安徽工程大学无线网优化方案设计

1 安徽工程大学无线网优化方案设计安徽工程大学无线网优化方案设计 一 学校概述一 学校概述 安徽工程大学 Anhui Polytechnic University 以工为主的省属多科性高等院校和安徽省重点建设院校 坐落在国家级开放城市芜湖 学校办学始于 1935 年由西班牙天主教耶稣会创设的安徽私立内思高级工校 先后经历芜湖电机制造学校 原属于国家第一机械工业部 芜湖机械学校 合肥工业大学教学点 安徽机电学院 安徽工程科技学院等办 学阶段 2010 年更名为安徽工程大学 1996 年通过原国家教委本科教学合格评价 2007 年在教育部本科教学工作 水平评估中获得优秀等级 国家首批卓越农林人才教育培养计划改革试点高校 高等学校和网络的关系十分密切 网络最初是在校园里进行实验并获得成功的 许多网络新技术也是首 先在校园网中获得成功 进而才推向社会的 校园网是学校发展的重要基础设施 是提高学校教学和科研水平不 可缺少的支撑环境 高速的无线校园网 是高校当前信息化基础建设的一个新方向 随着无线技术的进步 教育 需求和资源的变化 发展 无线系统正逐渐成为发达国家教育机构 院校或部门的重要组成部分 在部分院校中 已经成为某些学科主要的教学平台 我国无线校园网络的建设较国外起步较晚 但发展仍然相当迅速 目前 我 国 15 1 的高校已建有无线校园网 36 2 的高校计划建设无线校园网 2 安徽工程大学校园结构俯瞰图安徽工程大学校园结构俯瞰图 3 二 需求分析 二 需求分析 无线校园网 就是通过无线局域网技术 在校园中建立的无缝无线通讯网络 使校园的每个角落都处于网络 中 形成真正意义上的校园网 目前学校已拥有的有线网络 只能提供固定的信息点 无法满足学校师生随时随地共享教育网络资源的需要 无线校园网正是顺应了教育信息化建设的前进步伐 蓬勃发展起来的 无线校园网最大的特点是具有高度的空间 自由性和灵活性 可以避免大规模铺设网线和固定设备投入 有效减少网建费用 缩短建设周期 无线网带宽很 宽 适合进行大量双向和多向的多媒体信息传输 校园内部铺设网络的工程涉及面很广 无论在室内还是室外 对校园环境产生不少影响 从投资 施工周期 网络维护 升级等方面着手 学校需要一套更好的网络方案 随着学校的发展 无线网络不能满足要求 当前校 园无线网存在的问题 1 覆盖方面 目前 WLAN 网络工作频段是运行在 2 4GHz 这样的高频信号对于无线覆盖来讲穿透能力较差 相对传统的 2 3G 网络 覆盖能力较弱 受环境的影响较大 覆盖效果较差 2 干扰方面 根据 IEEE 802 11b 及国家相关标准的规定 WLAN 工作频段为 2 4GHz 2 4835GHz 其中共有 13 个子信 道 这 13 个子信道是互相重叠的 只有三个频点是相互之间没有重叠 可以同时使用的 就是一般的 1 6 11 信道 因此 在分配信道时 应尽量错开分配这三个频点 使重叠区域的信号不受同频干扰 在分配信道时 还 需考虑已有的 AP 采用的信道 同样应注意避免同频干扰问题 WLAN 网络使用的 2 4GHz 频段在我国是公共频段 其它非 WLAN 网络的设备如微波炉 无绳电话 蓝牙设 备及其它无线 LAN 设备均会对 WLAN 网络产生频率干扰 3 容量方面 根据运营商设计规范 802 11n 标准 AP 在接入用户带宽 512kbps 情况下 单 AP 并发支持用户按照 15 20 用户考虑 由于覆盖区是大数据业务流量的区域 目前容量存在一定不足 4 安全问题 随着高校无线局域网的推广使用 WLAN 网络信息系统所面临的安全问题也发生了很大的变化 对 WLAN 来说 其安全性主要体现在访问控制和数据加密两个方面 可以说 所有有线网络存在的安全威胁和隐患都同样存 在 同时 任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试也一定程度上暴露了网络的存在 同时 外部人员可以通过无线网络绕过防火墙 对学校内部数据非法存取 内部教师和学生可以私自设置 无线网卡 使用例如 P2P 等方式与外界通信 