社會(huì)主義學(xué)院無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)探析

王 琦

(中央社會(huì)主義學(xué)院，北京 100081)

隨著教育信息化的發(fā)展，社會(huì)主義學(xué)院對(duì)移動(dòng)辦公、移動(dòng)學(xué)習(xí)的需求也相應(yīng)增加，特別是智能手機(jī)、PAD 等相關(guān)終端APP 應(yīng)用的快速普及，迫切需要建設(shè)覆蓋教學(xué)、辦公樓宇的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境。采用適應(yīng)國(guó)際主流的無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)，研究社會(huì)主義學(xué)院無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)目標(biāo)和建設(shè)原則，探析無(wú)線(xiàn)網(wǎng)絡(luò)部署、安全設(shè)計(jì)、防病毒和無(wú)線(xiàn)入侵檢測(cè)以及校園無(wú)線(xiàn)網(wǎng)絡(luò)管理方面的問(wèn)題，并提出解決方案已成當(dāng)務(wù)之急。

一、社會(huì)主義學(xué)院無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)目標(biāo)和建設(shè)原則

無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，在實(shí)際建設(shè)過(guò)程中，不同地區(qū)、不同行業(yè)、不同領(lǐng)域，建設(shè)的目標(biāo)和原則各不相同。綜合考慮社會(huì)主義學(xué)院無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)需求、技術(shù)、管理及高校的先驅(qū)經(jīng)驗(yàn)，要明確以下建設(shè)目標(biāo)和建設(shè)原則。

(一)建設(shè)目標(biāo)

要求完成辦公、教學(xué)樓宇全方位立體式無(wú)線(xiàn)覆蓋，保證被覆蓋的網(wǎng)絡(luò)訪(fǎng)問(wèn)流暢，教職工可以依托無(wú)線(xiàn)網(wǎng)絡(luò)完成教學(xué)科研以及辦公事務(wù)，學(xué)員可以輕松接入數(shù)字圖書(shū)館、在線(xiàn)學(xué)習(xí)等應(yīng)用系統(tǒng)獲取資源，訪(fǎng)客可以順暢的訪(fǎng)問(wèn)互聯(lián)網(wǎng)絡(luò)。同時(shí)，盡量利用現(xiàn)在的有線(xiàn)資源，保護(hù)原有投資。

(二)建設(shè)原則

社會(huì)主義學(xué)院無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)以“安全快速、操作簡(jiǎn)易、統(tǒng)一管理、利舊兼容”為建設(shè)原則。

安全快速:基于無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)實(shí)質(zhì)物理鏈路的特性，決定了無(wú)線(xiàn)網(wǎng)絡(luò)具有可廣泛接入的隱患。因此，無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)首先要具備高安全性，必須通過(guò)技術(shù)手段提供完整的安全防范措施。在保證安全的情況下，無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)可覆蓋區(qū)域和強(qiáng)度決定了接入速度的體驗(yàn)，因此，在校園設(shè)計(jì)無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，需要根據(jù)現(xiàn)場(chǎng)的實(shí)際情況有針對(duì)性地部署，以保障無(wú)線(xiàn)網(wǎng)絡(luò)高速快捷。

操作簡(jiǎn)易:社會(huì)主義學(xué)院信息部門(mén)的人員增長(zhǎng)速度總是無(wú)法應(yīng)對(duì)網(wǎng)絡(luò)規(guī)模的日漸龐大復(fù)雜性要求。無(wú)線(xiàn)網(wǎng)絡(luò)接入層應(yīng)具有即插即用能力，客戶(hù)端具有零安裝、零維護(hù)特點(diǎn)，在保障網(wǎng)絡(luò)安全的情況下提供快捷及智能訪(fǎng)問(wèn)。

統(tǒng)一管理:基于無(wú)線(xiàn)網(wǎng)設(shè)備部署場(chǎng)景不同，無(wú)線(xiàn)設(shè)備安裝也不具備統(tǒng)一性，無(wú)線(xiàn)AP 安裝環(huán)境包括房間、走廊、立桿、平臺(tái)等多種組合，因此，對(duì)設(shè)備及日常管理的維護(hù)是個(gè)較大的挑戰(zhàn)。這就要求無(wú)線(xiàn)接入網(wǎng)絡(luò)應(yīng)具備集中管理和維護(hù)特性，并通過(guò)統(tǒng)一管理系統(tǒng)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行在線(xiàn)監(jiān)測(cè)和實(shí)時(shí)調(diào)控，及時(shí)查找并排除故障。

