基于雙認(rèn)證技術(shù)的高密度學(xué)生宿舍無線網(wǎng)研究

尹方超

摘 要：高校學(xué)生宿舍無線網(wǎng)作為學(xué)生進(jìn)行學(xué)習(xí)、生活的重要工具，是數(shù)字化校園重要的組成部分，本文從宿舍無線網(wǎng)的組網(wǎng)思路入手，深入分析了高校學(xué)生宿舍無線網(wǎng)的現(xiàn)狀和特點(diǎn)，利用銳捷認(rèn)證技術(shù)和OpenWrt系統(tǒng)路由器設(shè)計(jì)出一種相對(duì)比較合理的組網(wǎng)方案，可以高效地進(jìn)行流量管理、認(rèn)證計(jì)費(fèi)管理和網(wǎng)絡(luò)安全管理。為學(xué)院進(jìn)一步實(shí)現(xiàn)數(shù)據(jù)化校園，早日邁入智慧校園行列奠定了堅(jiān)實(shí)的基礎(chǔ)。

關(guān)鍵詞：Openwrt系統(tǒng) 銳捷認(rèn)證 智慧校園

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2017）09（c）-0114-02

河北對(duì)外經(jīng)貿(mào)職業(yè)學(xué)院共有學(xué)生8000余人，分布在7個(gè)宿舍樓，所有宿舍內(nèi)無網(wǎng)絡(luò)設(shè)施，所以導(dǎo)致學(xué)生無法及時(shí)和便利地共享學(xué)校豐富的校園網(wǎng)資源（包括精品課、優(yōu)質(zhì)課、網(wǎng)上圖書館等）。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和無線網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，這一現(xiàn)象是不可想象的，也達(dá)不到數(shù)字化校園建設(shè)的標(biāo)準(zhǔn)，更不能滿足智慧校園的建設(shè)要求。

針對(duì)上述現(xiàn)象，本文依托學(xué)院現(xiàn)有校園網(wǎng)主架構(gòu)，利用學(xué)院接入的電信寬帶網(wǎng)，研究并設(shè)計(jì)出一種基于雙認(rèn)證的無線上網(wǎng)結(jié)構(gòu)，使其突破校園網(wǎng)絡(luò)限制，實(shí)現(xiàn)銳捷認(rèn)證和學(xué)生身份認(rèn)證，并共享無線網(wǎng)絡(luò)的途徑，這樣既滿足了學(xué)生在宿舍可以使用WiFi上網(wǎng)的需求，又可以做到實(shí)時(shí)監(jiān)控用戶的上網(wǎng)行為，管控其上網(wǎng)時(shí)間和上網(wǎng)流量。通過細(xì)致規(guī)劃和多次論證，確定學(xué)生宿舍網(wǎng)絡(luò)建設(shè)具體運(yùn)行架構(gòu)為：網(wǎng)絡(luò)中心分成Radius認(rèn)證服務(wù)器、Rose熱點(diǎn)服務(wù)器、路由器狀態(tài)查詢服務(wù)器和核心交換機(jī)，學(xué)生宿舍網(wǎng)部分的接入層全部采用銳捷RG-3750，匯聚采用銳捷RG-5750，所有交換機(jī)都開啟端口開放功能，而在學(xué)生宿舍內(nèi)部，采用的是基于OpenWrt系統(tǒng)的路由器作為免費(fèi)無線AP接入點(diǎn)。采用該方案實(shí)現(xiàn)了精簡(jiǎn)配置管理界面、便于大規(guī)模投放部署、推送認(rèn)證頁(yè)和廣告頁(yè)功能。同時(shí)該方案具有成本低、部署靈活的優(yōu)點(diǎn)，已經(jīng)在學(xué)院學(xué)生宿舍試驗(yàn)運(yùn)行。運(yùn)行效果可以證明此方案非常適合高密度宿舍無線網(wǎng)絡(luò)。

1 國(guó)內(nèi)外同類研究現(xiàn)狀述評(píng)

