随着计算机及网络技术的迅速发展,传统图书馆正向数字化图书馆方向快速迈进,图书馆的信息服务也随之不断前进与更新,越来越多的读者开始通过计算机网络来获取信息资源。由于目前大多数高校图书馆的网络采用的是有线以太网,由于其局限性使其难以满足广大师生方便、快捷使用网络资源的渴求,而作为与有线网络补充的无线网络以速度快、价格低、安全性高、易实施、应用灵活等特点给高校图书馆的网络建设提供了新的选择,建设先进、高效且实用的图书馆无线网已成为图书馆工作的一个重要方面。本文根据笔者多年工作实践,对高校图书馆无线网系统建设中的几个环节进行以下初步的探讨。
一、高校图书馆无线网络系统建设应重视对其需求的分析
要建设一个先进、高效和安全的图书馆无线网络系统,必须首先做好对系统建设方面的需求分析。通过对高校图书馆的现状分析,我们发现对无线网络建设一般存在如下方面的需求:
1、随时随地接入的需求
首先,高校师生对于网络接入有着强烈的需求。原因有二:一方面,随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势。另一方面,是由于国家经济实力的增强,技术的发展带来的低成本,导致电脑的普及率也越来越高。
其次,在图书馆部分热点区域,或者难以布线的区域需要一种切实可行的高性价比的接入方式以补充有线网络的不足。比如阅览室、会议室等一些重点区域。
简言之,网络作为一个底层的平台,需要师生能够随时随地的方便的接入。这就强调图书馆有线网络和无线网络的结合--适合无线网络的地方用无线网络,适合有线网络的地方用有线网络。
2、网络高性能、高稳定可靠的需求
首先是高性能。高校图书馆无线网络用户数在不断增加,并且随着网络应用技术的不断丰富,其网络应用也愈发复杂,例如FTP、VOD点播等大数据量的访问,尤其目前流行的P2P的应用产生了巨大的网络流量,如何高速进行网络传输,对网络设备的性能提出了很高的要求。
其次是稳定可靠。一方面,未来的社会是信息的社会,当前随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络,网络的稳定可靠性就显得愈发重要。另一方面,在应用丰富的同时,网络环境也变得异常恶劣,这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。
3、对系统及用户进行方便、灵活和有效管理的需求
一方面,由于无线网络技术 <http://www.csai.cn/incsearch/search.asp?key=%CD%F8%C2%E7%BC%BC%CA%F5>主要是通过微波信号在空气中进行数据信息的传输,自然天气情况、建筑物障碍,以及与其他微波信号的相互干扰等原因都可以导致无线网络信号的中断、衰减。同时,设备故障和非法用户的侵入也会对图书馆无线网络的应用效率产生影响;另一方面,由于目前无线网络系统应用技术越来越先进,系统功能日益复杂和完善,安装和维护管理对技术的要求也越来越高。因此,在无线网络系统建设中,可对系统及用户进行方便、简单、灵活和有效的管理显得尤为重要。管理通常包括以下几方面:
·配置管理:这包括如何建立网络、网络地址和相应的操作,也包括更改控制和管理、硬件、软件的操作。
· 故障管理:对面临的网络问题、错误或故障进行及时、有效的处理。包括事件通知、警报和警告、问题鉴别、故障检修、问题解决方案和错误或事件记录。
· 性能管理:包括网络容量设计、可用性/故障时间、响应时间测量、错误率、吞吐量和利用规格。
· 安全管理:包括安全策略需求和实施、授权、存取控制和审计追踪、安全事件记录和身份认证。
. 用户管理:主要用于对无线用户的管理,要求支持用户多种接入方式认证机制,包括:基于web、802.1X、VPN、PPPoE等认证,支持外置的Portal服务器和外置的AAA服务器。
4、来自网络安全的需求
