校園無線局域網的設計

董述杰

(福建工程學院國脈信息學院，福建 福州 350014)

?

校園無線局域網的設計

董述杰

(福建工程學院國脈信息學院，福建 福州 350014)

摘要:文中結合校園無線局域網建設的實際應用需求，提出了與有線網絡相結合的無線局域網設計規劃思路，重點研究了基于IEEE802.11i安全標準的校園無線局域網安全機制，論述了無線網絡與有線網絡聯動綜合安全配置方法，通過對不同用戶給予不同認證方式，達到快捷性能與安全性能兼顧的目的。

關鍵詞：通信校園網；無線局域網；安全性

全國各高校在經過近幾年的無線實驗網的探索之后，紛紛開始規劃并建設作為有線網絡之補充的校園級無線網絡，為校區提供全部的無線局域網信號覆蓋，并提供數據接入業務，讓學校師生體會到無線局域網給教學和學習帶來的好處。在整體無線網絡的規劃中，始終以高效、穩定、安全為總體設計目標，同時保證易于使用、用戶界面統一、表現力強、易于安裝和維護、網絡運行質量高、開放性好、便于移植擴展和推廣、具備較好的性能價格比，并保持解決方案與技術上的領先，對用戶和無線網絡進行有效的管理，構建一個穩定的、可拓展的無線校園網環境為用戶提供一個靈活的移動教學和辦公“平臺”。

1　校園無線局域網的需求分析

1.1　無線局域網設計目標

在校園內安裝無線局域網，可以解決以下問題:

(1)解決信息點流動的問題。一般來說，如教室、圖書館、會議室等地方一般是不可能布設太多信息點的，采用無線方式，在有限的信息點上連接無線接入器，就可以輕松從一個信息點擴展到成百上千個信息點的應用。

(2)解決難以布線的問題。在實驗室、體育館、禮堂等地方是不宜布線的，采用無線局域網，可以簡化在這些區域的網絡實施，提供直徑近20 m的無線網絡覆蓋，用戶可以在無線覆蓋的區域移動應用。

(3)提高教學效率和資源的利用率。教師和學生上課時不必再往返于圖書館、辦公室、教室、宿舍，采用無線方案可以使老師和同學們在上述地方隨意的檢索圖書館的網上資料、服務器的教案、寢室電腦里的作業。

(4)節約成本。AP無線接入點可以使原來的一個信息點同時接入數十乃至數百個用戶設備，布線的投資以及維護成本大大降低。

(5)覆蓋校園內區域。為教學、科研、辦公及學習、生活、交流提供切實可用的、穩定的無線網絡環境。

(6)采取先進的的協議標準。目前無線局域網普遍采用802.n系列標準，提供 802.1la、 802.1lb、802.119標準的聯網支持，提供可供實際應用的穩定網絡通訊服務。

(7)實現室內的無線網絡的合理布建。考慮室內實現無線網絡的不同情況和特點以及目前學生筆記本用戶數量日益增多的情況，應采取合理的布網方式滿足現在以及未來發展的需要。

(8)保證覆蓋區域最大用戶并發數。考慮教室、報告廳、圖書室等人員密集，用戶并發數量較多的情況，保證用戶使用帶寬，要求無線網用戶人均帶寬不小于1 Mbit/s。

1.2　無線網絡部署的總體需求

(1)無線網絡設備部署需求

假定一個學校有教學樓、宿舍樓、辦公樓及室外廣場等建筑，在原有的有線網絡組建的基礎上，將無線網絡設備部署到校園中，用以覆蓋校園范圍為:教學樓全部樓層；職工宿舍樓全部樓層；室外廣場包括主樓前廣場、教學樓前廣場及操場看臺。

無線網絡的部署，要求對現有的有線網絡進行盡可能少的改動，對多家廠商的有線產品能夠在兼容性、穩定性、統一性方面進行整合。

(2)技術參數需求

a.在各樓層及室外部署的無線接入點AP須同時支持IEEE802.11a、 IEEE802.11b、 IEEE802.11g三種無線傳輸協議。

b.AP必須支持通過802.3af兼容的POE交換機供電。

c.AP集中管理，須提供后臺網絡管理系統做集中管理配置，且也可支持第三方用戶認證計費設備。

d.AP必須具有 MuIti SSID功能，AP自身具備為不同的SSID無線用戶接入有線網絡或互聯網絡提供不同的身份認證策略的功能。

e.負載平衡，AP之間可根據相互通告各自連接的用戶知量、流量來控制用戶接入實現負載均衡。

(3)網絡管理需求

系統的管理及用戶認證頁面需要能夠支持個性化定制，并做到與校園網當前使用的認證網關系統數據庫進行對接，實現一次認證，以達到對校園上網用戶進行統計、認證及管理的目的。系統必須支持WPA以及WPA2認證，支持WPA/WPA2安全規范，支持標準的802.1x認證流程，支持 Radius Server，支持EAP-MDS、EAPTLS、PEAP等多種認證協議。

