基于BRAS架構(gòu)下校園無線網(wǎng)絡(luò)漫游的一次認(rèn)證

馬迎++張丹東++趙志輝

摘 要：校園網(wǎng)用戶在多個(gè)孤立無線網(wǎng)絡(luò)中漫游時(shí)，需要不斷地進(jìn)行再次認(rèn)證，大大降低了用戶的上網(wǎng)體驗(yàn)，這是很多高校面臨的問題。本文提出基于IPOE模式下，保持用戶的IP地址不變，實(shí)現(xiàn)全無線網(wǎng)內(nèi)一次認(rèn)證的模式，提高用戶的上網(wǎng)體驗(yàn)。

關(guān)鍵詞：無線網(wǎng)漫游認(rèn)證；IPOE；一次認(rèn)證

中圖分類號：TP393.1 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2017）05-0045-03

近幾年，各高校正在逐步進(jìn)行高密度、大規(guī)模校園無線網(wǎng)絡(luò)基礎(chǔ)建設(shè)，滿足用戶隨時(shí)、隨地自由無線上網(wǎng)的使用需求。在多個(gè)不同品牌的無線網(wǎng)中漫游的頻繁再次認(rèn)證是很多高校都面臨的困擾。

一、我校園無線網(wǎng)絡(luò)現(xiàn)況

1.我校園無線網(wǎng)絡(luò)拓?fù)?/p>

校園無線網(wǎng)絡(luò)承載全校無線用戶的上網(wǎng)需求，受客觀條件限制，我校無線網(wǎng)絡(luò)經(jīng)多次建設(shè)完成，無線設(shè)備品牌多樣，相互獨(dú)立的無線控制器四臺，服務(wù)于全校各個(gè)不同的區(qū)域。在無線網(wǎng)絡(luò)建設(shè)完成初期，無線用戶在一日內(nèi)，反復(fù)跨越不同區(qū)域、不同無線控制器管理的無線網(wǎng)絡(luò)進(jìn)行訪問時(shí)，會(huì)面臨不斷重新認(rèn)證的困擾，極大地降低了用戶使用網(wǎng)絡(luò)的體驗(yàn)，這也是很多院校面臨的問題。因此，我們考慮訪問校園無線網(wǎng)絡(luò)一次認(rèn)證的實(shí)現(xiàn)方式。

我校的四張無線網(wǎng)絡(luò)設(shè)備與核心路由器連接。（見圖1）傳統(tǒng)方式是：不同的無線控制器下無線用戶的vlan不同，分配的用戶地址段也不相同，無線用戶每次穿越不同無線網(wǎng)絡(luò)時(shí)，都重新獲得一個(gè)新的IP地址，新IP地址通過網(wǎng)關(guān)認(rèn)證系統(tǒng)訪問外網(wǎng)時(shí)需要重新認(rèn)證，出現(xiàn)了用戶每日反復(fù)認(rèn)證的現(xiàn)象。

2.我校無線網(wǎng)采用IPOE模式

傳統(tǒng)DHCP只是解決了用戶接入網(wǎng)絡(luò)的基本需求，即用戶終端接入網(wǎng)絡(luò)后，獲取到IP地址、網(wǎng)關(guān)以及DNS信息后滿足用戶上網(wǎng)的需求。一些網(wǎng)絡(luò)廠商借鑒了傳統(tǒng)PPPOE的用戶管理方式，在寬帶接入路由器（BRAS）設(shè)備上對DHCP及其擴(kuò)展option做出了一些改進(jìn)，主要包括：為一個(gè)用戶終端分配了IP地址以后，BRAS設(shè)備會(huì)根據(jù)該DHCP binding信息生成一個(gè)全局唯一的邏輯通道，BRAS設(shè)備根據(jù)該邏輯通道對該用戶的接入狀態(tài)進(jìn)行標(biāo)識，根據(jù)用戶身份的不同為該邏輯通道加載不同的ACL和帶寬策略，從而實(shí)現(xiàn)用戶差異化的權(quán)限和帶寬控制。通過在BRAS設(shè)備上的這些改進(jìn)，實(shí)現(xiàn)了類似傳統(tǒng)PPPOE的完善的用戶接入管理功能，但同時(shí)在某些方面還具有一些PPPOE不具備的優(yōu)勢，例如終端不需要安裝撥號客戶端、組播的實(shí)現(xiàn)上更靈活，所以為了與PPPoE進(jìn)行區(qū)分，業(yè)界將這樣的用戶接入管理方式命名為IPOE。

我校自2013年起全校無線網(wǎng)用戶采用不開啟AAA認(rèn)證的DHCP Relay的IPOE模式，主要采用IPOE模式對每個(gè)終端管理。由BRAS統(tǒng)一下發(fā)DHCP Server地址、用戶vlan、網(wǎng)關(guān)，并由DHCP Server統(tǒng)一下發(fā)用戶IP地址。（見圖2）

