《高校无线校园网安全研究与设计方案》18000字（论文）

前言1.1研究背景及意义1.1.1研究背景伴随着我国教育信息化和高校数字化校园建设的快速发展，有线网络在高校校园网建设中基本普及，并发挥着重要的作用。而在信息化时代，以教学、科研、互联网服务一体化的新趋势高校校园网为教师、学生和外国交流人员在学习、生活、工作和交流等方面提供了极大的便利。然而,尽管有线网络在高校校园网络中普遍完成建设,但由于受到电缆布局和其他因素的限制,一些地区的校园网络会出现盲点或无法连接情况,而无线网络的优点,如方便、灵活性、广泛的应用范围和较低的投资已充分展示。但是，无线网络也存在一定的安全问题。比如在校园中使用无线网络的用户他们可以不受约束随时随地访问网络，而这个网络安全漏洞为网络黑客攻击校园网提供了机会。而高校校园作为自由开放的思想安全领域，无线校园网在日益严峻的网络环境下无疑会给校园带来的潜在的安全威胁。因此，如何确保无线校园网处于一个网络安全、可靠的环境，是校园网络安全管理部门在高校网络建设过程中的重点工作。而且目前出现在网络犯罪分子的黑客技术层出不穷、变化多端，攻击校园网络安全的病毒载体种类和数量更是出现出不断增长的趋势，传统的网络安全防范保护措施在日趋严重的网络环境下已经不能满足现代化高校网络建设的安全要求。尽管高校不断加大在高校校园网络安全建设的力度，但如何建设出高质量安全可靠的校园网仍然是我们要解决的发展问题。1.1.2研究意义在互联网快速发展的时代，无线网络在高校网络建设中把灵活性、投资性和广泛应用等优势充分展示了出来。在高校信息化建设过程中，无线网络在高校教学、生活、工作中发挥着重要作用。而在目前社会中，大部分高校已经把无线网络作为有线网络的补充作为了高校信息化建设的重要组成部分。然而，目前我国无线校园网仍存在很多潜在的安全问题，这意味着我们在无线网络安全设计的过程中需要考虑更深层次的校园网络安全因素。但是，目前阶段国内在高校无线校园网的建设中的安全设计方面上的研究还相对较少。因此，针对这一问题的现状，根据国内高校网络数字化建设的发展趋势，结合教育需求把无线网络作为有线网络的补充，充分利用无线校园网的功能和应用提出无线校园网的需求及设计要点，并提出对应的安全措施，具有很高的理论价值。因此，如何在高校校园内构建出一个高效可靠安全的无线网络，使有线校园网真正成为无线网络的有力补充，形成一个综合性的校园网，提高校园管理水平和工作效率，保证高效无误传输信息，对大多数高校而言具有重要意义。1.2国内外研究现状1.2.1国内研究现状伴随着互联网技术以及高校信息化校园建设进程的不断发展，无线校园网络建设已经在各高校中被规划为校园网的基础设施，并在大部分高校中得到了部署和实施。而在高校网络中，网络安全建设一直是建设信息化校园亟待解决的一个重要的研究课题。与成熟的有线网络相比，无线网络作为近年来发展的技术，其网络安全建设问题必定是一个悠久的探索研究过程。且随着高校办学信息化与数字化校园服务规模的不断扩大，越来越多的线上网络应用不断增多，大部分高校在网络上的信息系统进行一些教学资源的使用与共享的行为也越来越多，无线网络在高校的应用必然会给校园网内部信息的带来潜在的安全威胁，同时会使校园内正常的网络秩序受到影响。而近几年来，无线网络的安全管理也在不断的引起研究人员的重视。2016年祁宏伟和白海艳学者在《高校校园无线网络安全技术研究》论文中，重点介绍了在校园无线网络中的安全技术及其应用，如通过802.1X端口访问控制技术对校园无线网络进行合法授权的用户接入限制和访问限制、使用校园无线网络临时用户的安全访问技术实现部分认证用户的安全管理、使用加强版的WEP加密技术降低非法入侵用户的入侵可能性等，为高校无线校园网的网络规划设计及技术应用提供了参考价值REF_Ref31572\r\h[1]。2017年在刘龙姣学者发表的关于802.1X认证认体系在高校无线网络中应用方面的论文中。主要针对无线网络采用RADIUS服务器结合802.1X认证体系的架构进行分析，通过介绍RADIUS协议的基础原理、应用以及AAA认证服务在RADIUS服务器的实现原理，在原有的高校网络架构上，对无线网络在功能模块上的应用进行规划以及无线网络拓扑设计，并且通过对校园网每一层架构中的网络设备如接入层交换机、无线控制器等进行具体的功能配置。此外，刘龙姣学者还在无线校园网的安全层面上进行了合理规划，并且针对802.1X认证带来的一些问题，提出合理可行的运维优化系统的设计方案，对802.1Ｘ认证系统和运维在高校中的应用起到了优化效果REF_Ref558\r\h[2]。2017年在陈瑞学者发表的《防火墙技术在校园网安全中的应用》文献中，指出了校园网络常见的安全问题，如存在系统漏洞、病毒和木马，校园网内外的攻击，无线密码篡改、网络窃听等威胁。并根据校园网所面临的这些安全问题重点对防火墙技术进行研究和分析，介绍了在访问控制技术、NAT技术、VPN技术、Web应用防火墙技术等防火墙技术下校园网得到了强有力的安全保障REF_Ref29948\r\h[3]。2018年在陆紫光学者发表的关于高校无线网络的安全现状以及安全防护策略研究论文中，对现阶段无线网络在国内高校校园网中所面临的安全威胁进行具体分析，介绍了无线网络应用在身份认证过程中三个基本安全认证机制，即基于mac地址的认证机制、基于共享密钥的认证机制和IEEE802.1x认证机制。还介绍了在无线校园网建设过程中关于网络安全方面常用技术，比如无线加密技术、用户访问权限控制、安全路由技术及硬件防火墙、身份认证技术等，并针对校园无线网的应用特点规划给出了几种安全可靠的校园网络解决方案REF_Ref30594\r\h[4]。