校園網(wǎng)基于802.1x無(wú)感知認(rèn)證的研究與實(shí)現(xiàn)

曹忠華

（南通市通州區(qū)育才中學(xué)，江蘇南通226300）

校園網(wǎng)基于802.1x無(wú)感知認(rèn)證的研究與實(shí)現(xiàn)

曹忠華

（南通市通州區(qū)育才中學(xué)，江蘇南通226300）

隨著教育信息化建設(shè)加快推進(jìn)，各中小學(xué)校數(shù)字化校園硬件和軟件系統(tǒng)也得到了不斷完善，在辦公及學(xué)習(xí)區(qū)域都有一定數(shù)量的無(wú)線AP,方便老師移動(dòng)辦公和學(xué)生的數(shù)字化學(xué)習(xí)。但無(wú)線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)沒有固定邊界，在沒有任何安全策略情況下只要進(jìn)入無(wú)線覆蓋范圍內(nèi)就可以關(guān)聯(lián)無(wú)線，存在身份無(wú)法確認(rèn)的巨大安全隱患。同時(shí)數(shù)據(jù)通過電磁波進(jìn)行傳輸，黑客可以通過無(wú)線抓包軟件探測(cè)周圍無(wú)線數(shù)據(jù)報(bào)文，數(shù)據(jù)傳輸同樣存在安全隱患。本文給出一種基于802.1x協(xié)議的校園網(wǎng)無(wú)線認(rèn)證方法,并闡述了其實(shí)現(xiàn)步驟。

802.1x；EAP；PEAP；AP；無(wú)感知認(rèn)證

一、現(xiàn)狀與需求分析

隨著智能終端的普及，接入校園網(wǎng)絡(luò)的終端類型正在逐漸發(fā)生變化。智能終端需要通過3G、GPRS、WIFI接入Internet網(wǎng)絡(luò)。但目前3G、GPRS上網(wǎng)資費(fèi)較貴，所以WIFI成為校園網(wǎng)中智能終端的主要接入方式。為了保障無(wú)線網(wǎng)絡(luò)及用戶數(shù)據(jù)傳輸?shù)陌踩枰獙?duì)接入終端身份進(jìn)行校驗(yàn),同時(shí)對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

校園網(wǎng)中常見的無(wú)線身份驗(yàn)證方式為：預(yù)共享密鑰的方式、Portal方式（Web認(rèn)證）。

（1）預(yù)共享密鑰：學(xué)校網(wǎng)絡(luò)管理員提前配置無(wú)線安全密鑰，用戶接入網(wǎng)絡(luò)時(shí)輸入提前配置的密鑰進(jìn)行身份驗(yàn)證。由于密鑰為靜態(tài)管理方式，如果該密鑰泄露，將失去用戶身份驗(yàn)證的作用，該方式在大型無(wú)線網(wǎng)絡(luò)中已經(jīng)很少使用。

（2）Portal方式：用戶使用瀏覽器進(jìn)行認(rèn)證（Web認(rèn)證），不存在系統(tǒng)兼容性的問題，但是用戶每次接入網(wǎng)絡(luò)都需要打開瀏覽器進(jìn)行一次Portal認(rèn)證，如果每次都需要進(jìn)行Portal認(rèn)證將大大降低用戶的無(wú)線體驗(yàn)。

根據(jù)老師們使用習(xí)慣和應(yīng)用場(chǎng)景分析，能不能給我們的老師提供一種快速“無(wú)感知”的接入方式，即終端進(jìn)入無(wú)線覆蓋范圍內(nèi)即可自動(dòng)連接無(wú)線網(wǎng)絡(luò)，不再需要輸入用戶名、密碼或者預(yù)共享密鑰等信息即可完成終端身份識(shí)別。化繁為簡(jiǎn)的“無(wú)感知”接入，讓用戶幾乎忘了自己是如何上網(wǎng)的,同時(shí)安全性卻絲毫沒有妥協(xié)，網(wǎng)絡(luò)管理員依然可以做到最為安全的無(wú)線網(wǎng)絡(luò)接入。

二、802.1x無(wú)感知認(rèn)證價(jià)值描述

無(wú)感知認(rèn)證的方案有：基于802.1x無(wú)感知認(rèn)證，基于MAC無(wú)感知認(rèn)證。本文主要討論基于802.1x的無(wú)感知認(rèn)證。

市場(chǎng)上大部分智能終端都支持802.1x認(rèn)證功能，802.1x技術(shù)為企業(yè)級(jí)的網(wǎng)絡(luò)提供了安全和便捷的解決方案。用戶希望接入無(wú)線網(wǎng)絡(luò)時(shí)只需要首次進(jìn)行認(rèn)證信息配置，后續(xù)用戶只要進(jìn)入無(wú)線信號(hào)覆蓋范圍內(nèi)即可自動(dòng)完成認(rèn)證。

