校園無線局域網部署及接入認證方式的探討

,

(石家莊鐵道大學 現(xiàn)代教育技術中心，河北 石家莊 050043)

0 引言

自20世紀90年代起，經過幾輪的校園網建設，至今各個高校都通過有線方式建立了自己的校園網絡。隨著互聯(lián)網技術的進步，信息化程度的提高，用戶的需求也進一步增加。伴隨著數字化校園工程的推進，學校的傳統(tǒng)互聯(lián)網應用也逐漸向移動互聯(lián)的方向靠攏。更多的用戶希望在校園內，通過筆記本電腦、平板電腦、智能手機等各種無線上網工作，隨時隨地使用各種網絡資源。因此，各個高校的校園網無線局域網建設方興未艾，蓬勃發(fā)展，成為新一輪校園網建設的熱點。

校園網無線局域網一般是依托現(xiàn)有的有線網絡而建立，是有線網絡的擴展和補充。通過無線局域網絡，校園網用戶可以更便捷、更靈活地使用校園網各種信息資源，而這種便捷性和靈活性，對校園網的管理工作提出挑戰(zhàn)。同時，如何依靠現(xiàn)有的有線網絡，提高無線局域網絡的運行性能，規(guī)范化管理無線局域網接入用戶也是建設校園網無線局域網需要認真考慮的問題。

1 無線局域網部署方式

圖1 胖AP部署示意

傳統(tǒng)上，對于無線點數較少，覆蓋范圍不廣的區(qū)域，一般會采用胖無線接入點AP(Access Point)，如圖1所示。這種方式需要對逐臺設備進行配置和管理，無法形成一個整體，無法實現(xiàn)無線網絡中的漫游服務功能。這種方式在校園內無線點數比較密集，用戶移動性比較頻繁的情況下，是不適合的。

針對胖AP存在的問題，無線局域網廠商提供了瘦AP架構的產品解決方案。瘦AP將原先胖AP的絕大部分功能移到無線交換機AC(Access Controller)。通過AC完成所管轄的無線局域網絡的所有AP的配置、管理和控制，實現(xiàn)了對瘦AP的零配置。AC和AP間通過CAPWAP(Control And Provisioning of Wireless Access Point)協(xié)議交互控制信息[1]。瘦AP架構能夠對無線用戶數據進行統(tǒng)一管理，并能實現(xiàn)無線射頻資源的智能管理，簡化了無線局域網絡的部署難度，降低了無線局域網絡的建設和維護成本。這種架構是目前進行無線局域網建設的主流技術方案。

瘦AP架構對于數據轉發(fā)有兩種實現(xiàn)模式，集中轉發(fā)和本地轉發(fā)[2]。

在集中轉發(fā)模式下，如圖2所示，AP和AC會構建一個數據隧道，這個數據隧道中傳輸的是二層數據，所有用戶業(yè)務數據由數據隧道傳送到AC處，再由AC轉發(fā)。集中轉發(fā)方式下，AC能對報文進行全面控制。由于AC處于無線數據交換的核心位置，無線加解密由AC完成，AC性能壓力較大，在AC處易形成AC處產生單點故障和瓶頸。如果采用雙AC熱備的方式，又會增加建設費用。如果校園無線局域網建設著重于通過無線局域網本身即可以進行完成針對無線局域用戶的細節(jié)管理，如限制單個用戶速率、加密管理等工作，集中轉發(fā)模式才是一個恰當的選擇。

在本地轉發(fā)模式下，如圖3所示，AC和AP間僅建立控制通道，但不建立數據隧道。用戶數據不經過AC，直接由AP負責本地轉發(fā)，等同于胖AP對用戶數據流量的處理方式，在AP上直接轉化為有線格式的報文，實現(xiàn)無線報文的寬帶接入。在本地轉發(fā)模式下，可以實現(xiàn)基于業(yè)務的最優(yōu)化路由，提高網絡服務的響應速度，而且避免了在大數據流量情況下，AC成為網絡性能的瓶頸的問題。相對于集中轉發(fā)模式，本地轉發(fā)模式的網絡結構較復雜，網絡安全性較弱。但是，本地轉發(fā)可以充分利用現(xiàn)有網絡資源，如報文轉發(fā)、端到端QoS、用戶接入控制等提高無線局域網絡的安全性和可控性。校園網作為一個相對封閉的區(qū)域，移動用戶較為密集，提高無線網絡的訪問速度應該是首要考慮的問題。經實踐證明，本地轉發(fā)模式的時延、丟包率和下載速率等表征網絡性能的指標均優(yōu)于集中轉發(fā)模式[3]。所以，在校園無線局域網部署中，應優(yōu)先考慮本地轉發(fā)模式。

圖2 集中轉發(fā)模式 圖3 本地轉發(fā)模式

2 無線局域網接入認證方式

從網絡安全角度考慮，一般需要無線局域網用戶在認證后，方可使用校園網資源。為了方便管理，更為了方便用戶使用，就需要通過現(xiàn)有的有線用戶管理策略，實現(xiàn)對無線局域網用戶的接入管理工作，即實現(xiàn)有線和無線局域網用戶統(tǒng)一的身份認證。