第一,高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥,用户安全意识的淡薄,而另一方面,高校学生--这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。如何保障校园网络的安全成为图书馆无线网络建设时不得不考虑的问题。
第二,网络安全一定是全方位的安全。首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;最后,要充分考虑全局统一的安全部署,需要能够从准入控制,到对网络安全事件进行深度探测,到现有安全设备有机的联动,到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全构架。
二、高校图书馆无线网络系统建设的原则制订和无线网络系统关键设备的选型
在高校图书馆无线网络建设中,我们应对其原则制定进行以下考虑:1、先进性。无线网的建设应本着设计思想先进,软硬件设备先进,网络结构先进,开发工具先进的原则进行。2、开放性。系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通。3、可扩展性。网络规划设计应满足图书馆长远发展的需求,能够满足网络技术发展、扩展和升级的要求。4、实用性。既要考虑无线网络建设的普遍性,又要考虑本图书馆的个性,务求实用。5、安全性。防止系统数据的窃取、篡改和丢失;具有防病毒功能。6、经济性。投资合理,有良好的性能价格比。
制定了图书馆无线网络系统建设的总体原则和对图书馆网络建设的需求分析后,接下来就是网络系统的设计和设备的选型,在此我们着重谈一下对设备选型中应注意的问题。首先我们应认识到基于无线网络控制器和瘦AP的集中式无线网络架构已成为当前无线网络建设发展的方向。传统的无线网络一般以覆盖区内原来的有线局域网为基础,再配以无线接入点(AP),网桥,无线适配器,AAA服务器等设备组成。无线接入点分散在覆盖区域里面,分别给各自有效的覆盖区域提供RF信号和用户安全管理和接入访问策略,每一个AP都是一个独立的工作体,有独立的地址,AP之间各自为战,互不相干,无线适配器则安装在用户的不同的终端里面,在整个覆盖区指定的范围内通过临近AP制定的安全策略连接到无线网络。在传统的无线网络里面,没有集中管理的控制器设备,所有的AP都通过交换机连接起来,需要对每一个AP进行独立配置,难以实现全局的统一管理和集中的RF、接入和安全策略设置,因而在最近几年里,基于无线网络控制器和瘦AP的集中式无线网络架构已开始受到越来越广泛的关注,并已成为当今无线网络建设的主流。
解决了WLAN部署模式的问题之后,其设备的选型就成了无线网系统建设的一个重要任务。在选择带有无线控制器的交换机时,我们需要着重考虑以下几个问题。
1、足够的AP管理容量
图书馆在部署WLAN,首先需要考虑如何规划网络,需要部署多少个AP,需要什么样规格的无线交换机,能既保证覆盖要求,又不浪费投资。既能保证现有应用,又能兼顾未来发展。而配置能管理多少个AP的无线交换机,可以从两个方面入手。
首先要根据空间大小确定AP数量。无线信号穿越门、窗、墙等障碍物会有衰减,因此,无线AP的数量和覆盖场所的物理格局关系密切,无线AP的覆盖原则是,首先保证覆盖区域内,AP与无线终端之间无线信号的有效交互,其次,保证覆盖区域内每个终端的覆盖带宽要求。综合上述原则,可以确定覆盖的AP数量。
其次从保护投资的角度考虑无线交换机的容量,一个网络的生命周期大致是五年,五年内图书馆网络将会面临扩展,无线交换机的选择需要兼顾管理AP的可扩展能力。同时,其应用业务也会发展,如无线语音、视频的应用等,无线控制器的性能需要能满足几年的应用。
2、突出的产品性能
大容量AP管理、无线话音、无线视频、IEEE802.11n接入,这些都使无线交换机的性能成为一个不容忽视的问题。考虑到投资成本,又不能无限制地通过提升硬件来解决性能限制。因此需要从硬件和软件体系两个方面来衡量无线交换机的性能。
首先,目前的高校图书馆网络中,千兆核心已经普及,而且IEEE802.11n AP的上行端口多采用千兆,因此,无线控制器需要提供千兆处理性能,不仅提供千兆端口,最好能够提供万兆扩展能力,以便提供更高的网络链接适用性。