利舊兼容:各社會(huì)主義學(xué)院的有線(xiàn)網(wǎng)絡(luò)發(fā)揮了重要的信息化整合和傳遞作用。為降低投資額度，無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)應(yīng)充分考慮現(xiàn)有樓宇的裝修和有線(xiàn)網(wǎng)絡(luò)部署狀況，在滿(mǎn)足要求的情況下，盡量利用現(xiàn)有的線(xiàn)路、設(shè)備和基礎(chǔ)設(shè)施進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)。

二、關(guān)鍵技術(shù)設(shè)計(jì)

(一)無(wú)線(xiàn)網(wǎng)絡(luò)部署方案

當(dāng)前無(wú)線(xiàn)網(wǎng)絡(luò)部署方式主要有放裝、室分、智分三種形式，幾種部署方式適合不同的應(yīng)用場(chǎng)景，簡(jiǎn)單對(duì)比如下表:

部署方式實(shí)現(xiàn)原理 實(shí)現(xiàn)效果 施工難易度樓道大堂大開(kāi)間放裝方式AP 和天線(xiàn)都部署在樓道、大堂、大開(kāi)間樓道放裝方式對(duì)于鋼混承重墻分隔情況衰減較大，樓道信號(hào)非常強(qiáng)，而辦公室內(nèi)信號(hào)較弱。大堂、大開(kāi)間放裝在合理設(shè)計(jì)AP 點(diǎn)位的情況下，接入效果非常好。需施工，需建設(shè)無(wú)線(xiàn)AP的有線(xiàn)回傳鏈路。室內(nèi)墻座放裝方式利用室內(nèi)現(xiàn)有墻面信息面板進(jìn)行無(wú)線(xiàn)網(wǎng)改造，AP 放置在辦公室。室內(nèi)接入效果良好。須辦公室已有較為充足的有線(xiàn)網(wǎng)絡(luò)接口墻座，如果不足，將需要考慮和原有網(wǎng)絡(luò)共用的問(wèn)題。室分系統(tǒng)方式性能較為低下，在上網(wǎng)高峰期，會(huì)出現(xiàn)網(wǎng)速慢的情況部署十分復(fù)雜，需要在墻壁上打孔，樓道需施工，需建設(shè)無(wú)線(xiàn)AP的有線(xiàn)回傳鏈路。網(wǎng)絡(luò)的管理和維護(hù)工作量大。把AP 部署在走廊或弱電間，而天線(xiàn)部署在房間內(nèi)，AP 和天線(xiàn)之間通過(guò)饋線(xiàn)連接，中間還需要加裝功分器和耦合器等設(shè)備。智分系統(tǒng)方式綜合了放裝方式和室分方式的優(yōu)點(diǎn)，AP 部署在任意位置，通過(guò)饋線(xiàn)延伸可以把天線(xiàn)部署在辦公室內(nèi)。無(wú)需功分器、耦合器，集成了射頻卡。性能不再成為瓶頸，適合辦公室這樣的密集部署環(huán)境，在上網(wǎng)高峰期，網(wǎng)速仍可保持穩(wěn)定。部署較室分簡(jiǎn)單，易于管理和維護(hù)。仍需鉆孔，但孔較室分小。

要綜合考慮環(huán)境、面積、建筑結(jié)構(gòu)、建筑材質(zhì)、設(shè)備性能和小氣候等多個(gè)因素，分區(qū)分片的進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)部署設(shè)計(jì)，且在實(shí)施前進(jìn)行必要的信號(hào)強(qiáng)度測(cè)試。同時(shí)，無(wú)線(xiàn)網(wǎng)絡(luò)部署必須盡量不破壞原有裝修。

以中央社會(huì)主義學(xué)院為例，辦公樓是一棟六層樓房，為長(zhǎng)條筒形建筑，中間為廊道，兩側(cè)布設(shè)各部門(mén)辦公室，房間結(jié)構(gòu)相對(duì)標(biāo)準(zhǔn)統(tǒng)一;教學(xué)樓為四層建筑，中心為中空大廳，周圈各教室形成圍合式結(jié)構(gòu)。在裝設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，我們需要綜合考慮利舊、實(shí)現(xiàn)效果和施工實(shí)施的難度，考慮在學(xué)院原有的有線(xiàn)網(wǎng)絡(luò)基礎(chǔ)，進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)部署。辦公室、小型會(huì)議室等房間密集型環(huán)境采取室內(nèi)墻座放裝方式，走廊覆蓋不佳的地方在廊道頂棚內(nèi)敷設(shè)AP作為輔助;教室、大型會(huì)議室、休息室、大廳等大開(kāi)間、高密度的環(huán)境采用高性能室內(nèi)放裝的方式。由于建筑不規(guī)則，在無(wú)線(xiàn)AP 點(diǎn)位設(shè)計(jì)過(guò)程中，需要考慮不同建筑對(duì)信號(hào)衰減的干擾，合理分配無(wú)線(xiàn)接入點(diǎn)的部署位置，輔以X－Sense 智能天線(xiàn)、智能負(fù)載調(diào)節(jié)等技術(shù)，讓無(wú)線(xiàn)信號(hào)覆蓋到所有角落，使之真正滿(mǎn)足辦公和教學(xué)科研需求。

