問題的提出及解決方案

近幾年，隨著無(wú)線終端工具，比如自帶無(wú)線網(wǎng)卡的手提電腦、上網(wǎng)本、iPAD、iPhone以及智能手機(jī)在師生中日益普及，使得有線網(wǎng)絡(luò)的空間局限性日益凸顯。

學(xué)生對(duì)于無(wú)線網(wǎng)絡(luò)需求的增加，不僅給校園網(wǎng)絡(luò)無(wú)線網(wǎng)絡(luò)建設(shè)增加了壓力，同時(shí)也對(duì)校外提供手機(jī)無(wú)線網(wǎng)絡(luò)的運(yùn)營(yíng)商提出了更高的要求。

在校園內(nèi)，隨著3G手機(jī)等產(chǎn)品在學(xué)生中的普及應(yīng)用，提供出口帶寬的運(yùn)營(yíng)商校外手機(jī)基站，已明顯不能支持?jǐn)?shù)據(jù)量日益增多的學(xué)生用戶的3G應(yīng)用，運(yùn)營(yíng)商迫切需要在校園里建設(shè)無(wú)線局域網(wǎng)，再通過高速光纜傳輸數(shù)據(jù)，以緩解基站的數(shù)據(jù)擁塞。

無(wú)線AP和相應(yīng)的天線由運(yùn)營(yíng)商投入建設(shè)，利用校園現(xiàn)有的有線主干網(wǎng)，通過設(shè)置相互隔離的邏輯信道，既保證了運(yùn)營(yíng)商3G數(shù)據(jù)的暢通，也給學(xué)校師生提供了遍及校園的無(wú)線網(wǎng)絡(luò)信號(hào)，師生既可以通過運(yùn)營(yíng)商的賬號(hào)上網(wǎng)，也可以學(xué)校的賬號(hào)獲取因特網(wǎng)上的信息資源。

這種雙接入、雙認(rèn)證、雙運(yùn)營(yíng)的無(wú)線網(wǎng)絡(luò)模式，通過運(yùn)營(yíng)商和校園網(wǎng)之間的相互合作，極大地縮短了無(wú)線網(wǎng)絡(luò)工程的建設(shè)周期，也大大降低了雙方的運(yùn)營(yíng)成本，恰到好處地緩解了校方無(wú)線投入資金的不足又很好地滿足了校內(nèi)無(wú)線網(wǎng)絡(luò)的應(yīng)用要求。下面我們就分別從這種模式的設(shè)計(jì)原則及其實(shí)施方法進(jìn)行詳細(xì)介紹。

設(shè)計(jì)原則

需求驅(qū)動(dòng)原則

雙接入無(wú)線網(wǎng)絡(luò)存在兩類用戶，一類是運(yùn)營(yíng)商的用戶，一類是使用校園網(wǎng)的用戶。用戶在校園里的不同區(qū)域其無(wú)線信息點(diǎn)的個(gè)數(shù)和信息傳輸量是不同的，在自習(xí)室、圖書館主要使用手提電腦、上網(wǎng)本，而在校園的空曠區(qū)域則主要使用iPAD、iPhone、智能手機(jī)等。

所以在無(wú)線網(wǎng)絡(luò)設(shè)計(jì)前，要進(jìn)行詳細(xì)的需求調(diào)研，形成需求報(bào)告，再對(duì)需求報(bào)告進(jìn)行充分的評(píng)審和論證，根據(jù)需求報(bào)告設(shè)計(jì)出學(xué)校的無(wú)線網(wǎng)絡(luò)邏輯拓?fù)浣Y(jié)構(gòu)，同時(shí)需求報(bào)告也是設(shè)備選型、協(xié)議選擇、投入費(fèi)用估算、工期計(jì)劃等的依據(jù)。

