基于RADIUS技術(shù)的無(wú)線(xiàn)網(wǎng)絡(luò)安全管控系統(tǒng)的升級(jí)及擴(kuò)容

徐雷

摘要：無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)在給我們便捷性同時(shí)帶來(lái)安全風(fēng)險(xiǎn)，隨著單位里對(duì)wifi技術(shù)認(rèn)知的加深，移動(dòng)智能設(shè)備的普及量加大，及新媒體、APP技術(shù)的利用都在日益擴(kuò)大，不僅僅有安全認(rèn)證方面的問(wèn)題，在wifi覆蓋和用戶(hù)認(rèn)證體驗(yàn)上的優(yōu)化需要，無(wú)線(xiàn)地址段的使用，同時(shí)使用時(shí)設(shè)備容量的問(wèn)題都是亟須解決的，后期新增設(shè)備布局的問(wèn)題，新老wifi技術(shù)的兼容，大量用戶(hù)，不同樓層間的游離用戶(hù)穩(wěn)定性都對(duì)我不久之前剛建立的認(rèn)證體系形成了很大的挑戰(zhàn)。

關(guān)鍵詞：RADIUS；無(wú)線(xiàn)網(wǎng)；安全驗(yàn)證；MAC綁定

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）18-0047-02

1系統(tǒng)問(wèn)題產(chǎn)生背景

1.1無(wú)線(xiàn)入網(wǎng)系統(tǒng)初期運(yùn)行狀態(tài)

1.1.1原有系統(tǒng)描述

我在前幾年建設(shè)的安徽?qǐng)?bào)業(yè)大廈一套可以辨別用戶(hù)的優(yōu)先保障正常工作附帶安全管理的無(wú)線(xiàn)網(wǎng)絡(luò)安全管控系統(tǒng)，具備安全高效低成本的特征。在安全管理上，避免了沒(méi)有申報(bào)授權(quán)用戶(hù)接入訪(fǎng)問(wèn)網(wǎng)絡(luò)，即使有人可以破解無(wú)線(xiàn)網(wǎng)連接的秘鑰等驗(yàn)證接入了無(wú)線(xiàn)網(wǎng)也不能訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，干擾不到其他無(wú)線(xiàn)終端；使用了綁定用戶(hù)密碼和MAC地址等措施，當(dāng)一個(gè)用戶(hù)在首次成功登錄后即在服務(wù)器和設(shè)備上綁定，在我們的無(wú)線(xiàn)網(wǎng)中這臺(tái)設(shè)備就用不了其他用戶(hù)密碼登錄，這個(gè)用戶(hù)密碼也不能用在其他設(shè)備上了。在無(wú)線(xiàn)設(shè)備的選擇上，對(duì)AP和終端也沒(méi)有特別要求，只要是可配置的AP和支持wifi功能的終端都可以使用。在實(shí)用性上，配置簡(jiǎn)單快捷，利用原有設(shè)備，不需專(zhuān)業(yè)服務(wù)器，低成本實(shí)現(xiàn)，相比較以前無(wú)驗(yàn)證開(kāi)放式連接而言快速高效地解決了前期無(wú)線(xiàn)網(wǎng)絡(luò)安全管控問(wèn)題。

1.1.2原有認(rèn)證步驟流程

原有辦法是我們的用戶(hù)首先通過(guò)辦公系統(tǒng)申請(qǐng)固定賬號(hào)或者臨時(shí)用戶(hù)申請(qǐng)，通過(guò)秘鑰連接無(wú)線(xiàn)信號(hào)后再使用用戶(hù)名密碼的方式認(rèn)證，最終在服務(wù)器端通過(guò)并綁定。

1.2產(chǎn)生的主要問(wèn)題

在整個(gè)系統(tǒng)搭建完成后，初期運(yùn)行良好，所有移動(dòng)辦公和娛樂(lè)用戶(hù)都按本系統(tǒng)設(shè)計(jì)預(yù)期連接并完成認(rèn)證，效果很好，出現(xiàn)過(guò)一些認(rèn)證頁(yè)面和信號(hào)強(qiáng)度方面的問(wèn)題，也都解決了。但是運(yùn)行一年左右，隨著應(yīng)用方面的擴(kuò)大，申請(qǐng)賬號(hào)的增多，很多用戶(hù)陸續(xù)產(chǎn)生了每天需要輸入認(rèn)證很多次或者連接報(bào)錯(cuò)的故障，重復(fù)輸入給用戶(hù)造成很大的使用困難往往是用戶(hù)外出、經(jīng)過(guò)電梯都會(huì)出現(xiàn)問(wèn)題，還有用戶(hù)直接連接不上，同時(shí)給管理人員帶來(lái)很大的工作量。常見(jiàn)以下幾種問(wèn)題：

