基于Portal認(rèn)證的校園WLAN安全設(shè)計(jì)及應(yīng)用

董兆殷

（廣東輕工職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)信息中心，廣東 廣州 510300）

1 前言

隨著數(shù)字化校園建設(shè)需要，建設(shè)校園WLAN，完善校園的無(wú)線覆蓋，為學(xué)生和教職工提供更多學(xué)習(xí)、工作和生活上的便利，是一個(gè)發(fā)展必然道路。校園WLAN采用EPON方式組網(wǎng)，以雙SSID方式廣播，一個(gè)SSID為校方無(wú)線網(wǎng)絡(luò)標(biāo)識(shí)(如XX_WLAN)，另一個(gè)標(biāo)識(shí)可采用中國(guó)電信無(wú)線網(wǎng)絡(luò)標(biāo)識(shí)ChinaNet。接入校方SSID標(biāo)識(shí)的用戶認(rèn)證由校方校園網(wǎng)的認(rèn)證服務(wù)器完成，接入電信SSID標(biāo)識(shí)的用戶認(rèn)證由電信認(rèn)證服務(wù)器完成。

2 WLAN簡(jiǎn)介

WLAN(無(wú)線局域網(wǎng)絡(luò))是一種利用射頻技術(shù)進(jìn)行據(jù)傳輸?shù)南到y(tǒng)，取代舊式礙手礙腳的雙絞銅線所構(gòu)成的局域網(wǎng)絡(luò)，使得無(wú)線局域網(wǎng)絡(luò)能利用簡(jiǎn)單的存取架構(gòu)讓用戶透過(guò)它，達(dá)到“信息隨身化、便利走天下”的理想境界。無(wú)線WLAN是高校建設(shè)數(shù)字化校園的基礎(chǔ)建設(shè)之一，有利擴(kuò)大社會(huì)影響，更好開(kāi)展對(duì)外學(xué)術(shù)交流與培訓(xùn)。對(duì)于在校師生而言，可隨時(shí)隨地獲取到教學(xué)資源。

3 校園WLAN設(shè)計(jì)方案

由于采用EPON組網(wǎng)方式，OLT和AC的位置在一個(gè)層面。所有的流量采用EPON組網(wǎng)方式，OLT在局方機(jī)房，ONU部署在校園。

3.1 所有無(wú)線流量通過(guò)CAPWAP隧道轉(zhuǎn)發(fā)到AC，由于校園網(wǎng)一般有線網(wǎng)絡(luò)在接入交換機(jī)端口上做了基于MAC的802.1X認(rèn)證，因此需要在AP上連的交換機(jī)端口上配置AP的MAC地址允許接入或者配置接入AP的樓道交換機(jī)端口為開(kāi)放端口。從而保證所有無(wú)線隧道流量正常轉(zhuǎn)發(fā)到AC。

3.2 如果用戶為ChinaNet用戶，則用戶數(shù)據(jù)由隧道封裝后上傳到AC，AC解開(kāi)封裝，根據(jù)不同的SSID打上不同的VLAN，由AC二層轉(zhuǎn)發(fā)給校園網(wǎng)匯聚交換機(jī)，將報(bào)文對(duì)應(yīng)到ChinaNet業(yè)務(wù)VLAN上傳到WAN上BAS進(jìn)行認(rèn)證。

3.3 如果是用戶通過(guò)校園 SSID上網(wǎng)，采用集中轉(zhuǎn)發(fā)，流量通過(guò)ONU網(wǎng)絡(luò)上傳到OLT，再上傳到AC解開(kāi)封裝，將二層用戶數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給OLT，由OLT二層轉(zhuǎn)發(fā)給校園網(wǎng)匯聚交換機(jī)。