責(zé)任共擔(dān)、利益共享原則

師生利用無(wú)線網(wǎng)絡(luò)收發(fā)數(shù)據(jù)，既要經(jīng)過運(yùn)營(yíng)商的無(wú)線AP、無(wú)線AC(訪問控制器)、無(wú)線路由器等設(shè)備，又要通過學(xué)校的匯聚交換機(jī)、有線主干網(wǎng)、核心交換機(jī)、核心路由器等設(shè)備。

只有雙方都能保證各自的設(shè)備正常運(yùn)行，整個(gè)無(wú)線鏈路才能穩(wěn)定可靠，在上網(wǎng)資費(fèi)上，既要保障運(yùn)營(yíng)商的既得利益，又不能損害學(xué)校和師生的利益。

經(jīng)濟(jì)適用性原則

無(wú)線AP安裝的位置和AP之間的距離，既要考慮能滿足師生正常的實(shí)際需要，又要防止出現(xiàn)重復(fù)建設(shè)和資源浪費(fèi)，在設(shè)備選型上盡可能考慮性價(jià)比高的國(guó)產(chǎn)設(shè)備，在充分考慮到運(yùn)行維護(hù)成本的基礎(chǔ)上，盡可能地降低初期的投入成本。

安全可靠性原則

學(xué)校所有的無(wú)線AP設(shè)備都通過有線與就近的交換機(jī)相連，任何一個(gè)AP出現(xiàn)故障，都不影響到其它AP的正常運(yùn)行，無(wú)線冗余結(jié)構(gòu)和備份無(wú)線設(shè)備也可以增強(qiáng)無(wú)線網(wǎng)絡(luò)的可靠性，無(wú)線AC(訪問控制器)設(shè)備和基于MAC等的認(rèn)證、加密技術(shù)可保障校園無(wú)線網(wǎng)絡(luò)的安全。

維護(hù)管理透明性原則

對(duì)于運(yùn)營(yíng)商的設(shè)備，運(yùn)營(yíng)商的管理員擁有管理設(shè)備所有的權(quán)利，而學(xué)校的管理員只有查看設(shè)備運(yùn)行狀況的權(quán)利;對(duì)于學(xué)校的設(shè)備只有學(xué)校的管理員才能進(jìn)行設(shè)置，而運(yùn)營(yíng)商管理員卻只能查看。在遵循雙方達(dá)成的管理協(xié)議的基礎(chǔ)上，任何一方對(duì)設(shè)備的正常管理維護(hù)都不會(huì)影響另一方的設(shè)備運(yùn)行。

設(shè)計(jì)與實(shí)施

胖AP架構(gòu)技術(shù)與瘦AP架構(gòu)技術(shù)的比較

胖AP架構(gòu)技術(shù)中的AP設(shè)備具有用戶數(shù)據(jù)加密認(rèn)證、Qos、網(wǎng)絡(luò)管理、漫游技術(shù)等高級(jí)無(wú)線網(wǎng)絡(luò)管理功能。胖AP架構(gòu)技術(shù)有網(wǎng)絡(luò)結(jié)構(gòu)靈活、建設(shè)成本不高、網(wǎng)絡(luò)穩(wěn)定性高等優(yōu)點(diǎn)，缺點(diǎn)是設(shè)備結(jié)構(gòu)復(fù)雜且難于集中管理、網(wǎng)絡(luò)安全性差、不能統(tǒng)一管理、配置和管理成本高、用戶體驗(yàn)差等。

瘦AP架構(gòu)技術(shù)中的AP功能簡(jiǎn)單且不能獨(dú)立工作，必須和AC(訪問控制器)結(jié)合才能使用。整個(gè)技術(shù)架構(gòu)由三個(gè)部分組成，分別是瘦AP、AC、無(wú)線網(wǎng)管平臺(tái)，瘦AP位于網(wǎng)絡(luò)接入層，由AC對(duì)其進(jìn)行統(tǒng)一配置，其作用是將無(wú)線用戶接入無(wú)線網(wǎng)絡(luò)中。

