高校校園無線網絡認證系統研究

馬健

摘要：無線網絡是目前各大高校骨干網絡建設后的主要建設項目之一，因為無線上網具有比傳統網絡連接方式很大的便利性，但是在移動認證上具有一定的挑戰，也是高校校園內規劃網絡時主要衡量的因素，該文提出了以web-based并以使用者身份認證基礎的研究，采用Linux、PHP/MYSQL、IPTables等技術，避免權限設置問題，并運用到高校的校園網絡環境，為今后其他高校使用無線網絡提供了方案策略。

關鍵詞：網絡認證；無線網絡；IPTables；

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）13-0041-02

1 前言

隨著科技的發展，網絡在社會中的普及，從有線網絡到隨處可以上網的無線網絡，上網人數在不斷增加，尤其是在校園資源有限，人數增多的情況下，網絡管理人員如何將提供給廣大師生優質是網絡信號進行服務，避免資源浪費，除了應用網絡設備之外，必須建立全方位網絡管理系統，促進管理者維護網絡效能策略的提高。

在校園內部，由于每年學生人數的不斷增加，學生上網需要不斷加大，而且上網時間較長，對于目前校園內使用的IPv4網絡已經出現不能滿足校園網絡的需求，因此，為了能夠解決此問題，適度的使用網絡資源，建立一個無線的網絡系統并進行無線認證是迫在眉睫。

本文通過Web based 認證系統來取代原有的MAC的方式，全校的師生只要通過輸入自己的賬號和密碼就能上網，這樣操作簡單，而且即使有外來人員，也可以單獨開發一個賬號進行上網[1]，這樣方便學校對賬號進行管理，學生和教師進行認證必須通過學校提供的名單進行實名認證，這樣不僅僅解決上網問題，還可以對網絡信息和網絡資源等進行跟蹤，挖掘出上網者的上網時間和模式等情況。

2 無線網絡的研究

目前無線網絡管理主要是通過網絡監控鎖MAC技術及采用的EAP等認證方式，大多數使用者都是采用的MAC模式，[2]網絡管理人員對其管理比較繁瑣，而EAP是目前IEEE802.1X

所制定的標準，是可以加密的協議，通過RADIUS服務器來對使用者進行集中管理，使用者必須通過認證方可上網。

EAP的優點是它可以和學校的賬號密碼相結合，并且還可以在分校區進行跨網合作，無論是哪個校區，都可以使用無線網絡，網絡的服務器可以是互相連通的[3]。但是目前EAP不是普遍使用的技術，有些網卡不能支持EAP的認證方式，所以需要購買無線網卡。

本文在兩種無線認證的方式為基礎開發了一套以web based為基礎，利用linux IPTables 及LDAP的網絡環境認證管理系統，進行人性化、方便操作的認證系統。

3 校園WLAN系統架構

本文結合校園WLAN的實際情況，將校園內部網絡欲對外連線的封包全部擋下，并轉向至linux server的 80端口，如圖1所。使用者需要通過認證后才能上網，在網頁關了方面我們使用PHP +MYSQL，硬件方面需要安裝兩個網卡，一個需要連接虛擬IP，另一個網卡則連接到對外的Switch上，擋虛擬Ip的封包經過ethi進入linux時，系統會因為IPTables的PREROUTING Chain 鎖定，而將封包擋下并轉向到本機的80端口，以Web based方式讓使用者進行認證，通過PHP 將使用者輸入的賬號密碼與LDAP的信息進行對比[4]。當使用者通過認證之后，PHP會在MYSQL數據庫中存儲信息，并更改IPTables的設定，讓使用者能夠上網，最后經過Source NAT連接出去。

為了維護網絡資源，我們使用了一個機制，系統會根據網絡管理人員所設定的時間去偵測每位上網者的連線情況，并根據ICMP的回應來判斷使用者是否還在線上，如果發現某位上網者已經連續兩次沒有回應，此時為了避免資源的浪費，我們會將使用者自MYSQL及IPTables的名單中刪除，使用者以后再次上網時，必須通過認證才能上網。

這些使用者信息我們將進行保存在mysql里面，并在下面列出幾個重要設置的說明：

1）id：記錄使用者的學號；

2）login_ip ：使用者上網所使用的ip；

3）login_time：使用者開始上網的時間；

4）checked：判斷使用者是否已通過認證；

5）idle_time：閑置次數，若使用者超過兩次會被強制離線。

3.1 OpenLDAP的相關設置

在建立LDAP的Entry時，我們利用cn及userpassword等相關屬性，如下列所示：

dn：cn=m303016101@stut.edu.tw，dc=stut，dc=edu，dc=tw

cn：m303016101

userpassword：{crypt}yvnAPVOWByG46

objcetClass：person

……

由于LDAP Server 存儲了全校師生的相關信息，而在進行認證的時候，PHP會依據使用者所輸入的賬號密碼與LDAP Server進行對比，并傳回驗證成功或者失敗的信息，然后根據信息去處理相應的操作。

3.2 IPTables 的相關設置

在PREROUTING Chain 的設置部分如下所示：

Iptables-A RPEROUTING-t nat-p tcp-j

REDIRECT—to-port 80

Iptables-A PREROUTING –t nat-p udp-j

REDIRECT—to-port 80

由于PREROUTING Chain 是內部網絡封包最先進來的地方，所以我們在此將尚未通過認證的使用者攔下，并轉向至本機的80 端口，以便進行認證操作，而使用者通過認證時，系統便會再次更改PREROUTING Chain 的規則，讓使用者在后續上網的部分不會因鎖定而無法上網。使用者通過認證在PREROUTING Chain 的部分命令如下所示：

Iptables-I PREROUTING - t nat-s 使用者IP/32-j

ACCEPT

上述指令將置于PREROUTING Chain 的最前面，所以通過認證的IP不會受到REDIRECT設定的影響，而使用者的IP會為虛擬IP時，則通過PREROUTING Chain的設定使其轉化為合法IP。認證系統的流程圖如圖2所示。

4 結束語

本文提出校園可行的無線網絡認證方式，系統設計理念上完全使用開發原始碼的軟件，而對于使用者來說，僅需要在第一次上網使用瀏覽器時，認證系統會自動將其引導相關的認證網頁界面上，來進行使用者賬號確認的操作。而且我們還可以利用所取得的信息來進一步分析使用者的上網行為，為以后網絡管理提供數據參考。

參考文獻：

[1] 楊秀梅， 鄭劍. 校園無線網部署方案研究[J]. 華東師范大學學報， 2015（S1）.

[2] 馬帥營， 魏金良， 阿古達木. 基于細粒度標簽的校園無線網彈性qos優化[J]. 大連民族學院學報， 2015，17（5）.

[3] 李玉平. 淺談高校校園無線網規劃與建設[J]. 齊齊哈爾工程學院學報， 2012， 6（4）.

[4] 李巍， 王琪全， 陳鑫瑋. 面向校園無線網的位置服務系統[J]. 中山大學學報， 2009（48）.