■

隨著筆記本電腦、智能手機、平板電腦的普級，校園網(wǎng)用戶對于網(wǎng)絡(luò)接入的需求已經(jīng)從傳統(tǒng)的有線網(wǎng)絡(luò)接入向無線網(wǎng)絡(luò)接入過渡，甚至在某些場景下無線網(wǎng)絡(luò)接入已經(jīng)處于主導(dǎo)地位。

作為校園網(wǎng)的重要組成部分，無線網(wǎng)絡(luò)接入是可以在其覆蓋區(qū)隨時隨地提供無線接入服務(wù)的，如果沒有安全認(rèn)證，那么用戶只要能接到網(wǎng)絡(luò)設(shè)備上即可直接使用。這樣一個沒有經(jīng)過鑒別認(rèn)證的用戶可以沒有任何阻礙地通過連接的AP進入網(wǎng)絡(luò)，對校園網(wǎng)的網(wǎng)絡(luò)安全造成了巨大的影響。因此對于接入用戶進行鑒別，區(qū)分是否為合法用戶是無線網(wǎng)絡(luò)建設(shè)的首要問題。而一個良好的認(rèn)證系統(tǒng)就成為了鑒別用戶是否合法的簡單手段。為此很多廠商、集成商都從自身產(chǎn)品出發(fā)，提出了很多的建設(shè)方案，但是無論哪種建設(shè)方案在實際應(yīng)用中都會存在著以下的風(fēng)險與問題：

認(rèn)證方式不統(tǒng)一的風(fēng)險

無線網(wǎng)絡(luò)在多次建設(shè)中會出現(xiàn)多品牌的設(shè)備。而目前基于AC負(fù)責(zé)FIT AP接入、管理方式下的無線網(wǎng)絡(luò)中一旦出現(xiàn)異種品牌的AP就造成了AC無法進行對于AP接入、管理的局面，進而影響到用戶認(rèn)證問題。如果采用AC負(fù)責(zé)同品牌AP接入、管理，同時負(fù)責(zé)同品牌AP下用戶的接入、認(rèn)證、流量轉(zhuǎn)發(fā)。這樣做雖然簡單，但是由于每個品牌AC的認(rèn)證方式不同，造成了用戶認(rèn)證方式的不同，從而使用戶必須關(guān)心身處何地、需用何種方式進行認(rèn)證，造成用戶額外的負(fù)擔(dān)，從而影響到用戶的體感。

圖1 當(dāng)前校園網(wǎng)無線網(wǎng)絡(luò)示意圖

運維故障點多的風(fēng)險

如果采用基于AC+第三方認(rèn)證來對無線網(wǎng)用戶進行認(rèn)證，這樣雖然看上去可以保證用戶認(rèn)證方式一致，但是由于中間接口程序的存在，尤其是很多非標(biāo)接口需要再次開發(fā)，從而造成了更多的故障點，從運維角度來看是非常不可取的。此外還有很多諸如計費二次認(rèn)證等更多衍生的問題。

調(diào)整方案

為了解決上述問題，筆者認(rèn)為應(yīng)當(dāng)從無線網(wǎng)絡(luò)的構(gòu)架著手，分析一下校園網(wǎng)用戶使用無線網(wǎng)絡(luò)的流程，如圖1。

通常情況下，當(dāng)用戶通過Switch B交換機下的IP地址為10.12.1.3的AP進行無線網(wǎng)絡(luò)訪問時，需要有三個步驟：

1、需要尋找到該AP進行連接，并通過AP和AC之間的CAPWAP隧道進行通訊，從DHCP服務(wù)器獲得IP地址。應(yīng)當(dāng)注意的是此時用戶并未通過認(rèn)證，并不能真正地訪問無線網(wǎng)絡(luò)上的內(nèi)容。

2、獲得IP地址后的校園網(wǎng)用戶需要通過頁面方式或者客戶端方式在IP地址為10.217.0.3的AC上進行認(rèn)證通過后才能有訪問網(wǎng)絡(luò)的權(quán)利。

3、校園網(wǎng)用戶在通過認(rèn)證后進行網(wǎng)絡(luò)訪問，結(jié)束后下線退出。

在這個過程中有一個在無線網(wǎng)絡(luò)中的關(guān)鍵設(shè)備：無線控制器AC。AC是運維人員用來負(fù)責(zé)管理無線網(wǎng)絡(luò)中的所有無線AP，對AP管理包括：下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。此外它不僅是AP與AC之間通訊隧道的終點，還要為AP上用戶提供認(rèn)證、訪問網(wǎng)絡(luò)的服務(wù)。

據(jù)此筆者認(rèn)為，在多品牌無線網(wǎng)絡(luò)產(chǎn)品的環(huán)境下，如果取消AC的認(rèn)證功能，另外構(gòu)建一個與AC無關(guān)的第三方認(rèn)證就可以解決上面所提出的問題。為此，筆者選擇安全認(rèn)證網(wǎng)關(guān)對無線網(wǎng)用戶進行認(rèn)證。

