《一种安全、高效无线校园网络的设计与实现.doc》由会员分享,可在线阅读,更多相关《一种安全、高效无线校园网络的设计与实现.doc(6页珍藏版)》请在三一文库上搜索。
1、一种安全、高效无线校园网络的设计与实现目前,各大校园都在进行自己的无线网络覆盖建设,并且已经从胖AP的模式向瘦AP的模式进行转变,以获得更好的可管理性以及可维护性。我校的无线覆盖工程采用了多家的无线网络产品,对于一整幢大楼的覆盖,我们采用瘦AP的方式,由无线网络交换机来控制用户的漫游以及对AP进行全方位的管理,而对于零星的会议室等公共部位的无线覆盖,为了节约成本,我们一般采用胖AP的方式。为了实现无线网络的统一管理,我们将无线网络在逻辑上形成一个专网,在专网同核心交换机的连接处放置一台无线网关,来对无线用户进行统一的认证及授权。 我校网络认证及控制规则:有线网络端口对所有用户开放,用户只要接入
2、有线网络端口,就可以无限制访问校园内网公共资源,如果需要出外网则需要在出口网关上进行开户操作;无线用户在接入无线AP后,必须提供有效的用户名与密码才能访问校内资源,有效的用户名与密码包括LDAP数据库中的所有活动用户以及出口网关中所有活动用户。 一、用户认证的初始化 当一个无线用户接入到无线网络时,首先打开网页发送一个浏览器请求,无线网关设备拦截到用户的浏览器请求后,首先检查此客户端IP地址是否在本地的信任列表中,如果信任列表中已有相关的表项,则放行用户的数据报文,否则向用户端弹出一个Portal认证页面,并提示用户输入用户名与密码进行认证。用户在输入正确的用户名与密码后,系统认证通过,并赋予
3、用户相应的访问权限,同时将用户的认证通过信息放入到一个Hash表格(信任列表)中,其中记录了用户的用户名、IP地址、Session通道等信息,当已认证用户的后继数据包到达时,系统会自动将用户的数据包转发到属于此用户的Session通道中进行下一步路由处理。 二、用户的授权操作 用户在认证通过后,无线网关可以从Radius、LDAP或本地授权库中取得用户或用户组的授权信息,例如普通用户只能访问校内的公共资源,管理员用户除访问公共资源外还可以访问所有受限访问的网络资源。无线网关还可以针对认真服务的属性来实现用户的授权,例如所有通过Radius认证的用户可以访问校外的资源,通过LDAP认证的用户仅可
4、以访问校内资源。 三、用户登录的注销 用户登录的注销可分为两种方式:一种是主动的注销,即用户在登录成功时Portal页面会返回一个含有logout按钮的窗口给用户,用户只需主动按下logout按钮即可以实现主动注销;另一种方式是被动注销,用户登录成功后,如果在指定时间阈值内没有任何网络流量,无线网关将对用户进行自动注销。系统注销在线用户后,将清空关于此用户所对应IP地址的Hash表格,并且回收分配给此用户的一切资源。 华东师范大学校园网用户库信息 四、统一身份认证及一次性登录的实现 校园网有线网络中的用户认证一般采用在校园网络的边缘出口处放置一台认证计费服务器(出口网关),最初当有用户流量到达
5、时,就会自动弹出Portal让用户进行认证。要实现有线用户的账户、密码和无线用户的账户、密码保持一致,只要建立一个全校的认证中心(比如LDAP库),所有认证设备都将用户的认证请求发往认证中心进行认证,只有认证中心返回认证失败的应答后才在相应设备的本地库进行认证。 我校的用户库信息如下: LDAP数据库中的数据都是全日制的学生和全体正式编制的教职员工。出口网关中一部分用户是直接采用的LDAP用户库中的用户,还有一部分用户主要是非全日制的学生、学校的三产企业以及外来人员,而且并非所有LDAP中的用户都在出口网关的用户库中进行注册上外网,注册的用户只是LDAP用户集中的一个真子集。当用户的认证请求到
6、达出口网关进行认证时,出口网关先到LDAP数据库中查询是否有此用户,如果此用户在LDAP中存在,则将认证请求发往LDAP数据库进行认证;如果此用户不存在,则在出口网关本地进行认证。认证通过后,出口网关将用户所对应的IP地址放入到其可信任的IP地址列表中,接下来用户再使用此IP地址访问外网,出口网关则不需要再对用户进行认证,而是直接转发用户的数据报文。 为了实现无线用户的一次性登录及认证(Single-Sign-On),即用户通过无线认证后,如果此用户在出口网关的用户库中已经注册,出口网关的认证系统不应该再弹出Portal页面让无线用户进行认证。我们扩展了出口网关认证系统的软件,使出口网关提供R
7、adius认证服务,倘若认证通过,出口网关会自动将认证报文中客户端的IP地址放到信任IP地址列表中,这样客户端的数据报文就可以通过出口网关访问外网的网络资源了。 五、无线网关认证的工作方式 在接收到无线用户的认证请求后,无线网关首先作为Radius的客户端将用户的认证请求发到出口网关的Radius服务器进行认证,如果认证通过,则无线网关以及出口网关都会将此用户的IP地址标记为可信任的IP地址,用户再访问任何网络时都不会再弹出任何认证页面。如果出口网关的Radius服务器返回认证失败请求,则无线网关会将用户提供的用户名与密码再次发送到LDAP服务器进行认证,如果认证通过,无线网关会将此客户端的I
8、P地址加入到信任列表,但由于客户端没有通过出口网关的认证,用户在访问外网时,出口网关仍然会弹出Portal认证页面让用户进行认证,用户只有在输入具有外网访问权限的用户名与密码后才能顺利访问外网。如果在无线网关中有本地用户或其他用户库(比如Windows AD),则依次进行其他用户库和本地认证。 六、无线信道的加密 为了实现无线数据的加密传输,我们在无线网关的弹出Portal页面增加一个复选框,如果用户认证时选择加密的方式进行传输,那么在用户和无线网关之间将会启动SSL VPN的加密传输方式,由无线网关向客户端重新分配IP地址,同时在此IP地址和无线网关之间采用加密的通道传输数据,保证了无线链路
9、的安全。 七、用户数据库的维护 我校用户管理部门有多个,如:信息化办公室管理的Radius服务器、LDAP服务器,继续教育部门管理的所有继续教育学员账户,网络学院管理的网络教育学员账户,高师部门管理的进修教师账户,人事处管理的临时人员信息等,为了同其他部门管理的账户实现统一身份认证,信息化办公室建立了一套Windows的活动目录同那些部门的Windows域进行委托,其他部门只要在本地维护他们的用户库即可,网络管理部门在无线网关以及出口网关的认证列表中增加了到Windows AD的认证,实现了多个部门的跨管理域认证。 八、结束语 当前,虽然有多种解决方案来解决无线网络验证问题,但是很多方式对用户来说操作繁琐,需要安装客户端或需要用户进行特别的配制,用户端操作不透明。本文提出了一种简单高效的配置方法,由用户自由选择加密或者不加密,实现用户的统一身份认证及一次性登录。