基于Fit模式的无线校园网安全策略设计与实现

植雅芳

（广东工商职业学院 广东 526000）

0 引言

现阶段的无线网络拓扑方式很多，各种智能终端和智能操作系统也基本普及了在校师生，根据校园无线局域网的组网构成，有无中心分布点对点模式，有中心的基础结构模式，无线网络桥接模式等，通过组网的拓扑架构规划，可以有效整合不同终端的访问需求，无线接入设备一般有瘦AP（即集中管理模式，简称Fit）和胖AP（即独立工作模式，简称Fat）两种工作模式，其中胖AP需要独立管理和配置每一个AP设备，而瘦AP可以集中管理，更适合无线校园网安全策略设计。

1 Fit AP与Fat AP比较

传统的无线网络拓扑一般都是采用Fat AP模式，但是随着国民无线网络应用需求的增长，此种架构模式存在设备单一、无法集中管理等越来越多的缺点，特别是当网络存在问题时，每一个单独的AP都需要进行重置或修改。

Fit AP模式是区别于Fat AP模式的无线配置，瘦AP利用已有的有线局域网，结合无线 AP、无线适配器、CAMS服务器、IMAC网络管理系统等各种无线链接周遭设备组成。瘦AP架构方案包含：AC（无线控制器）、瘦AP、无线网络传感器、相关服务器与网络管理系统等相关设备。有线网络结合瘦 AP架构设备，AC作为无线网络的核心。该网络有便于统一管理配置和升级，支持移动信息安全等功能。Fat AP与Fit AP两种模式在网络管理、网络安全、组网规模以及整体性能等方面的性能，无线网络的构架工作模式宜选择各项性能更为优秀的Fit AP模式。

校园无线网络地域的覆盖面广，用户集中而多，浏览与下载的信息量集中而多，主要是因为师生对网络信息的需求多为教育教学文档下载、休闲网络娱乐、网络视频点播等等大流量需求的内容，基于师生进行集中教育教学活动的特点，高校师生对网络的使用集中密集且流量大。为此高校的无线网络在配置上采用使用区配置高密度无线接入点，随着高校网络频繁使用，网络故障频发，这就需要频繁维修与调整高度集中的无线网络接入点，这就使得传统的无线网络配置维修的成本增高，相反，高校配置无线网络环境时，选瘦 AP模式优于胖AP组网模式，此种模式克服了Fat AP在大范围覆盖无线网络时由覆盖范围广造成的网络升级调整工作量大成本高的缺点，它能在高校的一定范围内（基本范围设定一般是两三层楼这样的空间）的立体空间实现实时无缝漫游，另外可以轻易的对无线网络进行升级、维护、调整，并且可以兼容多个IEEE802.11x标准。除此之外，Fit AP网络各个节点的耦合性不高，对于任意节点的通断，不会影响周遭节点的使用，断开的节点回路会被再次重新寻优后组成新的回路，整个无线网络不受单个节点通断影响，整个网络能正常工作。

2 校园无线网络整体设计

针对高等院校地形，宿舍、教学楼、办公楼等建筑物的规划设计，宜采用分层设计进行无线网络的拓扑布局。校园无线拓扑分为三层：无线用户接入层、路由器网关层（无线汇聚层）、校园核心层（骨干网）。校园无线网络的第一层是无线用户接入层，使用者利用无线设备链接到附近的瘦AP，这个部分结合室内天线WA2620、室外智能型大功率无线基站802.11n对室内外覆盖配置；校园无线网络的第二层为路由器网关层（无线汇聚层），这个部分采用控制器连入各个路由器网关层交换机，无线汇聚层结合了有线与无线网络，瘦AP受路由器网关层交换机的AC控制，间接的连入校园核心网中；校园无线网络的第三层为校园核心层（骨干网），管理层通过iMac网络软件，管理整个校园无线网络，从而实现校园内网与校园外网的交流。

无线网络安全问题是网络通信中使用者最关心的，这里分析比较了安全技术与认证方案两方面，根据校园网实际需求，采用基于Fit AP模式的PSN安全服务的配置和实验，并结合实际测试情况来实现无线校园网络。RSN和ESS联合配置主要经过四个步骤的配置，分别是将 RSN方式设置为服务模板，将PSK方式设置为WLAN-ESS口的端口安全方式，将全局端口安全设置为自动启动，将模板绑定到AP的Radio上。

3 校园无线网络对认证技术需求分析

校园无线网络是半开放的，即对在校师生是可以通过安全认证随时访问的，经过安全访问认证后无线网和用户就有一个会话密钥，用户可以是两个用户也可以是多个，这个密钥被用来保护后续的通信安全，认证协议用于保证用户的身份，那么当用户提供自身身份信息时，认证经过某种策略分析这个身份的正误。无线用户在使用无线局域网时，只有通过了身份认证的用户才能获得授权，拥有相关操作权限，访问授权权限内的无线网络资源。

各种各样的认证方式对应不同的使用者身份流程验证，但是身份认证中所实现的功能是相同的。高校优秀的认证方法有相互认证、自我保护、认证用户、访问接入点、快速有效、低维护成本等，这些方法具有简单易操作的特点。

当代无线网中主要采用的认证方式有：PPPoE认证方式、WEB+Prote1认证方式、IEEE802.1x认证方式。由于在校园内无线终端种类杂、AP数量多，同时使用的师生接入端也多样，相应的安全要求也不断增高。因此简单的WEP或WPA-PSK并不能符合校园网的无线网络要求，经过实验测试，IEEE802.1x的接入点将 802.1x用于 PSN安全服务方面，联合 EAP与校内Radius服务器，网络管理员可在服务器上建立无线网络用户认证信息数据库以此来提高认证安全系数。

4 Fit AP模式下802.1x无线认证和CAMS配合的实现

Fit AP模式下，802.1x无线认证和CAMS的结合，可以有效的控制非法用户接入网络层。不仅保证安全，还节省带宽资源。如图1所示为802.1x远程认证组网图，配置分四步，首先，创建802.1x认证时，使用RADIUS服务器方案；当创建使用域时，域中使用RADIUS服务器方案作为AAA的认证方案；接下来在系统视图模式下启动全体802.1x认证模式；最后在需要认证的Port下采用802.1x特性，通过实验测试证明设计方案能够符合预期，也保障校园网师生在使用时的安全性。

图1 802.1x远程认证组网图

5 总结与展望

通过采用Fit模式，配合无线AC和Fit AP架构进行校园网部署，将AP功能简化，仅作为数据收发设备，将密集的校园无线网络配置和安全处理策略移植到集中的无线AC中，最大化优化AP的管理。

在构建基于 Fit模式的无线校园网安全策略设计的新方案中，重点研究了基于IEEE802.11的RSN安全服务机制和802.1X认证技术，旨在建立便于安全管理、安全认证、高效可靠的便于管理的校园无线网络，未来的研究重点是引入软件定义网络（SDN），采用新的网络架构，更加集中处理与控制，同时保障校园无线网络的安全。

[1]杨晓红.高校网络安全策略及风险评估[J].计算机光盘软件与应用.2015.

[2]刘长琦.校园 WLAN 安全防范探讨[J].网络安全技术与应用.2015.

[3]花丽.高校校园网安全需求及安全方案设计[J].电子世界.2014.

[4]王宇.无线校园网络安全与应对策略[J].计算机与网络.2014.

[5]程凯,董雪.无线校园网的安全策略浅析[J].中州大学学报.2012.