张鹏程

（河南广播大学河南洛阳450008）

移动网络安全路由对无线网络运维系统设计

张鹏程

（河南广播大学河南洛阳450008）

针对无线网络在移动网络路由中数据传输存在安全隐患的问题，本研究利用AC+FIT AP框架对网络认证方式及管理方式进行改进，采用两台Aruba 6000控制器为无线网络提供统一的管理，通过配线间的交换机结合AP将接入的网络连接到不同的局域网。设计Aruba AirWave对流量的访问和信息安全攻击进行统一的管理，在Radius服务器认证分配IP地址并将所有信息传送至控制器，再通过协议的方式进行身份的验证，最终无线网络运维系统终端将会根据使用者的密码以及客户端MAC码对无线网络的使用者进行监督验证。

移动网络；路由器；无线网络；运维系统

移动网络安全路由是无线网络传输的重要内容[1]。移动网络信号复杂多变，且无线传输处于动态变化中，信号强度差异很大[2]。基于传统的移动网络路由器已经无法满足日益增长的移动终端的客观现实需求，而由无线终端路由发射器设置网络安全性是未来无线网络运维发展的方向。现有的威胁路由安全的模型有3种：参数化威胁模型[3]、active-n-m威胁模型[4]和自适应威胁模型[5]。而常见的无线网络传输方式主要有[6-7]：扩展频谱、窄带微波调制和红外线。其中，扩展频谱技术的容易实现分地址多IP且利用频谱效率高，令移动网络路由具有极高的传输速率[8]。本研究将在AC+FIT AP框架的基础上对无线网络的登录进行改进，利用两台Aruba 6000控制器对无线网络提供统一的管理，结合Radius服务器认证对用户的账号以及密码进行验证。通过Aruba AirWave专业WLAN综合网管实现对于无线网用户、安全攻击以及访问流量的统一管理。

1 移动无线网络设计

1.1 整体框架

对于移动网络安全路由的解决，本文将分别采用Cisco[9]以及Aruba[10]的无线网络来进行解决。关于架构的形式，则继续采用之前惯用的新型AC+FIT AP。本文的整体框架相对之前文献中提出的整体框架，主要是对先前的设计进行改进，对于设计中存在的缺陷进行优化，优化主要体现在认证方式以及管理方式方面。关于移动网络安全路由的无线网络整体解决方案如图1所示。

图1 网络安全路方案

核心机房是移动网络安全路由的整个无线网络的核心，同时需要对整个无线网络进行整合，通过采用两台Aruba 6000控制器在核心的交换区实现对现有无线网络的新的建设，从未为无线网络提供统一的管理，并能够为无线网络用户提供关于身份ID的认证，同时还能够进行三层路由以及防火墙策略的服务。通过Aruba AP实现在GRE隧道的控制，并最终在Aruba控制器上终止，而Cisco AP则通过LWAPP的隧道在Cisco控制器终止[11]。移动网络安全路由将由4个千兆光纤端口以及一块256AP的控制卡所组成，留有一个网关负责有线网络核心交换设备的连接并作为上联，另留有一个网关负责第三方胖AP VLAN的终止，最终完成第三方胖AP的管理活动。

无线用户网络安全需要设定密码，而用户的账号以及密码则需要Radius服务器认证，一般的认证方法根据不同的情况可采用的也有所不认同，WEB认证、MAC地址过滤、AAA的Accounting、WPA加密以及用户名和密码的认证可供选择。对于使用移动安全路由的无线网络用户，需要按照用户群的角色进行划分，通过多元化的认证实现多用户群体以及不同系统个体个性化的运维管理系统。在二次开发方面则需要结合城市的热点设置DR.com进行管理，同时支持LDAP数据定制的操作，灵活方便，为统一化的认证提供便利，同时还能够简化管理和操作流程，使得系统操作人员以及无线网络使用者使用更加便利。Aruba AirWave专业WLAN综合网管能够实现对于无线网用户、安全攻击以及访问流量的统一管理，还能够针对无线路由的设备进行策略执行和审核，对无线网络管理运维体系进行优化和完善。

1.2 技术标准

关于移动网络安全路由器的无线网络，将采用国际上惯用的技术标准[12]，主要分为IEEE802.11a、IEEE802.11b和IEEE802.11g，对于用户集中反映网速低下，掉线率较高的区域需要根据无线网络的用户反馈进行调整，还需要及时对设备进行维护。通过对IEEE802.11b技术的使用进行控制，以此实现对于客户端以及AP信号强度的控制，从而改善用户的操作体验。同时将采用IEEE802.11n的最新技术，对辖区的无线网络进行全方位的覆盖，从而保障辖区的无线网能够用户能够高效稳定的使用安全的无线网络。本研究采用的无线网络调制解调器技术标准如表1所示。

