校园网无线双接入、双认证、双运营设计与实施
扫描二维码
随时随地手机看文章
问题的提出及解决方案
近几年,随着无线终端工具,比如自带无线网卡的手提电脑、上网本、iPAD、iPhone以及智能手机在师生中日益普及,使得有线网络的空间局限性日益凸显。
学生对于无线网络需求的增加,不仅给校园网络无线网络建设增加了压力,同时也对校外提供手机无线网络的运营商提出了更高的要求。
在校园内,随着3G手机等产品在学生中的普及应用,提供出口带宽的运营商校外手机基站,已明显不能支持数据量日益增多的学生用户的3G应用,运营商迫切需要在校园里建设无线局域网,再通过高速光缆传输数据,以缓解基站的数据拥塞。
无线AP和相应的天线由运营商投入建设,利用校园现有的有线主干网,通过设置相互隔离的逻辑信道,既保证了运营商3G数据的畅通,也给学校师生提供了遍及校园的无线网络信号,师生既可以通过运营商的账号上网,也可以学校的账号获取因特网上的信息资源。
这种双接入、双认证、双运营的无线网络模式,通过运营商和校园网之间的相互合作,极大地缩短了无线网络工程的建设周期,也大大降低了双方的运营成本,恰到好处地缓解了校方无线投入资金的不足又很好地满足了校内无线网络的应用要求。下面我们就分别从这种模式的设计原则及其实施方法进行详细介绍。
设计原则
需求驱动原则
双接入无线网络存在两类用户,一类是运营商的用户,一类是使用校园网的用户。用户在校园里的不同区域其无线信息点的个数和信息传输量是不同的,在自习室、图书馆主要使用手提电脑、上网本,而在校园的空旷区域则主要使用iPAD、iPhone、智能手机等。
所以在无线网络设计前,要进行详细的需求调研,形成需求报告,再对需求报告进行充分的评审和论证,根据需求报告设计出学校的无线网络逻辑拓扑结构,同时需求报告也是设备选型、协议选择、投入费用估算、工期计划等的依据。
责任共担、利益共享原则
师生利用无线网络收发数据,既要经过运营商的无线AP、无线AC(访问控制器)、无线路由器等设备,又要通过学校的汇聚交换机、有线主干网、核心交换机、核心路由器等设备。
只有双方都能保证各自的设备正常运行,整个无线链路才能稳定可靠,在上网资费上,既要保障运营商的既得利益,又不能损害学校和师生的利益。
经济适用性原则
无线AP安装的位置和AP之间的距离,既要考虑能满足师生正常的实际需要,又要防止出现重复建设和资源浪费,在设备选型上尽可能考虑性价比高的国产设备,在充分考虑到运行维护成本的基础上,尽可能地降低初期的投入成本。
安全可靠性原则
学校所有的无线AP设备都通过有线与就近的交换机相连,任何一个AP出现故障,都不影响到其它AP的正常运行,无线冗余结构和备份无线设备也可以增强无线网络的可靠性,无线AC(访问控制器)设备和基于MAC等的认证、加密技术可保障校园无线网络的安全。
维护管理透明性原则
对于运营商的设备,运营商的管理员拥有管理设备所有的权利,而学校的管理员只有查看设备运行状况的权利;对于学校的设备只有学校的管理员才能进行设置,而运营商管理员却只能查看。在遵循双方达成的管理协议的基础上,任何一方对设备的正常管理维护都不会影响另一方的设备运行。
设计与实施
胖AP架构技术与瘦AP架构技术的比较
胖AP架构技术中的AP设备具有用户数据加密认证、Qos、网络管理、漫游技术等高级无线网络管理功能。胖AP架构技术有网络结构灵活、建设成本不高、网络稳定性高等优点,缺点是设备结构复杂且难于集中管理、网络安全性差、不能统一管理、配置和管理成本高、用户体验差等。
瘦AP架构技术中的AP功能简单且不能独立工作,必须和AC(访问控制器)结合才能使用。整个技术架构由三个部分组成,分别是瘦AP、AC、无线网管平台,瘦AP位于网络接入层,由AC对其进行统一配置,其作用是将无线用户接入无线网络中。
