根據校園無線網絡建設需求提出無線全覆蓋實施方案

　　無線網絡及智能手機在現如今得到了廣泛應用，無線網絡為人們的生活提供了便利。但是在目前無線網絡在校園建設中仍然存在一些不足，下面文章以山西廣播電視大學為例，論述校園無線網絡建設的總體需求和無線架構，目前山西廣播電視大學仍然使用的是有線校園網，這些已不能滿足學校綜合科研和教學的需要。在校園構建無線網絡已經十分重要，本文對山西廣播電視大學無線網絡架構的覆蓋范圍，安全穩定提出了設計思路。

　　關鍵詞：山西廣播電視大學,無線網絡,互聯網

　　山西廣播電視大學是一所主要以利用互聯網進行遠程教學的高等學校，各種移動終端的使用和移動學習APP的廣泛應用迫使校園無線網絡全覆蓋的建設。無線網絡可以為全校師生提供無處不在、隨時隨地地接入互聯網服務，為移動學習和辦公平臺的建立提供網絡基礎，使學校在教學、科研和管理等各項業務變得更加方便便捷，并能更好地服務于學校基于網絡的遠程教學、在線服務、教育資源共享等各種應用中。

　　一、我校校園無線網絡建設目標

　　山西廣播電視大學是一所主要以利用互聯網進行遠程教學的高等學校，其無線網絡的建設目標就是利用校園現有的有線網絡資源對校園網進行無線網絡的延伸，以便能夠在校園網內實現資源的共享，保證各有線終端和無線移動終端都能夠聯網，使校園網絡的利用率有所提高，繼而提高廣大教職工和學生工作和學習的效率，提高學校的管理水平和管理層次。

　　有了無線網絡的架設，在校園中，教職工和學生通過學校網絡認證系統能夠隨時隨地聯網打開與外界交流溝通，校園中能夠做到信息的及時共享，隨時隨地都能學習。教師可以對自己的課程下發作業，能夠對學生進行輔導。學生可以利用網絡進行學習、交流和組織活動，極大地提高學習效率。學校管理人員也可以接入辦公系統，讓移動網絡無處不在，讓辦公系統發揮更大的作用。隨時都能學習、辦公和生活，促進學校數字化校園智慧化校園更好的建設。

　　二、我校校園無線網絡建設總體需求

　　無線覆蓋范圍。為了滿足學生和教職工在大型的公共場所能隨時隨地使用無線網絡，此次規劃的無線覆蓋范圍涵蓋綜合辦公樓、各種大小會議室、閱讀室、招生辦等室內，還包括室外可以覆蓋操場、食堂等區域。無線網絡安全。由于在無線網絡環境下無線終端是通過搜索無線信號進行網絡連接這一特性決定了在安全管理方面比有線網絡具有更高要求和更大難度。要做到接入用戶認證，識別用戶分類，安全審計用戶信息等。便捷易用，穩定可靠。

　　在接入認證方式上分教師、學生和訪客三種身份，要做到一次登錄認證，下次無需認證; 要做到在校園內不同場所無需人工切換，無需重復認證。還要做到使用者在使用無線網絡時不中斷、不掉線、不卡頓等。運營維護管理。方便管理者管理和維護各種不同型號、安裝在不同場所中的無線 AP，確保能全面監控所有接入 AP 運行情況，精準定位故障 AP。與原有線網絡兼容。為了提高設備利用率，減少不必要的投資，無線網絡往往是建設在有線網絡的基礎上，利用原有線網絡核心設備，比如核心、匯聚交換機、認證系統等，與有線網絡共用一套認證系統，同一個賬號既可以在有線網絡上使用，也可以在無線網絡上使用，使用相同或者不同的認證策略以及訪問控制策略。

