<menuitem id="cxwpg"></menuitem>
    <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
  1. <option id="cxwpg"></option>
    <div id="cxwpg"><td id="cxwpg"></td></div>
        1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
        2. <track id="cxwpg"><span id="cxwpg"></span></track>
          <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>
          返回首頁
          當前位置: 主頁 > 其他教程 > 電腦教程 >

          校園無線網優化及安全策略

          時間:2018-10-13 22:45來源:Office教程學習網 www.12042044.com編輯:麥田守望者

            無線網絡優化

            目前,各高校基本完成了校園無線網基礎建設工作,如何使校園無線網保持高效穩定運行成為各高校網絡部門的主要工作。為保證校園無線網絡穩定運行,無線網建設完成后,無線網的管理工作主要由無線網絡優化和無線網設備運維兩部分,如圖1所示。無線網絡優化是一個動態的,根據無線場景的調整和應用的變化,需要不停的對無線網進行優化。

            高密度覆蓋

            在圖書館、體育館和大型教室與會議室等座位密集場合,需要實現高密覆蓋。高密場合無線覆蓋的難點是容量不足和信號錯頻。首先,高密場所要進行設備選型,無線高密產品主要有三叉戟高密AP和四條流高密AP兩類,兩款設備的各自優點是三叉戟有三射頻,1個2.4G和2個5G射頻卡,偏重于高密用戶接入;四條流高密AP偏重于用戶接入帶寬,高密場所建議選擇三叉戟高密AP。其次,部署原則上,無線AP靠近用戶和采用吊裝部署。最后,無線控制器配置優化,主要從無線信道和信號強度的三個方面調整:一、信道選擇:2.4G頻段只有3個信道可以同時使用,高密部署時,2.4G無法實現錯頻,選擇關閉部分無線AP的2.4G射頻是最佳解決方案,5G頻段統一采用20M頻寬,保證盡量多的信道可用;二、信號強度:降低信號強度,保證場館內任何一點同信道內不超過兩個信號超過60db,建議2.4G信號強度設置為12dBm(部分信號關閉),5G信號強度設置為9dBm,具體情況根據場館實際情況邊測試邊調整;三、用戶限速:建議限制無線用戶的速度為4M,防止個別用戶占用大部分帶寬,影響其他人接入上網。

            大VLAN和二層隔離

            同VLAN一直存在廣播風暴問題,早期無線設備不支持二層隔離,通過將每棟樓設置一個用戶VLAN(2個C類地址段)解決廣播風暴問題。隨著用戶規模的增加,單VLAN用戶地址越來越多,廣播風暴嚴重影響無線用戶;同時,各棟樓宇存在潮汐現象,用戶地址嚴重浪費。隨著無線控制器支持二層隔離,大VLAN成為高校的首要選擇。目前,北師大用戶VLAN根據信號劃分,BNU(教學區)和BNU-Studen(t學生宿舍區)各分配半個B類地址,BNU-Mobile教學區和宿舍區各1/4個B類地址,實現了同信號的漫游和IP地址的重復利用。

            DHCP服務

            針對無線用戶IP地址分配問題,配置兩臺無線網專用DHCP服務器,為無線客戶端分配IP地址,兩臺服務器采用雙機熱備,取代原有的H3CS12508核心交換機。

            其他網優

            1.信道規劃:2.4G和5G手動配置,5G也是20M頻段;2.功率調整:宿舍3~5,會議室5~10,教室11~16,樓道基本默認20;3.無線信號:調整無線AP覆蓋方向和天線角度,樓道盡量采用外置天線,AP盡量選擇吊頂安裝;4.頻譜導航:5G優先,

            2.4G的信道質量較差,盡量引導用戶使用5G頻段;5.無線用戶限速:根據無線設備的性能和單AP的用戶數量,對無線信號進行限速;6.信號入屋:為保證5G信號的質量,針對學生宿舍采用超瘦AP方案解決,小辦公室采用面板AP進行改造。

            校園無線網安全接入方案

            相對于有線網絡,無線網絡沒有固定的邊界,在沒有任何安全策略情況下只要進入無線覆蓋范圍內就可以關聯無線網,存在身份無法確認的巨大安全隱患。為了保障無線網絡安全,需要對接入終端身份進行校驗。目前,校園無線網的主要認證方式為Portal認證,用戶接入無線認證,出校園網需要Portal準出認證,校內無線網存在較大安全隱患,同時,存在校外人員占用校內網絡資源現象,尤其是圖書館資源。北師大校園無線網主要采用Portal認證和802.1x認證兩種方式,802.1x認證針對手持終端可以首次認證,后續無須認證,也屬于一種無感知認證。

            根據用戶人群的不同,學生宿舍和教學科研區采用Web認證方式不同,學生宿舍區采用Portal準入方案,主要解決無線網的安全性問題;教學科研區采用無感知認證方案,同時提高校園無線網易用性和安全性。

