华东师范大学校园网从1995年开始建立，经过10年不懈的努力，校园网已经基本覆盖全校所有的楼宇，学校总出口达千兆。校园网服务范围为除全日制本科生与研究生宿舍外的其他所有楼宇。学校采用千兆主干，百兆到桌面，无线采用802.11b/g自适应AP。目前网络设计的原则是，每20平方米一个点，每个房间至少两个点。

无线校园网部署情况

学校从2003年下半年起开始布设无线网络，开始在各单位零星设置，不能进行有效、统一的管理，且安全性较差。2004年底，校网络中心开始整合所有的无线资源，通过一些规章制度杜绝各单位自行设置无线网络，同时加大无线网络的铺设力度，提高无线网络的覆盖范围。目前全校无线覆盖范围是：校部和直属机关的会议室、各大楼的门厅、丽娃河沿岸、办公楼全覆盖，新校区各教学楼、行政楼全覆盖。室内无线覆盖主要采用Cisco公司的1130设备和昂科公司的无线设备，室外无线主要采用华为公司的wa1208室外设备。

全校无线网络部署时，对每一个无线AP设置双SSID，其中一个为Public，另一个为Private。Public的SSID对无线接入用户提供Portal认证，这个Portal认证同城市热点的Portal页面基本一样，所不同的是，城市热点的Portal是有线网络用户访问校外时才弹出，而无线网络的Portal当用户走出本段的网关时就必须弹出。这种方式简单易操作，不需要增加客户端，对用户端的操作系统也无特殊的需求，但安全性相对较差，在用户的手持笔记本与无线基站之间无法对数据进行加密，对无线用户来说存在一定的安全隐患。如果用户需要获得较高的安全性，只需要选择Private的SSID，就可以采用802.1x的方式进行认证，这样，用户的移动站同基站之间的数据就进行了加密处理，保护了用户数据的安全。

华东师范大学网络认证目前采用两套方案，无线网络认证方案和有线网络认证方案。网络认证方案的总体思路如下：所有桌面机的IP地址均采用DHCP的方法获得，且所有的IP地址都是公网地址，不需要进行IP地址的转换。用户只要插上网线就可访问校内的网络资源，如果用户需要访问校外的资源，则由校园网出口处的“城市热点”设备弹出Portal认证页面，让用户输入用户名与密码进行认证。所有的教师与学生都有一个账号，只不过在初始状态时，所有账号的余额都是0，一旦用户通过学校的自服务系统向自己的账户内充值后就可以激活账号。

统一身份认证的解决

华东师范大学目前已经建立了基于Sun IPlanet的Ldap认证中心。无线网络认证时，无论是Portal方式还是802.1x的方式，实际上是通过华为的Cams中提供的Radius进行认证，只是经过修改后的Radius服务器在收到用户的用户名与密码后是到Ldap认证中心进行认证，而对用户的计费等还是在本地Radius服务器中进行的。

华东师范大学无线网络主要有两部分应用，一部分是校内师生的使用，另一部分在学校宾馆内使用（因为宾馆建设较早，没有布置有线网络，为了不影响宾馆的正常营业，我们铺设了基于馈线的无线网络）。为了实现一些特殊的功能，在无线AP对用户进行认证时，将认证请求发到Cams服务器，Cams服务器在收到用户的认证请求后，首先到学校认证中心进行认证，认证中心将返回以下几种应答：

认证通过

用户名与密码不正确

用户已被列入黑名单

用户名不存在

当Cams收到“用户名不存在”的应答后，在系统本地对用户进行认证。也就是说，认证中心的用户信息是Cams中用户信息的子集。针对Cams与认证中心用户信息的差集，我们可以定义一系列的规则。首先，我们给宾馆的前台以及学校的对外联络办等部门各提供一个特殊的Cams操作员账户，并赋予一些权限。这些权限包括，宾馆的操作员只能开一些在特定的AP（通常是宾馆内部）上使用的无线账号，宾馆可以按天对这些住店的客人进行结算，同时开户也不需要网络中心的参与。而对外联络办通常只开一些临时的账户，这些账户可以在全校所有会议室所属的AP上使用，因为这些流动性较大的客人一般逗留的时间较短，通常只在会议室内使用。

安全性的解决

由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据。因此，必须从多方面防止非法终端接入以及数据的泄漏问题，为了提高无线网络的安全性，可以从以下几个方面入手。

防止未经授权用户的接入

（1）我们可以使用各种先进的身份认证措施，防止未经授权用户的接入。

采用Web+DHCP认证的办法，当用户通过网关时由网关设备自动弹出Portal认证页面进行认证。

使用802.1x端口认证技术进行身份认证，通过使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络盗用数据或进行破坏。

（2）利用MAC阻止未经授权的接入行为。

众所周知，每块无线网卡都拥有唯一的MAC地址，为AP设置基于MAC地址的Access Control（访问控制表），确保只有经过注册的设备才能入网。

防止网上邻居的攻击

目前，我校部署的AP都具有用户隔离技术，避免用户进行网上邻居的攻击。在某些场合（特别是在公共场合），用户信息的私密性显得尤为重要，通过AP提供的用户隔离技术，采用数据报文传送地址分析的方法，控制在无线网络覆盖区域中出现的网上邻居之间不安全的访问问题，进而避免网上邻居的攻击。

防止非法用户截取无线链路中的数据

使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译。

(1)基本的WEP加密。WEP是IEEE 802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即设置WEP密钥。

(2)采用证书机制，在AP和移动站之间采用非对称密钥进行加密，最高强度可以到512位，最大限度保护用户数据的安全。

防止非法AP的接入

利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入。在无线AP接入有线网络的时候，会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。我们使用AP支持的IEEE 802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效地防止非法AP的接入。有些AP不支持IEEE 802.1x，则需要通过定期的站点审查来防止非法AP的接入。

在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点存在的几率。选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

限制企业内部未经授权的跨部门使用

利用ESSID，MAC限制防止未经授权的跨部门使用，采用ESSID进行部门分组，有效地避免任意漫游带来的安全问题，MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源。我们网络中心的AP就设置了特别的ESSID，同时采用了基于MAC的访问控制列表，防止其他部门的用户连入网络中枢。

综上所述，华东师范大学的无线网络是基于安全认证的系统设计思路。笔者相信，随着无线局域网的普遍应用，新网络规划方法的出现必将为建设大规模的无线局域网提供有效的解决思路，使得无线局域网不仅仅是有线互联网的补充，而有可能成为一种与其他网络共存的高速无线网络。
                                                     《中国教育网络》06年5月刊