隨著計算機及網絡技術的迅速發展,傳統圖書館正向數字化圖書館方向快速邁進,圖書館的信息服務也隨之不斷前進與更新,越來越多的讀者開始通過計算機網絡來獲取信息資源。由于目前大多數高校圖書館的網絡采用的是有線以太網,由于其局限性使其難以滿足廣大師生方便、快捷使用網絡資源的渴求,而作為與有線網絡補充的無線網絡以速度快、價格低、安全性高、易實施、應用靈活等特點給高校圖書館的網絡建設提供了新的選擇,建設先進、高效且實用的圖書館無線網已成為圖書館工作的一個重要方面。本文根據筆者多年工作實踐,對高校圖書館無線網系統建設中的幾個環節進行以下初步的探討。
一、高校圖書館無線網絡系統建設應重視對其需求的分析
要建設一個先進、高效和安全的圖書館無線網絡系統,必須首先做好對系統建設方面的需求分析。通過對高校圖書館的現狀分析,我們發現對無線網絡建設一般存在如下方面的需求:
1、隨時隨地接入的需求
首先,高校師生對于網絡接入有著強烈的需求。原因有二:一方面,隨著近年來國家對高等教育的大力發展和支持,高校在校生人數普遍呈現上升趨勢。另一方面,是由于國家經濟實力的增強,技術的發展帶來的低成本,導致電腦的普及率也越來越高。
其次,在圖書館部分熱點區域,或者難以布線的區域需要一種切實可行的高性價比的接入方式以補充有線網絡的不足。比如閱覽室、會議室等一些重點區域。
簡言之,網絡作為一個底層的平臺,需要師生能夠隨時隨地的方便的接入。這就強調圖書館有線網絡和無線網絡的結合--適合無線網絡的地方用無線網絡,適合有線網絡的地方用有線網絡。
2、網絡高性能、高穩定可靠的需求
首先是高性能。高校圖書館無線網絡用戶數在不斷增加,并且隨著網絡應用技術的不斷豐富,其網絡應用也愈發復雜,例如FTP、VOD點播等大數據量的訪問,尤其目前流行的P2P的應用產生了巨大的網絡流量,如何高速進行網絡傳輸,對網絡設備的性能提出了很高的要求。
其次是穩定可靠。一方面,未來的社會是信息的社會,當前隨著校內師生員工的工作、科研、學習、生活、娛樂越來越離不開網絡,網絡的穩定可靠性就顯得愈發重要。另一方面,在應用豐富的同時,網絡環境也變得異常惡劣,這也對網絡設備在網絡攻擊或者病毒泛濫情況下的穩定可靠提出了挑戰。
3、對系統及用戶進行方便、靈活和有效管理的需求
一方面,由于無線網絡技術 <http://www.csai.cn/incsearch/search.asp?key=%CD%F8%C2%E7%BC%BC%CA%F5>主要是通過微波信號在空氣中進行數據信息的傳輸,自然天氣情況、建筑物障礙,以及與其他微波信號的相互干擾等原因都可以導致無線網絡信號的中斷、衰減。同時,設備故障和非法用戶的侵入也會對圖書館無線網絡的應用效率產生影響;另一方面,由于目前無線網絡系統應用技術越來越先進,系統功能日益復雜和完善,安裝和維護管理對技術的要求也越來越高。因此,在無線網絡系統建設中,可對系統及用戶進行方便、簡單、靈活和有效的管理顯得尤為重要。管理通常包括以下幾方面:
·配置管理:這包括如何建立網絡、網絡地址和相應的操作,也包括更改控制和管理、硬件、軟件的操作。
· 故障管理:對面臨的網絡問題、錯誤或故障進行及時、有效的處理。包括事件通知、警報和警告、問題鑒別、故障檢修、問題解決方案和錯誤或事件記錄。
· 性能管理:包括網絡容量設計、可用性/故障時間、響應時間測量、錯誤率、吞吐量和利用規格。
· 安全管理:包括安全策略需求和實施、授權、存取控制和審計追蹤、安全事件記錄和身份認證。
. 用戶管理:主要用于對無線用戶的管理,要求支持用戶多種接入方式認證機制,包括:基于web、802.1X、VPN、PPPoE等認證,支持外置的Portal服務器和外置的AAA服務器。
4、來自網絡安全的需求
第一,高校面臨著嚴峻的網絡安全形勢。越來越多的報道表明高校校園網已逐漸成為黑客的聚集地。這一方面是由于網絡病毒、黑客工具的泛濫,用戶安全意識的淡薄,而另一方面,高校學生--這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責任感。如何保障校園網絡的安全成為圖書館無線網絡建設時不得不考慮的問題。
