職業(yè)學(xué)院有線無(wú)線網(wǎng)絡(luò)融合設(shè)計(jì)

楊彥　沈宗果

摘要：隨著無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展，職業(yè)學(xué)院在網(wǎng)絡(luò)的規(guī)劃和建設(shè)中需要充分考慮無(wú)線網(wǎng)絡(luò)的重要性和無(wú)線網(wǎng)絡(luò)建設(shè)需求。文章就職業(yè)學(xué)院網(wǎng)絡(luò)建設(shè)進(jìn)行分析和設(shè)計(jì)。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；網(wǎng)絡(luò)融合；職業(yè)學(xué)院

網(wǎng)絡(luò)技術(shù)對(duì)教學(xué)的發(fā)展提供了更加廣闊的平臺(tái)，如利用手機(jī)進(jìn)行網(wǎng)絡(luò)教學(xué)的藍(lán)墨云班課等，對(duì)無(wú)線網(wǎng)絡(luò)的發(fā)展也提出了更高的要求。職業(yè)學(xué)院原有網(wǎng)絡(luò)多為有線網(wǎng)，新建設(shè)的無(wú)線網(wǎng)絡(luò)在原有線網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行建設(shè)，要設(shè)計(jì)出一套能夠?qū)崿F(xiàn)兩者結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)。

1.學(xué)院網(wǎng)絡(luò)總體結(jié)構(gòu)設(shè)計(jì)

學(xué)院所設(shè)計(jì)無(wú)線網(wǎng)為兩個(gè)部分，教學(xué)區(qū)和生活區(qū)網(wǎng)絡(luò)互相獨(dú)立，教學(xué)區(qū)網(wǎng)絡(luò)和原有有線網(wǎng)絡(luò)結(jié)合，采用固定IP的上網(wǎng)方式，對(duì)每個(gè)AP設(shè)置登陸密碼，SSID不進(jìn)行廣播；生活區(qū)無(wú)線網(wǎng)絡(luò)采用認(rèn)證方式，可以獨(dú)立運(yùn)行，由一臺(tái)AC設(shè)備對(duì)生活區(qū)無(wú)線網(wǎng)絡(luò)進(jìn)行管理。在核心層，通過(guò)一臺(tái)萬(wàn)兆交換機(jī)和校園網(wǎng)的有線網(wǎng)絡(luò)核心設(shè)備互聯(lián)，外掛一套綜合服務(wù)系統(tǒng)，主要進(jìn)行相應(yīng)的管理，如身份認(rèn)證、賬號(hào)計(jì)費(fèi)、上網(wǎng)日志審計(jì)、網(wǎng)絡(luò)管理等。

不同的樓宇所需接入點(diǎn)數(shù)量雖然不同，但為提高整網(wǎng)的安全性，所有區(qū)域都采用3層結(jié)構(gòu)。同時(shí)對(duì)于不同的樓宇，AP類型的選擇要根據(jù)用戶數(shù)量不同選擇不同型號(hào)，如用戶數(shù)量較少的辦公室，選用功率較小的AP設(shè)備，對(duì)于用戶數(shù)量較多的宿舍，選用功率較大的AP設(shè)備，POE交換機(jī)可以為AP設(shè)備直接供電，提高AP部署靈活性。

2.學(xué)院網(wǎng)絡(luò)總體安全設(shè)計(jì)

無(wú)線網(wǎng)安全分為7個(gè)部分：網(wǎng)絡(luò)結(jié)構(gòu)的安全、安全接入功能、統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出、出口的安全、IP地址規(guī)劃、SSID和VLAN劃分、網(wǎng)絡(luò)管理安全系統(tǒng)。