2019年在王岩红学者发表的关于校园网络安全现状及优化探讨论文中，针对目前我国校园网络的发展趋势及特点，在当前高校校园原有网络架构上提出了一些优化改进的方法：从当前形势下国家方针政策及网络面临的主要安全威胁出发，改变当前高校网络架构，即把传统的基于三层网络架转变成扁平化架构，把在校园网中业务相近的系统或者一些零散的业务系统进行业务和数据整合，从而减少安全风险点和业务及数据冗余，提高高校校园网整体安全性；并且以强化边界防护、建立网络信息安全工作小组等。该文献围绕高校数据及信息安全对当前“管、建、用、并重”下的校园网安全实施策略进行了探讨，对校园网的整体安全稳定运行建设具有重大意义REF_Ref30679\r\h[5]。2020年杨虎学者在《高校WLAN建设规划与安全防护研究》中针对无线网络开发背景及国内外发展现状的研究，进一步分析包括组网模式、覆盖方式、射频技术、通信协议、加密方式等无线网络构建中的关键技术，并以甘肃工业职业技术学院校园无线覆盖规划设计为例，对现有无线网络现状、需求分析、设备选型、点位设计、运维管理、安全防护等进行详细的分析，同时以网络安全等级保护2.0标准为指导，针对该院校网络安全需求，规划了未来校园网络安全拓扑结构，并根据安全性和可靠性测试过程中存在的问题，提出后续解决方案REF_Ref117\r\h[6]。2021年金世龙和谷寅学者在《无线校园网建设规划与实践》论文中，主要从高校无线网络基础架构设计、规划和建设问题进行探讨，实现数据在全校范围内的互联互通、安全接入、资源共享等目标，并且根据国家发布的网络安全保护等标准设计出口安全防护策略，防止来自互联网的攻击，保证内网安全、稳定的运行REF_Ref1609\r\h[7]。1.2.2国外研究现状在国外，自20世纪60年代互联网技术诞生以来在生活中的应用无处不在，互联网技术与无线通信技术融合后，更是进入了飞速发展阶段，使得无线校园网在现代化校园的建设中变得势在必行。世界上第一个校园无线网络诞生于1994年的美国并于2000年美国费城的DrexelUniversity建设完成第一个覆盖全部校园的无线网络。目前西方发达国家如美国、英国、德国的高等院校多数已经建立起较为完善的无线校园网络。而随着在计算机网络技术领域的快速发展，各个国家的网络犯罪分子在网络上的攻击手段不可计数且司空见惯，这往往使得网络用户在上网过程中常常会发生信息泄露，造成了严重不良后果。特别是“棱镜门”事件后，各个国家在计算机网络安全上都部署了相应的网络安全策略，欧美国家也在涉及国家安全的网络信息安全领域大大增强了研究力度。伴随着计算机网络技术的快速发展，这些国家也相继研究出防火墙技术、入侵检测防御技术、杀毒与防病毒技术、系统漏洞扫描技术、身份认证技术、动态防御网络安全体系来解决网络环境中的安全问题REF_Ref979\r\h[8]。目前，国际上最普遍使用的信息安全审计方法主要是通过先进的网络技术的对互联网用户在上网过程中的操作行为以及在上网过程中产生的信息数据假定为不可信行为，再根据已定规则，把用户在网络中的行为进行分析、记录和数据挖掘进行比对，然后通过对比得出来的数据结果来确定该网络用户是否具有网络攻击以及给计算机网络安全中的信息系统带来威胁的操作嫌疑，以此来创建起一个相对安全的网络管理系统REF_Ref29307\r\h[9]。

2.相关技术介绍2.1VLAN技术\t"/item/VLAN%E6%8A%80%E6%9C%AF/_blank"虚拟局域网（VirtualLocalAreaNetwork，VLAN），是在虚拟路由接口下创建的逻辑分段。VLAN技术最早出现是由于传统的以太网交换中，所有用户共用一个广播域，而当在大规模网络中，如果在广播时出现大数量的用户同时使用时便会引起广播风暴现象，从而导致网络中数据的传输速率大大降低，甚至该区域的网络会引起瘫痪，而VLAN技术的出现就是用来解决局域网中的出现的冲突域、广播风暴及网络带宽等问题；且VLAN技术具有灵活特性，它不仅可以在同一个交换机连接所有网络中包含的用户，还可以通过跨越交换机甚至可以跨越路由器实现不同功能区域之间的通信，把不同用户合理的控制在所在区域的广播域范围，不仅解决了广播域问题，还在很大程度上减少了网络的管理和维护分担，使当前的局域网的安全性与网络处理能力得到了提高。VLAN主要有两种分组方式：第一种是依据互联网用户所在地区、部门以及所处岗位作用来进行vlan分组；第二种则是可以通过所在互联网用户使用的应用设备以及当前设备采用的协议来进行vlan分组。其实现原理如下：（1）静态VLAN配置交换机端口与VLANID对应绑定关系，即与这个交换机连接的这个端口只能对应所一个固定的VLANID，配置完成后，设备可以通过该VLAN的子网号来进行对应的端口进行匹配，因此，在配置静态VLAN时，需要给设备分配属于该VLAN网段的IP地址。一般配置完成后无法进行更改，除非重新配置。（2）动态VLAN动态VLAN是指在交换机设备上，自动为主机上的端口分配所属的VLAN。动态VLAN主要可以通过以下三种实现：1）基于MAC的VLAN（例如二层交换机）该动态VLAN主要是通过获取连接到的主机MAC地址，然后把该主机MAC地址存入到VALN管理的数据库中，然后自动的根据主机的MAC地址进行VLAN的划分，配置该类动态VLAN时，但由于在主机中的网卡中的物理地址都具有唯一性，因此，若交换机所连接的主机更换了网卡，则我们需要对交换机上的数据库重新存入新的MAC地址。2）基于IP的VLAN（例如三层交换机）于基于MAC的动态VLAN分配方式不同，该方式下的VLAN只要所配置的IP地址不变，则不需要对数据库进行重新设定，基于IP的VLAN主要是通过记录主机中的ID与VLANID的一一对应关系，自动为主机的子网ID设置成相应的VLANID。3）基于用户的VLAN根据操作系统的登录用户决定VLAN。（3）Access接口和Trunk接口交换机端口类型主要有接入端口（Access）和中继端口（Trunk）两种。