校园无线网络构建方案

校园无线网络构建方案

无线接入可以迅速、方便地部署到任何环境中。如果在校园中应用，那么在每次需求发生变化时，可以为教室和实验室重新布线节省所需要的时间和成本。我们可以用一种安全、经济的方式将网络连接拓展到整个校园，使学生、教师和管理人员无论在室内还是室外都可以接入网络，创建移动的无线教室。

对于无线局域网来说，一方面要考虑无线网络的覆盖问题，另一方面也要考虑无线网络安全对网络管理提出的挑战。

校园无线网络的用户身份认证

SSID （服务集合标识符）是Service Set Identifier的缩写，也称为无线网络名称。是一种独一无二的标识符，用来区分不同的无线网络。为了满足学生、教师与管理者对网络的不同需求，在校园无线网络环境中，可以按照使用对象的不同，建立不同权限的SSID，并使用VLAN与访问控制列表结合的方式实现对SSID权限的划分。为在校学生建立SSID：Student，满足访问校园网和教育网的基本需求；为教师和学校管理者建立SSID：Teacher，满足移动办公和访问网络的需求。为便于日后的用户管理工作，每班同学可以公用同一无线帐号登陆网络，而为每位教师建立不同的无线帐号。

目前适用于无线网络的有EAP-TLS、PEAP和LEAP三种类型：

EAP-TLS （传输层安全）提供为客户端和网络提供基于证书及相互的验证。它依赖客户断和服务器方面的证书进行验证，可用于动态生成基于用户和通话的WEP 密钥以保障WLAN 客户端和接入点之间的通信。EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书。对于较大的WLAN 安装，则是比较重的任务。维护PKI 基础结构通常很费时费力，让管理员无法忍受，仅适合与大型无线网络。

LEAP （轻型可扩展验证协议）是一种由Cisco开发的EAP 验证类型，主要用于Cisco Aironet WLAN。它使用动态生成的WEP 密钥对数据传输进行加密，并支持相互验证。目前Cisco已将LEAP 授权其它制造商许可使用，从而可以将LEAP 用于非Cisco 适配器。

PEAP （受保护的可扩展验证协议）通过802.11 无线网络提供了一种安全传输验证数据的方法，包括传统的密码保护协议。该协议通过使用PEAP 客户端和验证服务器之间的隧道来实现认证过程中的加密，

仅使用服务器单边证书来验证无线LAN 客户端，相对与EAP-TLS来说有效地简化了安全无线LAN 的执行和管理任务。

因EAP-TLS需要在各个无线客户端上安装客户证书，实现过于复杂，只适用于大型网络环境，而校园无线网络的使用环境和户用较为单一，对网络安全要求不是十分严格，在对以上三种认证方式的实施难度与安全级别等方式进行详细比较后，PEAP与LEAP两种认证方式可以满足校园无线网络对不同用户身份验证的要求。整体认证系统采用RADIUS+EAP的形式，对每位用户的身份进行验证，根据用户的身份授予不同的网络访问权限。

要接入校园无线网络，首先用户选择需要加入的SSID名称，经身份验证后，RADIUS服务器会根据用户的访问级别授予不同的网络访问权限，生成不同级别的访问控制列表，并将访问列表信息派发到各个接入点，以实现对用户的访问控制。SSID Student网络访问权限较低，为了方便学生接入到无线网，可将网络配置成自动广播SSID名称，同时为了保证内部网络安全，只放开学校允许学生访问的网络资源；SSID Teacher的访问权限较高，可以访问学校办公网络，为近一步保证办公网络的安全，可以设置不对SSID进行广播，且需要同时验证用户密码和无线网卡的MAC地址信息。具体配置可以按照需求的不同，随时进行调整。

无线网络的安全防范措施

为保证无线网络系统的安全，在网络正式启用前，需要在每个接入点上指定认证服务器的地址，并配置认证密码，确认RADIUS服务器的信息，防止攻击者擅自添加认证服务器，或修改用户数据库信息，绕过正常的用户身份验证过程，接入到无线网络。

对于认证服务器，则需要实现对AP的认证。首先在ACS服务客户端中添加AP配置信息以及使用的认证类型，此外在认证过程中，强制AP提供验证密码，在通过密码验证后，认证服务器还需要在本地查找接入的IP得知记录信息，一切确认无误后，ACS才对AP的用户认证信息予以回复。在每次认证过程中，可以配置ACS服务器自动记录请求验证者的MAC地址信息，验证请求时间，验证者名称和连接、断开网络时间，便于以后的查询工作，因记录信息较多，生成的日志文件较大，需要管理员及时对日志进行清理和备份工作，以免服务器当机。