瘦AP架構(gòu)技術(shù)具有全局的統(tǒng)一管理、全局的統(tǒng)一安全、全局的統(tǒng)一認(rèn)證、:全網(wǎng)漫游等優(yōu)點(diǎn)，這種技術(shù)架構(gòu)的無(wú)線網(wǎng)絡(luò)管理功能都集中到了AC上，存在單點(diǎn)故障風(fēng)險(xiǎn)，但可以通過使用AC備份技術(shù)消除風(fēng)險(xiǎn)。在無(wú)線AP數(shù)量較多時(shí)，瘦AP架構(gòu)技術(shù)是設(shè)計(jì)無(wú)線局域網(wǎng)較好的選擇。

無(wú)線雙接入設(shè)計(jì)與AP部署

無(wú)線終端的接入過程是首先通過主動(dòng)掃描或被動(dòng)掃描技術(shù)來(lái)發(fā)現(xiàn)周圍存在的無(wú)線服務(wù)，然后與發(fā)射無(wú)線信號(hào)的AP建立無(wú)線連接，連接的建立過程是無(wú)線AP與無(wú)線終端成功地交換認(rèn)證請(qǐng)求、認(rèn)證響應(yīng)、關(guān)聯(lián)請(qǐng)求、關(guān)聯(lián)響應(yīng)等一系列信息幀，連接的維持也是通過定期發(fā)送或接收監(jiān)測(cè)幀，穩(wěn)定無(wú)線連接是無(wú)線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)那疤帷?/p>

針對(duì)“瘦AP+無(wú)線控制器”的網(wǎng)絡(luò)體系結(jié)構(gòu)，接入設(shè)計(jì)是通過AC對(duì)AP的USSID、射頻以及認(rèn)證方式進(jìn)行設(shè)計(jì)，由于AC能控制的有限數(shù)量的AP，為了避免用戶從一個(gè)AC控制的AP進(jìn)入到另一個(gè)AC控制的AP時(shí)因需要網(wǎng)絡(luò)重新連接、重新認(rèn)證而發(fā)生網(wǎng)絡(luò)中斷現(xiàn)象，還需要在AC之間設(shè)計(jì)漫游。

為AC控制的每一個(gè)AP設(shè)置兩個(gè)統(tǒng)一的SSID名稱，分別是ChinaNet和GDSSPT如圖一所示，ChinaNet為運(yùn)營(yíng)商提供無(wú)線服務(wù)，GDSSPT給學(xué)校用戶提供網(wǎng)絡(luò)服務(wù)，相同名稱的SSID屬于同一個(gè)VLAN。

AP射頻的最大功率、支持的最大用戶數(shù)、天線類型以及現(xiàn)場(chǎng)的可視情況等是AP部署方案的主要依據(jù)，AP部署是根據(jù)AP信號(hào)的覆蓋范圍和用戶對(duì)網(wǎng)路的需求來(lái)確定AP設(shè)備安裝的位置以及AP之間的距離。

無(wú)線雙認(rèn)證設(shè)計(jì)與實(shí)施

依據(jù)網(wǎng)絡(luò)的體系結(jié)構(gòu)，無(wú)線網(wǎng)絡(luò)的認(rèn)證可分為兩大類，一類是無(wú)線鏈路認(rèn)證，另一類是用戶接入認(rèn)證。無(wú)線鏈路認(rèn)證是無(wú)線終端與無(wú)線AP建立連接時(shí)進(jìn)行的認(rèn)證，認(rèn)證的結(jié)果是成功建立連接或不能建立連接，鏈路認(rèn)證又根據(jù)是否使用密鑰可分為開放式認(rèn)證和共享密鑰認(rèn)證，開放式認(rèn)證就是AP只要收到請(qǐng)求就同意建立連接，而共享密鑰認(rèn)證則是終端和AP必須使用相同的密鑰方可建立連接。