(二)安全設(shè)計(jì)

無(wú)線(xiàn)網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)工程，不同的業(yè)務(wù)特征有著不同的需求。具體到社會(huì)主義學(xué)院無(wú)線(xiàn)網(wǎng)絡(luò)，在滿(mǎn)足設(shè)備級(jí)、網(wǎng)絡(luò)級(jí)的安全特性外，安全策略主要包括用戶(hù)終端管理、防病毒和入侵檢測(cè)以及無(wú)線(xiàn)網(wǎng)絡(luò)管理等方面。

1、用戶(hù)終端管理

無(wú)線(xiàn)終端是用戶(hù)登錄并訪(fǎng)問(wèn)網(wǎng)絡(luò)的起點(diǎn)，更是病毒傳播、從內(nèi)部發(fā)起惡意攻擊、內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭［1］。用戶(hù)終端管理的部署包括身份認(rèn)證、安全檢查、用戶(hù)綁定、權(quán)限和帶寬控制、用戶(hù)隔離以及監(jiān)控審計(jì)六個(gè)層面。

(1)身份認(rèn)證系統(tǒng)設(shè)計(jì)

校園無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)主要有三類(lèi):教職工、學(xué)員和訪(fǎng)客。教職工和學(xué)員要求能夠隨時(shí)隨地接入無(wú)線(xiàn)網(wǎng)絡(luò)，訪(fǎng)問(wèn)社院辦公平臺(tái)、圖書(shū)館數(shù)字資源以及在線(xiàn)學(xué)習(xí)平臺(tái)等學(xué)院內(nèi)部資源，可以使用終端智能識(shí)別的WEB 認(rèn)證;訪(fǎng)客主要是來(lái)學(xué)校參觀(guān)、培訓(xùn)或者進(jìn)行學(xué)術(shù)交流的一些用戶(hù)，對(duì)他們來(lái)說(shuō)最重要的就是可以即時(shí)接入互聯(lián)網(wǎng)絡(luò)，可以使用訪(fǎng)客手機(jī)自身認(rèn)證。

身份認(rèn)證系統(tǒng)建立了覆蓋全員的身份管理，員工賬號(hào)與現(xiàn)有辦公平臺(tái)的員工數(shù)據(jù)相對(duì)接，訪(fǎng)客的手機(jī)號(hào)作為登陸賬號(hào)。實(shí)名管理機(jī)制建立了網(wǎng)絡(luò)世界與現(xiàn)實(shí)之間的聯(lián)系，便于精確定位和追根溯源網(wǎng)絡(luò)中出現(xiàn)的安全問(wèn)題，能夠提高用戶(hù)的責(zé)任意識(shí)，有效預(yù)防和控制不負(fù)責(zé)的網(wǎng)絡(luò)行為，從而降低無(wú)線(xiàn)網(wǎng)絡(luò)的安全隱患。

(2)安全檢查

除身份認(rèn)證外，系統(tǒng)還須對(duì)接入終端實(shí)施安全檢查，當(dāng)接入用戶(hù)不符合既定安全策略時(shí)，采用自動(dòng)阻斷、強(qiáng)制隔離等方式處理，切斷有安全隱患的終端對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的影響。

(3)用戶(hù)綁定

對(duì)用戶(hù)信息進(jìn)行多維度綁定，可將用戶(hù)的帳號(hào)與接入的SSID、關(guān)聯(lián)AP/AC的IP 和MAC 地址進(jìn)行標(biāo)識(shí)。一旦出現(xiàn)問(wèn)題，能夠快速定位事發(fā)用戶(hù)、終端甚至位置。

(4)權(quán)限和帶寬控制

配合身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)精細(xì)化的無(wú)線(xiàn)用戶(hù)管理。通過(guò)劃分SSID 可以將用戶(hù)接入相應(yīng)的VLAN 內(nèi)，SSID 和VLAN 一一對(duì)應(yīng)，通過(guò)設(shè)定VLAN 權(quán)限做到帶寬和用戶(hù)訪(fǎng)問(wèn)權(quán)限的靈活控制。對(duì)教職工和學(xué)員給予較高的帶寬等級(jí)，并根據(jù)業(yè)務(wù)特點(diǎn)劃分相應(yīng)的訪(fǎng)問(wèn)權(quán)限;訪(fǎng)客只給予最基本的帶寬、只可訪(fǎng)問(wèn)互聯(lián)網(wǎng)。

