本站小編為你精心準(zhǔn)備了高校無線局域網(wǎng)用戶認(rèn)證調(diào)控和監(jiān)管體系參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

1無線網(wǎng)絡(luò)介紹

隨著無線技術(shù)的進(jìn)步、教育需求的變化和發(fā)展，無線網(wǎng)絡(luò)其移動性.佰,傳輸距離長、易擴(kuò)展、組網(wǎng)方式靈活、管理方便等優(yōu)點正逐漸成為許多教育機(jī)構(gòu)、院校的重要組成部分。自從1999年l0月，美國上內(nèi)旅.梅降大學(xué)在世界上率先啟動了校園無線網(wǎng)絡(luò)，經(jīng)過了l0年的發(fā)展，無線校園已經(jīng)成為西方發(fā)達(dá)國家提升教學(xué)環(huán)境品質(zhì)，提.佰教育資源利用率，增加教育靈活性和交流性的重要方式。雖然我國無線校園網(wǎng)絡(luò)的建設(shè)較國外起步晚，但發(fā)展仍然相當(dāng)迅速。2002年，北京大學(xué)開始鋪建中國.佰校第

一個無線網(wǎng)絡(luò)，之后浙江、上海、杭州、深圳等地的.佰校相繼推出校園無線網(wǎng)絡(luò)計劃并加以實施，但在用戶認(rèn)證和管理上缺乏統(tǒng)一分類和機(jī)制。本文就高校無線網(wǎng)絡(luò)建設(shè)中的用戶統(tǒng)一分類和認(rèn)證機(jī)制進(jìn)行了討論，并給出了一個合適的認(rèn)證系統(tǒng)建設(shè)方案。

通過多種接人手段，在不同的環(huán)境下部署不同的無線接人設(shè)備(比如室內(nèi)AP、室外AP,Mesh"''''產(chǎn)品等)，統(tǒng)一地進(jìn)行無線用戶和設(shè)備的控制管理，通過對用戶權(quán)限的分配統(tǒng)一分配網(wǎng)絡(luò)資源，控制、管理其網(wǎng)絡(luò)信息訪問內(nèi)容。這個平臺將是可擴(kuò)展的，井且非常易于管理。對于校園網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)的建設(shè)不僅僅是考慮無線接人層面的工作，而是個端到端的解決方案。

2無線用戶及應(yīng)用區(qū)分、解決方案

校園無線網(wǎng)絡(luò)日后將是多種無線應(yīng)用共存的個大規(guī)模無線網(wǎng)絡(luò)，所以勢必存在不同終端、不同用戶群、不同應(yīng)用的網(wǎng)絡(luò)需求。而滿足網(wǎng)絡(luò)對不同應(yīng)用需求的最旅本人口就是網(wǎng)絡(luò)的認(rèn)證手段與用戶策略及服務(wù)質(zhì)量的捆綁。學(xué)校的無線網(wǎng)絡(luò)用戶大致可分為以下四大類:教職員工、學(xué)生、訪客、特殊終端(比如語言終端、攝像頭、相機(jī)等)。用戶接人策略如圖1所示，針對不同用戶，，我們分別賦了如下的策略進(jìn)行接人:

1)外來訪客用戶接人

對于此類用戶，我們需要考慮無線網(wǎng)絡(luò)接人的方法要求盡量簡單且友好，所以可以采用Web認(rèn)證的方式，但是外來用戶’往往帶來很多安全隱患，所以在采用Web認(rèn)證的同時，我們對于那些外來的WLAN接人者系統(tǒng)可依通過EoIP(EthernetoverIP)隧道再將這些用戶，的流量引導(dǎo)到防火墻的DMZ區(qū)，需要對這些用戶，限定接人時問接人帶寬，并在校園網(wǎng)絡(luò)中通過隧道方式將這些用戶，的流量引導(dǎo)到相應(yīng)的安全域加以集中控制。因此，對于網(wǎng)絡(luò)管理人員來說，對這些訪客的策略集中在安全域處理即可。