大量占据可用带宽 三 网络分析三 网络分析 1 系统设计原则 1 统一性 网络要统一规划 分步实施 便于网络管理 2 完整性 4 整个网络的系统功能 数据安全 网络管理等方面应有充分的保证 实用性 当今世界计算机和通信技术处于高速发展阶段 新的技术和新的产品不断的出现 但是一些新的技术和设备 往往存在不成熟和不完善等问题 需要在使用过程中不断的完善 但给用户带来的问题将是 系统不稳定 不可 靠 存在安全隐患 而且造成了大量不必要的资金浪费 运行和维护费用大大增加 所以本系统在充分满足系统 应用需求的前提下 应采用先进的 成熟的 实用性强的技术和产品 不盲目的追求设备的高档 技术的超前 以免造成不必要的资金浪费 从而使系统具有较强的实用性 可靠性与有效性 网络系统作为其他应用系统的基础 如发生系统瘫痪 其造成的损失是难以估量的 因此系统必须可靠地连 续运行 即系统设计必须从系统结构 设计方案 设备选择 厂商的技术服务与维修响应能力 设备备件供应能 力等方面考虑 使故障发生的可能性尽可能少 影响面尽可能小 它应该能实现内部办公事务和外部事务处理的整 合 适应性 用户信息网站应采用大型关系数据库 模块化等先进成熟的技术方法 在给用户提供了极大的灵活性的同时 也 有效地保证了系统的可靠性 可扩展性 由于计算机和通信技术的不断发展 用户的需求也在随着时间的推移不断的发生变化 以及由于应用软件种 类和业务数量的增加 功能的强化 系统软件的升级将对主机和网络系统提出更高的要求 网络构造应具有高度 的扩展性 以降低系统扩充的投入成本 并满足信息技术高速发展的需要 能适应 2 3 年内的业务增长和突发性事件 的需要 确保各级系统的可扩充性和先进性 并注意设备的冗余设计以及网络的负载均衡 安全性 信息安全是企业信息网实施的第一要素 网络系统不但要能够实现功能 更重要的是要稳定安全 因此 应采取 如下技术以增强网络的安全性 设备的安全性 应用级的安全性 网络级的安全性 数据级的安全性 2 具体分析网络 为了实现对 Internet 的高速访问学校向中国电信申请了 500Mb 的光纤接入 因此我们选择室外单模光纤通过 核心路由器直连电信机房 本网络通过 NAT 方式实现内部用户对互联网的快速流畅的访问 校园网络采用典型的星型结构 网络中心位于学校实训中心大楼 路由器采用高性能多 WAN 的锐捷 RSR 08 路 由器连接到外网 通过锐捷 RSR 08 防火墙接入到核心层交换机上 核心层交换机采用低延迟 具备高速存储转发 功能的华为 QuidwayS8512 交换机 网络中心通过 1000M 室外多模光纤连接到教学楼 宿舍楼等汇聚点 汇聚层采 用快速以太网技术 快速存储转发性能 高速流量汇聚及监控的华为 S9003 交换机 楼层间 各部门间采用华为 S5700 24TR 型号交换机接入 每层设有无线 AP 点 通过无线信号连接电脑 核心层是所有数据流经的网络层次 为整个网络提供 Internet 的接入与本地 Intranet 内数据交换 核心层 采用三层网络设备 包括高性能 高可用性的路由器 三层交换机 防火墙 服务器等设备构成高性能的网络基 础平台 路由器通过 OSPF 协议 动态路由协议 PPP 协议等相关技术来实现网络的安全高速通信 核心层交换机通过与锐捷 RSR 08 型号的高安全性企业防火墙相连后再通过锐捷 RSR 08 路由器连接到外网 对外服务器直接连接防火墙以提高整个 Intranet 的高安全性 防范黑客及非授权用户利用系统安全漏洞等非法手 段对内部网络的恶意入侵和攻击 保护内网数据和服务器的的安全性 与核心层交换机相连的服务器群中有 FTP 服务器 OA 服务器 数据库服务器 打印服务器 DNS 服务器 DHCP 服务器 由于贵公司部门数据储备量大 对安全级别要求较高 故采用磁盘阵列技术 通过添加备用 SQL 服 务器与磁盘 DB 串联接到核心层交换机上实现 有效的防止数据的丢失 损坏 以及安全 实现数据的高存储 汇聚层通过对数据的快速转发 满足楼层和部门交换机到到核心层的正常通性 严格控制和最大限度提供了 通信流量 通过 Spanning 