1.3　無線局域網需求分析

(1)無線網部署架構方式需求分析

無線網部署方式采用無線控制器和 FIT AP(AC+AP)方式組網。胖AP與瘦AP方式對比如表1。

表1　胖AP和瘦AP對比

傳統無線網絡的部署需要網絡管理員對網絡中的每一個AP進行逐一配置，當無線網絡規模較大時網絡管理員往往要配置上百個AP，工作量巨大，且容易出錯。而采用無線控制器和FIT AP方式組網時，只需要在無線控制器上對一類相同屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于AP本身不保存任何配置，萬一設備丟失，也可以保證網絡配置不被竊取。AP支持啟動后自動獲取IP地址、自動獲取AC的工作列表并自動和AC建立關聯，真正做到了零配置，免維護，即插即用，極大地減輕了網絡管理員在部署網絡階段的維護工作量。當網絡正常運行以后，無線控制器對所管理的AP以及AP所接入的用戶進行實時監控，并能將這些信息實時上報給網管。維護人員可以指定AP或用戶進行在線服務策略設定和安全策略設定，使網絡配置策略更加靈活。同時，無線控制器支持AP軟件自動更新功能，AP在每次重新啟動時會自動比較當前運行的軟件版本和無線控制器上的最新版本是否一致，如不一致AP會自動更新本地的軟件映像，軟件升級不再需要網管人員的干預。

FIT AP方式方案架構中，無線用戶的傳輸是通過無線接入點內已建立的CAPWAP隧道和無線控制器互連的，所以實際上無線用戶的VLAN無須在接入層和匯聚層存在。無線用戶的VLAN可透過無線交換機和骨干交換機互連互通。這樣非常方便在大學校園里實施無線局域網，同時也非常方便進行擴展。對原有的有線網路由器不需要改變路由結構，大大減輕了由于無線網的建設而對原有網絡的結構改變的工作量。

FIT AP的配置保存在無線控制器中， FIT AP啟動時會自動從無線控制器下載合適的設備配置信息， FIT AP需要能夠自動獲取IP地址，同時FIT AP需要能夠自動發現可接入的無線控制器，并對無線控制器和FIT AP之間的網絡拓撲不敏感，無線控制器支持FIT AP的配置代理和查詢代理，能夠將用戶對FIT AP的配置順利傳達到指定的 FIT AP設備，同時可以實時察看 FIT AP的狀態和統計信息，無線控制器保存 FIT AP的最新軟件，并負責FIT AP軟件的自動更新。

(2)接入點設備及控制器選擇

綜合以上需求分析，本文設備選型最終確定，項目所用無線接入點設備為WA2200-AG，無線控制器設備為WX61O3，設備參數如圖1、圖2。

在部署WLAN AP時，充分考慮到有線網的特性，采用零配置即用的技術，對現有有線接入網絡不做任何修改，僅僅修改DHCP服務器或者DNS服務器的配置，在無線控制器(AC)上進行配置，就可以提供WLAN接入服務，大大降低了網絡部署成本。需要更換設備時，新的AP設備接上以太網線就可以成功接入到網絡，不需要改變無線控制器上的配置，對安裝維護人員沒有技術背景要求，輕松實現設備維護更換和網絡擴容。

圖1 WA2200-AG無線接入點參數

圖2 WX6103無線控制器主要參數

2　校園無線局域網設計

根據以上需求分析，總體設計拓撲如圖3所示。

圖3 設計總體拓撲圖

方案部署模塊如圖4所示。

圖4 無線網功能部署模塊圖

下面重點介紹認證功能模塊和無線入侵檢查模塊。

(1)認證功能模塊

認證功能模塊要求支持802.1x認證方式。

目前的有線網絡使用的是基于802.1x的認證方式,使用中網絡也需要能夠與有線網絡相融合，無線控制器本身就能很好地支持基于802.1x的認證功能將無線用戶提交的賬戶信息直接與有線網絡RADIUS進行聯動，就可以保證全網用戶有線與無線的認證賬號統一。其認證過程如圖5。

圖5 認證過程

使用支持IEEE 802. 1 x認證技術的AP作為無線網絡的安全核心，并通過Radius服務器進行用戶身份驗證，有效地阻止未經授權的用戶接入。通過無線交換機與SAM的聯動認證，不但可以使用原有的賬戶信息，對用戶完全透明，并且還可以利用無線控制器強大的擴展屬性功能來為無線用戶進行更多的控管。

