职业学院有线无线网络融合设计
网络技术对教学的发展提供了更加广阔的平台,如利用手机进行网络教学的蓝墨云班课等,对无线网络的发展也提出了更高的要求。职业学院原有网络多为有线网,新建设的无线网络在原有线网络基础上进行建设,要设计出一套能够实现两者结合的网络结构。 1 学院网络总体结构设计 学院所设计无线网为两个部分,教学区和生活区网络互相独立,教学区网络和原有有线网络结合,采用固定IP的上网方式,对每个AP设置登陆密码,SSID不进行广播;生活区无线网络采用认证方式,可以独立运行,由一台AC设备对生活区无线网络进行管理。在核心层,通过一台万兆交换机和校园网的有线网络核心设备互联,外挂一套综合服务系统,主要进行相应的管理,如身份认证、账号计费、上网日志审计、网络管理等。 不同的楼宇所需接入点数量虽然不同,但为提高整网的安全性,所有区域都采用3层结构。同时对于不同的楼宇,AP类型的选择要根据用户数量不同选择不同型号,如用户数量较少的办公室,选用功率较小的AP设备,对于用户数量较多的宿舍,选用功率较大的AP设备,POE交换机可以为AP设备直接供电,提高AP部署灵活性。 2 学院网络总体安全设计 无线网安全分为7个部分:网络结构的安全、安全接入功能、统一认证和准入准出、出口的安全、IP地址规划、SSID和VLAN划分、网络管理安全系统。 (1)网络结构的安全。一般职业学院网络的规模属于中型网络,为了保证网络的稳定性,采用“瘦”AP+AC的单核心3层结构,核心交换机处部署大规模智能AC设备,对整个网络中的所有AP进行集中管理。AC所承担的任务较重,所有的数据都要经过AC转发,如果AC设备出现问题,无线网络将瘫痪,存在一定的隐患,可结合学院实际经济情况,采用单或双AC+AP模式来保证网络的安全。采用“瘦”AP+AC模式,AP负责的功能相对较少,AC设备要对AP设备进行负载均衡,当网络中某些区域的AP接入用户数量过多,AC设备要控制附近的AP进行负载分担。一般AC设备支持基于用户流量和用户数量的两种分担方式,当用户流量达到门限时,AC会使AP设备拒绝新增用户的接入,用户只能加入到附近未达到流量上限的AP设备。用户数量控制的方式和流量控制类似。为了减轻AC控制的工作量,除了AC控制外,对AP设备也设置最大连接用户数,对用户数量进行控制[1]。(2)接入功能的安全。采用无线入侵检测系统(WIDS)模块,可以对无线网络的入侵攻击进行检测和隔离,如果发生非法登录、Dos攻击或范洪攻击等行为时,带有WIDS模块的AC设备可以自动检测发生攻击的AP和客户端,将它们从网络中剔除,以保证网络的安全,屏蔽有害入侵。合法用户在AC设备上配置的有名单列表,不在列表内的用户无法接入无线网络,有效避免非法用户的攻击。(3)用户访问控制功能。针对不同权限的用户采用访问控制,提供不同的服务质量、带宽等。对教师用户一般不限制网络带宽,提供全面的服务;对学生用户,需要进行身份认证,接入后要进行带宽限制,上网时间段限制。(4)出口安全功能。通过设置专用的防火墙设备,提高网络出口的安全。对网络的带宽需要进行合理的分配,网络视频节目越来越多,流媒体播放、大量P2P等APP应用在移动智能终端上使用量较大,对带宽的要求较高,校园内人员数量大且相对集中,给网络出口带来很大压力。为了保证核心业务的顺利进行,需要流量控制设备对视频、流媒体和P2P应用进行识别和流量控制。(5)IP地址规划。无线网络的IP地址主要有4种:用户的IP地址、AP的IP地址、AC的IP地址和不同业务网关的IP地址。 教学区所有无线设备的IP地址设为固定IP,用户登陆AP后,由AP自动为用户分派IP地址;生活区用户的IP地址和AP的IP地址通过DHCP Server获得,不需要手动配置。 