高校建设无线网络,不但要解决与现有有线网络的认证、计费和管理方式的对接,而且需要考虑无线网络的安全问题。第四军医大学无线网络部署,从需求分析、网络部署到安全管理,建成了一套高性能、易运维、安全可靠的网络系统,与现有有线网络实现了一体化管理。
医学院校无线网络建设需求分析
与传统有线网络对比,无线网络具有搭建快速、布线灵活等特点。建设无线网络系统不仅需要考虑当前校园用户需求,还要考虑学校长远发展需求。无线网络应满足用户随时随地访问网络的需求,更好地为学校教学、医疗和科研服务。
医学学校移动设备增多
近年来,越来越多的人随身携带手机、笔记本等移动终端。在各大医学院校里,手机更是师生必备的日常工具之一。无线网络可以使得用户持有移动设备在教室、办公室、图书馆等场所自由移动并与网络保持持续连接,满足随时随地上网的需求。
满足医学院校移动学习
随着翻转课堂、MOOC等教学新模式的出现,使用移动终端进行学习已经成为各医学院校学生提升个人能力的重要途径。出于安全需要,学校严禁任何人通过无线路由器、私设代理等方式架设无线局域网,这极大限制了新兴教育模式的推广。无线网络建成后,学生可以通过移动终端实现无处不在的泛在学习;教师也可及时了解国际国内最新的教学模式方法,提升课堂教学质量。
弥补有线网络的不足
由于有线网络灵活性不足,在前期规划无线网络时要预设大量利用率较低的接入点,造成资源浪费。作为有线网络的补充,无线网络不但架设简单、管理方便,而且可以提升网络的覆盖面,满足不同人员上网需要。
网络基本结构与安装部署方案
经过几年的建设,学校已建成一套覆盖全校的有线校园网络,通过网络扁平化改造解决了用户私接路由器的问题,提高了学校整体信息安全管控能力,但这也导致用户接入网络的渠道较为单一。下面从学校现网结构开始,详细介绍无线网络建设的过程。
学校现网结构
学校校园网络分为办公区、家属区和学生区3个主要区域,如图1所示。其中办公区使用IPoE方式认证,家属区使用PPPOE认证方式,两个区域的网关均为华为ME60。学生区使用802.1X认证。
校园WLAN部署
无线AP(接入点)通常分为胖AP和瘦AP。胖AP自带完整的操作系统,除了拥有无线接入功能外,还同时具备WAN、LAN端口,可独立工作;瘦AP仅提供一个有线、无线信号转换和信号接收、发射的功能,配合AC(无线控制器)才能成为一个完整的系统。
学校无线网络建设采用“瘦AP+AC”的部署模式。为了减少对现有网络的改动,将AC旁挂于汇聚交换机上,并部署2台做冗余备份。采用本地转发模式,用户数据报文直接通过AP进行处理,无需经过AC。AP放置在目标覆盖位置,通过接入交换机POE供电。根据不同的使用场景,分别部署面板式AP、室内放装型AP,如图2所示。
无线AP部署
无线网络设计的主要指标是网络的覆盖面积和系统容量,在满足用户需求的前提下,最大限度减少AP数目。学校无线建设区域主要有教室、图书馆和学生宿舍三类,对无线网络的需求各不相同。下面对这三类场景下AP的部署进行说明。
教室
教室内的无线覆盖主要是满足学生和教师的上网需求,并发率较低,带宽需求小于2M,属于半开放式的室内环境,每间教室可容纳100人左右。其覆盖需求为:
满足学生单用户的下行容量2M,上行容量1M;
满足教师单用户的下行容量2M,上行容量1M;
整体环境要求普遍覆盖,用户密度低。
教室的无线终端主要为笔记本,WiFi模式主要为11g/n/ac。终端多支持5.8G,在该场景下选用放装型、11ac设备。如图3所示,在每间教室天花板上安装5个AP(前后各2个,中间1个)。
图书馆
图书馆无线覆盖主要是为了满足校内师生在图书馆内登录学校网站的需求,带宽需求小于2M,属于半开放式的室内环境,嵌套多个子空间环境,包含高密度室内场景(阅览室)和流动性室内场景(图书馆大厅)。其覆盖需求为:
提供稳定、流畅的网络速率,保证师生通过个人终端能正常登录学校网站;
图书馆大厅流动性较强,主要上网需求为查询书籍信息,阅读公告等;
图书馆每间阅览室设置50~60个固定座位,上网并发率80%。
图书馆终端主要为笔记本、PAD,WiFi网卡模式主要为11g/n/ac。在该高密度场景下选用放装型、11ac设备。如图4所示,在每间阅览室天花板上均匀安装5个AP,阅览室之间的大厅天花板安装1个AP。
学生宿舍
学生宿舍的无线覆盖主要满足学生日常上网学习需求,上网高峰期相对集中,并发率较高,宿舍间紧密相临,每间宿舍可容纳6至8人,每人带宽约2M左右。其覆盖需求为:
满足60%学生同时上网需求,学生的上网业务主要有:浏览网页、观看视频、下载资料等;
信号覆盖95%以上的区域,接收信号电平≥-75dBm。
学生使用的多为笔记本电脑、PAD、手机等上网设备,WiFi模式主要是11n模式,少量11ac模式。在该场景下选用面板型、11ac设备。如图5所示,每个AP负责所在宿舍、左右两间宿舍及过道内的无线信号覆盖。
