基于Fit模式的無線校園網(wǎng)安全策略設(shè)計(jì)與實(shí)現(xiàn)

植雅芳

（廣東工商職業(yè)學(xué)院 廣東 526000）

0 引言

現(xiàn)階段的無線網(wǎng)絡(luò)拓?fù)浞绞胶芏啵鞣N智能終端和智能操作系統(tǒng)也基本普及了在校師生，根據(jù)校園無線局域網(wǎng)的組網(wǎng)構(gòu)成，有無中心分布點(diǎn)對(duì)點(diǎn)模式，有中心的基礎(chǔ)結(jié)構(gòu)模式，無線網(wǎng)絡(luò)橋接模式等，通過組網(wǎng)的拓?fù)浼軜?gòu)規(guī)劃，可以有效整合不同終端的訪問需求，無線接入設(shè)備一般有瘦AP（即集中管理模式，簡稱Fit）和胖AP（即獨(dú)立工作模式，簡稱Fat）兩種工作模式，其中胖AP需要獨(dú)立管理和配置每一個(gè)AP設(shè)備，而瘦AP可以集中管理，更適合無線校園網(wǎng)安全策略設(shè)計(jì)。

1 Fit AP與Fat AP比較

傳統(tǒng)的無線網(wǎng)絡(luò)拓?fù)湟话愣际遣捎肍at AP模式，但是隨著國民無線網(wǎng)絡(luò)應(yīng)用需求的增長，此種架構(gòu)模式存在設(shè)備單一、無法集中管理等越來越多的缺點(diǎn)，特別是當(dāng)網(wǎng)絡(luò)存在問題時(shí)，每一個(gè)單獨(dú)的AP都需要進(jìn)行重置或修改。

Fit AP模式是區(qū)別于Fat AP模式的無線配置，瘦AP利用已有的有線局域網(wǎng)，結(jié)合無線 AP、無線適配器、CAMS服務(wù)器、IMAC網(wǎng)絡(luò)管理系統(tǒng)等各種無線鏈接周遭設(shè)備組成。瘦AP架構(gòu)方案包含：AC（無線控制器）、瘦AP、無線網(wǎng)絡(luò)傳感器、相關(guān)服務(wù)器與網(wǎng)絡(luò)管理系統(tǒng)等相關(guān)設(shè)備。有線網(wǎng)絡(luò)結(jié)合瘦 AP架構(gòu)設(shè)備，AC作為無線網(wǎng)絡(luò)的核心。該網(wǎng)絡(luò)有便于統(tǒng)一管理配置和升級(jí)，支持移動(dòng)信息安全等功能。Fat AP與Fit AP兩種模式在網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、組網(wǎng)規(guī)模以及整體性能等方面的性能，無線網(wǎng)絡(luò)的構(gòu)架工作模式宜選擇各項(xiàng)性能更為優(yōu)秀的Fit AP模式。

校園無線網(wǎng)絡(luò)地域的覆蓋面廣，用戶集中而多，瀏覽與下載的信息量集中而多，主要是因?yàn)閹熒鷮?duì)網(wǎng)絡(luò)信息的需求多為教育教學(xué)文檔下載、休閑網(wǎng)絡(luò)娛樂、網(wǎng)絡(luò)視頻點(diǎn)播等等大流量需求的內(nèi)容，基于師生進(jìn)行集中教育教學(xué)活動(dòng)的特點(diǎn)，高校師生對(duì)網(wǎng)絡(luò)的使用集中密集且流量大。為此高校的無線網(wǎng)絡(luò)在配置上采用使用區(qū)配置高密度無線接入點(diǎn)，隨著高校網(wǎng)絡(luò)頻繁使用，網(wǎng)絡(luò)故障頻發(fā)，這就需要頻繁維修與調(diào)整高度集中的無線網(wǎng)絡(luò)接入點(diǎn)，這就使得傳統(tǒng)的無線網(wǎng)絡(luò)配置維修的成本增高，相反，高校配置無線網(wǎng)絡(luò)環(huán)境時(shí)，選瘦 AP模式優(yōu)于胖AP組網(wǎng)模式，此種模式克服了Fat AP在大范圍覆蓋無線網(wǎng)絡(luò)時(shí)由覆蓋范圍廣造成的網(wǎng)絡(luò)升級(jí)調(diào)整工作量大成本高的缺點(diǎn)，它能在高校的一定范圍內(nèi)（基本范圍設(shè)定一般是兩三層樓這樣的空間）的立體空間實(shí)現(xiàn)實(shí)時(shí)無縫漫游，另外可以輕易的對(duì)無線網(wǎng)絡(luò)進(jìn)行升級(jí)、維護(hù)、調(diào)整，并且可以兼容多個(gè)IEEE802.11x標(biāo)準(zhǔn)。除此之外，F(xiàn)it AP網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)的耦合性不高，對(duì)于任意節(jié)點(diǎn)的通斷，不會(huì)影響周遭節(jié)點(diǎn)的使用，斷開的節(jié)點(diǎn)回路會(huì)被再次重新尋優(yōu)后組成新的回路，整個(gè)無線網(wǎng)絡(luò)不受單個(gè)節(jié)點(diǎn)通斷影響，整個(gè)網(wǎng)絡(luò)能正常工作。

