后较长时间应用业务的增长需求。包括数据业务、音视频等应用。
(2)可管理性。可以对校园无线网络运行情况进行远程监控,随时了解校园无线网络的运行状态。在无线网络出现故障时,能够及时定位故障位置,并快速排除故障;对于校园无线网络设备能够进行远程管理和配置。
(3)高安全性。无线网络系统应具备多种安全机制,以防止重要信息泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施,能够有效地防止系统外部人员的非法攻击和侵入。
(4)可扩展性。随着应用的不断发展,网络的负载压力将不断增加。因此无线网络在设计时,应该在设备性能、覆盖范围、网络拓扑等方面具备很好的可扩展性,网络系统应能方便地升级。
2.认证需求
无线网络作为有线网络的补充,在设计方案时需要考虑与现有的有线网络认证系统进行对接,尽量简化无线网络部署的复杂度,减少对现有有线网络结构的变动。无线网络用户进行身份认证时必须实现与有线网络认证系统的对接,从而达到有线网络与无线网络的统一身份认证。现有的学生账号和教师账号能够和无线网络进行无缝对接。因此,我们在设计无线网络认证时,采取Portal认证方式。
3.Portal认证介绍
Portal认证也可被称为强制Web认证,其特点是通过浏览器进行认证,不需要安装客户端软件,认证时与网络接入交换机无关。Portal认证过程涉及Portal认证页面,接入设备和RADIUS服务器。Portal认证工作原理:接入网络的用户,在实现认证之前,只能访问部分允许访问的免费资源,当用户需要访问其他网络资源时,需要进行Portal认证,成功通过Portal认证后,用户方可访问其他的网络资源。Portal认证技术应用到校园无线网络时,如果原有网络系统针对不同的用户群体,比如学生用户和教工用户,分别使用不同的RADIUS服务器,在认证时不同用户可以根据相应的SSID进行连接,并通过所连接的SSID将认证信息传送到对应的RADIUS服务器进行认证。以下是Portal认证的详细认证过程,如图1所示。
(1)认证客户端在需要进行认证时,首先向Portal服务器发起认证请求,Portal服务器在接到认证请求后,提供一个Web认证页面,要求用户输入用户名和密码。
(2)Portal服务器开始与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。
(3)Portal服务器将认证客户端所提供的用户名和密码封装成认证请求报文,将此报文发送给接入设备,然后等待认证应答报文。
(4)接入设备在接收到Portal服务器所发送的报文后,与RADIUS服务器进行RADIUS协议报文的交互。
(5)接入设备与RADIUS服务器之间进行交互,确定用户名密码的合法性后,向Portal服务器发送认证通过的应答报文。
(6)Portal服务器向认证客户端发送认证通过报文,并且通知认证客户端上线成功。
(7)Portal服务器向接入设备再次发送认证确认报文。
4.部署方案
(1)室内覆盖方案
在用户密度大、信号干扰小的空旷区域,如图书馆、会议室和教室等,可以将无线AP采取壁挂或吸顶的方式进行安装,在确定AP部署数量时,优先考虑用户数量。一般情况下,每个无线AP可接入用户的实际数量为12~20位,根据用户总数及使用无线网络的用户数之间的比例,测算出所需要部署的无线AP数量。在用户密度不大、信号干扰过大的区域,如行政办公楼、学生公寓楼等,无线AP可以安装在天花板或者网络配线间中,通过室内天线扩大覆盖区域,提高信号质量。此时无线AP的数量需要根据实测信号质量进行部署,尽量减少盲区。
(2)室外覆盖方案
在操场、校内广场等室外开阔区域,无线信号覆盖的范围较广,树木等干扰无线信号的因素较多,并且在部署无线设备时还必须考虑防盗、防水、防雷以及防高低温等因素,因此室外无线覆盖方案一般对无线设备要求比较高,必须使用专业的室外无线设备,并且优先考虑信号质量,无线AP部署时也应该选择大功率的室外无线AP。
四、现代校园无线网络管理
高校网络数据中心管理一个具有一定规模的校园无线网络(一般在几十个无线AP以上)是一件非常复杂的事情。从无线信号覆盖面、无线传输带宽、用户认证以及接入安全方面都需要考虑。由于早期的无线网络技术是单纯基于无线AP,因此对于无线网络的管理,都是需要在无线AP上进行。其工作量非常大,工作内容非常繁琐。并且由于无线局域网系统中,各AP之间必须相互协调工作,更改某一个AP的参数和配置有可能会引起其他所有AP之间的无线电波互相干扰,导致用户漫游、授权等出现问题。
