1、灵活的策略控制(分区域、分时段、分用户、分设备进行策略控制)
要进行全校的无线网络建设,需要按整体规划,实施灵活、详细的安全策略,无线用户在校园的不同区域接入无线网,享有不同的安全策略;在不同时段接入无线网,享有不同的安全策略,不同的用户类型,不同的终端设备接入无线网,也享有不同的安全策略。
比如一个学生,使用他的手机在教学楼区域,只能享有1 M的带宽,但他在宿舍区使用相同的账号登录无线网,可以享有4M的带宽。
比如同样是学生,在教学楼区域,在上课时间段,9:00-12:00 AM, 14:00-16:00,当他访问无线网时,不能看视频,不能访问微博,QQ等社交应用,在非这些时间段内,则可以。比如同样是在教学楼内,同样一个SSID,如果是学生账号接入,不能访问校园网内的某些地址段,但如果是教师账号接入的话,则不受影响。再比如一个老师,使用他的无线上网账号,当他使用PC登录时,可以访问校园网内的教务管理系统,但如果他使用该账号用手机登录时,则不允许访问教务管理系统。
通过以上描述的应用场景进行灵活的安全策略控制,进一步保障无线校园网的安全。
2、采用学校独立建网的建设模式(多运营商租用校内网络)
当前无线校园网络的建设通常包括:(1)与运营商合作建设 (2)学校独立建设两种模式。
(1)与运营商合作建设模式
所谓与运营商合作建设,就是在无线校园网建设的过程中,由某一家运营商出资建设无线网络,实现特定区域的无线覆盖,运营商宽带业务和校园内网应用共享系统容量。
运营商建设无线网络的出发点是扩大运营商无线宽带业务的覆盖范围,因此其网络设计理念往往是以满足无线宽带用户上网,通过时长或流量进行计费。
优点:
设备由运营商提供,学校不需要任何投资,就可以实现无线网络覆盖。
缺点:
由于运营商无线网络的建设是以提供无线宽带上网服务,实现宽带收入为目标的,与无线校园网作为校园信息化主体基础设施,为各项校园内网应用(如数据共享、校园导航、在线课堂、视频点播、无线视频监控、无线一卡通等)提供高质量传输的功能目标存在明显差异,因此从技术上难以满足无线校园网应用对高带宽、快速漫游和网络安全特性的需要。
频率资源是非常有限的不可再生资源,2.4GHz频率资源被运营商占用后,学校在同一位置将无法再使用相同频率的设备,否则将导致严重的相互干扰。因此,为了节约低廉的设备投资,而放弃宝贵的频率资源,并不符合学校的长远利益。
由于网络资产属于运营商,并由运营商统一管理和维护,因此学校在未来网络调整和故障处理时将处于被动地位,不得不向运营商申请,并等待运营商维护人员到现场处理,无法对各院系师生的要求作出快速反应。
运营商从投入成本核算的角度出发,往往采用较为低端的无线网络设备,在同时提供运营商宽带业务和校园内网应用的环境下,既无法确保不同应用之间的安全性,又不能保证校园内网关键应用获得优先级较高的QOS保障,因此将导致运营商宽带业务(尤其是基于Internet的P2P应用)占用大量带宽,而校园内网应用无法正常运行的情况。
(2)学校独立建设模式
所谓学校独立建设模式,就是在无线校园网基础设施建设的过程中,由学校独立出资建设无线网络,独立进行设备选型,实现特定区域的无线覆盖,再与运营商进行横向合作的模式。
与运营商建设无线网络的出发点不同,学校独立建设无线网络的目标是实现高性能、高可靠性、多功能的安全无线网络覆盖,从而保障各种校园网络应用能够在无线校园网上顺利开展,以改善和提升校园信息化水平、校园网对广大师生的服务水平、同时通过信息化水平的改善来进一步推动教职员工工作效率的不断提升。因此,学校独立建设的无线网络往往从系统性能、容量、可靠性和安全性等角度出发,采用蜂窝架构部署高性能的企业级802.11ax无线网络。
典型的无线校园网络结构如下图所示。
优点:
由于学校在独立建设无线网络时是以满足校园网内部应用需要为目的的,因此无论从网络性能、可靠性和安全性等各个方面都能够切实考虑到各类校园应用的实际特点,从而可以支持这些应用能够在未来真正获得发展。
独立建设的无线网络可以提供更高的网络性能。
采用高性能的802.11ac wave2和802.11ax无线接入点,可以提供1.9Gbps以上的吞吐量,因此能够满足电子图书馆、无线视频监控、校园视频广播等各种校园应用的需要。
独立建设的无线网络可以提供更好的安全性。