1）外出后常出現(xiàn)IP、地址mac不允許；

2）上下樓后經(jīng)常發(fā)生Ip已登錄；

3）待機(jī)后重新點(diǎn)亮移動(dòng)設(shè)備的屏幕有時(shí)出現(xiàn)不允許多人同時(shí)登錄。

如圖2：

2 問(wèn)題排查及方案選擇

2.1故障問(wèn)題測(cè)試

針對(duì)故障以上問(wèn)題我們發(fā)現(xiàn)分布在不同的樓層，各種無(wú)線(xiàn)設(shè)備下均有發(fā)生，而且有越來(lái)越多的趨勢(shì)，通過(guò)以下步驟：首先我們?cè)O(shè)定測(cè)試賬號(hào)；準(zhǔn)備不同系統(tǒng)的幾臺(tái)無(wú)線(xiàn)設(shè)備；每臺(tái)設(shè)備通過(guò)測(cè)試賬號(hào)登陸；新建測(cè)試無(wú)線(xiàn)信號(hào)新的ip段。

經(jīng)過(guò)反復(fù)登陸注銷(xiāo)，有幾個(gè)發(fā)現(xiàn)：在原有無(wú)線(xiàn)ssid信號(hào)中不同時(shí)間設(shè)備獲取地址會(huì)發(fā)生變化、登陸后在樓層間移動(dòng)一段時(shí)間設(shè)備會(huì)斷網(wǎng)并重新彈出認(rèn)證、還有部分首次通過(guò)上網(wǎng)過(guò)幾分鐘后斷開(kāi)認(rèn)證也彈不出入網(wǎng)頁(yè)面，每臺(tái)設(shè)備都出現(xiàn)這些問(wèn)題。在我們新建ssid信號(hào)中設(shè)備連接后很穩(wěn)定，移動(dòng)、待機(jī)、重連之后都沒(méi)有出現(xiàn)問(wèn)題。

2.2定位故障找出解決辦法

通過(guò)測(cè)試我開(kāi)始考慮是不是信號(hào)源出了問(wèn)題，檢查配置和后來(lái)建立的測(cè)試完全一樣，除了網(wǎng)段和網(wǎng)段里在線(xiàn)的IP地址，登錄核心網(wǎng)關(guān)查看正在使用出問(wèn)題的這個(gè)信號(hào)使用的IP數(shù)：

在這個(gè)網(wǎng)段中地址幾乎使用完，測(cè)試的地址段不用看了，剛建立的，也就是測(cè)試的幾臺(tái)地址。

我們這個(gè)無(wú)線(xiàn)系統(tǒng)設(shè)計(jì)初衷是安全、快捷，綁定區(qū)分每位用戶(hù)并隔離，開(kāi)始一百多個(gè)用戶(hù)，我們預(yù)定可分配網(wǎng)段地址是一個(gè)C類(lèi)地址段，當(dāng)使用幾年后用戶(hù)已經(jīng)超過(guò)三百人，目前已設(shè)定賬戶(hù)的用戶(hù)超過(guò)六百人，

在測(cè)試過(guò)程中發(fā)現(xiàn)的地址問(wèn)題首先我們?cè)诮壎ㄊ怯玫膍ac地址綁定，但在網(wǎng)絡(luò)轉(zhuǎn)發(fā)時(shí)其實(shí)用的還是ip地址，如上圖5在外網(wǎng)網(wǎng)關(guān)上顯示的還是ip地址名稱(chēng)，當(dāng)在設(shè)備上設(shè)定固定靜態(tài)地址時(shí)，終端相對(duì)穩(wěn)定的時(shí)間要長(zhǎng)些，我們?cè)诮粨Q機(jī)上設(shè)立的dhcp，在查看是發(fā)現(xiàn)一臺(tái)設(shè)備地址分配的情況