2)學(xué)生接人

對于此類用戶無線網(wǎng)絡(luò)接人的方法要求盡量簡單且友好，另外，還需要考慮到學(xué)校相關(guān)校園信息的快速以及介紹，所以建議采用Web認(rèn)證方式。而且考慮到對校園預(yù)付費上網(wǎng)的管理可以通過Radius服務(wù)器和無線控制器的自_接配合來實施用戶，的接人控制。考慮到校園園區(qū)很大，且可能接人的用戶，數(shù)量眾多，我們可以為不同接人區(qū)域的相同SSID分配不同的用戶’接人VLAN，這樣也能有效控制不同校區(qū)或相同校區(qū)不同區(qū)域用戶’的接人，甚至可以將接人區(qū)域與學(xué)生的用戶，名綁定。

3)教職員工的接人

對于教職員工的接人需要的是快速安全，而WLAN開放的環(huán)境下旅于WPA/WPA2的802.1x最能夠保障教職員工對數(shù)據(jù)的安全性的需求，WPA2的AES加密〔3{是目前公認(rèn)的商業(yè)領(lǐng)域最強(qiáng)大的加密算法，同時由于WPA2是WiFi的認(rèn)證所以目前幾乎所有的桌面操作系統(tǒng)(Linux,W111dOWS等)均能夠快速配并支持。但是光考慮802.1X認(rèn)證的數(shù)據(jù)安全是遠(yuǎn)遠(yuǎn)不夠的，在教職員接人的同時我們還應(yīng)該考慮通過動態(tài)的VLAN分配來有效地對不同科系的老師進(jìn)行區(qū)分，即數(shù)學(xué)系的老師接人網(wǎng)絡(luò)之后自_接被引導(dǎo)到數(shù)學(xué)系所在的地址空問，而歷史系的老師接人網(wǎng)絡(luò)之后直接被引導(dǎo)到歷史系所在的地址空問，每個老師通過校園WLAN的接人后就像工作在自己科系的辦公室一樣。通過這種方式我們也可以對不同的應(yīng)用進(jìn)行動態(tài)VLAN的分配。因此通過WPA/WPA2+802.1x認(rèn)證，可以在相同的SSID的情況下根據(jù)不同的用戶認(rèn)證信息分配不同的VLAN,ACL,QoS甚至將用戶認(rèn)證信息與認(rèn)證的地點捆綁在一起，即某些某校區(qū)的用戶只能在某校區(qū)的某個樓層訪問WLAN，而出了這個樓層將無法接人WLANa

4))應(yīng)用終端接人

WiFi的應(yīng)用終端很多有WiFi數(shù)碼相機(jī)、WiFiIP電話、WiFi游戲機(jī)、WiFi監(jiān)控攝像頭等等，這些設(shè)備均能夠以802.11定義的無線局域網(wǎng)工作模式中的結(jié)構(gòu)模式(主nfrastructureinode)接人WLAN系統(tǒng)，但這些設(shè)備多數(shù)都不能通過內(nèi)置程序進(jìn)行接人認(rèn)證(有的可能支持WPA/WPA2-PSK)所以對于這些設(shè)備來說我們需要為他們進(jìn)行MAC或MAC+WPA/WPA2-PSK認(rèn)證，以保障這些終端的接人安全和數(shù)據(jù)通訊安全性。由于不同終端應(yīng)用不同，因此我們還需要控制器根據(jù)這些終端的MAC地址組為這些不同的終端分配不同的VLAN,ACL,QoSa

3SSID的設(shè)計

對于無線設(shè)備來說，SSID越多將會大大增加無線接人點的開銷，一般情況下，增加到五、六個SSID的無線接人點，將降低10%以上的處理能力。所以，針對這種情況，我們推薦在整個校園只采用二個SSID來部署，其中，一個SSID比如為campus-Wireless，他為學(xué)生、教職員工、甚至專用設(shè)備提供接人，另外一個SSID為Guest，專為訪客所用。

學(xué)生、教職員工、專用設(shè)備采取的認(rèn)證方式均不同，目前很多設(shè)備可以完成只使用單一的SSID接人不同安全策略的用戶端，從而減少SSID的開銷，從另一方面提.佰AP的性能。

