植雅芳

（廣東工商職業(yè)學(xué)院 廣東 526000）

0 引言

現(xiàn)階段的無線網(wǎng)絡(luò)拓?fù)浞绞胶芏?，各種智能終端和智能操作系統(tǒng)也基本普及了在校師生，根據(jù)校園無線局域網(wǎng)的組網(wǎng)構(gòu)成，有無中心分布點對點模式，有中心的基礎(chǔ)結(jié)構(gòu)模式，無線網(wǎng)絡(luò)橋接模式等，通過組網(wǎng)的拓?fù)浼軜?gòu)規(guī)劃，可以有效整合不同終端的訪問需求，無線接入設(shè)備一般有瘦AP（即集中管理模式，簡稱Fit）和胖AP（即獨立工作模式，簡稱Fat）兩種工作模式，其中胖AP需要獨立管理和配置每一個AP設(shè)備，而瘦AP可以集中管理，更適合無線校園網(wǎng)安全策略設(shè)計。

1 Fit AP與Fat AP比較

傳統(tǒng)的無線網(wǎng)絡(luò)拓?fù)湟话愣际遣捎肍at AP模式，但是隨著國民無線網(wǎng)絡(luò)應(yīng)用需求的增長，此種架構(gòu)模式存在設(shè)備單一、無法集中管理等越來越多的缺點，特別是當(dāng)網(wǎng)絡(luò)存在問題時，每一個單獨的AP都需要進(jìn)行重置或修改。

Fit AP模式是區(qū)別于Fat AP模式的無線配置，瘦AP利用已有的有線局域網(wǎng)，結(jié)合無線 AP、無線適配器、CAMS服務(wù)器、IMAC網(wǎng)絡(luò)管理系統(tǒng)等各種無線鏈接周遭設(shè)備組成。瘦AP架構(gòu)方案包含：AC（無線控制器）、瘦AP、無線網(wǎng)絡(luò)傳感器、相關(guān)服務(wù)器與網(wǎng)絡(luò)管理系統(tǒng)等相關(guān)設(shè)備。有線網(wǎng)絡(luò)結(jié)合瘦 AP架構(gòu)設(shè)備，AC作為無線網(wǎng)絡(luò)的核心。該網(wǎng)絡(luò)有便于統(tǒng)一管理配置和升級，支持移動信息安全等功能。Fat AP與Fit AP兩種模式在網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、組網(wǎng)規(guī)模以及整體性能等方面的性能，無線網(wǎng)絡(luò)的構(gòu)架工作模式宜選擇各項性能更為優(yōu)秀的Fit AP模式。

校園無線網(wǎng)絡(luò)地域的覆蓋面廣，用戶集中而多，瀏覽與下載的信息量集中而多，主要是因為師生對網(wǎng)絡(luò)信息的需求多為教育教學(xué)文檔下載、休閑網(wǎng)絡(luò)娛樂、網(wǎng)絡(luò)視頻點播等等大流量需求的內(nèi)容，基于師生進(jìn)行集中教育教學(xué)活動的特點，高校師生對網(wǎng)絡(luò)的使用集中密集且流量大。為此高校的無線網(wǎng)絡(luò)在配置上采用使用區(qū)配置高密度無線接入點，隨著高校網(wǎng)絡(luò)頻繁使用，網(wǎng)絡(luò)故障頻發(fā)，這就需要頻繁維修與調(diào)整高度集中的無線網(wǎng)絡(luò)接入點，這就使得傳統(tǒng)的無線網(wǎng)絡(luò)配置維修的成本增高，相反，高校配置無線網(wǎng)絡(luò)環(huán)境時，選瘦 AP模式優(yōu)于胖AP組網(wǎng)模式，此種模式克服了Fat AP在大范圍覆蓋無線網(wǎng)絡(luò)時由覆蓋范圍廣造成的網(wǎng)絡(luò)升級調(diào)整工作量大成本高的缺點，它能在高校的一定范圍內(nèi)（基本范圍設(shè)定一般是兩三層樓這樣的空間）的立體空間實現(xiàn)實時無縫漫游，另外可以輕易的對無線網(wǎng)絡(luò)進(jìn)行升級、維護(hù)、調(diào)整，并且可以兼容多個IEEE802.11x標(biāo)準(zhǔn)。除此之外，F(xiàn)it AP網(wǎng)絡(luò)各個節(jié)點的耦合性不高，對于任意節(jié)點的通斷，不會影響周遭節(jié)點的使用，斷開的節(jié)點回路會被再次重新尋優(yōu)后組成新的回路，整個無線網(wǎng)絡(luò)不受單個節(jié)點通斷影響，整個網(wǎng)絡(luò)能正常工作。