其中，若交换机所连接的设备为笔记本电脑等移动设备，则使用Access口进行连接，Accessk口只能划分一个VLAN，并且仅对该VLAN的数据进行传输，而Trunk接口一般用来连接交换机与交换机之间或者连接路由器与路由器之间的通信，因此，如果我们要实现跨两台甚至更多交换机，则需要把该接口类型配置成Trunk接口。2.2VRRP技术虚拟路由冗余协议(VirtualRouterRedundancyProtocol，VRRP)，它是可以用来解决组网中单链路故障问题，是一种容错协议。它主要有Initialize、Master、Backup三种状态，VRRP命令中所配置的ip地址，相当于共享局域网内主机的缺省网关。另外，在VRRP配置中，我们可以设置多个不同的VRRP组，并把这些VRRP组加入到VRRP路由器中，且一台虚拟路由器上的Master设备只能配置一个，但是Backup设备却没有限制。VRRP工作原理如下：VRRP将把一个或者多个VRRP组加入到网络架构中的虚拟路由设备上，然后对每个VRRP组内的每一台虚拟路由设备配置IP地址充当局域网内主机的缺省网关，然后把该局域网内的终端设备的网关地址配置为该虚拟IP地址，从而在逻辑上实现将多个互相隔离的物理设备统一起来，使主机在传输给虚拟网关IP地址的时候可以自动的在多个物理网关接口之间进行选路。一旦网关设备发生了故障，VRRP技术能快速选择新VRRP技术能快速启动备用选网关设备作为主网关，承担数据流量，如图1所示：图1vrrp工作原理2.3MSTP技术多生成树协议（MultipleSpanningTreeProtocol,MSTP），它主要用来解决在网络架构中环路带来的广播风暴问题，MSTP兼容STP和RSTP，在网络中配置MSTP还可以达到冗余备份效果。MSTP在配置多生成树实例时，可以配置一个或者多个VLAN，配置成功后，交换机设备上会自动根据计算出来的MSTInstance优先级设置出每个端口的状态，我们可以根据优先级来确定网络结构中的根交换机，也可以通过修改它们的优先级来改变根交换机，以此来规划交换网络中的环路问题，使VLAN中的数据的达到负载均衡效果。2.4防火墙技术防火墙是一种应用于内网与外网之间、用来部署安全策略的网络设备，是一项信息安全的防护系统，它可以限制内网与外网之间的通信，保护内网中要传输到外网中的数据信息，是内网的一道屏障，进行安全过滤、隔绝外网攻击和有害的病毒程序等，如图2所示；防火墙主要有以下三种形式：（1）包过滤防火墙包过滤防火墙工作在OSI中的在网络层与传输层，其工作原理主要是管理员通过配置定义的特地规则，当防火墙设备获取到进出于计算机系统的数据包中的参数信息并对其进行解析后，便自动把这些信息与设定的规则进行比对，如果比对的结果满足设定的规则，则允许该数据通过。但是这种防火墙的安全性能较差，无法感知应用层信息。（2）代理型防火墙应用代理防火墙主要是针对在应用层之上所通信的信息流进行检测和扫描，代理防火墙如果检测到有恶意病毒或者程序入侵行为，则把该信息流隔绝在防火墙的外网中，该类型的防火墙具有较高的安全性。（3）状态检查防火墙状态防火墙是一种高级的动态过滤型技术。它主要是从应用层中基于TCP/UDP连接的协议信息的连接状态，判断该数据包是否通过。它的工作过程是：当应用层接收到网络中新的连接状态时，会与预先设置的规则相匹配，如果匹配结果满足策略要求，则进行连接，连接后该防火墙设备会把连接的信息以表的形式存留下来。在后续的应用层接收到新的连接的数据包后，与保存在状态表上的信息进行比对，若该数据包与状态表相符合，就可以通过。这种技术在性能和安全方面都比较高。图2防火墙区域划分2.5访问控制技术访问控制技术（Access

Control

List，ACL）是指通过对用户身份预先定义一些安全策略组，在数据传输过程中，限制用户对特定的网络资源进行访问，从而保障数据资源使用的一种手段。访问控制技术主要由主体、客体和控制策略组成，是在网络安全防御以及资源保护的重要战略之一。ACL工作原理主要预先配置规则，然后通过permit和deny两种动作，把通信中的信息流数据包与设定的规则条目进行匹配，若数据包满足设定的要求，ACL将对流量进行访问行为控制，从而保障数据的可靠传输。2.6NAT技术网络地址转换（NetworkAddressTranslation，NAT)，一种把私网IP地址通过转换使其在外网中以公有IP地址进行通信的技术，NAT技术一般应用在私网与公网之间的出口中，它不仅可以有效的解决私网IP地址不足的问题，还可以在通信过程中，使私网IP地址不被暴露在外网中，有效的阻止了私有IP地址受到外界的网络攻击，对网络内部的计算机起到保护的作用。NAT技术可以通过以下三种方法实现：（1）静态转换StaticNat静态转换是指在进行地址转化的过程中，其私网IP地址与公网IP地址是一对一匹配的，并且是固定不变的，静态转换一般用于对某些特定设备进行访问，比如外网访问内网中的server服务器。（2）动态转换DynamicNat动态转换是指在地址转化过程中,当满足私有IP地址被容许访问Internet信息资源，且在公网环境中可以被赋予合法的IP地址时，就可以采用这种方式。动态转换可以用来解决当网络服务提供商提供在外网的合法IP地址无法富足供应网络内部的计算机数量的问题。（3）端口多路复用OverLoad端口多路复用(PortaddressTranslation,PAT)，又叫端口地址转换，它主要是通过把要在公网中通信的信息流数据包源端口进行端口转换的方式实现地址转换。该类型的地址转换方式可以让内部环境中的主机在与外网通信过程中共享一个合法的外部IP,大大地节约IP地址资源。此外,端口地址转换还可以把内部网络的IP地址隐藏起来不外露在外网中,这使内部网络的计算机设备可以有效的减少来自网络安全如病毒的攻击。因此,目前网络中应用最多的就是端口多路复用方式。