802.1x協(xié)議規(guī)定在完成認(rèn)證之前是不允許信息交互的，因此手持終端與AC在認(rèn)證之前只能通過802.1x協(xié)議規(guī)定的EAP（Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議）幀交換認(rèn)證信息。目前大多數(shù)手持終端都支持基于802.1x的EAP認(rèn)證，輸入相應(yīng)的用戶名密碼，即可自動(dòng)完成認(rèn)證，這種方式稱為EAP-PEAP，即Protected-EAP（受保護(hù)可擴(kuò)展的身份驗(yàn)證協(xié)議）。已被Wi-FI聯(lián)盟WPA和WPA2批準(zhǔn)的有兩個(gè)子類型：PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個(gè)框架協(xié)議，目前業(yè)界使用最廣的是由微軟提出的PEAP-MSCHAPV2協(xié)議，又被稱作MS-PEAP，也就是我們?cè)趇Phone上看到的WPA/WPA2企業(yè)級(jí)認(rèn)證方式。

PEAP是可擴(kuò)展的身份認(rèn)證協(xié)議，認(rèn)證過程分為兩個(gè)階段，第一階段終端與Radius服務(wù)器之間建立TLS隧道，通過TLS保護(hù)第二階段用戶信息的交互；第二階段完成認(rèn)證方式的協(xié)商及用戶身份的認(rèn)證。常見的PAEP認(rèn)證方式有兩種：PEAP-MSCHAPV2、PEAP-GTC。從技術(shù)角度而言，PEAP-MSCHAPV2技術(shù)是大部分移動(dòng)終端都支持的無(wú)線認(rèn)證協(xié)議，該協(xié)議將用戶的認(rèn)證信息在PEAP保護(hù)下傳輸，且用戶密碼無(wú)法被解密而被竊取。所以PEAP-MSCHAPV2成為大部分無(wú)線項(xiàng)目主推的認(rèn)證方式。

三、基礎(chǔ)網(wǎng)絡(luò)部署

802.1x無(wú)感知認(rèn)證采用標(biāo)準(zhǔn)的PEAP方式進(jìn)行認(rèn)證，該功能不是銳捷特有的功能，下面只是以銳捷網(wǎng)絡(luò)設(shè)備為例。

三層核心交換機(jī)SW1（S8606），二層接入交換機(jī)SW2 （S2900）,無(wú)線AP（RG-AP320-I）,無(wú)線AC控制器（RGWS5302），RG-ESS或RG-SMP認(rèn)證系統(tǒng)。

網(wǎng)絡(luò)拓?fù)淙鐖D2所示，其功能介紹如表1所示。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

表1 功能介紹

（1）在上面的網(wǎng)絡(luò)中使用了無(wú)線AC本地轉(zhuǎn)發(fā)部署模式。通常情況下無(wú)線用戶所有流量都需要先經(jīng)過AC才能進(jìn)行轉(zhuǎn)發(fā)，這種集中轉(zhuǎn)發(fā)的模型有可能會(huì)改變客戶的流量模型，客戶希望無(wú)線用戶流量不走AC直接通過AP進(jìn)行轉(zhuǎn)發(fā)，這就是本地轉(zhuǎn)發(fā)功能。AC只做控制不參與用戶數(shù)據(jù)轉(zhuǎn)發(fā)，減輕了AC負(fù)擔(dān)。

（2）無(wú)線用戶網(wǎng)關(guān)位于核心交換機(jī)，無(wú)線用戶數(shù)據(jù)報(bào)文由AP完成802.11到802.3轉(zhuǎn)化。接入交換機(jī)和AP互聯(lián)接口配置為trunk，native vlan修改為AP設(shè)備vlan，只放通無(wú)線用戶vlan和AP vlan。

（1）核心交換機(jī)SW1的配置

創(chuàng)建ap vlan 10、用戶vlan 20、AC與核心交換機(jī)（SW1）互聯(lián)的vlan 30：

SW1〉enable//進(jìn)入特權(quán)模式

SW1#configure terminal//進(jìn)入全局配置模式

SW1(config)#vlan 10//ap的vlan

SW1(config-vlan)#vlan 20//用戶的vlan

SW1(config-vlan)#vlan 30 //AC與核心交換機(jī)（SW1）互聯(lián)的vlan

配置接口和接口地址：

SW1(config)#interface GigabitEthernet 0/1//與AC互聯(lián)的接口配置為trunk

SW1(config-if-GigabitEthernet 0/1)#switchport mode trunk

SW1(config)#interface vlan 10//配置AP網(wǎng)關(guān)地址

SW1(config-if-VLAN 10)#ip address 192.168.10.1 255.255.255.0

SW1(config)#interface vlan 20//無(wú)線用戶的網(wǎng)關(guān)地址

SW1(config-if-VLAN 20)#ip address 192.168.20.1 255.255.255.0

SW1(config)#interface vlan 30//和AC互聯(lián)地址,子網(wǎng)掩碼30位

SW1(config-if-VLAN 30)#ip address 192.168.30.1 255.255.255.252

地址池相關(guān)配置，給AP和無(wú)線用戶分配地址:

