董兆殷

（廣東輕工職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)信息中心，廣東 廣州 510300）

1 前言

隨著數(shù)字化校園建設(shè)需要，建設(shè)校園WLAN，完善校園的無線覆蓋，為學(xué)生和教職工提供更多學(xué)習(xí)、工作和生活上的便利，是一個發(fā)展必然道路。校園WLAN采用EPON方式組網(wǎng)，以雙SSID方式廣播，一個SSID為校方無線網(wǎng)絡(luò)標(biāo)識(如XX_WLAN)，另一個標(biāo)識可采用中國電信無線網(wǎng)絡(luò)標(biāo)識ChinaNet。接入校方SSID標(biāo)識的用戶認(rèn)證由校方校園網(wǎng)的認(rèn)證服務(wù)器完成，接入電信SSID標(biāo)識的用戶認(rèn)證由電信認(rèn)證服務(wù)器完成。

2 WLAN簡介

WLAN(無線局域網(wǎng)絡(luò))是一種利用射頻技術(shù)進(jìn)行據(jù)傳輸?shù)南到y(tǒng)，取代舊式礙手礙腳的雙絞銅線所構(gòu)成的局域網(wǎng)絡(luò)，使得無線局域網(wǎng)絡(luò)能利用簡單的存取架構(gòu)讓用戶透過它，達(dá)到“信息隨身化、便利走天下”的理想境界。無線WLAN是高校建設(shè)數(shù)字化校園的基礎(chǔ)建設(shè)之一，有利擴(kuò)大社會影響，更好開展對外學(xué)術(shù)交流與培訓(xùn)。對于在校師生而言，可隨時隨地獲取到教學(xué)資源。

3 校園WLAN設(shè)計方案

由于采用EPON組網(wǎng)方式，OLT和AC的位置在一個層面。所有的流量采用EPON組網(wǎng)方式，OLT在局方機(jī)房，ONU部署在校園。

3.1 所有無線流量通過CAPWAP隧道轉(zhuǎn)發(fā)到AC，由于校園網(wǎng)一般有線網(wǎng)絡(luò)在接入交換機(jī)端口上做了基于MAC的802.1X認(rèn)證，因此需要在AP上連的交換機(jī)端口上配置AP的MAC地址允許接入或者配置接入AP的樓道交換機(jī)端口為開放端口。從而保證所有無線隧道流量正常轉(zhuǎn)發(fā)到AC。

3.2 如果用戶為ChinaNet用戶，則用戶數(shù)據(jù)由隧道封裝后上傳到AC，AC解開封裝，根據(jù)不同的SSID打上不同的VLAN，由AC二層轉(zhuǎn)發(fā)給校園網(wǎng)匯聚交換機(jī)，將報文對應(yīng)到ChinaNet業(yè)務(wù)VLAN上傳到WAN上BAS進(jìn)行認(rèn)證。

3.3 如果是用戶通過校園 SSID上網(wǎng)，采用集中轉(zhuǎn)發(fā)，流量通過ONU網(wǎng)絡(luò)上傳到OLT，再上傳到AC解開封裝，將二層用戶數(shù)據(jù)報文轉(zhuǎn)發(fā)給OLT，由OLT二層轉(zhuǎn)發(fā)給校園網(wǎng)匯聚交換機(jī)。

校園 SSID的數(shù)據(jù)流由AC打上校園網(wǎng)無線業(yè)務(wù)VLAN，由AC二層轉(zhuǎn)發(fā)給匯聚交換機(jī)，匯聚交換機(jī)終結(jié)二層報文。匯聚交換機(jī)作為Portal網(wǎng)關(guān)，控制校園WLAN用戶的http請求重定向到Portal服務(wù)器，Portal服務(wù)器向STA推送認(rèn)證頁面，用戶輸入用戶名、密碼，提交給Radius驗證用戶身份，如果為合法用戶，匯聚交換機(jī)開放用戶網(wǎng)絡(luò)訪問權(quán)限；如果不合法則不能使用校園網(wǎng)賬號登入，需通過電信SSID的接入來認(rèn)證。

3.4 該設(shè)計方案中需要匯聚層交換機(jī)支持Portal網(wǎng)關(guān)功能（或者WEB重定向功能）。目前有些匯聚交換機(jī)甚至支持Portal Server功能。

3.5 由于采用Portal認(rèn)證方式，屬于應(yīng)用層協(xié)議，認(rèn)證過程有重傳機(jī)制，保證了及時在無線網(wǎng)絡(luò)的環(huán)境下，也可以有較好的認(rèn)證過程體驗。該方式是無線認(rèn)證普遍采用的方式。

4 Portal認(rèn)證方式配置內(nèi)容

4.1 配置Radius服務(wù)器與AC相連的端口為開放端口，或者靜態(tài)寫入AC的MAC地址。在AC中添加Radius認(rèn)證服務(wù)器與IP地址，并設(shè)置路由?？紤]到Portal認(rèn)證時需要在認(rèn)證前自動分配私有的IP地址，需添加DHCP中繼。

