校園網(wǎng)基于802.1x無感知認(rèn)證的研究與實(shí)現(xiàn)

摘要：隨著教育信息化建設(shè)加快推進(jìn)，各中小學(xué)校數(shù)字化校園硬件和軟件系統(tǒng)也得到了不斷完善，在辦公及學(xué)習(xí)區(qū)域都有一定數(shù)量的無線AP, 方便老師移動(dòng)辦公和學(xué)生的數(shù)字化學(xué)習(xí)。但無線網(wǎng)絡(luò)相對于有線網(wǎng)絡(luò)沒有固定邊界，在沒有任何安全策略情況下只要進(jìn)入無線覆蓋范圍內(nèi)就可以關(guān)聯(lián)無線，存在身份無法確認(rèn)的巨大安全隱患。同時(shí)數(shù)據(jù)通過電磁波進(jìn)行傳輸，黑客可以通過無線抓包軟件探測周圍無線數(shù)據(jù)報(bào)文，數(shù)據(jù)傳輸同樣存在安全隱患。本文給出一種基于802.1x協(xié)議的校園網(wǎng)無線認(rèn)證方法,并闡述了其實(shí)現(xiàn)步驟。

一、現(xiàn)狀與需求分析

隨著智能終端的普及，接入校園網(wǎng)絡(luò)的終端類型正在逐漸發(fā)生變化。智能終端需要通過3G、GPRS、WIFI接入Internet網(wǎng)絡(luò)。但目前3G、GPRS上網(wǎng)資費(fèi)較貴，所以WIFI成為校園網(wǎng)中智能終端的主要接入方式。為了保障無線網(wǎng)絡(luò)及用戶數(shù)據(jù)傳輸?shù)陌踩�，需要對接入終端身份進(jìn)行校驗(yàn),同時(shí)對傳輸數(shù)據(jù)進(jìn)行加密。

校園網(wǎng)中常見的無線身份驗(yàn)證方式為：預(yù)共享密鑰的方式、Portal方式（WEB認(rèn)證）。

(1)預(yù)共享密鑰：學(xué)校網(wǎng)絡(luò)管理員提前配置無線安全密鑰，用戶接入網(wǎng)絡(luò)時(shí)輸入提前配置的密鑰進(jìn)行身份驗(yàn)證。由于密鑰為靜態(tài)管理方式，如果該密鑰泄露，將失去用戶身份驗(yàn)證的作用，該方式在大型無線網(wǎng)絡(luò)中已經(jīng)很少使用。

(2)Portal方式：用戶使用瀏覽器進(jìn)行認(rèn)證(WEB認(rèn)證)，不存在系統(tǒng)兼容性的問題，但是用戶每次接入網(wǎng)絡(luò)都需要打開瀏覽器進(jìn)行一次Portal認(rèn)證，如果每次都需要進(jìn)行Portal認(rèn)證將大大降低用戶的無線體驗(yàn)。

根據(jù)老師們使用習(xí)慣和應(yīng)用場景分析，能不能給我們的老師提供一種快速“無感知”的接入方式，即終端進(jìn)入無線覆蓋范圍內(nèi)即可自動(dòng)連接無線網(wǎng)絡(luò)，不再需要輸入用戶名、密碼或者預(yù)共享密鑰等信息即可完成終端身份識別�；�繁為簡的“無感知”接入，讓用戶幾乎忘了自己是如何上網(wǎng)的,同時(shí)安全性卻絲毫沒有妥協(xié)，網(wǎng)絡(luò)管理員依然可以做到最為安全的無線網(wǎng)絡(luò)接入。

二、802.1x無感知認(rèn)證價(jià)值描述

無感知認(rèn)證的方案有：基于802.1x無感知認(rèn)證，基于MAC無感知認(rèn)證。本文主要討論基于802.1x的無感知認(rèn)證。

市場上大部分智能終端都支持802.1x認(rèn)證功能，802.1x技術(shù)為企業(yè)級的網(wǎng)絡(luò)提供了安全和便捷的解決方案。用戶希望接入無線網(wǎng)絡(luò)時(shí)只需要首次進(jìn)行認(rèn)證信息配置，后續(xù)用戶只要進(jìn)入無線信號覆蓋范圍內(nèi)即可自動(dòng)完成認(rèn)證。

