校园网无线双接入、双认证、双运营设计与实施

是通过AC对AP的USSID、射频以及认证方式进行设计，由于AC能控制的有限数量的AP，为了避免用户从一个AC控制的AP进入到另一个AC控制的AP时因需要网络重新连接、重新认证而发生网络中断现象，还需要在AC之间设计漫游。

为AC控制的每一个AP设置两个统一的SSID名称，分别是ChinaNet和GDSSPT如图一所示，ChinaNet为运营商提供无线服务，GDSSPT给学校用户提供网络服务，相同名称的SSID属于同一个VLAN。

AP射频的最大功率、支持的最大用户数、天线类型以及现场的可视情况等是AP部署方案的主要依据，AP部署是根据AP信号的覆盖范围和用户对网路的需求来确定AP设备安装的位置以及AP之间的距离。

无线双认证设计与实施

依据网络的体系结构，无线网络的认证可分为两大类，一类是无线链路认证，另一类是用户接入认证。无线链路认证是无线终端与无线AP建立连接时进行的认证，认证的结果是成功建立连接或不能建立连接，链路认证又根据是否使用密钥可分为开放式认证和共享密钥认证，开放式认证就是AP只要收到请求就同意建立连接，而共享密钥认证则是终端和AP必须使用相同的密钥方可建立连接。

用户接入认证是成功建立连接的基础上，网络控制设备对用户是否有权利访问网络进行认证，一般可分为预共享密钥认证(PSK)、802.1X认证、MAC地址认证等三种认证方式，也可以在有线网络中的认证系统，对来自无线网络的信息出口时进行WEB认证。

利用有线网络中的汇聚层和核心层设备的路由功能，将不同类得用户数据信息路由到不同的认证系统进行用户认证，以实现网络的双认证功能，如图所示。VLAN1的数据被路由到本地服务器进行出口的WEB认证，WEB认证服务器设在校园网的出口，学校用户只有使用正确的账号和密码才能访问外部资源，而校内的资源不需要认证就可以使用。

VLAN2的数据信息被路由到运营商的远程RADIUS认证系统进行认证，要求无线客户端得SSID网络使用远程MAC地址认证方式接入因特网。RADIUS服务器担当认证、授权、计费服务的职责。

双运营安全策略

目前无线设备一般支持三种加密技术策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是对无线网络上传输的数据进行加密，希望达到有线网络同样的安全效果，根据密钥产生的方式，又可分为静态WEP加密和动态WEP加密。

静态WEP加密技术是使用RC4串流技术对数据进行加密，而动态WEP加密则必须与802.1X认证方式绑定使用，并且RIDIUS服务器定期强制客户端重新验证并生成新的密钥。

TKIP加密是在802.1X/EAP构架下，认证服务器接受了用户身份后，使用802.1X产生一个唯一的主密钥来处理会话，并通过安全通道分发到AP和客户端，形成一个密钥架构管理系统，通过主密钥可动态生成一个唯一的数据加密密钥，对无线网络上的数据进行加密。

CCMP加密是基于AES加密算法，结合了用于加密的CTR和用于认证、完整性的加密块链接消息认证码，给无线网络上传输的数据提供加密、认证、完整性保护功能。CMP中的AES块加密算法使用128位的密钥和128位的块大小。

CCMP包含了一套动态密钥协商和管理方法，每一个无线用户都会动态的协商一套密钥，而且密钥可以定时进行更新，进一步提供了CCMP加密机制的安全性。在加密处理过程中，CCMP也会使用48位的PN(Packet Number)机制，保证每一个加密报文都会是用不同的PN，在一定程度上提高了无线网络的安全性。