（1）網(wǎng)絡(luò)結(jié)構(gòu)的安全。一般職業(yè)學(xué)院網(wǎng)絡(luò)的規(guī)模屬于中型網(wǎng)絡(luò)，為了保證網(wǎng)絡(luò)的穩(wěn)定性，采用“瘦”AP+AC的單核心3層結(jié)構(gòu)，核心交換機(jī)處部署大規(guī)模智能AC設(shè)備，對(duì)整個(gè)網(wǎng)絡(luò)中的所有AP進(jìn)行集中管理。AC所承擔(dān)的任務(wù)較重，所有的數(shù)據(jù)都要經(jīng)過(guò)AC轉(zhuǎn)發(fā)，如果AC設(shè)備出現(xiàn)問(wèn)題，無(wú)線網(wǎng)絡(luò)將癱瘓，存在一定的隱患，可結(jié)合學(xué)院實(shí)際經(jīng)濟(jì)情況，采用單或雙AC+AP模式來(lái)保證網(wǎng)絡(luò)的安全。采用“瘦”AP+AC模式，AP負(fù)責(zé)的功能相對(duì)較少，AC設(shè)備要對(duì)AP設(shè)備進(jìn)行負(fù)載均衡，當(dāng)網(wǎng)絡(luò)中某些區(qū)域的AP接入用戶數(shù)量過(guò)多，AC設(shè)備要控制附近的AP進(jìn)行負(fù)載分擔(dān)。一般AC設(shè)備支持基于用戶流量和用戶數(shù)量的兩種分擔(dān)方式，當(dāng)用戶流量達(dá)到門限時(shí)，AC會(huì)使AP設(shè)備拒絕新增用戶的接入，用戶只能加入到附近未達(dá)到流量上限的AP設(shè)備。用戶數(shù)量控制的方式和流量控制類似。為了減輕AC控制的工作量，除了Ac控制外，對(duì)AP設(shè)備也設(shè)置最大連接用戶數(shù)，對(duì)用戶數(shù)量進(jìn)行控制。（2）接入功能的安全。采用無(wú)線入侵檢測(cè)系統(tǒng)（WIDS）模塊，可以對(duì)無(wú)線網(wǎng)絡(luò)的入侵攻擊進(jìn)行檢測(cè)和隔離，如果發(fā)生非法登錄、Dos攻擊或范洪攻擊等行為時(shí)，帶有WIDS模塊的AC設(shè)備可以自動(dòng)檢測(cè)發(fā)生攻擊的AP和客戶端，將它們從網(wǎng)絡(luò)中剔除，以保證網(wǎng)絡(luò)的安全，屏蔽有害入侵。合法用戶在AC設(shè)備上配置的有名單列表，不在列表內(nèi)的用戶無(wú)法接入無(wú)線網(wǎng)絡(luò)，有效避免非法用戶的攻擊。（3）用戶訪問(wèn)控制功能。針對(duì)不同權(quán)限的用戶采用訪問(wèn)控制，提供不同的服務(wù)質(zhì)量、帶寬等。對(duì)教師用戶一般不限制網(wǎng)絡(luò)帶寬，提供全面的服務(wù)；對(duì)學(xué)生用戶，需要進(jìn)行身份認(rèn)證，接入后要進(jìn)行帶寬限制，上網(wǎng)時(shí)間段限制。（4）出口安全功能。通過(guò)設(shè)置專用的防火墻設(shè)備，提高網(wǎng)絡(luò)出口的安全。對(duì)網(wǎng)絡(luò)的帶寬需要進(jìn)行合理的分配，網(wǎng)絡(luò)視頻節(jié)目越來(lái)越多，流媒體播放、大量P2P等APP應(yīng)用在移動(dòng)智能終端上使用量較大，對(duì)帶寬的要求較高，校園內(nèi)人員數(shù)量大且相對(duì)集中，給網(wǎng)絡(luò)出口帶來(lái)很大壓力。為了保證核心業(yè)務(wù)的順利進(jìn)行，需要流量控制設(shè)備對(duì)視頻、流媒體和P2P應(yīng)用進(jìn)行識(shí)別和流量控制。（5）IP地址規(guī)劃。無(wú)線網(wǎng)絡(luò)的IP地址主要有4種：用戶的IP地址、AP@IP地址、AC的IP地址和不同業(yè)務(wù)網(wǎng)關(guān)的IP地址。

