北京师范大学校园无线网始建于2007年,经过四次大规模建设和改造,目前,校园无线网已经覆盖了全校教学、办公、科研和学生宿舍区,辅仁校区和校外租用办公区域也实现覆盖。北京师范大学的无线网建设,先后部署了基于802.11a/b/g、802.11n、802.11ac和802.11acwave2协议的无线产品,无线产品从不成熟到成熟,从几十兆带宽到千兆带宽,打造成为“高覆盖、高可用、高质量”的校园无线网。
无线网络优化
目前,各高校基本完成了校园无线网基础建设工作,如何使校园无线网保持高效稳定运行成为各高校网络部门的主要工作。为保证校园无线网络稳定运行,无线网建设完成后,无线网的管理工作主要由无线网络优化和无线网设备运维两部分,如图1所示。无线网络优化是一个动态的,根据无线场景的调整和应用的变化,需要不停的对无线网进行优化。
高密度覆盖
在图书馆、体育馆和大型教室与会议室等座位密集场合,需要实现高密覆盖。高密场合无线覆盖的难点是容量不足和信号错频。首先,高密场所要进行设备选型,无线高密产品主要有三叉戟高密AP和四条流高密AP两类,两款设备的各自优点是三叉戟有三射频,1个2.4G和2个5G射频卡,偏重于高密用户接入;四条流高密AP偏重于用户接入带宽,高密场所建议选择三叉戟高密AP。其次,部署原则上,无线AP靠近用户和采用吊装部署。最后,无线控制器配置优化,主要从无线信道和信号强度的三个方面调整:一、信道选择:2.4G频段只有3个信道可以同时使用,高密部署时,2.4G无法实现错频,选择关闭部分无线AP的2.4G射频是最佳解决方案,5G频段统一采用20M频宽,保证尽量多的信道可用;二、信号强度:降低信号强度,保证场馆内任何一点同信道内不超过两个信号超过60db,建议2.4G信号强度设置为12dBm(部分信号关闭),5G信号强度设置为9dBm,具体情况根据场馆实际情况边测试边调整;三、用户限速:建议限制无线用户的速度为4M,防止个别用户占用大部分带宽,影响其他人接入上网。
大VLAN和二层隔离
同VLAN一直存在广播风暴问题,早期无线设备不支持二层隔离,通过将每栋楼设置一个用户VLAN(2个C类地址段)解决广播风暴问题。随着用户规模的增加,单VLAN用户地址越来越多,广播风暴严重影响无线用户;同时,各栋楼宇存在潮汐现象,用户地址严重浪费。随着无线控制器支持二层隔离,大VLAN成为高校的首要选择。目前,北师大用户VLAN根据信号划分,BNU(教学区)和BNU-Studen(t学生宿舍区)各分配半个B类地址,BNU-Mobile教学区和宿舍区各1/4个B类地址,实现了同信号的漫游和IP地址的重复利用。
DHCP服务
针对无线用户IP地址分配问题,配置两台无线网专用DHCP服务器,为无线客户端分配IP地址,两台服务器采用双机热备,取代原有的H3CS12508核心交换机。
其他网优
1.信道规划:2.4G和5G手动配置,5G也是20M频段;2.功率调整:宿舍3~5,会议室5~10,教室11~16,楼道基本默认20;3.无线信号:调整无线AP覆盖方向和天线角度,楼道尽量采用外置天线,AP尽量选择吊顶安装;4.频谱导航:5G优先,
2.4G的信道质量较差,尽量引导用户使用5G频段;5.无线用户限速:根据无线设备的性能和单AP的用户数量,对无线信号进行限速;6.信号入屋:为保证5G信号的质量,针对学生宿舍采用超瘦AP方案解决,小办公室采用面板AP进行改造。
校园无线网安全接入方案
相对于有线网络,无线网络没有固定的边界,在没有任何安全策略情况下只要进入无线覆盖范围内就可以关联无线网,存在身份无法确认的巨大安全隐患。为了保障无线网络安全,需要对接入终端身份进行校验。目前,校园无线网的主要认证方式为Portal认证,用户接入无线认证,出校园网需要Portal准出认证,校内无线网存在较大安全隐患,同时,存在校外人员占用校内网络资源现象,尤其是图书馆资源。北师大校园无线网主要采用Portal认证和802.1x认证两种方式,802.1x认证针对手持终端可以首次认证,后续无须认证,也属于一种无感知认证。