2 校園無線網(wǎng)絡(luò)整體設(shè)計

針對高等院校地形，宿舍、教學(xué)樓、辦公樓等建筑物的規(guī)劃設(shè)計，宜采用分層設(shè)計進(jìn)行無線網(wǎng)絡(luò)的拓?fù)洳季?。校園無線拓?fù)浞譃槿龑樱簾o線用戶接入層、路由器網(wǎng)關(guān)層（無線匯聚層）、校園核心層（骨干網(wǎng)）。校園無線網(wǎng)絡(luò)的第一層是無線用戶接入層，使用者利用無線設(shè)備鏈接到附近的瘦AP，這個部分結(jié)合室內(nèi)天線WA2620、室外智能型大功率無線基站802.11n對室內(nèi)外覆蓋配置；校園無線網(wǎng)絡(luò)的第二層為路由器網(wǎng)關(guān)層（無線匯聚層），這個部分采用控制器連入各個路由器網(wǎng)關(guān)層交換機(jī)，無線匯聚層結(jié)合了有線與無線網(wǎng)絡(luò)，瘦AP受路由器網(wǎng)關(guān)層交換機(jī)的AC控制，間接的連入校園核心網(wǎng)中；校園無線網(wǎng)絡(luò)的第三層為校園核心層（骨干網(wǎng)），管理層通過iMac網(wǎng)絡(luò)軟件，管理整個校園無線網(wǎng)絡(luò)，從而實現(xiàn)校園內(nèi)網(wǎng)與校園外網(wǎng)的交流。

無線網(wǎng)絡(luò)安全問題是網(wǎng)絡(luò)通信中使用者最關(guān)心的，這里分析比較了安全技術(shù)與認(rèn)證方案兩方面，根據(jù)校園網(wǎng)實際需求，采用基于Fit AP模式的PSN安全服務(wù)的配置和實驗，并結(jié)合實際測試情況來實現(xiàn)無線校園網(wǎng)絡(luò)。RSN和ESS聯(lián)合配置主要經(jīng)過四個步驟的配置，分別是將 RSN方式設(shè)置為服務(wù)模板，將PSK方式設(shè)置為WLAN-ESS口的端口安全方式，將全局端口安全設(shè)置為自動啟動，將模板綁定到AP的Radio上。

3 校園無線網(wǎng)絡(luò)對認(rèn)證技術(shù)需求分析

校園無線網(wǎng)絡(luò)是半開放的，即對在校師生是可以通過安全認(rèn)證隨時訪問的，經(jīng)過安全訪問認(rèn)證后無線網(wǎng)和用戶就有一個會話密鑰，用戶可以是兩個用戶也可以是多個，這個密鑰被用來保護(hù)后續(xù)的通信安全，認(rèn)證協(xié)議用于保證用戶的身份，那么當(dāng)用戶提供自身身份信息時，認(rèn)證經(jīng)過某種策略分析這個身份的正誤。無線用戶在使用無線局域網(wǎng)時，只有通過了身份認(rèn)證的用戶才能獲得授權(quán)，擁有相關(guān)操作權(quán)限，訪問授權(quán)權(quán)限內(nèi)的無線網(wǎng)絡(luò)資源。