　　三、我校校園網無線覆蓋實施方案

　　( 一) 校園無線網網絡架構選擇

　　目前，無線網絡覆蓋的網絡架構有傳統的自治型無線接入點即“胖 AP”和“無線交換機+瘦 AP”兩種。其兩者不同點在于“胖 AP”所有管理與配置集成在設備自身，每個無線設備自己管理，沒有全局的統一管理，更沒有對無線鏈路、無線設備和無線用戶等的監測與管理、故障排查、流量控制和審計等功能，比如家用的無線 AP 小路由器。而“無線交換機 + 瘦 AP”這種解決方案全部集中在無線控制器上管理控制，并通過控制器后臺可以直觀地對全網接入設備進行統一的、批量的發現、升級、配置，甚至包括對無線鏈路的監測，對無線用戶的管理。在全局的統一管理、統一安全、統一認證和設備自身的安全性等方面進行對比，結合學校實際情況，適合采用“無線交換機 + 瘦 AP”這種解決方案。

　　( 二) 校園無線網絡結構

　　為了提高設備利用率，減少不必要的投資，我校無線校園網絡建設直接在原有線網絡的基礎上進行疊加。即利用原有線網絡核心設備，比如核心交換機、認證系統等，將 AC無線控制器部署在校園網核心機房，旁掛于內網核心交換機上。

　　(三) 校園無線網絡覆蓋設計

　　室內場景覆蓋。圖書館、會議室等這類用戶數量多，空間面積大，接入終端多且支持頻率不同的室內場景采用室內高功率雙頻 AP，根據具體施工情況和安裝效果選擇吸頂或面板式安裝方式。室外場景覆蓋。室外這類場景有一個典型特點就是:室外環境復雜，有雷雨等天氣影響。AP 需要具體防塵防雨等特點。將 AP 部署在人員密集區域，不僅需要滿足終端接入還需要滿足信號的穩定性和較高的終端接入數。對于室外環境，采用高性能、高吞吐量、高用戶并發等優異的性能AP。

　　(四) SSID 規劃和信道規劃便于用戶使用無線網絡，使用 SSID 進行廣播，針對學生、教師和訪客等不同的用戶群體，在無線 AP 上設置不同的 SSID，同時不同的 SSID 采用的接入認證方式不同，并通過無線控制器 AC 針對不同的 SSID 設置不同的訪問控制策略等。信道規劃。學校無線網絡部署的是雙頻 AP，即一個AP 可以同時發射 2. 4G 網絡和 5G 網絡，使用 2. 4GHz 網絡，為保證信道之間不相互干擾，通常采用 1、6、11 三個信道，要求兩個信道之間間隔 5 個信道以上，比如采用 1、6、11三個信道。對于 5GHz 網絡來說，最多可以提供 5 個不重疊的信道同時工作，在我國一共開放了 5 個信道，分別是149、153、157、161、165 信道，這 5 個信道相互之間不重疊，為互不干擾信道，這樣可以有效降低無線干擾，提高無線上網速度。除此之外，國家針對于 802. 11 AC 新一代無線網絡，也逐漸開放了更多的頻段，擁有 13 個不重疊、不干擾的無線信道。5G 網絡具有無線傳輸快、環境干擾小的優勢。

　　( 五) 校園無線網絡安全性設計

　　無線接入認證。對于不同的使用者，可以做不同的認證方式。教師通過無線辦公可以使用 802. 1X 的無感知認證方式。對于學生可以采用 Portal 賬號認證，免除了繁瑣的認證方式。對于訪客則可以通過微信短信等認證手段來提高宣傳的力度，增強學校的整體形象。無線空口安全。無線校園網的無線空口安全威脅主要來自非法接入點、空口竊聽、惡意攻擊。非法接入點。非法接入點，如私接無線接入點、共享熱點、AD - Hoc 等，其威脅主要是對校園無線網的干擾以及誘使用戶接入從而盜取用戶信息，通過無線控制器 AC 的檢測功能檢測無線環境中存在的攻擊和危險行為，實時告警并產生日志，并對指定類型的攻擊對象執行反制。