中國(guó)科學(xué)技術(shù)大學(xué)自動(dòng)化系對(duì)基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁(yè)設(shè)計(jì)做了研究，分析了路由器Web系統(tǒng)Luci搭建網(wǎng)頁(yè)的原理和實(shí)現(xiàn)細(xì)節(jié)。MVC模式是軟件工程實(shí)現(xiàn)網(wǎng)站搭建的核心，通過MVC模式，大大簡(jiǎn)化了網(wǎng)站的開發(fā)和維護(hù)工作。江蘇有線江陰分公司的徐海洪將OpenWrt開源路由器應(yīng)用在了電網(wǎng)中的組網(wǎng)當(dāng)中，但是用戶使用量遠(yuǎn)遠(yuǎn)達(dá)不到大學(xué)學(xué)生的人數(shù)。北京航空航天大學(xué)王鵬飛、周林志等人研究并設(shè)計(jì)了密集型無線宿舍網(wǎng)，為學(xué)校的15000學(xué)生提供了網(wǎng)絡(luò)服務(wù)，但是該系統(tǒng)的AP采用不是基于OpenWrt系統(tǒng)的路由器，所以其可定制性比較差，可擴(kuò)展性不高，不能為以后的網(wǎng)絡(luò)發(fā)展提供良好基礎(chǔ)。

2 組網(wǎng)設(shè)計(jì)

2.1 拓?fù)浼軜?gòu)和Vlan規(guī)劃

學(xué)院宿舍網(wǎng)作為校園網(wǎng)的重要子網(wǎng)，其信息點(diǎn)總數(shù)大約在1000個(gè)左右。整體拓?fù)浼軜?gòu)可以分為3層，分別是核心層、匯聚層和接入層。學(xué)院網(wǎng)絡(luò)中心機(jī)房作為核心層，配置了銳捷銳捷RG-S7606萬兆交換機(jī)和網(wǎng)康防火墻等網(wǎng)絡(luò)設(shè)備，采用電信、教育網(wǎng)等多光纖鏈路接入Internet；每一棟宿舍樓都配備一臺(tái)銳捷RG-S5750匯聚交換機(jī)，主干鏈路采用單模光纖與核心交換機(jī)互聯(lián)；每個(gè)宿舍內(nèi)部再根據(jù)房間的多少，每一層配備2～3臺(tái)銳捷接入交換機(jī)RG-S3750，采用超五類網(wǎng)線與匯聚交換機(jī)互聯(lián)。每個(gè)學(xué)生宿舍房間內(nèi)配備一個(gè)TP-Link路由器，也經(jīng)超五類網(wǎng)線與接入交換機(jī)互聯(lián)。

將每一臺(tái)匯聚交換機(jī)設(shè)置為一個(gè)獨(dú)立的Vlan，通過合理的規(guī)劃VLan可以限制宿舍網(wǎng)局域網(wǎng)內(nèi)部的廣播域，防止網(wǎng)絡(luò)風(fēng)暴出現(xiàn)，還可以節(jié)省網(wǎng)絡(luò)帶寬，同時(shí)提高數(shù)據(jù)傳輸速率。為第一臺(tái)配置VLan的交換機(jī)配置訪問控制策略。實(shí)現(xiàn)每一個(gè)宿舍樓內(nèi)部的上網(wǎng)終端可以互訪，但是不同樓內(nèi)的跨VLan的上網(wǎng)終端互相隔離。

2.2 OpenWrt路由器刷機(jī)認(rèn)證

第一步：首先將帶有OpenWrt系統(tǒng)的路TP-Link路由器通過網(wǎng)線連接PC機(jī)，然后訪問地址：192.168.1.253，統(tǒng)一設(shè)置無線路由器的管理密碼。

第二步：進(jìn)入OpenWrt系統(tǒng)后，點(diǎn)擊系統(tǒng)工具，用最新的刷機(jī)包升級(jí)軟件，將固件刷在系統(tǒng)當(dāng)中。同時(shí)設(shè)置無線網(wǎng)的密碼和通信信道和SSID名稱等基本信息。

第三步：將winscp中上傳3個(gè)文件（mentohust、mentohust_0.3.1-1_ar71xx、luci-app-mentohust_trunk+svn-1_ar71xx）復(fù)制到到路由器root根目錄下替換原來文件。

