校園無線局域網(wǎng)的設(shè)計

董述杰

(福建工程學院國脈信息學院，福建 福州 350014)

?

校園無線局域網(wǎng)的設(shè)計

董述杰

(福建工程學院國脈信息學院，福建 福州 350014)

摘要:文中結(jié)合校園無線局域網(wǎng)建設(shè)的實際應(yīng)用需求，提出了與有線網(wǎng)絡(luò)相結(jié)合的無線局域網(wǎng)設(shè)計規(guī)劃思路，重點研究了基于IEEE802.11i安全標準的校園無線局域網(wǎng)安全機制，論述了無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)聯(lián)動綜合安全配置方法，通過對不同用戶給予不同認證方式，達到快捷性能與安全性能兼顧的目的。

關(guān)鍵詞：通信校園網(wǎng)；無線局域網(wǎng)；安全性

全國各高校在經(jīng)過近幾年的無線實驗網(wǎng)的探索之后，紛紛開始規(guī)劃并建設(shè)作為有線網(wǎng)絡(luò)之補充的校園級無線網(wǎng)絡(luò)，為校區(qū)提供全部的無線局域網(wǎng)信號覆蓋，并提供數(shù)據(jù)接入業(yè)務(wù)，讓學校師生體會到無線局域網(wǎng)給教學和學習帶來的好處。在整體無線網(wǎng)絡(luò)的規(guī)劃中，始終以高效、穩(wěn)定、安全為總體設(shè)計目標，同時保證易于使用、用戶界面統(tǒng)一、表現(xiàn)力強、易于安裝和維護、網(wǎng)絡(luò)運行質(zhì)量高、開放性好、便于移植擴展和推廣、具備較好的性能價格比，并保持解決方案與技術(shù)上的領(lǐng)先，對用戶和無線網(wǎng)絡(luò)進行有效的管理，構(gòu)建一個穩(wěn)定的、可拓展的無線校園網(wǎng)環(huán)境為用戶提供一個靈活的移動教學和辦公“平臺”。

1　校園無線局域網(wǎng)的需求分析

1.1　無線局域網(wǎng)設(shè)計目標

在校園內(nèi)安裝無線局域網(wǎng)，可以解決以下問題:

(1)解決信息點流動的問題。一般來說，如教室、圖書館、會議室等地方一般是不可能布設(shè)太多信息點的，采用無線方式，在有限的信息點上連接無線接入器，就可以輕松從一個信息點擴展到成百上千個信息點的應(yīng)用。

(2)解決難以布線的問題。在實驗室、體育館、禮堂等地方是不宜布線的，采用無線局域網(wǎng)，可以簡化在這些區(qū)域的網(wǎng)絡(luò)實施，提供直徑近20 m的無線網(wǎng)絡(luò)覆蓋，用戶可以在無線覆蓋的區(qū)域移動應(yīng)用。

(3)提高教學效率和資源的利用率。教師和學生上課時不必再往返于圖書館、辦公室、教室、宿舍，采用無線方案可以使老師和同學們在上述地方隨意的檢索圖書館的網(wǎng)上資料、服務(wù)器的教案、寢室電腦里的作業(yè)。

(4)節(jié)約成本。AP無線接入點可以使原來的一個信息點同時接入數(shù)十乃至數(shù)百個用戶設(shè)備，布線的投資以及維護成本大大降低。

(5)覆蓋校園內(nèi)區(qū)域。為教學、科研、辦公及學習、生活、交流提供切實可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境。

(6)采取先進的的協(xié)議標準。目前無線局域網(wǎng)普遍采用802.n系列標準，提供 802.1la、 802.1lb、802.119標準的聯(lián)網(wǎng)支持，提供可供實際應(yīng)用的穩(wěn)定網(wǎng)絡(luò)通訊服務(wù)。

(7)實現(xiàn)室內(nèi)的無線網(wǎng)絡(luò)的合理布建?？紤]室內(nèi)實現(xiàn)無線網(wǎng)絡(luò)的不同情況和特點以及目前學生筆記本用戶數(shù)量日益增多的情況，應(yīng)采取合理的布網(wǎng)方式滿足現(xiàn)在以及未來發(fā)展的需要。

(8)保證覆蓋區(qū)域最大用戶并發(fā)數(shù)。考慮教室、報告廳、圖書室等人員密集，用戶并發(fā)數(shù)量較多的情況，保證用戶使用帶寬，要求無線網(wǎng)用戶人均帶寬不小于1 Mbit/s。