可以確定的是由于用戶(hù)地址發(fā)生變化導(dǎo)致一系列故障的產(chǎn)生，地址短缺發(fā)生地址變化和獲取不到地址時(shí)自然就出現(xiàn)上面的故障了并且由于地址數(shù)小于賬號(hào)數(shù)，不能設(shè)定長(zhǎng)期的租約。最終問(wèn)題明確了雖然沒(méi)有ip地址綁定，但在賬號(hào)數(shù)增長(zhǎng)的情況下需要固定地址并保證長(zhǎng)期不變。

2.3優(yōu)化方案構(gòu)思

我們的無(wú)線(xiàn)入網(wǎng)需要改變，一個(gè)必要的條件就是現(xiàn)有連接用戶(hù)端盡可能不改變連接入網(wǎng)方式及習(xí)慣，還有我們沒(méi)有大幅度調(diào)整設(shè)備的條件。

1）首先想到多增加幾個(gè)網(wǎng)段，每個(gè)從vlan44-vlan48每個(gè)地址段分布1至2個(gè)樓層，如下

在考慮后發(fā)現(xiàn)，必須能夠保證這些樓層的用戶(hù)互相之間都不能跨太多樓層，不然同一個(gè)用戶(hù)進(jìn)入其他樓層進(jìn)入不同vlan變了地址還是會(huì)重新入網(wǎng)一次，只能緩解基本靜止?fàn)顟B(tài)的用戶(hù)。

2）又想根據(jù)不同部門(mén)分配不同的地址段和無(wú)線(xiàn)信號(hào)，實(shí)際測(cè)試了一個(gè)樓層，工作量比較大，每臺(tái)設(shè)備AP上都要登入全新配置，配置全部不同，在技術(shù)實(shí)施上也出現(xiàn)了問(wèn)題，很多部門(mén)分散，有樓層部門(mén)超過(guò)5個(gè)，而有AP一個(gè)radio下只能綁4個(gè)信號(hào)源，直接就不能滿(mǎn)足，不過(guò)在測(cè)試的樓層確實(shí)運(yùn)行良好，在以后升級(jí)Ap，使用AC控制器瘦Ap方式下也是一個(gè)辦法。

3）最后只有擴(kuò)大地址段的辦法，在企業(yè)網(wǎng)中用的多的都是C類(lèi)地址段，擴(kuò)大使用一個(gè)B了真怕有廣播風(fēng)暴，考慮最多1000個(gè)地址并且這些地址并不同時(shí)在線(xiàn)，在無(wú)線(xiàn)上做了無(wú)線(xiàn)隔離，無(wú)線(xiàn)ip互相不能訪(fǎng)問(wèn)，每個(gè)匯聚口都配置了廣播抑制30%，再加上匯聚上行萬(wàn)兆上行，可以保障數(shù)據(jù)正常。先期增加地址辦法采用的是直接在核心8512交換機(jī)上把DHCP地址池改大，

network 192.168.19.0 mask 255.255.255.0改為network 192.168.19.0 mask 255.255.254.0，并加入租約限制expired day 365，在進(jìn)行現(xiàn)場(chǎng)模擬測(cè)試時(shí)發(fā)現(xiàn)認(rèn)證不理想，用戶(hù)更換手機(jī)及保留地址時(shí)設(shè)置管理很不方便，這是一項(xiàng)經(jīng)常變動(dòng)的配置在用戶(hù)數(shù)多的情況下增加管理難度，后考慮操作采用微軟自帶DHcp服務(wù)器，在配置管理方面可視化選擇配置方便管理；

4）還有賬號(hào)增加的問(wèn)題，前期設(shè)計(jì)系統(tǒng)時(shí)使用的是一個(gè)免費(fèi)第三方Radius軟件，賬號(hào)權(quán)限管理和賬號(hào)數(shù)量上在現(xiàn)在已經(jīng)不再適用，考慮管理及兼容配置上采用windows配置Radius服務(wù)器。