802.1x協(xié)議規(guī)定在完成認(rèn)證之前是不允許信息交互的，因此手持終端與AC在認(rèn)證之前只能通過802.1x協(xié)議規(guī)定的EAP（Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議）幀交換認(rèn)證信息。目前大多數(shù)手持終端都支持基于802.1x的EAP認(rèn)證，輸入相應(yīng)的用戶名密碼，即可自動(dòng)完成認(rèn)證，這種方式稱為EAP-PEAP，即Protected-EAP（受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議）。已被Wi-FI聯(lián)盟WPA和WPA2批準(zhǔn)的有兩個(gè)子類型：PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個(gè)框架協(xié)議，目前業(yè)界使用最廣的是由微軟提出的PEAP-MSCHAPV2協(xié)議，又被稱作MS-PEAP，也就是我們在iPhone上看到的WPA/WPA2企業(yè)級認(rèn)證方式。

PEAP是可擴(kuò)展的身份認(rèn)證協(xié)議，認(rèn)證過程分為兩個(gè)階段，第一階段終端與Radius服務(wù)器之間建立TLS隧道，通過TLS保護(hù)第二階段用戶信息的交互；第二階段完成認(rèn)證方式的協(xié)商及用戶身份的認(rèn)證。常見的PAEP認(rèn)證方式有兩種：PEAP-MSCHAPV2、PEAP-GTC。從技術(shù)角度而言，PEAP-MSCHAPV2技術(shù)是大部分移動(dòng)終端都支持的無線認(rèn)證協(xié)議，該協(xié)議將用戶的認(rèn)證信息在PEAP保護(hù)下傳輸，且用戶密碼無法被解密而被竊取。所以PEAP-MSCHAPV2成為大部分無線項(xiàng)目主推的認(rèn)證方式。

三、基礎(chǔ)網(wǎng)絡(luò)部署

802.1x無感知認(rèn)證采用標(biāo)準(zhǔn)的PEAP方式進(jìn)行認(rèn)證，該功能不是銳捷特有的功能，下面只是以銳捷網(wǎng)絡(luò)設(shè)備為例。

1．網(wǎng)絡(luò)設(shè)備

三層核心交換機(jī)SW1(S8606)，二層接入交換機(jī)SW2(S2900),無線AP(RG-AP320-I),無線AC控制器(RG-WS5302)，RG-ESS或RG-SMP認(rèn)證系統(tǒng)。

2．網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖D1所示，其功能介紹如表1所示。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

表1 功能介紹

序號

功能規(guī)劃

內(nèi)容

1

AP設(shè)備VLAN 10

192.168.10.0/24 AP設(shè)備網(wǎng)關(guān)在核心

2

AP用戶VLAN 20

192.168.20.0/24 無線用戶網(wǎng)關(guān)在核心

3

AC和核心互聯(lián) VLAN 30

核心：192.168.30.1/30

AC：192.168.30.2/30

4

AC環(huán)回地址

Lo0：192.168.254.254/32

5

RG-ESS/SMP地址

192.168.100.100/24

6

無線用戶SSID

802.1x無感知認(rèn)證：ruijie-802.1x

(1)在上面的網(wǎng)絡(luò)中使用了無線AC本地轉(zhuǎn)發(fā)部署模式。通常情況下無線用戶所有流量都需要先經(jīng)過AC才能進(jìn)行轉(zhuǎn)發(fā)，這種集中轉(zhuǎn)發(fā)的模型有可能會(huì)改變客戶的流量模型，客戶希望無線用戶流量不走AC直接通過AP進(jìn)行轉(zhuǎn)發(fā)，這就是本地轉(zhuǎn)發(fā)功能。AC只做控制不參與用戶數(shù)據(jù)轉(zhuǎn)發(fā)，減輕了AC負(fù)擔(dān)。

(2)無線用戶網(wǎng)關(guān)位于核心交換機(jī)，無線用戶數(shù)據(jù)報(bào)文由AP完成802.11到802.3轉(zhuǎn)化。接入交換機(jī)和AP互聯(lián)接口配置為trunk，native vlan修改為AP設(shè)備vlan，只放通無線用戶vlan和AP vlan。

3．配置要點(diǎn)

(1)核心交換機(jī)SW1的配置

創(chuàng)建ap vlan 10、用戶vlan 20、AC與核心交換機(jī)（SW1）互聯(lián)的vlan 30：

SW1>enable //進(jìn)入特權(quán)模式

SW1#configure terminal //進(jìn)入全局配置模式

SW1(config)#vlan 10 //ap的vlan

SW1(config-vlan)#vlan 20 //用戶的vlan

SW1(config-vlan)#vlan 30 //AC與核心交換機(jī)（SW1）互聯(lián)的vlan

配置接口和接口地址：

SW1(config)# interface GigabitEthernet 0/1 //與AC互聯(lián)的接口配置為trunk

SW1(config-if-GigabitEthernet 0/1)#switchport mode trunk

SW1(config)#interface vlan 10 //配置ap網(wǎng)關(guān)地址

SW1(config-if-VLAN 10)# ip address 192.168.10.1 255.255.255.0

SW1(config)#interface vlan 20 //無線用戶的網(wǎng)關(guān)地址

SW1(config-if-VLAN 20)# ip address 192.168.20.1 255.255.255.0

SW1(config)#interface vlan 30 //和AC互聯(lián)地址,子網(wǎng)掩碼30位

SW1(config-if-VLAN 30)# ip address 192.168.30.1 255.255.255.252

地址池相關(guān)配置，給AP和無線用戶分配地址:

SW1(config)#service dhcp //開啟DHCP服務(wù)

SW1(config)#ip dhcp pool ap //創(chuàng)建DHCP地址池，名稱是ap

SW1(dhcp-config)#option 138 ip 192.168.254.254 //配置option字段，指定AC的地址，即AC的loopback 0地址

SW1(dhcp-config)#network 192.168.10.0 255.255.255.0 //分配給ap的地址

SW1(dhcp-config)#default-route 192.168.10.1 //分配給ap的網(wǎng)關(guān)地址

SW1(config-dhcp)#exit

SW1(config)#ip dhcp pool ap_user //無線用戶DHCP地址池，名稱是ap_user

SW1(dhcp-config)#network 192.168.20.0 255.255.255.0 //分配給無線用戶的地址

SW1(dhcp-config)#default-route 192.168.20.1 //分給無線用戶的網(wǎng)關(guān)

SW1(dhcp-config)#dns-server 8.8.8.8 //分配給無線用戶的dns

注意：AP的DHCP中的option字段和網(wǎng)段、網(wǎng)關(guān)要配置正確，否則會(huì)出現(xiàn)AP獲取不到DHCP信息導(dǎo)致無法建立隧道。

配置靜態(tài)路由:

指明到達(dá)AC的loopback 0 的路徑, AC環(huán)回地址使用32位掩碼。

SW1(config)#ip route 192.168.254.254 255.255.255.255 192.168.30.2

(2)AC控制器配置

創(chuàng)建vlan:

AC(config)#vlan 10 //ap的vlan

AC(config-vlan)#vlan 20 //用戶的vlan

AC(config-vlan)#vlan 30 //AC與核心交換機(jī)（SW1）互聯(lián)的vlan

配置接口和接口地址：

AC(config)# interface GigabitEthernet 0/1 //與SW1互聯(lián)的接口配置為trunk

AC(config-if-GigabitEthernet 0/1)#switchport mode trunk

AC(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094

AC(config)# interface Loopback 0 //配置AC回環(huán)接口地址

AC(config-if-Loopback 0)#ip address 192.168.254.254 255.255.255.255

AC(config)#interface vlan 30 //配置與核心SW1互聯(lián)地址,子網(wǎng)掩碼30位

AC(config-if-VLAN 30)# ip address 192.168.30.2 255.255.255.252

配置默認(rèn)路由:

AC(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 //192.168.30.1是核心交換機(jī)的地址

無線SSID配置:

AC(config)#wlan-config 20 ruijie-802.1x //創(chuàng)建SSID為ruijie-802.1x無線信號

AC(config-wlan)#tunnel local //開啟wlan-id 20 的本地轉(zhuǎn)發(fā)功能

無線ap-group配置，關(guān)聯(lián)wlan-config和用戶vlan：

AC(config)#ap-group default

AC(config-ap-group)#interface-mapping 20 20 //把wlan-config 20和vlan 20進(jìn)行關(guān)聯(lián)

(3)接入交換機(jī)(SW2)配置

在本地轉(zhuǎn)發(fā)模式中，接入交換機(jī)和AP互聯(lián)接口配置為trunk，native 為AP vlan，只放通無線用戶vlan和AP vlan。

SW2(config)# interface GigabitEthernet 0/2

SW2(config-if-GigabitEthernet 0/2)#switchport mode trunk

SW2(config-if-GigabitEthernet 0/2)#switchport trunk native vlan 10 //必須把AP所屬于的vlan配置為native vlan

SW2(config-if-GigabitEthernet 0/2)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094

四、802.1x認(rèn)證配置

基礎(chǔ)網(wǎng)絡(luò)部署配置完成后就可以在AC控制器上配置802.1x認(rèn)證，在RG-ESS/RG-SMP上完成相應(yīng)參數(shù)的設(shè)置，就可實(shí)現(xiàn)無感知認(rèn)證上網(wǎng)。

第一步：啟用802.1x AAA認(rèn)證

AC(config)#aaa new-model //啟用AAA認(rèn)證功能

AC(config)#aaa accounting update //開啟記賬更新

AC(config)#aaa accounting update periodic 5 //記賬更新時(shí)間間隔與SMP服務(wù)器保持一致，SMP默認(rèn)為5分鐘

