无线校园网络安全构建(共12篇)
无线校园网络安全构建 篇1
随着网络通信技术的发展和教育数字信息化的推广, 很多学校已经建立了校园网和基于校园网的综合信息化教学平台。这些平台综合资源丰富、交互性强, 基于有线的网络已经不能更好满足师生的学习和交流的需求。如在会议室、多媒体教室、图书馆、休息区、体育场馆等场所师生都希望能够接入校园网进行学习, 而且现在也越来越多师生在使用智能手机、便携式电脑等移动终端;他们渴望能实时、有效的获取信息, 这就要求有线与无线网络能够有效结合使用, 以满足师生在学习上、生活上的各种需求。同时这种教学模式的改变, 对学校的教学管理和教学理念也会产生新的影响。
1 无线局域网概述
无线局域网 (Wireless Local Area Networks简称WLAN) 是使用无线传输技术实现信号在空中传输, 这就实现了可移动的通信, 也使得在一定范围内可以实现随时随地的通信。这对提高办公与学习效率有很大的促进作用。
1.1 无线传输标准协议
为了统一无线传输的标准, IEEE制定了IEEE802.11系列协议。随着技术的不断发展, 无线传输也越来越成熟, 并能满足现在的大多数应用。目前IEEE802.11b采用2.4 GHz ISM频段网络吞吐速率可以达到11Mbpps;IEEE802.11a采用5.2 GHz ISM频段网络吞吐速率可以达到54Mbpps;2001年IEEE制定802.11g标准, 它兼容802.11b和802.11a, 网络吞吐速率达到54Mbpps;而IEEE推出的最新标准802.11n可以实现网络吞吐速率高达600 Mbpps, 这对无线网络的发展起到极大的推进作用。
1.2 无线局域网的优势
对于有线校园网来说, 无线校园网具有非常大的灵活性, 对布线受制约的场所设置相对容易;维护成本相对较低;故障维修方便;覆盖可以实现无网络盲点等, 具体如下:
1) 建网综合成本不高、建设周期短。随着无线技术发展和无线网络的应用不断增加, 无线网络设备已经普及使用, 无线网络的成本与有线网络相比相差无几。同时, 无线网络的建设可以减少网络布线所需要的费用的时间, 建设周期缩短、故障定位与维护方便。
2) 网络覆盖面广、减少网络盲点。在一个地方安装无线接入点AP设备, 就可以在一定的范围内实现网络的覆盖, 受环境条件的影响较小, 单个AP在空旷的地方可以覆盖半径150M或更远。网络覆盖的范围与AP的性能和数量有关。
3) 移动性强, 便于教学工作的开展。无线校园网的一个重大特点就是可以实现从一个地方到另一个地方无间断的通信。这样用户可以随时随地的接入网络并在移动过程中一直保持通信, 这就可以随时查询信息、连接教学的资源库、参加视频会议等, 有效的提高工作和学习效率。
4) 组网灵活方便、扩充容易。无线校园网具有良好的可扩容性, 因为可接入用户的数量与就近的AP的性能有关, 增加AP或更换性能更好的AP就可实现扩容, 在信号覆盖范围内任何地方都可以都可以接入网络, 并进行通讯。对于新的区域进行扩充建设也比较方便。
2 无线局域网的组成
无线局域网的组成主要包括无线网卡、无线接入点 (AP) 、计算机和有关设备, 简称无线局域网。学校组建无线网络有两种情况:一种是学校本身已经组建了有线的网络, 组建无线网络可以在不改变原来网络体系结构的基础上对整个校园网进行延伸和扩展。别一种情况是:还没有校园网络或重新建设校园网络, 组建无线网络可以减少或避免架设线路的各种费用, 节约成本支出。整个网络架构可以由以太网互联设备如路由器、交换机等建成校园主干网络, 再利用无线接入点 (AP) 来接入移动或固定的客户端。这些客户端可以是配有无线网卡的台式电脑、笔记本和其它移动设备。具体示例图1。
主要使用配置说明:
无线接入点 (AP) , AP是无线网络的核心设备, 它的作用是将需要使用网络的终端设备连接入校园的主干网络中, 实现数据信息的交互, 相当于有线网络中的交换机功能。所以无线接入点 (AP) 也可为无线的交换机, 它可以实现数据信息的无线的发送接收, 但大多的AP不具备路由功能, 路由功能交由主干线路上的设备完成。它的工作原理是将接收有线网络发送过来的电信号进行编译转换成无线信号发送出去, 同时将接收到终端设备的无线信号进行编译转换是有线的电信号进行传输, 并在有效范围内形成无线覆盖。AP的有效覆盖范围的大小由AP的功率和周边的环境决定, 一般AP的理论覆盖范围可达到300米, 但在实际应用中根据不同的环境对信号的影响是有差别的, 如铁、混凝土墙壁等对无线信号的影响最大, 而木板、石膏、玻璃等则对无线信号的影响相对较小, 所以AP的设计通常会以室内30米来进行计算;而空旷的室外以100米来进行设计。
无线网卡是连接入无线网络的设备。如果一台电脑没有无线网卡就不能实现连接入无线网络的功能, 有了无线网卡的电脑就可以在无线网络有效覆盖的范围使用无线信号连接入网络。无线网卡可以接收和发送无线信号, 并实现无线信号与电脑中的数据信息进行相互转换的功能。那么可以把无线网卡看成无线网络的接口, 通过这个接口就可以接入无线网络。而根据接口类型的不同可以把无线网卡分成四类:1、PCI无线网卡, 它专用于台式电脑的PCI插槽;2、PCMCIA接口无线网卡, 它专用于笔记本电脑上;3、MINI-PCI无线网卡, 它是笔记本的内置无线网卡;4、USB接口无线网卡。
3 无线校园网的具体实施方案
无线校园网的建立发展不断地改变我们学生老师的日常学习生活各个方面都有典型的应用, 比如:移动教学、随时随地查询教学资料、随时随地收发电子邮件、随时随地查看最新校园信息等。
那么组建无线校园网应该如何实施和注意什么事项?
根据不同的环境因素与接入需求来进行设计。
1) 饭堂、图书馆室内空间宽敞, 人员较多, 可根据面积与估计容量进行布置AP数量。
2) 室内体育场馆一般空间高大, 信号覆盖率好, 人员不多, 适量AP进行信号覆盖则可。
3) 教室人员较多且相对集中, 可根据教室的容积进行计算布置一个或多个AP, 实现信号的全覆盖。
4) 办公楼、学生宿命、实验楼等单个室内人员不是很多, 考虑与无线信号的穿透力可以把AP布置在走廊上, 让无线信号覆盖整个楼层。
5) 运动场、生活休息区等空旷的室外区域, 可以使用大功率的AP或信号增强设备进行较大面积的无线信号覆盖。
综合上面五点可以简单分为两大类:室内连网方式和室外连网方式, 下面分别进行说明:
3.1 室内无线网络接入方式
室内组建无线网络要考虑的两点是:AP的数量与AP的位置。AP的数据由AP的负载决定, 一般一个AP理论上可接入大约80个客户端, 但要实际测试中一个AP接入不要超过30个客户端时运行稳定, 根据场所估计的客户端数值确定AP的数据。AP的覆盖范围大概在30米到100米端, 布置时尽可能定在没有墙壁阻挡的位置, 理想的位置可以定在天花板或墙壁上, 相邻AP之间要形成信号覆盖的交叉, 确定无线信号在室内是全覆盖的。同时要将AP连接到主干线路上。
3.2 室外无线网络接入方式
室外空旷区域较大如学校的广场、生活休息区、运行场、楼宇之间的空地等, 如果使用普通AP难以实现大范围的覆盖, 布主干线路也存在一定的困难。解决这个问题可以在校园内设计根据需要覆盖的实际情况建立多个无线网络覆盖基站, 采用信号交叉重叠的方式进行无线覆盖。在校园的建筑物上布置AP, 在信号较弱和距离远的区域外接增益天线, 可以无线覆盖更广。或者可以采用1对N的连接方式, 选择一个合适的建筑作为中心点, 其它位置作为从站, 使用全向天线把各站点都覆盖在中心点的信号内。室外全向天线的覆盖范围非常大可达10km, 对于一般的学校都可满足需求。对于不同校区的连接可以通过架设无线网桥的方式进行互连。根据无线网桥的接入原理架设高增益定向天线实现两个无线设备点对点的连接传输可达到50km。
4 结束语
无线网络具有移动性强、传输速度快、安装方便、安装维护成本低等特点。这使无线网络成为有线校园网的有效补充和扩展, 满足校园网络全区域覆盖的要求, 可以方便在校师生随时随地获取信息, 更好地为教学、生活服务。相信将来无线网络的应用更广泛、影响更大。
摘要:随着通讯技术的不断发展, 无线传输技术也不断成熟。在无线网络上的应用也日渐增多, 如移动办公、无线通信、移动通信等领域。该文就如何在校园中构建无线网络作出分析, 以促进无线网络在校园中的应用和发展。
关键词:无线局域网,无线接入技术,校园无线网络,AP
参考文献
[1]吴海华, 孔为民, 徐雪梅.无线网络应用实例分析[J].现代情报, 2008 (9) .
[2]云玉芹.移动学习在高校教育中的应用研究[J]软件导刊, 2008, (2) :33-35.
[3]石火财.孟绘高校自适应无线网解决方案[J].各界 (科技与教育) .2008 (3) .
[4]荣曼生, 郭兆宏.校园无线网络的构建及其在教学中的应用[J].中国电化教育, 2005 (10) .
[5]王执毅.校园无线局域网的建设[J].理工科研, 2007 (1) .
