實驗室Wi-Fi網(wǎng)絡(luò)的部署及其安全管理研究

梁雄波

（1.廣東肇慶廣播電視大學(xué)，廣東　肇慶　526020；2.肇慶市第一中等職業(yè)學(xué)校，廣東　肇慶　526020）

實驗室Wi-Fi網(wǎng)絡(luò)的部署及其安全管理研究

梁雄波

（1.廣東肇慶廣播電視大學(xué)，廣東肇慶526020；2.肇慶市第一中等職業(yè)學(xué)校，廣東肇慶526020）

本文針對高校計算機實驗室環(huán)境需求，提出了Wi-Fi網(wǎng)絡(luò)的構(gòu)建原則，提出了基本的部署方案，并應(yīng)對實驗室網(wǎng)絡(luò)環(huán)境的安全需求設(shè)計相應(yīng)的安全管理方案，以供高校計算機實驗室網(wǎng)絡(luò)架設(shè)工作的參考。

實驗室；Wi-Fi網(wǎng)絡(luò)；網(wǎng)絡(luò)部署；安全管理策略

1　Wi-Fi網(wǎng)絡(luò)的優(yōu)勢及基本部署原則

Wi-Fi本身的局域網(wǎng)特性支持多臺電腦互聯(lián)互通，有效打破了傳統(tǒng)有線網(wǎng)絡(luò)端口數(shù)量局限性的問題。就實驗室應(yīng)用而言，Wi-Fi網(wǎng)絡(luò)本身不再依賴實體布線、提升網(wǎng)絡(luò)多樣化訪問途徑的優(yōu)勢是最為突出的，這也是實驗室網(wǎng)絡(luò)部署中應(yīng)用Wi-Fi網(wǎng)絡(luò)的核心需求。

無線網(wǎng)絡(luò)是以無線信號作為數(shù)據(jù)傳輸介質(zhì)的，所以如何保證信號的覆蓋就是部署無線網(wǎng)絡(luò)的關(guān)鍵，這里有幾點需要注意：

第一，Wi-Fi無線網(wǎng)絡(luò)部署時應(yīng)盡量放置在實驗室區(qū)域的中心。由于無線信號的覆蓋是以發(fā)射點為基礎(chǔ)的圓形覆蓋，且距離越近信號越強，所以這一部署對未來的應(yīng)用有著非常重要的作用。

第二，無線訪問節(jié)點（AP）應(yīng)當(dāng)避免靠近微波爐、無線電等會產(chǎn)生信號干擾的電子設(shè)備。

第三，避免過度追求成本，盡量讓每個工位上能找到兩個以上的“熱點”(信號源)，當(dāng)然由于距離的不同，會有信號的強弱，但如果完全憑借一個AP的覆蓋范圍去支持應(yīng)用，一旦AP出現(xiàn)故障，會影響整個區(qū)域的應(yīng)用。也不要為了美觀把AP藏起來，這當(dāng)然還是出于信號強度的考慮。

2　實驗室Wi-Fi網(wǎng)絡(luò)需求與部署要點分析

本文主要從以下幾點考慮了實驗室Wi-Fi網(wǎng)絡(luò)的基本需求：

第一，環(huán)境需求。實驗室環(huán)境一般相對復(fù)雜，包括建筑設(shè)計以及空間內(nèi)其他電子電氣設(shè)備干擾問題等，因此在設(shè)計中必須考慮Wi-Fi網(wǎng)絡(luò)的干擾問題，設(shè)定合適的現(xiàn)場參數(shù)。結(jié)合筆者所在院校計算機實驗室的情況來看，所有實驗室分布在教學(xué)樓六、七、八三層；三層均有辦公室、實驗室和網(wǎng)絡(luò)機房，其中一層還有專門的管理室。在整個應(yīng)用空間內(nèi)，用戶數(shù)量相對較少，因此不需要滿足較高的網(wǎng)絡(luò)吞吐量需求，可供300個以內(nèi)用戶訪問即可；由于實驗室區(qū)域存在2.4GHz頻段干擾，因此需要考慮盡可能避開干擾區(qū)域以保障通信質(zhì)量，同時也需要在應(yīng)用中提醒用戶遠離此類干擾源（包括固定電話和微波爐）。

第二，應(yīng)用需求。結(jié)合用戶所需，需要保證無線覆蓋范圍，并保障網(wǎng)絡(luò)容量，其中：覆蓋范圍可以通過合理增加AP數(shù)量、調(diào)整AP位置來提供保障，一般室內(nèi)AP覆蓋范圍主要為20-30m，而計算機實驗室一般覆蓋面較小，不需要覆蓋多個AP，但考慮到非實驗室區(qū)域訪問需求特點（用戶分散但訪問需求量較?。?，因此可以在實驗室以外區(qū)域每隔20m設(shè)置一個AP，保證基本網(wǎng)絡(luò)覆蓋即可；網(wǎng)絡(luò)容量方面不需要提供較高標(biāo)準(zhǔn)，但需要保證基本的穩(wěn)定性，雖然不同Wi-Fi標(biāo)準(zhǔn)的傳輸速率差異較大，但目前市場上常見的設(shè)備大多能夠支持最新標(biāo)準(zhǔn)，因此可以采用傳輸速率最高的IEEE802.11n標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)最高傳輸速率可達300Mbit/s，完全能夠滿足用戶需求，不過在應(yīng)用中需要考慮多AP接入的網(wǎng)絡(luò)沖擊問題，因此不在實驗室以外區(qū)域設(shè)置過多AP。另外，考慮到目前Wi-Fi技術(shù)發(fā)展中的多頻段條件，可以利用這一條件設(shè)置5.8GHz頻段（包括149、153、157、161、165信道，信道抗干擾能力較強）提供額外頻道組網(wǎng)，便于個別對Wi-Fi網(wǎng)絡(luò)有較高穩(wěn)定性需求的應(yīng)用系統(tǒng)測試使用。

