高校無線局域網用戶認證調控和監管體系范文
本站小編為你精心準備了高校無線局域網用戶認證調控和監管體系參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
1無線網絡介紹
隨著無線技術的進步、教育需求的變化和發展,無線網絡其移動性.佰,傳輸距離長、易擴展、組網方式靈活、管理方便等優點正逐漸成為許多教育機構、院校的重要組成部分。自從1999年l0月,美國上內旅.梅降大學在世界上率先啟動了校園無線網絡,經過了l0年的發展,無線校園已經成為西方發達國家提升教學環境品質,提.佰教育資源利用率,增加教育靈活性和交流性的重要方式。雖然我國無線校園網絡的建設較國外起步晚,但發展仍然相當迅速。2002年,北京大學開始鋪建中國.佰校第
一個無線網絡,之后浙江、上海、杭州、深圳等地的.佰校相繼推出校園無線網絡計劃并加以實施,但在用戶認證和管理上缺乏統一分類和機制。本文就高校無線網絡建設中的用戶統一分類和認證機制進行了討論,并給出了一個合適的認證系統建設方案。
通過多種接人手段,在不同的環境下部署不同的無線接人設備(比如室內AP、室外AP,Mesh"''''產品等),統一地進行無線用戶和設備的控制管理,通過對用戶權限的分配統一分配網絡資源,控制、管理其網絡信息訪問內容。這個平臺將是可擴展的,井且非常易于管理。對于校園網絡來說,無線網絡的建設不僅僅是考慮無線接人層面的工作,而是個端到端的解決方案。
2無線用戶及應用區分、解決方案
校園無線網絡日后將是多種無線應用共存的個大規模無線網絡,所以勢必存在不同終端、不同用戶群、不同應用的網絡需求。而滿足網絡對不同應用需求的最旅本人口就是網絡的認證手段與用戶策略及服務質量的捆綁。學校的無線網絡用戶大致可分為以下四大類:教職員工、學生、訪客、特殊終端(比如語言終端、攝像頭、相機等)。用戶接人策略如圖1所示,針對不同用戶,,我們分別賦了如下的策略進行接人:
1)外來訪客用戶接人
對于此類用戶,我們需要考慮無線網絡接人的方法要求盡量簡單且友好,所以可以采用Web認證的方式,但是外來用戶’往往帶來很多安全隱患,所以在采用Web認證的同時,我們對于那些外來的WLAN接人者系統可依通過EoIP(EthernetoverIP)隧道再將這些用戶,的流量引導到防火墻的DMZ區,需要對這些用戶,限定接人時問接人帶寬,并在校園網絡中通過隧道方式將這些用戶,的流量引導到相應的安全域加以集中控制。因此,對于網絡管理人員來說,對這些訪客的策略集中在安全域處理即可。
2)學生接人
對于此類用戶無線網絡接人的方法要求盡量簡單且友好,另外,還需要考慮到學校相關校園信息的快速以及介紹,所以建議采用Web認證方式。而且考慮到對校園預付費上網的管理可以通過Radius服務器和無線控制器的自_接配合來實施用戶,的接人控制。考慮到校園園區很大,且可能接人的用戶,數量眾多,我們可以為不同接人區域的相同SSID分配不同的用戶’接人VLAN,這樣也能有效控制不同校區或相同校區不同區域用戶’的接人,甚至可以將接人區域與學生的用戶,名綁定。
3)教職員工的接人
對于教職員工的接人需要的是快速安全,而WLAN開放的環境下旅于WPA/WPA2的802.1x最能夠保障教職員工對數據的安全性的需求,WPA2的AES加密〔3{是目前公認的商業領域最強大的加密算法,同時由于WPA2是WiFi的認證所以目前幾乎所有的桌面操作系統(Linux,W111dOWS等)均能夠快速配并支持。但是光考慮802.1X認證的數據安全是遠遠不夠的,在教職員接人的同時我們還應該考慮通過動態的VLAN分配來有效地對不同科系的老師進行區分,即數學系的老師接人網絡之后自_接被引導到數學系所在的地址空問,而歷史系的老師接人網絡之后直接被引導到歷史系所在的地址空問,每個老師通過校園WLAN的接人后就像工作在自己科系的辦公室一樣。通過這種方式我們也可以對不同的應用進行動態VLAN的分配。因此通過WPA/WPA2+802.1x認證,可以在相同的SSID的情況下根據不同的用戶認證信息分配不同的VLAN,ACL,QoS甚至將用戶認證信息與認證的地點捆綁在一起,即某些某校區的用戶只能在某校區的某個樓層訪問WLAN,而出了這個樓層將無法接人WLANa