表1 技术标准

1.3 无线网络拓扑结构

在建设规划的过程中，需要针对无线网络的基础设备和软件进行调整和更新，Cisco AP控制器主要安装在在辖区内的各个楼宇的楼道内，而不同的辖区则会选择不同型号的Aruba AP进行部署，通过配线间的交换机利用AP将接入的网络连接到不同的局域网[13]，再利用局域网的IP层和每个局域网内部的无线网络控制器设备进行连接，通过认证加密的策略对传输数据的过程进行加密和管理。利用POE模块的方式进行供电，再通过Aruba AirWave进行辖区内的无线网络的统一管理。辖区内的用户无线网络拓扑结构如图2所示。

图2 无线网络拓扑结构

2 无线网络安全路由运维

2.1 管理模块

在无线网络管理的项目中，将会选取Aruba AirWave的专业LAN对网络实施综合统一的监督与管理，主要的工作内容包括对无线网络使用者以及无线网络接收设备、无线网络传输设备、无线网络传送渠道对流量的访问、信息安全攻击等进行统一的管理。对AirWave服务器统一部署，利用Aruba AC以及网络管理协议（SNMP）进行日常的通讯管理[14]，同时还需要对无线网络用户的信息进行搜集，主要包括的内容有使用者、流量、信息安全、设备使用等。在Aruba AC中的配置如下所示：

分布式的网络将进行统一的用户管理，并且在热点平台DR.com的基础上与LDAP数据相互结合以进行二次的开发[15]，从而完成用户管理平台的统一构建。在该系统下完成无线网络操作人员的规范管理，同时在区域内用户管理外还会加入流动用户的管理，从而加强区域内用户的无线网络安全。详细的连接方式如图3所示。

图3 Dr.com拓扑结构

2.2 控制模块

在控制模块的无线网络规划中，选取了Aruba AC作为控制器的核心设备，利用Aruba AC实现对Aruba AP的管理以及与Radius服务器的通信交互，为无线网络区域内的所有使用者提供身份ID的认证[16]，从而完成VLAN以及SSID的对接，实现设备以及无线网管AirWave的区域通信，对于原先设有的两台Cisco AC，将在控制拨快的规划中仅保留Cisco AP的管理功能，并实现二层透传，不再进行三层处理。

表2 控制器对比

2.3 安全运维

无线用户网络安全需要设定密码，而用户的账号以及密码则需要Radius服务器认证，一般的认证方法根据不同的情况可采用的也有所不认同，WEB认证、MAC地址过滤、AAA的Accounting、WPA加密以及用户名和密码的认证可供选择，并对这些在认证方式进行进一步的改善和优化。对于使用移动安全路由的无线网络用户，还需要结合城市热点DR.com的认证管理设备将所有的用户数据汇总到管理平台，最终实现多用户群体的统一运维系统管理。

对于辖区内的所有的无线网络使用者，将会统一分配IP地址，这个地址将与SSID相对应，所有的网管设备将会指向Aruba控制器。在接入了社区的无线网络之后针对每一个初始角色都会统一分配External-logon，内置的 Web Portal（External-default_CP）再通过Aruba控制器将Http请求定向到外置的Portal[17]。无线网络的使用者通过登录Portal页面进行输入操作，并将所有信息传送至控制器，再通过协议的方式进行身份的验证，最终终端将会根据使用者的密码以及客户端MAC码对无线网络的使用者进行验证，并输出操作者的属性。操作者的角色将由Aruba根据热点DR.com输出操作者属性进行动态的分配。

3 实验分析

针对本研究提出的无线网络运维管理系统，从技术层面出发，Airwave可以对区域内整个无线网络进行统一的配置管理、故障管理和安全管理。从使用层面出发，Airwave支持对无线网络设备的管理以及对无线用户的性能和流量进行监测。通过在某公司设置本研究所提出的无线网络运维系统设计，对9：00-17：00内的8 h内的无线网络使用实验检测具体如下。

3.1 网络安全评估

Radius服务器在对用户账号以及密码认证后，假设客户端MAC码的每个节点管理直接信任与历史信任的信息，并且每个节点的历史记录的最大数值为10，则20个Bits和对应Wifi发射器组成安全路由平台。Wifi发射器覆盖在一个4*5的网格中部署20个节点，恶意攻击发送的数据约为0.63个包。在本研究设定下的网络供给下的节点信任记录如图4所示。

由图4可得，在恶意攻击情况下，采用两台Aruba 6 000控制器在8 h内的信任数据基本同步，且随机丢包率有效的控制在75%。这是由于两台Aruba 6 000控制器在连接了对应的两台Cisco控制器，恶意节点在正常数据节点的利用下引起大量数据丢失，数据包发送的信任率被存放在每个Wifi发射器部署的节点中。当Radius服务器对用户帐号及密码验证后，路由器的信任要求节点下跳到相邻节点直至选择达到信任要求的邻居节点。