校園 SSID的數(shù)據(jù)流由AC打上校園網(wǎng)無(wú)線業(yè)務(wù)VLAN，由AC二層轉(zhuǎn)發(fā)給匯聚交換機(jī)，匯聚交換機(jī)終結(jié)二層報(bào)文。匯聚交換機(jī)作為Portal網(wǎng)關(guān)，控制校園WLAN用戶的http請(qǐng)求重定向到Portal服務(wù)器，Portal服務(wù)器向STA推送認(rèn)證頁(yè)面，用戶輸入用戶名、密碼，提交給Radius驗(yàn)證用戶身份，如果為合法用戶，匯聚交換機(jī)開(kāi)放用戶網(wǎng)絡(luò)訪問(wèn)權(quán)限；如果不合法則不能使用校園網(wǎng)賬號(hào)登入，需通過(guò)電信SSID的接入來(lái)認(rèn)證。

3.4 該設(shè)計(jì)方案中需要匯聚層交換機(jī)支持Portal網(wǎng)關(guān)功能（或者WEB重定向功能）。目前有些匯聚交換機(jī)甚至支持Portal Server功能。

3.5 由于采用Portal認(rèn)證方式，屬于應(yīng)用層協(xié)議，認(rèn)證過(guò)程有重傳機(jī)制，保證了及時(shí)在無(wú)線網(wǎng)絡(luò)的環(huán)境下，也可以有較好的認(rèn)證過(guò)程體驗(yàn)。該方式是無(wú)線認(rèn)證普遍采用的方式。

4 Portal認(rèn)證方式配置內(nèi)容

4.1 配置Radius服務(wù)器與AC相連的端口為開(kāi)放端口，或者靜態(tài)寫入AC的MAC地址。在AC中添加Radius認(rèn)證服務(wù)器與IP地址，并設(shè)置路由。考慮到Portal認(rèn)證時(shí)需要在認(rèn)證前自動(dòng)分配私有的IP地址，需添加DHCP中繼。

4.2 如果匯聚交換機(jī)可以做Portal網(wǎng)關(guān)，則配置匯聚交換機(jī)為Portal網(wǎng)關(guān)，開(kāi)啟WEB重定向功能；如果匯聚交換機(jī)不具備Portal網(wǎng)關(guān)功能，則在校園WLAN中選擇某臺(tái)設(shè)備（主流交換機(jī)、路由器等一般都具備此功能）作為Portal網(wǎng)關(guān)；如果校園網(wǎng)中沒(méi)有合適的可作為Portal網(wǎng)關(guān)的設(shè)備，則需要新增Portal網(wǎng)關(guān)。在Portal網(wǎng)關(guān)上配置Portal Server相關(guān)信息及Radius相關(guān)信息，包括SNMP等密鑰。

4.3 在校園網(wǎng)中配置Portal Server服務(wù)器，一般有些主流交換機(jī)和路由器具備本地Portal Server功能，可以直接借用；如果網(wǎng)內(nèi)交換機(jī)不支持Portal Server功能或者性能不夠，只能外置Portal Server。

5 校園WLAN安全

校園內(nèi)的網(wǎng)絡(luò)環(huán)境更為復(fù)雜，存在ARP攻擊、MAC欺騙、地址掃描、偽DHCP服務(wù)器接入等多種不安全因素，并且無(wú)線網(wǎng)本身屬于開(kāi)放式接入方式，更是有可能存在信息泄漏等安全隱患。我們從多個(gè)方面對(duì)校園WLAN安全進(jìn)行控制和防范：

5.1 用戶溯源

用戶使用賬號(hào)登陸后，后臺(tái)即記錄該賬號(hào)的上網(wǎng)時(shí)間和占用的線路，根據(jù)線路追溯出用戶的上網(wǎng)地點(diǎn)，最后根據(jù)賬號(hào)找到對(duì)應(yīng)的用戶。