无线校园网络安全构建 篇2
针对办公楼、教学楼等结构较为复杂的室内区域,可根据建筑结构具体情况,选用以下两种方案:
方案一,采用高灵敏度、穿透能力强的无线AP产品,配合分离式吸顶天线,以一个AP配合一个天线,或一个AP配合多个天线,完成室内区域的完全覆盖。在项目具体实施中,选用Axelwave高校专用AX9600EDU系列无线AP,配合XA-203室内吸顶天线,完成楼宇内部无线覆盖。采用分离式天线设计,可以适应无线设备与高增益天线的连接使用,以保障高质量的无线信号能够覆盖更远距离,同时增强设备在干扰较大的频率环境中使用的能力。
方案二,采用室外覆盖方式,选用室外无线AP,通过天线聚集无线信号,使无线覆盖范围更大、更远,穿透能力更强。设备与天线安置于楼宇顶部或底部,以无线信号向下或向上整体覆盖楼宇。在项目具体实施中,选用Axelwave 高校专用AX9400EDU系列室外无线AP,配合XA212全向天线或XA-124定向天线,完成无线网络覆盖要求。
探讨校园无线网络应用 篇3
关键词:校园网络;无线网络;网络管理
中图分类号: G64 文献标识码: A 文章编号: 1673-1069(2016)30-153-2
0 引言
随着网络技术的迅猛发展,很多学校都开展了校园信息化建设,校园信息化建设能够促进学校教学各项工作创新发展,其中802.11无线局域网技术是校园信息化建设的重要标志,它能为传统的学生学习、校园教学模式带来网络化的改革。利用无线网络不仅可以实现校园网络化,还能推进加快教学管理信息化进程,有效地提高教学工作效率。
在大力提倡信息化教学的背景下,各个学校加快了网络方面的建设,原始的有线网络存在诸多限制,进入信息时代,笔记本、智能手机等移动办公设备的普及,有线网络的弊端越来越明显,在校园里,如果某处临时需要使用网络就得拉网线,应用起来非常麻烦,无线网络技术的广泛应用,解决了这一问题。无线网络技术可以利用网络进行办公和学习,老师和学生之间的互动性也得到了加强,同时也减轻了学校机房网络的压力。校园无线网络优势很明显:使校园网络化,各处都能覆盖、应用网络;改变校园的网络环境,有利于校园网络管理,同时推动学校信息化建设,进一步拓展应用空间。
1 校园无线网络设计思路
根据学校的具体情况组建无线网络的思路也各自不同,但在架构无线网络时都遵循着相同的设计思路。在校园无线网络建设中,无线网络的实施一般要考虑两处: 一个是室内,一个是室外。校园里涉及室内的场所有会议室、学术报告厅、图书馆等,这些场所笔记本使用率较高,不便设置有线网络,可以设置无线网络全覆盖,同时留有若干个有线接口,防止无线网络出现故障时的使用网络。其他室内环境如教室、宿舍、办公室等这些场所,可以直接将 AP (无线接入点)接入校园网的以太网端口,将有线网络延伸扩展。
像在宿舍楼里,人员比较密集,可以采用多个无线接入AP的方法,每个AP可连接40个用户左右,AP之间的距离根据节点的数量、分布情况、楼层的结构而定。通过在走廊以及室内布置若干个AP,以实现无线网络信号的完全覆盖,如遇到较多用户同时上网时,不至于出现网络堵塞故障情况。
另一处是室外,室外网络的特点是用户不是那么密集,但要求覆盖面要全面。像足球场、篮球场以及临时的网络接入需求,在实施建设无线网络时,可以利用企业级无线接入产品,通过室外天线,即可实现室外大范围的无线网络覆盖。
无线AP 通过室外天线和放大器,可以将无线信号完全覆盖到校园的任何一处角落,通过无线网桥连接,可以将校园不同区域连接起来。室外无线网络在建设时遇到最大问题就是供电,这里一般使用具有以太网供电的无线网桥,如只要能够支持802.3af以太网供电国际标准,就可以通过五类线(0.5数据通信专用线)为网桥提供12V的直流电源。
2 校园无线网络实施方案
经过无线网络的架构分析,校园中的无线网络建设有两种实施方案。
2.1 户外区域
学校的足球场、篮球场等是日常学生比较集中的场所,也是最需要实现无线覆盖的室外公共区域。可以根据需要户外网络区域的实际覆盖需求情况,建立多个无线覆盖点,采用重叠交叉的方式,实现校园无线网络覆盖。
如果要实现无线漫游,需要将无线路由器的参数如SSID(Service Set Identifier,服务集标识)、密码设置一样,然后无线路由器就会自动的搜索并连接相邻的信号最强的无线路由器。首先要确保总线的无线路由器开启DHCP和DNS功能,然后登录到无线路由器的参数设置界面,在其中找到SSID设置选项,然后设置相同的无线路由器的SSID名称,接下来还要修改每一个无线路由器的IP地址,将无线路由器的IP地址设置在一个网段中,最后还要设置其各自频道。在建设校园室外无线网络时,要求不同的区域信号相互重叠,目的是为了使校园室外区域无线信号全覆盖,零死角,但是不同区域信号的对应的频道一定要不同,不然的话,相互重叠的信号之间容易发生冲突、干扰。目前市面上出售的无线路由器默认的频道有十一个,这是十一个频道中,第一、第六和第十一频道是不会被覆盖的,在设置频道时,只需要将相邻的两个无线路由器设置为这三个频道中任意两个即可避免信号之间的干扰,达到无线漫游的效果。
2.2 室内区域
对于像宿舍、办公楼、图书馆这样的室内区域,其特点是人员较为密集,且流动性大,在建设无线网络时有以下两种方法:一种方法是将各个无线路由器单独连接到交换机上,这样可以有更大的带宽,应用各个无线路由器,以整合交叉覆盖方式,将室内区域进行大面积覆盖;另一种方法也是在室内无线网络建设时常用到的,应用无线路由器,设置无线全向天线,这种天线在室内最常使用到,虽然全向天线信号增益度不如定向天线强,但是信号发射是360度而不是朝一个方向发射,符合室内应用特点。
3 校园无线网络安全防范
网络安全一直是网络建设中的难题也是重点,校园网络安全更为重要,比如平时更容易受到拒绝服务攻击(DoS)和干扰;非法访问通过无线网络可以绕开防火墙,对校园资源进行权限修改等操作等,安全问题相比有线网络更多,如何做好无线网络安全问题是无线网络应用中很重要的问题。目前无线网络常用的安全技术有:链路认证技术、接入认证技术、无线加密技术等。
根据校园网络特点,为了保证校园无线网络的安全性,在建设过程中至少要采用链路认证技术和无线加密技术来进行保障。
3.1 链路认证技术
链路认证技术通俗来说就是无线链路关联身份验证,是一种身份验证机制。任何一个网络访问校园网AP时,都要进行链路身份验证。对使用者来说,校园无线网络的身份验证方法很简单,它一般采用WEB+DHCP的方式,使用者只要在设备上打开浏览器,输入指定的网络地址,打开认证的页面,把自己的合法用户名和密码填写上,认证通过后即可使用校园网络资源。在身份验证过程中,使用者的身份验证都是通过SSL/TLS(安全套接层/传输层安全协议)与RADIUS相结合的方式进行加密,保障用户账号信息的安全,其中SSL主要是为网络信息包的应用层和传输层之间提供了安全的通道,RADIUS协议的作用是为对使用者进行认证和计费,是一项通用的认证计费协议,RADIUS即可对使用者的身份验证服务,又能对其账号进行计费。
为了进一步保障网络的安全性,在身份认证后可以设置AC把用户名与MAC 地址进行绑定。这样可以在很大程度上杜绝了外部IP的非法链接。通过用户认证方式管理无线网络,可以有效防范非法使用网络。
3.2 无线加密技术
和传统的有线网络相比较,无线网络存在更多的网络安全隐患。如在校园某一个无线区域中,所有无线设备共享一个传输媒体,任何一个无线设备可以接收到其他无线设备的数据,直接威胁到无线网络数据安全。这就要求要对数据进行加密,早先使用的加密方法有WPA2,,WPA2是Wi-Fi联盟对采用IEEE 802.11i 安全增强功能的产品的认证计划,WPA2对密码长度没有限制,最低要求不少于8位,对于一般的网络好奇者,很难去通过破解密码获取数据信息。
链路认证技术和无线加密技术并不能完全确保无线网络的绝对安全,网络管理人员要提高安全防范意识,加强监控网络使用者的网络行为并进行管理,定期查看AC、认证服务器的日志记录,发现有非法访问及网络行为异常,应立即采取措施进行隔离,根据实际情况需求,学校还可考虑设置无线入侵检测系统,进一步保障校园无线网络的安全。
4 总结
虽然和有线网络相比,无线网络不如有线网络传输速率快,传输的更稳定,但是无线网络的便利性和需求是有线网络不可比拟的,无线技术不断地发展与更新,无线网络的高传输率和网络传输稳定性不断提高,在校园网络化建设中,只有做到将无线网络和有线网络相互有机结合,才能使整个网络系统更加完善,进一步的促进校园网络化发展。
参 考 文 献
[1] 雷朝铨.无线网络技术与校园网的组建[J].宁德师专学报,2003(2):116-119.
[2] 陈正超.无线局域网组网技术研究[D].北京:北京邮电大学,2006.
校园无线网络的构建 篇4
1.1 标准和解决方案的成熟性
在设计校园无线网络系统的时候, 需要考虑国际和国内的相关标准, 按照这些标准进行设计和施工, 对于那些未在国内和国际标准中包含的新技术, 坚决不采用, 同时各项技术必须与国内和国际标准相一致, 而且保证与各个主流厂商的互操作性和兼容性。除了标准的成熟性之外, 还要考虑到方案的成熟性, 要保证整个系统具有前瞻性, 在相对长的时间都不会被淘汰。
1.2 安全性和可靠性
首要考虑的就是安全性和可靠性, 要防止操作人员误操作或者系统中某些故障引起的数据破坏, 同时要保护系统免受外部人员非法入侵和操作人员的越权操作。系统应该具备网络诊断和测试能力, 实现在线故障恢复, 同时关键设备和线路要实现实时备份, 防止出现故障导致数据丢失。在规划和设计时, 可以从3个方面进行考虑:第一, 针对不同用户提供不同访问策略。这样, 既可以满足不同用户在使用网络时的安全性, 同时对有特殊需求的用户提供单独的访问服务, 不会收到非法入侵;第二, 保护无线网络中数据传输的安全性;第三, 加强射频环境的监控, 对非法扫描的行为进行定位, 向其发送警告并将其进行剔除。
1.3 可管理性和可维护性
校园无线网络系统应该具有良好的可管理性和可维护性, 能够对无线网络的工作参数进行集中管理, 能够及时找到并排除故障。同时要求可以进行在线管理, 要求设备模块做到即插即用。
1.4 可扩展性
整个系统应该可以方便地进行功能和规模上的扩展, 扩展时整个无线网络构架可以无需做大的改动, 扩展后操作和管理模式不会发生大的变化。要做到系统具有可扩展性, 就不能只考虑目前的需求, 更要考虑之后很长时间内的需求。
2 无线网络系统方案的实施
在进行高校校园无线网络系统设计时, 主要考虑两个问题:第一是无线网络覆盖区域的状况以及网络设备的选型;第二是用户的上网方式和计费方式。下面对这两个问题进行详细说明。
2.1 无线网络覆盖区域和设备
