Eudroam在獨立學院的實踐

張萬里

摘 要：隨著移動互聯網的快速發展和各高校國際、國內學習交流的不斷加強，如何滿足師生們日益增長的對安全、穩定、便捷的無線網絡的迫切需求是高校信息化工作者必須要解決的問題。Eudroam是專為科研和教育機構開發的安全的環球跨域無線漫游認證服務，能夠為師生們提供一個免費、便捷的無線網絡接入服務。近兩年越來越多的國內高校加入到了Eudroam這個大家庭，為廣大師生提供了便捷的無線網絡服務，期待各高校信息部門盡早加入Eudroam，實現全國高校無線漫游[1]。

關鍵詞：Eudroam;高校無線漫游;無線網絡;信息化

中圖分類號：TP393.18? ? ? 文獻標識碼：A? ? ? 文章編號：1009-3044（2018）31-0142-05

The Practice of Eudroam in the Independent College — Take Xinlian College of Henan Normal University as an Example

ZHANG Wan-li

（Modern Education and Technology Center， Xinlian College of Henan Normal University， Zhengzhou 450000， China）

Abstract： With the rapid development of mobile internet and the continuous strengthening of international and domestic learning or communication in universities， how to meet the increasing demand for a security， stability and convenience of the wireless network from teachers and students is a big problem that the information workers must solve. Eudroam （education roaming） is an international roaming service for users in research， higher education and further education. it can provide a free and convenient wireless network access service for teachers and students. In the past 2 years， more and more domestic colleges and universities have joined the large family of Eudroam， providing convenient wireless network services for teachers and students. We expect the information departments of colleges and universities to join Eudroam as soon as possible to achieve wireless roaming in colleges and universities throughout the country.

Key words： Eudroam; College wireless? roaming; wireless network; informatization

1 Eudroam簡介

1.1 Eudroam是什么

Eudroam（education roaming）是專為科研和教育機構開發的安全的環球跨域無線漫游認證服務，目前已覆蓋全球八十九個國家和地區的超過6000家科研機構和教育機構。Eudroam成員允許來自其他任何聯盟成員的用戶使用自己的網絡，并根據受訪機構的政策，Eudroam提供者還可能提供其他資源（如知網等付費數字資源等）可供來訪用戶使用。

Eudroam由TERENA（歐洲計算機網絡研究和教育協會）的移動工作組 （task force on mobility and network middleware –TF-MNM）首先提出，希望將基于RADIUS的基礎設施與IEEE 802.1X技術相結合，以便在研究和教育網絡中提供漫游網絡接入服務。這個想法最初在荷蘭、葡萄牙、芬蘭、克羅地亞、英國等國家的一些機構中進行測試，后來得到了更多歐洲科研組織的支持，最終命名為Eudroam。自2004年以來，歐盟通過GN2和GN3項目共同資助了與Eudroam服務相關的進一步研究和開發工作[2]。

Eudroam于2007年9月正式投入使用，全球Eudroam管委會（Global Eudroam Governance Committee，簡稱GeGC）于2010年11月組建，目前由來自非洲、亞太、拉丁美洲、北美和歐洲的漫游運營商共15名高級代表組成。GeGc秘書處掛靠于G?ANT協會，在與來自這些地區的Eudroam領導人進行廣泛磋商后，最終確定了Eudroam的管理章程。 GeGC成員由G?ANT協會根據其區域漫游運營商或聯盟的提名正式任命。2017年，Eudroam提供了超過36億次國家認證和超過8.34億次國際認證。通過在全球范圍內為全世界數百萬學生、研究人員和學術人員提供免費安全的無線網絡連接，Eudroam將繼續不斷壯大。

1.2 Eudroam優勢特點

認證簡便 — 使用原機構賬號認證，免除了繁復賬號口令和頻繁認證的煩惱，不再需要訪問機構提供臨時的賬號;

自動連接 — 可以實現一次無線認證驗證后，當網絡在范圍內時自動連接無需再次認證;

接入安全 — 通過WPA2-AES安全加密，實現無線終端接入的高等級安全;

賬戶安全 — 采用802.1x的EAP協議連接RADIUS完成認證，更好地保障賬戶安全;

國際漫游 — 覆蓋全球89個國家和地區約6000多個學術機構的無線網絡漫游。

1.3 Eudroam邏輯架構

Eudroam聯盟建立了一套完整的 RADIUS代理服務器架構，覆蓋了全球所有接入成員，主要分為三個層級[4]：

（1） 第一層：頂級認證服務器（Cofederation Top- level RADIUS Server，TLR），現有兩個頂級認證服務器部署在歐洲的荷蘭和丹麥，每臺TLR存儲有所有聯盟級認證服務器（如.nl，.cn，.uk，.de等等）等信息，根據域名接收、轉發報文至相應的FLRs，最終實現全球漫游;

