校園自建無線網(wǎng)絡(luò)管理系統(tǒng)建設(shè)

楊蕓

摘要：目前國內(nèi)各校園基本都建立了自己的校園無線網(wǎng)絡(luò)系統(tǒng)，學(xué)校教職工及學(xué)員均能通過無線實(shí)現(xiàn)方便快捷的上網(wǎng)、辦公、學(xué)習(xí)、查詢信息等功能。為使無線網(wǎng)絡(luò)的使用更方便、更安全，在建好校園無線網(wǎng)絡(luò)的同時，無線網(wǎng)絡(luò)管理系統(tǒng)的建設(shè)也尤為重要，如何實(shí)現(xiàn)用戶無感知認(rèn)證體驗(yàn)，實(shí)現(xiàn)與校園網(wǎng)已有用戶數(shù)據(jù)庫平臺無縫對接，進(jìn)行統(tǒng)一身份認(rèn)證，同時溯源用戶上網(wǎng)行為，實(shí)現(xiàn)安全審計(jì)，是無線網(wǎng)管理系統(tǒng)急需解決的問題。

關(guān)鍵詞：無線網(wǎng)絡(luò)管理；無線認(rèn)證；安全審計(jì)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）09-0059-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 概述

隨著信息化的發(fā)展，國內(nèi)無線上網(wǎng)已步入一個高速發(fā)展的軌道，特別在學(xué)校通過無線上網(wǎng)，教室里、宿舍里、辦公室里、走廊里、會議室里，只要是有信號的地方，學(xué)校教職工及學(xué)員均能通過無線實(shí)現(xiàn)方便及快捷的上網(wǎng)、辦公、學(xué)習(xí)、查詢信息等功能。為使無線網(wǎng)絡(luò)的使用更方便、更安全，在建好校園無線網(wǎng)絡(luò)的同時，無線網(wǎng)絡(luò)管理系統(tǒng)的建設(shè)也尤為重要。本文以浙江行政學(xué)院無線網(wǎng)絡(luò)管理系統(tǒng)建設(shè)為例，主要介紹校園無線網(wǎng)二次無感知認(rèn)證系統(tǒng)的建設(shè)，以及統(tǒng)一身份認(rèn)證平臺及上網(wǎng)行為安全審計(jì)的實(shí)現(xiàn)。

2 校園無線網(wǎng)絡(luò)系統(tǒng)構(gòu)架

浙江行政學(xué)院無線網(wǎng)絡(luò)系統(tǒng)在樓宇內(nèi)采用獨(dú)立的綜合布線系統(tǒng)，無線網(wǎng)絡(luò)系統(tǒng)的核心交換機(jī)與校園有線網(wǎng)絡(luò)系統(tǒng)核心交換機(jī)互聯(lián)。無線校園網(wǎng)系統(tǒng)拓?fù)鋱D如下：

浙江行政學(xué)院在建設(shè)校園無線局域網(wǎng)時，建設(shè)的WALN無線網(wǎng)提供2個網(wǎng)絡(luò)識別號（SSID），一個用于長期用戶的使用，包括學(xué)校教職工、長訓(xùn)班學(xué)員，可直接訪問內(nèi)網(wǎng)并通過校園網(wǎng)出口訪問互聯(lián)網(wǎng)；另一個用于臨時用戶（訪客），通過手機(jī)號獲取臨時密碼，只可訪問外網(wǎng)（互聯(lián)網(wǎng)），免費(fèi)訪問外網(wǎng)時間可根據(jù)我校要求做相應(yīng)限制。其中內(nèi)網(wǎng)用戶（長期用戶）接入內(nèi)網(wǎng)SSID，通過IMC認(rèn)證管理平臺進(jìn)行用戶認(rèn)證，認(rèn)證通過后即可訪問學(xué)校內(nèi)網(wǎng)，同時可以通過學(xué)校外網(wǎng)出口訪問internet；訪問內(nèi)網(wǎng)特定資源還需要通過學(xué)校內(nèi)網(wǎng)OA認(rèn)證。內(nèi)網(wǎng)數(shù)據(jù)采用本地轉(zhuǎn)發(fā)模式，認(rèn)證后用戶數(shù)據(jù)通過本地轉(zhuǎn)發(fā)經(jīng)過核心交換機(jī)直接到達(dá)用戶內(nèi)網(wǎng)。訪客用戶接入外網(wǎng)SSID，外網(wǎng)數(shù)據(jù)采用集中轉(zhuǎn)發(fā)模式，AP和AC之間建立私有隧道，用戶數(shù)據(jù)經(jīng)過隧道直接送至AC側(cè)，認(rèn)證后直接送至公網(wǎng)出口。