由于在前面已經(jīng)取消了不同品牌的AC上的認(rèn)證功能，因此安全認(rèn)證網(wǎng)關(guān)在網(wǎng)絡(luò)放置的位置選擇是非常重要的，它的位置選擇好壞決定了校園網(wǎng)是否有可能存在未經(jīng)認(rèn)證用戶，網(wǎng)絡(luò)是否安全。對于安全認(rèn)證網(wǎng)關(guān)放置位置還是要從用戶的網(wǎng)絡(luò)流量上去找：

從圖1上看，在這個以Switch A為網(wǎng)絡(luò)核心的網(wǎng)絡(luò)上，位于匯聚Switch B上AP接入的無線網(wǎng)絡(luò)用戶雖然分配 到 了IP 192.168.90.182，但是這個地址所在的路由并沒有在匯聚Switch B上出現(xiàn)，其原因在于無線網(wǎng)絡(luò)中AP與AC之間的傳輸是使用隧道來完成的，因此，192.168.90.12的路由會出現(xiàn)在匯聚Switch C上，也就是說所有無線網(wǎng)絡(luò)用戶所在的IP地址路由均會在控制AP的AC所在匯聚上出現(xiàn)。換個角度看，從Switch A上看，Switch B的192.168.90.0/24與Switch B上的其它路由10.127.0.0/24以及Switch A上的192.168.10.0/24的路由沒有任何區(qū)別，都是有線網(wǎng)絡(luò)的路由。

圖2 修正后的無線網(wǎng)絡(luò)拓?fù)鋱D

因此，我們可以在Switch C與Switch B之間的鏈路上部署認(rèn)證設(shè)備。但考慮到在這條鏈路上的流量包括用戶的網(wǎng)絡(luò)流量以及再通過AC與AP之間隧道傳輸給用戶的流量，而兩種流量的疊加對于網(wǎng)關(guān)型設(shè)備來說是一種很大的負(fù)擔(dān)，而且因為其中一半的流量是不用進行認(rèn)證的，從而造成了認(rèn)證網(wǎng)關(guān)的效率很低，。

因此，筆者對于圖1進行了拓?fù)湫拚鐖D2。在圖2種，所有的AC都被放置在了Switch C交換機下面。與圖1不同的地方有三處：

1.在Switch A的172.18.0.1與Switch C的172.18.0.2之間新增了認(rèn)證網(wǎng)關(guān)AAA1，這個網(wǎng)關(guān)可以覆蓋到全部無線網(wǎng)用戶并對這些用戶進行認(rèn)證，但需要對DNS進行放行處理。

2.在Switch C上 的OSPF發(fā)布中刪除所有AC的路由信息。

3.在Switch A的 與Switch C之間增加了紅色的172.18.0.5與172.18.0.6之間的鏈路，通過Switch A與Switch C上靜態(tài)路由設(shè)置，使得AP與AC之間的所有隧道流量都在這個鏈路上進行。

部分具體配置如下（全網(wǎng)經(jīng)過IP調(diào)整后，AP的IP地址聚類規(guī)劃為10.12.0.0/16，AC與DHCP的IP地址在10.127.0.0/24段）：

在配置過程中需要注意：

1.對 于Switch C交換機OSPF配置時不要將10.127.0.0/24的地址進行發(fā)布，也不要配置redistribute connected subnets，這樣就保證了從OSPF上無法看到AC與DHCP的地址，從而使此段IP地址無法通過OSPF提供的路由進行訪問。

2.在Switch A交換機上配置的靜態(tài)路由只能是OSPF中沒有發(fā)布的10.127.0.0/24，而在Switch C交換機上也只能回指AP聚類后的IP地址段，以確保只有AP到AC的隧道流量經(jīng)過172.18.0.5余172.18.0.6之間的鏈路。

最后需要說明的是，這個模型具有很強的可擴展能力，即當(dāng)無線網(wǎng)絡(luò)不斷擴充，單一的Switch C在處理能力有所不及的情況下，可以隨時將其上面的AC遷移到新的交換機上保證無線網(wǎng)絡(luò)的正常運行。采用多個Switch C交換機進行分布式部署，同時并對AC進行進一步調(diào)配，使網(wǎng)絡(luò)上的AP都能進行主備AC控制時，就會極大降低對于Switch C交換機的性能要求，降低交換機投入成本；而在此同時大大提升網(wǎng)絡(luò)運維的安全性與穩(wěn)定性。

總之，通過這樣的網(wǎng)絡(luò)部署，使得本文前面提到的問題得到了解決。該模型目前已經(jīng)在學(xué)校部分環(huán)境中進行了測試性部署，取得了較好的效果。