北京师范大学信息网络中心 皇甫大鹏 田小萍 王兴建
信息化是当今世界发展的主要趋势,已成为衡量一个大学的现代化程度和教学科研环境良好与否的重要指标。校园网络建设成为信息化建设的基础,随着智能手持终端和笔记本电脑的迅速普及,无线网络已经成为校园网建设的重点工作。师生对无线网提出更高的要求,要求无线网无处不在、随处可用、高带宽、大并发、超稳定;同时,师生无线接入的便利性也提出更高的要求。北京师范大学校园无线网始建于2007年,经过四次大规模建设和改造,目前,校园无线网已经覆盖了全校教学、办公、科研和学生宿舍区,辅仁校区和校外租用办公区域也实现覆盖。北京师范大学的无线网建设,以服务教学、科研及方便应用为向导,以安全管理为核心,遵循“统一规划,精细设计,强化基础,全面覆盖”的建设思路。先后部署了基于802.11a/b/g、802.11n、802.11ac和802.11ac wave2协议的无线产品,无线产品从不成熟到成熟,从几十兆带宽到千兆带宽,打造成为“高覆盖、高可用、高质量”的校园无线网。
无线网络概况
北京师范大学校园无线网始建于2007年,先后经历了无线一期(教学科研区)、无线二期(学生宿舍区)、教学科研区无线网改造和学生宿舍区无线网改造,无线网络覆盖了全校的教学、科研、办公和学生宿舍区。
无线网一期和无线网二期建设是从有到无的过程,无线网定位为有线网的补充,教学科研区的部署方式:办公区和小教室采用楼道部署,大教室采用室内部署;学生宿舍区的部署方式:采用室外照射,为保证网络安全启用用户接入认证。因用户量小,未考虑独立的无线核心交换机,用户地址和DHCP由有线网核心交换机承担,POE交换机直接接入各楼的汇聚交换机。
教学科研区无线网改造:无线网一期定位为有线网补充,随着师生对无线网需求的不断增加;同时,无线产品技术陈旧;产品老化;无线网易于受到有线网的影响等原因。2013年学校对教学科研区无线网进行改造,改造主要原则:无线独立成网、无线控制器冗余、无线产品和技术的融合性、无线AP分场合选择不同产品部署。
学生宿舍区无线网改造:无线网二期采用室外照射方式部署,主要存在信号差、性能低、容量不足和设备老化等原因,随着学生上网需求和手持终端的迅猛发展,已经无法满足用户的需求。2015年学校对学生宿舍区无线网进行改造,宿舍区无线网的设计理念为:无线独立成网、控制器和核心交换机冗余配置、无线产品统一采用802.11ac协议、启用IPv6协议和各楼宇无线网通过汇聚交换机万兆上联,详细拓扑见图1。经两期无线网改造,校园无线网整体运行稳定、高速和可靠。
图1 北师大宿舍无线网拟拓扑图
无线网络优化
目前,各高校基本完成了校园无线网基础建设工作,如何使校园无线网保持高效稳定运行成为各高校网络部门的主要工作。为保证校园无线网络稳定运行,无线网建设完成后,无线网的管理工作主要由无线网络优化和无线网设备运维两部分,如图2所示。无线网络优化是一个动态的,根据无线场景的调整和应用的变化,需要不停的对无线网进行优化。
图2 无线网建设周期
高密度覆盖
在图书馆、体育馆和大型教室与会议室等座位密集场合,需要实现高密覆盖。高密场合无线覆盖的难点是容量不足和信号错频。首先,高密场所要进行设备选型,无线高密产品主要有三叉戟高密AP和四条流高密AP两类,两款设备的各自的优点是三叉戟有三射频,1个2.4G和2个5G射频卡,偏重于高密用户接入;四条流高密AP偏重于用户接入带宽,高密场所建议选择三叉戟高密AP。其次,部署原则上,无线AP靠近用户和采用吊装部署。最后,无线控制器配置优化,主要从无线信道和信号强度的两个方面调整:一、信道选择:2.4G频段只有3个信道可以同时使用,高密部署时,2.4G无法实现错频,选择关闭部分无线AP的2.4G射频是最佳解决方案,5G频段统一采用20M频宽,保证尽量多的信道可用;二、信号强度:降低信号强度,保证场馆内任何一点同信道内不超过两个信号超过60db,建议2.4G信号强度设置为12dBm(部分信号关闭),5G信号强度设置为9dBm,具体情况根据场馆实际情况边测试边调整;三、用户限速:建议限制无线用户的速度为4M,防止个别用户占用大部分带宽,影响其他人接入上网。
大VLAN和二层隔离
同VLAN一直存在广播风暴问题,早期无线设备不支持二层隔离,通过将每栋楼设置一个用户VLAN(2个C类地址段)解决广播风暴问题。随着用户规模的增加,单VLAN用户地址越来越多,广播风暴严重影响无线用户;同时,各栋楼宇存在潮汐现象,用户地址严重浪费。随着无线控制器支持二层隔离,大VLAN成为高校的首要选择。目前,北师大用户VLAN根据信号划分,BNU(教学区)和BNUStudent(学生宿舍区)各分配半个B类地址,BNU-Mobile教学区和宿舍区各1/4个B类地址,实现了同信号的漫游和IP地址的重复利用。
DHCP服务
针对无线用户IP地址分配问题,配置两台无线网专用DHCP服务器,为无线客户端分配IP地址,两台服务器采用双机热备,取代原有的H3C S12508核心交换机。
其他网优
1.信道规划:2.4G和5G手动配置,5G也是20M频段;
2.功率调整:宿舍3~5,会议室5~10,教室11~16,楼道基本默认20;