3 無感知認(rèn)證管理系統(tǒng)實(shí)現(xiàn)

我校使用Portal無感知認(rèn)證解決方案，用戶無線接入終端在首次連入學(xué)校無線SSID時，需要輸入賬號、密碼信息進(jìn)行認(rèn)證，首次認(rèn)證成功后，將用戶終端MAC地址信息與該P(yáng)ortal賬號進(jìn)行綁定。以后在此賬號有效期內(nèi)該用戶終端會自動接入學(xué)校無線SSID，無須再輸入賬號等信息進(jìn)行認(rèn)證，并且可設(shè)置同一Portal賬號可綁定的終端MAC地址數(shù)量。

（1）長期用戶認(rèn)證

用戶關(guān)聯(lián)學(xué)校SSID信號后，訪問任意網(wǎng)頁時，AC將準(zhǔn)入認(rèn)證portal頁面推送至用戶進(jìn)行認(rèn)證，輸入用戶名與密碼后在學(xué)校內(nèi)網(wǎng)radius進(jìn)行認(rèn)證，認(rèn)證通過后即可訪問內(nèi)網(wǎng)資源，并可通過校園網(wǎng)出口同時訪問外網(wǎng)。

流程如下：

1.用戶終端通過dhcp server（AC）獲取到ip地址。

2.如果是用戶首次認(rèn)證，MAC綁定服務(wù)器中無此終端的MAC地址信息，用戶發(fā)起http請求被AC重定向到內(nèi)網(wǎng)portal server（IMC），用戶終端彈出portal頁面。

3.用戶輸入賬號密碼，數(shù)據(jù)經(jīng)AC封裝成radius格式的報(bào)文，轉(zhuǎn)發(fā)給內(nèi)網(wǎng)radius server（IMC）。

4.radius server認(rèn)證通過之后，通知portal server用戶認(rèn)證成功，同時MAC綁定服務(wù)器將此用戶終端MAC地址信息的與Portal賬號的綁定。

5.用戶完成認(rèn)證，可訪問內(nèi)（外）網(wǎng)。

6.如果是用戶再次接入，此用戶終端MAC信息已綁定，則自動返回此終端的Portal賬號、密碼等信息向AC發(fā)起Portal認(rèn)證，不需要用戶自行再輸入賬號信息，自動完成二次無感知認(rèn)證。

（2）訪客用戶認(rèn)證

用戶關(guān)聯(lián)移動CMCC后，訪問任意網(wǎng)址，由AC將準(zhǔn)入認(rèn)證portal頁面推送至用戶進(jìn)行認(rèn)證，輸入賬號密碼，通過認(rèn)證后即可訪問公網(wǎng)資源。

流程如下：

1.用戶終端通過dhcp server（AC）獲取到ip地址

2.用戶發(fā)起http請求被AC重定向到移動portal server（移動運(yùn)營商），用戶終端彈出portal頁面

3.用戶輸入賬號密碼，數(shù)據(jù)經(jīng)AC封裝成radius格式的報(bào)文，轉(zhuǎn)發(fā)給radius server（移動運(yùn)營商）

4. radius server認(rèn)證通過之后，通知portal server用戶認(rèn)證成功，用戶即可訪問外網(wǎng)

4 統(tǒng)一身份認(rèn)證平臺

校園無線網(wǎng)建設(shè)時，校園有線網(wǎng)絡(luò)系統(tǒng)及管理應(yīng)用系統(tǒng)一般均已建好并使用。因此在建校園無線網(wǎng)時，就考慮要與原校園網(wǎng)內(nèi)網(wǎng)用戶數(shù)據(jù)管理平臺實(shí)現(xiàn)無縫對接，并支持用戶數(shù)據(jù)管理平臺密碼加密類型，實(shí)現(xiàn)與原校園網(wǎng)內(nèi)網(wǎng)身份認(rèn)證統(tǒng)一，避免二次開戶。無線網(wǎng)絡(luò)系統(tǒng)設(shè)置固定時間，每天與原校園內(nèi)網(wǎng)用戶數(shù)據(jù)庫平臺進(jìn)行同步，以保證無線網(wǎng)絡(luò)系統(tǒng)本地用戶數(shù)據(jù)庫的實(shí)時性與有效性。并支持其他系統(tǒng)如SSL VPN的認(rèn)證等，以實(shí)現(xiàn)校園網(wǎng)統(tǒng)一身份認(rèn)證平臺。