其次,随着话音等延时敏感性业务的推广及IEEE802.11n AP处理的大流量要求,集中转发的无线控制器很容易成为性能瓶颈。因此,无线控制器最好能支持分布式转发模式,即控制、管理报文通过无线控制器进行统一处理,数据报文在无线AP上直接转化为以太网格式的报文,不需要通过隧道封装再交无线交换机处理,从而解决无线控制器的数据转发性能瓶颈问题。
3、方便实现无线AP供电
解决无线AP供电问题,是保障无线AP部署位置灵活性的重要前提。这就要求AP在具有本地供电能力的同时,可以通过POE实现远程供电。目前有两类解决方案,POE供电模块和POE供电交换机。为了保证POE供电的可靠性,采用POE供电交换机为单路无线AP提供电源是首选,目前的POE交换机遵循的是IEEE802.3af标准,最大输出功率是15W左右,而业界主流的IEEE802.11n AP需要的工作功率多大于15W,为解决这样的供电需求,需要遵循IEEE802.3at草案的POE+供电交换机,才能真正发挥IEEE802.11n的性能优势。
4、降低管理成本
对于一般的图书馆来说,往往没有强大的IT维护力量,这也是选择FIT AP部署图书馆WLAN网络的一个重要因素,业界主流的FIT AP厂商都提供AP零配置,所有的AP配置操作都在无线控制器或交换机上完成,系统升级也统一由无线交换机来集中操作。因此,图书馆WLAN AP的管理问题,简化为对无线交换机的管理。更为突出的是,图书馆WLAN网络的管理不仅仅是对AP的管理,用户IP地址分配,用户身份认证等系列用户管理也是重点考虑的内容。无线用户的IP地址一般采用DHCP 服务器来分配,用户认证可以采用MAC地址认证、IEEE802.1x认证、WEB/PORTAL认证等方式。一个完整的无线网络,一般需要RADIUS 服务器,PORTAL认证服务器及前面述及的DHCP 服务器。这些设备结合无线控制器及无线AP,对没有强大的IT维护力量的图书馆而言,无疑是一个严峻的挑战,如果能集成DHCP服务、RADIUS认证服务、PORTAL认证服务,并通过简易直观的WEB管理界面方便图书馆IT管理者的维护,将为图书馆IT管理员的工作带来极大的方便。
三、高校图书馆无线网络系统建设中的用户管理
对于无线网络系统,由于无线介质的开放性和终端的漫游特性,导致无线无法同有线网络那样实现用户、IP、MAC、端口的绑定,因此在接入无线网络时如果不对用户进行认证,就无法确定用户的身份,出现问题也就无法定位到用户,因此和接入有线网络不同,用户接入无线网络时必须先进行认证,然后用户才能访问网络资源。目前业界应用的几种主流认证方式如下:
PPPoE认证:
PPPoE是一种很成熟的认证技术,具有完整的技术标准,不论在xDSL还是LAN接入环境中都得到了广泛的应用。PPPoE具有良好的用户管理能力,不但能完成用户认证,还能够实现地址分配管理,并可实现MAC和VLAN等二层信息的用户绑定,安全性较高,比较适合于大用户量的电信级企业。但是由于PPPoE本身点对点的技术特征,使得组播等应用受到一定的限制,需要开发商提供PPPoE情况下组播应用解决方案;另外PPPoE在网络组网方面受到一定的限制,不能跨越三层网络设备。
WEB认证:
WEB认证直接应用浏览器作为认证客户端,是一种新兴的认证技术,目前行业还没有制定统一的技术标准。WEB认证不需要安装任何客户端软件,并且可以跨三层使用。相对于PPPoE,WEB认证对用户的控制能力和安全性都比较差,容易遭受针对WEB服务的DoS攻击,跨三层使用使得宽带接入服务器无法获得用户的二层信息进行绑定管理,用户抢IP等现象的防范只能靠其它二层设备解决。WEB认证中用户地址的获取一般是DHCP方式或者采用静态IP,无论用户是否认证通过,均要占用IP地址。
IEEE802.1x认证:
IEEE802.1x认证是由IEEE802.11b无线接入技术发展而来的基于以太网端口控制的宽带接入技术,目前只有部分通用的技术标准。IEEE802.1x认证需要用户PC安装IEEE802.1x认证客户端软件,用户认证报文通过接入的以太网交换机送到后台的Radius系统进行认证,用户认证通过后连接的以太网交换机端口打开,用户可以正常上网。IEEE802.1x技术从工作原理上比较简单,但是由于需要采购大量支持的IEEE802.1x交换机进行组网,同时需要对标准的Radius协议进行改造,因此目前主要在教育行业进行推广应用。
在当前图书馆无线网络建设中,可根据读者群的不同制定不同的安全策略和采用不同的认证方法,如对安全要求高的读者群(如教师组)可采用IEEE802.1x认证方法,而对安全要求不太高的普通读者(如学生组),考虑到使用上的方便性,可采用WEB认证的方法。特别说明的是如果有条件的话,图书馆无线网络的认证最好与学校的用户认证系统结合起来实现校园网的统一认证,这也是高校图书馆无线网络建设发展的方向。
四、关于系统安全的问题
无线局域网(WLAN)利用了不可见的公用媒介进行空中信号传播,安全问题是部署无线的巨大挑战,无线网络安全的复杂性一定程度上限制了图书馆部署无线。如何解决WLAN接入面临的安全问题,保证读者放心使用是一个重要问题。仔细分析无线面临的安全挑战,主要是防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁,又要防范内部威胁,既要防范来自用户端的威胁,又要防范网络端的威胁。
首先是防范未授权AP,即Rouge 设备的接入。IEEE802.11网络很容易受到大量网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等,因此Rouge设备对于图书馆网络安全来说是一个很严重的威胁。这需要无线入侵检测(WIDS)功能来防范,通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测,检测WLAN网络中的rogue设备,上报管理中心,并对它们采取反制措施,最大程度地保护无线网络。
其次是防范非法用户,这主要通过认证技术及加密技术来保证。常用的认证方式包括802.1x认证、MAC地址认证、WEB、PPPoE认证等多种认证方式,保证无线用户身份的安全性, 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性。另外,通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改,网管人员可以轻松地对不同级别的人进行接入权限分配,实现精细的用户权限控制,从而大大增强了无线网络的可用度。
第三是防范ARP攻击。校园网内部普遍存在ARP 攻击手段,通过伪造IP地址和无线交换机地址实现ARP欺骗,产生大量的ARP通信量使网络阻塞或者实现中间人攻击,严重的可以使网络不可用,危害网络应用。为了防止攻击者通过ARP报文实施“中间人”攻击,无线交换机需要具有ARP入侵检测功能,即通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文,从而有效防御ARP欺骗。
第四是防范网络带宽滥用。这并不是直接的安全问题,但是会妨碍图书馆内部正常网络应用,需要一些智能管理手段来解决这样的问题。在WLAN网络中,同一个无线AP下会同时接入多个无线终端,如果部分终端应用BT等下载应用,将占用所有的无线端口带宽,导致其它终端不能正常工作。为了避免上述问题,网络最好能支持智能带宽限速,限制终端使用固定带宽,或限制所有终端平均分享限定带宽,从而有效解决带宽占用的问题。
图书馆无线网络系统建设是一项复杂的系统工程,以上所谈的仅仅只是网络系统建设中应注意的一些方面,还有很多工作需要我们去研究,但我们相信,只要大家共同努力,我国高校图书馆计算机网络应用将会取得巨大的发展。
作者:李合飞 男 1963年出生 副研究馆员 华中科技大学计算机专业本科毕业 长期从事图书馆计算机开发、管理及应用工作。
备注:本文为2010年全国政法院校图书馆协作委员会年会暨学术研讨会上提交论文,现转于此。特此鸣谢!