协议 生成树协议 Trunk 技术实现各部门及各个节点通信的权限和优先级别 5 接入层直接连接到各楼层 AP 点 各个节点的 PC 机上 通过 Vlan 的划分 Trunk 的设置等技术 使整个网络 的正常运行 四 网络配置设计四 网络配置设计 1 覆盖开阔区域 草坪 足球场 篮球场等不再是网络的终点站 连接了放大器和天线的 AP 完全可以将无线信号覆盖到校园的 每个角落 整个校园的每一寸土地都可以上网是一个巨大的教学空 无线无线 APAP 的工作拓扑图的工作拓扑图 6 2 无线中继点 蜂窝技术中 每个 AP 与有线网络相连 学校中的学术报告厅阶梯教室等 面积较大 这时需要采用无线中继 的方式进行网络接力 只要将两个 AP 互联 接收前一 AP 的信号 形成新的覆盖区域 从而达到覆盖的目的 多个多个 APAP 之间形成无线中继拓扑图之间形成无线中继拓扑图 3 微蜂窝覆盖及漫游 对于教学楼 宿舍等场所 用蜂窝覆盖最简洁 每个 AP 的发射功率有严格控制 室内的 AP 受建筑物影响 单个 AP 不能覆盖整个区域 由于 IEEE802 11b 规定 AP 的多频道工作模式 因此合理分布 AP 就会覆盖整个区域 无线终端设备将自动检测信号的强度 建立最高质量的无线链路 7 微蜂窝覆盖图形微蜂窝覆盖图形 8 网络中心 汇聚交换机 接入交 换机接入交换 机 建筑物 无线AP 核心交换机 安徽工程大学学校无线校园网拓扑图安徽工程大学学校无线校园网拓扑图 此图中路由器连接外网 运用防火墙的保护作用 防止病毒的侵扰 再有核心交换机 汇聚交换机 接入交 换机把网络送入到所需的地方 最后通过无线 AP 把无线信号散播出去 但是无线 AP 的覆盖范围有限 在上面加 上放大器和大增益的无线天线扩大覆盖范围 再通过无线中继技术 蜂窝覆盖技术等使整个校园都有无线信号 4 VLAN 和 IP 划分 部门电脑数 量 VLAN 名VLAN 号 VLAN IP IP 网段IP 范围 5 栋教 学楼 100Teaching1 031192 168 31 1192 168 31 0 25192 168 31 2 230 25 2 栋教 学楼 100Teaching2 032192 168 32 1192 168 32 0 25192 168 32 2 230 25 4 栋教 学楼 150Teacher1041192 168 41 1192 168 41 0 25192 168 41 2 230 25 6 栋教 学楼 150Teacher2042192 168 42 1192 168 42 0 25192 168 42 2 230 25 教务处20 zwc051192 168 51 1192 168 51 0 25192 168 51 2 230 25 9 西图书 馆 50library052192 168 52 1192 168 52 0 25192 168 52 2 230 25 学 生 处 30Xgb053192 168 53 1 192 168 53 0 25 192 168 53 2 230 25 就业中 心 25Jiuye054192 168 54 1192 168 54 0 25192 168 54 2 230 25 食堂超 市 20shitiang055192 168 55 1192 168 55 0 25192 168 55 2 230 25 院办 20Yuanban 056192 168 56 1192 168 56 0 25192 168 56 2 230 25 宿舍男 1 5 600Student1011 012 013 192 168 11 1 192 168 12 1 192 168 13 1 192 168 11 0 25 192 168 12 0 25 192 168 13 0 25 192 168 11 2 230 25 192 168 12 2 230 25 192 168 13 2 230 25 宿舍男 6 11 600Student2014 015 016 192 168 14 1192 168 15 1 192 168 16 