第四步：用開啟PC機(jī)DHCP功能，然后通過putty軟件連接路由器執(zhí)行opkg install/*.ipk命令，將mentohust文件復(fù)制到usr/sbin目錄下覆蓋源文件。

第五步：系統(tǒng)恢復(fù)備份。

2.3 網(wǎng)絡(luò)帶寬與流量管理

由于宿舍聯(lián)網(wǎng)信息點(diǎn)眾多，網(wǎng)絡(luò)同時(shí)訪問流量會(huì)很大，也為了不讓學(xué)生沉迷網(wǎng)絡(luò)，設(shè)置合理的上網(wǎng)時(shí)間，所以如何合理分配帶寬以及流量就顯得尤為重要。經(jīng)實(shí)驗(yàn)測(cè)試，需要在每一臺(tái)接入交換機(jī)上做一個(gè)流量分配的策略。限制所有的上網(wǎng)終端上行和下行速度小于等于5MB。每人每天的流量為3GB。

2.4 雙重認(rèn)證

首先在上述第二個(gè)階段中，將銳捷認(rèn)證程序mentohust已經(jīng)放入路由器當(dāng)中，Mentohust是銳捷認(rèn)證的一種替代程序，由華中科技大學(xué)首先在Linux系統(tǒng)下開發(fā)出來，可以在Linux系統(tǒng)下操作，可以很好地代替銳捷認(rèn)證。

其實(shí)在每個(gè)宿舍樓的接入交換機(jī)當(dāng)中設(shè)置如下命令：

Switch#configure terminal

Switch（config）#interface f 1/1

Switch（config-if）#dot1x port-control auto

打開接口的認(rèn)證功能

Switch（config）#end

Switch（config-if）#no dot1x port-control auto

監(jiān)控每個(gè)合法上網(wǎng)終端的行為，如果不是本網(wǎng)絡(luò)的合法用戶，則立即停止其上網(wǎng)流量。

這樣就實(shí)現(xiàn)了路由器認(rèn)證和交換機(jī)認(rèn)證的雙重認(rèn)證，就不會(huì)有非法用戶進(jìn)入網(wǎng)絡(luò)，保證了學(xué)生宿舍無線網(wǎng)絡(luò)的安全。

3 結(jié)語

學(xué)生宿舍無線網(wǎng)的建設(shè)是學(xué)院數(shù)字化建設(shè)的重要組成部分，它不僅可以使學(xué)生在宿舍就能夠和網(wǎng)絡(luò)世界互通，還可以讓學(xué)生足不出戶就充分享受學(xué)院校園網(wǎng)上豐富的教學(xué)資源，極大地提高了學(xué)生學(xué)習(xí)的興趣，充分利用了學(xué)生一切可以利用的時(shí)間。系統(tǒng)采用銳捷交換機(jī)認(rèn)證技術(shù)和OpenWrt系統(tǒng)的固件認(rèn)證技術(shù)，切實(shí)保障了學(xué)生宿舍無線網(wǎng)的安全性，同時(shí)還較好地控制了學(xué)生上網(wǎng)行為和上網(wǎng)時(shí)間，真正實(shí)現(xiàn)了學(xué)生在玩中學(xué)，在學(xué)中做的強(qiáng)大功能。

參考文獻(xiàn)

[1] 李龍躍.路由器進(jìn)行校園網(wǎng)銳捷認(rèn)證的一種途徑[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2013（9X）：6089-6090.

[2] 曹為華，凌強(qiáng)，張雷，等.基于OpenWrt系統(tǒng)路由器的模式切換與網(wǎng)頁(yè)設(shè)計(jì)[J].微型機(jī)與應(yīng)用，2015，34（23）：91-94.

[3] 許倩.基于OpenWrt系統(tǒng)路由器的功能模塊的開發(fā)[D]. 中國(guó)石油大學(xué)（華東），2013.

[4] 柴銳鋒.基于OPENWRT的無線自組網(wǎng)路由協(xié)議研究與實(shí)現(xiàn)[D].哈爾濱工業(yè)大學(xué)，2009.

[5] 徐凱.OpenWRT實(shí)現(xiàn)向量網(wǎng)接入設(shè)備的接入認(rèn)證和流量統(tǒng)計(jì)[D].北京交通大學(xué)，2016.endprint