3 学院教学区无线网络设计 学院的教学区无线网是在原校园有线网的基础上扩展而成,由于学校的原有有线网,无线网的建设在层次化结构的选择上要根据实际情况进行选择。 3.1 有线网和无线网结合方式分析 有线网络和无线网络间主要使用单核心3层结构。 单核心3层结构适用于用户规模较大的WLAN,一般使用网关分离结构。该结构的核心交换机与汇聚交换机通过3层路由口互联,无线用户的VLAN信息通过CAPWAP隨道传到AC,经过AC处理后送入核心交换机,核心交换机与汇聚交换机是3层连接,不能透传用户的VLAN二层信息,所以无线用户的网关配置不能在汇聚交换机上完成,核心交换机只作为网关交换机,通过3层网络进入外网。AP管理的配置和有线用户的VLAN必须在汇聚交换机上完成,从而实现了无线用户和有线用户的网关在结构上的分离。 (1)网管分离结构优点:这种结构下核心交换机的压力较小,在安全方面,不仅实现了多网段用户统一管理,隔离了 有线用户和无线用户,使网络更加强健。(2)网管分离结构缺点:不支持不同VLAN的用户间数据转发。 3.2 教学区网络结构设计 结合学院情况,教学区网络采用有线和无线分离的方式,既能保证教学区内为各个办公室提供无线信号覆盖,又能保障整个有线网络的安全,使学院原有核心业务如学生信息、财务等核心业务不受影响。 4 教学区无线网络安全设计 教学区无线网络使用隐藏SSID,对无线AP进行加密的方式提高网络的安全性。 整体结构上,为了保障原有线网络中核心业务的安全,教学区无线网和有线网络的融合采用网管分离结构,使接入无线的用户不能访问有线网络,从而防止恶意攻击者通过非法手段接入无线网络,攻击核心有线网的情况出现。 5 学院生活区无线网络设计 5.1 生活区无线网络需求分析 (1)服务对象需求分析。生活区主要针对学生用户提供服务,和教学区分离,属于网络的两个不同部分。随着技术的发展,无线移动设备的大量普及,智能手机、平板电脑、手提电脑等保有量越来越大,在校学生除了一部分拥有笔记本电脑外,几乎人手一部智能手机,所以在生活区对无线网络的需求量比较大,对网络的带宽要求较高。且学生用户上网的时间段比较集中,对业务的需求以视频、游戏等为主。(2)管理需求分析。由于服务对象主要是学生,而学生的上网行为对其学业的影响较大,为了能够有效地对学生的上网行为进行干预,需要在为学生提供网络服务的同时进行有效管理。 5.2 生活区无线网络结构设计 根据以上需求,设计独立成网的无线生活区网络,网络结构上使无线网建设更加结构分明,方便进行整体规划,安全上保证了整个网络的强健,和有线网络部分进行隔离,降低了有线网络部分的安全隐患。 独立成网的无线网络优势分析:(1)网络结构更加优化。独立的无线网和有线网络互为备份,不管有线网还是无线网其中一方出现问题时,另一方可以作为应急措施,较好地保证校园网核心业务的正常进行。两者的结合能够进一步完善校园网的组网结构,实现网络资源的优化使用。(2)统一的安全策略。独立成网的无线网在架构上不会影响有线网的安全,能够制定全网统一的安全策略,如全网络SSID的命名、全网的虚拟局域网(VLAN)规划、认证加密方式的选择、用户权限的访问控制等,方便了管理员进行管理和维护。(3)整个无线网设备维护方便。独立建设的无线网在设备选择上可以选择兼容性较号的设备,一般选择相同品牌的产品,设备间配合更加紧密,出现问题可以方便替代和维护。(4)清晰划分VLAN。无线网络和有线网络之间在逻辑上相互独立,使无线网的VLAN划分更清晰,有利于控制无线用户进行访问,保证无线网络的安全。 