科技信息SCIENCE&TECHNOLOGYINFORMATION2012年第35期0引言1)基础网络接入需求随着校园网络信息化的普及,人们越来越要求尽可能方便、快速、移动式的使用网络,同时,随着笔记本电脑的普以及无线网卡产品的价格逐步降低,越来越多的人拥有无线网络客户端产品,学校需要能够使得在很多有线网络无法延伸到的场合,以及如大型教室、礼堂、会议室、图书馆体育场馆等场所,也同样能够访问校园网络,最大程度延伸网络半径,真正让网络渗透到校园的每个角落。
2)基于WLAN 网络的移动多媒体业务需求移动多媒体办公需求当在学校举行大型活动时,可以通过无线网络提供视频直播和为无线数码相机提供即拍即传业务。
移动多媒体教学需求随着教育教学的扩展,已有的固定课堂模式已不能满足现有学生学习的需求,无线校园网需要能够提供广大师生任何时间、任何地点的接入教学网络,提供课堂远程教学、师生视频交互平台、师生视频会议等需求。
3)满足校园特点的安全和可靠性中国石油大学校园无线网的目标是建设一个可收费的、可运营网络,这样的定位对可靠性、安全、加密和非授权用户的控制提出了更明确的要求:支持精确的无线入侵、射频干扰、非法AP 定位和隔离;支持无线频谱分析,保证校园射频层面的安全;冗余的多服务控制保证校园复杂接入环境的安全无线接入;同时支持端到端的网络可靠性保证技术。
4)高性能的IPv6和IPv4无线接入现在建设高校无线网络,除了要考虑对现有IPv4网络终端的无线接入,满足当前高校师生对无线网络的需求外;又要支持高性能的IPv6的用户接入,以适应网络发展趋势,并保护网络投资。
图1无线网络设计图5)支持用户全网漫游校园无线网络应支持用户全网快速、安全、无缝漫游,保证用户在园区移动过程中可以保证IP 地址不变、网络连接不间断、应用会话不间断,从而保证用户网络应用在移动中的不间断性。
1无线网络方案设计校园无线网络主要包含以下部分:无线控制器,无线访问接入点AP ,无线网管系统WCS ,用户认证系统ACS 。
无线控制器和AP 是无线网完成数据转发的基础部件。
在控制器加AP 的网络架构下,所有关于无线射频管理、网络安全管理等的智能处理都在控制器上集中处理,而AP 只完成空口侧数据的收发。
在实际工作中,每台控制器会管理一定数量的AP ,并与每台AP 建立CAPWAP 隧道。
用户数据经无线介质到达AP 后,AP 将数据封装到隧道中传送到控制器。
控制器将数据解出,并根据管理员设定的安全、QoS 等管理策略,进行处理。
最后经有线网络发送。
图1为校园无线网络的部署架构图。
校园无线网络采用瘦AP 体系结构,即采用无线控制器集中控制/管理无线AP 的方式,具体规划由以下几个部分组成:1.1无线控制器WLC在有线校园网的核心交换北电8600上旁挂1台思科5508无线控制,无线控制器通过千兆电口分别上联到2台核心交换机上,随着校园网无线覆盖范围的扩大及关键应用往无线上的迁移,无线网络已经是校园网中重要的组成部署,为了保证无线网络高可靠性,建议后期采用1+1冗余方式或N+1方式搭建无线网络核心———即无线控制器,本次部署的无线控制器最大可管理500个无线AP ,后期随着无线AP 数量的增加,只需要扩容License 许可文件即可,无需购买任何硬件。
1.2无线接入点以上WLC 无线控制系统形成了校园无线网络架构中重要的控制管理运维组件,根据中国石油大学各楼宇信息点需求和物理条件,为简单、方便、快捷地部署无线接入点设备,室内选用双频LAP1042N 802.11n 轻型无线接入点。
室外采用MESH (无线网状网),轻型LAP1262,提供802.11n 双频无线覆盖。
无线网络是以提供学校应用为最终目标而建设的网络平台。
为了满足学校多媒体业务,包括视频、语音等方面的需求,带宽需求则是一切业务的首要基础。
所以本次室内将部署cisco 支持802.11n 技术的AP ,支持在2.4G 和5G 频段下实现802.11n 技术。
在802.11G 下最高可提供144M 带宽、在802.11A 下最高可提供300M 带宽,完全可以满足各种多媒体业务的需求。
同时利用802.11n 技术的MIMO (多输入多输出技术)、MRC (最大合并比)、数据包聚合等技术还提供远超传统AP 的高稳定性的网络。
并且在客户端不支持802.11n 的情况下也可以提供A/B/G 的接入。
1.3无线网管系统WCS为了更好的实效对于WLAN 控制器、无线接入点、无线客户端的高效统一管理,配备一套WLAN 控制系统WCS 系统软件。
WCS 软件包含无线系统配置、监控和管理的基本功能(WLAN systems configuration ,monitoring and management );同时,具有无线网络规划与设计(Planning &Design)、射频管理(RF management )等高级功能。
WCS 软件可管理同时室内室外无线设备,实现一体化、无边界基于校园网的无线网络设计方案宋文文(中国石油大学〈华东〉山东青岛266580)【摘要】本文针对高校无线网络提出相应的无线网络设计方案,首先分析了无线网络组成,然后探讨了无线的安全设计,从技术、安全和管理上分析和设计一个高可用的校园无线网,为师生创造安全的实验、教学、办公环境。