IPOE模式的優(yōu)點(diǎn)：

（1）不需要客戶端。所有支持IP協(xié)議的設(shè)備都支持IPOE系統(tǒng)，不需要安裝第三方撥號軟件，可以廣泛支持各種手持設(shè)備、移動(dòng)設(shè)備、視頻設(shè)備等。

（2）BRAS核心設(shè)備能力強(qiáng)大、功能豐富，提供集中的業(yè)務(wù)控制和管理，如IPv4/IPv6的地址分配、用戶帶寬管理、DDos防護(hù)等。

（3）在BRAS上有效管理單個(gè)用戶。針對每個(gè)接入用戶生成DEMUX動(dòng)態(tài)接口；在用戶的DEMUX接口上可以加載固定的統(tǒng)一策略，有效管理每個(gè)終端上下帶寬。

（4）可實(shí)現(xiàn)用戶隔離和病毒感染的阻斷。

（5）可防止用戶私設(shè)IP地址；非BRAS下發(fā)的IP地址用戶不能上網(wǎng)。

二、我校園無線漫游一次認(rèn)證方式的實(shí)現(xiàn)

為了簡化準(zhǔn)入認(rèn)證管理，我校采用了準(zhǔn)出認(rèn)證模式——web網(wǎng)關(guān)統(tǒng)一認(rèn)證模式。用戶認(rèn)證后，用戶賬號與IP地址關(guān)聯(lián)，在認(rèn)證系統(tǒng)中通過對IP地址的管理來實(shí)現(xiàn)用戶賬號管理。用戶在web登錄界面輸入賬號信息，認(rèn)證系統(tǒng)獲得用戶賬號和IP地址的對應(yīng)關(guān)系信息，對IP地址進(jìn)行放行或阻止的操作。傳統(tǒng)方式無線用戶漫游需要重復(fù)認(rèn)證的原因在于用戶的IP地址改變了，為此我們嘗試無線網(wǎng)用戶漫游在不同無線網(wǎng)時(shí)，保證終端的IP地址不變，以實(shí)現(xiàn)無需再次認(rèn)證。

為此規(guī)劃全校無線網(wǎng)用戶在同一vlan中、同一網(wǎng)關(guān)，由同一個(gè)地址池下發(fā)地址，以此來實(shí)現(xiàn)在各個(gè)無線網(wǎng)漫游時(shí)終端攜帶地址不變。有兩種實(shí)現(xiàn)方式：

（1）各無線網(wǎng)匯聚到同一臺匯聚交換機(jī)，此匯聚交換機(jī)上聯(lián)連接到BRAS設(shè)備的一個(gè)接口。由BRAS 的DHCP Server統(tǒng)一進(jìn)行地址下發(fā)，用戶漫游在不同的無線網(wǎng)絡(luò)時(shí)，BRAS感知的是同一接口下MAC地址不變，不進(jìn)行地址的重新分配，可以實(shí)現(xiàn)用戶終端的IP地址不變。通?？梢栽跓o線網(wǎng)絡(luò)流量不足夠大的時(shí)候采用。缺點(diǎn)是容易出現(xiàn)單臺設(shè)備故障。

（2）各無線網(wǎng)匯聚到各自獨(dú)立的匯聚交換機(jī)，各個(gè)匯聚交換機(jī)分別上聯(lián)連接BRAS設(shè)備的各個(gè)接口。如果是BRAS 的DHCP Server下發(fā)用戶地址，用戶在無線網(wǎng)中漫游時(shí)會(huì)從BRAS不同的接口接入，即使是相同的MAC地址，BRAS也會(huì)認(rèn)為是不同用戶，重新進(jìn)行IP地址分配。因此，需要采用獨(dú)立DHCP Sever，在BRAS上采用DHCP Relay方式下發(fā)地址，可以實(shí)現(xiàn)用戶的IP地址不變。

三、保障同一vlan下用戶間的安全性

眾所周知，vlan劃分可以有效抑制廣播包，上萬個(gè)無線用戶在同一vlan中，如果不能做很好的數(shù)據(jù)隔離，廣播風(fēng)暴問題將會(huì)使全無線網(wǎng)用戶癱瘓。為此我們采用如下方式進(jìn)行用戶間隔離，確保網(wǎng)絡(luò)穩(wěn)定：

（1）在各無線控制器上設(shè)置“用戶隔離”，限制同一控制器下的無線終端的互訪，無線終端只能與核心設(shè)備的接口MAC地址之間進(jìn)行二層數(shù)據(jù)傳輸，用戶相互之間不能相互通信。

命令：user-isolation vlan 970 enable user-isolation vlan 970 permit-mac b0a8-6e7d-9fc0 //只允許用戶與網(wǎng)關(guān)（網(wǎng)關(guān)MAC：b0a8-6e7d-9fc0）之間的數(shù)據(jù)交互。