生活区的网络设计采用独立成网的网络结构,网络结构上采取“痩”AP+AC3层结构模型,采用具备POE供电技术的交换机,方便管理。这样可以做到逻辑上与有线网接入层的隔离,网络的安全性提高,同时可以保证能够根据信号覆盖的实际需要对整个生活区实现全信号覆盖,在设计和施工上更加自由。在设计上可以对无线网络的后期扩展进行充分考虑,保障网络的可发展性。 6 学院生活区无线网络安全设计 6.1 无线网络安全需求分析 生活区无线网络采用单独成网的网络结构,在结构上和有线网之间实现了隔离。面临的安全问题主要为网内用户的认证、设备的管理。 用户认证需要根据用户设备选择最方便的认证方式,对所有认证在线用户能够进行管理,需要控制器AC具有该功能。 6.2 生活区无线网络安全设计 采用独立成网的无线网络,在接入部分采用和有线网类似的方式对网络进行保护,比如使用POE交换机端口控制,安全身份认证,将无线用户的MAC地址和IP地址进行绑定等措施,和有线网的用户管理独立开来,这样就避免了对网络设备进行大量复杂的配置。 生活区核心交换机再连接学院总核心交换机,由总交换机为生活区核心交换机提供网络接口。 独立成网的无线网络隔离了有线用户,保障了有线用户的安全,可以对无线用户统一实施安全策略,提高了网络的安全水平,和有线网络的结合提高了网络的可用性,但是由于无线网络的信号是开放的,所面临的安全压力较大,需要在无线网络的安全上采取完善的措施来保障网络的安全。 7 结语 本文介绍了学院网络的整体设计,在教学区采用和有线网络结合,但逻辑上分离的结构,对教学区各无线接入点采用物理地址过滤,隐藏SSID等方式保障安全;生活区使用独立成网的建设方式,可以使生活区网络的安全性能大幅提高,提高了网络的抗攻击能力,保证核心业务的顺利运行,并可以进行更加自由的设计,充分考虑网络的后续建设。 网络技术对教学的发展提供了更加广阔的平台,如利用手机进行网络教学的蓝墨云班课等,对无线网络的发展也提出了更高的要求。职业学院原有网络多为有线网,新建设的无线网络在原有线网络基础上进行建设,要设计出一套能够实现两者结合的网络结构。 1 学院网络总体结构设计 学院所设计无线网为两个部分,教学区和生活区网络互相独立,教学区网络和原有有线网络结合,采用固定IP的上网方式,对每个AP设置登陆密码,SSID不进行广播;生活区无线网络采用认证方式,可以独立运行,由一台AC设备对生活区无线网络进行管理。在核心层,通过一台万兆交换机和校园网的有线网络核心设备互联,外挂一套综合服务系统,主要进行相应的管理,如身份认证、账号计费、上网日志审计、网络管理等。 不同的楼宇所需接入点数量虽然不同,但为提高整网的安全性,所有区域都采用3层结构。同时对于不同的楼宇,AP类型的选择要根据用户数量不同选择不同型号,如用户数量较少的办公室,选用功率较小的AP设备,对于用户数量较多的宿舍,选用功率较大的AP设备,POE交换机可以为AP设备直接供电,提高AP部署灵活性。 2 学院网络总体安全设计 无线网安全分为7个部分:网络结构的安全、安全接入功能、统一认证和准入准出、出口的安全、IP地址规划、SSID和VLAN划分、网络管理安全系统。 (1)网络结构的安全。一般职业学院网络的规模属于中型网络,为了保证网络的稳定性,采用“瘦”AP+AC的单核心3层结构,核心交换机处部署大规模智能AC设备,对整个网络中的所有AP进行集中管理。AC所承担的任务较重,所有的数据都要经过AC转发,如果AC设备出现问题,无线网络将瘫痪,存在一定的隐患,可结合学院实际经济情况,采用单或双AC+AP模式来保证网络的安全。