用戶接入認(rèn)證是成功建立連接的基礎(chǔ)上，網(wǎng)絡(luò)控制設(shè)備對(duì)用戶是否有權(quán)利訪問網(wǎng)絡(luò)進(jìn)行認(rèn)證，一般可分為預(yù)共享密鑰認(rèn)證(PSK)、802.1X認(rèn)證、MAC地址認(rèn)證等三種認(rèn)證方式，也可以在有線網(wǎng)絡(luò)中的認(rèn)證系統(tǒng)，對(duì)來(lái)自無(wú)線網(wǎng)絡(luò)的信息出口時(shí)進(jìn)行WEB認(rèn)證。

利用有線網(wǎng)絡(luò)中的匯聚層和核心層設(shè)備的路由功能，將不同類得用戶數(shù)據(jù)信息路由到不同的認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證，以實(shí)現(xiàn)網(wǎng)絡(luò)的雙認(rèn)證功能，如圖所示。VLAN1的數(shù)據(jù)被路由到本地服務(wù)器進(jìn)行出口的WEB認(rèn)證，WEB認(rèn)證服務(wù)器設(shè)在校園網(wǎng)的出口，學(xué)校用戶只有使用正確的賬號(hào)和密碼才能訪問外部資源，而校內(nèi)的資源不需要認(rèn)證就可以使用。

VLAN2的數(shù)據(jù)信息被路由到運(yùn)營(yíng)商的遠(yuǎn)程RADIUS認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，要求無(wú)線客戶端得SSID網(wǎng)絡(luò)使用遠(yuǎn)程MAC地址認(rèn)證方式接入因特網(wǎng)。RADIUS服務(wù)器擔(dān)當(dāng)認(rèn)證、授權(quán)、計(jì)費(fèi)服務(wù)的職責(zé)。

雙運(yùn)營(yíng)安全策略

目前無(wú)線設(shè)備一般支持三種加密技術(shù)策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是對(duì)無(wú)線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密，希望達(dá)到有線網(wǎng)絡(luò)同樣的安全效果，根據(jù)密鑰產(chǎn)生的方式，又可分為靜態(tài)WEP加密和動(dòng)態(tài)WEP加密。

靜態(tài)WEP加密技術(shù)是使用RC4串流技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，而動(dòng)態(tài)WEP加密則必須與802.1X認(rèn)證方式綁定使用，并且RIDIUS服務(wù)器定期強(qiáng)制客戶端重新驗(yàn)證并生成新的密鑰。

TKIP加密是在802.1X/EAP構(gòu)架下，認(rèn)證服務(wù)器接受了用戶身份后，使用802.1X產(chǎn)生一個(gè)唯一的主密鑰來(lái)處理會(huì)話，并通過安全通道分發(fā)到AP和客戶端，形成一個(gè)密鑰架構(gòu)管理系統(tǒng)，通過主密鑰可動(dòng)態(tài)生成一個(gè)唯一的數(shù)據(jù)加密密鑰，對(duì)無(wú)線網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行加密。

CCMP加密是基于AES加密算法，結(jié)合了用于加密的CTR和用于認(rèn)證、完整性的加密塊鏈接消息認(rèn)證碼，給無(wú)線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)提供加密、認(rèn)證、完整性保護(hù)功能。CMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。

CCMP包含了一套動(dòng)態(tài)密鑰協(xié)商和管理方法，每一個(gè)無(wú)線用戶都會(huì)動(dòng)態(tài)的協(xié)商一套密鑰，而且密鑰可以定時(shí)進(jìn)行更新，進(jìn)一步提供了CCMP加密機(jī)制的安全性。在加密處理過程中，CCMP也會(huì)使用48位的PN(Packet Number)機(jī)制，保證每一個(gè)加密報(bào)文都會(huì)是用不同的PN，在一定程度上提高了無(wú)線網(wǎng)絡(luò)的安全性。