2 校園無線網(wǎng)絡(luò)整體設(shè)計(jì)

針對(duì)高等院校地形，宿舍、教學(xué)樓、辦公樓等建筑物的規(guī)劃設(shè)計(jì)，宜采用分層設(shè)計(jì)進(jìn)行無線網(wǎng)絡(luò)的拓?fù)洳季帧Ｐ@無線拓?fù)浞譃槿龑樱簾o線用戶接入層、路由器網(wǎng)關(guān)層（無線匯聚層）、校園核心層（骨干網(wǎng)）。校園無線網(wǎng)絡(luò)的第一層是無線用戶接入層，使用者利用無線設(shè)備鏈接到附近的瘦AP，這個(gè)部分結(jié)合室內(nèi)天線WA2620、室外智能型大功率無線基站802.11n對(duì)室內(nèi)外覆蓋配置；校園無線網(wǎng)絡(luò)的第二層為路由器網(wǎng)關(guān)層（無線匯聚層），這個(gè)部分采用控制器連入各個(gè)路由器網(wǎng)關(guān)層交換機(jī)，無線匯聚層結(jié)合了有線與無線網(wǎng)絡(luò)，瘦AP受路由器網(wǎng)關(guān)層交換機(jī)的AC控制，間接的連入校園核心網(wǎng)中；校園無線網(wǎng)絡(luò)的第三層為校園核心層（骨干網(wǎng)），管理層通過iMac網(wǎng)絡(luò)軟件，管理整個(gè)校園無線網(wǎng)絡(luò)，從而實(shí)現(xiàn)校園內(nèi)網(wǎng)與校園外網(wǎng)的交流。

無線網(wǎng)絡(luò)安全問題是網(wǎng)絡(luò)通信中使用者最關(guān)心的，這里分析比較了安全技術(shù)與認(rèn)證方案兩方面，根據(jù)校園網(wǎng)實(shí)際需求，采用基于Fit AP模式的PSN安全服務(wù)的配置和實(shí)驗(yàn)，并結(jié)合實(shí)際測(cè)試情況來實(shí)現(xiàn)無線校園網(wǎng)絡(luò)。RSN和ESS聯(lián)合配置主要經(jīng)過四個(gè)步驟的配置，分別是將 RSN方式設(shè)置為服務(wù)模板，將PSK方式設(shè)置為WLAN-ESS口的端口安全方式，將全局端口安全設(shè)置為自動(dòng)啟動(dòng)，將模板綁定到AP的Radio上。

3 校園無線網(wǎng)絡(luò)對(duì)認(rèn)證技術(shù)需求分析

校園無線網(wǎng)絡(luò)是半開放的，即對(duì)在校師生是可以通過安全認(rèn)證隨時(shí)訪問的，經(jīng)過安全訪問認(rèn)證后無線網(wǎng)和用戶就有一個(gè)會(huì)話密鑰，用戶可以是兩個(gè)用戶也可以是多個(gè)，這個(gè)密鑰被用來保護(hù)后續(xù)的通信安全，認(rèn)證協(xié)議用于保證用戶的身份，那么當(dāng)用戶提供自身身份信息時(shí)，認(rèn)證經(jīng)過某種策略分析這個(gè)身份的正誤。無線用戶在使用無線局域網(wǎng)時(shí)，只有通過了身份認(rèn)證的用戶才能獲得授權(quán)，擁有相關(guān)操作權(quán)限，訪問授權(quán)權(quán)限內(nèi)的無線網(wǎng)絡(luò)資源。

