校園自建無線網絡管理系統建設

楊蕓

摘要：目前國內各校園基本都建立了自己的校園無線網絡系統，學校教職工及學員均能通過無線實現方便快捷的上網、辦公、學習、查詢信息等功能。為使無線網絡的使用更方便、更安全，在建好校園無線網絡的同時，無線網絡管理系統的建設也尤為重要，如何實現用戶無感知認證體驗，實現與校園網已有用戶數據庫平臺無縫對接，進行統一身份認證，同時溯源用戶上網行為，實現安全審計，是無線網管理系統急需解決的問題。

關鍵詞：無線網絡管理；無線認證；安全審計

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）09-0059-02

開放科學（資源服務）標識碼（OSID）：

1 概述

隨著信息化的發展，國內無線上網已步入一個高速發展的軌道，特別在學校通過無線上網，教室里、宿舍里、辦公室里、走廊里、會議室里，只要是有信號的地方，學校教職工及學員均能通過無線實現方便及快捷的上網、辦公、學習、查詢信息等功能。為使無線網絡的使用更方便、更安全，在建好校園無線網絡的同時，無線網絡管理系統的建設也尤為重要。本文以浙江行政學院無線網絡管理系統建設為例，主要介紹校園無線網二次無感知認證系統的建設，以及統一身份認證平臺及上網行為安全審計的實現。

2 校園無線網絡系統構架

浙江行政學院無線網絡系統在樓宇內采用獨立的綜合布線系統，無線網絡系統的核心交換機與校園有線網絡系統核心交換機互聯。無線校園網系統拓撲圖如下：

浙江行政學院在建設校園無線局域網時，建設的WALN無線網提供2個網絡識別號（SSID），一個用于長期用戶的使用，包括學校教職工、長訓班學員，可直接訪問內網并通過校園網出口訪問互聯網；另一個用于臨時用戶（訪客），通過手機號獲取臨時密碼，只可訪問外網（互聯網），免費訪問外網時間可根據我校要求做相應限制。其中內網用戶（長期用戶）接入內網SSID，通過IMC認證管理平臺進行用戶認證，認證通過后即可訪問學校內網，同時可以通過學校外網出口訪問internet；訪問內網特定資源還需要通過學校內網OA認證。內網數據采用本地轉發模式，認證后用戶數據通過本地轉發經過核心交換機直接到達用戶內網。訪客用戶接入外網SSID，外網數據采用集中轉發模式，AP和AC之間建立私有隧道，用戶數據經過隧道直接送至AC側，認證后直接送至公網出口。

3 無感知認證管理系統實現

我校使用Portal無感知認證解決方案，用戶無線接入終端在首次連入學校無線SSID時，需要輸入賬號、密碼信息進行認證，首次認證成功后，將用戶終端MAC地址信息與該Portal賬號進行綁定。以后在此賬號有效期內該用戶終端會自動接入學校無線SSID，無須再輸入賬號等信息進行認證，并且可設置同一Portal賬號可綁定的終端MAC地址數量。

（1）長期用戶認證

用戶關聯學校SSID信號后，訪問任意網頁時，AC將準入認證portal頁面推送至用戶進行認證，輸入用戶名與密碼后在學校內網radius進行認證，認證通過后即可訪問內網資源，并可通過校園網出口同時訪問外網。

流程如下：

1.用戶終端通過dhcp server（AC）獲取到ip地址。

2.如果是用戶首次認證，MAC綁定服務器中無此終端的MAC地址信息，用戶發起http請求被AC重定向到內網portal server（IMC），用戶終端彈出portal頁面。

3.用戶輸入賬號密碼，數據經AC封裝成radius格式的報文，轉發給內網radius server（IMC）。

4.radius server認證通過之后，通知portal server用戶認證成功，同時MAC綁定服務器將此用戶終端MAC地址信息的與Portal賬號的綁定。

5.用戶完成認證，可訪問內（外）網。

6.如果是用戶再次接入，此用戶終端MAC信息已綁定，則自動返回此終端的Portal賬號、密碼等信息向AC發起Portal認證，不需要用戶自行再輸入賬號信息，自動完成二次無感知認證。