1.2　無線網(wǎng)絡(luò)部署的總體需求

(1)無線網(wǎng)絡(luò)設(shè)備部署需求

假定一個學校有教學樓、宿舍樓、辦公樓及室外廣場等建筑，在原有的有線網(wǎng)絡(luò)組建的基礎(chǔ)上，將無線網(wǎng)絡(luò)設(shè)備部署到校園中，用以覆蓋校園范圍為:教學樓全部樓層；職工宿舍樓全部樓層；室外廣場包括主樓前廣場、教學樓前廣場及操場看臺。

無線網(wǎng)絡(luò)的部署，要求對現(xiàn)有的有線網(wǎng)絡(luò)進行盡可能少的改動，對多家廠商的有線產(chǎn)品能夠在兼容性、穩(wěn)定性、統(tǒng)一性方面進行整合。

(2)技術(shù)參數(shù)需求

a.在各樓層及室外部署的無線接入點AP須同時支持IEEE802.11a、 IEEE802.11b、 IEEE802.11g三種無線傳輸協(xié)議。

b.AP必須支持通過802.3af兼容的POE交換機供電。

c.AP集中管理，須提供后臺網(wǎng)絡(luò)管理系統(tǒng)做集中管理配置，且也可支持第三方用戶認證計費設(shè)備。

d.AP必須具有 MuIti SSID功能，AP自身具備為不同的SSID無線用戶接入有線網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò)提供不同的身份認證策略的功能。

e.負載平衡，AP之間可根據(jù)相互通告各自連接的用戶知量、流量來控制用戶接入實現(xiàn)負載均衡。

(3)網(wǎng)絡(luò)管理需求

系統(tǒng)的管理及用戶認證頁面需要能夠支持個性化定制，并做到與校園網(wǎng)當前使用的認證網(wǎng)關(guān)系統(tǒng)數(shù)據(jù)庫進行對接，實現(xiàn)一次認證，以達到對校園上網(wǎng)用戶進行統(tǒng)計、認證及管理的目的。系統(tǒng)必須支持WPA以及WPA2認證，支持WPA/WPA2安全規(guī)范，支持標準的802.1x認證流程，支持 Radius Server，支持EAP-MDS、EAPTLS、PEAP等多種認證協(xié)議。

1.3　無線局域網(wǎng)需求分析

(1)無線網(wǎng)部署架構(gòu)方式需求分析

無線網(wǎng)部署方式采用無線控制器和 FIT AP(AC+AP)方式組網(wǎng)。胖AP與瘦AP方式對比如表1。

表1　胖AP和瘦AP對比

傳統(tǒng)無線網(wǎng)絡(luò)的部署需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的每一個AP進行逐一配置，當無線網(wǎng)絡(luò)規(guī)模較大時網(wǎng)絡(luò)管理員往往要配置上百個AP，工作量巨大，且容易出錯。而采用無線控制器和FIT AP方式組網(wǎng)時，只需要在無線控制器上對一類相同屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于AP本身不保存任何配置，萬一設(shè)備丟失，也可以保證網(wǎng)絡(luò)配置不被竊取。AP支持啟動后自動獲取IP地址、自動獲取AC的工作列表并自動和AC建立關(guān)聯(lián)，真正做到了零配置，免維護，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護工作量。當網(wǎng)絡(luò)正常運行以后，無線控制器對所管理的AP以及AP所接入的用戶進行實時監(jiān)控，并能將這些信息實時上報給網(wǎng)管。維護人員可以指定AP或用戶進行在線服務(wù)策略設(shè)定和安全策略設(shè)定，使網(wǎng)絡(luò)配置策略更加靈活。同時，無線控制器支持AP軟件自動更新功能，AP在每次重新啟動時會自動比較當前運行的軟件版本和無線控制器上的最新版本是否一致，如不一致AP會自動更新本地的軟件映像，軟件升級不再需要網(wǎng)管人員的干預。

FIT AP方式方案架構(gòu)中，無線用戶的傳輸是通過無線接入點內(nèi)已建立的CAPWAP隧道和無線控制器互連的，所以實際上無線用戶的VLAN無須在接入層和匯聚層存在。無線用戶的VLAN可透過無線交換機和骨干交換機互連互通。這樣非常方便在大學校園里實施無線局域網(wǎng)，同時也非常方便進行擴展。對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，大大減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。