4.2 如果匯聚交換機(jī)可以做Portal網(wǎng)關(guān)，則配置匯聚交換機(jī)為Portal網(wǎng)關(guān)，開啟WEB重定向功能；如果匯聚交換機(jī)不具備Portal網(wǎng)關(guān)功能，則在校園WLAN中選擇某臺設(shè)備（主流交換機(jī)、路由器等一般都具備此功能）作為Portal網(wǎng)關(guān)；如果校園網(wǎng)中沒有合適的可作為Portal網(wǎng)關(guān)的設(shè)備，則需要新增Portal網(wǎng)關(guān)。在Portal網(wǎng)關(guān)上配置Portal Server相關(guān)信息及Radius相關(guān)信息，包括SNMP等密鑰。

4.3 在校園網(wǎng)中配置Portal Server服務(wù)器，一般有些主流交換機(jī)和路由器具備本地Portal Server功能，可以直接借用；如果網(wǎng)內(nèi)交換機(jī)不支持Portal Server功能或者性能不夠，只能外置Portal Server。

5 校園WLAN安全

校園內(nèi)的網(wǎng)絡(luò)環(huán)境更為復(fù)雜，存在ARP攻擊、MAC欺騙、地址掃描、偽DHCP服務(wù)器接入等多種不安全因素，并且無線網(wǎng)本身屬于開放式接入方式，更是有可能存在信息泄漏等安全隱患。我們從多個方面對校園WLAN安全進(jìn)行控制和防范：

5.1 用戶溯源

用戶使用賬號登陸后，后臺即記錄該賬號的上網(wǎng)時間和占用的線路，根據(jù)線路追溯出用戶的上網(wǎng)地點(diǎn)，最后根據(jù)賬號找到對應(yīng)的用戶。

5.2 源地址過濾

通過在BRAS和AP設(shè)備進(jìn)行配置，除網(wǎng)管服務(wù)器外，對互聯(lián)網(wǎng)上其它路由指向AP IP地址的訪問請求，BRAS直接進(jìn)行過濾。在AP設(shè)備上，也設(shè)置只對網(wǎng)管IP地址進(jìn)行回應(yīng)，丟棄其他非法IP地址。使得僅WLAN網(wǎng)管能對AP進(jìn)行訪問，而AP也僅對WLAN網(wǎng)管進(jìn)行回應(yīng)。

5.3 業(yè)務(wù)數(shù)據(jù)流與網(wǎng)管數(shù)據(jù)流分離

為防止攻擊網(wǎng)管系統(tǒng)、惡意修改配置的發(fā)生，校園WLAN采用業(yè)務(wù)數(shù)據(jù)流與網(wǎng)管數(shù)據(jù)流相分離的方式。如LAN接入方式中，AP采用Trunk上聯(lián)，使用雙VLAN方式，VLAN1用于WLAN業(yè)務(wù)，另外一個VLAN2用于AP網(wǎng)管。

5.4 AP無線側(cè)安全設(shè)置

在AP上打開二層隔離設(shè)置，啟用該功能可保證同一AP下的用戶不能在AP上直接二層互通，從而保密WLAN用戶數(shù)據(jù)，抵御站點(diǎn)之間的病毒擴(kuò)散。AP上還開啟防DOS攻擊功能 。 能 夠 防 止 LAND、SYN Flooding、ICMP Redirection、Smurf等類型的攻擊，并可通過軟件升級。

5.5 用戶數(shù)據(jù)及帳號安全

無線側(cè)、數(shù)據(jù)層、應(yīng)用層分別應(yīng)用不同的加密認(rèn)證措施。

6 校園WLAN管理

通過WLAN網(wǎng)管監(jiān)控、統(tǒng)計和查詢功能。AC和無線AP將接入網(wǎng)管系統(tǒng)中，可實時監(jiān)控和查詢AP及整個校園WLAN網(wǎng)絡(luò)的運(yùn)行情況。但考慮到安全生產(chǎn)的要求，無線網(wǎng)管平臺的功能不直接開放，而是采用中間服務(wù)器的方式，則無線網(wǎng)管平臺將統(tǒng)計數(shù)據(jù)發(fā)送到一指定的服務(wù)器（可以是Portal服務(wù)器），然后再由這個服務(wù)器向網(wǎng)管員提供查詢統(tǒng)計功能（統(tǒng)計查詢用戶數(shù)、流量、工作狀態(tài)三種功能）；如果是通過校園賬號認(rèn)證的用戶，可通過Radius服務(wù)器的計費(fèi)平臺查看信息。

7 結(jié)束語

校園WLAN覆蓋絡(luò)以后，用戶只需簡單的設(shè)置就可以連接到校園網(wǎng)，從而實現(xiàn)上網(wǎng)功能。網(wǎng)管員做好校園WLAN的安全治理工作，并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證，做到無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的無縫對接，確保校園WLAN的高安全性。

[1]楊峰，張浩軍.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn).計算機(jī)應(yīng)用，2007.

[2]張圣，陳偉.基于WIAN技術(shù)的無線校園網(wǎng)組網(wǎng)研究[J].武漢信息技術(shù)，2005.

[3]黃勁榮.無線局域網(wǎng)在校園網(wǎng)的應(yīng)用.教育信息化，2006:1.

[4]余智，湯旭翔.無線網(wǎng)絡(luò)在校園網(wǎng)中的應(yīng)用[J].計算機(jī)時代，2007(3):30-31.