通过对校园环境的实地调研、分析以及对学校教师和学生的调查, 将校园分为室内和室外两种无线网络覆盖区域。室内无线网络覆盖区域包括会议室、图书馆、阅览室、自习室、阶梯教室和食堂等;室外无线网络覆盖区域包括广场、花园、操场、停车场以及宿舍前面的休息区等。对于网络设备的选择, 从兼容性和配置统一的方面来考虑, 所选购的无线网络设备都是与原校园网络设备相同的品牌。
所谓无线AP (Access Point) , 即无线接入点, 是用于无线网络的无线交换机, 也是无线网络的核心, 是移动计算机用户进入有线网络的接入点。
在本文设计的校园无线网络系统中, 室外无线AP采用的是室外型大功率无线接入点产品, 其工作频段为2.4GHz, 支持IEEE802.11n标准, 内置500mW的双向功率放大器。由于室外场所的环境有所不同, 无线网络的覆盖要求也会有差异, 室外无线AP可根据这些条件的不同, 配合相应的外接天线, 在室外覆盖良好的无线网络信号。
按照本次校园无线网络系统的规划与设计, 室内AP, 提供两路接入, 共600Mbps, 支持IEEE802.11n标准, 可以为每个用户提供不低于10Mbps的无线连接速率, 这样, 不但能够满足现有校园网应用的带宽要求, 同时, 还能够为学校的视频、音频等多媒体资源的点播提供网络基础, 满足高校未来信息化发展的要求。
根据校园无线网络系统的要求, 所选用的无线AC设备可以高效地处理学生网络视频、音频和在线游戏、在线聊天等小包的数据流。同时, 在校园网络系统的规划中, 无线AP要提供双万兆的上联接口, 为之后的无线应用扩展和升级预留带宽。
2.2 上网方式
在高校校园无线网络系统中, 服务的对象主要是教师、学生和学校领导、员工等, 因此, 校园无线网络具有覆盖范围广泛、使用者和使用时间不确定的特点。为防止非法使用者使用, 更好地满足合法使用者的使用需求, 本无线网络系统采用了基于SAM的Portal认证方式, 只有向学校申请了无线网络服务的用户才能够使用。根据无线网络系统的设计, 系统将根据使用时间对使用者进行收费, 以时间计费。使用者在申请完成之后和使用之前, 必须先交纳一定的费用, 登录认证成功之后开始计费, 下线的时候停止计费, 可以精确到秒, 当余额不足时会自动下线或者拒绝登录。
这种方式的具体操作方法是, 首先在无线AC上建立无线VLAN, 启动DHCP服务, 汇聚层的交换机以Trunk方式与无线AP相连接。当访问者试图连接无线网络的时候, 都需要通过portal发起认证请求, 只有认证成功后才能够上网, 在认证成功之后, 系统开始计时, 这样在方便无线网络系统管理和维护的同时也能够防止非法使用者使用无线网络, 更好地为合法使用者提供无线网络服务。由于是无线网络, 使用者在使用过程中可能会存在移动位置的情况, 为了让使用者在移动过程中实现无线漫游, 在无线网络系统中, 让集群中的多台无线控制器共享用户的数据库, 从而实现用户在整个网络中不同区域之间进行移动和跨越过程中无缝漫游。无线上网的流程如图1所示。
2.3 无线网络的安全
在校园无线网络系统的规划与构建中, 安全是重中之重, 是系统成功与否的根本。因此, 在系统中, 要构建一个良好的安全体系, 从而切实保护用户和系统自身的安全。
(1) 802.1X认证。
在部署无线网络的安全体系时, 可以采用802.1X和网络准入相结合的方式。这两者的结合可以很好地保证校园无线网络系统的安全。具体的操作方法是, 当合法用户连接上无线AP之后, 要求输入AP的连接密码, 在合法用户输入密码之后, 分配GUEST VLAN的IP, 在GUEST VLAN中暂时不能访问任何资源。
(2) 网络准入。
当用户被分配GUTST VLAN IP地址之后, 用户暂时不能对资源进行访问, 此时, 系统中的用户接入服务器, 即网络准入, 会自动对客户端上的准入代理进行联动, 对用户的系统进行扫描, 查看用户是否符合准入策略的要求, 如果符合准入策略的要求, 则会重新分配一个校园无线网络内网地址给用户, 这样用户就能够使用学校的无线网络了。
如果合法用户的密码被泄露, 非法用户得到密码后去连接无线AP, 连接以后要求输入密码, 虽然密码是正确的, 但是当网络准入对用户系统进行扫描, 会发现非法用户不符合网络准入检测, 这样非法用户就会一直停留在GUEST VLAN中, 有效地保护了校园无线网络内网不受非法用户的威胁。
(3) 数据加密。
校园无线网络系统中的认证机制和准入机制是构建安全体系的基础, 数据加密也是安全体系中不可或缺的部分。在本次校园无线网络的构建中, 所有AP与用户端之间的数据传输均采用的是AES-CCMP加密, AES-CCMP又称为WPA2, 它支持AES加密算法, 而AES能够为信息和数据提供128位的加密能力, 这是WPA2与WPA最大的区别, 所以AES-CCMP的安全性比起WPA有了很大的提升。正是因为如此, 在设备中加入WPA2支持已经成为了很多服务商的选择, 而Windows XP系统的补丁SP2中也集成了WPA2的支持。
(4) 身份认证。
在校园无线网络系统的安全体系中, 最重要的是身份认证, 因为无线网络不同于有线网络, 在无线网络中, 攻击者不像有线网络中那么容易被发现。如果身份认证这个关卡被攻破, 校园无线网络会被非法用户使用, 甚至会被攻击者恶意攻击。为有效地保护校园无线网络免受攻击, 也为保护合法用户的权益不受侵害, 校园无线网络系统采用了EAP-FAST的身份验证方式来进行相互验证, 同时为用户和进程提供动态加密密钥、物理地址和标准802.11验证机制。只有在身份验证时采用最安全的加密算法, 才能有效保护用户输入的账号、密码不被抓包软件截获, 也不会被黑客软件暴力破解。
(5) GUEST VLAN。
用户在通过802.1X之前只能访问有限的网络资源。所谓GUEST VLAN, 是用户在通过802.1X认证之前处于的VLAN, 用户在访问GUEST VLAN内的资源不需要认证, 但也只能访问极其有限的资源, 比如从GUEST VLAN服务器上下载802.1X客户端软件、升级客户端、执行其它诸如杀毒软件、操作系统补丁程序等应用程序的升级, 而不能访问其它的网络资源。这样设置的目的是为防止一些暂时没有安装认证客户端或者客户端版本过低的合法用户无法认证成功。在用户连接网络的时候, 接入设备会把这个端口加入到GUEST VLAN, 当认证成功之后, 端口离开GUEST VLAN, 这样用户就能够访问其它的网络资源了。
2.4 安全管理体系
在构建校园无线网络系统时, 不但要从技术方面建立安全体系, 也要从管理方面进行安全体系的建设。主要从以下几个方面进行:
(1) 对校园无线网络的管理人员进行培训和教育, 建立健全相关管理制度。
(2) 加强校园无线网络管理人员的安全意识和安全素养。
(3) 加强对系统运行环境的安全管理, 制定相关制度, 进行严格管理。
(4) 建立设备选型、采购、使用和维护的管理制度, 对设备进行严格的审查和检测以及安全评估。
(5) 建立应急处理制度, 对可能发主的突发情况制定应急处理方案。
3结语
社会的飞速发展和网络的快速普及, 让校园无线网络的建设成为高校的基础建设之一。校园无线网络是教师、学生获取资源的重要手段, 也为学校建立智能化教学系统、提高信息化水平起着巨大作用。因此, 规划和构建一个良好的校园无线网络系统, 将为学校实现数字化建设发挥重要作用。
摘要:首先介绍了校园无线网络系统的设计原则, 然后从无线网络覆盖区域和设备、上网方式、无线网络的安全和安全管理体系4个方面对无线网络系统方案的实施进行了详细说明。
关键词:无线网络,校园网,网络安全
参考文献
[1]林鸿.无线网络应用中的安全问题[J].电脑知识与技术, 2012 (12) .
[2]刘强.无线网络安全的机制与技术措施探究[J].无线互联科技, 2011 (4) .
[3]吴超.简述无线网络优化技术[J].民营科技, 2011 (10) .
无线校园网络安全构建 篇5
“绝对是魔兽世界,一个班的同学一起玩,每天每天。”“不光是聊天、游戏,学习中需要的资料网络上也应有尽有,对我们学习帮助很大。”“PSP、NDSL,游戏的下载与网络对战,我肯定离不开网络的支持。”
应该说,大学生是最充满活力的群体,他们有着最时髦的思想,引领着最前卫的潮流。所以,MP3、笔记本、掌上游戏机等对他们来说都是最合适的IT产品,而计算机网络似乎也已经成为了他们每日不可缺少的东西。
听听大学生们对网络的需求,也来看看现阶段的大学校园。现在的大学校园,对于同学们对网络的要求也配合得相当到位,校园网基本无处不在,而出于对大学生经济能力的考虑,校园在网络费用上有的采取免费政策,有的只收取少量费用,对于一般的学生来说十分合理,这些优厚的条件使每个大学生每天上网成为可能,也把他们留在了校园,远离网吧的困扰,节省了开支,也避免了与不良社会人士的接触。
宿舍,也称寝室,大学校园为了方便同学,一般在宿舍内都布置了网线接口,让大家在课余时间有效利用网络资源。但一个宿舍的人数一般在4-6人,如果每个同学都有电脑的话,网络接口是不够的,那要怎样解决呢?
首先来分析一下,宿舍中的电脑主要以台式机、笔记本为主。由于网络的快速发展,笔记本中一般都带有无线网卡,让无线上网成为可能。如果采用普通布线方式,每台电脑都要插一根网线,这样宿舍就会被弄得杂乱无章,还经常出现碰掉网线、甚至碰掉笔记本的情况。这样一来既不能发挥笔记本的无线上网能力,还把宿舍搞得很乱,给笔记本增加了风险,真是得不偿失。
无线网络组网攻略繁杂的网线
如果让笔记本采用无线方式上网,那么在同样享受网络的同时,不但能让宿舍布线变得简洁,笔记本的安全也更有保障。实现这种方式的产品是什么?一个无线路由器就可以了。它在保证台式机的有线上网也能为其他笔记本提供无线信号。这样建立一个小型局域网,每台电脑可以上网且它们之间也能互联互通。既能在一起游戏,也能共享资源,给大家增添了更多的乐趣。
学生当然要选择便宜且实用的产品,一个无线路由器,就可以很好满足宿舍的上网需求,把网络资源进行分流,提供给多台终端。但市场上无线路由器种类繁多、品牌复杂、价格差也比较大,如何选择一款最适合学生的产品呢?
先来介绍一下无线路由器这些繁多的种类。按照协议分类,现在市售的产品分为802.11b、802.11g和802.11n草案产品,由于802.11b的传输速度较慢,而且802.11g产品的价格也已经和11b的处在同一水平线上,所以我们可以把802.11b抛弃了。
802.11n中大多都是300M产品,但由于价格太贵,显然不适合学生。那么只剩下802.11g了,而其中的54M产品又是价格最低廉的,对于校园网来说,3MB/s的无线传输速度也是绝对够用的,
无线网络组网攻略无线品牌种类繁多
校园网可以使用路由器产品吗?对于免费的校园网接入,路由器是没有问题的,但对于需要用户名与密码认证的收费校园网来说,路由器就完全失去了作用,这种认证方式是计算机连入局域网后,使用特殊认证软件(譬如WEB认证)来限制多用户通过路由器享用一个收费帐户的,路由器被完全否认。那这么说笔记本就无法无线上网了吗?