教學(xué)區(qū)所有無(wú)線設(shè)備的IP地址設(shè)為固定IP，用戶登陸AP后，由AP自動(dòng)為用戶分派IP地址；生活區(qū)用戶的IP地址和AP的IP地址通過(guò)DHCP Server獲得，不需要手動(dòng)配置。

3.學(xué)院教學(xué)區(qū)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)

學(xué)院的教學(xué)區(qū)無(wú)線網(wǎng)是在原校園有線網(wǎng)的基礎(chǔ)上擴(kuò)展而成，由于學(xué)校的原有有線網(wǎng)，無(wú)線網(wǎng)的建設(shè)在層次化結(jié)構(gòu)的選擇上要根據(jù)實(shí)際情況進(jìn)行選擇。

3.1有線網(wǎng)和無(wú)線網(wǎng)結(jié)合方式分析

有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)間主要使用單核心3層結(jié)構(gòu)。

單核心3層結(jié)構(gòu)適用于用戶規(guī)模較大的WLAN，一般使用網(wǎng)關(guān)分離結(jié)構(gòu)。該結(jié)構(gòu)的核心交換機(jī)與匯聚交換機(jī)通過(guò)3層路由口互聯(lián)，無(wú)線用戶的VLAN信息通過(guò)CAPWAP隨道傳到AC，經(jīng)過(guò)AC處理后送入核心交換機(jī)，核心交換機(jī)與匯聚交換機(jī)是3層連接，不能透?jìng)饔脩舻腣LAN二層信息，所以無(wú)線用戶的網(wǎng)關(guān)配置不能在匯聚交換機(jī)上完成，核心交換機(jī)只作為網(wǎng)關(guān)交換機(jī)，通過(guò)3層網(wǎng)絡(luò)進(jìn)入外網(wǎng)。AP管理的配置和有線用戶的VLAN必須在匯聚交換機(jī)上完成，從而實(shí)現(xiàn)了無(wú)線用戶和有線用戶的網(wǎng)關(guān)在結(jié)構(gòu)上的分離。

（1）網(wǎng)管分離結(jié)構(gòu)優(yōu)點(diǎn)：這種結(jié)構(gòu)下核心交換機(jī)的壓力較小，在安全方面，不僅實(shí)現(xiàn)了多網(wǎng)段用戶統(tǒng)一管理，隔離了有線用戶和無(wú)線用戶，使網(wǎng)絡(luò)更加強(qiáng)健。（2）網(wǎng)管分離結(jié)構(gòu)缺點(diǎn)：不支持不同VLAN的用戶間數(shù)據(jù)轉(zhuǎn)發(fā)。

3.2教學(xué)區(qū)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

結(jié)合學(xué)院情況，教學(xué)區(qū)網(wǎng)絡(luò)采用有線和無(wú)線分離的方式，既能保證教學(xué)區(qū)內(nèi)為各個(gè)辦公室提供無(wú)線信號(hào)覆蓋，又能保障整個(gè)有線網(wǎng)絡(luò)的安全，使學(xué)院原有核心業(yè)務(wù)如學(xué)生信息、財(cái)務(wù)等核心業(yè)務(wù)不受影響。

4.教學(xué)區(qū)無(wú)線網(wǎng)絡(luò)安全設(shè)計(jì)

教學(xué)區(qū)無(wú)線網(wǎng)絡(luò)使用隱藏SSID，對(duì)無(wú)線AP進(jìn)行加密的方式提高網(wǎng)絡(luò)的安全性。

整體結(jié)構(gòu)上，為了保障原有線網(wǎng)絡(luò)中核心業(yè)務(wù)的安全，教學(xué)區(qū)無(wú)線網(wǎng)和有線網(wǎng)絡(luò)的融合采用網(wǎng)管分離結(jié)構(gòu)，使接入無(wú)線的用戶不能訪問(wèn)有線網(wǎng)絡(luò)，從而防止惡意攻擊者通過(guò)非法手段接入無(wú)線網(wǎng)絡(luò)，攻擊核心有線網(wǎng)的情況出現(xiàn)。

