無線校園網的設計與安全策略

馬秀琴，李桂青

（曲阜師范大學，山東 濟寧 272000）

0 引 言

目前，無線校園網已大范圍普及，是學校網絡實力的體現。由于無線校園網的安全能力薄弱，導致了無法挽回的損失，嚴重影響了全校師生的工作和學習。高校無線校園網的安全問題已成為重點問題。網絡信息安全是多層次、多層面的網絡安全，全球國家已應用各種技術來保障網絡安全。

1 無線校園網絡設計

無線校園網的網絡基本架構設計和網絡安全設計實際上是不可分開的，設計基本架構時，要考慮各方面的安全。網絡安全系統的設計需先進的技術和可靠的網絡架構來達成。本文模型采用了“垂直分層，水平分區”的設計理念，并模仿前沿的無線校園網設計理念，以確定學校所設計網絡的可行性和可擴展性[1]。

（1）垂直分層

依據無線校園網在實際生活中的應用，可將無線校園網分成三個等級，從高到低依次為核心應用層、防護隔離層及接入層。

（2）水平分區

無線校園網的安全區是安全風險、防護leavel及訪問需求的的集合，整體都在一個模塊。水平分區隔離，可將運營風險和被攻擊危險進行有效分散。在運營風險的隔離區中，可將風險把控在最小區域內，利于系統的整體運行。

無線校園網的模塊組成有內部辦公網絡、師生用戶終端及局域網等，可根據實際需要進行增添或者改造，無線校園網的基站整體網絡拓撲如圖1所示[2]。

由圖1可知，無線校園網整體拓撲分為五大區域，即內部核心區域、內部網絡接入區、因特網區及服務器群等。

2 校園網功能詳細設計

2.1 校園無線網中ACL技術應用與實現

該校園網通過使用VLAN技術結合ACL技術來保證網絡的安全性和可靠性。設計中，對一些特殊無線功能區域進行了一定流量控制[3]。結合無線網特點，拒絕無線用戶訪問FTP服務器，可訪問WEB服務器，代碼如下：

Core1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq ftp

Core1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq 20

//定義擴展訪問控制列表110，禁止vlan10的無線網絡下的用戶通過無線網訪問ftp服務器20的端口

同樣的方法定義擴展訪問控制列表120，禁止vlan20的無線網絡下的用戶通過無線網訪問ftp服務器20的端口，定義擴展訪問控制列表130，禁止vlan30的無線網絡下的用戶通過無線網訪問ftp服務器的20的端口。

2.2 無線校園網NAT技術

圖1 校園網整體網絡拓撲

邊界區域是連接外網的出接口區域。所有出口路由器其實是在NAT上應用和配置的[4]。內網流量出入公網時，源地址會被轉換，NAT技術結合ACL技術能對源地址進入訪問控制，但是考慮內網的安全問題，將其與外界隔絕，代碼如下：

Router(config)#access-list 10 permit any //允許其他網段地址的數據包通過

Router(config)#interface FastEthernet0/0 //進入接口并配置ip地址

Router(config-if)#ip address 192.168.129.2 255.255.255.0

Router(config-if)#ip nat inside //指定NAT的內部轉換接口

2.3 校園無線網中OSPF技術應用

該校園網的設計選擇OSPF路由協議。OSPF是國際標準化的IGP路由協議，非私有路由協議，因此校園網使用任何廠商的設備都允許OSPF路由協議，不存在協議不兼容的問題。后期網絡整改時，使用其他廠商的設備，無需對整體網絡進行改造和設備更換。OSPF路由協議應用到該校園網的三層設備，結合路由重分布等技術實現全網互通。

3 結 論

該無線校園網的整體架構設計是圍繞著典型的二層網絡拓撲結構進行的。核心區域架構設計也實現了網絡冗余，增強了網絡健壯性，避免了網絡單一節點故障。經模擬測試發現，該網絡規劃和設計已滿足一般高校校園網的相關業務需求，不足之處在于模擬器的功能有限，不能模擬無線控制器等無線主要控制設備，設計測試中，也不能測試統一控制管理。