对于这样的认证方式,我们虽然不能交一份钱让多个用户上网,但我们可以扩展它的网络接口,让多个帐户通过一个网络接口认证――插入一个交换机就可以了,但对于无线来说,扩展端口需要AP,如果您不理解,那么可以把AP认为是提供无线的交换机。下面我们就以阿尔法的AFW-GR55为例向大家简单介绍下寝室组网的方式。
选择完毕,只要购买了阿尔法的AFW-GR55无线路由器,什么样的校园网都能轻松搞定,而且这款无线路由器价格十分廉价,几乎达到了市场中所有54M产品的最低价,十分适合经济能力有限的学生用户。
为了得到学生们的肯定,我们选用了深圳大学经济学院的男生宿舍楼。这里的宿舍为四人宿舍,我们来到金融与会计系大一同学的宿舍楼层,以A宿舍为出发点开始了我们的全程测试。A宿舍的四个同学每人都拥有电脑,2个台式机与2个笔记本,看来我们选择这个宿舍还是选对了。
无线网卡
首先询问了一下同学们的情况,这里的一般2-3个宿舍有一个ADSL宽带接入口,几乎都采用普通布线方式。宿舍之间都是用有线路由器来连接,然后再用交换机连接到每台电脑。每台电脑都要插一根网线,这样宿舍就会被弄得杂乱无章,还经常出现碰掉网线、甚至碰掉笔记本的情况。
A宿舍的同学们购买了一台交换机,A1同学一边指着杂乱的网线一边说:“路由器下连接交换机,然后4根网线都要从这里走,同时上网的时候就像一张蜘蛛网,走动的时候经常把网线碰掉。而且网线距离也是个问题,我特意买了一根3米长的,这样可以在床上用笔记本了,他们就都挤在桌子上。”其他四个同学也各持己见,纷纷反映网络接口少、布线杂乱等问题。
之后问了他们关于无线网络组网攻略的情况,他们几乎没有人了解,没人使用过,只知道自己的笔记本有没有无线网卡。经确认,只有A2同学的笔记本没有无线网卡,为此我们为他提供了一块USB接口的AFW-GU50,然后一同开始了寝室组网之旅。
我们用阿尔法无线路由器GR55换掉了原来同学们用的有线路由器,并把无线路由器GR55设置成无线、有线同时使用状态。A宿舍我们使用GR55的无线功能,和A宿舍共用一个ADSL宽带口的B宿舍使用GR55的有线功能,继续连接交换机上网。
经过半小时的布置与配置,4位同学们的电脑都能正确连接网络了。A1、A2两位拥有笔记本的同学十分兴奋,说第一次通过无线网络组网攻略上网,没想到自己的笔记本还拥有这样的功能。我们决定让他们试用一周,一周后再来。
寝室无线网络组网攻略
无线校园网络教学效果评估 篇6
【关键词】无线;WiFi;校园网;正确上网
随着无线互联网技术的飞速发展,“无线宽带”正在取代“宽带”成为校园网建设的热点。“无线数字校园”也成为近来数字化校园和教育信息化建设的热门话题。利用无线网络,学生可以在校园的任何一个角落享用互联网的便利。
与有线校园网相比,无线校园网具有很强的灵活性,克服了有线网络布线的制约、固定的网络各节点无法移动等困难。无线校园网具有传统有线网络无法比拟的可扩容性,网络的传输范围得到了拓宽。
一、无线网络的优势
(一)无线提高教学质量
无线校园网可以对教学资源进行有效地整合和利用,其中包括已经存储在服务器中的资料,以及正在上的某一节课,从而改变传统的教学方式,解决了学校学生多机器少的问题。如今一些中小学“大班化”,教学内容多,师生互动起来有难度。用“无线课堂”打开教学的空间,具有前瞻意义,可能会带来课堂教学模式的变革。
我们课题组在清河县城关中学设了两个网络教学试验班,其中一个班采用封闭式有线网络进行教学,学校多媒体网络教室归这个班使用,学校微机室对这个班学生在工作时间开放。另一个班使用开放式无线网络进行教学,学生可以携带笔记本电脑、平板电脑、智能手机参加学习。经对比研究发现,开放式无线教学网络具有明显的优势,教学效果较好。相对于封闭式有线网络,开放式无线教学网络环境下,学生通过网络进行学习活动的热情较高,学习的积极性、主动性、灵活性较强,学习的效果较好。
经过问卷调查,80%以上的学生认为无线的网络好用且方便,90%以上的学生认为无线的网络对他的学习帮助更大,而几乎100%的学生认为校园无线网络是一个学校应该必备的。85%以上的教师认为无线校园网对他们的教学很有帮助,必将取代现有的有线校园网络。
根据Educause的研究显示,有78%的美国学生认为wifi对于专业成绩的提高有价值,而60%的学生表示不会考虑在不提供免费wifi的学校就读。
(二)无线给师生松绑
采用无线网络教学的形式,可以进行更为生动的互动教学,无论是学生间的协作学习还是学生和老师间的交流都将得到极大的强化。在传统的计算机机房进行网络教学,由于采用的是台式机和固线接入网络的方式,学生间无法进行面对面的沟通,分组讨论更是无从谈起。而利用无线网络和笔记本电脑,学生可以不受时间和空间的限制,随意分组,从而大大提高了协作学习的效率。
这种教与学的无线网络应用环境是开放的、自由的、伸展的。有分析人士指出,无线网络因其更自由的上网方式、更宽松的上网时间和连接的灵活性,可以实现随时随地上网学习及便利的双向沟通。
(三)无线加强师生互动
在无线网络覆盖的教学楼内,教师可以充分利用该网络开展网络多媒体教学,在授课过程中通过无线网络下载校园网服务器上已做好的课件演示文档,给学生作现场演示。拥有笔记本电脑的学生只需加装一块无线网卡后,就可以利用现有的无线网络与教师互动,学生作实验前还可以通过点播网上实时多媒体课件,仔细观看试验的细节及注意事项。经过问卷调查,我们发现无线教学网络环境下80%以上的學生经常通过微信、QQ等软体和教师沟通,用于解决学习中存在的问题或加强师生之间的交流。
据北京二中的无线校园网应用得出:采用无线网络教学的形式,可以进行更为生动的互动教学,无论是学生间的协作学习还是学生和老师间的交流都将得到极大的强化。
2013年03月,意大利佛罗伦萨中文学校正式启用无线校园网络,开展课堂讲学。“WIFI的运用最大的优点是‘及时性’很多,如上课过程中往往学生会产生很多问题,很多思考的提问,有些是老师备课的时候没有顾及到的,而WIFI可以及时解决这个问题,不让问题遗留到课后。”佛罗伦萨中文学校老师金丹丹深有体会地说。
二、无线任重道远
有了无线网,教师教学变方便了。但有些父母却有了顾虑:有手机的孩子会不会上课蹭网,沉迷于网络呢?重庆十八中学王老师认为,无线网覆盖校园不用大惊小怪,万事都有利弊,网络本来就是一柄双刃剑,我们要好好地利用它,而不是因噎废食。我们通过问卷调查发现,60%的学生经常在课余时间上网娱乐,或上网做一些和自己的学习无关的闲事,10%的学生经常在深夜偷偷上网,所以加强对学生正确上网的教育,对学生不良上网行为的矫正尤其重要,加强对学生宿舍的管理,强化对学生上网活动的监督也很重要。
安装网络监控软件是解决规范学生上网行为的最佳选择,对学生浏览的网页进行监控,也可以根据需要屏蔽某些网址。网络覆盖校园是大势所趋,伴随着无线网络进入校园的,还有如何培养学生网络素养、引导学生理智使用网络资源的新课题。简单的限制是目前无奈的选择,如何变堵为疏,有待教育工作者创新思路、探索实践。我们通过问卷调查发现,90%以上的家长支持子女在校通过上网进行学习,说明家长的思想观念已经发生了变化,如果学生的进步带给家长们惊喜,家长的顾虑就会解除,防止学生沉迷于网络,这项工作任重道远。
作者简介:
中学校园无线网络平台构建研究 篇7
关键词:校园无线网平台,设计与规划,无线局域网,仿真软件,仿真测试
0. 引言
随着校园网络信息化普及, 师生们日趋要求尽可能方便、快速、灵活的使用网络。无线校园网络平台可以实现在教室、礼堂、会议室、图书馆、体育场馆等场所能够方便迅速的访问校园网络, 让网络渗透到校园每个角落;重要的是可以实现快捷便利的办公自动化和信息化, 加强学校内部各部门的业务联系, 提高工作效率, 实现资源共享。
随着无线局域网技术及其产品的日趋成熟, 无线网络已经广泛应用诸多领域。目前我国仅有15.1%的学校有无线校园网, 但绝大多数都属于试运行阶段, 并没有广泛开放;有36.2%的学校计划建设无线校园网。因此全国各校在无线网络建设上具有较大的发展空间[1]。本文以曲靖市某中学为例, 阐述设计与规划校园无线局域网的原则、方法和步骤, 构建基于WLAN的校园无线网络, 同时并对相关的设计方法进行探讨, 最后利用仿真软件对设计进行了模拟仿真, 验证设计的合理性, 为相关的研究和探讨提供参考。
1. 中学校园无线网络规划与设计原则
校园无线网平台主要目的是为了让学校完成全方位立体式无线网络覆盖, 使教职工可以依托无线网络完成各项教学及办公事务;广大师生可以利用无线网络访问校内和校外网络资源;同时需要综合考虑学校信息化需求, 最大程度利用原有校园网络, 节省网络投资, 降低今后网络维护成本[2]。在设计与规划中学校园无线网络时应该遵循以下原则: (1) 采用层次化结构, 利于网络构建和维护[3]; (2) 整体上采用以树型和星型混合的拓扑结构, 将网络划分为核心层、分布层、接入层进行设计[5]; (3) 校园骨干网采用有线方式, 接入网采用无线覆盖; (4) 局部无线网络构建中的无线接入点 (AP) 的数量根据应用需求灵活布置, AP接到各层接入交换机上, 各层接入交换机再汇聚到每栋楼的汇聚层交换机上; (5) 无线网络以单个AP小面积覆盖, 多个AP整合交叉覆盖形成大面。
2. 案例背景及需求分析
案例中学是曲靖市的一所重点中学。该校共有教学楼 (包含办公室) 两幢, 综合楼一幢, 实验楼一幢, 学生宿舍四幢。其中学生宿舍未进行网络搭建, 教学楼, 综合楼, 实验楼分别采用有线方式建设了校园专网, 没有无线网络。学校文件传输等工作必须在办公室等固定的地点进行, 局限性较大, 灵活性差。
该中学新构建的校园无线网络平台要求在网络互联、安全防御等方面与有线网络进行良好的兼容和互补, 对无线网络进行管理和统一认证, 同时做到尽可能的简化网络结构, 提高网络访问速度与效率[6]。具体需求为:在网络功能方面能满足校区之间、楼宇之间的通信, 支持教学资源传输 (视频、文字、图像) 、提供资源共享 (学习资料等) 与综合服务 (学校论坛, 教学计划, 成绩查询等) ;在性能方面要求校园内部的室外场所 (走廊、大厅等) 速率高, 安全要求一般, 主要是满足在网络使用人数激增时仍然能够保证服务质量, 办公室或会议室速率要求一般、安全要求高, 多媒体教室或计算机机房速率要求高, 安全要求低, 有效地支持教学活动;在经济方面要求运营费用低, 易于管理维护。
3. 曲靖市某中学校园无线网络设计
基于中学校园无线网络规划与设计原则, 以及对案例的调查和分析, 本文探讨对该中学进行校园无线网平台进行规划及设计。
3.1 逻辑结构设计
为了满足多用户的需求, 局部无线网络主要采用以AP或者无线交换机等为中心结点的星型结构。全局无线校园网在整体上采用以树型和星型混合的拓扑结构, 可将网络划分为核心层、分布层、接入层进行设计。为了组建便捷、管理方便、利于排查故障, 考虑冗余链路设计, 负载均衡, 保证网络可用性等因素, 在主要通信节点上采用树型拓扑结构[7]。