　　空口竊聽，眾所周知，無線網絡是以空氣為介質進行傳播的，數據通常被暴露在空氣中，惡意訪問者利用無線空口抓包工具進行破解賬號密碼、數據分析等，對無線校園網造成安全隱患，通過對無線空口進行 WPA/WPA2 /WAPI 等安全加密，或采用高安全性的 Portal 安全認證方式，對用戶認證數據以及業務數據進行安全加密，防止空口數據被竊聽。惡意攻擊。在校園網絡中典型的惡意攻擊包括 D -dos 攻擊、Ping 攻擊、ARP 欺騙攻擊，D - dos 攻擊、Ping 攻擊等洪泛攻擊可以使主機資源被耗盡，從而達到攻擊的目的，致使服務器癱瘓、無法訪問的情況。可以通過在無線層面的攻擊檢測技術，將攻擊終端加入到動態黑名單中凍結一段時間并產生告警通知，有效預防 AP 接入資源、服務器等資源被耗盡。同時，不影響其他終端的正常接入。

　　訪問控制，可以利用無線控制器的應用訪問控制，將控制策略下發到 AP，從而實現對內外網的訪問權限控制，保證無線校園網的安全性。另外，互聯網資源極其豐富，但卻良莠不齊，學校作為提供互聯網上網服務單位，有義務規范學生的上網行為。將違法、違規、暴力、黃色等不良網頁過濾掉，凈化網絡環境; 同時過濾釣魚網站、惡意廣告、垃圾博客，防止用戶不慎訪問不受信的網站帶來的上當受騙。行為審計記錄。為了進一步保證學校的信息安全，對特定的系統資源以及網絡輿論進行保護，對與學校的系統、BBS 論壇、貼吧等相關的網絡行為進行審計記錄，當疑似出現安全問題時，能夠做到有跡可循。針對于無線用戶的上網行為審計，包括但不限于 http外發內容、訪問的網站和下載、郵件、ftp、telnet、其他網絡應用、網頁內容、ACL 拒絕行為以及上網流量與時長控制。

　　( 六) 校園無線網絡穩定快速設計

　　通過流量控制等措施確保校園無線網絡穩定快速。由于互聯網各類應用程序所需的帶寬越來越大，可視化視頻應用越來越多，對出口帶寬的需求很大。如何能合理地利用有限的帶寬，根據用戶類別、應用類型和時段等不同因素設置不同的流量極為關鍵。此次校園網無線覆蓋要求:

　　1. 根據業務類型進行流量控制，比如可以按照 P2P 下載、FTP 下載、視頻、網頁瀏覽等應用進行流量控制，并設置一定的優先級，比如教務管理系統、會議視頻系統等學校業務應用進行流量的優先設置，這樣可以避免占用帶寬大的網絡應用影響重要業務應用的正常使用;

　　2. 根據用戶類型，針對學生、教師和訪客等不同身份進行帶寬的分配，比如為教師分配相對帶寬大一點，對學生則統一分配一定額度帶寬等;

　　3. 根據使用無線的時間段進行流量控制，針對不同應用、不同的用戶等在不同時間段進行合理的流量控制; 4. 還可以根據實際帶寬使用情況，實時調整通道流量。這樣可以合理分配帶寬資源，提高帶寬利用率。

　　( 七) 校園無線網絡高可靠性設計

　　通過 AP 災備冗余、認證服務器冗余等措施確保校園無線網絡可靠性。AP 災備冗余。基于 AC + FIT AP 網絡架構，AC 作為無線網絡中最核心的設備，當 AC 宕機之后，無線網絡將變得不可用，通過 AP 災備冗余方案，當 AP 與無線控制器因外界因素( 如 AC 宕機、控制器與核心交換機網線斷開) 造成的通信連接斷開后，自動啟用應急策略或應急 SSID，新接入的用戶會劃分到指定的應急 VLAN 以及分配相應的應急角色，仍然能保證用戶正常上網以及新用戶的認證接入，當網絡恢復正常時，這些用戶會從災備角色中剔除，提高網絡的穩定性和可靠性。

