党校无线校园建设研究.docVIP

党校无线校园建设研究 　　摘 要：本文从国家税务总局党校无线网络现状入手，分析了存在问题，着重介绍了无线网络设计及安全体系建设。以期为其他院校的无线网络建设提供参考借鉴。 　　关键词：无线校园；安全体系 　　中图分类号：TP393.18 　　随着移动办公、学习平台的开发使用，微博、微信等新媒体的广泛应用，党校广大教职工、学员的工作、生活都已离不开无线网络。 　　1 无线网络现状 　　目前各级党校均组建了基于有线的校园网，正在规划并分步实施无线校园建设。党校学员在校学习时间短，流动性大；学员智能设备持有率高，但安全意识普遍不强等因素决定了对无线校园建设安全性、便捷性、稳定性有更高的要求，必须在借鉴高校建设的经验教训上切实做好规划设计。 　　以国家税务总局党校为例，该校数字化校园规划建设起步早，信息化为教学、科研、管理、后勤等提供了高效稳定的支撑。随着无线设备的普及、无线应用的推广，办公室、宿舍等公共场所部署了基于FAT AP的无线网络。FAT AP具有配置灵活、安装简单、性价比高等优势。 　　2 存在问题 　　随着应用的不断深入，原有无线网络也无法满足需求，暴露出信号覆盖面小、安全隐患大、运维管理难等问题。 　　2.1 非法无线路由器接入。学员自带无线路由接入宿舍有线网络，因市面上家庭无线路由默认开启了DHCP（动态地址分配）功能，其分配的错误IP 会影响其它计算机用户正常网络访问；同时还存在安全隐患，如配置恶意的DNS（域名解析服务）将一些银行、电子商务类网站解析到伪装网站，从而实施盗取账号密码等敏感信息。 　　2.2 不能支持大礼堂、报告厅等场所的多用户同时接入。一些新技术应用、危机处理、知识管理等课程需要使用移动设备访问无线网络。而传统AP支持并发连接数有限，不能智能负载分担，出现负载满后，其他人无法正常登录使用。 　　2.3 存在覆盖盲点及易受干扰。频段设备多，可用频谱少，部署过密容易引起干扰，过疏则存在覆盖盲点。 　　2.4 不支持漫游。用户离开现有AP覆盖范围连接另一AP时，可能会分配不同的IP，使用的Portal认证，需重新认证。 　　2.5 运维困难。存在不能及时发现问题，只能事后被动的处理；排查难，无法快速定位有问题的AP；不能统一配置管理等难题。 　　3 优化举措 　　为了更大的覆盖校园面积，在综合考虑技术成熟性、性价比等基础上，我们在WLAN（无线局域网络）、WMN（无线网状网络）、MANET（移动自组织网络）中选择了WLAN。支持高性能的802.11n，兼容802.11a/b/g；并做好了802.11ac升级准备。 　　为解决原有FAT AP组网方式存在的问题，我们选择了FIT AP组网方式。通过无线控制器统一管理和配置所有AP，为兼容现有网络，保护原有投资，同时避免AC故障影响整个网络，采用了AC旁挂于核心交换机设备的方式。从网络可靠性考虑，控制器做到了热备。处于VRRP状态下连接的无线AP，探测到某台控制器故障时，将无缝地切换到备用控制器，其下连接的客户端将无中断的访问网络。 　　3.1 智能负载均衡。智能无线一体化交换机可以根据每个区域的AP连接用户数，判断是否达到用户数或带宽的上限，动态地将用户分散到不同的AP，从而有效利用周边整体AP的资源，有效的缓解单个AP的负担，提高多用户的上网质量。 　　3.2 动态射频管理。无线控制器具有自动调整射频功率和无线信道的功能。可根据具体环境调节信号刚好覆盖空间，避免相互间的干扰和射频盲区覆盖问题。 　　3.3 无缝漫游对接。所有用户信息（连接状态、认证状态、IP地址分配信息、加密验证状态等）全部集中在无线交换机上，用户跨网段移动时，还会延续原有的IP地址、认证与加密方式，无需要重新获取，连接不会中断。[1] 　　3.4 简便运维管理。无线控制器可将软件版本和配置文件下载到所管理的AP，自动调节AP的工作信道以及发射功率，FIT AP本身零配置，减少后期维护和管理的工作量。[2] 　　3.5 全面安全体系。应注重信息安全体系的建设，提高网络的整体安全性。我们通过划分安全域和用户两个维度，来设定细粒度的安全防护。教师、学员、访客是党校无线网络的三种最主要的服务对象，其访问的资源、流动性等不同。为此我们在身份认证、访问控制等方面采用了不同的方式，以找到便利与安全之间的平衡。 　　3.5.1 安全域划分。根据安全域划分原则和网络优化和边界整合策略，经过对业务数据流分析，对WLAN系统的进行安全域划分。[3]如认证系统的安全域，按重要性从高至低可以划分为：认证鉴权区域：主要包含Radius、Portal服务器等；接入控制区域：AC、防火墙等设备；热点接入区域：AP、接入终端等。不同区域的安全保护需求不同，需设置严格