(5)用戶(hù)隔離

訪(fǎng)客劃入單獨(dú)的SSID，院內(nèi)用戶(hù)根據(jù)不同的業(yè)務(wù)特性也劃分為多個(gè)SSID。采用用戶(hù)隔離技術(shù)，一是將訪(fǎng)客和院內(nèi)用戶(hù)的流量完全隔離開(kāi)來(lái)，二是認(rèn)真分析院內(nèi)業(yè)務(wù)特點(diǎn)，按需對(duì)各SSID 子網(wǎng)或VLAN的用戶(hù)實(shí)施隔離，以保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)資源的安全。

(6)監(jiān)控審計(jì)

公安部82 號(hào)令要求，即《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》:“記錄并留存用戶(hù)訪(fǎng)問(wèn)的互聯(lián)網(wǎng)地址或域名?！毙柚攸c(diǎn)考慮對(duì)用戶(hù)行為記錄的查詢(xún)、審計(jì)和控制，實(shí)時(shí)監(jiān)控?zé)o線(xiàn)終端接入網(wǎng)絡(luò)后的行為，保障無(wú)線(xiàn)網(wǎng)絡(luò)的合法使用。

2、防病毒和入侵檢測(cè)

病毒具有很強(qiáng)的破壞性，復(fù)制性和傳染性、為了保證無(wú)線(xiàn)網(wǎng)絡(luò)能夠安全運(yùn)行，必須部署防病毒系統(tǒng)，通過(guò)積極的防御和強(qiáng)大的查殺功能，防殺結(jié)合，將病毒隔離在網(wǎng)絡(luò)大門(mén)之外，從而保障日常業(yè)務(wù)工作的正常進(jìn)行。

購(gòu)買(mǎi)無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)，對(duì)設(shè)備和系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)控，監(jiān)視交有效分析用戶(hù)的活動(dòng)，及時(shí)檢測(cè)到攻擊事件的發(fā)生，準(zhǔn)確識(shí)別攻擊來(lái)源，并給出報(bào)警和審計(jì)信息。

3、無(wú)線(xiàn)網(wǎng)絡(luò)管理

管理一個(gè)具有一定規(guī)模的校園無(wú)線(xiàn)網(wǎng)絡(luò)是一件非常復(fù)雜的事情，工作量巨大且繁瑣。一是使用具有無(wú)線(xiàn)局域網(wǎng)集中式管理功能的瘦AP +無(wú)線(xiàn)控制器架構(gòu)，網(wǎng)管員在無(wú)線(xiàn)控制器端對(duì)無(wú)線(xiàn)AP和移動(dòng)終端進(jìn)行開(kāi)通、管理和維護(hù)等操作，AP 自身不需要進(jìn)行任何配置。此架構(gòu)增強(qiáng)了無(wú)線(xiàn)網(wǎng)絡(luò)的穩(wěn)定性，極大地提高無(wú)線(xiàn)網(wǎng)絡(luò)的維護(hù)效率。二是建立無(wú)線(xiàn)局域網(wǎng)網(wǎng)管系統(tǒng)，深入了解設(shè)備的配置、運(yùn)行、性能以及故障等信息，對(duì)校園無(wú)線(xiàn)網(wǎng)絡(luò)的工作狀態(tài)進(jìn)行直觀(guān)和詳細(xì)地監(jiān)控，確保無(wú)線(xiàn)網(wǎng)絡(luò)正確運(yùn)轉(zhuǎn)。三是制定完備的管理制度，加強(qiáng)用戶(hù)教育，同時(shí)不斷提高網(wǎng)管員的業(yè)務(wù)水平。

校園無(wú)線(xiàn)網(wǎng)的規(guī)劃建設(shè)是一項(xiàng)艱巨而長(zhǎng)期的工作，隨著無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)不斷發(fā)展，還將會(huì)有更多新的問(wèn)題和新的需求產(chǎn)生。必須不斷探索，充分考慮部署、安全、管理等各方面因素，才能充分應(yīng)用先進(jìn)技術(shù)推進(jìn)全國(guó)社會(huì)主義學(xué)院信息化建設(shè)事業(yè)的科學(xué)發(fā)展。

［1］賈曉?。绾螛?gòu)建全面的終端準(zhǔn)入控制［EB/OL］．http://blog．sina．com．cn/s/blog_61bd83dc01017 jt8．html，2012－10－10．