董兆殷

（广东轻工职业技术学院网络信息中心，广东 广州 510300）

1 前言

随着数字化校园建设需要，建设校园WLAN，完善校园的无线覆盖，为学生和教职工提供更多学习、工作和生活上的便利，是一个发展必然道路。校园WLAN采用EPON方式组网，以双SSID方式广播，一个SSID为校方无线网络标识(如XX_WLAN)，另一个标识可采用中国电信无线网络标识ChinaNet。接入校方SSID标识的用户认证由校方校园网的认证服务器完成，接入电信SSID标识的用户认证由电信认证服务器完成。

2 WLAN简介

WLAN(无线局域网络)是一种利用射频技术进行据传输的系统，取代旧式碍手碍脚的双绞铜线所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到“信息随身化、便利走天下”的理想境界。无线WLAN是高校建设数字化校园的基础建设之一，有利扩大社会影响，更好开展对外学术交流与培训。对于在校师生而言，可随时随地获取到教学资源。

3 校园WLAN设计方案

由于采用EPON组网方式，OLT和AC的位置在一个层面。所有的流量采用EPON组网方式，OLT在局方机房，ONU部署在校园。

3.1 所有无线流量通过CAPWAP隧道转发到AC，由于校园网一般有线网络在接入交换机端口上做了基于MAC的802.1X认证，因此需要在AP上连的交换机端口上配置AP的MAC地址允许接入或者配置接入AP的楼道交换机端口为开放端口。从而保证所有无线隧道流量正常转发到AC。

3.2 如果用户为ChinaNet用户，则用户数据由隧道封装后上传到AC，AC解开封装，根据不同的SSID打上不同的VLAN，由AC二层转发给校园网汇聚交换机，将报文对应到ChinaNet业务VLAN上传到WAN上BAS进行认证。

3.3 如果是用户通过校园 SSID上网，采用集中转发，流量通过ONU网络上传到OLT，再上传到AC解开封装，将二层用户数据报文转发给OLT，由OLT二层转发给校园网汇聚交换机。

校园 SSID的数据流由AC打上校园网无线业务VLAN，由AC二层转发给汇聚交换机，汇聚交换机终结二层报文。汇聚交换机作为Portal网关，控制校园WLAN用户的http请求重定向到Portal服务器，Portal服务器向STA推送认证页面，用户输入用户名、密码，提交给Radius验证用户身份，如果为合法用户，汇聚交换机开放用户网络访问权限；如果不合法则不能使用校园网账号登入，需通过电信SSID的接入来认证。

3.4 该设计方案中需要汇聚层交换机支持Portal网关功能（或者WEB重定向功能）。目前有些汇聚交换机甚至支持Portal Server功能。

3.5 由于采用Portal认证方式，属于应用层协议，认证过程有重传机制，保证了及时在无线网络的环境下，也可以有较好的认证过程体验。该方式是无线认证普遍采用的方式。

4 Portal认证方式配置内容

4.1 配置Radius服务器与AC相连的端口为开放端口，或者静态写入AC的MAC地址。在AC中添加Radius认证服务器与IP地址，并设置路由。考虑到Portal认证时需要在认证前自动分配私有的IP地址，需添加DHCP中继。

4.2 如果汇聚交换机可以做Portal网关，则配置汇聚交换机为Portal网关，开启WEB重定向功能；如果汇聚交换机不具备Portal网关功能，则在校园WLAN中选择某台设备（主流交换机、路由器等一般都具备此功能）作为Portal网关；如果校园网中没有合适的可作为Portal网关的设备，则需要新增Portal网关。在Portal网关上配置Portal Server相关信息及Radius相关信息，包括SNMP等密钥。

4.3 在校园网中配置Portal Server服务器，一般有些主流交换机和路由器具备本地Portal Server功能，可以直接借用；如果网内交换机不支持Portal Server功能或者性能不够，只能外置Portal Server。

5 校园WLAN安全

校园内的网络环境更为复杂，存在ARP攻击、MAC欺骗、地址扫描、伪DHCP服务器接入等多种不安全因素，并且无线网本身属于开放式接入方式，更是有可能存在信息泄漏等安全隐患。我们从多个方面对校园WLAN安全进行控制和防范：

5.1 用户溯源

用户使用账号登陆后，后台即记录该账号的上网时间和占用的线路，根据线路追溯出用户的上网地点，最后根据账号找到对应的用户。

5.2 源地址过滤

通过在BRAS和AP设备进行配置，除网管服务器外，对互联网上其它路由指向AP IP地址的访问请求，BRAS直接进行过滤。在AP设备上，也设置只对网管IP地址进行回应，丢弃其他非法IP地址。使得仅WLAN网管能对AP进行访问，而AP也仅对WLAN网管进行回应。

5.3 业务数据流与网管数据流分离

为防止攻击网管系统、恶意修改配置的发生，校园WLAN采用业务数据流与网管数据流相分离的方式。如LAN接入方式中，AP采用Trunk上联，使用双VLAN方式，VLAN1用于WLAN业务，另外一个VLAN2用于AP网管。

5.4 AP无线侧安全设置

在AP上打开二层隔离设置，启用该功能可保证同一AP下的用户不能在AP上直接二层互通，从而保密WLAN用户数据，抵御站点之间的病毒扩散。AP上还开启防DOS攻击功能 。 能 够 防 止 LAND、SYN Flooding、ICMP Redirection、Smurf等类型的攻击，并可通过软件升级。

5.5 用户数据及帐号安全

无线侧、数据层、应用层分别应用不同的加密认证措施。

6 校园WLAN管理

通过WLAN网管监控、统计和查询功能。AC和无线AP将接入网管系统中，可实时监控和查询AP及整个校园WLAN网络的运行情况。但考虑到安全生产的要求，无线网管平台的功能不直接开放，而是采用中间服务器的方式，则无线网管平台将统计数据发送到一指定的服务器（可以是Portal服务器），然后再由这个服务器向网管员提供查询统计功能（统计查询用户数、流量、工作状态三种功能）；如果是通过校园账号认证的用户，可通过Radius服务器的计费平台查看信息。

7 结束语

校园WLAN覆盖络以后，用户只需简单的设置就可以连接到校园网，从而实现上网功能。网管员做好校园WLAN的安全治理工作，并完成全校无线网络的统一身份验证，做到无线网络与有线网络的无缝对接，确保校园WLAN的高安全性。

[1]杨峰，张浩军.无线局域网安全协议的研究和实现.计算机应用，2007.

[2]张圣，陈伟.基于WIAN技术的无线校园网组网研究[J].武汉信息技术，2005.

[3]黄劲荣.无线局域网在校园网的应用.教育信息化，2006:1.

[4]余智，汤旭翔.无线网络在校园网中的应用[J].计算机时代，2007(3):30-31.