海南大学：无线校园网设计与管理

http://www.edu.cn 　 2014-08-12 中国教育网络作者：李庆刚李文化李迁王慧妹

我国首次开展全国性教育信息化... 12-22　　CERNET第二十一届学术年会 11-24　　

　　无线网络认证方式及整网安全
　　鉴于海南大学无线网络规模较大，在网络认证计费管理上将使用学校原有部署的计费管理系统，连同无线一起进行认证计费管理。为了方便用户使用，我们采用同一建筑楼体或相同SSID内漫游的方案。当用户在一个楼栋的不同AP之内进行切换时，此时的主要工作由无线交换机进行统一调度，当用户在相同或者不同的交换机下不同的端口下的不同AP的覆盖范围时，启用AP漫游功能，在同一个区域内或相同的SSID下，能够满足用户不会再次触发认证。
　　海南大学校园无线局域网络主要服务于学校的学生与教师，也是规模的公众型网络，同时由于学生出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑的问题，安全方式主要侧重几个方面：用户安全、网络安全，而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的账号、密码，而对于学校学生用户来，账号信息都是一个实名原则，与学生的学籍信息进行关联的，这样在校园无线网络中着重考虑使用无线网络的用户信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题。无线用户采用802.1X认证方式，学生使用学号，教职工使用工号进行认证，这样可以实现实名注册上网，网关计费系统作为最后的鉴权点。
　　无线网络的管理
　　基于标准的SNMP协议实现对设备的管理，专门的无线局域网管理软件Quidview无线组件可实现对WLAN所有网络设备的管理，也可实现对无线控制器AC的管理。无线控制器可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件可以实现配置管理整个WLAN无线网络，其具备以下特点：
　　1.零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到无线控制器上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。

图1 海南大学校园无线网络采用无线控制器+ 瘦AP 模式

　　2.防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。
　　3.支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。无线控制器与AP之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到无线控制器实现注册。
　　4.自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，无线控制器会自动调大相邻AP的功率来弥补信号盲区。
　　5.提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网安全性的增强，实现了用户无缝移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。
　　（作者单位为海南大学网络与教育技术中心）

首页上一页 1 2

页面功能　【打印】【关闭】【我有话说】