根据用户人群的不同,学生宿舍和教学科研区采用Web认证方式不同,学生宿舍区采用Portal准入方案,主要解决无线网的安全性问题;教学科研区采用无感知认证方案,同时提高校园无线网易用性和安全性。
学生宿舍区Portal接入方案
Portal认证是目前最流行的认证方式之一,其兼容性较好。用户接入无线网获取地址后,由网关将未认证的用户重定向至Portal认证页面,认证成功后即可访问网络资源。
目前,Portal认证主要有三种方式:1.两次认证实现准入准出:一次认证通过ACPortal实现准入,用户可以访问校内资源,二次认证通过认证计费系统Portal实现准出,用户可以访问校外网资源。繁琐的“二次认证”过程,降低了网络的效率和用户体验;2.一次认证实现准入准出:ACPortal和认证计费系统Portal实现对接,用户接入AC,ACPortal携带账号和密码向认证计费系统发出请求,认证计费系统Portal准出后,将信号反馈给AC,ACPortal实现用户准入,一次认证既实现准入和准出;优点:简化用户认证流程;缺点:各厂家AC均需要与计费系统实现对接调试,后台维护困难;3.独立Portal服务器实现准入:无线网独立组网,在无线核心交换机与校园出口之间架设一台独立Portal服务器,用来实现无线网准入,并同时联动认证计费系统的Portal服务器实现准出;优点:解决了不同厂家控制器之间对接的困难,维护较为方便;缺点:已建无线网需要调整拓扑和增加Portal服务器。
北京师范大学宿舍区无线网采用第二种模式,一次认证实现准入准出。该方案解决了用户终端与账号之间的对应关系,落实了国家安全法的实名认证要求。认证过程如图2所示。
但是,Portal认证存在以下问题:1.用户每次需要主动认证,无法实现无感知;2.工作在三层拿不到用户MAC地址,对用户的识别不精确,短时间内使用相同IP地址的用户会被当作是同一用户。
教学科研区无感知认证方案
为落实国家网络安全法关于实名认证的要求,校园无线网启用Portal准入认证,同时兼具提高上网体验,经研究讨论决定教学科研区启用Portal和MAC相结合的认证方式。保持现有网络设备及拓扑关系,在不增加经费投入的前提下,进行平滑升级改造,实现无感知认证,整个认证方式由以下几部分构成,如图3所示。
1.用户首次连接SSID时,由用户终端向AC发起认证请求,AC获取用户终端的MAC地址并向Radius服务器发起MAC认证请求,此时,由于Radius服务器连接的计费数据库中尚未记录用户终端的MAC地址,因此会拒绝认证,MAC地址认证失败,AC将用户重新分配到GuestVlan,进行下一步认证。
2.GuestVlan开启Portal认证,AC主动推送Portal认证页面,或者当用户访问Web网站,终端发起http请求至AC,AC将用户的http请求重定向至Portal认证页面,用户在弹出Portal页面完成Portal认证,同时Radius服务器对用户的账号和MAC地址绑定入库。
3.Portal认证成功后,用户正常访问网络。第一次认证为正常的Portal认证。
4.用户在后续连接SSID时,先由AC向Radius服务器发送MAC认证请求,此时由于Radius服务器对应计费数据库已有用户的账号、MAC地址等信息的记录,认证成功,用户上线,不需要再进行Portal认证。后续认证是在用户连接SSID后,由终端、AC、Radius自动完成的,不需要用户进行参与,因此对用户来说是无感知的。
从认证过程中可以看到,无感知认证不是免认证,是在认证过程中减少用户的参与度,降低操作的复杂度,在用户毫无感知的情况下完成的身份认证,既保证了对用户上网的安全管理,同时提高了用户的上网体验,适合于为教师和学生服务的校园无线网环境。
(作者单位为北京师范大学信息网络中心)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。