无线校园网的设计与安全策略

马秀琴，李桂青

（曲阜师范大学，山东 济宁 272000）

0 引 言

目前，无线校园网已大范围普及，是学校网络实力的体现。由于无线校园网的安全能力薄弱，导致了无法挽回的损失，严重影响了全校师生的工作和学习。高校无线校园网的安全问题已成为重点问题。网络信息安全是多层次、多层面的网络安全，全球国家已应用各种技术来保障网络安全。

1 无线校园网络设计

无线校园网的网络基本架构设计和网络安全设计实际上是不可分开的，设计基本架构时，要考虑各方面的安全。网络安全系统的设计需先进的技术和可靠的网络架构来达成。本文模型采用了“垂直分层，水平分区”的设计理念，并模仿前沿的无线校园网设计理念，以确定学校所设计网络的可行性和可扩展性[1]。

（1）垂直分层

依据无线校园网在实际生活中的应用，可将无线校园网分成三个等级，从高到低依次为核心应用层、防护隔离层及接入层。

（2）水平分区

无线校园网的安全区是安全风险、防护leavel及访问需求的的集合，整体都在一个模块。水平分区隔离，可将运营风险和被攻击危险进行有效分散。在运营风险的隔离区中，可将风险把控在最小区域内，利于系统的整体运行。

无线校园网的模块组成有内部办公网络、师生用户终端及局域网等，可根据实际需要进行增添或者改造，无线校园网的基站整体网络拓扑如图1所示[2]。

由图1可知，无线校园网整体拓扑分为五大区域，即内部核心区域、内部网络接入区、因特网区及服务器群等。

2 校园网功能详细设计

2.1 校园无线网中ACL技术应用与实现

该校园网通过使用VLAN技术结合ACL技术来保证网络的安全性和可靠性。设计中，对一些特殊无线功能区域进行了一定流量控制[3]。结合无线网特点，拒绝无线用户访问FTP服务器，可访问WEB服务器，代码如下：

Core1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq ftp

Core1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq 20

//定义扩展访问控制列表110，禁止vlan10的无线网络下的用户通过无线网访问ftp服务器20的端口

同样的方法定义扩展访问控制列表120，禁止vlan20的无线网络下的用户通过无线网访问ftp服务器20的端口，定义扩展访问控制列表130，禁止vlan30的无线网络下的用户通过无线网访问ftp服务器的20的端口。

2.2 无线校园网NAT技术

图1 校园网整体网络拓扑

边界区域是连接外网的出接口区域。所有出口路由器其实是在NAT上应用和配置的[4]。内网流量出入公网时，源地址会被转换，NAT技术结合ACL技术能对源地址进入访问控制，但是考虑内网的安全问题，将其与外界隔绝，代码如下：

Router(config)#access-list 10 permit any //允许其他网段地址的数据包通过

Router(config)#interface FastEthernet0/0 //进入接口并配置ip地址

Router(config-if)#ip address 192.168.129.2 255.255.255.0

Router(config-if)#ip nat inside //指定NAT的内部转换接口

2.3 校园无线网中OSPF技术应用

该校园网的设计选择OSPF路由协议。OSPF是国际标准化的IGP路由协议，非私有路由协议，因此校园网使用任何厂商的设备都允许OSPF路由协议，不存在协议不兼容的问题。后期网络整改时，使用其他厂商的设备，无需对整体网络进行改造和设备更换。OSPF路由协议应用到该校园网的三层设备，结合路由重分布等技术实现全网互通。

3 结 论

该无线校园网的整体架构设计是围绕着典型的二层网络拓扑结构进行的。核心区域架构设计也实现了网络冗余，增强了网络健壮性，避免了网络单一节点故障。经模拟测试发现，该网络规划和设计已满足一般高校校园网的相关业务需求，不足之处在于模拟器的功能有限，不能模拟无线控制器等无线主要控制设备，设计测试中，也不能测试统一控制管理。