2.7无线技术无线局域网（WirelessLocalAreaNetwork，WLAN），不需要通过双绞线或光纤完成网络设备互联，是一种采用无线的方式把网络设备连接起来,从而使人们在网络中的构建和终端的移动变得更加灵活的无线技术，具有更灵活、成本低、高扩展性、便于集中管理等特点。WLAN是在有线网络的基础上扩展和蔓延出来的一种无线技术。WLAN接入速度同有线网络相比已经有了很大的提升，它可以以3G的速度在互联网中进行通信，在Wi-Fi6标准下速率甚至能高达9.6G以上。无线技术设备主要有胖AP和瘦AP两种类型，在网络建设中一般采用瘦AP较多，但是由于瘦AP不能独立工作，因此，会通过AC控制器与瘦AP设备组合使用，通过在AP无线设备上注册相应信息，然后传输到AC控制器上，再由AC控制器对对应的无线移动设备分配对应的地址信息。此外,WLAN可以采用802.11认证机制、AES数据加密、dotlx-EAP/radius认证、WPA/WPA2等安全标准进行通信，为无线网络用户在与互联网通信过程中提供了有力的安全保障。常见的加密方式包括:WEP(有线等效加密)和WPA/WAP2(WIFI网络安全接入)两种。2.7.1WEP加密方式有线等效保密（WiredEquivalentPrivacy，WEP）是一种在无线网络通信过程中，通过RC4加密算法即抓包、注入的一种无线加密方式。WEP加密要求AC控制器与AP无线设备中的密钥必须相同，否则对通信中的数据信息无法进行加密处理。但由于该加密手段比较简单，容易破解，因此安全性较差。2.7.2WAP/WAP2加密方式WAP是在WEP基础上延申和扩展出来的一种更安全的加密方式，主要采用的是RSA加密算法，但该加密方式与WEP相比，都大大增加加密过程中的初始化向量和密钥的长度，而WPA2的出现就是WPA的补充,它主要是采用AES加密算法，可以让局域网中的数据以及网络资源访问得到更好的保护和控制，在目前校园网络中应用最广泛。WAP/WAP2工作原理如下：首先无线设备AP通过广播把自身的SSID与MAC向控制器AC发出接入请求，AC控制器收到接入请求后向相应的加密工作站发起认证挑战，当工作站返回认证挑战结果反馈给无线AP设备，AP得到响应后把请求信息与反馈信息进行对比，建立认证。当认证通过后，AC控制器和无线设备AP会进行密钥管理，从而使通信中的数据加密出来。2.8GREoverIPSecVPN技术通用路由封装协议(GenericRoutingEncapsulation，GRE)，主要应用在网络层的一种隧道协议，常被应用在不同区域之间的VPN隧道，从而实现不同区域之间的通信，GRE技术具有GRE协议栈，如图3所示，它主要是对OSI第三层中协议中的信息流数据进行封装，然后再把封装好的信息放在另外一个OSI第三层协议中进行通信。GRE协议在通信过程中只提供了简单的隧道验证功能，没有对数据并没有进行加密处理，因此安全性较低。图3GRE协议栈IPSecVPN是我国VPN技术中普遍使用的一种技术，IPSecVPN与GRE相比，IPSecVPN不仅可以提供VPN技术，还可以对通信中的信息进行加密加密。它不仅在通信过程中加入了头部认证和封装安全负载安全协议，还通过密钥管理程序和协议对双重加密处理，在此技术下通信的数据都具有高安全性特性。但是IPSec不足之处就是不能对局域网中的组播报文进行封装。结合IPSec和GRE技术的优缺点。把IPSec和GRE技术有效的结合起来，不仅可以使隧道中两个站点之间的数据在通信过程中安全传输，同时也为路由协议协议报文进行了隧道封装。2.9本章小结本章主要根据高校无线网络的技术特点，介绍了可能在网络规划和实施中需要用到和实现的技术，如：VLAN技术、VRRP技术、MSTP技术、防火墙技术（访问控制技术、NAT技术)、GREoverIPSecVPN技术和无线技术。通过介绍的无线校园网建设过程中所涉及的技术，为后续在进行无线校园网络拓扑设计中，设计出一个能满足校园网中的各种业务需求且安全可靠的无线校园网。

3高校无线校园网需求分析3.1无线校园网设计原则（1）可用性冗余能确保网络高可用性，冗余通过向网络增添多个相同的网络连接设备或者多条冗余线路来预防因为设备故障或者其它因素导致的网络故障。另外网络可用性还与网络可恢复性有关，在高校校园网络中，很多时候机算机网络会面临自然灾害或非自然灾害甚至是管理人员的不当操作引发的一系列问题，这个时候，配置冗余技术就可以避免在设备故障导致该设备上的数据信息丢失。（2）高性能在进行设备选购时，要选择性能强，性价比高的机器设备，保证校园网络在日益复杂的网络环境下仍然能够克服信息量爆炸的挑战，使校园设备在日常办公中仍然能保持良好高速的反应能力，为高校校园网络提供良好的稳定性。（3）可扩展性根据教育部门对高校的人才培养方向不难看出，各高校在每年招生人数上都有上升趋势，因此网络用户使用量、应用以及新业务也应相应的增多，此外，高校数字化建设也在不断的推进，因此，提前做好网络可扩展性规划可保证校园网络建设发展需求，便于校园网络的稳定发展。（4）安全可靠性无论是在校园网还是其它网络中，网络环境的安全在网络建设过程中都起着至关重要作用。在校园网中，人为错误操作或者使得网络犯罪行为攻击都可能使该校园网受到安全威胁，因此，在设计网络时，要充分从网络架构、防御技术以及路由策略等多方面考虑网络的安全性，确保达到保护校园中的重要数据、各种硬件设备和软件应用等资源不被盗取篡改和破坏的要求。3.2无线校园网络基本架构需求在网络设计中，根据校园网特点，从核心层、汇聚层、接入层进行需求分析，同时考虑无线网络在校园网络中的接入、无线网络与有线网络之间的有效结合，并采用防火墙设备来保证外网到内网间的安全，具体需求如下：（1）核心层三层架构的核心层是网络的高速骨干部分，它可以把从汇聚层的接收到的数据进行快速处理并且讯速转发到其他网络中，是一个快速、可靠的网络架构中的重要组成部分。