图4 节点信任记录

3.2 网络性能评估

流量反馈信息如表3所示。

表3 流量监控信息

提供无线网络安全路由器的CPU和内存利用率如表4所示。

表4 CPU和内存利用率

由表3和表4所示，在每秒流量最大Bits上行与下行峰值达到317.6 Mbps的情况下，Aruba 6000控制器的CPU利用率仅为6.83%，内存利用率为29.10%。Cisco控制器作为Aruba 6000控制器的对应认证加密的策略，CPU在管理AP的存储利用率仅为2.16%，Cisco控制器备用机的CPU分担了1.05%的数据处理。因此，在本实验的配置下，通过两个Aruba 6000控制器有效的控制了路由设备数据流量的分配，对应的Cisco控制器保留Cisco AP的管理功能并实现了二层透传，确保了网络数据经过路由器分发后的信息安全。

4 结 论

本研究以AC+FIT AP框架为基础开发了一套移动网络路由条件下的无线网络运维系统，采用两台Aruba 6000控制器同时对无线网络进行统一的管理，结合Radius服务器对用户的账号以及密码进行验证。通过在楼宇的楼道内安装Cisco AP控制器，利用Aruba AC以及网络管理协议（SNMP）进行日常的通讯管理。整套无线网络运维系统在热点平台DR.com的基础上与LDAP数据相互结合以进行二次的开发，实现了分布式的网络将进行统一的用户管理，并且通过实验分析结果说明了，本无线网络运维系统可实现网络数据流量的实时监控，在对硬件中CPU和内存使用占有率较低。因此，本研究提出的无线网络管理运维系统可以为网络安全路由提供参考性意义。

[1]吴越，李建华，林闯.机会网络中的安全与信任技术研究进展[J].计算机研究与发展，2013，50（2）:278-290.

[2]许嵩明.移动网络信号可视化管理系统的设计与实现[J].电子制作，2013（13）:131-133.

[3]王昱，章卫国，傅莉，等.基于改进证据网络的空战动态态势估计方法[J].航空学报，2015，36（12）:3896-3909.

[4]张森.移动Ad Hoc网络安全路由协议设计与分析技术[J].数字技术与应用，2014（8）:191.

[5]张冰涛，王小鹏.面向WSN安全路由协议的自适应威胁模型[J].计算机应用研究，2014，31（4）:1208-1211.

[6]刘云璐，蒲菊华，方维维，等.一种无线传感器网络MAC协议优化算法[J].计算机学报，2014，31（4）:1208-1211

[7]张焕国，韩文报，来学嘉，等.网络空间安全综述[J].中国科学:信息科学，2016，46（2）:125-164

[8]管天云.扩展频谱时域反射法的理论与实验研究[J].新型工业化，2014（1）:84-89.

[9]苏晓艳，武东英，刘龙，等.基于Fuzzing的Cisco IOS漏洞挖掘方法[J].计算机工程，2012，38（16）:117-120.

[10]高晶.移动体验最新玩儿法Aruba让大型场所更黏人[J].计算机与网络，2015（1）:74-75.

[11]彭毓涛.基于802.1X的企业无线局域网的应用和研究[J].信息安全与技术，2013，4（4）:66-69.

[12]钱志鸿，王义君.面向物联网的无线传感器网络综述[J].电子与信息学报，2013，35（1）:215-227.

[13]叶惠.Aruba Networks:将应用和网络完美结合[J].通讯世界，2013（7）:36.

[14]刘勤让，张永丽，薛三龙.可重构柔性网络下基于预测的网络资源重构算法[J].高技术通讯，2014，24（2）:124-130.

[15]吴庆杰，田鹏.异构认证系统间身份同步的设计与实现[J].华东师范大学学报：自然科学版，2015（3）:197-204.

[16]刘畅，安澄全.Radius服务器中EAP认证子系统的设计[J].哈尔滨商业大学学报：自然科学版，2016，32（2）:212-215.

Design of mobile network security routing wireless network operation and maintenance system

ZHANG Peng⁃cheng
（Henan Broadcasting University，Luoyang450008，China）

There are security risks for the wireless network in a mobile data transmission network routing problem，this study AC+FIT AP framework for authentication and network management to improve，us⁃ing two Aruba 6000 controller provides unified management for wireless networks，by AP switch is incor⁃porated between wiring network access will be connected to different LANs.Design Aruba AirWave traf⁃fic access and information security attacks unified management，Radius authentication server assigned IP address and all the information is transmitted to the controller，and then verify the identity by way of agreement，the final wireless network operation and maintenance system terminal will supervise and veri⁃fy the user's wireless network to the user's password，and the client MAC code.

mobile network；router；wireless network；operation and maintenance system

TN929.52

A

1674-6236（2017）22-0106-04

2016-10-01稿件编号：201610001

张鹏程（1979—），男，河南洛阳人，硕士，讲师。研究方向：软件工程、远程教育。