1 192 168 14 0 25 192 168 15 0 25 192 168 16 0 25 192 168 14 2 230 25 192 168 15 2 230 25 192 168 16 2 230 25 宿舍男 11 16 600Student3017 018 019 192 168 17 1 192 168 18 1192 168 19 1 192 168 17 0 25 192 168 18 0 25 192 168 19 0 25 192 168 17 2 230 25 192 168 18 2 230 25 192 168 19 2 230 25 宿舍女 1 8 600Student4021 022 023 192 168 21 1 192 168 22 1 192 168 23 1 192 168 21 0 25 192 168 22 0 25 192 168 23 0 25 192 168 21 2 230 25 192 168 22 2 230 25 192 168 23 2 230 25 浴室 600Student5024 025 026 192 168 24 1 192 168 25 1 192 168 26 1 192 168 24 0 25 192 168 25 0 25 192 168 26 0 25 192 168 24 2 230 25 192 168 25 2 230 25 192 168 26 2 230 25 新就业 指导中 心 600Student6027 028 029 192 168 27 1 192 168 28 1 192 168 27 0 25 192 168 28 0 25 192 168 27 2 230 25 192 168 28 2 230 25 192 168 29 2 230 25 10 5 设备类型和信息点 设备 名称 厂名型号参数 数 量 单价 总价 室外 无线 AP Aruba AR70 传输功率 20dBm 100mW 运行模式 2 3 3 3Multiple In Multiple Out MIMO 内置天线 天线增益 2 4GHz 2 5GHz 3 2 dBi 5 150GHz 5 875GHz 5 2dBi 15000 室内 无线 AP D Link Dwl 3200AP 室内 100 米 室外 500 米 1 个自适应 LAN10 100M 2 4GHz 2 4835GHz 802 11b 11M DSSS DBPSK DQPSK CCK 802 11g 54M OFDM BP 1200 室外 无线 天线 D LinkSNT24 0400 增益 4dBi 的全向 2 4GHz 150 室内 无线 天线 D LinkSNT24 0800 增益 8dBi 的全向 2 4GHz 150 接入 层交 换机 华为 S5700 24TP SI AC 24 口 100 兆交换机 可上标准机架 可网管 与汇聚层交换机为同一品牌支持同一管理软件 4000 汇聚 层交 换机 华为 S9303 24 口 100 兆交换机 1 个 1000 兆多模光纤口 可网管 30000 核心 交换 机 华为 QuiduayS8512 1 个 1000 兆多模光纤口 6 8 个 100 兆光纤口 三层交换机 18 万 电源长城 ATX 350250w 8cm 的风扇 200 服务 器 IBM xSeries 235 8671 L1C Xeon2 8G 512M 36 4G 48 CD 10 100 1000M 15 30000 防 火墙 WLMB WLMB 1000 LX 企业级 吞吐量 1 4G 30 万 合计 192 168 29 1 192 168 29 0 25 11 五 网络建设软件设备五 网络建设软件设备 名称单价 元 数量总价 元 瑞星杀毒软件网络版 5001500 综合网络管理软件 7001700 正版 WindowsXP 系统安装软件 8001800 多媒体系统软件 4001400 正版 Microsoft Office 办公软件 2001200 2600 元 