SW1(config)#service dhcp//開啟DHCP服務(wù)

SW1(config)#ip dhcp pool ap//創(chuàng)建DHCP地址池，名稱是ap

SW1(dhcp-config)#option 138 ip 192.168.254.254 //配置option字段，指定AC的地址，即AC的loopback 0地址

SW1 (dhcp -config)#network 192.168.10.0 255.255.255.0//分配給ap的地址

SW1(dhcp-config)#default-route 192.168.10.1//分配給AP的網(wǎng)關(guān)地址

SW1(config-dhcp)#exit

SW1(config)#ip dhcp pool ap_user//無(wú)線用戶DHCP地址池，名稱是ap_user

SW1 (dhcp -config)#network 192.168.20.0 255.255.255.0//分配給無(wú)線用戶的地址

SW1(dhcp-config)#default-route 192.168.20.1//分給無(wú)線用戶的網(wǎng)關(guān)

SW1(dhcp-config)#dns-server 8.8.8.8//分配給無(wú)線用戶的dns

注意：AP的DHCP中的option字段和網(wǎng)段、網(wǎng)關(guān)要配置正確，否則會(huì)出現(xiàn)AP獲取不到DHCP信息導(dǎo)致無(wú)法建立隧道。

配置靜態(tài)路由:

指明到達(dá)AC的loopback 0的路徑,AC環(huán)回地址使用32位掩碼。

SW1 (config)#ip route 192.168.254.254 255.255.255.255 192.168.30.2

（2）AC控制器配置

創(chuàng)建vlan:

AC(config)#vlan 10//ap的vlan

AC(config-vlan)#vlan 20//用戶的vlan

AC(config-vlan)#vlan 30//AC與核心交換機(jī)（SW1）互聯(lián)的vlan

配置接口和接口地址：

AC(config)#interface GigabitEthernet 0/1//與SW1互聯(lián)的接口配置為trunk

AC(config-if-GigabitEthernet 0/1)#switchport mode trunk

AC(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094

AC(config)#interface Loopback 0//配置AC回環(huán)接口地址

AC (config -if -Loopback 0)#ip address 192.168.254.254 255.255.255.255

AC(config)#interface vlan 30//配置與核心SW1互聯(lián)地址,子網(wǎng)掩碼30位

AC(config-if-VLAN 30)#ip address 192.168.30.2 255.255.255.252

配置默認(rèn)路由:

AC(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 // 192.168.30.1是核心交換機(jī)的地址

無(wú)線SSID配置:

AC (config)#wlan-config 20 ruijie-802.1x //創(chuàng)建SSID為ruijie-802.1x無(wú)線信號(hào)

AC(config-wlan)#tunnel local//開啟wlan-id 20的本地轉(zhuǎn)發(fā)功能

無(wú)線ap-group配置，關(guān)聯(lián)wlan-config和用戶vlan：

AC(config)#ap-group default

AC(config-ap-group)#interface-mapping 20 20//把wlan-config 20和vlan 20進(jìn)行關(guān)聯(lián)

（3）接入交換機(jī)（SW2）配置

在本地轉(zhuǎn)發(fā)模式中，接入交換機(jī)和AP互聯(lián)接口配置為trunk，native為AP vlan，只放通無(wú)線用戶vlan和AP vlan。

SW2(config)#interface GigabitEthernet 0/2

SW2(config-if-GigabitEthernet 0/2)#switchport mode trunk

SW2(config-if-GigabitEthernet 0/2)#switchport trunk native vlan 10//必須把AP所屬于的vlan配置為native vlan

SW2(config-if-GigabitEthernet 0/2)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094

四、802.1x認(rèn)證配置

基礎(chǔ)網(wǎng)絡(luò)部署配置完成后就可以在AC控制器上配置802.1x認(rèn)證，在RG-ESS/RG-SMP上完成相應(yīng)參數(shù)的設(shè)置，就可實(shí)現(xiàn)無(wú)感知認(rèn)證上網(wǎng)。

第一步：?jiǎn)⒂?02.1x AAA認(rèn)證

AC(config)#aaa new-model//啟用AAA認(rèn)證功能

AC(config)#aaa accounting update //開啟記賬更新

AC(config)#aaa accounting update periodic 5 //記賬更新時(shí)間間隔與SMP服務(wù)器保持一致，SMP默認(rèn)為5分鐘

AC(config)#aaa accounting network acct-1x start-stop group radius//定義名為acct-1x記賬列表

