基于Fit模式的無線校園網安全策略設計與實現

植雅芳

（廣東工商職業學院 廣東 526000）

0 引言

現階段的無線網絡拓撲方式很多，各種智能終端和智能操作系統也基本普及了在校師生，根據校園無線局域網的組網構成，有無中心分布點對點模式，有中心的基礎結構模式，無線網絡橋接模式等，通過組網的拓撲架構規劃，可以有效整合不同終端的訪問需求，無線接入設備一般有瘦AP（即集中管理模式，簡稱Fit）和胖AP（即獨立工作模式，簡稱Fat）兩種工作模式，其中胖AP需要獨立管理和配置每一個AP設備，而瘦AP可以集中管理，更適合無線校園網安全策略設計。

1 Fit AP與Fat AP比較

傳統的無線網絡拓撲一般都是采用Fat AP模式，但是隨著國民無線網絡應用需求的增長，此種架構模式存在設備單一、無法集中管理等越來越多的缺點，特別是當網絡存在問題時，每一個單獨的AP都需要進行重置或修改。

Fit AP模式是區別于Fat AP模式的無線配置，瘦AP利用已有的有線局域網，結合無線 AP、無線適配器、CAMS服務器、IMAC網絡管理系統等各種無線鏈接周遭設備組成。瘦AP架構方案包含：AC（無線控制器）、瘦AP、無線網絡傳感器、相關服務器與網絡管理系統等相關設備。有線網絡結合瘦 AP架構設備，AC作為無線網絡的核心。該網絡有便于統一管理配置和升級，支持移動信息安全等功能。Fat AP與Fit AP兩種模式在網絡管理、網絡安全、組網規模以及整體性能等方面的性能，無線網絡的構架工作模式宜選擇各項性能更為優秀的Fit AP模式。

校園無線網絡地域的覆蓋面廣，用戶集中而多，瀏覽與下載的信息量集中而多，主要是因為師生對網絡信息的需求多為教育教學文檔下載、休閑網絡娛樂、網絡視頻點播等等大流量需求的內容，基于師生進行集中教育教學活動的特點，高校師生對網絡的使用集中密集且流量大。為此高校的無線網絡在配置上采用使用區配置高密度無線接入點，隨著高校網絡頻繁使用，網絡故障頻發，這就需要頻繁維修與調整高度集中的無線網絡接入點，這就使得傳統的無線網絡配置維修的成本增高，相反，高校配置無線網絡環境時，選瘦 AP模式優于胖AP組網模式，此種模式克服了Fat AP在大范圍覆蓋無線網絡時由覆蓋范圍廣造成的網絡升級調整工作量大成本高的缺點，它能在高校的一定范圍內（基本范圍設定一般是兩三層樓這樣的空間）的立體空間實現實時無縫漫游，另外可以輕易的對無線網絡進行升級、維護、調整，并且可以兼容多個IEEE802.11x標準。除此之外，Fit AP網絡各個節點的耦合性不高，對于任意節點的通斷，不會影響周遭節點的使用，斷開的節點回路會被再次重新尋優后組成新的回路，整個無線網絡不受單個節點通斷影響，整個網絡能正常工作。

2 校園無線網絡整體設計

針對高等院校地形，宿舍、教學樓、辦公樓等建筑物的規劃設計，宜采用分層設計進行無線網絡的拓撲布局。校園無線拓撲分為三層：無線用戶接入層、路由器網關層（無線匯聚層）、校園核心層（骨干網）。校園無線網絡的第一層是無線用戶接入層，使用者利用無線設備鏈接到附近的瘦AP，這個部分結合室內天線WA2620、室外智能型大功率無線基站802.11n對室內外覆蓋配置；校園無線網絡的第二層為路由器網關層（無線匯聚層），這個部分采用控制器連入各個路由器網關層交換機，無線匯聚層結合了有線與無線網絡，瘦AP受路由器網關層交換機的AC控制，間接的連入校園核心網中；校園無線網絡的第三層為校園核心層（骨干網），管理層通過iMac網絡軟件，管理整個校園無線網絡，從而實現校園內網與校園外網的交流。