采用“瘦”AP+AC模式,AP负责的功能相对较少,AC设备要对AP设备进行负载均衡,当网络中某些区域的AP接入用户数量过多,AC设备要控制附近的AP进行负载分担。一般AC设备支持基于用户流量和用户数量的两种分担方式,当用户流量达到门限时,AC会使AP设备拒绝新增用户的接入,用户只能加入到附近未达到流量上限的AP设备。用户数量控制的方式和流量控制类似。为了减轻AC控制的工作量,除了AC控制外,对AP设备也设置最大连接用户数,对用户数量进行控制[1]。(2)接入功能的安全。采用无线入侵检测系统(WIDS)模块,可以对无线网络的入侵攻击进行检测和隔离,如果发生非法登录、Dos攻击或范洪攻击等行为时,带有WIDS模块的AC设备可以自动检测发生攻击的AP和客户端,将它们从网络中剔除,以保证网络的安全,屏蔽有害入侵。合法用户在AC设备上配置的有名单列表,不在列表内的用户无法接入无线网络,有效避免非法用户的攻击。(3)用户访问控制功能。针对不同权限的用户采用访问控制,提供不同的服务质量、带宽等。对教师用户一般不限制网络带宽,提供全面的服务;对学生用户,需要进行身份认证,接入后要进行带宽限制,上网时间段限制。(4)出口安全功能。通过设置专用的防火墙设备,提高网络出口的安全。对网络的带宽需要进行合理的分配,网络视频节目越来越多,流媒体播放、大量P2P等APP应用在移动智能终端上使用量较大,对带宽的要求较高,校园内人员数量大且相对集中,给网络出口带来很大压力。为了保证核心业务的顺利进行,需要流量控制设备对视频、流媒体和P2P应用进行识别和流量控制。(5)IP地址规划。无线网络的IP地址主要有4种:用户的IP地址、AP的IP地址、AC的IP地址和不同业务网关的IP地址。 教学区所有无线设备的IP地址设为固定IP,用户登陆AP后,由AP自动为用户分派IP地址;生活区用户的IP地址和AP的IP地址通过DHCP Server获得,不需要手动配置。 3 学院教学区无线网络设计 学院的教学区无线网是在原校园有线网的基础上扩展而成,由于学校的原有有线网,无线网的建设在层次化结构的选择上要根据实际情况进行选择。 3.1 有线网和无线网结合方式分析 有线网络和无线网络间主要使用单核心3层结构。 单核心3层结构适用于用户规模较大的WLAN,一般使用网关分离结构。该结构的核心交换机与汇聚交换机通过3层路由口互联,无线用户的VLAN信息通过CAPWAP隨道传到AC,经过AC处理后送入核心交换机,核心交换机与汇聚交换机是3层连接,不能透传用户的VLAN二层信息,所以无线用户的网关配置不能在汇聚交换机上完成,核心交换机只作为网关交换机,通过3层网络进入外网。AP管理的配置和有线用户的VLAN必须在汇聚交换机上完成,从而实现了无线用户和有线用户的网关在结构上的分离。 (1)网管分离结构优点:这种结构下核心交换机的压力较小,在安全方面,不仅实现了多网段用户统一管理,隔离了 有线用户和无线用户,使网络更加强健。(2)网管分离结构缺点:不支持不同VLAN的用户间数据转发。 3.2 教学区网络结构设计 结合学院情况,教学区网络采用有线和无线分离的方式,既能保证教学区内为各个办公室提供无线信号覆盖,又能保障整个有线网络的安全,使学院原有核心业务如学生信息、财务等核心业务不受影响。 4 教学区无线网络安全设计 教学区无线网络使用隐藏SSID,对无线AP进行加密的方式提高网络的安全性。 整体结构上,为了保障原有线网络中核心业务的安全,教学区无线网和有线网络的融合采用网管分离结构,使接入无线的用户不能访问有线网络,从而防止恶意攻击者通过非法手段接入无线网络,攻击核心有线网的情况出现。 5 学院生活区无线网络设计 5.1 生活区无线网络需求分析 (1)服务对象需求分析。