随着高校信息化的推进,在校的师生越来越依赖网络,传统的网络主要以有线为主,网络终端也主要是台式计算机。随着笔记本电脑的大量普及,这时很多的高校开始了校园无线网络覆盖,方便了师生快速连接网络,但同时也带来了信息安全的问题,随便一个访客带着笔记本电脑都可以成为学校局域网用户,严重威胁着学校重要数据库的安全。同时笔记本电脑跟原来台式机不一样,笔记本电脑是学生自己的设备,通过学校的无线网络访问互联网,这时对于付费服务的话,应该相对于学校提供的台式计算机资费优惠一些才合理。
这就要求学校在进行无线网络覆盖时,对笔记本接入网络就应该进行认证,只有确认身份才能成为局域网用户,同时也具备访问互联网的权限;在计费上应该有别于使用有线网络时的费用。
在很多高校都使用认证计费系统对学校的网络进行计费,传统的方式中用户接入局域网时不需要进行认证,只有当用户需要通过网关设备时才会进行认证、计费,这种模式无法使无线网络用户接入无线网络时就进行认证。
下面探讨一下使用认证计费系统实现无线网络的认证、有线与无线网络不同计费策略的实现方法,无线网络实施过来实际问题的解决。
[page]二、无线网络认证的实现[/page]
二、无线网络认证的实现
图1所示为无线网络的网络架构图,在实施过程中采用WX3024无线接入控制器(AC)与瘦AP组成无线接入设备。
无线网络的接入采用Portal认证方式,用户的认证和计费信息由认证计费系统来提供,这时认证计费系统对无线接入控制器来讲相当于Radius server,这需要分别在认证计费设备里设置向第三方提供Radius服务;在无线接入控制器里设置从城市热点获取认证计费信息。
这里约定认证计费服务器的IP地址为:172.18.0.2;无线接入控制器的IP地址为172.17.0.2;DNS服务器的地址:218.2.135.1。
1. 配置认证计费系统提供Radius服务
进入认证计费服务器管理工具,在“设备管理”里打开“RADIUS服务器设置”,在如图2所示弹出的界面里设置无线接入控制器的IP地址及密码。
2. 配置无线接入控制器获取认证、计费服务器
#创建名称为rs的radius方案
radius scheme rs
# 配置radius方案,定义认证和计费服务器及其通信密钥
primary authentication 172.18.0.2
primary accounting 172.18.0.2
key authentication password
key accounting password
# 定义3分钟后如果用户与radius server之间无数据交互则断开用户连接
timer realtime-accounting 3
# 配置portal服务器使用http协议
portal local-server http
# 将ssid为njcit(校园无线网)的用户与portal页面文件http.zip绑定
portal local-server bind ssid njcit file http.zip
# 在无线用户接入的vlan接口上使能Portal直接认证
interface Vlan-interface10
ip address 172.17.1.2 255.255.255.0
portal server radius method direct
3. 配置免认证IP范围
# 创建免认证规则1,定义经过AC的trunk口GigabitEthernet1/0/1用户报文不触发portal认证
portal free-rule 1 source interface GigabitEthernet1/0/1 destination any
# 创建免认证规则2,定义访问DNS服务器的报文无需认证,以便用户在没有认证时在浏览器中输入任何域名都重定向到指定的Portal认证页面
portal free-rule 2 source any destination ip 218.2.135.1 mask 255.255.255.255
4. 配置无线控制器去除域名信息
# 配置发送给radius服务器的用户名不携带ISP 域名。
user-name-format without-domain
# 创建名称为system的ISP域
domain system
# 将ISP域引用已定义的radius方案rs实施认证、授权和计费功能
authentication portal radius-scheme rs
authorization portal radius-scheme rs
accounting portal radius-scheme rs
state active
完成上面工作后,这时就可以实现无线网络的认证计费功能。
[page]三、计费策略的设置[/page]
为了对有线用户和无线用户进行不同的计费策略,可采用认证计费系统的源地址优惠策略来实现。我们可以将无线网络用户使用172.17.1.0-172.17.255.255地址范围,而有线用户采用10.0.0.0/24地址。
在认证计费系统的管理工具中定义学生计费组,并将计费设置为“储值卡”方式,实现认证计费系统前台设备实时计费,使用认证计费系统的“源地址资源策略”对同一学生账号在指定区域上网实行优惠。在如图3所示的“源地址策略”对话框中定义原IP地址为172.17.1.0-172.17.255.255设置时长折扣为50%。
图3 源地址资源策略定义
学生使用账号接入校园无线网,资费标准与有线接入一致,但计费系统会遵循“源地址资源策略”实现时长半折优惠。如图4所示为无线上网账号登录的日志记录,注销时间减去登陆时间为12分钟,而计费系统显示“使用时长”为6分钟,即实际使用时长的一半。而有线网络用户使用正常的计费,时间长度为实际使用的时长。
图4 无线上网账号登录的日志记录
四、无线网络实际使用中存在的问题与对策
1. 恶意下载对无线网络的稳定造成影响
无线局域网中AP是采用共享带宽的方式,理论上讲每个AP提供了54M的带宽,如果有用户恶意下载,这将导致该AP的其他用户对网络服务质量下降,甚至其他用户无法接入网络。在实际使用中通常会对每个接入用户的网速进行限制,通常会限制到4M左右,以保证无线网络用户的正常使用。
2. ARP攻击造成的威胁
在无线局域网中同样会存在ARP攻击的问题,为了访问ARP导致整个无线网络的不正常,通常可以对不同的AP划分不同的VLAN,减少ARP对整个无线网络的影响;同时也便于了解不同AP的用户访问情况。
3. WIFI手持设备认证
现在一些支持无线局域网的手机、VOIP设备在使用无线局域网时如果进行认证比较麻烦,这时可以在无线接入控制器中将相应设备的MAC地址添加到免认证的列表中,这样就可以做到免认证使用这些无线网络设备。
摘自:南京信息职业技术学院 陈松 王伟林《中国教育网络》2009年8期P50-51。