第二,網絡安全一定是全方位的安全。首先,網絡出口、數據中心、服務器等重點區域要做到安全過濾;其次,不管接入設備,還是骨干設備,設備本身需要具備強大的安全防護能力,并且安全策略部署不能影響到網絡的性能,不造成網絡單點故障;最后,要充分考慮全局統一的安全部署,需要能夠從準入控制,到對網絡安全事件進行深度探測,到現有安全設備有機的聯動,到對安全事件觸發源的準確定位和根據身份進行的隔離、修復措施,從而能對網絡形成一個由內至外的整體安全構架。
二、高校圖書館無線網絡系統建設的原則制訂和無線網絡系統關鍵設備的選型
在高校圖書館無線網絡建設中,我們應對其原則制定進行以下考慮:1、先進性。無線網的建設應本著設計思想先進,軟硬件設備先進,網絡結構先進,開發工具先進的原則進行。2、開放性。系統設計應采用開放技術、開放結構、開放系統組件和開放用戶接口,以利于網絡的維護、擴展升級及與外界信息的溝通。3、可擴展性。網絡規劃設計應滿足圖書館長遠發展的需求,能夠滿足網絡技術發展、擴展和升級的要求。4、實用性。既要考慮無線網絡建設的普遍性,又要考慮本圖書館的個性,務求實用。5、安全性。防止系統數據的竊取、篡改和丟失;具有防病毒功能。6、經濟性。投資合理,有良好的性能價格比。
制定了圖書館無線網絡系統建設的總體原則和對圖書館網絡建設的需求分析后,接下來就是網絡系統的設計和設備的選型,在此我們著重談一下對設備選型中應注意的問題。首先我們應認識到基于無線網絡控制器和瘦AP的集中式無線網絡架構已成為當前無線網絡建設發展的方向。傳統的無線網絡一般以覆蓋區內原來的有線局域網為基礎,再配以無線接入點(AP),網橋,無線適配器,AAA服務器等設備組成。無線接入點分散在覆蓋區域里面,分別給各自有效的覆蓋區域提供RF信號和用戶安全管理和接入訪問策略,每一個AP都是一個獨立的工作體,有獨立的地址,AP之間各自為戰,互不相干,無線適配器則安裝在用戶的不同的終端里面,在整個覆蓋區指定的范圍內通過臨近AP制定的安全策略連接到無線網絡。在傳統的無線網絡里面,沒有集中管理的控制器設備,所有的AP都通過交換機連接起來,需要對每一個AP進行獨立配置,難以實現全局的統一管理和集中的RF、接入和安全策略設置,因而在最近幾年里,基于無線網絡控制器和瘦AP的集中式無線網絡架構已開始受到越來越廣泛的關注,并已成為當今無線網絡建設的主流。
解決了WLAN部署模式的問題之后,其設備的選型就成了無線網系統建設的一個重要任務。在選擇帶有無線控制器的交換機時,我們需要著重考慮以下幾個問題。
1、足夠的AP管理容量
圖書館在部署WLAN,首先需要考慮如何規劃網絡,需要部署多少個AP,需要什么樣規格的無線交換機,能既保證覆蓋要求,又不浪費投資。既能保證現有應用,又能兼顧未來發展。而配置能管理多少個AP的無線交換機,可以從兩個方面入手。
首先要根據空間大小確定AP數量。無線信號穿越門、窗、墻等障礙物會有衰減,因此,無線AP的數量和覆蓋場所的物理格局關系密切,無線AP的覆蓋原則是,首先保證覆蓋區域內,AP與無線終端之間無線信號的有效交互,其次,保證覆蓋區域內每個終端的覆蓋帶寬要求。綜合上述原則,可以確定覆蓋的AP數量。
其次從保護投資的角度考慮無線交換機的容量,一個網絡的生命周期大致是五年,五年內圖書館網絡將會面臨擴展,無線交換機的選擇需要兼顧管理AP的可擴展能力。同時,其應用業務也會發展,如無線語音、視頻的應用等,無線控制器的性能需要能滿足幾年的應用。
2、突出的產品性能
大容量AP管理、無線話音、無線視頻、IEEE802.11n接入,這些都使無線交換機的性能成為一個不容忽視的問題。考慮到投資成本,又不能無限制地通過提升硬件來解決性能限制。因此需要從硬件和軟件體系兩個方面來衡量無線交換機的性能。
