分布式認證無線網設計

■

隨著筆記本電腦、智能手機、平板電腦的普級，校園網用戶對于網絡接入的需求已經從傳統的有線網絡接入向無線網絡接入過渡，甚至在某些場景下無線網絡接入已經處于主導地位。

作為校園網的重要組成部分，無線網絡接入是可以在其覆蓋區隨時隨地提供無線接入服務的，如果沒有安全認證，那么用戶只要能接到網絡設備上即可直接使用。這樣一個沒有經過鑒別認證的用戶可以沒有任何阻礙地通過連接的AP進入網絡，對校園網的網絡安全造成了巨大的影響。因此對于接入用戶進行鑒別，區分是否為合法用戶是無線網絡建設的首要問題。而一個良好的認證系統就成為了鑒別用戶是否合法的簡單手段。為此很多廠商、集成商都從自身產品出發，提出了很多的建設方案，但是無論哪種建設方案在實際應用中都會存在著以下的風險與問題：

認證方式不統一的風險

無線網絡在多次建設中會出現多品牌的設備。而目前基于AC負責FIT AP接入、管理方式下的無線網絡中一旦出現異種品牌的AP就造成了AC無法進行對于AP接入、管理的局面，進而影響到用戶認證問題。如果采用AC負責同品牌AP接入、管理，同時負責同品牌AP下用戶的接入、認證、流量轉發。這樣做雖然簡單，但是由于每個品牌AC的認證方式不同，造成了用戶認證方式的不同，從而使用戶必須關心身處何地、需用何種方式進行認證，造成用戶額外的負擔，從而影響到用戶的體感。

圖1 當前校園網無線網絡示意圖

運維故障點多的風險

如果采用基于AC+第三方認證來對無線網用戶進行認證，這樣雖然看上去可以保證用戶認證方式一致，但是由于中間接口程序的存在，尤其是很多非標接口需要再次開發，從而造成了更多的故障點，從運維角度來看是非常不可取的。此外還有很多諸如計費二次認證等更多衍生的問題。

調整方案

為了解決上述問題，筆者認為應當從無線網絡的構架著手，分析一下校園網用戶使用無線網絡的流程，如圖1。

通常情況下，當用戶通過Switch B交換機下的IP地址為10.12.1.3的AP進行無線網絡訪問時，需要有三個步驟：

1、需要尋找到該AP進行連接，并通過AP和AC之間的CAPWAP隧道進行通訊，從DHCP服務器獲得IP地址。應當注意的是此時用戶并未通過認證，并不能真正地訪問無線網絡上的內容。

2、獲得IP地址后的校園網用戶需要通過頁面方式或者客戶端方式在IP地址為10.217.0.3的AC上進行認證通過后才能有訪問網絡的權利。

3、校園網用戶在通過認證后進行網絡訪問，結束后下線退出。

在這個過程中有一個在無線網絡中的關鍵設備：無線控制器AC。AC是運維人員用來負責管理無線網絡中的所有無線AP，對AP管理包括：下發配置、修改相關配置參數、射頻智能管理、接入安全控制等。此外它不僅是AP與AC之間通訊隧道的終點，還要為AP上用戶提供認證、訪問網絡的服務。

據此筆者認為，在多品牌無線網絡產品的環境下，如果取消AC的認證功能，另外構建一個與AC無關的第三方認證就可以解決上面所提出的問題。為此，筆者選擇安全認證網關對無線網用戶進行認證。

由于在前面已經取消了不同品牌的AC上的認證功能，因此安全認證網關在網絡放置的位置選擇是非常重要的，它的位置選擇好壞決定了校園網是否有可能存在未經認證用戶，網絡是否安全。對于安全認證網關放置位置還是要從用戶的網絡流量上去找：

從圖1上看，在這個以Switch A為網絡核心的網絡上，位于匯聚Switch B上AP接入的無線網絡用戶雖然分配 到 了IP 192.168.90.182，但是這個地址所在的路由并沒有在匯聚Switch B上出現，其原因在于無線網絡中AP與AC之間的傳輸是使用隧道來完成的，因此，192.168.90.12的路由會出現在匯聚Switch C上，也就是說所有無線網絡用戶所在的IP地址路由均會在控制AP的AC所在匯聚上出現。換個角度看，從Switch A上看，Switch B的192.168.90.0/24與Switch B上的其它路由10.127.0.0/24以及Switch A上的192.168.10.0/24的路由沒有任何區別，都是有線網絡的路由。

圖2 修正后的無線網絡拓撲圖

因此，我們可以在Switch C與Switch B之間的鏈路上部署認證設備。但考慮到在這條鏈路上的流量包括用戶的網絡流量以及再通過AC與AP之間隧道傳輸給用戶的流量，而兩種流量的疊加對于網關型設備來說是一種很大的負擔，而且因為其中一半的流量是不用進行認證的，從而造成了認證網關的效率很低，。

因此，筆者對于圖1進行了拓撲修正，如圖2。在圖2種，所有的AC都被放置在了Switch C交換機下面。與圖1不同的地方有三處：

1.在Switch A的172.18.0.1與Switch C的172.18.0.2之間新增了認證網關AAA1，這個網關可以覆蓋到全部無線網用戶并對這些用戶進行認證，但需要對DNS進行放行處理。

2.在Switch C上 的OSPF發布中刪除所有AC的路由信息。

3.在Switch A的 與Switch C之間增加了紅色的172.18.0.5與172.18.0.6之間的鏈路，通過Switch A與Switch C上靜態路由設置，使得AP與AC之間的所有隧道流量都在這個鏈路上進行。

部分具體配置如下（全網經過IP調整后，AP的IP地址聚類規劃為10.12.0.0/16，AC與DHCP的IP地址在10.127.0.0/24段）：

在配置過程中需要注意：

1.對 于Switch C交換機OSPF配置時不要將10.127.0.0/24的地址進行發布，也不要配置redistribute connected subnets，這樣就保證了從OSPF上無法看到AC與DHCP的地址，從而使此段IP地址無法通過OSPF提供的路由進行訪問。

2.在Switch A交換機上配置的靜態路由只能是OSPF中沒有發布的10.127.0.0/24，而在Switch C交換機上也只能回指AP聚類后的IP地址段，以確保只有AP到AC的隧道流量經過172.18.0.5余172.18.0.6之間的鏈路。

最后需要說明的是，這個模型具有很強的可擴展能力，即當無線網絡不斷擴充，單一的Switch C在處理能力有所不及的情況下，可以隨時將其上面的AC遷移到新的交換機上保證無線網絡的正常運行。采用多個Switch C交換機進行分布式部署，同時并對AC進行進一步調配，使網絡上的AP都能進行主備AC控制時，就會極大降低對于Switch C交換機的性能要求，降低交換機投入成本；而在此同時大大提升網絡運維的安全性與穩定性。

總之，通過這樣的網絡部署，使得本文前面提到的問題得到了解決。該模型目前已經在學校部分環境中進行了測試性部署，取得了較好的效果。