3.2 物理结构设计
该校校园骨干网通过光纤接入高速Internet, 并通过有线介质连接到配有各种网络服务器的计算机中心, 然后通过无线介质将综合楼子网、教学楼子网、实验楼子网、宿舍子网等连接起来, 并为室外的移动用户提供连接。其局部无线网络构建如下:
(1) 教学子网。在教学过程中, 大多传送的是文本、图像和部分视频等数据, 要求较高传输率, 因此采用有线接入与无线接入相结合的方式。无线网络以单个AP小面积覆盖, 多个AP整合交叉覆盖形成大面, 覆盖区域每个AP都独立接到接入交换机上, 以保证有效带宽。根据人数大教室可设置2~4 个AP, 小教室可设置l~2 个, 每层的AP接到各层接入交换机上, 各层接入交换机再汇聚到每栋楼的汇聚层交换机上。
(2) 实验楼子网。构建无线网络实验室将提供充分的网络连接灵活性, 并可解决随着新设备的不断增加而改造实验室、频繁调整网络信息点的问题。对数据流量要求高的实验室可多配置AP, 对要求低的实验室可少配置AP, 每层的AP接到各层接入交换机上。
(3) 办公子网。办公子网丰要面向学校的各级领导以及各职能部门, 办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作。采用高灵敏度、穿透能力强的无线AP产品, 配合分离式吸顶天线。以一个AP配合一个天线或多个天线, 采用楼道安装AP覆盖方式以完成室内区域的完全覆盖, 每层楼的AP数量与楼的形状有关。
3.3 无线设备的选用
无线网卡:采用USB接口无线网卡应用于台式机, 便携式计算机采用自身的无线网卡。
无线接入点 (AP) :主要技术为802.11 系列。考虑辐射干扰因素, 在校园中按照室内30 米、室外100 米 (没有障碍物) 覆盖范围, 支持用户数量为30~50 个点。
无线网桥:采用5.8GHz频段的802.11a无线网桥及其相应设备。
无线天线:室内无线天线采用全向天线工作模式, 室外无线天线采用多幅扇面天线, 或扇面天线和定向天线相结合。
4. 网络仿真测试数据及其分析
为了验证中学校园无线网络规划与设计的可行性及科学性, 本文利用专业仿真软件OPNET Modeler对案例中学构建的无线校园网进行网络仿真测试。通过对仿真测试数据的分析探讨, 为构建中学校园无线网络平台提供参考。本文采用的为OPNET的14.5 版本[4]。
4.1 整体结构布局
根据案例中学的教室、办公室、宿舍楼的地理位置, 采用星型网络为该中学的无线网络的布置。如图1 所示为该中学核心交换机路由器的逻辑布局。
该校无线网络整体架设结构如图2 所示, 将核心交换机安放在机房, 每个住宿楼, 教室, 办公室楼各安放大型无线路由器。根据该校的情况进行WLAN搭建一个核心交换机和AP0~AP7 和80 个工作站 (STA) 。由图2 可以看出每整栋楼作为一个用户群, 都有一个核心交换机, 核心交换机下的各个网络热点连接组成网络覆盖的范围。
4.2 无线网络性能模拟测试
该中学的无线网络模拟方案, 设置传输速率为11Mbps;Rts门限为256;分门段限值为1024;短重试限制为7;长重试限制为4;AP信标间隔为0.5;最大接收有效期为0.5;缓冲值为256000;传输功率为0.002。运行OPNET仿真后, 最后得出仿真结果如图3—6 所示。
由图3 可看出整个无线网络吞吐量在1.4Mbits/s左右上下波动, 数据传输能力比较稳定, 满足学校正常的数据传输要求。由图4 可看出整个网络延时高峰时达到0.6 微秒, 后期收敛为0.4 微秒左右。该网络在高峰使用期时存在短时不稳定, 但总体较为稳定。
由图5 可以看整个网络退避延时也具有一定波动性, 这是由于无线信号本身存在一定的抖动性造成的, 但总体还算平稳, 若改善则需对无线热点的设计及布置进行进一步测试后改进, 但需较大成本。由图6 可得出该网线网络方案网络负载较大, 网络承载性较好, 达到设计目标, 能够满足学校的网络需求。
5. 结束语
本文以曲靖市某中学校园无线网络平台的构建为对象进行分析和探讨, 提出中学校园无线网络规划与设计原则。通过对该中学的校园无线网络平台进行逻辑结构和物理结构的设计规划, 同时对无线设备选用原则进行讨论, 构建了该中学的校园无线网络平台, 并利用OPNET Modeler进行的网络仿真测试, 主要针对无线吞吐量、无线网络传输延时、无线网络退避延时和无线网络负载等参数的仿真数据进行分析, 验证了该中学校园无线网络平台构建的可行性及科学性, 同时验证了本文提出的中学校园无线网络平台规划与设计原则及方法的可行性、科学性, 为今后类似的中学校园无线网络平台构建提供参考。
参考文献
[1]冯志勇.认知无线网络理论与关键技术[M].北京:人民邮电出版社, 2011.
[2]吴献文, 陈承欢.无线局域网组建与维护案例教程[M].北京:高等教育出版社, 2009.
[3]施敏, 李亚明, 王国平.网络管理员之局域网组建与维护超级技巧1000例[M].北京:电子工业出版社, 2007
[4]李馨.OPNET Modeler网络建模与仿真[M].西安:西安电子科技大学出版社, 2006.
[5]徐翔俊.商贸公司基于无线VPN的移动销售网构建探讨[J].现代计算机2015 (1) :27~31.
[6]徐翔俊.中小型客运公司基于IPSec的VPN网络构建研究[J].现代计算机2015 (7) :51~54
无线校园网络安全构建 篇8
1 无线网络的优缺点
所谓无线网络是指利用无限信道来传输介质所构成的一种网络, 能够实现无线设备的网络数据传输系统, 目前主要包括LMDS、WLAN以及CDMA技术等, 具有移动性强、投资回报快、可靠性高及便于教学的优点。
无线网络最大的优点便是移动性, 人们可以在任意空间连接网络, 摆脱了线缆的束缚, 一般能够达到50Km覆盖, 拓宽了网络的传输范围。无线局域网可以以独立于有线网络的形式存在, 适合上千用户使用的基础网络, 允许较大范围内漫游, 在正常情况下, 安装无线网络要比常规的有线网络便宜, 不会受到施工等因素影响, 便于移动和布置, 有线网络线路由于结构容易生锈等容易产生线路失效的问题, 无线网络没有这些缺陷。校园无线网络能够实现整个校园内的无线上网服务, 方便教学。
无线网络的主要传输手段是无线电波, 在实际运用中通常采取的是扩频技术, 利用红外线介质传输容易受到日光以及环境照明的影响, 传输性能差, 一般并不采用, 射频介质要求严格, 设备较为复杂, 传输速率低, 微波介质容易受到外界电磁干扰的影响。在无线网络的安全性发面也存在很大的隐患, 一般可以通过加强访问权限控制、定期进行网络站点审查以及注意其他重要网络隔离等避免。
2 校园无线网络的构建及在教学中的应用
目前我国高校都具有自己的校园网, 为广大师生的生活和学习带来了极大的便利, 目前高校校园网主要与有线网络为主, 网络连接点难以移动, 建设费用高, 无线网络与现有的有线网络的结合不仅扩展了网络适用范围, 也为移动多媒体应用提供了便利。
有线网络与无线网络的结合需要充分利用现有的有线网络的校园骨干网, 由于高校实验室及办公室等是严格保密的, 对于安全性要求比较高, 无线网络暂时难以达到要求, 因此采取现有的校园骨干网络来建设无线网络是一个最合理的选择。充分利用现有网络进行扩容改造, 目前有线网络受到建筑物等的影响, 往往会造成部分区域无法连接, 无线网络能够充分发挥出移动性的优点。
在无线网络的建设中需要确定建设目标, 明确无线网络建设的目标性能、要求、规模以及速度等, 基于目前的有线网络来看, 要求网络用户能够获取访问权限, 对不同出口有不同的计费要求, 校园网的安全性必须做严格的管理, 在网络管理中需要重点关注用户管理、设备管理及业务管理等。无线网络的设计中需要遵循时效性原则、可靠性原则、可扩展性原则、方便维护原则及安全性原则等。
无线网络的设计需要先初步勘察确定网络设计, 再分析现实实施环境, 接着制定方案、实施方案及项目实施等, 初步勘察调研工作是网络设计的基础工作, 主要研究网络是由谁研发、使用什么设备以及和网络设计范围等, 现实实施环境包括网络、用户以及系统之间的相互应用关系、解决方案等, 在设计方案中需要考虑到后期可能会变化的因素、无线网络组网模式主要包括Fat AP以及Fit AP模式等, Fat AP密实是一种投入少见效快的防护说, 但是这种模式无法完全涵盖数据加密、用户认证以及网络管理等功能, 在管理中难以集中管理, 需要投入很大的管理资金, 因此可以使用在初期的无线网络建设中, Fit AP模式采用了无线控制器集中实现无线网络的安全配置及网络管理等, 极大地提高无线网络的整体性能和安全管理能力, 满足大规模无望需求, 因此针对高校校园无线网络的建设嘴还采用Fit AP+AC的组网模式。
在无线网络的建设后期, Fat AP模式需要逐渐转变为Fit AP模式, 以H3C设备配置模式为例, AP和AC逐渐通过两层或者三层互通是无线控制器的中转, VLAN IP地址由Fit AP提供, 管理原Fat AP可以采用原来的VLAN IP地址, 可以由AC或者BAS分配。远端登陆到Fat AP, 为日后的AP管理和维护提供便利, 在AC中添加AP序列号 (部分) :<AP>displan device manuinfo;MAC_ADDRESS:0023-8919-63A0; 转换Fat AP为Fit AP;Change working mode will rebood system;Change working mode to Fit now?
目前校园无线网络可以选取的协议标准主要包括802.11b、802.11a、802.11g等, 无线网络设备可以根据自身的需求选取合适的设备。在无线网络的实施阶段, 需要充分考虑到安全因素, 由于无线网络设备存在高度集成化入特点, 非专业化认识很少考虑安全性, 因此无线网络不得随意构建, 为确保区域范围内无线信号的最佳覆盖, 需要依照现实环境确定AP的安装位置和方式。
3 结 语
综上所述, 笔者先简单说明无线网络所具有的优势, 重点研究校园无线网络的建构及在教学中的应用。无线网络在很大程度上突破了有线网络的限制, 移动性强, 方便快捷的优点能够满足学校网络需求, 在以后的建设中, 学校还需要不断加大有线网络和无线网络的结合, 使无线校园网发挥出更大的作用。
参考文献
[1]买买提江·阿不都热西提.校园无线网络的研究与实现[J].管理学家, 2013, 1 (9) :282-283.
[2]辛建平.浅析无线网络在校园中的构建与影响[J].数字技术与应用, 2014, 12 (1) :39-39.