　　認證服務器冗余。無線校園網利用原有線網絡的外置認證服務器進行統一認證，無線網絡可關聯多個 Radius 服務器，實現認證服務器的冗余備份，當一臺 Radius 服務器宕機后，另一臺 Radius 服務器繼續提供服務，為用戶提供可靠的接入服務。另外，通過認證服務器逃生功能，即使當無線網絡關聯的全部認證服務器都宕機后，依然能保證用戶正常上網以及新用戶的認證接入，提高網絡的穩定性和可靠性。

　　( 八) 校園無線網絡運營維護設計

　　由于無線 AP 分布較點數較多、地域較廣，給運營維護和管理方面帶來一定困難。通過無線控制器統一集中管理平臺，對無線 AP 統一下發配置，對無線 AP 進行圖形化管理，根據圖形顯示情況，確定故障點。還可以通過對部署在覆蓋目標的 AP 進行分組管理，比如按照建筑物劃分管理組，方便 IT 管理員管理運維。同時，IT 管理員可在控制器上可統一查看所有 AP 的運行情況( 如 AP 接入用戶、AP 帶寬使用情況、設備利用率、AP 在線情況等) ，當 AP 設備出現異常或故障時，會出現告警事件，幫助 IT 管理員及時排除問題。

　　( 九) 校園廣告

　　當然校園網無線覆蓋不僅可以方便用戶使用網絡，還可以針對不同用戶推送一些新聞公告等信息，主要包括Wi Fi 入口廣告推送、推廣學校公眾號和用戶行為精準推送等。Wi Fi 入口廣告推送。在 Wi Fi 入口進行校園廣播等信息展示，訪客連入 Wi Fi 時，會觀看到推送的公告信息。學校可以根據樓層、區域的不同推送不同的 Wi Fi 入口信息，比如: 當用戶連接校園東區無線網時，提示校園東區等信息; 并且可以強制用戶觀看一定時間的公告之后才可以點擊我要認證上網。

　　推廣學校公眾號。學校為用戶提供免費的無線網絡，訪客通過關注學校微信公眾號獲得上網資格，有效幫助學校推廣教學資源以及提高學校整體形象。當學校需要發布消息時，可以在微信平臺發布。提高了學校發布信息的效率。用戶行為精準推送。當用戶使用學校 Wi Fi 時，用戶行為精準推送，會根據用戶在百度、谷歌等網頁搜索引擎內容進行信息推送( 需管理員設置好關鍵字組對應的廣告，比如搜索“圖書”時推送學校相應的書籍內容) ，推送形式支持網頁內嵌 banner 廣告、微信、短信等方式。

　　四、結語

　　無線網絡的覆蓋彌補了傳統有線網絡的不足。滿足了師生隨時隨地通信、學習等辦公、學習和生活的需要，同時也為我校提供了日常生活、辦公和學校管理緊密相連的信息化平臺，也提高了整個網絡的性能。但本文只是針對我校無線校園網絡建設的總體需求和無線網絡架構、無線網絡結構、覆蓋范圍、安全、可靠、穩定以及維護方面等實施方案提出的一種設計思路，具體實施中還需要針對具體校園環境和實際應用需求進行不斷改進、完善和優化。在以后無線網絡建設和使用過程中，應對無線網絡進行合理分布、配置優化。在網絡安全方面，要完善管理制度。隨著無線體系的逐步完善，無線網絡使我們生活和學習真正享受無線的樂趣。

　　參考文獻:

　　[1]鄧寧.校園無線網絡建設方案實例探討[J].中國教育技術裝備，2015( 20) .

　　[2]徐瑩，石堅.基于 WLAN 的校園無線網絡的規劃與設計[J].電子測試，2015( 23) .

　　[3]陳瑞.無線網絡故障分析及其解決策略[J].山西廣播電視大學學報，2013( 3) .

　　相關閱讀：山西廣播電視大學學報論文發表