采用专业的企业级多功能无线接入点可以实现2.4GHz和5.8GHz射频扫描和入侵保护功能,能够及时发现校园网中存在的非法AP,并自动对其进行压制,以避免外来人员通过这些非法AP侵入校园内网。
采用专业的企业级无线网络产品可以提供内嵌的硬件防火墙功能,并能够与无线连接控制进行联动,因此能够严格控制每一个用户的访问权限和带宽策略,并在发现违规用户或者异常终端时,自动将其断线,从网络中隔离开来,以避免其对网络的影响。
采用专业的企业级无线网络产品还可以提供基于用户身份的差异化策略控制和带宽管理功能,使无线校园网的用户管理更加安全和灵活。而运营商建设网络时出于尽量压缩成本的考虑,往往采用较为低端的无线网络产品,因此通常不能实现上述用户管理和控制功能。
网络的运行、维护和管理更加方便。
由于网络资产属于学校,因此学校拥有对无线网络设备绝对的管理权,可以根据校园网应用的需要随时对无线网络进行优化调整和配置变更,快速满足广大师生的网络连接需求。
由于宝贵的频率资源保留在学校内部,因此在网络优化调整时可以简单地通过内部规划和动态射频控制技术在一套系统上实现频率资源的重复利用。
由于网络归属权在学校,因此学校在与运营商的合作谈判中可以始终掌握主动权。
在满足校园内网应用具有更高优先级的前提下,学校可以与运营商谈判开通宽带接入信号,既不影响校园网应用的正常稳定运行,又能满足运营商扩大无线宽带接入范围的需要,同时从运营商获得相应的回报(如租金、收入分成、或者免费宽带线路等),从另外一个方面收回无线网络建设的投资。
由于企业级无线网络支持多SSID技术,因此学校还可以与多家运营商同时谈判,同时开通多家运营商的宽带接入信号,并同时从多家运营商获得相应的回报。
缺点:
唯一的缺点是学校需要预先投资建设一套高性能的无线网络,但是这笔投资可以通过向运营商租借无线宽带信号的方式,或由运营商直接出资指定品牌的方式,并在长期内获得持续、稳定的收益。
在学校的自采无线设备上为每一个运营商单独开一个或两个SSID,无线用户流量统一经AC路由到各运营商BRAS设备。
3、无线用户的安全接入
为了保障无线用户以及学校信息资源的安全性,本次采购的无线产品需要支持业界完善且标准的安全加密及认证协议,如WEP、WPA、WPA2等加密协议,MAC认证、Web Portal认证、802.1x认证等认证方式。
4、用户无感知认证(与认证设备结合实现MAC+PORTAL组合认证)
Web Portal认证的现状
在各种无线网络用户认证方式中,Web Portal认证由于具有轻客户端特性,成为所有无线网络部署、尤其是无线校园网部署中使用最为广泛的认证方式。
然而,随着近年来浏览器种类日益多样化,浏览器安全设置越来越复杂化,以及OCSP协议等与HTTPS证书验证问题的出现,Web Portal认证也不时发生各种由于兼容性、安全性因素引起的Poral推送或者认证失败故障,从而导致用户投诉增加。
与此同时,由于Portal认证是一种三层认证,每次认证时都需要无线用户在认证页面上手工填写用户名和密码。因此,无线用户在使用上网过程中,由于在线状态超时、或者用户主动离线等因素,经常需要重复填写帐号和密码,以完成再次认证的过程,从而使用户使用的体验下降。
MAC地址认证的现状
为了解决Web Portal认证带来的用户体验不理想的问题,在安全性要求不高的环境下(如企业的访客上网,以及大学校园内的学生上网等),有许多用户正在考虑使用MAC地址认证的方式来替代Web Portal认证。
MAC地址认证是一种无感知认证,无线网络通过对终端MAC地址的识别来判别该终端是否为合法用户,不需要手工输入帐号和密码,无线用户的认证体验非常好。
但是,在企业访客上网以及高校学生上网这类环境中启用MAC地址认证存在这巨大的可管理性问题:
用户数量庞大,并且具有一定的流动性,使得MAC地址库的维护几乎无法实现
单纯的MAC地址认证与实际的用户帐号和身份之间没有对应关系,大大增加了在企业网和校园网上进行差异化策略控制和上网安全审计的难度
Web Portal认证与MAC地址认证很显然都有着各自的优势和问题,因此建议在深澜服务器上开启MAC缓存功能,在AC上配置同一SSID下MAC+PORTAL的组合认证,使无线用户既获得MAC无感知认证的便利性,又解决了MAC认证的可管理性问题。