为了解决以上问题,在设计部署方案时,可以使用具有集中式管理的瘦AP+无线控制器架构,该无线架构采取简单而强大的无线局域网集中式管理功能。无线控制器部署在核心机房,并作相应配置;无线AP自身不需要进行任何配置,AP的配置是从无线控制器上获取的。AP上接入的移动终端,在转发数据时通过隧道方式将数据转发到无线控制器,再由无线控制器将所有的数据转发出去。网管人员在无线控制器端就可以对无线AP和移动终端进行开通、管理和维护等操作,大大简化了网管人员的工作量,加强了无线网络的稳定性,提高了无线网络的维护效率。
五、结束语
校园无线网络是一个系统工程,因此在建设校园无线网络时应充分考虑到认证、部署、安全、管理等各方面的因素,才能够建设成广大校园网络用户满意的安全、稳定、快速、便捷的校园无线网络。随着无线网络技术和无线终端的不断发展和应用,还将会有更多新的需求和新的问题产生,因此我们必须在实践中不断的探索和总结,进一步细化建设方案,优化管理方案,才能使校园无线网络发挥出更大的作用。
参考文献:
[1]李文胜.无线校园网络安全分析及方案设计[J].现代计算机(专业版),2009(6):199.
[2]董春庆.无线网络局域网技术及应用[J].网络世界,2007(6).
[3]张丰翼.无线局域网安全机制研究[D].西安:西安电子科技大学,2004.
(编辑:金冉)
关键词:校园无线网;建设;管理;Portal认证
中图分类号:TP393.0 文献标识码:B 文章编号:1673-8454(2012)15-0054-02
一、引言
随着无线网络技术的发展和移动终端的普及,学校师生对移动学习的需求也进一步提高。不仅希望能够在办公室、实验室、宿舍等有固定网络信息点的场所使用校园网络,同时希望在图书馆、会议室、教室、操场、校内广场等场所使用校园网络查找资料,获取信息。这些场所一般较为空旷,无法布设固定的网络信息点。无线网络作为有线网络的有效补充,可以很好地对校园内的空旷地区进行网络覆盖,满足广大师生对移动学习的需求,因此建设高安全性、高可靠性、可管理的校园无线网络成为校园网络发展的必然。
二、无线网的发展现状
早期的无线网络技术只是简单地采取无线AP作为网络接入点连接移动客户端,基本上没有其他功能。目前所流行的无线网络技术,采用AC(控制器)+智能瘦AP构架,瘦AP实现移动客户端接入、AC实现网络控制和用户的管理功能,比如:账号认证、流量控制、访问控制等。
三、现代校园无线网络设计
1.设计原则
(1)高可用性。无线网络在建设时应充分考虑冗余问题,不但满足现有的业务需求,还应能够满足今后较长时间应用业务的增长需求。包括数据业务、音视频等应用。
(2)可管理性。可以对校园无线网络运行情况进行远程监控,随时了解校园无线网络的运行状态。在无线网络出现故障时,能够及时定位故障位置,并快速排除故障;对于校园无线网络设备能够进行远程管理和配置。
(3)高安全性。无线网络系统应具备多种安全机制,以防止重要信息泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施,能够有效地防止系统外部人员的非法攻击和侵入。
(4)可扩展性。随着应用的不断发展,网络的负载压力将不断增加。因此无线网络在设计时,应该在设备性能、覆盖范围、网络拓扑等方面具备很好的可扩展性,网络系统应能方便地升级。
2.认证需求
无线网络作为有线网络的补充,在设计方案时需要考虑与现有的有线网络认证系统进行对接,尽量简化无线网络部署的复杂度,减少对现有有线网络结构的变动。无线网络用户进行身份认证时必须实现与有线网络认证系统的对接,从而达到有线网络与无线网络的统一身份认证。现有的学生账号和教师账号能够和无线网络进行无缝对接。因此,我们在设计无线网络认证时,采取Portal认证方式。
3.Portal认证介绍