学校信息点学校信息点 楼栋房间数信息点数 4 栋教学楼六层 60 间60 个 6 栋教学楼四层 40 间40 个 学生处校团委楼四层 24 间30 个 宿舍 1 6六层 120 间120 个 宿舍 7 11六层 84 间84 个 宿舍 11 18六层 120 间120 个 宿舍 1 9六层 120 间120 个 浴室七层 140 间140 个 新就业指导中心七层 140 间140 个 就业中心二层10 个 教务处一层2 个 院办二层4 个 图书馆四层15 个 教师宿舍 1四层40 个 教师宿舍 2五层60 个 六 设计优化方案六 设计优化方案 1 1 优化目标 优化目标 通过合理的网络优化手段 对现网已交维的WLAN网络进行专业化的优化 排除现网中存在的故障与潜 在的问题 使得各项指标都能达到高效网络的标准 提供给WLAN用户一个易接入 高性能 高可靠性无线接入 网络服务 从而提高用户满意度 1 无线网络的优化使无线接入设备能覆盖所有期望覆盖的区域 区域中的信号强度能够符合接收的 要求 并具有足够承担预期负载的能力 2 运营级的无线宽带网络需要关注与用户体验相关的各项指标 如 Portal 推送成功率 认证成功率 等 这些指标是否能够达到要求也是一个优化重点 12 3 运维系统的各项指标需要能够达到要求 这对于运维的有效性非常重要 2 2 优化内容和场景 优化内容和场景 1 优化内容 网优工作包含产品部署优化和配置优化两个方面 部署优化一般设计到变更施工方案 增减设备 调整 天线等工程动作 而产品优化则通过一些命令配置 开启产品特定功能 实现网络性能的提升 前者需要较大的工作量 成本和优化周期 一般不如后者代价更小 推荐优先采用配置优化 如仍无法 解决问题 再考虑部署优化 前者适用于一般的无线产品 后者适用于功能较完善的WLAN产品 需要AC支持 丰富的功能特性 常见的无线网络问题如下图所示 2 优化场景 根据 AP 布放方式 WLAN 系统无线环境可以分为 室内直接布放 室内放装型 室内分布合路布放 室内分布型 室外布放 室外型 3 3 优化原则 优化原则 由于在做网络规划时一般已经考虑到实际场景的用户需求 因此在进行无线优化时首先需要根据实际场 景的运营情况考虑是否与规划出现偏差 另外一方面就是需要根据用户的反馈制定优化计划 在考虑优化计划时 需要遵循以下原则 AP 的覆盖区域中不存在弱区保持适度的 AP 间的重叠区域 第一条原则是保证所有的区域信 号强度都能符合或高于验收规范的要求 第二条原则是要在不影响用户体验的情况下尽可能减少所需的 AP 数量 1 充分利用现有 WLAN 相关设备 2 尽量不改变现有 WLAN 网络的物理构架 3 覆盖优先考虑 4 保证覆盖的前提下通过调整 AP 相关参数或者物理位置降低同频干扰情况 5 在会议室等一些用户相对集中的场所考虑容量和干扰的相互平衡 4 4 配置优化 配置优化 1 信道干扰 13 问题描述 问题描述 信道分布不合理 在部分区域存在同频干扰情况 原因分析 原因分析 缺少无线施工图纸与 AP 部署的一一对应关系图 无法对信号进行更完善的信道优化 解决办法 解决办法 1 获取智分的布线图纸 准确判断 radio1 2 所覆盖的房间 2 获取准确的物理部署图上放装 AP 的点位信息 3 根据上述 2 个点位图 采用 1 6 11 方式对 AP 的信道进行调整 4 保证信号覆盖情况下 对信号放射强度进行调整以减少同频干扰 2 智分配置 问题描述 问题描述 智分 AP 采用 1 分 8 方式部署 但使用双流配置 原因分析 原因分析 实施时错误配置 将导致所有 1 分 8 智分的无线体验下降 解决办法 解决办法 修订所有智分 AP 的配置为单流模式 3 二层隔离 问题描述 问题描述 对于没有二层互访的网络需配置该功能 原因分析 原因分析 由于无线用户的流动性和不确定性 在某些场合 特别是在公共场合 用户间无互访需求 而 WLAN 网络中 来自无线客户端的广播 组播报文会向 WLAN 中所有终端发送 极大的占用了空口资源 二层隔 离功能开启后 来自无线客户端的广播 组播报文只会向有线网络发送一份 