3 改進(jìn)系統(tǒng)設(shè)計(jì)及實(shí)施步驟

3.1總體設(shè)計(jì)流程

新改進(jìn)的無(wú)線(xiàn)入網(wǎng)機(jī)制和前期基本原理一致，沒(méi)有增加終端用戶(hù)的配置難度，

移動(dòng)終端輸入正確的無(wú)線(xiàn)秘鑰連接之后獲取dhcp分配的地址，當(dāng)?shù)谝淮芜B接外部網(wǎng)絡(luò)會(huì)打開(kāi)驗(yàn)證，輸入用戶(hù)名和密碼后連接到Radius服務(wù)器上驗(yàn)證，當(dāng)驗(yàn)證無(wú)誤綁定用戶(hù)并提示通過(guò)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。

3.2網(wǎng)段規(guī)劃分配

在地址段規(guī)劃上有兩個(gè)方面的考慮，開(kāi)始升級(jí)時(shí)考慮多個(gè)C類(lèi)網(wǎng)段，通過(guò)在每?jī)蓚€(gè)樓層分配一個(gè)C類(lèi)地址，在用戶(hù)連接數(shù)量需求上可以滿(mǎn)足，無(wú)線(xiàn)信號(hào)保持一致，連接便捷度上也不會(huì)有問(wèn)題，分樓層實(shí)施后出現(xiàn)兩個(gè)情況很少一部分用戶(hù)長(zhǎng)期在本樓層用后再到其他樓層使用，這個(gè)過(guò)程中綁定信息會(huì)重復(fù)，用戶(hù)需要點(diǎn)確定在體驗(yàn)上會(huì)有操作的重復(fù)性；最后還是決定擴(kuò)大地址段容量，使用一個(gè)B類(lèi)地址，按照每用戶(hù)2個(gè)移動(dòng)終端可分配地址數(shù)大致兩千左右，賬號(hào)對(duì)固定IP地址的對(duì)應(yīng)，不是同時(shí)在線(xiàn)，預(yù)先劃分地址段vlan52，分配192.168.48.0/255.255.252.0子網(wǎng)，加入防火墻

并在核心上配置網(wǎng)關(guān)

interface Vlan-interface52

ip address 192.168.48.2 255.255.248.0

ip relay address 192.168.18.77

dhcp select relay

vrrp vrid 52 virtual-ip 192.168.48.1

vrrp vrid 52 priority 150

vrrp vrid 52 timer advertise 5

3.3驗(yàn)證加密設(shè)置

檢查設(shè)備數(shù)據(jù)時(shí)發(fā)現(xiàn)，連接的無(wú)線(xiàn)設(shè)備的ip地址數(shù)量有時(shí)會(huì)大于認(rèn)證賬號(hào)，前幾年為了一些陳舊終端的連接，所有無(wú)線(xiàn)AP設(shè)置的使用wep方式，只有信息中心使用的無(wú)線(xiàn)信號(hào)實(shí)現(xiàn)了wpa2方式，一直都有隱患，WEP是802.11 1999中提到的加密協(xié)議。是一種rc4算法 CRC進(jìn)行效驗(yàn)和計(jì)算，弱IV和CRC機(jī)制的問(wèn)題。不論是64還是128位加密的WEP密碼，某些工具很有可能破解，我們決定采用WPA2方式，WPA2是WiFi聯(lián)盟驗(yàn)證過(guò)的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，安全性更強(qiáng)、更適合應(yīng)用在無(wú)線(xiàn)局域網(wǎng)環(huán)境的加密協(xié)定，針對(duì)現(xiàn)有的幾種設(shè)備配置如下：

無(wú)線(xiàn)Ap1208型號(hào)的配置

vlan 52

#

ssid phone

set vlan 52

bind domain system

encryption suite ccmp

encryption suite tkip

authentication psk ascii ******

security-mode wpa2

無(wú)線(xiàn)Ap2620的配置

vlan 52

#

wlan service-template 4 crypto

ssid phone

cipher-suite ccmp

security-ie rsn

service-template enable

#

interface WLAN-BSS14

port access vlan 52

port-security port-mode psk

port-security tx-key-type 11key

port-security preshared-key pass-phrase cipher *******

無(wú)線(xiàn)Ap6010的配置

vlan batch 52

#

interface Wlan-Bss2

port hybrid pvid vlan 52

port hybrid untagged vlan 52

#

wlan

wmm-profile name phonewmm id 2

traffic-profile name phonetraffic id 2

security-profile name phonesecurity id 2

security-policy wpa-wpa2

wpa-wpa2 authentication-method psk pass-phrase cipher ****** encryption-method ccmp