各種各樣的認(rèn)證方式對應(yīng)不同的使用者身份流程驗證，但是身份認(rèn)證中所實現(xiàn)的功能是相同的。高校優(yōu)秀的認(rèn)證方法有相互認(rèn)證、自我保護(hù)、認(rèn)證用戶、訪問接入點、快速有效、低維護(hù)成本等，這些方法具有簡單易操作的特點。

當(dāng)代無線網(wǎng)中主要采用的認(rèn)證方式有：PPPoE認(rèn)證方式、WEB+Prote1認(rèn)證方式、IEEE802.1x認(rèn)證方式。由于在校園內(nèi)無線終端種類雜、AP數(shù)量多，同時使用的師生接入端也多樣，相應(yīng)的安全要求也不斷增高。因此簡單的WEP或WPA-PSK并不能符合校園網(wǎng)的無線網(wǎng)絡(luò)要求，經(jīng)過實驗測試，IEEE802.1x的接入點將 802.1x用于 PSN安全服務(wù)方面，聯(lián)合 EAP與校內(nèi)Radius服務(wù)器，網(wǎng)絡(luò)管理員可在服務(wù)器上建立無線網(wǎng)絡(luò)用戶認(rèn)證信息數(shù)據(jù)庫以此來提高認(rèn)證安全系數(shù)。

4 Fit AP模式下802.1x無線認(rèn)證和CAMS配合的實現(xiàn)

Fit AP模式下，802.1x無線認(rèn)證和CAMS的結(jié)合，可以有效的控制非法用戶接入網(wǎng)絡(luò)層。不僅保證安全，還節(jié)省帶寬資源。如圖1所示為802.1x遠(yuǎn)程認(rèn)證組網(wǎng)圖，配置分四步，首先，創(chuàng)建802.1x認(rèn)證時，使用RADIUS服務(wù)器方案；當(dāng)創(chuàng)建使用域時，域中使用RADIUS服務(wù)器方案作為AAA的認(rèn)證方案；接下來在系統(tǒng)視圖模式下啟動全體802.1x認(rèn)證模式；最后在需要認(rèn)證的Port下采用802.1x特性，通過實驗測試證明設(shè)計方案能夠符合預(yù)期，也保障校園網(wǎng)師生在使用時的安全性。

圖1 802.1x遠(yuǎn)程認(rèn)證組網(wǎng)圖

5 總結(jié)與展望

通過采用Fit模式，配合無線AC和Fit AP架構(gòu)進(jìn)行校園網(wǎng)部署，將AP功能簡化，僅作為數(shù)據(jù)收發(fā)設(shè)備，將密集的校園無線網(wǎng)絡(luò)配置和安全處理策略移植到集中的無線AC中，最大化優(yōu)化AP的管理。

在構(gòu)建基于 Fit模式的無線校園網(wǎng)安全策略設(shè)計的新方案中，重點研究了基于IEEE802.11的RSN安全服務(wù)機(jī)制和802.1X認(rèn)證技術(shù)，旨在建立便于安全管理、安全認(rèn)證、高效可靠的便于管理的校園無線網(wǎng)絡(luò)，未來的研究重點是引入軟件定義網(wǎng)絡(luò)（SDN），采用新的網(wǎng)絡(luò)架構(gòu)，更加集中處理與控制，同時保障校園無線網(wǎng)絡(luò)的安全。

[1]楊曉紅.高校網(wǎng)絡(luò)安全策略及風(fēng)險評估[J].計算機(jī)光盤軟件與應(yīng)用.2015.

[2]劉長琦.校園 WLAN 安全防范探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2015.

[3]花麗.高校校園網(wǎng)安全需求及安全方案設(shè)計[J].電子世界.2014.

[4]王宇.無線校園網(wǎng)絡(luò)安全與應(yīng)對策略[J].計算機(jī)與網(wǎng)絡(luò).2014.

[5]程凱,董雪.無線校園網(wǎng)的安全策略淺析[J].中州大學(xué)學(xué)報.2012.