無線網絡安全問題是網絡通信中使用者最關心的，這里分析比較了安全技術與認證方案兩方面，根據校園網實際需求，采用基于Fit AP模式的PSN安全服務的配置和實驗，并結合實際測試情況來實現無線校園網絡。RSN和ESS聯合配置主要經過四個步驟的配置，分別是將 RSN方式設置為服務模板，將PSK方式設置為WLAN-ESS口的端口安全方式，將全局端口安全設置為自動啟動，將模板綁定到AP的Radio上。

3 校園無線網絡對認證技術需求分析

校園無線網絡是半開放的，即對在校師生是可以通過安全認證隨時訪問的，經過安全訪問認證后無線網和用戶就有一個會話密鑰，用戶可以是兩個用戶也可以是多個，這個密鑰被用來保護后續的通信安全，認證協議用于保證用戶的身份，那么當用戶提供自身身份信息時，認證經過某種策略分析這個身份的正誤。無線用戶在使用無線局域網時，只有通過了身份認證的用戶才能獲得授權，擁有相關操作權限，訪問授權權限內的無線網絡資源。

各種各樣的認證方式對應不同的使用者身份流程驗證，但是身份認證中所實現的功能是相同的。高校優秀的認證方法有相互認證、自我保護、認證用戶、訪問接入點、快速有效、低維護成本等，這些方法具有簡單易操作的特點。

當代無線網中主要采用的認證方式有：PPPoE認證方式、WEB+Prote1認證方式、IEEE802.1x認證方式。由于在校園內無線終端種類雜、AP數量多，同時使用的師生接入端也多樣，相應的安全要求也不斷增高。因此簡單的WEP或WPA-PSK并不能符合校園網的無線網絡要求，經過實驗測試，IEEE802.1x的接入點將 802.1x用于 PSN安全服務方面，聯合 EAP與校內Radius服務器，網絡管理員可在服務器上建立無線網絡用戶認證信息數據庫以此來提高認證安全系數。

4 Fit AP模式下802.1x無線認證和CAMS配合的實現

Fit AP模式下，802.1x無線認證和CAMS的結合，可以有效的控制非法用戶接入網絡層。不僅保證安全，還節省帶寬資源。如圖1所示為802.1x遠程認證組網圖，配置分四步，首先，創建802.1x認證時，使用RADIUS服務器方案；當創建使用域時，域中使用RADIUS服務器方案作為AAA的認證方案；接下來在系統視圖模式下啟動全體802.1x認證模式；最后在需要認證的Port下采用802.1x特性，通過實驗測試證明設計方案能夠符合預期，也保障校園網師生在使用時的安全性。

圖1 802.1x遠程認證組網圖

5 總結與展望

通過采用Fit模式，配合無線AC和Fit AP架構進行校園網部署，將AP功能簡化，僅作為數據收發設備，將密集的校園無線網絡配置和安全處理策略移植到集中的無線AC中，最大化優化AP的管理。

在構建基于 Fit模式的無線校園網安全策略設計的新方案中，重點研究了基于IEEE802.11的RSN安全服務機制和802.1X認證技術，旨在建立便于安全管理、安全認證、高效可靠的便于管理的校園無線網絡，未來的研究重點是引入軟件定義網絡（SDN），采用新的網絡架構，更加集中處理與控制，同時保障校園無線網絡的安全。

[1]楊曉紅.高校網絡安全策略及風險評估[J].計算機光盤軟件與應用.2015.

[2]劉長琦.校園 WLAN 安全防范探討[J].網絡安全技術與應用.2015.

[3]花麗.高校校園網安全需求及安全方案設計[J].電子世界.2014.

[4]王宇.無線校園網絡安全與應對策略[J].計算機與網絡.2014.

[5]程凱,董雪.無線校園網的安全策略淺析[J].中州大學學報.2012.