FIT AP的配置保存在無線控制器中， FIT AP啟動時會自動從無線控制器下載合適的設(shè)備配置信息， FIT AP需要能夠自動獲取IP地址，同時FIT AP需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和FIT AP之間的網(wǎng)絡(luò)拓撲不敏感，無線控制器支持FIT AP的配置代理和查詢代理，能夠?qū)⒂脩魧IT AP的配置順利傳達到指定的 FIT AP設(shè)備，同時可以實時察看 FIT AP的狀態(tài)和統(tǒng)計信息，無線控制器保存 FIT AP的最新軟件，并負責FIT AP軟件的自動更新。

(2)接入點設(shè)備及控制器選擇

綜合以上需求分析，本文設(shè)備選型最終確定，項目所用無線接入點設(shè)備為WA2200-AG，無線控制器設(shè)備為WX61O3，設(shè)備參數(shù)如圖1、圖2。

在部署WLAN AP時，充分考慮到有線網(wǎng)的特性，采用零配置即用的技術(shù)，對現(xiàn)有有線接入網(wǎng)絡(luò)不做任何修改，僅僅修改DHCP服務(wù)器或者DNS服務(wù)器的配置，在無線控制器(AC)上進行配置，就可以提供WLAN接入服務(wù)，大大降低了網(wǎng)絡(luò)部署成本。需要更換設(shè)備時，新的AP設(shè)備接上以太網(wǎng)線就可以成功接入到網(wǎng)絡(luò)，不需要改變無線控制器上的配置，對安裝維護人員沒有技術(shù)背景要求，輕松實現(xiàn)設(shè)備維護更換和網(wǎng)絡(luò)擴容。

圖1 WA2200-AG無線接入點參數(shù)

圖2 WX6103無線控制器主要參數(shù)

2　校園無線局域網(wǎng)設(shè)計

根據(jù)以上需求分析，總體設(shè)計拓撲如圖3所示。

圖3 設(shè)計總體拓撲圖

方案部署模塊如圖4所示。

圖4 無線網(wǎng)功能部署模塊圖

下面重點介紹認證功能模塊和無線入侵檢查模塊。

(1)認證功能模塊

認證功能模塊要求支持802.1x認證方式。

目前的有線網(wǎng)絡(luò)使用的是基于802.1x的認證方式,使用中網(wǎng)絡(luò)也需要能夠與有線網(wǎng)絡(luò)相融合，無線控制器本身就能很好地支持基于802.1x的認證功能將無線用戶提交的賬戶信息直接與有線網(wǎng)絡(luò)RADIUS進行聯(lián)動，就可以保證全網(wǎng)用戶有線與無線的認證賬號統(tǒng)一。其認證過程如圖5。

圖5 認證過程

使用支持IEEE 802. 1 x認證技術(shù)的AP作為無線網(wǎng)絡(luò)的安全核心，并通過Radius服務(wù)器進行用戶身份驗證，有效地阻止未經(jīng)授權(quán)的用戶接入。通過無線交換機與SAM的聯(lián)動認證，不但可以使用原有的賬戶信息，對用戶完全透明，并且還可以利用無線控制器強大的擴展屬性功能來為無線用戶進行更多的控管。

(2)無線入侵檢查模塊

通過非法AP檢測功能，無線網(wǎng)絡(luò)可以自動監(jiān)測非法設(shè)備，并適時上報網(wǎng)管中心，同時對非法設(shè)備的攻擊可以進行自動防護。白名單功能確保只有名單上的無線用戶才能進行數(shù)據(jù)傳輸，其他用戶均被認為非法用戶，非法用戶的報文全部被丟棄，從而減少非法報文對無線網(wǎng)絡(luò)的沖擊。

另一方面，無線控制器還提供黑名單功能。用戶以硬件配置方式或者控制器實時檢測偵聽的方式來確定設(shè)備是否被加入黑名單，被加入黑名單中的設(shè)備發(fā)過來的報文全部在AP上丟棄，從而減少攻擊報文對無線網(wǎng)絡(luò)的沖擊。無線控制器還支持多種攻擊的檢測，例如DoS攻擊，F(xiàn)LOOD攻擊檢測。特別無線協(xié)議攻擊防御可以和動態(tài)黑名單配合使用，當控制器檢測到攻擊時，可以將發(fā)起攻擊的無線客戶端動態(tài)添加到動態(tài)黑名單中，從而保證系統(tǒng)不再被該設(shè)備攻擊。