而不会再向其他无线客户端发送 可 以极大地减少无线空口流量 从而提高 WiFi 网络的整体性能和应用感受 解决办法 解决办法 Ruijie config wids Ruijie config wids user isolation ap enable 4 用户限速 问题描述 问题描述 用户网络中 如果个别用户通过 WLAN 使用网络工具下载 从而达到很高的流量 进而直接消耗 了当前空口资源 造成其他无线用户访问网络慢 ping 抖动丢包等问题 原因分析 原因分析 基于无线用户限速可以适当的控制突发性大流量对无线网络的影响 有利于网络稳定 我司支持 基于用户的上下行流量限速 包括智能限速 避免个别用户独占大量带宽 解决办法 解决办法 Ruijie config wlan config 1 Ruijie config wlan wlan based per user limit down streams average data rate 380 burst data rate 600 5 禁用低速 问题描述 问题描述 根据现场使用抓包网卡分析 发现低速率报文占用信道的比重很大 AP 与 STA 之间发送的报文 若使用较低速率时 整个 WLAN 网络数据传输性能就会严重下降 原因分析 原因分析 当 AP 下存在一个协商速率较高的用户 和一个协商速率较低的用户 则因为两个用户抢占空口的 机会是相等的 高速率用户每次快速发完自己的数据后都要等待低速用户慢慢的的发完它属于它的那一次机会想 要发的数据才能继续发包 此时相当于高速率用户的发包速率也被拉低了 整体发包速率自然也被大幅拉低 因 此 因尽量避免 WLAN 环境当中出现低速率用户 解决办法 解决办法 将 1 2 5 5 6 9Mbps 速率禁用 抑制低速率用户占用空口时间 从而降低其对空口性能的影 响 保证整理空口性能最优 4 5 场景优化 1 室内分布型 WLAN 优化 目前很多高档写字楼已经进行了移动通信的室内分布系统建设 在引入 WLAN 时可以考虑采用共用室分 系统的建设方式 另外 没有室分系统的楼宇在规划建设室内分布系统时可以将 WLAN 信号一同考虑 如图所示 将 WLAN 的无线射频信号通过合路器馈入室内分布系统 各频段信号共用天馈进行覆盖 14 由于 WLAN 设备输出信号强度较小 一般采用后端合路 使 AP 尽量接近天线 共用室内分布系统的优 点在于可以充分利用原有资源 工程量较小 经济快捷 另一方面 应注意 WLAN 使用与原有系统不同的频段 需更换支持 2 4GHz 的元器件 需重新进行链路预算 共用室内分布系统时天线点位可能不是最优的 且由于使用 的 AP 较少 网络容量较低 2 室外型 WLAN 优化 采用室外型覆盖方式建设速度快 网络维护简单 投资少见效快 但应注意下面几方面问题 1 室外 WLAN 信号和室内 WLAN 信号之间的干扰 2 WLAN 为共享带宽 无法保障单个用户的带宽 3 室内 WLAN 信 号的覆盖效果 室外型 AP 一般多为大功率设备 并使用高增益室外天线 对于室外的 WLAN 信号主要存在的问题有 干扰信号大 信号场强不足 出现信号盲点 移动漫游用户漫游失败等问题 优化工作也围绕此几种问题进行改 进 室外型的 WLAN 环境比较复杂 由于室外阻挡物比室内少很多 因此同频干扰的问题比较严重 普遍处 理同频干扰的办法一般为降低同频设备的发射功率 使减少其同频信号交叠区域 但这样不是一个最好的解决办 法 在一个相对较大的环境中 部署的 AP 比较多时 频率的复用程度非常高 如果减少其设备的重叠区域 又会 导致用户漫游失败 信号强度过弱等情况的发生 因此既要保持信号的场强又要减少同频干扰的重叠区域 必须 要对室外区域进行分区域覆盖 使用定向天线可以解决以上的问题 对于室外 WLAN 优化合理调整定向天线的仰 角可以有效消除天线底下 阴影效应 信号盲区的问题 另外 使用多面定向天线可以解决覆盖区域分区 减少 全向天线不必要的反射 汇聚电磁波能量 补充覆盖盲点的最有效办法 在对室外 AP 进行天线角度优化时 应把 天线的水平半功率角控制在主要的覆盖区域 