（2） 第二層：聯盟級認證服務器（Federation-Level RADIUS Servers，FLRs），FLR存儲有下聯的IdP服務器信息和域名，同時上聯頂級認證服務器TLR。主要用于接收來自TLR和下端SP的請求并根據路由表轉發請求至相應的IdP。

FLR通常由國家教育科研網運行，我國FLR由中國科學院計算機網絡信息中心負責運行和管理，教育網用戶由北京大學信息中心負責運行和管理;

（3） 第三層：校園級認證服務器（或級聯認證服務器），由各Eudroam成員負責，分為Eudroam Identity Providers （IdPs）和Eudroam Service Providers （SPs）兩種：

IdPs： 負責管理本機構用戶身份（如用戶名、密碼等信息），通過本地身份認證管理系統對用戶身份進行鑒定，是整個Eudroam體系里最復雜的環節，必須能夠終止EAP請求并實現身份驗證;

SPs： Eudroam的最終服務提供者，負責提供網絡服務并向IdP轉發來訪用戶的認證請求。大多數Eudroam成員即是SP也是IdP。

1.4 802.1X技術

IEEE 802.1X是IEEE制定的關于用戶接入網絡的認證標準，全稱“基于端口的網絡接入控制”。最初為以太網設計，后來為適應無線網絡等技術的發展進行了修訂，為有線局域網和無線局域網提供了一種認證機制，解決了局域網用戶的接入身份認證問題。

802.1X協議運行于數據鏈路層，是基于端口的準入認證策略，對于任何一個端口（包括物理端口和邏輯端口，如VLAN、無線信道等），認證成功后允許所有報文通過，認證失敗則保持關閉狀態[5]。當端口處于關閉狀態時只允許EAPOL（基于局域網的擴展認證協議-Extensible Authentication Protocol over LAN）[6]認證報文通過。

802.1X的認證系統由Supplicant（客戶端）、Authenticator（認證接入端）、Authentication server（認證服務器）三部分組成（圖2）[7]：

（1） Supplicant/客戶端：

客戶端指需要聯網的終端（如電腦、智能手機、平板等），客戶端必須支持EAPOL協議，同時配合802.1X客戶端軟件使用。

（2） Authenticator/認證接入端：

Authenticator通常指接入交換機或無線AP，通過判斷用戶的認證狀態控制是否允許終端接入的網絡設備。Authenticator通過EAPOL協議與客戶端通訊，通過EAPOR（EAP over RADIUS）與認證服務器通訊。

Authenticator要求客戶端提供身份標識，接收到客戶端的EAP-Request報文后結合自己的NAS IP等相關信息一并封裝到Radius報文中發送給認證服務器，最終根據服務器返回的認證結果控制是否開放端口[8]。

（3） Authentication Server/認證服務器：

Authentication Server接收客戶端的認證請求并返回認證結果，從而實現基于端口的準入控制。EAP協議具有良好的靈活性，除端口狀態外，還可用于認證和下發諸如VLAN、QOS、DHCP響應等信息，實現精細化管理，進一步提高管控水平[9]。

1.5 Eudroam 認證過程

當Eudroam成員A的用戶到訪Eudroam成員B并試圖接入無線網絡時，主要認證過程為[10]：

（1） 用戶發起Eudroam接入請求

AP收到請求后啟動 802.1X認證過程，建立加密隧道傳送賬號、密碼等信息;

（2） AP將認證請求轉發至本地SP Server，SP Server根據realm（賬號的域名信息）信息進行判斷后，將請求轉發至上級FLR Server;

（3） FLR同樣根據realm（賬號的域名信息）進行判斷，若用戶所在機構成員A屬于下屬IdP，則直接將請求轉發至該成員的IdP Server，否則將請求發送至上級TLR Server，再由 上級TLR Server轉發至成員A所在的FLR Server，最后發送至成員A的IdP Server;

（4） 成員A的IdP Server收到請求后，首先判斷其是否為本地用戶，如果不是則拒絕認證，如果是則通過身份認證管理系統對賬號、密碼進行驗證，并將結果反饋給成員B的SP Server;