AC(config)#aaa accounting network acct-1x start-stop group radius //定義名為acct-1x記賬列表

AC(config)#aaa authentication dot1x auth-1x group radius //定義名為auth-1x認(rèn)證列表

第二步：配置radius服務(wù)器IP及KEY

AC(config)#radius-server host 192.168.100.100 key ruijie //配置radius服務(wù)器KEY及IP

AC(config)#ip radius source-interface vlan 30 //AC使用vlan30的IP地址和radius對接

第三步：WLAN啟用802.1x

AC(config)#wlansec 20 //20為前面配置的wlan-config 20

AC(config-wlansec)#security rsn enable //啟用WPA2認(rèn)證

AC(config-wlansec)#security rsn ciphers aes enable //啟用AES加密

AC(config-wlansec)#security rsn akm 802.1x enable //啟用802.1X認(rèn)證

AC(config-wlansec)#dot1x accounting acct-1x //調(diào)用第一步定義的記賬列表

AC(config-wlansec)#dot1x authentication auth-1x //調(diào)用第一步定義的認(rèn)證列表

第四步：配置SNMP功能

AC(config)#snmp-server host 192.168.100.100 traps version 2c ruijie

AC(config)#snmp-server enable traps

AC(config)#snmp-server community ruijie rw

第五步：其它相關(guān)配置

AC(config)#dot1x eapol-tag //AC可以處理帶Vlan Tag認(rèn)證報(bào)文，默認(rèn)都需要配置

AC(config)#ip dhcp snooping //開啟dhcp snooping

AC(config)#dot1x dhcp-before-acct enable //獲取snooping表中用戶的IP地址通過記賬開始報(bào)文上傳

五、RG-ESS/RG-SMP服務(wù)器相關(guān)配置

AC控制器配置完成后就可以在RG-ESS/RG-SMP認(rèn)證服務(wù)器上完成相關(guān)配置，主要包括添加AC設(shè)備，添加上網(wǎng)帳號。由于其配置使用的是WEB方式，所以相對比較簡單。

第一步：在系統(tǒng)中添加無線控制器AC

添加無線設(shè)備之前需要修改無線設(shè)備模版中的相關(guān)參數(shù)如radius key、portal key等，這些參數(shù)是前面在AC中配置的。添加設(shè)備截圖如圖2所示。

圖2 添加設(shè)備截圖

第二步：配置無線認(rèn)證協(xié)議

打開認(rèn)證參數(shù)配置，在無線認(rèn)證方式中選擇“PEAP-MSCHAP”，同時(shí)“啟用windows xp系統(tǒng)自帶客戶端無感知認(rèn)證”，然后根據(jù)實(shí)際配置無感知認(rèn)證的SSID、安全類型、加密類型，以及認(rèn)證協(xié)議。

第三步：添加賬號

添加上網(wǎng)用戶賬號，賬號屬于默認(rèn)用戶組，不需要進(jìn)行特殊設(shè)置。

六、終端功能驗(yàn)證

通過上面一系列的操作，已經(jīng)完成了802.1x無感知認(rèn)證的所有關(guān)鍵配置，由于無線接入終端很多，下面就以ios系統(tǒng)為例進(jìn)行上網(wǎng)驗(yàn)證，Android等其它系統(tǒng)配置差不多。

第一步：進(jìn)入設(shè)置,打開無線局域網(wǎng)，點(diǎn)擊“ruijie-802.1x”無線網(wǎng)絡(luò)，如圖3所示。

圖3 打開無線局域網(wǎng)截圖

第二步：在彈出的界面中輸入用戶名、密碼，點(diǎn)擊加入，如圖4所示。

圖4 輸入密碼截圖

第三步：如果彈出一張尚未驗(yàn)證的證書，點(diǎn)擊接受。此時(shí)界面會(huì)回到無線局域網(wǎng)連接的界面，且SSID “ruijie-802.1x”前面打個(gè)勾說明鏈接成功。

基于802.1x無感知認(rèn)證確保上網(wǎng)安全的同時(shí)給我們用戶提供了一種快速的接入，接入無線網(wǎng)絡(luò)時(shí)只需要首次進(jìn)行認(rèn)證信息配置，后續(xù)用戶只要進(jìn)入無線信號覆蓋范圍內(nèi)即可自動(dòng)完成認(rèn)證，大大提高用戶的無線體驗(yàn)。非常適合在中小學(xué)校部署使用。學(xué)校網(wǎng)絡(luò)管理員要做的是開通上網(wǎng)帳號，對上網(wǎng)帳號進(jìn)行有效管理和控制。

作者：曹忠華 來源：廠商供稿