而两个同频天线如需要产生重叠区域应该尽量把重叠区域调整为天 线水平半功率角以外 这样可以减少同频 AP 间的带宽复用问题 也清晰区分了 AP 的分管区域 减少用户漫游时 的频繁切换 4 6 安全性管理优化 1 使用新技术提高安全性 Wi Fi Protected Access WPA Wi2Fi 保护访问 是 Wi2Fi 联盟提出的一种新的安全方式 以取代安全性 不足的 WEP WPA 采用了基于动态密钥的生成方法及多级密钥管理机制 方便了 WLAN 的管理和维护 WPA 由认证 加密和数据完整性校验三个部分组成 1 认证 WPA 的认证分为两种 第一种采用 802 1x EAP ExtensibleAuthenticationProtocol 的方式 用户提供认 证所需的凭证 如用户名密码 通过特定的用户认证服务器来实现 另一种为 WPA 预共享密钥方式 要求在每个无线 局域网节点 AP STA 等 预先输入一个密钥 只要密钥吻合就可以获得无线局域网的访问权 2 加密 WPA 采用 TKIP Temporal Key Integrity Protocol 临时密钥完整性协议 为加密引入了新的机制 它 使用一种密钥构架和管理方法 通过由认证服务器动态生成 分发密钥来取代单个静态密钥 把密钥首部长度从 24 位增加到 128 位等方法增强安全性 而且 TKIP 利用了 802 1x EAP 构架 认证服务器在接受了用户身份后 使用 15 802 1x 产生一个唯一的主密钥 处理会话 3 消息完整性校验 除了保留 802 11 的 CRC 校验外 WPA 为每个数据分组又增加了一个 8 个字节的消息完整性校验值 以防止 攻击者截获 篡改及重发数据报文 2 加强日常安全管理 布置 AP 的时候要在校园区域以外进行检查 防止 AP 的覆盖范围超出校园区域 禁止教职员工和学生私自 安装 AP 通过便携机配置无线网卡和无线扫描软件可以进行扫描 如果网卡支持修改属性需要密码功能 要开启该 功能 防止网卡属性被修改 制定无线网络管理规定 规定教职员工和学生不得把网络设置信息告诉学校外部人员 禁止设置 P2P 的 Ad hoc 网络结构 对网络管理人员进行安全知识培训 发现未授权 AP 的出现 应定期开展 AP 搜寻 主动找寻并移除这些 AP 有助于增强网络之安全性 定期检查 AP 的设定参数以确定未被改变而成为安全漏洞 某些 WLAN Gateway 或某些硬件或软件都有自动的 Rogue AP 侦测 功能 可大大简化工作负担 新建校园网络可以参考市面已有的技术 如 VPN 防火墙 IDS 以及 802 1x EAP 等标准 大方向上应先决 定使用企业级 AP 或 WLAN Gateway 七 校园网络管理和安全七 校园网络管理和安全 网络管理不但需要先进 实用的技术支持手段 对大型网络而言 更需要合理有效的组织体系和规章制度 管理方案 1 配置管理 借助数据库系统 管理主要网络设备和服务器的配置信息 通信和网络拓扑结构 用户名 电子邮件地址 口令字等重要网管信息 2 失效管理 失效管理是网络正常运行至关重要的一个部分 目的是保证网络正常运行 尽量减少故障发生的频度 消除 故障产生的隐患 并及时修复已出现的故障 3 性能管理 对接入网络和 IP 地址的流量及流速进行定时采样记录 能够指明网络流量的高峰和瓶颈所在 能够按业务 地区 时间统计流量 根据流量统计安排镜像操作时间 4 安全管理 通过对网络的全面了解 按照安全策略的要求及风险分析的结果 整个网络措施应按系统体系建立 具体的 安全控制系统有以下几个方面组成 物理安全 网络安全 信息安全 物理安全管理 环境安全 对系统所在环境的安全保护 如区域保护和灾难保护 设备安全 主要包括设备的防盗 防毁 防电磁信息辐射泄漏 防止线路截获 抗电磁干扰及电源保护等 媒体安全 包括媒体数据的安全及媒体本身的安全 网络安全管理 系统 主机 服务器 安全 反病毒系统安全检测入侵检测审计 分析 网络 安全 网络运行安全备份与恢复应急 灾难恢复 16 局域网 子网安全访问控制 防火墙 网络安全检测 网