4))應用終端接人
WiFi的應用終端很多有WiFi數碼相機、WiFiIP電話、WiFi游戲機、WiFi監控攝像頭等等,這些設備均能夠以802.11定義的無線局域網工作模式中的結構模式(主nfrastructureinode)接人WLAN系統,但這些設備多數都不能通過內置程序進行接人認證(有的可能支持WPA/WPA2-PSK)所以對于這些設備來說我們需要為他們進行MAC或MAC+WPA/WPA2-PSK認證,以保障這些終端的接人安全和數據通訊安全性。由于不同終端應用不同,因此我們還需要控制器根據這些終端的MAC地址組為這些不同的終端分配不同的VLAN,ACL,QoSa
3SSID的設計
對于無線設備來說,SSID越多將會大大增加無線接人點的開銷,一般情況下,增加到五、六個SSID的無線接人點,將降低10%以上的處理能力。所以,針對這種情況,我們推薦在整個校園只采用二個SSID來部署,其中,一個SSID比如為campus-Wireless,他為學生、教職員工、甚至專用設備提供接人,另外一個SSID為Guest,專為訪客所用。
學生、教職員工、專用設備采取的認證方式均不同,目前很多設備可以完成只使用單一的SSID接人不同安全策略的用戶端,從而減少SSID的開銷,從另一方面提.佰AP的性能。
4認證策略的統一管理
對于用戶的訪問,我們建議采用二次認證的方式,第一次為接人無線網絡認證,這樣便于無線網絡的控制和管理,第二次為接人Interne:認證,這樣方便學校進行計費管理。
第一次認證的情況下,對于采用了統一無線設備接人的用戶,針對于不同用戶的接人,我們提供了不同的認證手段,包括EAP認證、Web認證、MAC地址認證等,所有的認證信息數據庫均存在內網后臺的LDAP數據庫中,無論從哪發起的認證均由這個統一的認證數據庫進行辨識。
但是,由于某些院系可能采購的無線設備品牌比較雜,沒有任何認證機制,也沒有統一管理手段,對于這種情況,我們建議把這類AP直接接人前端認證服務器中,通過認證服務器及其后臺的管理引擎,對其接人的用戶進行統一的Web認證,其認證信息由認證服務器轉發至統一的LDAP數據庫,認證通過的用戶才可以接人無線網絡。第二次認證我們建議仍然采用校園傳統的方式,比如L2TP撥號,不改變用戶的默認行為習慣。
5多業務開展
針對不同的業務開展我們可以通過不同的SSID進行業務區分,目前某些無線AP可以配置多個SSID來區別不同的業務,并且每個SSID可以采用不同的加密和認證方式和可控的QOS保證機制。由于每個SSID對應的是后臺無線控制器的不同的VLAN接口,兩個SSID對應的VLAN盯習邏輯隔離,只需將相應的VLAN配置到相應的業務接口即可,這就像把一個物理的無線網絡通過SSID劃分為多個邏輯隔離的無線網絡。某些特定需求下也許不同的SSID無線網絡問有互訪需求,從此我們建議通過AC中的防火墻模塊控制各VLAN盯7的數據通訊,這樣使得各邏輯網絡問更加安全。
6結論
上述這些需求在傳統的無線網絡構架中是無法實現的,原因是傳統的無線網絡構架無法實現個AP上接人的用戶被動態地分配到成百數千個動態VLAN中,因為,首先這個AP的上行端口要被配制成VLAN中繼,且支持數量要是成百上千個VLANa其次,所有的接人交換機的每個AP端口都需要這樣的配置,而這種是繁瑣且耗費網絡資源的方式。因此,在本文所述的輕量級AP構架下,我們能夠通過隧道的方式將用戶流量跨三層地引導到無線控制器單元,這樣所有的配置只需要在無線控制器上來實現即可。這種方式對AP的網絡接人配置沒有任何需求(僅需路由可達控制器),并且可以有效地實現用戶二三層的快速安全漫游切換。