(2)無線入侵檢查模塊

通過非法AP檢測功能，無線網絡可以自動監測非法設備，并適時上報網管中心，同時對非法設備的攻擊可以進行自動防護。白名單功能確保只有名單上的無線用戶才能進行數據傳輸，其他用戶均被認為非法用戶，非法用戶的報文全部被丟棄，從而減少非法報文對無線網絡的沖擊。

另一方面，無線控制器還提供黑名單功能。用戶以硬件配置方式或者控制器實時檢測偵聽的方式來確定設備是否被加入黑名單，被加入黑名單中的設備發過來的報文全部在AP上丟棄，從而減少攻擊報文對無線網絡的沖擊。無線控制器還支持多種攻擊的檢測，例如DoS攻擊，FLOOD攻擊檢測。特別無線協議攻擊防御可以和動態黑名單配合使用，當控制器檢測到攻擊時，可以將發起攻擊的無線客戶端動態添加到動態黑名單中，從而保證系統不再被該設備攻擊。

在WLAN環境中，可以通過指定的規則過濾是否允許指定無線客戶端的報文通過，實現了對無線終端用戶的接入控制。

無線用戶接入控制通過維護三種類型的列表實現接入控制。

白名單列表:該列表包含允許接入的無線客戶端的MAC地址。如果使用了白名單，則只有白名單中指定的無線用戶可以接入到WLAN網絡中，其他的無線用戶的所有報文將被AP直接丟棄。

靜態黑名單列表:該列表包含拒絕接入的無線客戶端的MAC地址。

動態黑名單列表:當WLAN檢測到來自某一設備的非法攻擊時，可以選擇將該設備動態加入到黑名單中，禁止接收任何來自于該設備的報文，實現WLAN網絡的安全保護。

如圖6，有三個AP連接到AC。在AC上配置白名單列表和黑名單列表，白名單列表和黑名單列表將被發送到所有與之相連的無線接入點上(AP1、AP2和AP3)。假設Client 1的MAC地址存在于黑名單列表中，則Client 1不能與任何一個AP發生關聯。當Clientl的MAC地址存在于白名單列表中時，該客戶端可以和任何一個AP發生關聯。

圖6 無線用戶接入控制組網

本無線網部署方案，采取動態黑名單的控制器入侵檢測方式。

3　結束語

隨著無線局域網的迅速發展，其安全問題日益受到人們的關注。與有線網絡相比較，無線局域網的物理開放性使其難以在物理上采取控制措施，因此保護無線局域網的安全難度要遠大于保護有線網絡。人們已經認識到必須專門為WLAN設計安全防護機制，以保護在WLAN中傳輸數據的機密性、完整性和不可否認性，同時對請求接入WLAN的用戶進行身份認證和訪問控制。

參考文獻：

[1]李勤,張浩軍，楊峰，等.無線局域網安全協議的研究和實現[J].計算機應用,2005,(1):35-36.

[2]孫宏,楊義先.無線局域網協議802.1安全性分析[J].電子學報,2003,31(7):1098-1100.

[3]周正,譯.無線局域網安全務實[M〕.北京:人民郵電出版社,2006.

[4]劉乃安.無線局域網(WLAN)一原理、技術與應用[M].西安: 西安電子科技大學出版社,2008.

[5]楊哲.無線網絡安全攻防實戰[M].北京：電力工業出版社，2008.

[6](美)王杰.計算機網絡安全的理論與實踐(英文版)[M].北京：高等教育出版社,2008.

[7]賈鐵軍.網絡安全技術及應用[M].北京：機械工業出版社,2009.

[8]段水福，歷曉華，段煉，編著.無線局域網(wLAN)設計與實踐[M].杭州：浙江大學出版社,2007.

[9](美)斯托林斯著，何軍，等譯.無線通信與網絡(第2版)[M].北京：清華大學出版社,2005.

[10](美)莫利斯，著，田斌，等譯.無線通信[M].北京：電子工業出版社,2008.

通信技術

Design of Campus Wireless Local Area Network (LAN)

DONG Shu-jie

(Guomai Information College, Fujian University of Technology, Fuzhou 350014, China)

Abstract:In this article, based on practical application demand of construction of campus wireless LAN, design scheme of combining wireless LAN with wired network is proposed. The study focuses on security mechanism of campus wireless LAN based on IEEE802.11i. And security configuration method of integrating wired and wireless networks is discussed, through which different authentication ways are applied to different users to achieve good performance of both speed and safety.

Key words:campus network; wireless local area network (LAN); security

中圖分類號：TP311

文獻標識碼：A

文章編號：1009-3664(2015)02-0090-04

作者簡介：董述杰(1983-)，男，福建福州閩侯縣人，實驗員，助理工程師，研究方向為局域網管理和維護。

收稿日期：2014-12-15