校園網無線雙接入、雙認證、雙運營設計與實施

利用有線網絡中的匯聚層和核心層設備的路由功能，將不同類得用戶數據信息路由到不同的認證系統進行用戶認證，以實現網絡的雙認證功能，如圖所示。VLAN1的數據被路由到本地服務器進行出口的WEB認證，WEB認證服務器設在校園網的出口，學校用戶只有使用正確的賬號和密碼才能訪問外部資源，而校內的資源不需要認證就可以使用。

VLAN2的數據信息被路由到運營商的遠程RADIUS認證系統進行認證，要求無線客戶端得SSID網絡使用遠程MAC地址認證方式接入因特網。RADIUS服務器擔當認證、授權、計費服務的職責。

雙運營安全策略

目前無線設備一般支持三種加密技術策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是對無線網絡上傳輸的數據進行加密，希望達到有線網絡同樣的安全效果，根據密鑰產生的方式，又可分為靜態WEP加密和動態WEP加密。

靜態WEP加密技術是使用RC4串流技術對數據進行加密，而動態WEP加密則必須與802.1X認證方式綁定使用，并且RIDIUS服務器定期強制客戶端重新驗證并生成新的密鑰。

TKIP加密是在802.1X/EAP構架下，認證服務器接受了用戶身份后，使用802.1X產生一個唯一的主密鑰來處理會話，并通過安全通道分發到AP和客戶端，形成一個密鑰架構管理系統，通過主密鑰可動態生成一個唯一的數據加密密鑰，對無線網絡上的數據進行加密。

CCMP加密是基于AES加密算法，結合了用于加密的CTR和用于認證、完整性的加密塊鏈接消息認證碼，給無線網絡上傳輸的數據提供加密、認證、完整性保護功能。CMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。

CCMP包含了一套動態密鑰協商和管理方法，每一個無線用戶都會動態的協商一套密鑰，而且密鑰可以定時進行更新，進一步提供了CCMP加密機制的安全性。在加密處理過程中，CCMP也會使用48位的PN(Packet Number)機制，保證每一個加密報文都會是用不同的PN，在一定程度上提高了無線網絡的安全性。