3.无线信号:调整无线AP覆盖方向和天线角度,楼道尽量采用外置天线,AP尽量选择吊顶安装;
4.频谱导航:5G优先,2.4G的信道质量较差,尽量引导用户使用5G频段;
5.无线用户限速:根据无线设备的性能和单AP的用户数量,对无线信号进行限速;
6.信号入屋:为保证5G信号的质量,针对学生宿舍采用超瘦AP方案解决,小办公室采用面板AP进行改造。
校园无线网安全接入方案
相对于有线网络,无线网络没有固定的边界,在没有任何安全策略情况下只要进入无线覆盖范围内就可以关联无线网,存在身份无法确认的巨大安全隐患。为了保障无线网络安全,需要对接入终端身份进行校验。目前,校园无线网的主要认证方式为Portal认证,用户接入无线认证,出校园网需要Portal准出认证,校内无线网存在较大安全隐患,同时,存在校外人员占用校内网络资源现象,尤其是图书馆资源。
北师大校园无线网主要采用Portal认证和802.1x认证两种方式,802.1x认证针对手持终端可以首次认证,后续无须认证,也属于一种无感知认证。
根据用户人群的不同,学生宿舍和教学科研区采用Web认证方式不同,学生宿舍区采用Portal准入方案,主要解决无线网的安全性问题;教学科研区采用无感知认证方案,同时解决校园无线网易用性和安全性。
学生宿舍区Portal接入方案
Portal认证是目前最流行的认证方式之一,其兼容性较好。用户接入无线网获取地址后,由网关将未认证的用户重定向至Portal认证页面,认证成功后即可访问网络资源。Portal既可实现网络准入、也可实现准出,但两者实现的方式和机制上有所差异。
目前,Portal认证主要有三种方式:1.两次认证实现准入准出:一次认证通过AC Portal实现准入,用户可以访问校内资源,二次认证通过认证计费系统Portal实现准出,用户可以访问校外网资源。繁琐的“二次认证”过程,降低了网络的效率和用户体验;2.一次认证实现准入准出:AC Portal和认证计费系统Portal实现对接,用户接入AC,AC Portal携带账号和密码向认证计费系统发出请求,认证计费系统Portal准出后,将信号反馈给AC,ACPortal实现用户准入,一次认证既实现准入和准出;优点:简化用户认证流程;缺点:各厂家AC均需要与计费系统实现对接调试,后台维护困难;3.独立Portal服务器实现准入:无线网独立组网,在无线核心交换机与校园出口之间架设一台独立Portal服务器,用来实现无线网准入,并同时联动认证计费系统的Portal服务器实现准出;优点:解决了不同厂家控制器之间对接的困难,维护较为方便;缺点:已建无线网需要调整拓扑和增加Portal服务器。
北京师范大学宿舍区无线网采用第二种模式,一次认证实现准入准出。该方案解决了用户终端与账号之间的对应关系,落实了国家安全法的实名认证要求。认证过程如图3所示。
图3 Portal 接入认证逻辑图
但是,Portal认证存在以下问题:1.用户每次需要主动认证,无法实现无感知;2.工作在三层拿不到用户MAC地址,对用户的识别不精确,短时间内使用相同IP地址的用户会被当作是同一用户。
教学科研区无感知认证方案
为落实国家网络安全法关于实名认证的要求,校园无线网启用Portal准入认证,同时兼具提高上网体验,经研究讨论决定教学科研区启用Portal和MAC相结合的认证方式。保持现有网络设备及拓扑关系,在不增加经费投入的前提下,进行平滑升级改造,实现无感知认证,整个认证方式由以下几部分构成,如图4所示。
图4 MAC 与 Portal 无感知认证逻辑图
1.用户首次连接SSID时,由用户终端向AC发起认证请求,AC获取用户终端的MAC地址并向Radius服务器发起MAC认证请求,此时,由于Radius服务器连接的计费数据库中尚未记录用户终端的MAC地址,因此会拒绝认证,MAC地址认证失败,AC将用户重新分配到GuestVlan,进行下一步认证。
2.Guest Vlan开启Portal认证,AC主动推送Portal认证页面,或者当用户访问Web网站,终端发起http请求至AC,AC将用户的http请求重定向至Portal认证页面,用户在弹出Portal页面完成Portal认证,同时Radius服务器对用户的账号和MAC地址绑定入库。
3.Portal认证成功后,用户正常访问网络。第一次认证为正常的Portal认证。
4.用户在后续连接SSID时,先由AC向Radius服务器发送MAC认证请求,此时由于Radius服务器对应计费数据库已有用户的账号、MAC地址等信息的记录,认证成功,用户上线,不需要再进行Portal认证。后续认证是在用户连接SSID后,由终端、AC、Radius自动完成的,不需要用户进行参与,因此对用户来说是无感知的。
从认证过程中可以看到,无感知认证不是免认证,是在认证过程中减少用户的参与度,降低操作的复杂度,在用户毫无感知的情况下完成的身份认证,既保证了对用户上网的安全管理,同时提高了用户的上网体验,适合于为教师和学生服务的校园无线网环境。
随着国家对网络安全的越来越重视,校园无线网安全接入将成为网络安全的低洼,各高校无线接入认证势在必行。各高校结合自身条件,首要完成Portal准入认证,在具备条件的情况下,尝试部署无感知认证,提升用户体验。