无线认证系统部署
与有线网络一样,需要对无线上网用户进行接入认证。传统的802.1X认证需要在终端安装客户端软件,会产生各种兼容性问题,后续维护工作量极大。通过对比两种认证方式(如表1),将学生接入区从802.1X改造为IPoE认证,并且从SAM迁移到第三方认证。
在学生区认证方式改造之前,首先需要将认证网关从原有的交换机迁移到华为ME60上,实现全校认证管理的统一。
图2中,AC旁挂于汇聚交换机上,在网络内的作用主要为管理AP,不对用户业务报文进行处理,这样可以最大限度利用AC的性能,认证和转发在ME60上处理。具体如下:
AP与AC确保三层路由可达,AP和AC建立Capwap(无线接入点的控制和配置协议)隧道,实现AC对AP的管理。
AP选择本地转发模式,对于无线终端上行报文进行SSID到VLAN的变换,每个SSID对应一个VLAN。在汇聚交换机上添加外层VLAN。
ME60作为网关,终结QinQ两层VLAN。无线认证通过后给用户分配IP地址,Portal认证通过后才能访问外网业务。
无线用户在AP和接入PoE交换机上均实现二层隔离,互访流量经过ME60。
用户如果移动到无线网络覆盖盲区会导致连接中断,在重新回到覆盖区后将重新连接,在认证的基础上实现无感知认证。
有线认证方式改造
为实现有线、无线网络的统一管理,需要将两套网络的认证管理进行统一。为此,将网络的认证网关迁移到ME60上,实现一体化的IPoE认证。具体如下:
接入交换机配置用户VLAN,全校所有接入交换机VLAN统一配置。汇聚交换机根据接入端口添加外层VLAN,并透传到ME60,由ME60终结QinQ报文。实现用户终端的安全隔离。
ME60作为用户网关,IPoE用户上线到ME60转DHCP服务器给用户分配双栈IP地址,用户的第一个HTTP报文重定向到Portal服务器,实现WEB认证。
有线用户基于楼宇交换机VLAN,楼宇互访通过楼栋交换机同VLAN互访,跨楼宇和区域互访经过ME60转发。
校园无线网络安全管理
无线网的信号是在开放空间中传送的,接入也更加灵活。在部署WLAN保证用户体验的同时,要重点考虑可能存在的安全问题。无线网络安全问题分为空口安全、用户安全和终端安全。
空口安全
空口即终端和基站之间的接口,主要包含Rouge设备、恶意攻击和空口窃听三个方面。
Rogue设备及应对措施
高校中可能出现的Rogue设备包括Rogue AP,Rogue Client,Ad-hoc等设备,对这些非法设备的安全防护措施包括:AP设置在混合模式,通过监听报文搜集无线设备,并把这些信息上报给AC,AC根据一定的规则检测到Rogue设备后,AP从AC下载攻击列表,使用Rogue设备的MAC地址发送假的广播解除认证帧来对Rogue AP设备进行反制。
恶意攻击及应对措施
当某个恶意用户发送大量的“连接请求报文”时,AP会将这些报文转发到AC上,AC通知AP将来自该用户的报文丢弃;如果用户发来的报文使用了WEP加密算法,启动IV检测,AC根据IV的安全性策略判断是否存在Weak IV攻击;如果攻击者以其他设备的名义发送攻击报文,AC接收到这种报文时将认定是欺骗攻击,并阻止该攻击者。
空口窃听及应对措施
空口窃听往往是学校中一些充满好奇心的学生们经常尝试破解的点,需要对AP传输的数据加密。常用的空口加密方式有WEP、WPA/WPA2、WAPI等,在实际网络部署中,空口加密和用户认证一起考虑。
用户安全
用户安全分为合法用户非法访问其范围以外的资源和非法用户接入网络两部分内容。
非法访问及应对措施
学校为不同用户群划分不同的SSID,授予不同访问权限。用户访问授权采用远端授权的方式,WLAN用户认证成功后,Radius服务器下发用户分组,通过用户分组和ACL规则的关联,对每类用户进行ACL授权信息控制;访客用户采用集中转发方式,内部用户采用本地转发方式。
非法用户及应对措施
WLAN支持多种接入认证技术,其中比较典型的有MAC认证、Portal认证、802.1x认证和IPoE认证。通过对接入用户的身份进行认证,有效防止非法用户接入。
终端安全
实现终端安全接入互联网,需要解决两个方面的问题:第一是终端用户身份确认,第二是终端用户安全使用终端的控制。为了保证这两个方面安全,首先必须保证注册用户信息真实可靠,其次对于终端安全接入网络必须强制使用客户端软件。
在医学院校组建无线网络促进教育教学发展的过程中,需要根据学校的实际情况,充分考虑有线无线网络一体化运维,确保校园无线网络系统的稳定性和安全性,促进校园的信息化建设。
(本文作者:韦磊 宁玉文 刘健 高东怀,单位为第四军医大学网络中心,全文刊载于《中国教育网络》杂志2019年2-3月合刊)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。