service-set name phone id 2

Wlan-Bss 2

ssid phone

traffic-profile id 2

security-profile id 2

radio-profile name phoneradio id 2

wmm-profile id 2

3.4認(rèn)證服務(wù)器設(shè)置

在認(rèn)證上我沿用了上次的Radius，是因?yàn)镽ADIUS協(xié)議簡(jiǎn)單明確，可擴(kuò)充，并且由于上次使用第三方radius軟件，在賬號(hào)管理和賬號(hào)數(shù)量上已經(jīng)不能滿(mǎn)足現(xiàn)在需求，使用windows2008搭建radius 服務(wù)器在兼容性和賬戶(hù)安全設(shè)置、數(shù)量上都是比第三方軟件易用。

3.5地址服務(wù)器指向及配置

在交換機(jī)上配置Dhcp服務(wù)器針對(duì)大用戶(hù)量和地址管理已經(jīng)捉襟見(jiàn)肘，單獨(dú)使用DHCP服務(wù)器的優(yōu)勢(shì)明顯，這些被分配的IP地址都是DHCP服務(wù)器預(yù)先保留的一個(gè)由多個(gè)地址組成的地址集，可以指定通用和特定子網(wǎng)的TCP/IP參數(shù)，并且可以定義使用保留地址的客戶(hù)機(jī)的參數(shù)。使用DHCP服務(wù)器能大大減少配置花費(fèi)的開(kāi)銷(xiāo)和重新配置的時(shí)間，服務(wù)器可以在指派地址租約時(shí)配置所有的附加配置值?？梢怨潭ㄒ苿?dòng)端使用的IP，在再次啟動(dòng)客戶(hù)機(jī)時(shí)，DHCP服務(wù)器會(huì)自動(dòng)為客戶(hù)機(jī)配置同樣的IP。當(dāng)用戶(hù)更換手機(jī)，需要重新綁定，可以方便快遞地找到需要?jiǎng)h除的綁定信息，更大程度的節(jié)約管理成本。

在本次實(shí)現(xiàn)動(dòng)態(tài)分配采用DHcp relay方式配置，即在網(wǎng)關(guān)交換機(jī)192.168.1.2上配置relay語(yǔ)句，

interface Vlan-interface52

dhcp select relay

大部分設(shè)備可以轉(zhuǎn)發(fā)DHCP配置請(qǐng)求，因此，只需要配置一臺(tái)DHCP服務(wù)器滿(mǎn)足多個(gè)信號(hào)的使用。

4 改進(jìn)后系統(tǒng)效果

經(jīng)過(guò)以上各聯(lián)動(dòng)系統(tǒng)設(shè)備的統(tǒng)一配置后，上線(xiàn)測(cè)試用戶(hù)認(rèn)證通過(guò)并穩(wěn)定訪(fǎng)問(wèn)，沒(méi)有出現(xiàn)過(guò)用戶(hù)入網(wǎng)訪(fǎng)問(wèn)故障，安全性上沿用賬號(hào)密碼的認(rèn)證并綁定，安全協(xié)議上也從原先部分wep升級(jí)全部使用wpa2，安全級(jí)別得到了進(jìn)一步的加強(qiáng)，在賬號(hào)管理、地址管理、變動(dòng)、用戶(hù)使用穩(wěn)定性上都得到提升。在未來(lái)我們的設(shè)備如能統(tǒng)一fitAp并使用無(wú)線(xiàn)控制器，根據(jù)無(wú)線(xiàn)使用的場(chǎng)景個(gè)性布局的話(huà)，信號(hào)覆蓋更全，利用現(xiàn)有入網(wǎng)流程會(huì)更有利。

參考文獻(xiàn)：

[1] 張磊，王輝. 無(wú)線(xiàn)局域網(wǎng)安全協(xié)議研究[J].通信技術(shù)，2011（9）.

[2] 鄔平杰.基于DHCP的網(wǎng)絡(luò)IP地址管理[J].中國(guó)新技術(shù)新產(chǎn)品，2009（15）.

[3] 孫健，鐵玲，諸鴻文. 基于口令的無(wú)線(xiàn)局域網(wǎng)安全管理協(xié)議[J].計(jì)算機(jī)工程，2004（9）.