首先,目前的高校圖書館網絡中,千兆核心已經普及,而且IEEE802.11n AP的上行端口多采用千兆,因此,無線控制器需要提供千兆處理性能,不僅提供千兆端口,最好能夠提供萬兆擴展能力,以便提供更高的網絡鏈接適用性。
其次,隨著話音等延時敏感性業務的推廣及IEEE802.11n AP處理的大流量要求,集中轉發的無線控制器很容易成為性能瓶頸。因此,無線控制器最好能支持分布式轉發模式,即控制、管理報文通過無線控制器進行統一處理,數據報文在無線AP上直接轉化為以太網格式的報文,不需要通過隧道封裝再交無線交換機處理,從而解決無線控制器的數據轉發性能瓶頸問題。
3、方便實現無線AP供電
解決無線AP供電問題,是保障無線AP部署位置靈活性的重要前提。這就要求AP在具有本地供電能力的同時,可以通過POE實現遠程供電。目前有兩類解決方案,POE供電模塊和POE供電交換機。為了保證POE供電的可靠性,采用POE供電交換機為單路無線AP提供電源是首選,目前的POE交換機遵循的是IEEE802.3af標準,最大輸出功率是15W左右,而業界主流的IEEE802.11n AP需要的工作功率多大于15W,為解決這樣的供電需求,需要遵循IEEE802.3at草案的POE+供電交換機,才能真正發揮IEEE802.11n的性能優勢。
4、降低管理成本
對于一般的圖書館來說,往往沒有強大的IT維護力量,這也是選擇FIT AP部署圖書館WLAN網絡的一個重要因素,業界主流的FIT AP廠商都提供AP零配置,所有的AP配置操作都在無線控制器或交換機上完成,系統升級也統一由無線交換機來集中操作。因此,圖書館WLAN AP的管理問題,簡化為對無線交換機的管理。更為突出的是,圖書館WLAN網絡的管理不僅僅是對AP的管理,用戶IP地址分配,用戶身份認證等系列用戶管理也是重點考慮的內容。無線用戶的IP地址一般采用DHCP 服務器來分配,用戶認證可以采用MAC地址認證、IEEE802.1x認證、WEB/PORTAL認證等方式。一個完整的無線網絡,一般需要RADIUS 服務器,PORTAL認證服務器及前面述及的DHCP 服務器。這些設備結合無線控制器及無線AP,對沒有強大的IT維護力量的圖書館而言,無疑是一個嚴峻的挑戰,如果能集成DHCP服務、RADIUS認證服務、PORTAL認證服務,并通過簡易直觀的WEB管理界面方便圖書館IT管理者的維護,將為圖書館IT管理員的工作帶來極大的方便。
三、高校圖書館無線網絡系統建設中的用戶管理
對于無線網絡系統,由于無線介質的開放性和終端的漫游特性,導致無線無法同有線網絡那樣實現用戶、IP、MAC、端口的綁定,因此在接入無線網絡時如果不對用戶進行認證,就無法確定用戶的身份,出現問題也就無法定位到用戶,因此和接入有線網絡不同,用戶接入無線網絡時必須先進行認證,然后用戶才能訪問網絡資源。目前業界應用的幾種主流認證方式如下:
PPPoE認證:
PPPoE是一種很成熟的認證技術,具有完整的技術標準,不論在xDSL還是LAN接入環境中都得到了廣泛的應用。PPPoE具有良好的用戶管理能力,不但能完成用戶認證,還能夠實現地址分配管理,并可實現MAC和VLAN等二層信息的用戶綁定,安全性較高,比較適合于大用戶量的電信級企業。但是由于PPPoE本身點對點的技術特征,使得組播等應用受到一定的限制,需要開發商提供PPPoE情況下組播應用解決方案;另外PPPoE在網絡組網方面受到一定的限制,不能跨越三層網絡設備。
WEB認證:
WEB認證直接應用瀏覽器作為認證客戶端,是一種新興的認證技術,目前行業還沒有制定統一的技術標準。WEB認證不需要安裝任何客戶端軟件,并且可以跨三層使用。相對于PPPoE,WEB認證對用戶的控制能力和安全性都比較差,容易遭受針對WEB服務的DoS攻擊,跨三層使用使得寬帶接入服務器無法獲得用戶的二層信息進行綁定管理,用戶搶IP等現象的防范只能靠其它二層設備解決。WEB認證中用戶地址的獲取一般是DHCP方式或者采用靜態IP,無論用戶是否認證通過,均要占用IP地址。
IEEE802.1x認證:
