移動網絡安全路由對無線網絡運維系統設計

張鵬程

（河南廣播大學河南洛陽450008）

移動網絡安全路由對無線網絡運維系統設計

張鵬程

（河南廣播大學河南洛陽450008）

針對無線網絡在移動網絡路由中數據傳輸存在安全隱患的問題，本研究利用AC+FIT AP框架對網絡認證方式及管理方式進行改進，采用兩臺Aruba 6000控制器為無線網絡提供統一的管理，通過配線間的交換機結合AP將接入的網絡連接到不同的局域網。設計Aruba AirWave對流量的訪問和信息安全攻擊進行統一的管理，在Radius服務器認證分配IP地址并將所有信息傳送至控制器，再通過協議的方式進行身份的驗證，最終無線網絡運維系統終端將會根據使用者的密碼以及客戶端MAC碼對無線網絡的使用者進行監督驗證。

移動網絡；路由器；無線網絡；運維系統

移動網絡安全路由是無線網絡傳輸的重要內容[1]。移動網絡信號復雜多變，且無線傳輸處于動態變化中，信號強度差異很大[2]。基于傳統的移動網絡路由器已經無法滿足日益增長的移動終端的客觀現實需求，而由無線終端路由發射器設置網絡安全性是未來無線網絡運維發展的方向。現有的威脅路由安全的模型有3種：參數化威脅模型[3]、active-n-m威脅模型[4]和自適應威脅模型[5]。而常見的無線網絡傳輸方式主要有[6-7]：擴展頻譜、窄帶微波調制和紅外線。其中，擴展頻譜技術的容易實現分地址多IP且利用頻譜效率高，令移動網絡路由具有極高的傳輸速率[8]。本研究將在AC+FIT AP框架的基礎上對無線網絡的登錄進行改進，利用兩臺Aruba 6000控制器對無線網絡提供統一的管理，結合Radius服務器認證對用戶的賬號以及密碼進行驗證。通過Aruba AirWave專業WLAN綜合網管實現對于無線網用戶、安全攻擊以及訪問流量的統一管理。

1 移動無線網絡設計

1.1 整體框架

對于移動網絡安全路由的解決，本文將分別采用Cisco[9]以及Aruba[10]的無線網絡來進行解決。關于架構的形式，則繼續采用之前慣用的新型AC+FIT AP。本文的整體框架相對之前文獻中提出的整體框架，主要是對先前的設計進行改進，對于設計中存在的缺陷進行優化，優化主要體現在認證方式以及管理方式方面。關于移動網絡安全路由的無線網絡整體解決方案如圖1所示。

圖1 網絡安全路方案

核心機房是移動網絡安全路由的整個無線網絡的核心，同時需要對整個無線網絡進行整合，通過采用兩臺Aruba 6000控制器在核心的交換區實現對現有無線網絡的新的建設，從未為無線網絡提供統一的管理，并能夠為無線網絡用戶提供關于身份ID的認證，同時還能夠進行三層路由以及防火墻策略的服務。通過Aruba AP實現在GRE隧道的控制，并最終在Aruba控制器上終止，而Cisco AP則通過LWAPP的隧道在Cisco控制器終止[11]。移動網絡安全路由將由4個千兆光纖端口以及一塊256AP的控制卡所組成，留有一個網關負責有線網絡核心交換設備的連接并作為上聯，另留有一個網關負責第三方胖AP VLAN的終止，最終完成第三方胖AP的管理活動。

無線用戶網絡安全需要設定密碼，而用戶的賬號以及密碼則需要Radius服務器認證，一般的認證方法根據不同的情況可采用的也有所不認同，WEB認證、MAC地址過濾、AAA的Accounting、WPA加密以及用戶名和密碼的認證可供選擇。對于使用移動安全路由的無線網絡用戶，需要按照用戶群的角色進行劃分，通過多元化的認證實現多用戶群體以及不同系統個體個性化的運維管理系統。在二次開發方面則需要結合城市的熱點設置DR.com進行管理，同時支持LDAP數據定制的操作，靈活方便，為統一化的認證提供便利，同時還能夠簡化管理和操作流程，使得系統操作人員以及無線網絡使用者使用更加便利。Aruba AirWave專業WLAN綜合網管能夠實現對于無線網用戶、安全攻擊以及訪問流量的統一管理，還能夠針對無線路由的設備進行策略執行和審核，對無線網絡管理運維體系進行優化和完善。

1.2 技術標準

關于移動網絡安全路由器的無線網絡，將采用國際上慣用的技術標準[12]，主要分為IEEE802.11a、IEEE802.11b和IEEE802.11g，對于用戶集中反映網速低下，掉線率較高的區域需要根據無線網絡的用戶反饋進行調整，還需要及時對設備進行維護。通過對IEEE802.11b技術的使用進行控制，以此實現對于客戶端以及AP信號強度的控制，從而改善用戶的操作體驗。同時將采用IEEE802.11n的最新技術，對轄區的無線網絡進行全方位的覆蓋，從而保障轄區的無線網能夠用戶能夠高效穩定的使用安全的無線網絡。本研究采用的無線網絡調制解調器技術標準如表1所示。

