基于雙認證技術的高密度學生宿舍無線網研究

尹方超

摘 要：高校學生宿舍無線網作為學生進行學習、生活的重要工具，是數字化校園重要的組成部分，本文從宿舍無線網的組網思路入手，深入分析了高校學生宿舍無線網的現狀和特點，利用銳捷認證技術和OpenWrt系統路由器設計出一種相對比較合理的組網方案，可以高效地進行流量管理、認證計費管理和網絡安全管理。為學院進一步實現數據化校園，早日邁入智慧校園行列奠定了堅實的基礎。

關鍵詞：Openwrt系統 銳捷認證 智慧校園

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）09（c）-0114-02

河北對外經貿職業學院共有學生8000余人，分布在7個宿舍樓，所有宿舍內無網絡設施，所以導致學生無法及時和便利地共享學校豐富的校園網資源（包括精品課、優質課、網上圖書館等）。在計算機網絡技術和無線網絡技術飛速發展的今天，這一現象是不可想象的，也達不到數字化校園建設的標準，更不能滿足智慧校園的建設要求。

針對上述現象，本文依托學院現有校園網主架構，利用學院接入的電信寬帶網，研究并設計出一種基于雙認證的無線上網結構，使其突破校園網絡限制，實現銳捷認證和學生身份認證，并共享無線網絡的途徑，這樣既滿足了學生在宿舍可以使用WiFi上網的需求，又可以做到實時監控用戶的上網行為，管控其上網時間和上網流量。通過細致規劃和多次論證，確定學生宿舍網絡建設具體運行架構為：網絡中心分成Radius認證服務器、Rose熱點服務器、路由器狀態查詢服務器和核心交換機，學生宿舍網部分的接入層全部采用銳捷RG-3750，匯聚采用銳捷RG-5750，所有交換機都開啟端口開放功能，而在學生宿舍內部，采用的是基于OpenWrt系統的路由器作為免費無線AP接入點。采用該方案實現了精簡配置管理界面、便于大規模投放部署、推送認證頁和廣告頁功能。同時該方案具有成本低、部署靈活的優點，已經在學院學生宿舍試驗運行。運行效果可以證明此方案非常適合高密度宿舍無線網絡。

1 國內外同類研究現狀述評

中國科學技術大學自動化系對基于OpenWrt系統路由器的模式切換與網頁設計做了研究，分析了路由器Web系統Luci搭建網頁的原理和實現細節。MVC模式是軟件工程實現網站搭建的核心，通過MVC模式，大大簡化了網站的開發和維護工作。江蘇有線江陰分公司的徐海洪將OpenWrt開源路由器應用在了電網中的組網當中，但是用戶使用量遠遠達不到大學學生的人數。北京航空航天大學王鵬飛、周林志等人研究并設計了密集型無線宿舍網，為學校的15000學生提供了網絡服務，但是該系統的AP采用不是基于OpenWrt系統的路由器，所以其可定制性比較差，可擴展性不高，不能為以后的網絡發展提供良好基礎。

2 組網設計

2.1 拓撲架構和Vlan規劃

學院宿舍網作為校園網的重要子網，其信息點總數大約在1000個左右。整體拓撲架構可以分為3層，分別是核心層、匯聚層和接入層。學院網絡中心機房作為核心層，配置了銳捷銳捷RG-S7606萬兆交換機和網康防火墻等網絡設備，采用電信、教育網等多光纖鏈路接入Internet；每一棟宿舍樓都配備一臺銳捷RG-S5750匯聚交換機，主干鏈路采用單模光纖與核心交換機互聯；每個宿舍內部再根據房間的多少，每一層配備2～3臺銳捷接入交換機RG-S3750，采用超五類網線與匯聚交換機互聯。每個學生宿舍房間內配備一個TP-Link路由器，也經超五類網線與接入交換機互聯。

將每一臺匯聚交換機設置為一個獨立的Vlan，通過合理的規劃VLan可以限制宿舍網局域網內部的廣播域，防止網絡風暴出現，還可以節省網絡帶寬，同時提高數據傳輸速率。為第一臺配置VLan的交換機配置訪問控制策略。實現每一個宿舍樓內部的上網終端可以互訪，但是不同樓內的跨VLan的上網終端互相隔離。

2.2 OpenWrt路由器刷機認證

第一步：首先將帶有OpenWrt系統的路TP-Link路由器通過網線連接PC機，然后訪問地址：192.168.1.253，統一設置無線路由器的管理密碼。

第二步：進入OpenWrt系統后，點擊系統工具，用最新的刷機包升級軟件，將固件刷在系統當中。同時設置無線網的密碼和通信信道和SSID名稱等基本信息。

第三步：將winscp中上傳3個文件（mentohust、mentohust_0.3.1-1_ar71xx、luci-app-mentohust_trunk+svn-1_ar71xx）復制到到路由器root根目錄下替換原來文件。

第四步：用開啟PC機DHCP功能，然后通過putty軟件連接路由器執行opkg install/*.ipk命令，將mentohust文件復制到usr/sbin目錄下覆蓋源文件。

第五步：系統恢復備份。

2.3 網絡帶寬與流量管理

由于宿舍聯網信息點眾多，網絡同時訪問流量會很大，也為了不讓學生沉迷網絡，設置合理的上網時間，所以如何合理分配帶寬以及流量就顯得尤為重要。經實驗測試，需要在每一臺接入交換機上做一個流量分配的策略。限制所有的上網終端上行和下行速度小于等于5MB。每人每天的流量為3GB。

2.4 雙重認證

首先在上述第二個階段中，將銳捷認證程序mentohust已經放入路由器當中，Mentohust是銳捷認證的一種替代程序，由華中科技大學首先在Linux系統下開發出來，可以在Linux系統下操作，可以很好地代替銳捷認證。

其實在每個宿舍樓的接入交換機當中設置如下命令：

Switch#configure terminal

Switch（config）#interface f 1/1

Switch（config-if）#dot1x port-control auto

打開接口的認證功能

Switch（config）#end

Switch（config-if）#no dot1x port-control auto

監控每個合法上網終端的行為，如果不是本網絡的合法用戶，則立即停止其上網流量。

這樣就實現了路由器認證和交換機認證的雙重認證，就不會有非法用戶進入網絡，保證了學生宿舍無線網絡的安全。

3 結語

學生宿舍無線網的建設是學院數字化建設的重要組成部分，它不僅可以使學生在宿舍就能夠和網絡世界互通，還可以讓學生足不出戶就充分享受學院校園網上豐富的教學資源，極大地提高了學生學習的興趣，充分利用了學生一切可以利用的時間。系統采用銳捷交換機認證技術和OpenWrt系統的固件認證技術，切實保障了學生宿舍無線網的安全性，同時還較好地控制了學生上網行為和上網時間，真正實現了學生在玩中學，在學中做的強大功能。

參考文獻

[1] 李龍躍.路由器進行校園網銳捷認證的一種途徑[J].電腦知識與技術：學術交流，2013（9X）：6089-6090.

[2] 曹為華，凌強，張雷，等.基于OpenWrt系統路由器的模式切換與網頁設計[J].微型機與應用，2015，34（23）：91-94.

[3] 許倩.基于OpenWrt系統路由器的功能模塊的開發[D]. 中國石油大學（華東），2013.

[4] 柴銳鋒.基于OPENWRT的無線自組網路由協議研究與實現[D].哈爾濱工業大學，2009.

[5] 徐凱.OpenWRT實現向量網接入設備的接入認證和流量統計[D].北京交通大學，2016.endprint