在WLAN環(huán)境中，可以通過指定的規(guī)則過濾是否允許指定無線客戶端的報文通過，實現(xiàn)了對無線終端用戶的接入控制。

無線用戶接入控制通過維護三種類型的列表實現(xiàn)接入控制。

白名單列表:該列表包含允許接入的無線客戶端的MAC地址。如果使用了白名單，則只有白名單中指定的無線用戶可以接入到WLAN網(wǎng)絡(luò)中，其他的無線用戶的所有報文將被AP直接丟棄。

靜態(tài)黑名單列表:該列表包含拒絕接入的無線客戶端的MAC地址。

動態(tài)黑名單列表:當WLAN檢測到來自某一設(shè)備的非法攻擊時，可以選擇將該設(shè)備動態(tài)加入到黑名單中，禁止接收任何來自于該設(shè)備的報文，實現(xiàn)WLAN網(wǎng)絡(luò)的安全保護。

如圖6，有三個AP連接到AC。在AC上配置白名單列表和黑名單列表，白名單列表和黑名單列表將被發(fā)送到所有與之相連的無線接入點上(AP1、AP2和AP3)。假設(shè)Client 1的MAC地址存在于黑名單列表中，則Client 1不能與任何一個AP發(fā)生關(guān)聯(lián)。當Clientl的MAC地址存在于白名單列表中時，該客戶端可以和任何一個AP發(fā)生關(guān)聯(lián)。

圖6 無線用戶接入控制組網(wǎng)

本無線網(wǎng)部署方案，采取動態(tài)黑名單的控制器入侵檢測方式。

3　結(jié)束語

隨著無線局域網(wǎng)的迅速發(fā)展，其安全問題日益受到人們的關(guān)注。與有線網(wǎng)絡(luò)相比較，無線局域網(wǎng)的物理開放性使其難以在物理上采取控制措施，因此保護無線局域網(wǎng)的安全難度要遠大于保護有線網(wǎng)絡(luò)。人們已經(jīng)認識到必須專門為WLAN設(shè)計安全防護機制，以保護在WLAN中傳輸數(shù)據(jù)的機密性、完整性和不可否認性，同時對請求接入WLAN的用戶進行身份認證和訪問控制。

參考文獻：

[1]李勤,張浩軍，楊峰，等.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn)[J].計算機應(yīng)用,2005,(1):35-36.

[2]孫宏,楊義先.無線局域網(wǎng)協(xié)議802.1安全性分析[J].電子學報,2003,31(7):1098-1100.

[3]周正,譯.無線局域網(wǎng)安全務(wù)實[M〕.北京:人民郵電出版社,2006.

[4]劉乃安.無線局域網(wǎng)(WLAN)一原理、技術(shù)與應(yīng)用[M].西安: 西安電子科技大學出版社,2008.

[5]楊哲.無線網(wǎng)絡(luò)安全攻防實戰(zhàn)[M].北京：電力工業(yè)出版社，2008.

[6](美)王杰.計算機網(wǎng)絡(luò)安全的理論與實踐(英文版)[M].北京：高等教育出版社,2008.

[7]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京：機械工業(yè)出版社,2009.

[8]段水福，歷曉華，段煉，編著.無線局域網(wǎng)(wLAN)設(shè)計與實踐[M].杭州：浙江大學出版社,2007.

[9](美)斯托林斯著，何軍，等譯.無線通信與網(wǎng)絡(luò)(第2版)[M].北京：清華大學出版社,2005.

[10](美)莫利斯，著，田斌，等譯.無線通信[M].北京：電子工業(yè)出版社,2008.

通信技術(shù)

Design of Campus Wireless Local Area Network (LAN)

DONG Shu-jie

(Guomai Information College, Fujian University of Technology, Fuzhou 350014, China)

Abstract:In this article, based on practical application demand of construction of campus wireless LAN, design scheme of combining wireless LAN with wired network is proposed. The study focuses on security mechanism of campus wireless LAN based on IEEE802.11i. And security configuration method of integrating wired and wireless networks is discussed, through which different authentication ways are applied to different users to achieve good performance of both speed and safety.

Key words:campus network; wireless local area network (LAN); security

中圖分類號：TP311

文獻標識碼：A

文章編號：1009-3664(2015)02-0090-04

作者簡介：董述杰(1983-)，男，福建福州閩侯縣人，實驗員，助理工程師，研究方向為局域網(wǎng)管理和維護。

收稿日期：2014-12-15