5.學(xué)院生活區(qū)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)

5.1生活區(qū)無(wú)線網(wǎng)絡(luò)需求分析

（1）服務(wù)對(duì)象需求分析。生活區(qū)主要針對(duì)學(xué)生用戶提供服務(wù)，和教學(xué)區(qū)分離，屬于網(wǎng)絡(luò)的兩個(gè)不同部分。隨著技術(shù)的發(fā)展，無(wú)線移動(dòng)設(shè)備的大量普及，智能手機(jī)、平板電腦、手提電腦等保有量越來(lái)越大，在校學(xué)生除了一部分擁有筆記本電腦外，幾乎人手一部智能手機(jī)，所以在生活區(qū)對(duì)無(wú)線網(wǎng)絡(luò)的需求量比較大，對(duì)網(wǎng)絡(luò)的帶寬要求較高。且學(xué)生用戶上網(wǎng)的時(shí)間段比較集中，對(duì)業(yè)務(wù)的需求以視頻、游戲等為主。（2）管理需求分析。由于服務(wù)對(duì)象主要是學(xué)生，而學(xué)生的上網(wǎng)行為對(duì)其學(xué)業(yè)的影響較大，為了能夠有效地對(duì)學(xué)生的上網(wǎng)行為進(jìn)行干預(yù)，需要在為學(xué)生提供網(wǎng)絡(luò)服務(wù)的同時(shí)進(jìn)行有效管理。

5.2生活區(qū)無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

根據(jù)以上需求，設(shè)計(jì)獨(dú)立成網(wǎng)的無(wú)線生活區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)上使無(wú)線網(wǎng)建設(shè)更加結(jié)構(gòu)分明，方便進(jìn)行整體規(guī)劃，安全上保證了整個(gè)網(wǎng)絡(luò)的強(qiáng)健，和有線網(wǎng)絡(luò)部分進(jìn)行隔離，降低了有線網(wǎng)絡(luò)部分的安全隱患。

獨(dú)立成網(wǎng)的無(wú)線網(wǎng)絡(luò)優(yōu)勢(shì)分析：（1）網(wǎng)絡(luò)結(jié)構(gòu)更加優(yōu)化。獨(dú)立的無(wú)線網(wǎng)和有線網(wǎng)絡(luò)互為備份，不管有線網(wǎng)還是無(wú)線網(wǎng)其中一方出現(xiàn)問(wèn)題時(shí)，另一方可以作為應(yīng)急措施，較好地保證校園網(wǎng)核心業(yè)務(wù)的正常進(jìn)行。兩者的結(jié)合能夠進(jìn)一步完善校園網(wǎng)的組網(wǎng)結(jié)構(gòu)，實(shí)現(xiàn)網(wǎng)絡(luò)資源的優(yōu)化使用。（2）統(tǒng)一的安全策略。獨(dú)立成網(wǎng)的無(wú)線網(wǎng)在架構(gòu)上不會(huì)影響有線網(wǎng)的安全，能夠制定全網(wǎng)統(tǒng)一的安全策略，如全網(wǎng)絡(luò)SSID的命名、全網(wǎng)的虛擬局域網(wǎng)（VLAN）規(guī)劃、認(rèn)證加密方式的選擇、用戶權(quán)限的訪問(wèn)控制等，方便了管理員進(jìn)行管理和維護(hù)。（3）整個(gè)無(wú)線網(wǎng)設(shè)備維護(hù)方便。獨(dú)立建設(shè)的無(wú)線網(wǎng)在設(shè)備選擇上可以選擇兼容陛較號(hào)的設(shè)備，一般選擇相同品牌的產(chǎn)品，設(shè)備間配合更加緊密，出現(xiàn)問(wèn)題可以方便替代和維護(hù)。（4）清晰劃分VLAN。無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間在邏輯上相互獨(dú)立，使無(wú)線網(wǎng)的VLAN劃分更清晰，有利于控制無(wú)線用戶進(jìn)行訪問(wèn)，保證無(wú)線網(wǎng)絡(luò)的安全。