4認(rèn)證策略的統(tǒng)一管理

對于用戶的訪問，我們建議采用二次認(rèn)證的方式，第一次為接人無線網(wǎng)絡(luò)認(rèn)證，這樣便于無線網(wǎng)絡(luò)的控制和管理，第二次為接人Interne:認(rèn)證，這樣方便學(xué)校進(jìn)行計費管理。

第一次認(rèn)證的情況下，對于采用了統(tǒng)一無線設(shè)備接人的用戶，針對于不同用戶的接人，我們提供了不同的認(rèn)證手段，包括EAP認(rèn)證、Web認(rèn)證、MAC地址認(rèn)證等，所有的認(rèn)證信息數(shù)據(jù)庫均存在內(nèi)網(wǎng)后臺的LDAP數(shù)據(jù)庫中，無論從哪發(fā)起的認(rèn)證均由這個統(tǒng)一的認(rèn)證數(shù)據(jù)庫進(jìn)行辨識。

但是，由于某些院系可能采購的無線設(shè)備品牌比較雜，沒有任何認(rèn)證機(jī)制，也沒有統(tǒng)一管理手段，對于這種情況，我們建議把這類AP直接接人前端認(rèn)證服務(wù)器中，通過認(rèn)證服務(wù)器及其后臺的管理引擎，對其接人的用戶進(jìn)行統(tǒng)一的Web認(rèn)證，其認(rèn)證信息由認(rèn)證服務(wù)器轉(zhuǎn)發(fā)至統(tǒng)一的LDAP數(shù)據(jù)庫，認(rèn)證通過的用戶才可以接人無線網(wǎng)絡(luò)。第二次認(rèn)證我們建議仍然采用校園傳統(tǒng)的方式，比如L2TP撥號，不改變用戶的默認(rèn)行為習(xí)慣。

5多業(yè)務(wù)開展

針對不同的業(yè)務(wù)開展我們可以通過不同的SSID進(jìn)行業(yè)務(wù)區(qū)分，目前某些無線AP可以配置多個SSID來區(qū)別不同的業(yè)務(wù)，并且每個SSID可以采用不同的加密和認(rèn)證方式和可控的QOS保證機(jī)制。由于每個SSID對應(yīng)的是后臺無線控制器的不同的VLAN接口，兩個SSID對應(yīng)的VLAN盯習(xí)邏輯隔離，只需將相應(yīng)的VLAN配置到相應(yīng)的業(yè)務(wù)接口即可，這就像把一個物理的無線網(wǎng)絡(luò)通過SSID劃分為多個邏輯隔離的無線網(wǎng)絡(luò)。某些特定需求下也許不同的SSID無線網(wǎng)絡(luò)問有互訪需求，從此我們建議通過AC中的防火墻模塊控制各VLAN盯7的數(shù)據(jù)通訊，這樣使得各邏輯網(wǎng)絡(luò)問更加安全。

6結(jié)論

上述這些需求在傳統(tǒng)的無線網(wǎng)絡(luò)構(gòu)架中是無法實現(xiàn)的，原因是傳統(tǒng)的無線網(wǎng)絡(luò)構(gòu)架無法實現(xiàn)個AP上接人的用戶被動態(tài)地分配到成百數(shù)千個動態(tài)VLAN中，因為，首先這個AP的上行端口要被配制成VLAN中繼，且支持?jǐn)?shù)量要是成百上千個VLANa其次，所有的接人交換機(jī)的每個AP端口都需要這樣的配置，而這種是繁瑣且耗費網(wǎng)絡(luò)資源的方式。因此，在本文所述的輕量級AP構(gòu)架下，我們能夠通過隧道的方式將用戶流量跨三層地引導(dǎo)到無線控制器單元，這樣所有的配置只需要在無線控制器上來實現(xiàn)即可。這種方式對AP的網(wǎng)絡(luò)接人配置沒有任何需求(僅需路由可達(dá)控制器)，并且可以有效地實現(xiàn)用戶二三層的快速安全漫游切換。