圖4 無線網認證方式

當前，校園內提供接入的交換機一般都是可管理的智能交換機，在校園網出口處部署B(yǎng)AS(Broadband Access Server)系統(tǒng)，采用802.1x方式進行校園網準入管理方式，如圖4所示。無線局域網本地轉發(fā)模式下，無線準入一般使用Web Portal的方式，完成無線局域網用戶的準入管理。為了實現(xiàn)用戶的統(tǒng)一管理，AC作為BAS系統(tǒng)中Raidus Server的客戶端，將用戶通過web頁面?zhèn)鬟f過來的用戶名及密碼信息，發(fā)送至Raidus Server進行校驗，如果信息與Raidus Server信息一致，即認證成功，AC將控制AP，允許該用戶通過該AP訪問校園網。因為無線用戶的準入信息和有線用戶的準入信息共享同一個數據庫，所以，就能夠實現(xiàn)了有線和無線用戶統(tǒng)一的身份認證。

無線局域網準入的Web Portal的方式，屬于應用層的認證，用戶事先要先通過DHCP服務，獲取IP地址，然后才能發(fā)起認證工作。這樣，往往會產生不進行認證的用戶占用IP地址的現(xiàn)象。在校園這種用戶較為密集的環(huán)境下，這種IP地址分配策略，較容易地產生單個AP的可用IP地址耗盡的情況，從而影響正常用戶的使用。另外，被用戶認證信息要通過HTTP協(xié)議的明文方式傳遞，存在一定的網絡信息安全問題隱患。

如果無線局域網采用本地轉發(fā)模式，就比較容易地實現(xiàn)同有線用戶一樣的802.1x認證方式，解決Web Portal方式的不利因素。無線局域網802.1x準入認證方式，在具體的部署上有兩種方案可以選擇：一種是與AP直接連接的交換機端口啟用802.1x模式，由接入交換機完成802.1x。這樣，就可以將無線用戶當成有線用戶一樣管理，無線用戶使用的802.1x的supplicant與有線用戶一致。為了保證AC對AP的管理，這種方式下，需要對連接AP的交換機端口進行相關配置，使得該端口透傳AC與AP的管理數據傳輸。這種方式，淡化了AC的作用，無法實現(xiàn)無線用戶的漫游服務，用戶切換不同的AP時需要重新認證。

另一種是在AP上啟用802.1x準入認證，認證信息經AP和AC的控制通道，傳送至AC，再有AC向Radius Server發(fā)起802.1x的校驗認證工作，認證成功后，用戶將獲得相應的IP地址，AC控制AP允許該用戶訪問校園網。對于Windows系統(tǒng)、IOS系統(tǒng)、安卓系統(tǒng)自帶的802.1x的supplicant，即可完成無線局域網的802.1x認證過程。

一般地，有線網絡的802.1x的認證過程中的加密協(xié)議一般是EAP或CHAP[4]，而無線網絡的802.1x的采用的加密協(xié)議為PEAP[5]。對于前期部署支持802.1x認證的有線網絡的Radius Server往往不支持PEAP協(xié)議。在這種情況下，可以升級現(xiàn)有的Radius Server，來滿足無線網絡802.1x接入認證的需求。另外一個方法是，再部署一臺支持無線802.1x認證的Radius Server，AC向該臺服務器發(fā)起認證請求。這臺Radius Server服務器使用有線網絡Radius Server服務器的用戶管理數據庫，從而實現(xiàn)有線和無線用戶統(tǒng)一的身份認證。實踐證明，開源的FreeRaidus以其豐富的協(xié)議支持能力，開放的系統(tǒng)接口，可以兼容現(xiàn)存的大部分商業(yè)Radius Server，在校園網無線局域網建設過程中，是一個不錯的無線局域網Radius Server的選擇[6]。

3 結束語

在校園這個特殊的環(huán)境下，校園無線局域網建設的需求和方式具有自己鮮明的特點。結合目前無線局域網的主流技術，通過實踐對比，校園無線局域網采用無線網絡本地轉發(fā)模式，有線與無線統(tǒng)一的802.1x身份認證，就能做到兼顧性能、安全、便捷、經濟因素下，實現(xiàn)無線網絡與現(xiàn)有有線網絡的無縫對接。統(tǒng)一的無線和有線用戶管理，也有助于無線局域網的后期運行維護和相關管理策略的制定。按上述方案設計和建設的石家莊鐵道大學無線局域網，在實際運行過程中，產生了良好的效果。

參 考 文 獻

[1]盂一飛．基于CAPWAP協(xié)議的集中式無線局域網架構[J]．網絡安全技術與應用，2009(9)：29-31．

[2]史揚，蔡自彬，蔡賢森．基于瘦AP架構實現(xiàn)WAPI[J]．信息通信技術，2009(3)：61-65．

[3]雒明世，魏二虎，柳建勇．WLAN本地轉發(fā)和集中轉發(fā)應用模式分析[J].山東科技大學學報:自然科學版,2010,29(6):74-79.

[4]IEEE Standard. RFC 3748.Extensible Authentication Protocol (EAP)[S/OL].[2004-06-15].http://tools.ietf.org/html/rfc3748.

[5]IEEE Standard. RFC 4017. Extensible Authentication Protocol (EAP) Method Requirements for Wireless LANs[S/ OL].[2005-03-20]. http://tools.ietf.org/html/rfc4017.

[6]Gavinzhm. Freeradius+OpenLDAP+PEAP認證[EB/OL].[2009-01-21]. http://www.chinaunix.netld_jh/49/1214563.html.