AC(config)#aaa authentication dot1x auth-1x group radius//定義名為auth-1x認(rèn)證列表

第二步：配置radius服務(wù)器IP及KEY

AC(config)#radius-server host 192.168.100.100 key ruijie//配置radius服務(wù)器KEY及IP

AC(config)#ip radius source-interface vlan 30//AC使用vlan30的IP地址和radius對(duì)接

第三步：WLAN啟用802.1x

AC(config)#wlansec 20//20為前面配置的wlanconfig 20

AC(config-wlansec)#security rsn enable//啟用WPA2認(rèn)證

AC(config-wlansec)#security rsn ciphers aes enable//啟用AES加密

AC(config-wlansec)#security rsn akm 802.1x enable //啟用802.1X認(rèn)證

AC(config-wlansec)#dot1x accounting acct-1x//調(diào)用第一步定義的記賬列表

AC(config-wlansec)#dot1x authentication auth-1x//調(diào)用第一步定義的認(rèn)證列表

第四步：配置SNMP功能

AC(config)#snmp-server host 192.168.100.100 traps version 2c ruijie

AC(config)#snmp-server enable traps

AC(config)#snmp-server community ruijie rw

第五步：其他相關(guān)配置

AC(config)#dot1x eapol-tag//AC可以處理帶Vlan Tag認(rèn)證報(bào)文，默認(rèn)都需要配置

AC(config)#ip dhcp snooping//開啟dhcp snooping

AC(config)#dot1x dhcp-before-acct enable//獲取snooping表中用戶的IP地址通過記賬開始報(bào)文上傳

五、RG-ESS/RG-SMP服務(wù)器相關(guān)配置

AC控制器配置完成后就可以在RG-ESS/RG-SMP認(rèn)證服務(wù)器上完成相關(guān)配置，主要包括添加AC設(shè)備，添加上網(wǎng)賬號(hào)。由于其配置使用的是Web方式，所以相對(duì)比較簡(jiǎn)單。

第一步：在系統(tǒng)中添加無(wú)線控制器AC

添加無(wú)線設(shè)備之前需要修改無(wú)線設(shè)備模版中的相關(guān)參數(shù)如radius key、portal key等，這些參數(shù)是前面在AC中配置的。添加設(shè)備截圖如圖2所示。

圖2 添加設(shè)備截圖

第二步：配置無(wú)線認(rèn)證協(xié)議

打開認(rèn)證參數(shù)配置，在無(wú)線認(rèn)證方式中選擇“PEAP-MSCHAP”，同時(shí)“啟用Windows XP系統(tǒng)自帶客戶端無(wú)感知認(rèn)證”，然后根據(jù)實(shí)際配置無(wú)感知認(rèn)證的SSID、安全類型、加密類型，以及認(rèn)證協(xié)議。

第三步：添加賬號(hào)

添加上網(wǎng)用戶賬號(hào)，賬號(hào)屬于默認(rèn)用戶組，不需要進(jìn)行特殊設(shè)置。

六、終端功能驗(yàn)證

通過上面一系列的操作，已經(jīng)完成了802.1x無(wú)感知認(rèn)證的所有關(guān)鍵配置，由于無(wú)線接入終端很多，下面就以ios系統(tǒng)為例進(jìn)行上網(wǎng)驗(yàn)證，Android等其他系統(tǒng)配置差不多。

第一步：進(jìn)入設(shè)置,打開無(wú)線局域網(wǎng)，點(diǎn)擊“ruijie-802.1x”無(wú)線網(wǎng)絡(luò)，如圖3所示。

圖3 打開無(wú)線局域網(wǎng)截圖

第二步：在彈出的界面中輸入用戶名、密碼，點(diǎn)擊加入，如圖4所示。

圖4 輸入密碼截圖

第三步：如果彈出一張尚未驗(yàn)證的證書，點(diǎn)擊接受。此時(shí)界面會(huì)回到無(wú)線局域網(wǎng)連接的界面，且SSID“ruijie-802.1x”前面打個(gè)勾說明鏈接成功。

基于802.1x無(wú)感知認(rèn)證確保上網(wǎng)安全的同時(shí)給我們用戶提供了一種快速的接入，接入無(wú)線網(wǎng)絡(luò)時(shí)只需要首次進(jìn)行認(rèn)證信息配置，后續(xù)用戶只要進(jìn)入無(wú)線信號(hào)覆蓋范圍內(nèi)即可自動(dòng)完成認(rèn)證，大大提高用戶的無(wú)線體驗(yàn)。非常適合在中小學(xué)校部署使用。學(xué)校網(wǎng)絡(luò)管理員要做的是開通上網(wǎng)賬號(hào)，對(duì)上網(wǎng)賬號(hào)進(jìn)行有效管理和控制。

（編輯：楊馥紅）

TP393.18

：B

：1673-8454（2015）09-0062-04