無線校園網(wǎng)的設(shè)計(jì)與安全策略

馬秀琴，李桂青

（曲阜師范大學(xué)，山東 濟(jì)寧 272000）

0 引 言

目前，無線校園網(wǎng)已大范圍普及，是學(xué)校網(wǎng)絡(luò)實(shí)力的體現(xiàn)。由于無線校園網(wǎng)的安全能力薄弱，導(dǎo)致了無法挽回的損失，嚴(yán)重影響了全校師生的工作和學(xué)習(xí)。高校無線校園網(wǎng)的安全問題已成為重點(diǎn)問題。網(wǎng)絡(luò)信息安全是多層次、多層面的網(wǎng)絡(luò)安全，全球國家已應(yīng)用各種技術(shù)來保障網(wǎng)絡(luò)安全。

1 無線校園網(wǎng)絡(luò)設(shè)計(jì)

無線校園網(wǎng)的網(wǎng)絡(luò)基本架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)計(jì)實(shí)際上是不可分開的，設(shè)計(jì)基本架構(gòu)時，要考慮各方面的安全。網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)需先進(jìn)的技術(shù)和可靠的網(wǎng)絡(luò)架構(gòu)來達(dá)成。本文模型采用了“垂直分層，水平分區(qū)”的設(shè)計(jì)理念，并模仿前沿的無線校園網(wǎng)設(shè)計(jì)理念，以確定學(xué)校所設(shè)計(jì)網(wǎng)絡(luò)的可行性和可擴(kuò)展性[1]。

（1）垂直分層

依據(jù)無線校園網(wǎng)在實(shí)際生活中的應(yīng)用，可將無線校園網(wǎng)分成三個等級，從高到低依次為核心應(yīng)用層、防護(hù)隔離層及接入層。

（2）水平分區(qū)

無線校園網(wǎng)的安全區(qū)是安全風(fēng)險、防護(hù)leavel及訪問需求的的集合，整體都在一個模塊。水平分區(qū)隔離，可將運(yùn)營風(fēng)險和被攻擊危險進(jìn)行有效分散。在運(yùn)營風(fēng)險的隔離區(qū)中，可將風(fēng)險把控在最小區(qū)域內(nèi)，利于系統(tǒng)的整體運(yùn)行。

無線校園網(wǎng)的模塊組成有內(nèi)部辦公網(wǎng)絡(luò)、師生用戶終端及局域網(wǎng)等，可根據(jù)實(shí)際需要進(jìn)行增添或者改造，無線校園網(wǎng)的基站整體網(wǎng)絡(luò)拓?fù)淙鐖D1所示[2]。

由圖1可知，無線校園網(wǎng)整體拓?fù)浞譃槲宕髤^(qū)域，即內(nèi)部核心區(qū)域、內(nèi)部網(wǎng)絡(luò)接入?yún)^(qū)、因特網(wǎng)區(qū)及服務(wù)器群等。

2 校園網(wǎng)功能詳細(xì)設(shè)計(jì)

2.1 校園無線網(wǎng)中ACL技術(shù)應(yīng)用與實(shí)現(xiàn)

該校園網(wǎng)通過使用VLAN技術(shù)結(jié)合ACL技術(shù)來保證網(wǎng)絡(luò)的安全性和可靠性。設(shè)計(jì)中，對一些特殊無線功能區(qū)域進(jìn)行了一定流量控制[3]。結(jié)合無線網(wǎng)特點(diǎn)，拒絕無線用戶訪問FTP服務(wù)器，可訪問WEB服務(wù)器，代碼如下：

Core1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq ftp

Core1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq 20

//定義擴(kuò)展訪問控制列表110，禁止vlan10的無線網(wǎng)絡(luò)下的用戶通過無線網(wǎng)訪問ftp服務(wù)器20的端口

同樣的方法定義擴(kuò)展訪問控制列表120，禁止vlan20的無線網(wǎng)絡(luò)下的用戶通過無線網(wǎng)訪問ftp服務(wù)器20的端口，定義擴(kuò)展訪問控制列表130，禁止vlan30的無線網(wǎng)絡(luò)下的用戶通過無線網(wǎng)訪問ftp服務(wù)器的20的端口。

2.2 無線校園網(wǎng)NAT技術(shù)

圖1 校園網(wǎng)整體網(wǎng)絡(luò)拓?fù)?/p>

邊界區(qū)域是連接外網(wǎng)的出接口區(qū)域。所有出口路由器其實(shí)是在NAT上應(yīng)用和配置的[4]。內(nèi)網(wǎng)流量出入公網(wǎng)時，源地址會被轉(zhuǎn)換，NAT技術(shù)結(jié)合ACL技術(shù)能對源地址進(jìn)入訪問控制，但是考慮內(nèi)網(wǎng)的安全問題，將其與外界隔絕，代碼如下：

Router(config)#access-list 10 permit any //允許其他網(wǎng)段地址的數(shù)據(jù)包通過

Router(config)#interface FastEthernet0/0 //進(jìn)入接口并配置ip地址

Router(config-if)#ip address 192.168.129.2 255.255.255.0

Router(config-if)#ip nat inside //指定NAT的內(nèi)部轉(zhuǎn)換接口

2.3 校園無線網(wǎng)中OSPF技術(shù)應(yīng)用

該校園網(wǎng)的設(shè)計(jì)選擇OSPF路由協(xié)議。OSPF是國際標(biāo)準(zhǔn)化的IGP路由協(xié)議，非私有路由協(xié)議，因此校園網(wǎng)使用任何廠商的設(shè)備都允許OSPF路由協(xié)議，不存在協(xié)議不兼容的問題。后期網(wǎng)絡(luò)整改時，使用其他廠商的設(shè)備，無需對整體網(wǎng)絡(luò)進(jìn)行改造和設(shè)備更換。OSPF路由協(xié)議應(yīng)用到該校園網(wǎng)的三層設(shè)備，結(jié)合路由重分布等技術(shù)實(shí)現(xiàn)全網(wǎng)互通。

3 結(jié) 論

該無線校園網(wǎng)的整體架構(gòu)設(shè)計(jì)是圍繞著典型的二層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行的。核心區(qū)域架構(gòu)設(shè)計(jì)也實(shí)現(xiàn)了網(wǎng)絡(luò)冗余，增強(qiáng)了網(wǎng)絡(luò)健壯性，避免了網(wǎng)絡(luò)單一節(jié)點(diǎn)故障。經(jīng)模擬測試發(fā)現(xiàn)，該網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)已滿足一般高校校園網(wǎng)的相關(guān)業(yè)務(wù)需求，不足之處在于模擬器的功能有限，不能模擬無線控制器等無線主要控制設(shè)備，設(shè)計(jì)測試中，也不能測試統(tǒng)一控制管理。