高校无线局域网用户认证调控和监管体系范文

1无线网络介绍

随着无线技术的进步、教育需求的变化和发展，无线网络其移动性.佰,传输距离长、易扩展、组网方式灵活、管理方便等优点正逐渐成为许多教育机构、院校的重要组成部分。自从1999年l0月，美国上内旅.梅降大学在世界上率先启动了校园无线网络，经过了l0年的发展，无线校园已经成为西方发达国家提升教学环境品质，提.佰教育资源利用率，增加教育灵活性和交流性的重要方式。虽然我国无线校园网络的建设较国外起步晚，但发展仍然相当迅速。2002年，北京大学开始铺建中国.佰校第

一个无线网络，之后浙江、上海、杭州、深圳等地的.佰校相继推出校园无线网络计划并加以实施，但在用户认证和管理上缺乏统一分类和机制。本文就高校无线网络建设中的用户统一分类和认证机制进行了讨论，并给出了一个合适的认证系统建设方案。

通过多种接人手段，在不同的环境下部署不同的无线接人设备(比如室内AP、室外AP,Mesh"''''产品等)，统一地进行无线用户和设备的控制管理，通过对用户权限的分配统一分配网络资源，控制、管理其网络信息访问内容。这个平台将是可扩展的，井且非常易于管理。对于校园网络来说，无线网络的建设不仅仅是考虑无线接人层面的工作，而是个端到端的解决方案。

2无线用户及应用区分、解决方案

校园无线网络日后将是多种无线应用共存的个大规模无线网络，所以势必存在不同终端、不同用户群、不同应用的网络需求。而满足网络对不同应用需求的最旅本人口就是网络的认证手段与用户策略及服务质量的捆绑。学校的无线网络用户大致可分为以下四大类:教职员工、学生、访客、特殊终端(比如语言终端、摄像头、相机等)。用户接人策略如图1所示，针对不同用户，，我们分别赋了如下的策略进行接人:

1)外来访客用户接人

对于此类用户，我们需要考虑无线网络接人的方法要求尽量简单且友好，所以可以采用Web认证的方式，但是外来用户’往往带来很多安全隐患，所以在采用Web认证的同时，我们对于那些外来的WLAN接人者系统可依通过EoIP(EthernetoverIP)隧道再将这些用户，的流量引导到防火墙的DMZ区，需要对这些用户，限定接人时问接人带宽，并在校园网络中通过隧道方式将这些用户，的流量引导到相应的安全域加以集中控制。因此，对于网络管理人员来说，对这些访客的策略集中在安全域处理即可。

2)学生接人

对于此类用户无线网络接人的方法要求尽量简单且友好，另外，还需要考虑到学校相关校园信息的快速以及介绍，所以建议采用Web认证方式。而且考虑到对校园预付费上网的管理可以通过Radius服务器和无线控制器的自_接配合来实施用户，的接人控制。考虑到校园园区很大，且可能接人的用户，数量众多，我们可以为不同接人区域的相同SSID分配不同的用户’接人VLAN，这样也能有效控制不同校区或相同校区不同区域用户’的接人，甚至可以将接人区域与学生的用户，名绑定。

3)教职员工的接人

对于教职员工的接人需要的是快速安全，而WLAN开放的环境下旅于WPA/WPA2的802.1x最能够保障教职员工对数据的安全性的需求，WPA2的AES加密〔3{是目前公认的商业领域最强大的加密算法，同时由于WPA2是WiFi的认证所以目前几乎所有的桌面操作系统(Linux,W111dOWS等)均能够快速配并支持。但是光考虑802.1X认证的数据安全是远远不够的，在教职员接人的同时我们还应该考虑通过动态的VLAN分配来有效地对不同科系的老师进行区分，即数学系的老师接人网络之后自_接被引导到数学系所在的地址空问，而历史系的老师接人网络之后直接被引导到历史系所在的地址空问，每个老师通过校园WLAN的接人后就像工作在自己科系的办公室一样。通过这种方式我们也可以对不同的应用进行动态VLAN的分配。因此通过WPA/WPA2+802.1x认证，可以在相同的SSID的情况下根据不同的用户认证信息分配不同的VLAN,ACL,QoS甚至将用户认证信息与认证的地点捆绑在一起，即某些某校区的用户只能在某校区的某个楼层访问WLAN，而出了这个楼层将无法接人WLANa