【关键词】校园网;无线网;AP ;网路安全The Wireless Network Design Based on the Campus NetworkSONG Wen-wen(Internet and Education Technology Center,China University of Petroleum 〈East China 〉,Qingdao Shandong,266580)【Abstract 】In this paper,the university wireless network wireless network design,first analyzes the wireless network,and then explore the design of wireless security technology,security,and management analysis and design of a highly available campus wireless network for teachers and students to createsafety experiments,teaching and office environment.【Key words 】Campus network;Wireless network;AP;Networksecurity○IT论坛○124科技信息2012年第35期SCIENCE&TECHNOLOGYINFORMATION●(上接第90页)5结束语化工工艺过程危险性分析是从化工工艺本质安全的角度,应用热力学、化学反应动力学及能量平衡的原理分析工艺过程的危险性,找出影响工艺过程危险性的因素,进而实现对工艺过程的安全控制。
【参考文献】[1]刘景良.化工安全技术[M].北京:化学工业出版社,2002.[2]朱宝轩.化工安全技术概论[M].北京:化学工业出版社,2004.作者简介:李爱英(1973—),女,汉族,宁夏银川人,1994年毕业于天津轻工业学校无机化工专业,获工学学士学位,工程师,现主要从事化工设计方面的工作。
[责任编辑:王迎迎]无线网络管理。
1.4认证系统无线网络日后将是多种无线应用共存的一个大规模无线网络,所以势必存在不同终端、不同用户群、不同应用的网络需求。
而满足网络对不同应用需求的最基本入口就是网络的认证手段与用户策略及服务质量的捆绑。
学校的无线网络用户大致可区分为4大类,分别为教职员工、学生、访客、特殊终端(比如语言终端、摄像头、相机等)。
针对不同用户,我们分别赋予了如下的策略进行接入:外来访客用户接入访客账号数据库建立在思科ACS 认证系统上,并且通过WCS 无线网管系统实现访客用户的管理(如开户、销户等操作)。
学生接入建议采用portal 方式进行认证,无需在客户端上安装任何客户端软件,使用、维护简单,只需要把改学生接入的SSID 通过思科ACS 认证系统和城市热点计费系统联动即可。
教职员工的接入教职工的认证方式可以采用portal 或802.1x 任何一种认证方式,portal 方式进行认证,无需在客户端上安装任何客户端软件,使用、维护简单,只需要把改教职工接入的SSID 通过思科ACS 认证系统和微软AD 系统联动即可。
如果想实现更好的对教职工进行控制,如做到VLAN 、ACL 等功能的自动下发,建议采用802.1x 方式认证,否则建议采用portal 方式认证。
应用终端接入WiFi 的应用终端很多有WiFi 数码相机、WiFi IP 电话、WiFi 游戏机、WiFi 监控摄像头等等,这些设备均能够以结构(infrastructure mode )方式接入WLAN 系统,但这些设备多数都不能通过内置程序进行接入认证(有的可能支持WPA/WPA2-PSK )所以对于这些设备来说我们需要为他们进行MAC 或MAC+WPA/WPA2-PSK 认证,以保障这些终端的接入安全和数据通讯安全性。
由于不同终端应用不同我们还需要控制器根据这些终端的MAC 地址组为这些不同的终端分配不同的VLAN 、ACL 、QoS 。
2无线网络安全设计学校的无线局域网络主要服务于学校的学生与教师,也是规模的公众型网络,同时由于学生出于技术的研究兴趣,会对网络发起各种各样的攻击行为,此时网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC 地址)及用户的帐号、密码,而对于学校学生用户来,帐号信息都是一个实名原则,与学生的一卡通进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题。
无线网络安全:无线网络安全部分主要包括以下方面的内容:2.1MAC 地址过滤:目前支持基于MAC 地址的过滤,限制具有某种类型的MAC 地址特征的终端才能进入网络中;2.2SSID 管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID ,如果没有SSID 标识则不能进入网络;2.3WEP 加密:WEP 加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;2.4支持AES 加密,AES 安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;2.5对流量异常、报文异常监管,从而保护网络的进一步安全。