-
-
手机阅读
无线网络解决方案能有效缓解校园网建设中存在的传统有线网络无法解决的难题,无线网络技术具有无缝三维覆盖、可移动通讯等优点,弥补了有线网络的不足。如果校园网中采用无线接人,这一切都会发生很大的变化。
1 无线局域网原理和应用
无线局域网(Wireles Local Area Network,WLAN)是一项已经相当成熟的技术,指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。现在国内外各运营商都已经展开了激烈的市场竞争,在运营商网络覆盖范围之内,用户通过无线局域网卡,利用笔记本电脑、PDA(指掌上电脑)、台式机等终端设备以无线方式高速接人互联网/企业网,获取相关信息或进行移动办公。
无线局域网使用红外线或射频(RF)的传输方式,其中RF由其作用距离长、带宽大及覆盖范围更广的特点受到欢迎。WLAN利用电磁波在空气中发送和接收数据,无需线缆介质,在无线覆盖的模式下室内传输可达几十米,室外传输可达几百米,在无线桥接的模式下,可连接相距几十千米的两地。WLAN大多使用的是2.4或5.8 GHz的频率波段,这在世界范围内是RF频谱中非许可备保留的波段,因此使用该频段无需另外申请。
IEEE802.11协议族在协议、传输带宽、传播距离上更具有实用性,已经获得了广泛的市场认可度和厂商支持率,尤其是802.11b(工作于2.4 GHz频段,提供11 Mb/s传输速度)、802.11a(工作于5.8 GHz频段,提供54 Mb/s传输速度)和802.11g(工作于2.4 GHz频段,提供54 Mb/s传输速度)的产品可满足企业、校园等的高速无线传输需求。
2 基于校园网的WLAN建设方案
为了使无线网络能与原来的有线网络、应用系统以及安全策略有机并且能够无缝的相结合在一起,针对学校对于校园无线网络的需求,本文从用户安全认证、用户管理和无线网络管理等方面提出如下总体解决方案。
2.1 无线网络组网
通过在校园内热点区域采用蜂窝状信号覆盖方式,以实现无线网络信号的无缝覆盖。各热点区域内AP通过在交换机上划分到全局的独立的VLAN中,该VLAN在中心不做三层交换以保证用户在未认证之前与校园有线网络之间的隔离。由于目前学校面积范围普遍都比较大,因此考虑学校无线网络规模大、覆盖范围广、用户数多的特点,对网络性能和用户认证都提出了很高要求,如果将全无线网络都划到一个VLAN内,则会严重影响网络性能,因此建议将全无线网络根据无线网络覆盖的功能区域及用户数划分为几个子网,每个无线子网分别由一台无线网络控制器对其所辖无线子网用户进行控制,以实现降低网络广播、用户分流的目的。如图1所示。
 |
2.2 无线安全网络认证
由于WLAN是承载于现有的有线校园网之上,通过电磁波信号将有线网扩展到整个三维空间中,实现了将有线网中的位置分散的信息点在连续空间中的延续,任何可以接受到电磁波信号的人都可以访问网络。而对于有线网络来说一般只要控制有线信息点不让非法人员接触,就可以保障网络的安全,因此如果应用了一个没有控制的WLAN将会比有线网络更易受到攻击和入侵。因此WLAN用户的安全认证、接人控制、数据加密更是尤为重要。针对目前校园在无线网应用中的需求,笔者平衡了不同种类用户对网络安全级别要求不同及用户易于使用两者之间的关系,提出利用无线网络控制器,为整体无线网络提出基于WPA2认证和WEB+DHCP认证的用户安全认证的解决方案:
(1) WPA2认证
无线网络控制器采用WPA2认证,WPA即Wi-Fiprotected access的简称,WPA2是WPA协议的第二版,与WPA后向兼容,但是与WPA采用RC4加密算法不同,WPA2支持更高级的AES算法,能够更好地解决无线网络的安全问题。从而实现了对数据更高级别的安全保护。