Portal认证也可被称为强制Web认证,其特点是通过浏览器进行认证,不需要安装客户端软件,认证时与网络接入交换机无关。Portal认证过程涉及Portal认证页面,接入设备和RADIUS服务器。Portal认证工作原理:接入网络的用户,在实现认证之前,只能访问部分允许访问的免费资源,当用户需要访问其他网络资源时,需要进行Portal认证,成功通过Portal认证后,用户方可访问其他的网络资源。Portal认证技术应用到校园无线网络时,如果原有网络系统针对不同的用户群体,比如学生用户和教工用户,分别使用不同的RADIUS服务器,在认证时不同用户可以根据相应的SSID进行连接,并通过所连接的SSID将认证信息传送到对应的RADIUS服务器进行认证。以下是Portal认证的详细认证过程,如图1所示。
(1)认证客户端在需要进行认证时,首先向Portal服务器发起认证请求,Portal服务器在接到认证请求后,提供一个Web认证页面,要求用户输入用户名和密码。
(2)Portal服务器开始与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。
(3)Portal服务器将认证客户端所提供的用户名和密码封装成认证请求报文,将此报文发送给接入设备,然后等待认证应答报文。
(4)接入设备在接收到Portal服务器所发送的报文后,与RADIUS服务器进行RADIUS协议报文的交互。
(5)接入设备与RADIUS服务器之间进行交互,确定用户名密码的合法性后,向Portal服务器发送认证通过的应答报文。
(6)Portal服务器向认证客户端发送认证通过报文,并且通知认证客户端上线成功。
(7)Portal服务器向接入设备再次发送认证确认报文。
4.部署方案
(1)室内覆盖方案
在用户密度大、信号干扰小的空旷区域,如图书馆、会议室和教室等,可以将无线AP采取壁挂或吸顶的方式进行安装,在确定AP部署数量时,优先考虑用户数量。一般情况下,每个无线AP可接入用户的实际数量为12~20位,根据用户总数及使用无线网络的用户数之间的比例,测算出所需要部署的无线AP数量。在用户密度不大、信号干扰过大的区域,如行政办公楼、学生公寓楼等,无线AP可以安装在天花板或者网络配线间中,通过室内天线扩大覆盖区域,提高信号质量。此时无线AP的数量需要根据实测信号质量进行部署,尽量减少盲区。
(2)室外覆盖方案
在操场、校内广场等室外开阔区域,无线信号覆盖的范围较广,树木等干扰无线信号的因素较多,并且在部署无线设备时还必须考虑防盗、防水、防雷以及防高低温等因素,因此室外无线覆盖方案一般对无线设备要求比较高,必须使用专业的室外无线设备,并且优先考虑信号质量,无线AP部署时也应该选择大功率的室外无线AP。
四、现代校园无线网络管理
高校网络数据中心管理一个具有一定规模的校园无线网络(一般在几十个无线AP以上)是一件非常复杂的事情。从无线信号覆盖面、无线传输带宽、用户认证以及接入安全方面都需要考虑。由于早期的无线网络技术是单纯基于无线AP,因此对于无线网络的管理,都是需要在无线AP上进行。其工作量非常大,工作内容非常繁琐。并且由于无线局域网系统中,各AP之间必须相互协调工作,更改某一个AP的参数和配置有可能会引起其他所有AP之间的无线电波互相干扰,导致用户漫游、授权等出现问题。
为了解决以上问题,在设计部署方案时,可以使用具有集中式管理的瘦AP+无线控制器架构,该无线架构采取简单而强大的无线局域网集中式管理功能。无线控制器部署在核心机房,并作相应配置;无线AP自身不需要进行任何配置,AP的配置是从无线控制器上获取的。AP上接入的移动终端,在转发数据时通过隧道方式将数据转发到无线控制器,再由无线控制器将所有的数据转发出去。网管人员在无线控制器端就可以对无线AP和移动终端进行开通、管理和维护等操作,大大简化了网管人员的工作量,加强了无线网络的稳定性,提高了无线网络的维护效率。
五、结束语
校园无线网络是一个系统工程,因此在建设校园无线网络时应充分考虑到认证、部署、安全、管理等各方面的因素,才能够建设成广大校园网络用户满意的安全、稳定、快速、便捷的校园无线网络。随着无线网络技术和无线终端的不断发展和应用,还将会有更多新的需求和新的问题产生,因此我们必须在实践中不断的探索和总结,进一步细化建设方案,优化管理方案,才能使校园无线网络发挥出更大的作用。
参考文献:
[1]李文胜.无线校园网络安全分析及方案设计[J].现代计算机(专业版),2009(6):199.
[2]董春庆.无线网络局域网技术及应用[J].网络世界,2007(6).
[3]张丰翼.无线局域网安全机制研究[D].西安:西安电子科技大学,2004.
(编辑:金冉)