另外，核心层交换机设备的端口数量比汇聚层交换机和接入层的端口数量更多且带宽高，因此拥有更高的可靠性、冗余性、吞吐量等和相对较低的延时性。高校校园网网络架构规模相对较大，且校园网用户数量多、流量大，需要的网络可靠性较严格，因此在设计核心层校园网时需要采用双核心交换机模式，并且通过链路聚合技术、冗余技术、生成树协议来保障校园网处于一个安全且可靠的环境，当网络架构中的设备出现单点故障问题时，两个核心交换机可以提供快速的数据包交换，组成高速交换骨干。另外，位于核心层的交换机设备，不仅需要具备高速三层甚至多层交换的能力，还需要支持通用的网管协议、千兆高速上连等。（2）汇聚层汇聚层交换机主要连接在核心层交换机与接入层交换机中间，主要在校园网络架构上起到纽带的作用。汇聚层交换机下层接口可以与一台或者数台接入层交换机设备相连，上层接口与核心层交换机相连。它主要作用是把与接入层交换机在通信过程中所接收到的数据信息进行处理，然后把处理好的这些数据信息转发到上层接口核心交换机设备上。因此，汇聚层设备应符合以下要求：1）具备基本二层或三层交换能力并且能支持千兆高速上连。2）支持冗余、生成树等技术且设备部件须易于更换。3）具备充裕和强有力的网络安全监控以及网络控制能力（3）接入层网络接入交换机用于支持用户直接接入网络，应符合以下要求：1）可提供多种固定端口数量选择，可堆叠易于扩展接入端口数量。2）性能突出，价格便宜。3）使用方便，即插即用。4）对网络控制能力和服务质量要有一定的保障。具备源IP地址、端口号等五元素绑定的接入控制功能，还要支持包括802.1x、WEB等多种认证功能。3.3无线校园网络需求为加强该高校网络的先进性、扩展性、灵活性、流动性，使用无线网络作为有线网络的补充和增强。该高校的主校区与分校区无线网络采用AC+瘦AP的网络架构并根据高校空间格局和活动人员密度特点合理设计无线AP数量及安装位置，其中汇聚交换机通过宽端口连接到主干光缆，千兆端口连接到接入交换机和AP，接入交换机通过百兆以太网接口连接到有线网络，每个AP旁边提供电源接口，并且通过无线网络控制器统一管理。不同功能区域无线设备需求如下：（1）教学楼教学楼主要为教学活动所服务，除了教学过程中所需用到的计算机和多媒体设备需要接入网络以外，笔记本电脑、平板电脑和手机等无线终端也需接入到校园网中。因此，需要在教学楼A、B、C栋的每一层的教室都部署上AP设备，对教学楼的无线信号进行高密覆盖，并且把每个室内AP接入的用户数量控制在60人，从而保证在教学过程中的无线网络稳定使用。（2）实验楼实验楼教室主要分为两种，一种是无配置计算机设备纯实验设备的实验教室，如用来提供给化学专业学生实验的教室，该类实验楼教室只有手机设备进行无线网络的连接，因此只需要在每层楼层两个教室设置一个AP设备，为学生用户提供基础的无线网络。另外一种是计算机机房，主要是供计算机专业的学生进行日常上课与操作类型的实验室，该类实验楼教室要求无线网络信号和无线网络接入的用户数量较多，一般在每个室内都部署上AP设备，并且把每个室内AP接入的用户数量控制在100人。（3）办公楼主要用于对校园各种业务办公，该区域人数较少，只需要在每三间办公室室内安装一台AP设备，供办公人员使用。（4）图书馆主要为电脑室计算机设备、笔记本电脑、平板电脑和手机等无线终端提供无线校园网。用户人数适中，只需要在图书馆每一个区域部署一个AP设备即可，并把每个室内AP接入的用户数量控制在80人。（5）宿舍楼重点覆盖区且宿舍楼的用户必须全部并发，通过在每层楼部署一个母AP,然后每间宿舍内安装一个子AP,让宿舍楼每一个用户都能够接入无线网络。3.4无线校园网络安全需求网络安全是校园网络安全的重要基础，合理的网络安全控制，可以使校园网中的信息资源得到有效的保护。目前网络安全方面存在的威胁主要有以下几个方面：①非授权访问②信息泄漏或丢失③破坏数据完整性④拒绝服务攻击⑤利用网络传播病毒为了能够一个安全可靠的校园网，可以从以下几个安全策略来提高校园网的安全性：部署DHCPsnooping技术高校校园网各个不同功能区域计算机设备主要由DHCP动态分配IP地址，通过在交换机上配置DHCPsnooping技术可以防止网络中的非法的\t"/item/DHCP%20Snooping/_blank"DHCP服务器对高校计算机设备配置非正常IP地址，可以有效的防止犯罪分子通过ip欺骗窃取高校用户信息。访问控制策略通过访问控制策略来控制不同功能区域之间可以互相通信，从而控制用户之间的网络访问。防火墙控制校园网出口采用防火墙接入外网，将连接在防火墙上的不同接口加入不同的安全区域，并在防火墙上部署相应的安全策略。校园网中的主校区与分校区采用GREoverIPSecVPN技术保证两校区的数据安全传输。无线加密策略通过CAPWAP加密隧道模式把数据信息进行安全封装，然后采用WAP/WAP2认证方式确保在无线AP接入点上的信息数据与无线控制器AC上的数据之间在通信过程中的安全。3.5本章小结本章主要介绍以某高校为背景的校园网络的基本需求，通过分析校园网设计原则、校园网络架构需求、无线网络需求、网络安全需求为后续设计打下基础。