5.2 源地址過(guò)濾

通過(guò)在BRAS和AP設(shè)備進(jìn)行配置，除網(wǎng)管服務(wù)器外，對(duì)互聯(lián)網(wǎng)上其它路由指向AP IP地址的訪問(wèn)請(qǐng)求，BRAS直接進(jìn)行過(guò)濾。在AP設(shè)備上，也設(shè)置只對(duì)網(wǎng)管IP地址進(jìn)行回應(yīng)，丟棄其他非法IP地址。使得僅WLAN網(wǎng)管能對(duì)AP進(jìn)行訪問(wèn)，而AP也僅對(duì)WLAN網(wǎng)管進(jìn)行回應(yīng)。

5.3 業(yè)務(wù)數(shù)據(jù)流與網(wǎng)管數(shù)據(jù)流分離

為防止攻擊網(wǎng)管系統(tǒng)、惡意修改配置的發(fā)生，校園WLAN采用業(yè)務(wù)數(shù)據(jù)流與網(wǎng)管數(shù)據(jù)流相分離的方式。如LAN接入方式中，AP采用Trunk上聯(lián)，使用雙VLAN方式，VLAN1用于WLAN業(yè)務(wù)，另外一個(gè)VLAN2用于AP網(wǎng)管。

5.4 AP無(wú)線側(cè)安全設(shè)置

在AP上打開(kāi)二層隔離設(shè)置，啟用該功能可保證同一AP下的用戶不能在AP上直接二層互通，從而保密WLAN用戶數(shù)據(jù)，抵御站點(diǎn)之間的病毒擴(kuò)散。AP上還開(kāi)啟防DOS攻擊功能 。 能 夠 防 止 LAND、SYN Flooding、ICMP Redirection、Smurf等類型的攻擊，并可通過(guò)軟件升級(jí)。

5.5 用戶數(shù)據(jù)及帳號(hào)安全

無(wú)線側(cè)、數(shù)據(jù)層、應(yīng)用層分別應(yīng)用不同的加密認(rèn)證措施。

6 校園WLAN管理

通過(guò)WLAN網(wǎng)管監(jiān)控、統(tǒng)計(jì)和查詢功能。AC和無(wú)線AP將接入網(wǎng)管系統(tǒng)中，可實(shí)時(shí)監(jiān)控和查詢AP及整個(gè)校園WLAN網(wǎng)絡(luò)的運(yùn)行情況。但考慮到安全生產(chǎn)的要求，無(wú)線網(wǎng)管平臺(tái)的功能不直接開(kāi)放，而是采用中間服務(wù)器的方式，則無(wú)線網(wǎng)管平臺(tái)將統(tǒng)計(jì)數(shù)據(jù)發(fā)送到一指定的服務(wù)器（可以是Portal服務(wù)器），然后再由這個(gè)服務(wù)器向網(wǎng)管員提供查詢統(tǒng)計(jì)功能（統(tǒng)計(jì)查詢用戶數(shù)、流量、工作狀態(tài)三種功能）；如果是通過(guò)校園賬號(hào)認(rèn)證的用戶，可通過(guò)Radius服務(wù)器的計(jì)費(fèi)平臺(tái)查看信息。

7 結(jié)束語(yǔ)

校園WLAN覆蓋絡(luò)以后，用戶只需簡(jiǎn)單的設(shè)置就可以連接到校園網(wǎng)，從而實(shí)現(xiàn)上網(wǎng)功能。網(wǎng)管員做好校園WLAN的安全治理工作，并完成全校無(wú)線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證，做到無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的無(wú)縫對(duì)接，確保校園WLAN的高安全性。

[1]楊峰，張浩軍.無(wú)線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用，2007.

[2]張圣，陳偉.基于WIAN技術(shù)的無(wú)線校園網(wǎng)組網(wǎng)研究[J].武漢信息技術(shù)，2005.

[3]黃勁榮.無(wú)線局域網(wǎng)在校園網(wǎng)的應(yīng)用.教育信息化，2006:1.

[4]余智，湯旭翔.無(wú)線網(wǎng)絡(luò)在校園網(wǎng)中的應(yīng)用[J].計(jì)算機(jī)時(shí)代，2007(3):30-31.