（5） 成員B的AP根據反饋結果判斷是否允許用戶接入本地Eudroam。

2? 國內Eudroam發展情況

Eudroam CN中國頂級節點于2014年引入并投入運行，由中國科學院計算機網絡信息中心負責運行與管理。首批加入并運行Eudroam的單位有中國科學院計算機網絡信息中心、中國科學院高能物理研究所和北京大學。截至2018年8月1日共有128所高校和46家研究機構加入了Eudroam。

2.1 為什么要加入Eudroam

隨著移動互聯網的快速發展和各高校國際、國內學習交流的不斷加強，如何滿足師生們日益增長的對安全、穩定、便捷的無線網絡的迫切需求是信息化工作者必須要解決的問題。Eudroam是解決這個需求的國際化解決方案，能夠為師生們提供一個免費、便捷的無線網絡接入服務。

2.2? 如何加入Eudroam

北京大學計算中心負責管理國內高校的Eudroam接入服務，凡是域名為xxx.edu.cn的單位均可申請接入Eudroam@CERNET，目前Eudroam@CERNET只接受單位的無線網絡管理部門（如網絡中心、信息化管理辦公室、現代教育技術中心等）提交的申請，不受理院系提交的申請。

（1） 在線申請https：//analysis.Eudroam.edu.cn/admin/univ/create

（2） 郵寄申請表和承諾書（加蓋部門公章）

（3） 配置Eudroam無線網絡及radius服務器

（4） 測試系統

（5） 完成接入

3? 部署Eudroam

我校無線網絡采用銳捷網絡產品（2015年部署），數字化校園采用金智教育數字化校園解決方案（2010年部署，含統一身份認證等），基于一個賬號、一個密碼的原則，計劃使用freeradius+ldap搭建radius服務器[11]。實際部署中分別測試了freeradius[12]、freeradius+sam、深瀾Eudroam、網瑞達AAA[13]等產品。

3.1? 開通Eudroam測試信號

（1） 添加radius服務器，共享密碼建議使用北大分配的密鑰

（2） 添加Eudroam無線信號

3.2? 部署freeradius服務器

（1） 下載北京大學計算中心提供的freeRadius+LDAP[14]版鏡像文件（ova文件）

（2） 基于模板創建虛擬機（參照Eudroam@CERNET 服務配置指南v2.0版本）

（3） 配置IP、IDP、SP、創建證書[15]等（參照Eudroam@CERNET 服務配置指南v2.0版本）

服務器ip建議直接使用申請表填的ip，避免NAT轉換配置故障[16]

（4） 基本文本數據的本地測試

編輯/usr/local/freeradius-3.0.11/etc/raddb/users，取消steve賬號前的注釋符。

啟動調試模式，在本地及校外測試網站測試steve@xxx.edu.cn是否能夠認證通過。如認證通過，則怎么freeradius部署成功，否則根據屏幕顯示日志查看錯誤信息進一步排查。

調試模式：/usr/local/freeradius-3.0.11/sbin/radiusd –X

系統日志：/usr/local/freeradius-3.0.11/var/log/radius/radacct/

（5）基于mysql的數據測試

配置/usr/local/freeradius-3.0.11/etc/raddb/mods-enable/sql，設置mysql用戶名、密碼;

進入mysql：mysql -u root –p

使用radius數據庫：use radius;

創建測試用戶xlxytest，明文密碼為xlxy2018：

insert into radcheck（id，username，attribute，op，value） values（'2'，'xlxytest'，'Cleartext-Password'，'：='，'xlxy2018'）;

查看用戶情況：select * from radcheck;

啟用調試模式并在本地及校外測試網站測試賬號是否正常認證。

（6）基于ldap的數據測試

配置/usr/local/freeradius-3.0.11/etc/raddb/mods-available/ldap，在 ldap 塊中添加實際使用的 server、identity、password 和 base_dn 等信息后啟用調試模式并測試。

由于我校LDAP中僅有經ssha[17]加密的用戶密碼，并無freeradius需要的ntpassword字段[18]，因此使用freeradius無法實現統一身份認證的問題。

3.3? 部署freeradius+sam

為解決統一身份認證問題，測試銳捷Eudroam解決方案，使用freeradius+sam+ldap實現ldap無ntpassword下的統一身份認證問題。

（1） 基于現有freeradius已完成的IP/IDP/SP配置

（2） 修改SP配置（proxy.conf）

添加sam服務器并配置本地域名認證轉發至sam服務器。

（3） 添加認證前處理規則

在/usr/local/freeradius-3.0.11/etc/raddb/sites-enabled/default文件中添加認證前處理規則，將設備轉發出去的報文中NAS_IP屬性由127.0.0.1轉換為服務器IP。