            學生宿舍區Portal接入方案

            Portal認證是目前最流行的認證方式之一,其兼容性較好。用戶接入無線網獲取地址后,由網關將未認證的用戶重定向至Portal認證頁面,認證成功后即可訪問網絡資源。

            目前,Portal認證主要有三種方式:1.兩次認證實現準入準出:一次認證通過ACPortal實現準入,用戶可以訪問校內資源,二次認證通過認證計費系統Portal實現準出,用戶可以訪問校外網資源。繁瑣的“二次認證”過程,降低了網絡的效率和用戶體驗;2.一次認證實現準入準出:ACPortal和認證計費系統Portal實現對接,用戶接入AC,ACPortal攜帶賬號和密碼向認證計費系統發出請求,認證計費系統Portal準出后,將信號反饋給AC,ACPortal實現用戶準入,一次認證既實現準入和準出;優點:簡化用戶認證流程;缺點:各廠家AC均需要與計費系統實現對接調試,后臺維護困難;3.獨立Portal服務器實現準入:無線網獨立組網,在無線核心交換機與校園出口之間架設一臺獨立Portal服務器,用來實現無線網準入,并同時聯動認證計費系統的Portal服務器實現準出;優點:解決了不同廠家控制器之間對接的困難,維護較為方便;缺點:已建無線網需要調整拓撲和增加Portal服務器。

            北京師范大學宿舍區無線網采用第二種模式,一次認證實現準入準出。該方案解決了用戶終端與賬號之間的對應關系,落實了國家安全法的實名認證要求。認證過程如圖2所示。

            但是,Portal認證存在以下問題:1.用戶每次需要主動認證,無法實現無感知;2.工作在三層拿不到用戶MAC地址,對用戶的識別不精確,短時間內使用相同IP地址的用戶會被當作是同一用戶。

            教學科研區無感知認證方案

            為落實國家網絡安全法關于實名認證的要求,校園無線網啟用Portal準入認證,同時兼具提高上網體驗,經研究討論決定教學科研區啟用Portal和MAC相結合的認證方式。保持現有網絡設備及拓撲關系,在不增加經費投入的前提下,進行平滑升級改造,實現無感知認證,整個認證方式由以下幾部分構成,如圖3所示。

            1.用戶首次連接SSID時,由用戶終端向AC發起認證請求,AC獲取用戶終端的MAC地址并向Radius服務器發起MAC認證請求,此時,由于Radius服務器連接的計費數據庫中尚未記錄用戶終端的MAC地址,因此會拒絕認證,MAC地址認證失敗,AC將用戶重新分配到GuestVlan,進行下一步認證。

            2.GuestVlan開啟Portal認證,AC主動推送Portal認證頁面,或者當用戶訪問Web網站,終端發起http請求至AC,AC將用戶的http請求重定向至Portal認證頁面,用戶在彈出Portal頁面完成Portal認證,同時Radius服務器對用戶的賬號和MAC地址綁定入庫。

            3.Portal認證成功后,用戶正常訪問網絡。第一次認證為正常的Portal認證。

            4.用戶在后續連接SSID時,先由AC向Radius服務器發送MAC認證請求,此時由于Radius服務器對應計費數據庫已有用戶的賬號、MAC地址等信息的記錄,認證成功,用戶上線,不需要再進行Portal認證。后續認證是在用戶連接SSID后,由終端、AC、Radius自動完成的,不需要用戶進行參與,因此對用戶來說是無感知的。

            從認證過程中可以看到,無感知認證不是免認證,是在認證過程中減少用戶的參與度,降低操作的復雜度,在用戶毫無感知的情況下完成的身份認證,既保證了對用戶上網的安全管理,同時提高了用戶的上網體驗,適合于為教師和學生服務的校園無線網環境。

            (作者單位為北京師范大學信息網絡中心)

          ------分隔線----------------------------
          標簽(Tag):校園無線網優化 校園無線網安全
          ------分隔線----------------------------
          推薦內容
          猜你感興趣
          内蒙古11选5计划
          <menuitem id="cxwpg"></menuitem>
            <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
          1. <option id="cxwpg"></option>
            <div id="cxwpg"><td id="cxwpg"></td></div>
                1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
                2. <track id="cxwpg"><span id="cxwpg"></span></track>
                  <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>
                  <menuitem id="cxwpg"></menuitem>
                    <menuitem id="cxwpg"><optgroup id="cxwpg"><thead id="cxwpg"></thead></optgroup></menuitem>
                  1. <option id="cxwpg"></option>
                    <div id="cxwpg"><td id="cxwpg"></td></div>
                        1. <samp id="cxwpg"><strong id="cxwpg"></strong></samp>
                        2. <track id="cxwpg"><span id="cxwpg"></span></track>
                          <bdo id="cxwpg"><optgroup id="cxwpg"></optgroup></bdo>