4))应用终端接人

WiFi的应用终端很多有WiFi数码相机、WiFiIP电话、WiFi游戏机、WiFi监控摄像头等等，这些设备均能够以802.11定义的无线局域网工作模式中的结构模式(主nfrastructureinode)接人WLAN系统，但这些设备多数都不能通过内置程序进行接人认证(有的可能支持WPA/WPA2-PSK)所以对于这些设备来说我们需要为他们进行MAC或MAC+WPA/WPA2-PSK认证，以保障这些终端的接人安全和数据通讯安全性。由于不同终端应用不同，因此我们还需要控制器根据这些终端的MAC地址组为这些不同的终端分配不同的VLAN,ACL,QoSa

3SSID的设计

对于无线设备来说，SSID越多将会大大增加无线接人点的开销，一般情况下，增加到五、六个SSID的无线接人点，将降低10%以上的处理能力。所以，针对这种情况，我们推荐在整个校园只采用二个SSID来部署，其中，一个SSID比如为campus-Wireless，他为学生、教职员工、甚至专用设备提供接人，另外一个SSID为Guest，专为访客所用。

学生、教职员工、专用设备采取的认证方式均不同，目前很多设备可以完成只使用单一的SSID接人不同安全策略的用户端，从而减少SSID的开销，从另一方面提.佰AP的性能。

4认证策略的统一管理

对于用户的访问，我们建议采用二次认证的方式，第一次为接人无线网络认证，这样便于无线网络的控制和管理，第二次为接人Interne:认证，这样方便学校进行计费管理。

第一次认证的情况下，对于采用了统一无线设备接人的用户，针对于不同用户的接人，我们提供了不同的认证手段，包括EAP认证、Web认证、MAC地址认证等，所有的认证信息数据库均存在内网后台的LDAP数据库中，无论从哪发起的认证均由这个统一的认证数据库进行辨识。

但是，由于某些院系可能采购的无线设备品牌比较杂，没有任何认证机制，也没有统一管理手段，对于这种情况，我们建议把这类AP直接接人前端认证服务器中，通过认证服务器及其后台的管理引擎，对其接人的用户进行统一的Web认证，其认证信息由认证服务器转发至统一的LDAP数据库，认证通过的用户才可以接人无线网络。第二次认证我们建议仍然采用校园传统的方式，比如L2TP拨号，不改变用户的默认行为习惯。

5多业务开展

针对不同的业务开展我们可以通过不同的SSID进行业务区分，目前某些无线AP可以配置多个SSID来区别不同的业务，并且每个SSID可以采用不同的加密和认证方式和可控的QOS保证机制。由于每个SSID对应的是后台无线控制器的不同的VLAN接口，两个SSID对应的VLAN盯习逻辑隔离，只需将相应的VLAN配置到相应的业务接口即可，这就像把一个物理的无线网络通过SSID划分为多个逻辑隔离的无线网络。某些特定需求下也许不同的SSID无线网络问有互访需求，从此我们建议通过AC中的防火墙模块控制各VLAN盯7的数据通讯，这样使得各逻辑网络问更加安全。

6结论

上述这些需求在传统的无线网络构架中是无法实现的，原因是传统的无线网络构架无法实现个AP上接人的用户被动态地分配到成百数千个动态VLAN中，因为，首先这个AP的上行端口要被配制成VLAN中继，且支持数量要是成百上千个VLANa其次，所有的接人交换机的每个AP端口都需要这样的配置，而这种是繁琐且耗费网络资源的方式。因此，在本文所述的轻量级AP构架下，我们能够通过隧道的方式将用户流量跨三层地引导到无线控制器单元，这样所有的配置只需要在无线控制器上来实现即可。这种方式对AP的网络接人配置没有任何需求(仅需路由可达控制器)，并且可以有效地实现用户二三层的快速安全漫游切换。