(2) WEB+DHCP认证
考虑到WPA2认证方式对客户端需要进行一定设置才能工作,为了便于用户使用、简化操作,也可以使用无线网络控制器对无线用户采用WEB十DHCP方式进行认证。WEB+DHCP认证方式是一种非常便于操作的认证方式,无需用户端安装任何软件,当用户需要上网时仅需打开浏览器即可弹出认证页面,用户在认证页面上输入自己的账号名和密码即可,同时用户在认证时,用户的账号信息均通过SSL/TLS方式进行加密,保障用户账号信息的安全。并在认证页面上也会有一系列的使用提示信息,能够对用户上网操作进行一定引导,方便了用户的使用。
2.3 网络系统架构
通过分析,本方案中采用了三层总体架构,如图2所示:
 |
第一层为管理层,又称为核心层。主要提供计费、认证、管理等服务,由主备两台接人服务器构成,接人服务器是运营商和校内用户数据管理系统数据库的对接的接口,并负责处理来自其下一层的无线网络控制器发来的用户认证请求,根据预设策略判断认证类型并将请求转发至接入服务器本地,对用户账号的有效性采用相应的协议(例如PAP,CHAP,EAP等认证协议)进行判别,并将结果返回给底层的无线网络控制器,无线网络控制器根据接入服务器的结果决定是否允许用户的网络访问请求。另外,管理层还根据其下一层提供的计费原始数据对无线用户进行计费。由此可见,在三层架构下,本层是最核心的一层,管理层系统的故障将导致整个无线网的瘫痪。因此管理层系统必须提供冗余备份,可以采用两台接入服务器,一台为“主”,另一台为“备”。平时只有主机工作,备机实时对主机数据库中用户账号和配置信息等进行同步,一旦主机故障能够确保备机可以拥有和主机相同的配置和用户账号信息,从而可以保证整个无线网的稳定运行。
第二层为WLAN网络控制层,也是安全控制层,由若干台无线网络控制器组成,每台无线网络控制器负责控制各自所在无线子网的无线用户,接收所有用户的认证请求,并将用户的认证请求转发至相应认证服务器,此外还负责为上一层提供用户计费原始信息的采集。
第三层为无线链路接入层,该层由热点区域的众多Access Point(AP)组成,主要负责如手提电脑、PC机等终端设备接入。
2.4 无线网络管理
为了保证无线网络的稳定运行,对其进行方便、高效的管理是必不可少的。因此在本方案中采用了一个完整的无线局域网网管系统WNMS。WNMS采用网络管理的标准协议SNMP对相关无线局域网设备进行配置、管理数据、性能数据、故障数据的采集和分析,同时也可通过WNMS对具体设备上的参数进行配置,调整,故障诊断。WNMS还提供拓扑发现、管理的功能,可以直观的反映出无线网络控制器、AP和其他相关设备之间的对应关系。网络监视基于网络拓扑图进行,在性能、告警、配置等方面动态反映网络的变化。由于无线AP孤立地分布在比较分散的位置,因此在一个完整的WLAN解决方案中,WNMS系统将成为保障无线网络稳定运行不可缺少的重要组成部分,如图3所示。
 |
3 结语
本方案主要是基于校园网提出的WLAN应用方案,最终目的是使学校内的教职员工和学生能便捷的访问网络资源、以及便于各校之间的人员和信息交流。
本方案主要有以下几点优势:
(1) 可以支持多种认证方式同时并存,满足不同种类用户对网络安全、易使用、账号控制策略方面的需求。
(2) 既对现有校园网业务进行了有效的整合,又保持了无线网业务的高度可扩展性和相对独立性,有利于校园师生学习、工作。
(3) 采用无线网管系统,对无线网进行了有效的管理,保障无线网的稳定运行,降低了运行维护成本。
校园WLAN是计算机网络与无线通信技术相结合的产物,他为目前的校园计算机有线网络连接提供了一种新的传输方式,并为在校师生通信的移动化、个人化和多媒体应用提供了潜在的手段。具有广泛的市场前景。