4高校无线校园网安全研究与设计方案4.1网络总体描述本论文设计为高校无线网络安全研究与设计，主要设计主校区和分校区两个校区，按照校园不同功能区域和功能主校区划分为教学楼、办公楼、宿舍楼、实验楼、图书馆，分校区划分为综合楼与宿舍楼，按照校园网不同安全区域把内网区域划分为trust区域，数据中心（服务器群）划分为dmz区域，外网区域划分为untrust区域，具体校园网设计见图4所示。为保证\t"/l1730669/article/details/_blank"内网运行性能，每一个部门单独一个VLAN,进行合理规划IP地址，具体规划见4.2，两个校区网络的架构采用核心-汇聚-接入的方式，在本次设计方案中，网络核心层由两台华为S5700型号的高性能三层交换机组成，并且在该设备上配置多生成树协议和虚拟路由冗余协议，以此来解决校园网络中的冗余问题，确保校园网中的数据能够以最优的路径转发出去，并且控制校园网中的流量，从而达到负载均衡效果，提高整个校园网络系统的可靠性。另外，不同功能区域主要通过DHCP协议动态配置移动设备地址，并且在接入层交换机上引入DHCPsnooping协议，防止网络犯罪分子通过不法DHCP服务器对校园设备进行网络攻击，从而窃取校园网信息。两校区采用AC（AC6005)和FITAP(AP2050)搭建局域网，并在两校区互联网区域部署防火墙，通过安全策略限制内网用户与外网用户的访问权限，防火墙安全部署可以有效防止外部网络攻击。外网通过一台路由器作为接入设备与两校区进行连接，防火墙、路由器之间部署OSPF协议，通过路由协议重分发，实现IP核心网络互通，在IP核心网络基础上通过GREoverIPSecVPN技术实现两校区之间数据安全通信。图4无线校园网拓扑设计图4.2IP地址规划4.2.1设备接口IP地址规划核心交换机下行链路接口根据校园不同功能区域划分的vlan对应在交换机、防火墙配置不同的vlan虚拟接口ip，主校区核心交换机A-core1配置对应vlanifx的虚拟接口ip为192.168.x.252，核心交换机A-core1配置对应vlanifx的虚拟接口ip为192.168.x.253，从而实现各交换层数据的正常通信，分校区同理，具体设备接口IP地址规划如表1所示：

表1设备接口IP地址规划设备名称型号接口IP地址/掩码网关FW_AUSG6000Vlanif1354/24/Vlanif1454/24/GE1/0/1/24/GE1/0//24/A_core1S5700Vlanif252/2454Vlanif352/2454Vlanif452/2454Vlanif552/2454Vlanif652/2454Vlanif752/2454Vlanif852/2454Vlanif952/2454Vlanif1052/24Vlanif1152/2454Vlanif12/24/Vlanif1352/24/Vlanif15/24/A_core2S5700Vlanif253/2454Vlanif353/2454Vlanif453/2454Vlanif553/2454Vlanif653/2454Vlanif753/2454Vlanif853/2454Vlanif953/2454Vlanif1053/24Vlanif1153/2454Vlanif1453/24/Vlanif15/24/AC1AC6005Vlanif12/24/FW_BUSG6000Vlanif5052/24/Vlanif6053/24/GE1/0//24/GE1/0/254/24/B_core1S5700Vlanif2052/2454Vlanif3052/2454Vlanif40/24/Vlanif5052/24/Vlanif10052/24Vlanif10152/2454Vlanif102/24/B_core2S5700Vlanif2053/2454Vlanif3053/2454Vlanif40/24/Vlanif6053/24/Vlanif10053/24Vlanif10153/2454AC2AC6005Vlanif102/24/AR1AR1220GE0/0/0/24/GE0/0//24/G1/0//24/4.2.2业务地址分配校园局域网IP地址规划采用私有地址段，主校区内部部门规划为/16网段，分校区规划为/16网段，各移动设备通过DHCP动态获取IP地址。具体如表2：表2主机IP及对应VLANVLANVLAN描述设备IP地址/掩码网关VLAN2教学楼APc/2454主校区（trust)VLAN3教学楼BPc/2454VLAN4教学楼CPc/2454VLAN5实验楼Pc/2454VLAN6图书馆Pc/2454VLAN7办公楼Pc/2454VLAN8女宿舍Pc/2454VLAN9男宿舍Pc/2454VLAN10无线设备业务vlanAP/24VLAN11无线设备STA/2454VLAN20综合楼Pc/2454分校区（trust)VLAN30宿舍楼Pc/2454VLAN100无线设备业务vlanAP/24VLAN101无线设备STA/24544.3本章小结本章主要根据高校无线网络需求，设计出无线高校校园网拓扑图，并对该高校校园网络拓扑图进行vlan划分与IP地址规划。

5高校无线网网络设计仿真实现5.1网络仿真配置5.1.1接入交换机配置接入层主要用于实现子网的连接和通信，本设计中用五个接入层交换机根据不同区域和功能把主校区划分为教学楼、图书馆、办公楼、宿舍楼以及实验楼，分校区划分为综合楼、宿舍楼，接入层交换机主要是配置各功能区域的vlan以及部署DHCPsnooping技术，DHCPsnooping技术可以有效的防止非法的DHCP服务器对移动设备分配地址，接入层具体配置思路如下：添加vlan并为接口划分vlan：以教学楼为例，把与核心交换机设备连接的接入层接口(g0/0/1)配置为trunk口，所有vlan都被允许通过；与教学楼A、B、C用户设备连接的接口配置为access口，并分别划分为vlan2、vlan3、vlan4；与无线设备ap连接的接口配置为trunk口，并且配置该端口的缺省VLANID为vlan；配置DHCPsnooping相应命令：首先开启DHCPsnooping全局功能，然后进入连接在用户设备上的接口，开启用户接口下的DHCPsnooping功能，最后在接入层的上联接口上配置相应的trust功能。