校园无线网络安全研究 篇9
在当今社会中, 由于接入条件、收入水平的限制等, 有一些人, 比如在校的大学生、经常在外旅游或出差的人、蜗居在城乡结合部的租房客等, 他们想安装宽带网络接入要么不方便, 要么不经济。对于这些没有网络使用资源的人, 特别是那些学校没有提供网络服务的在校大学生, 看着笔记本电脑搜索到的大量无线网络信号, 想上网, 却总是不能成功。不是加了密, 就是尽管没加密但信号强度又太低, 根本无法连续使用。无奈之下, 这些人中的大多数想上网就只好用手机上网或者去网吧了, 一个月下来, 上网的花费可能并不会比固定的宽带网络接入费用少。
2008年国际金融危机以来, 社会上出现了一种产品, 号称可以让使用者永久免费无线上网, 这就是“蹭网卡”, 当“蹭网卡”热销以后, 社会上就多了“蹭网”一族, 蹭网成为了那时的一种时尚。尽管目前中国的法律已经明确界定蹭网是属于违法行为, 但由于前几年蹭网卡的热销以及蹭网行为所具有的隐蔽性, 故您自认为安全的无线上网环境可能已经是危机重重了!特别是在大学校园内, 由于拥有笔记本电脑的人多, 对上网有强烈需求的在校大学生多, 具备一定的电脑专门技能的学生多, 再加上部分老师的无线网络安全意识不强, 故无线网络安全隐患更多。
1 无线路由器的加密方式
当前无线路由器采用的密码加密方式主要有:WEP、WPA-PSK (TKIP) 、WPA2-PSK (AES) 等。在前二三年蹭网行为仍然是一种时尚时, 即使是一个并不具备高深电脑技术知识的人员, 只要稍微查找一些资料学习学习, 运气好的话最快几分钟, 最多也就是一、二个小时就能将加密类型为WEP的无线路由器破解并得到无线路由器的密码。伴随着“蹭网卡”的热销, 蹭网人员也就越来越多。由于蹭网人员多, 以及部分蹭网人员毫无节制的看在线视频及下载, 使得上网速度越来越慢, 最终使得无线路由器的主人发现有人蹭网并将无线路由器加密类型更改为相对来说难于破解的WPA/WPA2加密类型, 再加上我国出台了相关法律文件, 明确了蹭网行为是一种违法行为, 蹭网卡的销售被明令禁止, 故最近一二年蹭网人员越来越少。
无线路由器采用WPA/WPA2加密类型也并不是绝对安全的, 网络安全人员可以在客户机与无线路由器连接认证的过程中截获认证的握手包, 再利用专门的软件从握手包中得到密码。从握手包中得到密码的常用软件是EWSA, 它采用的是暴力破解, 配合适当的密码文件, 破解出密码的可能性还是存在的。任何密码都有它的生命周期, 破解只是早晚的事。以目前本人使用的AMD6000+CPU的运算速度, 利用EWSA软件大约每秒可以测试500个WPA/WPA2加密类型密码的可能性, 理论上破解10位纯数字密码大约需要231天, 而破解8位纯数字密码大约只需要55个小时, 也就是两天多一点。如果采用更高性能的电脑, 破解时间会更短。
由于并不是所有的密码都是8位及8位以下的数字或字母组合, 所以在实际破解过程中破解出密码的概率还是比较低的, 故有人开玩笑说, 只有人品好才能破解出WPA/WPA2加密类型的无线路由器密码。作者认为, 造成近一二年来蹭网人员越来越少的原因, 法律方面的规定只是一个原因, 但更主要的原因是因为由截获的握手包中破解出WPA/WPA2加密类型的无线路由器密码的概率比较低。
2 无线路由器的WPS漏洞
当今社会, 人们的生活节奏越来越快, 一款网络设备是否具有简单、易用的特性, 往往决定了该设备的竞争力及生存能力。对于无线路由器来讲, 也是这样。随着技术的发展, 无线路由器从最初的手动加密已经发展到现在的主流路由器都具有WPS一键加密功能, 加密方式的选择操作是越来越简单了。
Wi-Fi Protected Setup (简写为WPS) 是Wi-Fi保护设置的英文缩写。WPS是由Wi-Fi联盟组织实施的一个安全认证项目, 主要功能就是简化无线局域网的安装及安全配置工作。WPS并不是一项新出现的安全功能, 它只是使得现有的成熟安全技术更加容易配置。对于普通使用者而言, WPS提供了一个相对简便的选择并使用加密类型的方法。通过这项功能, 不但可以将都具备WPS一键加密功能的无线设备和无线路由器进行快速认证并连接, 同时还会随机的产生一个八位数字的字符串作为个人识别号码 (PIN码) 进行加密操作, 免去了客户机在接入无线网时, 必须手工添加网络设备名称 (SSID) 及输入无线路由器密码的繁琐过程。但是, 伴随着无线网络安全技术研究的逐步深入, 具备WPS一键加密功能的无线路由器的安全性是否仍旧安全可靠呢?答案是否定的。近年来出现了一种利用WPS安全漏洞破解无线路由器密码的新方法, WPS安全性漏洞的发现使得无线网络安全人士不再需要通过抓取连接认证握手包后跑密码字典来破解WPA/WPA2密码, 而且大大减少了破解无线路由器密码的时间及跑字典对电脑CPU运算速度的要求, 该破解方法一经出现, 就将整个无线路由器的安全问题暴露在了阳光之下!
破解无线路由器密码所需时间的长短一直是安全人士所首要关心的问题。如果破解无线路由器密码需要几天或者几个星期, 甚至是几年、几十年的时间, 该安全漏洞可能就不会被重视。那么, 利用WPS安全漏洞破解无线路由器密码需要多长时间才能够破解出使用WPS加密的PIN码呢?在实际破解测试时, 网络安全人士最多只需测试11000次的可能性, 按照平均水平, 只需测试大约5500次就能破解出无线路由器的密码。如果无线信号较强, 可以达到测试一种可能性的PIN码只需要1~2秒的时间, 也就是说利用该漏洞可以轻易地在2小时左右破解使用WPS加密的PIN码并得到无线路由器的密码!下面我们就来看一看无线网络安全人士是如何利用WPS安全性漏洞来破解无线路由器密码的。
3 利用无线路由器的WPS漏洞进行破解的过程
启动CDlinux (如何下载及启动CDlinux可自行查找资料) 后, 双击运行桌面上的minidwep-gtk程序, 运行结果如图1所示:
点击OK后, 进入破解程序界面, 选择加密方式为WPA/WPA2, 然后点击“S扫描”开始扫描无线网络信号, 如图2所示:
在图2显示的无线路由器扫描结果中, 选择一个最后带有“wps”字样的无线路由器, 然后点击“Reaver”就开始进行PIN码测试了, 默认是从第一位为“0”的数字开始测试。如果想改变测试pin码的顺序, 可以先点击“排序pin码”, 测试pin码的过程如图3所示。
最后, 破解了无线路由器并得到了无线路由器的PIN码和密码, 如图4所示。
4 结束语
从以上破解无线路由器密码的过程可以看出, 使用者只要具备简单的电脑操作技能, 通过简单的动动鼠标, 轻松几步, 完全不需要去输入繁锁的命令, 不需要什么专业知识, 也不需要高深的黑客技术, 直接用鼠标点几下就可以了。鉴于前几年蹭网卡的热销及使用CDlinux破解WPA/WPA2密码如此的傻瓜化, 如果你发现你的无线网络速度与刚安装无线路由时相比慢了许多, 或者在使用时发现网速越来越慢的话, 进一步检查后如果网络接入线路正常, 路由器硬件正常, 电脑硬件正常, 操作系统正常的话, 笔者可以很肯定的告诉你, 你已经无私的“被共享”了你的无线网络, 被别人悄悄的强行蹭网了!至于如何防止别人蹭网, 不在本文讨论之列。
出于对无线网络安全技术研究的爱好, 在两个月左右的时间内, 作者利用业余时间, 已经学习到了周围64个无线路由器的PIN码, 得到了51个加密类型为WPA2的可用的无线路由器密码。尽管网络安全人士一再告诫大家, 密码应该设置为8位及以上数字和字母的组合, 且一定不能用弱口令、生日、电话号码、手机号码、姓氏字母+数字等作为密码, 但从作者实际破解出来的密码来看, 仍然有31个路由器使用了上述类型的密码, 大约占61%。尽管另外约39%的无线路由器使用了比较复杂的密码, 甚至有一个使用了28位的字母+数字的组合 (不是路由器的动态密码, 这么长的密码如果使用目前世界上运算速度最快的“天河二号”来破解我看也有点够呛) , 但路由器仍然被破解了。在此作者提醒大家, 目前利用WPS漏洞来破解WPA/WPA2的成功率几乎是百分之百, 而且现在的无线路由器默认的都是开启WPS加密的, 很多用户也不会去刻意的关闭WPS加密。
在无线路由器密码的安全研究过程中, 作者积累了不少宝贵经验, 加深了对无线网络安全的理解, 相信今后对我校的无线网络安全建设必将起到积极作用。该文的作者都是遵守国家法律的公民, 都是中国联通宽带的接入用户, 撰写本文的目的在于唤醒大家的无线网络安全意识, 并不会利用此文提到的方法去蹭别人的网, 敬请大家放心。
摘要:伴随着电脑硬件、软件及网络技术的发展, 笔记本电脑的保有量也越来越大。对于同时拥有笔记本电脑和台式电脑的个人和单位来说, 为了同时让笔记本电脑和台式电脑接入电脑网络, 而又不想让网线的长度将笔记本电脑束缚在一个有限的小范围内, 通常的做法就是购买一个集无线和有线网络功能合二为一的路由器。这样尽管能达到让台式机和笔记本电脑同时上网的目的, 但网络风险也许就在你将路由器接入电脑网络的那一刻产生了!
关键词:破解,无线,路由器,PIN码,密码
参考文献
[1]你记性好吗?——找回你的WiFi密码[J].电脑爱好者:普及版, 2010 (8) .