（4） sam中添加freeradius為設備

（5） sam中配置用戶模板套餐，添加xlxy.edu.cn服務

啟用freeradius調試模式并在本地及校外測試網站測試賬號是否正常認證。由于sam已經與校內LDAP打通，因此通過freeradius代理轉發后實現了統一身份認證的問題。

3.4? 部署深瀾Eudroam系統

聯系深瀾工程師獲取srun4k-Eudroam.tar.gz安裝包，部署測試。部署簡單且能夠實現對用戶的并發用戶數、時間、位置、流量等多種類型的控制，滿足精細化管理的需求。但在我校測試中，并未解決LDAP沒有ntpassword密碼的問題。

3.5? 部署網瑞達AAA系統

聯系網瑞達工程師獲取wrd3a-WRD-RC1.iso安裝包，部署測試。網瑞達AAA系統部署簡單，目前版本不能實現對用戶的并發用戶數、時間、位置、流量等多種類型的控制，但支持GTC模式，解決了LDAP沒有ntpassword密碼的問題，實現了統一身份認證[19]。

3.6? 各解決方案對比

3.7? 我校Eudroam運行情況

我校Eudroam于2017年11月23日完成接入調試，2018年5月11日正式開放使用，截至2018年8月1日累計來訪93人，出訪147人，來訪認證成功1379次，出訪認證成功1923次，為全校師生的交流訪問提供了優質的無線網絡漫游服務，有力提升了學校信息化水平[20]。

通過我校Eudroam的部署與推廣，可以看出廣大師生對國內外無線網絡漫游的需求隨著學校國際化辦學定位的推進及跨校交流學習機會的增加在不斷提升。作為民辦高校信息化從業者的一員，我們應當抓住國內互聯網快速發展的機遇，抓住一切有利于提高學校信息化水平的機會，多向國內外先進高校交流、學習，以師生日益增長需求為驅動力，以不斷提高信息化建設水平為己任，打造優質、高效、便捷的信息化校園。

參考文獻：

[1] 公曉旭，付中南，呂潔等.基于Eudroam和SDN的無線漫游認證授權技術研究[N].華東師范大學學報，2015.z1.026.

[2] Eudroam[EB/OL]. https：//en.wikipedia.org/wiki/Eudroam.

[3] 楊燕婷.全球大學無線漫游[J].中國教育網絡.2015.11.15.

[4] 靳盼.基于FreeRADIUS的高校Eudroam無線漫游認證技術研究[J].信息技術與信息化.2017.12.034.

[5] 何中勇. 數字化校園統一身份認證分析與設計[D].電子科技大學，2008.

[6] 802.1X協議培訓教程-華為[EB/OL]. https：//wenku.baidu.com/view/e87fb6ea551810a6f5248677.html.

[7] eap[EB/OL]. https：//en.wikipedia.org/wiki/Extensible_Authentication_Protocol.

[8] 802.1x[EB/OL].http：//blog.sina.com.cn/s/blog_5544469d010007qs.html.

[9] 趙永勝. 內網非法外聯安全監控系統的研究與設計[D].北京郵電大學，2010.

[10] Eudroam技術架構[EB/OL].http：//www.Eudroam.edu.cn/jsjg.htm.

[11] 楊建軍，賈晨軍，冉立新.基于RADIUS協議的網絡認證技術研究[J].浙江大學學報（工學版），2005（2）：67-70.

[12] freeradius[EB/OL]. https：//en.wikipedia.org/wiki/FreeRADIUS.

[13] aaa[EB/OL]. https：//en.wikipedia.org/wiki/AAA.

[14] 李翔，晁愛農，劉孟強.LDAP的研究及其在統一身份認證系統中的應用[J].計算機應用，2008（S1）：98-100.

[15] 董杰，揭金良.基于PKI的CA認證中心的搭建[J].成都理工大學學報（自然科學版），2003（1）：102-106.

[16] eap-tls[EB/OL]. https：//tools.ietf.org/html/rfc3748.

[17] ssha[EB/OL]. https：//tools.ietf.org/html/rfc3112.

[18] 王麗，曾珊，夏明山，齊法制，陳剛，謝建軍，胡笑然，董科軍.基于Eudroam的跨域無線接入解決方案[J].科研信息化技術與應用，2016，7（2）：3-7.

[19] 常潘，沈富可.基于LDAP的校園網統一身份認證的實現[J].計算機工程，2007（5）：281-282+285.

[20] 楊瑞仙，李賢，李志.國際比較視野下我國高校信息化建設現狀及對策[J].電腦知識與技術，2017，13（9）：128-131.