IEEE802.1x認證是由IEEE802.11b無線接入技術發展而來的基于以太網端口控制的寬帶接入技術,目前只有部分通用的技術標準。IEEE802.1x認證需要用戶PC安裝IEEE802.1x認證客戶端軟件,用戶認證報文通過接入的以太網交換機送到后臺的Radius系統進行認證,用戶認證通過后連接的以太網交換機端口打開,用戶可以正常上網。IEEE802.1x技術從工作原理上比較簡單,但是由于需要采購大量支持的IEEE802.1x交換機進行組網,同時需要對標準的Radius協議進行改造,因此目前主要在教育行業進行推廣應用。
在當前圖書館無線網絡建設中,可根據讀者群的不同制定不同的安全策略和采用不同的認證方法,如對安全要求高的讀者群(如教師組)可采用IEEE802.1x認證方法,而對安全要求不太高的普通讀者(如學生組),考慮到使用上的方便性,可采用WEB認證的方法。特別說明的是如果有條件的話,圖書館無線網絡的認證最好與學校的用戶認證系統結合起來實現校園網的統一認證,這也是高校圖書館無線網絡建設發展的方向。
四、關于系統安全的問題
無線局域網(WLAN)利用了不可見的公用媒介進行空中信號傳播,安全問題是部署無線的巨大挑戰,無線網絡安全的復雜性一定程度上限制了圖書館部署無線。如何解決WLAN接入面臨的安全問題,保證讀者放心使用是一個重要問題。仔細分析無線面臨的安全挑戰,主要是防止非法AP接入、防止非法用戶接入、防止ARP攻擊、防止AP過載、防止不合理應用等。既要防范外部威脅,又要防范內部威脅,既要防范來自用戶端的威脅,又要防范網絡端的威脅。
首先是防范未授權AP,即Rouge 設備的接入。IEEE802.11網絡很容易受到大量網絡威脅的影響,如未經授權的AP用戶、Ad-hoc網絡、拒絕服務型攻擊等,因此Rouge設備對于圖書館網絡安全來說是一個很嚴重的威脅。這需要無線入侵檢測(WIDS)功能來防范,通過WIDS對有惡意的用戶攻擊和入侵無線網絡進行早期檢測,檢測WLAN網絡中的rogue設備,上報管理中心,并對它們采取反制措施,最大程度地保護無線網絡。
其次是防范非法用戶,這主要通過認證技術及加密技術來保證。常用的認證方式包括802.1x認證、MAC地址認證、WEB、PPPoE認證等多種認證方式,保證無線用戶身份的安全性, 結合WEP(64/128)、WPA、WPA2等多種加密方式保證無線用戶的加密安全性。另外,通過用戶身份認證結合AAA服務器上對用戶組進行權限的配置和修改,網管人員可以輕松地對不同級別的人進行接入權限分配,實現精細的用戶權限控制,從而大大增強了無線網絡的可用度。
第三是防范ARP攻擊。校園網內部普遍存在ARP 攻擊手段,通過偽造IP地址和無線交換機地址實現ARP欺騙,產生大量的ARP通信量使網絡阻塞或者實現中間人攻擊,嚴重的可以使網絡不可用,危害網絡應用。為了防止攻擊者通過ARP報文實施“中間人”攻擊,無線交換機需要具有ARP入侵檢測功能,即通過對ARP報文進行合法性檢測,轉發合法的ARP報文,丟棄非法ARP報文,從而有效防御ARP欺騙。
第四是防范網絡帶寬濫用。這并不是直接的安全問題,但是會妨礙圖書館內部正常網絡應用,需要一些智能管理手段來解決這樣的問題。在WLAN網絡中,同一個無線AP下會同時接入多個無線終端,如果部分終端應用BT等下載應用,將占用所有的無線端口帶寬,導致其它終端不能正常工作。為了避免上述問題,網絡最好能支持智能帶寬限速,限制終端使用固定帶寬,或限制所有終端平均分享限定帶寬,從而有效解決帶寬占用的問題。
圖書館無線網絡系統建設是一項復雜的系統工程,以上所談的僅僅只是網絡系統建設中應注意的一些方面,還有很多工作需要我們去研究,但我們相信,只要大家共同努力,我國高校圖書館計算機網絡應用將會取得巨大的發展。
作者:李合飛 男 1963年出生 副研究館員 華中科技大學計算機專業本科畢業 長期從事圖書館計算機開發、管理及應用工作。
備注:本文為2010年全國政法院校圖書館協作委員會年會暨學術研討會上提交論文,現轉于此。特此鳴謝!