无线校园网络安全构建 篇10
进入21世纪,随着无线技术的迅猛发展,手机、笔记本电脑、平板电脑等移动无线终端设备己经成为了我们生活中不可缺少的元素。传统的校园网主要是通过有线连接实现的,各个终端都是依赖于网线实现网络接入。但是现今,由于丰富的网络资源和网络化教学方式在教学中被广泛应用,以及移动终端的普及,固定的时间和固定的地点已经不能满足教学活动的需要。因此,传统的依赖有线网络的校园网己经越来越不适应学校日益突出的使用需求,从而“无线校园”就逐渐地走进校园,其建设也显得尤为重要。通过无线校园网的建设,不仅可以更加灵活的使用校园网资源,还可以解决有线网络对于接入数量的限制问题,从而使用户可以更加便捷的使用校园网。
然而,无线校园网的无线传输信道的开放性这一特点,由于其在提供服务时要满足用户群体数量大、层次多的特征,从而使学校里的任何师生,在任何位置只要拿着具备接收能力的无线设备都能随时对网络进行窃听。如此一来,也就决定了无线网络比有线网络更加容易遭遇黑客入侵和恶意攻击,使得无线网络安全建设成为无线校园网建设的首要难点。其实在无线网建设的初期,它仅仅作为有线校园网的一个补充存在。主要被应用在有线网络的覆盖盲区的进行无线信号补充,从而使得校园网的每一个区域都尽可能地有网络的覆盖。但是,随着学校建设规模的不断发展,校园网业务也呈现出一些新的特点。比如业务种类繁多、业务量大、使用人数剧增等。这时候原有的单方面仅仅满足覆盖的校园网,已经不能解决网络的速率、接入、管理、安全等等一系列问题。从而致使了广大师生的需求在传统的校园网上已经不能得到满足。基于传统校园网的这种不适应教学发展现状的特点,我们不得不对校园网进行重新建设。用以无线为主有线为辅的校园网模式取代以前的以有线为主无线为辅的校园网模式,成为现代校园的迫切需要。
未来的无线校园网应当具备的特点:1、高速率;2、覆盖广;3、管理方便;4、安全。
二、国内外现状
在国外,高校非常注重校园教学与管理的一体化。所以国外不少高校已经实现了教育资源和授课方式的改变。例如将教育资源由原本的纸质材料转变为音频、图片、视频等新媒体;将授课方式由以往的教师在教室讲台授课转变为网络教学。总之,通过学校无线网络,使得学生不管是在教室,还是在图书馆,甚至是在家,都能享用到学校的教育资源,却不受场地、时间的限制,非常的安全可靠。
而相对于西方发达国家比较来说,我国的无线校园起步比较晚,致使国内的无线校园网安全建设仍与西方发达国家有相当大的差距。不过,随着无线网络安全技术的日益成完善和移动设备的日渐普及,我国的无线校园网安全建设虽然只是处于起步阶段,但也有不少高校己经取得了不错的成绩。
也正是因为我国的无线校园安全建设还处于起步阶段,使得我国未来的无线校园存在无限的发展空间。随着技术的不断成熟,我国的无线校园安全建设存在着巨大的潜力。
三、学校无线网建设的安全问题
网络建设时一个重要问题就是网络安全。安全直接决定着一个网络的好坏,质量是否高。
1、用户非法接入问题
因为无线校园的师生的网络行为应该完全依赖于无线信号,所以从理论上来讲,校园中能够被无线信号所覆盖到的区域,都存在着被用户接入的可能性。在实际工作中,那些未经授权的用户或者黑客甚至可以通过攻击或者借助一些工具来接入无线局域网。其后果使得不仅合法用户的带宽资源会被占用,还可能由于非法用户的接入,从而对整个网络进行恶意破坏,盗取合法用户的个人信息。
2、数据安全问题
非法用户可以在无线网信号覆盖的区域内窃听其传输的所有数据。这一安全隐患不仅使得合法用户的重要信息保密性得不到保障,其同时一些数据也可能被非法用户进行恶意寡改和伪造,从而使得合法用户数据的安全性也不得不到保障。
3、信号干扰问题
由于在现实生活中,到处都充斥着无线信号。由于无线信号与无线信号存在的一些共同点,使得彼此间必然会造成一定的干扰。无线干扰按照类型可以分为干扰和非干扰两种类型。干扰指的是都符合标准所发射出的无线信号,这种一般表现为相同或相邻频率上的干扰。在工作频段上,包含了2.4GHz和5GHz这两个频段。而非干扰则一般指的是像微波炉、无线电话、电机等能发射无线信号的设备发射出的无线信号对其的干扰。
4、非法接入点问题
由于无线局域网的接入点的便于携带、易于安装、价格低廉等一些特点,使得许多时候有人会自己购置一个无线局域网接入点,然后在未经管理员允许的情况下,私自接入到网络中。这种行为将改变原来的网络结构,使网络存在一定的安全隐患。
四、无线校园网络安全设计
1、整体规划
采用“瘦”AP+AC的双核心三层结构设计。在两台核心交换机上部署两台设备,从而实现双冗余设计。
由于整个系统采用的AC集中转发,而AC又要对整个网络中的所有AP进行集中管理。所以采用双AC冗余的设计,能够在较大程度上避免冗机的出现,从而也有效避免了整个网络瘫痪的现象出现。在双AC中,一个是主AC,另一个就成为备用AC。当主AC运行出现故障时候,备用AC将立即自动切换为主AC,而之前由主AC所负责的业务也自动转交备用AC负责,从而确保整个网络能够正常运营。在整个无线局域网中的所有AP都必须与双AC建立CAP-WAP (Control And Provisioning of Wireless Access Points Specification,控制的无线接入点和配置协议)隧道。
2、统一认证
校园网的特殊性决定了其只能用来专门为本校师生服务。所以校园网只能面向本校师生提供校园网资源。于是在认证设计上,可以采用Web portal认证服务,利用“瘦”AP+AC模式,配合Portal认证服务器来实现。也就是说,本校用户能够通过Portal服务器在浏览器上来获取登录认证页面,然后再输入自己的校内的用户名和密码,从而实现认证登录。只有本校师生才能拥有登录账户和密码这一特性大大提高了该无线校园网的安全性。
配置命令如下:
(1)HTTP重定向主页设置
Ruijie#configure terminal//进入全局配置模式
Ruijie (config)#http redirect homepage url-string//设置认真主页的URL为url-string
Ruijie(config)#show http redirect//查看HTTP重定向配置
(2)接入用户与认证服务器之间的密钥设置
Ruijie#configure terminal//进入全局配置模式
Ruijie#(config)#web-auth portal key key-string//设置接入用户与认证服务器之间的密钥key-string
Ruijie (config)#show web-auth//查看Web认证全局配置信息和统计信息
(3)在网络上开启Web认证功能
Ruijie#configure terminal//进入全局配置模式
Ruijie (config)#wlansec wlan-id//进入WLAN安全配置模式
Ruijie(wlansec)#webauth//开启Web认证功能
3、出口网关
内部网络的数据包通向外部网络的最后一道关卡就靠出口网关来实现。在出口网关方面,可以选用锐捷的RG-NPE50E。该设备除了具备了传统的优选路径和高速转发功能外,还具备日志设计、流量控制优化、等功能,真正是一个多功能的出口网关。
于是我们的出口网关不仅具有独立的网络出口,还具备自动校准DNS解析、快速选择联网路径、NAT地址转换、多种路由协议等功能。这样的设计,在大大提高网络出口的安全性同时的,也实现了内外网地址的自动转换,从而很大程度上节省了公网IP地址的资源。
4、入侵检测防御系统
在入侵检测防御系统方面,推荐选用锐捷的RG-IDP。这台设备的主要功能就是可以检测和预防网络异常。该设备在对网络进行深层次检测和分析的时候,能够有效查找出网络中的异常状况,从而达到保护网络安全的目的。
5、防火墙
防火墙部署是在内部网络和外部网络之间的关卡。用防火墙可以解决内部网络和外部网络之间的安全问题。在防火墙布置方面,推荐选用锐捷的RG-WALL1600。该设备主要是通过对数据包和相关协议的过滤实现访问控制,从而确保网络的安全。
配置如下:
firewall>sysip add Ian 172.24.0.1 255.255.255.0 admin on ping on traceroute on//Ian为防火墙IP地址的网络接口,172.24.0.1为IP地址,255.255.255.0为子网掩码,admin on为设置可以通过此IP地址管理防火墙,ping on为设置此IP地址允许管理主机ping,traceroute on为设置此IP地址允许管理主机traceroute。
五、总结
现如今,我国的无线校园网还仅仅处于起步阶段。在未来,仍然有很长的一段路要走。随着信息化进程的加快发展,无线校园网在未来的学校中位置将越来越重要。越来越多的学校业务也将会依托无线校园进行展开。尽管现在的无线校园网仍存在很多问题,尤其是安全问题。但我们相信,随着今后各项技术的发展,当下的一些问题将会一个个得以解决,甚至在不久的将来,传统校园网必将被无线校园网彻底取代。
参考文献
[1]郑娟毅.石明卫.802.11无线局域网技术及发展[J].西安邮电学院学报.2006.
[2]王守亚.直接序列扩频通信系统伪码同步技术的研究[D].合肥.合肥工业大学.2013.
[3]彭渝.工业无线技术在我国的应用现状[J].自动化博览.2010.
[4]李贺武.华盛顿大学无线校园网建设经验[J].z中国教育网.2008.
[5]草原.混合跳扩频测控系统关键技术研究[D].成都电子科技大学.2012.
[6]董清爽.马秀峰.协同式学习环境下的移动教育系统研究[C].山东人民出版社.2008.
[7]董清爽.马秀峰.高校校园网络文化定位与建设探究[J].信息技术.2013.(3):56-59.
校园无线网络的设计与实现 篇11
关键词:无线网络 校园网 无线局域网络 无线局域网通用标准802.11
一、背景
近些年来,网络己经与我们的生活产生了密切的联系,根据最新的调查报告显示,全球范围内的无线用户数量目前已经超过2亿,未来我国的上网用户八成将会使用无线上网。在宽带网络己经普及、各种新业务层出不穷的背景下,“无线网络”成为近年来非常流行的名词。同时,随着无线局域网客户端适配器产品价格的逐步降低以及笔记本电脑的大众普及,更多的老师和学生有能力拥有无线网络客户端产品,因此校园用户们越来越希望尽可能方便、快捷地使用无线网络,无线校园的建设正驶向快车道[1]。
二、无线校园网的设计
通过实地考察,无线网络在校园中主要应用于四种典型的环境:①局部开放的室内公共区域;②房间多、用户数量少,但用户分布不规则的楼体建筑;③校园内的户外公共区域;④校區与校区之间。
(一)要使用的技术和实现的功能
根据环境的考察以及前面章节的分析,准备在此次校园网络的建设中实现以下技术和功能:①采用IEEE802.11系列标准,建立支持漫游的微蜂窝覆盖网络;②设立无线中继点,覆盖开阔区域;③使用无线网桥技术,解决校区之间无线网络的覆盖;④集中管理无线网络设备。
(二)无线网络的结构设计
在同一校区内,采用有线主干网与无线网桥相结合的方式,充分利用有线网络的资源。对于校区内学校楼宇间以及户外公共区域的网络接入需求,应根据需要覆盖区域的实际情况,设计建立多个无线覆盖基站,采用重叠交叉无线覆盖方式,在每栋楼房或建筑物上接入AP,并在距离远或信号弱的地方外接增益天线或采用无线网桥等技术[2]。也可以在校园内各建筑群采用点对多点的连接方式,将其中一个建筑设置为中心站点,其他的建筑作为从站,利用全向天线把各站点覆盖在信号范围内。室外全向天线大约可覆盖1000米的半径范围。可以利用无线网桥的接入原理通过两个无线设备进行点对点的链接。一方面扩大覆盖范围,另一方面,无线网桥起到网络路由选择和协议转换的作用[3]。
1.局部开放的室内公共区域。在局部开放的室内公共区域部署无线网络需要确定AP的数量和位置。
2.楼体建筑。对于没有任何布线的楼宇,在每层办公室的天花板上和墙壁上安装无线网接入点,天线可以根据天花板采用的材料决定是否将天线暴露在天花板下。采用无线网络结构,只要在楼内的计算机都配置了无线笔记本网卡和无线台式机网卡,笔记本用户可以拿着笔记本在大楼内实现无缝漫游。
3.校园内的户外公共区域。在校园的户外公共区域布置无线网络,最大的优势就是没有大的建筑物阻挡,不用过多考虑无线信号的穿墙问题,但要考虑一些外来信号的干扰问题。户外无线网络的结构要根据区域的大小来确定,如果户外公共区域最大半径在400米(理论值)之内,可以直接通过使用区域中心的无线AP就能接收到无线信号。如果户外公共区域的最大半径大于400米,小于1000米(理论值)时,可以通过无线AP的桥接功能实现。还有一种情况,当户外公共区域的最大半径大于1000米(理论值)时,考虑采用无线网桥来实现数据传输。而此种情况在目前的校园环境中还不存在,因此可以暂时不用考虑。
4.校区与校区之间。由于大学的两所校区之间的距离处于无线网桥的有效距离范围之内,因此,两校区之间的无线网络结构可以采用无线网桥技术。
根据对校园内四种典型环境中的无线网络结构的分析和整理,可以得到校园无线网络的总体结构:校区间(校区A和校区B)采用对等网络,校区内不同局域网络之间(户外公共区域、楼体建筑、室内公共区域三种环境之间)用点对点网络,每个局域网内部(户外公共区域内部、楼体建筑内部、室内公共区域内部)使用接入点网络。这种网络以三种成熟的无线网络模式理论作支撑,根据不同的环境将它们有机结合,形成复杂的、灵活性高的网络。
三、结论
本文主要对校园无线网络服务进行研究,从目前广为使用的技术标准IEEE802.11g标准出发,介绍了校园无线网络的发展情况以及解决了在组建无线网络的过程中要遇到的无线网络安全问题。然后通过对各个环境的分析,制订每个环境下无线网络结构。结合现有硬件设备的性质及特点,实现了校园无线网络的架构方案。
参考文献:
[1]谭伟.无线校园网的应用与设计[M].科技信息,2009:10.