（2）訪客用戶認證

用戶關聯移動CMCC后，訪問任意網址，由AC將準入認證portal頁面推送至用戶進行認證，輸入賬號密碼，通過認證后即可訪問公網資源。

流程如下：

1.用戶終端通過dhcp server（AC）獲取到ip地址

2.用戶發起http請求被AC重定向到移動portal server（移動運營商），用戶終端彈出portal頁面

3.用戶輸入賬號密碼，數據經AC封裝成radius格式的報文，轉發給radius server（移動運營商）

4. radius server認證通過之后，通知portal server用戶認證成功，用戶即可訪問外網

4 統一身份認證平臺

校園無線網建設時，校園有線網絡系統及管理應用系統一般均已建好并使用。因此在建校園無線網時，就考慮要與原校園網內網用戶數據管理平臺實現無縫對接，并支持用戶數據管理平臺密碼加密類型，實現與原校園網內網身份認證統一，避免二次開戶。無線網絡系統設置固定時間，每天與原校園內網用戶數據庫平臺進行同步，以保證無線網絡系統本地用戶數據庫的實時性與有效性。并支持其他系統如SSL VPN的認證等，以實現校園網統一身份認證平臺。

5 上網行為安全審計

無線是一個開放式網絡，需要對校內資源和網絡提供保護，在邊界提供準入控制和安全防護是必要的。因此校園無線網絡管理系統還必須具有用戶上網安全審計功能，以溯源用戶上網行為。

（1）用戶實名制上網及訪問日志

由于所有用戶采用用戶名密碼來認證上網，用戶名是注冊在系統中，對應用戶實名。這樣所有用戶上網的記錄都對應到用戶個人，用戶注冊不僅包括用戶實名還有用戶的電話，地址和郵件等實時信息。

用戶訪問日志是將用戶訪問記錄存儲到數據庫服務器，形成訪問日志，以實現上網行為的安全審計。用戶登錄認證成功后，將用戶的登錄記錄和訪問記錄存放到指定的數據庫服務器中。訪問記錄中包含賬戶名、登陸訪問時間、當前在線人數、總使用時間、登陸的目標網站地址、目標IP、源IP、MAC地址、GET/POST行為等等。另外可根據需要增加所需字段，如用戶操作系統標志、交換機標記、樓層標記等字段等。

（2）用戶策略及帶寬控制

校園無線網絡管理系統應具有豐富的基于組或用戶的控制策略，可以為不同用戶定制不同網絡訪問權限。 可以控制用戶的上網帶寬（QoS；802.1x認證支持）、限制用戶同時在線數、禁止用戶設置和使用代理服務器，有效防止個別用戶對網絡資源的過度占用。支持最大閑置時長限制，可以實現對用戶ACL、VLAN的控制，限制用戶對內部敏感服務器和外部非法網站的訪問（802.1x認證支持）。限制用戶IP地址分配策略，防止IP地址盜用和沖突。同時限制用戶的接入時段和接入區域，用戶只能在允許的時間和地點上網。并限制終端用戶使用多網卡和撥號網絡，防止內部信息泄露。限制用戶必須使用專用安全客戶端，并強制自動升級，確保認證客戶端的安全性。

實際使用中，如用戶使用P2P、BT、電驢等下載軟件下載，會導致其他用戶出現上網慢、PING 包延時大等情況。用戶限速功能的使用，可以有效控制每用戶速率，避免因P2P等應用大流量、小包文過多造成占用無線資源過多的情況，影響其他用戶正常接入使用。假設通過配置限制某SSID下每用戶靜態設置為4Mbps，則兩個用戶各自最高可用帶寬為4Mbps；假設限制某SSID下動態限速設置約8Mbps，則當兩個用戶接入時，各自分配的最高帶寬為4Mbps，依次類推。

（3）支持個性化portal頁面定制

校園無線網絡管理系統應支持多組portal個性化定制，并且能夠根據用戶終端不同而彈出不同的認證portal。以使用戶有更好的上網體驗。

總之，建網重要，管網更重要。對于校園無線網絡管理系統來說，能實現便捷、可靠的準入認證，搭建系統統一身份認證平臺，并實現對上網行為的安全審計是必須所具備的功能，也是校園網安全、穩定、高效運行的重要保障。

參考文獻：

[1] 邱知文，張杰.基于校園無線網的BYOD認證系統設計與實現[J].計算機應用與軟件，2015（2）.

[2] 趙釗.基于802.1x協議的校園網安全體系的研究與應用[J].網絡安全技術與應用，2011（2）.

[3] 楊國震.校園無線網絡安全建設實踐[J].電子技術與軟件工程，2017（10）.

【通聯編輯：代影】