生活區(qū)的網(wǎng)絡(luò)設(shè)計(jì)采用獨(dú)立成網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)上采取“瘦”AP+AC3層結(jié)構(gòu)模型，采用具備POE供電技術(shù)的交換機(jī)，方便管理。這樣可以做到邏輯上與有線網(wǎng)接入層的隔離，網(wǎng)絡(luò)的安全性提高，同時(shí)可以保證能夠根據(jù)信號(hào)覆蓋的實(shí)際需要對(duì)整個(gè)生活區(qū)實(shí)現(xiàn)全信號(hào)覆蓋，在設(shè)計(jì)和施工上更加自由。在設(shè)計(jì)上可以對(duì)無(wú)線網(wǎng)絡(luò)的后期擴(kuò)展進(jìn)行充分考慮，保障網(wǎng)絡(luò)的可發(fā)展性。

6.學(xué)院生活區(qū)無(wú)線網(wǎng)絡(luò)安全設(shè)計(jì)

6.1無(wú)線網(wǎng)絡(luò)安全需求分析

生活區(qū)無(wú)線網(wǎng)絡(luò)采用單獨(dú)成網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，在結(jié)構(gòu)上和有線網(wǎng)之間實(shí)現(xiàn)了隔離。面臨的安全問(wèn)題主要為網(wǎng)內(nèi)用戶的認(rèn)證、設(shè)備的管理。

用戶認(rèn)證需要根據(jù)用戶設(shè)備選擇最方便的認(rèn)證方式，對(duì)所有認(rèn)證在線用戶能夠進(jìn)行管理，需要控制器AC具有該功能。

6.2生活區(qū)無(wú)線網(wǎng)絡(luò)安全設(shè)計(jì)

采用獨(dú)立成網(wǎng)的無(wú)線網(wǎng)絡(luò)，在接入部分采用和有線網(wǎng)類似的方式對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，比如使用POE交換機(jī)端口控制，安全身份認(rèn)證，將無(wú)線用戶的MAC地址和IP地址進(jìn)行綁定等措施，和有線網(wǎng)的用戶管理獨(dú)立開(kāi)來(lái)，這樣就避免了對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行大量復(fù)雜的配置。

生活區(qū)核心交換機(jī)再連接學(xué)院總核心交換機(jī)，由總交換機(jī)為生活區(qū)核心交換機(jī)提供網(wǎng)絡(luò)接口。

獨(dú)立成網(wǎng)的無(wú)線網(wǎng)絡(luò)隔離了有線用戶，保障了有線用戶的安全，可以對(duì)無(wú)線用戶統(tǒng)一實(shí)施安全策略，提高了網(wǎng)絡(luò)的安全水平，和有線網(wǎng)絡(luò)的結(jié)合提高了網(wǎng)絡(luò)的可用性，但是由于無(wú)線網(wǎng)絡(luò)的信號(hào)是開(kāi)放的，所面臨的安全壓力較大，需要在無(wú)線網(wǎng)絡(luò)的安全上采取完善的措施來(lái)保障網(wǎng)絡(luò)的安全。

7.結(jié)語(yǔ)

本文介紹了學(xué)院網(wǎng)絡(luò)的整體設(shè)計(jì)，在教學(xué)區(qū)采用和有線網(wǎng)絡(luò)結(jié)合，但邏輯上分離的結(jié)構(gòu)，對(duì)教學(xué)區(qū)各無(wú)線接入點(diǎn)采用物理地址過(guò)濾，隱藏SSID等方式保障安全；生活區(qū)使用獨(dú)立成網(wǎng)的建設(shè)方式，可以使生活區(qū)網(wǎng)絡(luò)的安全性能大幅提高，提高了網(wǎng)絡(luò)的抗攻擊能力，保證核心業(yè)務(wù)的順利運(yùn)行，并可以進(jìn)行更加自由的設(shè)計(jì)，充分考慮網(wǎng)絡(luò)的后續(xù)建設(shè)。