生活区主要针对学生用户提供服务,和教学区分离,属于网络的两个不同部分。随着技术的发展,无线移动设备的大量普及,智能手机、平板电脑、手提电脑等保有量越来越大,在校学生除了一部分拥有笔记本电脑外,几乎人手一部智能手机,所以在生活区对无线网络的需求量比较大,对网络的带宽要求较高。且学生用户上网的时间段比较集中,对业务的需求以视频、游戏等为主。(2)管理需求分析。由于服务对象主要是学生,而学生的上网行为对其学业的影响较大,为了能够有效地对学生的上网行为进行干预,需要在为学生提供网络服务的同时进行有效管理。 5.2 生活区无线网络结构设计 根据以上需求,设计独立成网的无线生活区网络,网络结构上使无线网建设更加结构分明,方便进行整体规划,安全上保证了整个网络的强健,和有线网络部分进行隔离,降低了有线网络部分的安全隐患。 独立成网的无线网络优势分析:(1)网络结构更加优化。独立的无线网和有线网络互为备份,不管有线网还是无线网其中一方出现问题时,另一方可以作为应急措施,较好地保证校园网核心业务的正常进行。两者的结合能够进一步完善校园网的组网结构,实现网络资源的优化使用。(2)统一的安全策略。独立成网的无线网在架构上不会影响有线网的安全,能够制定全网统一的安全策略,如全网络SSID的命名、全网的虚拟局域网(VLAN)规划、认证加密方式的选择、用户权限的访问控制等,方便了管理员进行管理和维护。(3)整个无线网设备维护方便。独立建设的无线网在设备选择上可以选择兼容性较号的设备,一般选择相同品牌的产品,设备间配合更加紧密,出现问题可以方便替代和维护。(4)清晰划分VLAN。无线网络和有线网络之间在逻辑上相互独立,使无线网的VLAN划分更清晰,有利于控制无线用户进行访问,保证无线网络的安全。 生活区的网络设计采用独立成网的网络结构,网络结构上采取“痩”AP+AC3层结构模型,采用具备POE供电技术的交换机,方便管理。这样可以做到逻辑上与有线网接入层的隔离,网络的安全性提高,同时可以保证能够根据信号覆盖的实际需要对整个生活区实现全信号覆盖,在设计和施工上更加自由。在设计上可以对无线网络的后期扩展进行充分考虑,保障网络的可发展性。 6 学院生活区无线网络安全设计 6.1 无线网络安全需求分析 生活区无线网络采用单独成网的网络结构,在结构上和有线网之间实现了隔离。面临的安全问题主要为网内用户的认证、设备的管理。 用户认证需要根据用户设备选择最方便的认证方式,对所有认证在线用户能够进行管理,需要控制器AC具有该功能。 6.2 生活区无线网络安全设计 采用独立成网的无线网络,在接入部分采用和有线网类似的方式对网络进行保护,比如使用POE交换机端口控制,安全身份认证,将无线用户的MAC地址和IP地址进行绑定等措施,和有线网的用户管理独立开来,这样就避免了对网络设备进行大量复杂的配置。 生活区核心交换机再连接学院总核心交换机,由总交换机为生活区核心交换机提供网络接口。 独立成网的无线网络隔离了有线用户,保障了有线用户的安全,可以对无线用户统一实施安全策略,提高了网络的安全水平,和有线网络的结合提高了网络的可用性,但是由于无线网络的信号是开放的,所面临的安全压力较大,需要在无线网络的安全上采取完善的措施来保障网络的安全。 7 结语 本文介绍了学院网络的整体设计,在教学区采用和有线网络结合,但逻辑上分离的结构,对教学区各无线接入点采用物理地址过滤,隐藏SSID等方式保障安全;生活区使用独立成网的建设方式,可以使生活区网络的安全性能大幅提高,提高了网络的抗攻击能力,保证核心业务的顺利运行,并可以进行更加自由的设计,充分考虑网络的后续建设。