5.1.2汇聚层设备配置汇聚层五个交换机主要起到承接作用，在校园网搭建过程中五个交换机配置简单且相似，配置思路如下：vlan配置：添加对应的vlan，并且配置连接在汇聚层交换机上的端口为trunk口，且允许所有vlan通过；配置生成树协议：首先要进入多生成树域视图，再配置相应的多生成树域名，这里要注意所有设备的生成树域名必须保持一致，否则无法生效，然后通过Instance命令把我们指定的vlanid映射到对应的生成树实例中。在本次设计中主要把vlan2、vlan3、vlan4、vlan10、vlan11划分到生成树实例1中，其余划分到生成树实例2中。5.1.3核心层设备配置DHCP配置两校区不同功能区域通过DHCP对移动设备动态分配IP地址，以主校区为例，在核心交换机A-core1开启DHCP全局功能，创建地址池并宣告对应的网段信息，如教学楼A移动设备宣告为/24网段，最后,在相应的虚拟接口下关联对应的DHCP服务器。由于核心交换层配置了相应的冗余技术，因此为以核心交换机A-core2为根交换机的移动设备配置相应的DHCP中继技术。链路聚合配置以主校区为例，在核心交换机A-core1和A-core2上配置链路聚合，也就是在核心交换机A-core1和A-core2之间增加两条链路从而使实现高冗余备份，防止网络中出现单点失效情况，从而使校园网更加可靠。配置步骤如下：首先创建Eth-Trunk接口，然后把g0/0/1和g0/0/2接口添加到Eth-Trunk下，并且允许所有的vlan通过。VRRP+MSTP配置（1）VRRP配置：在核心层交换机A-core1和A-core2上配置VRRP，为每个vlanif接口配置虚拟网关，并且通过修改对应的优先级指定vlan2，vlan3，vlan4，vlan5、vlan11的流量优先走核心交换机A-core1，核心交换机A-core2作为备份，vlan5，vlan6，vlan7，vlan8，vlan9的流量优先走A-core2，A-core1作为备份。另外，在核心交换机设置监视端口配置，当端口端口时自动把优先级裁减10。（2）配置MSTP协议：首先进入多生成树域视图，再配置相应的多生成树域名，然后在A校区的核心交换机A-core1上设置实例l为主，实例2为备，A-core2上则配置相反。配置vrrp+Mstp技术可以解决网络中冗余问题，确保校园网中的数据能够以最优的路径转发出去，并且控制校园网中的流量，达到负载均衡效果。OSPF路由协议配置配置OSPF协议：首先在核心层交换机A-core1、A-core2和防火墙FW_A上区域配置为区域0，然后宣告相应的网段从而使设备能够精确匹配所通告的网段。其中核心交换机需要宣告所有连接接口上的网段，防火墙只需要宣告连接内网与服务器上的接口网段。5.1.4无线配置在本次设计中配置无线局域网主要将AC设备与AP设备配合使用。无线设备AP在局域网中可以将设备中的有线数据转换成无线数据并发送到用户，在无线网络中，无线设备AP主要起到中继放大的作用。在该无线校园网络中，首先通过CAPWAP加密隧道协议保证数据在无线接入点AP设备与无线控制器AC之间可以安全传输，再通过WEP/WAP2身份认证进行结合的加密方式，提高无线网络的安全性，以主校区为例，主要配置如下：配置vlanif12作为AC控制器的源接口；创建域管理模板，然后为AC控制器配置对应的无线网国家码，最后引用域管理模板；创建AP组group1，并且把校区中所有的无线设备AP都加入到group1中；分别创建安全模板（security-profile）、SSID模板、VAP模板引用VAP模板，并且配置无线网络在校园内的射频。5.1.5防火墙配置在本次无线校园网络设计中，防火墙网络安全方案如下：划分安全区域:本次校园网把内网、数据中心、外网分别划分为安全区（Trust）、非安全区（Untrust）、非军事化区域（DMZ）和本地区域（Local），即把连接在防火墙上的接口g0/0/0、g1/0/0以及Tunnel1隧道口加入trust区域，g1/0/1接口加入untrust区域，g1/0/2接口加入到dmz区域，其区域安全优先级分别为85、5、50、100；初次配置防火墙，需要对其账号密码进行修改，现将防火墙登录账号密码设置为：admin；Admin@xiaoyuan。（2）开启相应的出口防火墙攻击防范:防火墙默认中所有的安全防范功能都处于disable状态；为了提高校园网络中的安全性，需要开启防火墙中的安全防范功能，如开启防火墙port-scan（端口扫描攻击黑名单）防范功能、防火墙icmp-redirect（重定向报文控制）防范功能等，具体防火墙安全防范功能开启见附录详细配置。（3）安全策略配置：配置相关的安全策略允许主校区内网可以访问外网、外网服务器以及主校区数据中心，外网不允许访问内网，分校区配置原理与主校区一样。此外，为了避免教学设备遭到不良网站的攻击以及让学生正确利用教学资源，打造出一个积极向上的学习氛围，因此对教学区域的计算机设备做访问权限控制，不允许教学楼区域的计算机设备访问Internet上的娱乐型网站，比如游戏网站、网络娱乐视频、社交平台等，具体配置详情请见附录相关安全策略配置。（4）NAT配置：配置nat技术实现私网地址转化为公网地址，使私网IP地址不被暴露在外网环境中，具体配置如下：首先加入nat安全策略，然后配置相应的规则名、源区域、nat出口、需要转发到公网的源地址等即可。（5）GREoverIPSecVPN技术配置：配置思路如下：1)首先创建隧道接口并配置对应的隧道IP地址，开启GRE服务，配置对应的隧道源地址与目的地址并且开启相应的功能，如ping功能；2）配置第一阶段：首先配置ike隧道安全提议，然后设置对应的加密算法、认证算法、认证方式，配置通信中的预共享密码，以及合法对端IP地址；3）第二阶段配置：通过acl配置隧道中的感兴趣流以及对感兴趣流进行加密；4）对第一阶段和第二阶段进行关联；5）把相关配置用于到隧道对应的接口上。