（2）無線網(wǎng)絡(luò)采用IPOE模式，在BRAS開啟Demux的配置，相當(dāng)于每個(gè)用戶擁有一個(gè)vlan：

配置每用戶生成一個(gè)demux接口：

命令：set dynamic-profiles wlan-test-2015 predefined-variable-defaults input-filter wlan-up-yidong //設(shè)置入方向流量的策略

set dynamic-profiles wlan-test-2015 predefined-variable-defaults output-filter wlan-down-yidong //設(shè)置出方向流量的策略

set dynamic-profiles wlan-test-2015 interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address preferred-source-address 10.48.0.1 // 設(shè)置網(wǎng)關(guān)地址

（3）在BRAS上設(shè)置開啟DDOS攻擊防御機(jī)制，做了ARP數(shù)據(jù)數(shù)量限制，抑制非法ARP報(bào)文。命令：

set system ddos-protection protocols arp aggregate flow-level-bandwidth logical-interface 1000 //邏輯接口下ARP報(bào)文帶寬不超過1000kb

（4）在BRAS設(shè)備上限制每個(gè)終端的上下行帶寬。命令：

set firewall family inet filter wlan-down-yidong interface-specific

set firewall family inet filter wlan-down-yidong term 1 then policer 30m //用戶下行帶寬執(zhí)行“30m”策略

set firewall family inet filter wlan-up-yidong interface-specific

set firewall family inet filter wlan-up-yidong term 1 then policer 15m //用戶上行帶寬執(zhí)行“15m”策略

set firewall policer 30m if-exceeding bandwidth-limit 30m //用戶帶寬30M；

set firewall policer 30m if-exceeding burst-size-limit 10m //用戶緩沖區(qū)帶寬10M；

set firewall policer 30m then discard

set firewall policer 15m if-exceeding bandwidth-limit 15m //用戶帶寬15M；

set firewall policer 15m if-exceeding burst-size-limit 5m //用戶緩沖區(qū)帶寬5M；

set firewall policer 15m then discard

（5）在接入交換機(jī)的接口上做下聯(lián)端口之間數(shù)據(jù)的隔離。

am isolate Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11

（6）在無線控制器上進(jìn)行“丟棄廣播和未知名多播”的設(shè)置。減少控制器上的無線設(shè)備的異常廣播包。

四、在DHCP 服務(wù)器上實(shí)現(xiàn)“固定”IP地址分配

我校采用了定制的DHCP服務(wù)器實(shí)現(xiàn)全校上萬無線用戶地址分配的功能。（見圖3）用戶連接到網(wǎng)絡(luò)，首先進(jìn)行獲取IP請求，BRAS 將用戶的地址請求 DHCP relay到DHCP Server上，DHCP Server在IP地址歷史租約表中查找是否有此MAC地址的記錄，若有此MAC地址，且其對應(yīng)的IP地址可以分配，則將此IP地址分配給請求的用戶。當(dāng)無線用戶從一個(gè)無線網(wǎng)漫游到另一個(gè)無線網(wǎng)時(shí)，用戶所在vlan不變，網(wǎng)關(guān)不變，用戶再次做DHCP請求，DHCP 服務(wù)器在租約表中查到此MAC地址與IP地址對應(yīng)的關(guān)系，用戶實(shí)現(xiàn)了續(xù)租此IP地址。

通過定制的DHCP服務(wù)器下發(fā)地址，同一臺設(shè)備獲得的IP極少有改變。無線用戶獲得的IP地址不變，漫游在各無線網(wǎng)絡(luò)中，認(rèn)證系統(tǒng)依然保持“放行”狀態(tài)，無需再次認(rèn)證，實(shí)現(xiàn)了用戶一次認(rèn)證的跨網(wǎng)漫游的自由訪問，如圖4所示。用戶只要有一次外網(wǎng)訪問的行為，（獲得了用戶賬號與IP地址的對應(yīng)信息）基本就可以定位用戶，實(shí)現(xiàn)了準(zhǔn)出認(rèn)證方式用戶內(nèi)網(wǎng)訪問定位的問題。對于網(wǎng)關(guān)式認(rèn)證服務(wù)器，終端IP地址認(rèn)證后，用戶即可以外網(wǎng)訪問。

五、結(jié)束語

中國人民大學(xué)充分利用BRAS設(shè)備集中管理用戶和安全策略的優(yōu)勢，采用IPOE模式+“MAC相同，IP地址不變”的模式結(jié)構(gòu)已經(jīng)穩(wěn)定、高效地運(yùn)行近2年時(shí)間，在此期間無線網(wǎng)絡(luò)沒有發(fā)生過廣播風(fēng)暴等網(wǎng)絡(luò)事件，解決了用戶在多個(gè)獨(dú)立的無線網(wǎng)絡(luò)中漫游時(shí)的反復(fù)認(rèn)證問題，大大增強(qiáng)了用戶使用網(wǎng)絡(luò)的體驗(yàn)。同時(shí)對運(yùn)維來說，配置更簡單、清晰，極大地提高了運(yùn)維效率。

（編輯：王天鵬）