5 上網(wǎng)行為安全審計(jì)

無線是一個開放式網(wǎng)絡(luò)，需要對校內(nèi)資源和網(wǎng)絡(luò)提供保護(hù)，在邊界提供準(zhǔn)入控制和安全防護(hù)是必要的。因此校園無線網(wǎng)絡(luò)管理系統(tǒng)還必須具有用戶上網(wǎng)安全審計(jì)功能，以溯源用戶上網(wǎng)行為。

（1）用戶實(shí)名制上網(wǎng)及訪問日志

由于所有用戶采用用戶名密碼來認(rèn)證上網(wǎng)，用戶名是注冊在系統(tǒng)中，對應(yīng)用戶實(shí)名。這樣所有用戶上網(wǎng)的記錄都對應(yīng)到用戶個人，用戶注冊不僅包括用戶實(shí)名還有用戶的電話，地址和郵件等實(shí)時信息。

用戶訪問日志是將用戶訪問記錄存儲到數(shù)據(jù)庫服務(wù)器，形成訪問日志，以實(shí)現(xiàn)上網(wǎng)行為的安全審計(jì)。用戶登錄認(rèn)證成功后，將用戶的登錄記錄和訪問記錄存放到指定的數(shù)據(jù)庫服務(wù)器中。訪問記錄中包含賬戶名、登陸訪問時間、當(dāng)前在線人數(shù)、總使用時間、登陸的目標(biāo)網(wǎng)站地址、目標(biāo)IP、源IP、MAC地址、GET/POST行為等等。另外可根據(jù)需要增加所需字段，如用戶操作系統(tǒng)標(biāo)志、交換機(jī)標(biāo)記、樓層標(biāo)記等字段等。

（2）用戶策略及帶寬控制

校園無線網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有豐富的基于組或用戶的控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。 可以控制用戶的上網(wǎng)帶寬（QoS；802.1x認(rèn)證支持）、限制用戶同時在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用。支持最大閑置時長限制，可以實(shí)現(xiàn)對用戶ACL、VLAN的控制，限制用戶對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問（802.1x認(rèn)證支持）。限制用戶IP地址分配策略，防止IP地址盜用和沖突。同時限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點(diǎn)上網(wǎng)。并限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，防止內(nèi)部信息泄露。限制用戶必須使用專用安全客戶端，并強(qiáng)制自動升級，確保認(rèn)證客戶端的安全性。

實(shí)際使用中，如用戶使用P2P、BT、電驢等下載軟件下載，會導(dǎo)致其他用戶出現(xiàn)上網(wǎng)慢、PING 包延時大等情況。用戶限速功能的使用，可以有效控制每用戶速率，避免因P2P等應(yīng)用大流量、小包文過多造成占用無線資源過多的情況，影響其他用戶正常接入使用。假設(shè)通過配置限制某SSID下每用戶靜態(tài)設(shè)置為4Mbps，則兩個用戶各自最高可用帶寬為4Mbps；假設(shè)限制某SSID下動態(tài)限速設(shè)置約8Mbps，則當(dāng)兩個用戶接入時，各自分配的最高帶寬為4Mbps，依次類推。

（3）支持個性化portal頁面定制

校園無線網(wǎng)絡(luò)管理系統(tǒng)應(yīng)支持多組portal個性化定制，并且能夠根據(jù)用戶終端不同而彈出不同的認(rèn)證portal。以使用戶有更好的上網(wǎng)體驗(yàn)。

總之，建網(wǎng)重要，管網(wǎng)更重要。對于校園無線網(wǎng)絡(luò)管理系統(tǒng)來說，能實(shí)現(xiàn)便捷、可靠的準(zhǔn)入認(rèn)證，搭建系統(tǒng)統(tǒng)一身份認(rèn)證平臺，并實(shí)現(xiàn)對上網(wǎng)行為的安全審計(jì)是必須所具備的功能，也是校園網(wǎng)安全、穩(wěn)定、高效運(yùn)行的重要保障。

參考文獻(xiàn)：

[1] 邱知文，張杰.基于校園無線網(wǎng)的BYOD認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2015（2）.

[2] 趙釗.基于802.1x協(xié)議的校園網(wǎng)安全體系的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（2）.

[3] 楊國震.校園無線網(wǎng)絡(luò)安全建設(shè)實(shí)踐[J].電子技術(shù)與軟件工程，2017（10）.

【通聯(lián)編輯：代影】