（6）访问控制配置：为了提高校园中的办公楼数据安全，在各功能区域通信中，只允许分校区综合楼对办公楼进行访问，其他均禁止，但其他功能区域之间可以正常通信，配置思路如下：首先配置自定义一个基本ACL编号为2001，然后配置所需要禁止的区域网段规则，然后进入到连接在办公楼上的汇聚层接口，把该策略规则关联到对应的汇聚层接口g0/0/3，方向为出方向。5.2网络仿真测试5.2.1DHCP测试开启无线校园网络拓扑设备，以主校区教学楼B功能区域pc2设备为例，首先打开移动设备，在IPv4配置上选择“DHCP”按钮，如图5所示，然后再选择“命令行”菜单栏进入命令行页面后输入ipconfig命令查看该设备是否能够正确获取到IP地址，如图6所示，我们可以看到DHCP已经生效，教学楼B下的设备已经正确获取到IP。图5用户移动设备获取IP状态图图6用户获取IP图5.2.2内网测试（1）同vlan之间的通信测试：以主校区为例，测试实验楼移动设备PC4与pc14之间的连通性，通过ipconfig命令查看到PC4设备IP地址为51，pc14设备IP地址为50，输入ping命令，查看测试结果，如图7所示，同vlan之间可以正常通信。图7同vlan间通信测试不同vlan之间的通信测试：以主校区为例，测试教学楼移动设备PC1与教学楼B移动设备PC2之间的连通性，通过ipconfig命令查看到PC2设备IP地址为51，pc2设备IP地址为51，输入ping命令，查看测试结果，如图8所示，可以看出不同vlan之间可以正常通信。图8不同vlan之间的通信测试5.2.3外网测试以主校区男宿舍区域为例，测试宿舍移动设备PC8与外网用于测试的移动设备PC10之间的连通性，查看测试结果，我们可以看出宿舍移动设备pc8可以通过防火墙访问与外网移动设备通信，并且在防火墙出口的IP地址达到地址隐藏效果，如图9所示，而外网移动设备用户无法访问内网用户，如图10所示。图9宿舍楼用户访问外网图10外网访问内网用户5.2.4无线网络测试（1）以主校区图书馆上的AP无线设备为例，首先在AP命令行页面输入disarp命令查看无线设备AP与AC控制器之间的连接情况，如图11所示，我们可以看出AC控制器与无线设备AP已经建立连接并且为AP分配了IP地址。图11AP的IP地址图（2）启动无线移动设备STA，我们可以发现STA设备已经显示了对应的无线设备AP无线网信息，点击连接按钮并输入无线网络密码a1234567,点击确定后我们可以看到STA设备连上了校园无线网络，如图12所示。图12STA连接状态图（3）无线设备STA连接到校园WiFi后，在STA设备命令行页面输入ipconfig命令，此时我们可以看到，AC控制器为无线设备STA相应的分配了IP地址，如图13所示。图13

STA获取的IP地址图（4）测试无线移动设备STA与内外网连接情况：以主校区为例，分别测试无线移动设备STA与实验楼用户设备、外网设备之间的连通性，如图14所示，我们可以发现，连接到校园网的用户不仅可以和不同功能区域之间正常通信，也可以与外网正常通信。图14STA与内外网设备间的连通性5.2.5不同校区网络测试测试两个校区之间的连通性：通过ping命令测试主校区实验楼用户与分校区宿舍用户之间的连通性，如图15所示，我们可以看到，不同校区通信正常，并且对于在外网中的数据进行了加密处理。图15不同校区网络测试5.2.6核心功能测试（1）测试链路冗余性，以主校区为例，在核心交换机A-core1把端口g0/0/8down掉模拟故障，如图16、17所示，我们可以发现，以核心交换机A-core1为根交换机的链路由原来的master状态变成了backup状态，而原来的备用链路变成了主链路，说明的接口出核心层设备冗余性测试成功。图16交换机A-core1vrrp状态图图17交换机A-core2vrrp状态图5.2.7服务器测试（1）www测试：以主校区为例，分别测试内网客户端与数据中心服务器、内网客户端与外网服务器之间www服务。1)内网客户端与数据中心服务器www服务测试：首先在服务器上配置好相应的www服务，如图18所示，然后在客户端设备“基础配置”导航栏中测试与http服务器之间是否能够正常通信，如图19、20所示，我们可以看到，客户端用户可以与http服务器进行通信并且可以获取到相应信息。图18数据中心http服务器配置图19客户端用户与数据中心http服务器连通性测试图20客户端获取数据中心http服务器信息内网客户端与外网服务器www服务测试：首先在服务器上配置好相应的www服务，如图21所示，然后在客户端设备“基础配置”导航栏中测试与http服务器之间的连通性，如图22、23所示，我们可以看到，客户端用户也可以与外网http服务器进行通信并且可以获取到相应信息。图21外网http服务器基本配置图22客户端用户与外网http服务器连通性测试图23客户端获取数据中心http服务器信息（2）ftp服务测试：以主校区为例，测试内网客户端与数据中心服务器ftp服务,首先配置ftp服务器相应信息，如图24所示，然后在客户端设备“客户端信息”页面中填写相应的服务器地址，点击登录按钮，我们可以发现客户端获取到服务器上的文件信息，并且客户端用户可以相应的上传和下载相应的文件，如图25、26、27所示，在ftp服务器查看相关日志信息，可以看到相关上传及下载记录，如图28所示。图24数据中心ftp服务器配置图25登录ftp服务器并获取相应文件信息图26下载ftp服务器文件图27上传文件到ftp服务器图28ftp服务器日志（3）DNS服务测试：以主校区为例，测试内网客户端与数据中心服务器DNS服务,首先配置DNS服务器相应信息，如图29所示，然后在客户端设备“客户端信息”页面中填写相应的域名信息，点击获取，我们可以发现客户端获取到DNS服务器上的信息，如图30所示。