各種各樣的認(rèn)證方式對(duì)應(yīng)不同的使用者身份流程驗(yàn)證，但是身份認(rèn)證中所實(shí)現(xiàn)的功能是相同的。高校優(yōu)秀的認(rèn)證方法有相互認(rèn)證、自我保護(hù)、認(rèn)證用戶、訪問接入點(diǎn)、快速有效、低維護(hù)成本等，這些方法具有簡單易操作的特點(diǎn)。

當(dāng)代無線網(wǎng)中主要采用的認(rèn)證方式有：PPPoE認(rèn)證方式、WEB+Prote1認(rèn)證方式、IEEE802.1x認(rèn)證方式。由于在校園內(nèi)無線終端種類雜、AP數(shù)量多，同時(shí)使用的師生接入端也多樣，相應(yīng)的安全要求也不斷增高。因此簡單的WEP或WPA-PSK并不能符合校園網(wǎng)的無線網(wǎng)絡(luò)要求，經(jīng)過實(shí)驗(yàn)測(cè)試，IEEE802.1x的接入點(diǎn)將 802.1x用于 PSN安全服務(wù)方面，聯(lián)合 EAP與校內(nèi)Radius服務(wù)器，網(wǎng)絡(luò)管理員可在服務(wù)器上建立無線網(wǎng)絡(luò)用戶認(rèn)證信息數(shù)據(jù)庫以此來提高認(rèn)證安全系數(shù)。

4 Fit AP模式下802.1x無線認(rèn)證和CAMS配合的實(shí)現(xiàn)

Fit AP模式下，802.1x無線認(rèn)證和CAMS的結(jié)合，可以有效的控制非法用戶接入網(wǎng)絡(luò)層。不僅保證安全，還節(jié)省帶寬資源。如圖1所示為802.1x遠(yuǎn)程認(rèn)證組網(wǎng)圖，配置分四步，首先，創(chuàng)建802.1x認(rèn)證時(shí)，使用RADIUS服務(wù)器方案；當(dāng)創(chuàng)建使用域時(shí)，域中使用RADIUS服務(wù)器方案作為AAA的認(rèn)證方案；接下來在系統(tǒng)視圖模式下啟動(dòng)全體802.1x認(rèn)證模式；最后在需要認(rèn)證的Port下采用802.1x特性，通過實(shí)驗(yàn)測(cè)試證明設(shè)計(jì)方案能夠符合預(yù)期，也保障校園網(wǎng)師生在使用時(shí)的安全性。

圖1 802.1x遠(yuǎn)程認(rèn)證組網(wǎng)圖

5 總結(jié)與展望

通過采用Fit模式，配合無線AC和Fit AP架構(gòu)進(jìn)行校園網(wǎng)部署，將AP功能簡化，僅作為數(shù)據(jù)收發(fā)設(shè)備，將密集的校園無線網(wǎng)絡(luò)配置和安全處理策略移植到集中的無線AC中，最大化優(yōu)化AP的管理。

在構(gòu)建基于 Fit模式的無線校園網(wǎng)安全策略設(shè)計(jì)的新方案中，重點(diǎn)研究了基于IEEE802.11的RSN安全服務(wù)機(jī)制和802.1X認(rèn)證技術(shù)，旨在建立便于安全管理、安全認(rèn)證、高效可靠的便于管理的校園無線網(wǎng)絡(luò)，未來的研究重點(diǎn)是引入軟件定義網(wǎng)絡(luò)（SDN），采用新的網(wǎng)絡(luò)架構(gòu)，更加集中處理與控制，同時(shí)保障校園無線網(wǎng)絡(luò)的安全。

[1]楊曉紅.高校網(wǎng)絡(luò)安全策略及風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2015.

[2]劉長琦.校園 WLAN 安全防范探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2015.

[3]花麗.高校校園網(wǎng)安全需求及安全方案設(shè)計(jì)[J].電子世界.2014.

[4]王宇.無線校園網(wǎng)絡(luò)安全與應(yīng)對(duì)策略[J].計(jì)算機(jī)與網(wǎng)絡(luò).2014.

[5]程凱,董雪.無線校園網(wǎng)的安全策略淺析[J].中州大學(xué)學(xué)報(bào).2012.