瘦AP架构技术具有全局的统一管理、全局的统一安全、全局的统一认证、:全网漫游等优点,这种技术架构的无线网络管理功能都集中到了AC上,存在单点故障风险,但可以通过使用AC备份技术消除风险。在无线AP数量较多时,瘦AP架构技术是设计无线局域网较好的选择。
无线双接入设计与AP部署
无线终端的接入过程是首先通过主动扫描或被动扫描技术来发现周围存在的无线服务,然后与发射无线信号的AP建立无线连接,连接的建立过程是无线AP与无线终端成功地交换认证请求、认证响应、关联请求、关联响应等一系列信息帧,连接的维持也是通过定期发送或接收监测帧,稳定无线连接是无线网络进行数据传输的前提。
针对“瘦AP+无线控制器”的网络体系结构,接入设计是通过AC对AP的USSID、射频以及认证方式进行设计,由于AC能控制的有限数量的AP,为了避免用户从一个AC控制的AP进入到另一个AC控制的AP时因需要网络重新连接、重新认证而发生网络中断现象,还需要在AC之间设计漫游。
为AC控制的每一个AP设置两个统一的SSID名称,分别是ChinaNet和GDSSPT如图一所示,ChinaNet为运营商提供无线服务,GDSSPT给学校用户提供网络服务,相同名称的SSID属于同一个VLAN。
AP射频的最大功率、支持的最大用户数、天线类型以及现场的可视情况等是AP部署方案的主要依据,AP部署是根据AP信号的覆盖范围和用户对网路的需求来确定AP设备安装的位置以及AP之间的距离。
无线双认证设计与实施
依据网络的体系结构,无线网络的认证可分为两大类,一类是无线链路认证,另一类是用户接入认证。无线链路认证是无线终端与无线AP建立连接时进行的认证,认证的结果是成功建立连接或不能建立连接,链路认证又根据是否使用密钥可分为开放式认证和共享密钥认证,开放式认证就是AP只要收到请求就同意建立连接,而共享密钥认证则是终端和AP必须使用相同的密钥方可建立连接。
用户接入认证是成功建立连接的基础上,网络控制设备对用户是否有权利访问网络进行认证,一般可分为预共享密钥认证(PSK)、802.1X认证、MAC地址认证等三种认证方式,也可以在有线网络中的认证系统,对来自无线网络的信息出口时进行WEB认证。
利用有线网络中的汇聚层和核心层设备的路由功能,将不同类得用户数据信息路由到不同的认证系统进行用户认证,以实现网络的双认证功能,如图所示。VLAN1的数据被路由到本地服务器进行出口的WEB认证,WEB认证服务器设在校园网的出口,学校用户只有使用正确的账号和密码才能访问外部资源,而校内的资源不需要认证就可以使用。
VLAN2的数据信息被路由到运营商的远程RADIUS认证系统进行认证,要求无线客户端得SSID网络使用远程MAC地址认证方式接入因特网。RADIUS服务器担当认证、授权、计费服务的职责。
双运营安全策略
目前无线设备一般支持三种加密技术策略:WEP加密、TKIP加密、CCMP加密。WEP加密的目的是对无线网络上传输的数据进行加密,希望达到有线网络同样的安全效果,根据密钥产生的方式,又可分为静态WEP加密和动态WEP加密。
静态WEP加密技术是使用RC4串流技术对数据进行加密,而动态WEP加密则必须与802.1X认证方式绑定使用,并且RIDIUS服务器定期强制客户端重新验证并生成新的密钥。
TKIP加密是在802.1X/EAP构架下,认证服务器接受了用户身份后,使用802.1X产生一个唯一的主密钥来处理会话,并通过安全通道分发到AP和客户端,形成一个密钥架构管理系统,通过主密钥可动态生成一个唯一的数据加密密钥,对无线网络上的数据进行加密。
CCMP加密是基于AES加密算法,结合了用于加密的CTR和用于认证、完整性的加密块链接消息认证码,给无线网络上传输的数据提供加密、认证、完整性保护功能。CMP中的AES块加密算法使用128位的密钥和128位的块大小。
CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高了无线网络的安全性。