表1 技術標準

1.3 無線網絡拓撲結構

在建設規劃的過程中，需要針對無線網絡的基礎設備和軟件進行調整和更新，Cisco AP控制器主要安裝在在轄區內的各個樓宇的樓道內，而不同的轄區則會選擇不同型號的Aruba AP進行部署，通過配線間的交換機利用AP將接入的網絡連接到不同的局域網[13]，再利用局域網的IP層和每個局域網內部的無線網絡控制器設備進行連接，通過認證加密的策略對傳輸數據的過程進行加密和管理。利用POE模塊的方式進行供電，再通過Aruba AirWave進行轄區內的無線網絡的統一管理。轄區內的用戶無線網絡拓撲結構如圖2所示。

圖2 無線網絡拓撲結構

2 無線網絡安全路由運維

2.1 管理模塊

在無線網絡管理的項目中，將會選取Aruba AirWave的專業LAN對網絡實施綜合統一的監督與管理，主要的工作內容包括對無線網絡使用者以及無線網絡接收設備、無線網絡傳輸設備、無線網絡傳送渠道對流量的訪問、信息安全攻擊等進行統一的管理。對AirWave服務器統一部署，利用Aruba AC以及網絡管理協議（SNMP）進行日常的通訊管理[14]，同時還需要對無線網絡用戶的信息進行搜集，主要包括的內容有使用者、流量、信息安全、設備使用等。在Aruba AC中的配置如下所示：

分布式的網絡將進行統一的用戶管理，并且在熱點平臺DR.com的基礎上與LDAP數據相互結合以進行二次的開發[15]，從而完成用戶管理平臺的統一構建。在該系統下完成無線網絡操作人員的規范管理，同時在區域內用戶管理外還會加入流動用戶的管理，從而加強區域內用戶的無線網絡安全。詳細的連接方式如圖3所示。

圖3 Dr.com拓撲結構

2.2 控制模塊

在控制模塊的無線網絡規劃中，選取了Aruba AC作為控制器的核心設備，利用Aruba AC實現對Aruba AP的管理以及與Radius服務器的通信交互，為無線網絡區域內的所有使用者提供身份ID的認證[16]，從而完成VLAN以及SSID的對接，實現設備以及無線網管AirWave的區域通信，對于原先設有的兩臺Cisco AC，將在控制撥快的規劃中僅保留Cisco AP的管理功能，并實現二層透傳，不再進行三層處理。

表2 控制器對比

2.3 安全運維

無線用戶網絡安全需要設定密碼，而用戶的賬號以及密碼則需要Radius服務器認證，一般的認證方法根據不同的情況可采用的也有所不認同，WEB認證、MAC地址過濾、AAA的Accounting、WPA加密以及用戶名和密碼的認證可供選擇，并對這些在認證方式進行進一步的改善和優化。對于使用移動安全路由的無線網絡用戶，還需要結合城市熱點DR.com的認證管理設備將所有的用戶數據匯總到管理平臺，最終實現多用戶群體的統一運維系統管理。

對于轄區內的所有的無線網絡使用者，將會統一分配IP地址，這個地址將與SSID相對應，所有的網管設備將會指向Aruba控制器。在接入了社區的無線網絡之后針對每一個初始角色都會統一分配External-logon，內置的 Web Portal（External-default_CP）再通過Aruba控制器將Http請求定向到外置的Portal[17]。無線網絡的使用者通過登錄Portal頁面進行輸入操作，并將所有信息傳送至控制器，再通過協議的方式進行身份的驗證，最終終端將會根據使用者的密碼以及客戶端MAC碼對無線網絡的使用者進行驗證，并輸出操作者的屬性。操作者的角色將由Aruba根據熱點DR.com輸出操作者屬性進行動態的分配。

3 實驗分析

針對本研究提出的無線網絡運維管理系統，從技術層面出發，Airwave可以對區域內整個無線網絡進行統一的配置管理、故障管理和安全管理。從使用層面出發，Airwave支持對無線網絡設備的管理以及對無線用戶的性能和流量進行監測。通過在某公司設置本研究所提出的無線網絡運維系統設計，對9：00-17：00內的8 h內的無線網絡使用實驗檢測具體如下。

3.1 網絡安全評估

Radius服務器在對用戶賬號以及密碼認證后，假設客戶端MAC碼的每個節點管理直接信任與歷史信任的信息，并且每個節點的歷史記錄的最大數值為10，則20個Bits和對應Wifi發射器組成安全路由平臺。Wifi發射器覆蓋在一個4*5的網格中部署20個節點，惡意攻擊發送的數據約為0.63個包。在本研究設定下的網絡供給下的節點信任記錄如圖4所示。

由圖4可得，在惡意攻擊情況下，采用兩臺Aruba 6 000控制器在8 h內的信任數據基本同步，且隨機丟包率有效的控制在75%。這是由于兩臺Aruba 6 000控制器在連接了對應的兩臺Cisco控制器，惡意節點在正常數據節點的利用下引起大量數據丟失，數據包發送的信任率被存放在每個Wifi發射器部署的節點中。當Radius服務器對用戶帳號及密碼驗證后，路由器的信任要求節點下跳到相鄰節點直至選擇達到信任要求的鄰居節點。