浅谈校园无线网络安全防范 篇12
校园网络担负着学校教学、科研、管理等重要任务, 无线局域网作为对传统有线网络的延伸, 其具有的可移动性、安装简单、高灵活性和扩展能力的优势, 使校园内实现了“不论您在任何时间、任何地点都可以轻松上网”这一目标。但是随着校园无线网络环境的普及及应用的深入, 来自无线网络的安全问题也日显突出, 为了保证校园无线网络的安全, 必须从技术和管理入手采取措施, 打造一个洁净、安全、高效的校园网络环境?
1 校园无线网络安全隐患
1.1 无线网络定义
WLAN是Wireless LAN的简称, 即无线局域网。无线网络, 就是利用无线电波作为传输媒介而构成的信息网络, 由于WLAN不需要铺设通信电缆, 可以灵活机动地应付各种网络环境的设置变化。所以具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点, 目前在校园网内已得到了广泛应用。[1]
1.2 校园无线网络的安全隐患
随着校园网络规模不断扩大, 校园网络用户迅速从几百用户扩充到几千用户, 由于无线网络所具有的优势, 满足了师生在校园全方位上网的需求, 使网络成为师生获取信息的重要手段。同时校园网用户大多容易接受新鲜事物, 虽然一方面对校园无线网络的需求不断增长, 但带来的无线接入安全性问题也日益严峻, 威胁着校园网络的正常运行, 其主要的安全隐患包括以下几个方面:
1.2.1 非法用户侵入
由于无线局域网具有公开、易获取的特性, 便于开放式访问, 所以非法用户可以未经授权而擅自使用网络资源, 后果是不仅占用了宝贵的无线信道资源, 增加了带宽费用, 而且还降低了合法用户的服务质量。
1.2.2 网络监听
由于无线局域网具有开放访问的特点, 入侵者无需将窃听或分析设备物理地接入被窃听的网络, 就可以乘机在无线信号覆盖范围之内, 进行窃听、恶意修改并转发数据。[2]
1.2.3 无线加密协议 (WEP) 破解
互联网上已经普遍存在的一些非法程序, 能够通过收集足够的WEP弱密钥加密的包, 并进行分析以恢复WEP密钥。最快可以在两个小时内攻破WEP密钥。[2]
1.2.4 地址欺骗和会话拦截
非法用户通过网络窃听, 获取网络中合法站点的MAC地址, 然后通过ARP欺骗, 利用这些合法的MAC地址进行欺骗攻击。同时还可以通过截获会话帧从而进一步进入网络获取更多信息。
1.2.5 信息重放
在没有足够的安全防范措施的情况下, 是很容易受到利用非法AP进行的中间人欺骗攻击。这种攻击对授权客户端和AP进行双重欺骗, 进而对信息进行窃取和篡改。
1.2.6 拒绝服务
是最为严重的攻击方式, 一般有两种情况, 一种就是攻击者对AP进行泛洪式的攻击, 使AP拒绝服务。另外一种是对某个节点进行攻击, 让它不停地提供服务或进行数据包转发, 使其能源耗尽而不能继续工作, 也就是通常称的能源消耗攻击。[2]
1.2.7 高级入侵
攻击者一旦侵入无线网络, 它就会进一步入侵其他系统。这样无线网络的安全隐患就会成为整个校园网络安全系统的漏洞, 只要攻破无线网络, 整个网络就将暴露在非法用户面前, 此时网络威胁的后果将更加严重。
2 校园无线网络安全策略
校园无线网络的安全隐患, 决定了校园网络安全需要从网络安全管理和网络安全技术两方面进行治理, 为保证校园无线网络环境下的安全性, 应从以下方面采取措施:
2.1 网络安全管理策略
2.1.1 网络管理部门应建立网络安全长效机制
建立规范的网络秩序, 不仅需要不断完善法制, 还需要学校建立起一整套完善的现代化网络运行、使用、管理规范。必须由学校具有决策权的机构和领导组织来协调各部门的管理工作, 这种管理应包括建立一套严格的无线网络安全管理制度, 和培养一支具有网络安全管理意识和水平的网络队伍。
2.1.2 网络安全事件的响应机制
一旦网络安全出现意外, 学校能够以标准化的流程来进行响应。使相关人员合理应对事件, 采取应急措施, 保证网络畅通。这种机制应当对风险级别和当前事件的严重程度作出说明。
2.1.3 校园网用户的教育和培训
加强校内用户的网络安全意识, 经常性地对网络管理人员进行安全技术的培训, 是时了解最新的安全技术信息。对校园用户进行有关网络安全的法律和规章制度的宣传教育, 加强无线网络安全意识, 定期组织无线网络安全知识的培训, 让校内用户掌握一些无线网络安全策略, 例如:安装防火墙等安全软件、及时更新系统漏洞补丁等, 养成安全上网的好习惯。对于网络管理人员, 一定要重视上岗培训, 普及无线网络的安全知识, 因为这些岗位的安全培训是校园网安全管理非常关键的环节。
2.1.4 加强无线终端管理
系统管理员如果需要防止无线终端上的网络设置泄漏, 可以选用支持修改属性需要密码的网卡, 并且开启该功能, 防止网卡属性被修改和信息泄漏。
2.1.5 监测系统日志
网管人员需要建立与维护完整的网络用户数据库, 严格对系统日志进行管理, 要定期查看系统日志记录并进行备份, 及时解决出现的问题, 任何人不得删除运行记录数据库中的文档。
2.1.6 定期对服务器进行备份与维护
为防止无法预料的系统故障或用户无意的非法操作, 系统管理员应定期备份服务器上的重要系统文件。重要的资料还应保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况, 删除过期和无用的文件, 确保服务器高效运行。
2.2 无线网络的安全技术策略
在校园网络建设中, 不仅需要防范有线网络安全隐患, 还要对越来越普及的无线网络带来的安全性要有足够的安全防范措施。这就需要在校园网络构建过程中充分考虑到无线网络的安全构架和适宜校园环境的无线网络安全技术应用。
2.2.1 建立安全的无线网络构架
学校在网络安全建设上, 应有前瞻性, 根据校园数字化建设规划, 首先, 利用学校现有设备, 例如, 入侵侦测系统 (Intrusion Detection System) 、防火墙、RADIUS等系统。在做无线网络安全措施时, 可以将这些现有资源进行整合, 如将802.1x/EAP与RADIUS的结合等。其次, 选择一些新的安全技术集成到无线局域网上, 如VPN、防火墙、IDS、以及802.1x/EAP等标准, 安全策略从第二层开始就作防护。[1]
2.2.2 无线网络安全技术
针对校内不同用户群体对无线网络需求的差异, 为保障校园无线网络使用的安全性, 安全策略主要应从访问控制和数据加密两个方面加以改善。
(1) 适宜校内师生用户的端口访问控制技术 (802.1x认证)
802.1x认证使用802.1x RADIUS认证和MAC地址联合认证, 用于防止非授权的非法用户接入和访问, 确保只有合法用户和客户端设备才可访问网络。802.1x定义了三种身份:申请者、认证者和认证服务器。当申请者向认证服务器表明自己的身份时, 认证服务器就对申请者进行认证, 认证通过后将通信所需要的密钥加密再发给申请者。申请者就可用这个密钥与AP进行通信。目前是无线网络中安全性很高的技术, 特别适合校园内的师生用户群体, 因为他们不仅需要随时接入无线网络, 访问所需资源, 而且还要求对所访问的数据有较高的安全性保障。[3]
(2) 校内临时用户的访问认证
由于此类用户只是暂时借用校内无线网络进行资源访问, 对安全的需求不是很高, 对他们来说只要能够便捷地接入Internet, 浏览相关网站和收发邮件即可。针对此类用户, 可采用DHCP+强制Portal认证的方式接入校园无线网络。
(3) WEP加密技术
是8011b标准里定义的一个用于无线局域网的安全性协议, 是对无线网络上的流量进行加密的一种标准方法。由于在无线网络中, 无需物理连接就可以连接到网络, 因此, 目前IEEE 802.11标准中的WEP, 在15分钟内就可被攻破, 所以建议采用支持128位的WEP, 并且不要使用产商自带的WEP密钥, 防止未授权用户的侵入。[4]
(4) 变更服务集标识符 (SSID) 、禁用SSID广播
从安全角度讲, SSID提供的是一个较低级别的安全认证。SSID是无线接入的身份标识符, 相当于一个局域网的简单标志或口令。用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的, 并且每个厂商都用自己的缺省值。是用于标识每个无线网络的服务者身份 (SSID) , 在使用时一定要将出厂时的缺省SSID更换为自定义的SSID, 并且禁用SSID广播, 以减少无线网络被发现的可能。[5]
(5) 无线入侵检测系统
学校可通过提供商购买此系统, 增加对无线局域网用户的检测、监控、分析, 判断入侵事件的类型, 检测非法的网络行为, 对异常的网络流量进行报警。无线入侵检测系统不仅能检测到MAC地址欺骗, 通过一种顺序分析, 找出那些伪装WAP的无线上网用户, 还能加强策略, 使无线局域网更安全。
结束语
由此可见, 无线网络在校园内的普及, 使网络安全在校园网的运行和管理中表现得尤为突出, 通过对校园无线网络安全隐患的分析, 提出了加强校园无线网络安全的诸多策略, 通过多种方案的综合使用, 能够最大限度地改善网络的安全运行环境。总之, 共同做好校园网的安全管理工作, 才能建设一个安全、可信的校园网络环境。
参考文献
[1]蔡一郎.Windows2000Server网络技术与构架治理[M].北京:清华大学出版社, 2002:302-378.
[2]孙利民, 李建中.无线局域网络[M].北京:清华大学出版社, 2005:4-22.
[3]杨峰, 张浩军.无线局域网安全协议的研究和实现[J].计算机应用, 2005, 25:2.
[4]黄劲荣.无线局域网在校园网的应用[J].教育信息化, 2005:1.
【无线校园网络安全构建】推荐阅读:
构建无线校园网的设想08-07
校园无线网络建设07-02
高校校园无线网络11-06
校园无线网络方案08-10
校园无线网安全技术08-09
校园无线网络应用研究09-29
校园无线网络教室设计11-25
校园无线网络安全防范05-26
校园网中无线网络技术11-05
无线校园网11-24