截至2014年,西交利物浦大学已经基本建成了覆盖全校的校园网络,其出口链路实现多出口负载,校园网采用星型拓扑结构,光纤覆盖学院所有楼宇,校园网核心采用两台互为热备的高性能三层交换机,实现了万兆主干、千兆交换到桌面网络架构,同时实现了全校的无线覆盖。
随着移动互联网浪潮的到来,高校信息化发展到了以体验为主的多媒体、多业务、随时接入的移动时代。西交利物浦大学已初步建成覆盖全校的WLAN无线网络,无线用户的接入方式采取MAC认证的方式。随着用户规模的增长,MAC方式存在部署复杂,有线无线认证方式不统一,用户个性化服务和信息安全支撑不足等问题,网络现状如图1所示。
存在问题
随着学校的快速发展,在校生人数从最初的数百人发展到现在7000人,目前的无线认证模式已无法满足用户无线上网的需求与学校的信息化发展的整体规划。具体存在的问题有:
1.校园各楼群无线覆盖区之间无法实现无缝漫游。举例说明:如果一个学生在1号楼通过SSID无线上网,走到4号楼时,必须断网再登录4号楼的SSID无线系统。这种现象的主要原因是因为学校建校以来的各个楼群及其无线系统是分别独立交付使用的,原初的设计并没有对学校的无线系统进行总体设计。
2.目前无线认证方式的用户注册体验并不友好,学生和教师必须懂得一定的IT知识,取得智能终端的MAC物理地址,然后打开校园无线注册网站,输入AD用户名和密码,在注册页面上填写自己智能终端的MAC地址,提交后才能使用学校的无线网络。
3.由于MAC地址容易被伪造,校园资源的利用和网络安全存在隐患。
4.学校的师生已经拥有了唯一的校园IT系统的用户名和密码,但无线注册却还要使用另一套繁琐的MAC认证,违背了方便快捷的校园统一认证的原则。
5.无法做到个性化服务和细化无线安全管理,目前基于MAC地址的无线网络,无法区分并且也不能对不同的用户群做权限的控制,比如网段或外网访问控制等。特别是访客接入,将获得和师生一样的无线网络的权限,存在管理上安全漏洞和隐患。
6.由于没有学校的账户,外来访客无法方便地使用校园无线,如果外来访客希望使用校园无线网络,必需由校内接待老师先搜集访客的智能终端的MAC地址,然后提交到信息部门由后台录入后才能使用无线网络,整个过程麻烦而又漫长。
7.目前的无线系统由于存在信息孤岛,无法有效的提供学生行为的数据统计和分析。随着大数据应用的发展,学校会越来越需要IT基础服务的数据采集和分析来提升校园的服务水平。
改造目标
参照国内外大学的无线网络建设和提供的服务水平,学校新的校园无线平台应该具备:
1.实现校园无线网络的无缝快速漫游。
2.提供统一的Web Portal认证页面和用户身份验证,设置访问策略管理,基于策略的无感知认证,提供校园无线的用户个性化服务的要求,使得学生和教工更加便捷和友好的使用无线网络。
3.满足外来访客访问校园无线网络,访客可以方便在线取得临时无线登录账号。
4.提升网络信息安全,彻底消除校园无线网常见的ARP欺骗、病毒交叉感染、DoS攻击扫描等问题。
5.校园无线网络实现无缝扩展,保证在未来五年内,支持万人以上校园规模的无线服务。
技术方案
要达到以上改造目标,必须重新改造目前的校园无线认证平台,学校选择了基于Web Portal的校园网接入方案。首先,需要把之前校园不同楼群的不同无线网段规划为同一网段,将原来旁挂在汇聚交换机上的一台无线控制器,旁挂到核心交换机,再将无线控制器(AC)串接在该无线控制器与核心交换机的中间,无线数据通过控制器集中转发。通过以上无线架构调整来实现无缝漫游的支撑平台。
无线网络系统由于其传输媒介所特有的开放特性,必须对每一个接入用户进行身份验证以识别其身份合法性,然后再根据其身份对用户的网络接入策略进行控制。针对西交利物浦大学无线网络的技术需求,无线校园网可以以Web Portal方式对无线用户进行身份验证,利用ClearPass认证策略服务器系统为用户及设备终端提供接入策略的灵活定制,并在认证后通过无线控制器(AC)实现策略控制。借助无线控制器实现更加精细化的策略控制能力:内置的状态防火墙可以实施基于用户身份的接入控制策略,包括访问权限策略、带宽管理策略、会话数控制策略甚至差异化的页面推送策略。
本次认证改造的方案不同于电信运营商通用的IPoE接入方式,对于IPoE接入方式来说,它跟普通的DHCP接入并没有任何区别,当客户端发起DHCP请求时,DHCP数据包会包含设备的MAC等物理信息。接入设备得到这个数据包后,会把该设备的物理信息作为认证信息,传到认证服务器作认证。采取这种方式,设备一般在认证通过后才会分配到IP地址。而采用的认证机制是设备还没认证之前就获取IP地址,就具体原理而言,该认证平台采用了MAC地址认证和Web Portal认证。
认证前,用户连上无线网络,获取IP地址,设备发出的DHCP报文到达无线控制器,但此时无线控制器只把它当成陌生人或访客,给它分配的角色是Logon,这个角色拥有的权限只是让DHCP报文通过和访问认证服务器(后续认证时,认证服务器会推送页面给用户)。当设备获取IP地址后,如果再要继续访问其他网页,无线控制器会发现这是Logon,而Logon(陌生人)这个角色没有访问网页的权限,所以无线控制器会要求进一步的身份认证。首先使用MAC地址二层认证,如果MAC地址认证失败,系统会要求进行Web Portal三层认证。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。