圖4 節點信任記錄

3.2 網絡性能評估

流量反饋信息如表3所示。

表3 流量監控信息

提供無線網絡安全路由器的CPU和內存利用率如表4所示。

表4 CPU和內存利用率

由表3和表4所示，在每秒流量最大Bits上行與下行峰值達到317.6 Mbps的情況下，Aruba 6000控制器的CPU利用率僅為6.83%，內存利用率為29.10%。Cisco控制器作為Aruba 6000控制器的對應認證加密的策略，CPU在管理AP的存儲利用率僅為2.16%，Cisco控制器備用機的CPU分擔了1.05%的數據處理。因此，在本實驗的配置下，通過兩個Aruba 6000控制器有效的控制了路由設備數據流量的分配，對應的Cisco控制器保留Cisco AP的管理功能并實現了二層透傳，確保了網絡數據經過路由器分發后的信息安全。

4 結 論

本研究以AC+FIT AP框架為基礎開發了一套移動網絡路由條件下的無線網絡運維系統，采用兩臺Aruba 6000控制器同時對無線網絡進行統一的管理，結合Radius服務器對用戶的賬號以及密碼進行驗證。通過在樓宇的樓道內安裝Cisco AP控制器，利用Aruba AC以及網絡管理協議（SNMP）進行日常的通訊管理。整套無線網絡運維系統在熱點平臺DR.com的基礎上與LDAP數據相互結合以進行二次的開發，實現了分布式的網絡將進行統一的用戶管理，并且通過實驗分析結果說明了，本無線網絡運維系統可實現網絡數據流量的實時監控，在對硬件中CPU和內存使用占有率較低。因此，本研究提出的無線網絡管理運維系統可以為網絡安全路由提供參考性意義。

[1]吳越，李建華，林闖.機會網絡中的安全與信任技術研究進展[J].計算機研究與發展，2013，50（2）:278-290.

[2]許嵩明.移動網絡信號可視化管理系統的設計與實現[J].電子制作，2013（13）:131-133.

[3]王昱，章衛國，傅莉，等.基于改進證據網絡的空戰動態態勢估計方法[J].航空學報，2015，36（12）:3896-3909.

[4]張森.移動Ad Hoc網絡安全路由協議設計與分析技術[J].數字技術與應用，2014（8）:191.

[5]張冰濤，王小鵬.面向WSN安全路由協議的自適應威脅模型[J].計算機應用研究，2014，31（4）:1208-1211.

[6]劉云璐，蒲菊華，方維維，等.一種無線傳感器網絡MAC協議優化算法[J].計算機學報，2014，31（4）:1208-1211

[7]張煥國，韓文報，來學嘉，等.網絡空間安全綜述[J].中國科學:信息科學，2016，46（2）:125-164

[8]管天云.擴展頻譜時域反射法的理論與實驗研究[J].新型工業化，2014（1）:84-89.

[9]蘇曉艷，武東英，劉龍，等.基于Fuzzing的Cisco IOS漏洞挖掘方法[J].計算機工程，2012，38（16）:117-120.

[10]高晶.移動體驗最新玩兒法Aruba讓大型場所更黏人[J].計算機與網絡，2015（1）:74-75.

[11]彭毓濤.基于802.1X的企業無線局域網的應用和研究[J].信息安全與技術，2013，4（4）:66-69.

[12]錢志鴻，王義君.面向物聯網的無線傳感器網絡綜述[J].電子與信息學報，2013，35（1）:215-227.

[13]葉惠.Aruba Networks:將應用和網絡完美結合[J].通訊世界，2013（7）:36.

[14]劉勤讓，張永麗，薛三龍.可重構柔性網絡下基于預測的網絡資源重構算法[J].高技術通訊，2014，24（2）:124-130.

[15]吳慶杰，田鵬.異構認證系統間身份同步的設計與實現[J].華東師范大學學報：自然科學版，2015（3）:197-204.

[16]劉暢，安澄全.Radius服務器中EAP認證子系統的設計[J].哈爾濱商業大學學報：自然科學版，2016，32（2）:212-215.

Design of mobile network security routing wireless network operation and maintenance system

ZHANG Peng?cheng
（Henan Broadcasting University，Luoyang450008，China）

There are security risks for the wireless network in a mobile data transmission network routing problem，this study AC+FIT AP framework for authentication and network management to improve，us?ing two Aruba 6000 controller provides unified management for wireless networks，by AP switch is incor?porated between wiring network access will be connected to different LANs.Design Aruba AirWave traf?fic access and information security attacks unified management，Radius authentication server assigned IP address and all the information is transmitted to the controller，and then verify the identity by way of agreement，the final wireless network operation and maintenance system terminal will supervise and veri?fy the user's wireless network to the user's password，and the client MAC code.

mobile network；router；wireless network；operation and maintenance system

TN929.52

A

1674-6236（2017）22-0106-04

2016-10-01稿件編號：201610001

張鵬程（1979—），男，河南洛陽人，碩士，講師。研究方向：軟件工程、遠程教育。