第三，安全性需求。Wi-Fi網(wǎng)絡(luò)屬于典型的半開放式網(wǎng)絡(luò)，因此在實際網(wǎng)絡(luò)服務(wù)中存在多種安全問題，因此網(wǎng)絡(luò)規(guī)劃必須考慮安全服務(wù)的部署，目前常用的Wi-Fi網(wǎng)絡(luò)安全方案有集團認證、本地認證和家庭用戶認證三類。從實驗室Wi-Fi網(wǎng)絡(luò)的需求來看，用戶數(shù)量較少、且不需要用于商業(yè)運營，實際網(wǎng)絡(luò)搭建中所能投入的成本也十分有限，因此建議使用家庭用戶認證策略，采用安全性較高的WPA2-PSD認證和AES算法來保證網(wǎng)絡(luò)安全，同時關(guān)閉SSID廣播并設(shè)置MAC地址過濾策略來進一步限制非法訪問風(fēng)險。

3　實驗室Wi-Fi網(wǎng)絡(luò)部署與安全管理應(yīng)用策略

首先，設(shè)計部署方案。結(jié)合上述實驗室Wi-Fi網(wǎng)絡(luò)使用需求，設(shè)計中采用簡單的綜合布線，Wi-Fi網(wǎng)絡(luò)實現(xiàn)方面采用路由器輔助無線AP的方式進行Wi-Fi部署，其中外網(wǎng)訪問由路由器實現(xiàn)。該方案中具體設(shè)備選擇如下：AP選用商業(yè)級設(shè)備中價格相對低廉的思科Aironet1000系列設(shè)備；交換機采用內(nèi)置控制器的思科Catalyst3000系列設(shè)備；系統(tǒng)考慮了外網(wǎng)數(shù)據(jù)安全性問題，使用了防火墻作為安全檢測設(shè)備，設(shè)備使用思科IDS4200。

為了優(yōu)化系統(tǒng)安全管理，本文采用了基于網(wǎng)絡(luò)檢測掃描的自主安全控制策略。選擇Acrylic進行主動檢測，入侵檢測模塊可以在windows、Mac OSX、Linux和BSD上運行。Acrylic是Wi-Fi分析軟件，可以識別接入點和Wi-Fi信道，并且可以實時分析802.11a/b/g/n/ac無線網(wǎng)絡(luò)。其最主要的特點是可以針對SSID的利用率來進行特定的安全防護，比如在發(fā)現(xiàn)流量較高的AP后可以針對具體情況判斷MAC地址的合法性并判斷是否在已登記設(shè)備之內(nèi)，進而保障網(wǎng)絡(luò)安全性。同時Acrylic也提供了網(wǎng)絡(luò)攻擊預(yù)警功能，可以通過網(wǎng)絡(luò)請求、反饋的實際情況判斷網(wǎng)絡(luò)占用，如果存在惡意攻擊行為，軟件也能夠快速進行反映，向管理者進行警告和提醒。相對于其他主流的Wi-Fi網(wǎng)絡(luò)監(jiān)測工具而言，Acerylic擁有兼容性強、價格低廉等顯著優(yōu)勢，對實驗室Wi-Fi網(wǎng)絡(luò)的簡單應(yīng)用來說已經(jīng)足夠應(yīng)付絕大多數(shù)問題。

4　總結(jié)

本文簡要闡述了實驗室Wi-Fi網(wǎng)絡(luò)的部署方案和安全管理策略，能夠為學(xué)校計算機實驗室網(wǎng)絡(luò)環(huán)境搭建提供參考。從未來發(fā)展來看，Wi-Fi會成為局域網(wǎng)構(gòu)建中的必要組成部分，但Wi-Fi技術(shù)本身傾向于便利性的特點也使得安全性保障較為困難，這也給網(wǎng)絡(luò)設(shè)計者帶來一定的障礙。因此，有必要在Wi-Fi網(wǎng)絡(luò)設(shè)計中進行合理的安全性考量，以保障網(wǎng)絡(luò)運行的穩(wěn)定性和安全性。

[1]馬欣，王勝開，冉晨光．發(fā)展Wi-Fi網(wǎng)絡(luò)需解決的問題研究[J]．互聯(lián)網(wǎng)天地，2015(2)．

[2]邱煥枝，陳永燦，范潮升，等．基于WiFi物聯(lián)網(wǎng)技術(shù)的智慧教室系統(tǒng)分析[J]．企業(yè)技術(shù)開發(fā)月刊，2016，35(3)：62-63．

[3]郭?。甒i-Fi應(yīng)用安全現(xiàn)狀及對策[J]．電子技術(shù)與軟件工程，2015(11)：230-231．

Deployment of Laboratory Wi-Fi Network and the Security Management Research

Liang Xiongbo
(1.Guangdong Radio and TV University,Zhaoqing 526020,Guangdong; 2.The first Secondary Vocational School of Zhaoqing,Zhaoqing 526020,Guangdong)

In view of the needs of university computer lab environment,this paper proposes the building principle of Wi-Fi network,puts forward the basic deployment plan and addresses the security needs of the laboratory network environment to design appropriate safety management programs,providing reference for the construction of university computer lab network.

laboratory;Wi-Fi network;network deployment;security management strategy

TN915.08

A

1008-6609(2016)06-0055-02

梁雄波，男，廣東新興人，本科，助理實驗師，研究方向：實驗室管理和實驗教學(xué)。