分布式認(rèn)證無(wú)線(xiàn)網(wǎng)設(shè)計(jì)

■

隨著筆記本電腦、智能手機(jī)、平板電腦的普級(jí)，校園網(wǎng)用戶(hù)對(duì)于網(wǎng)絡(luò)接入的需求已經(jīng)從傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)接入向無(wú)線(xiàn)網(wǎng)絡(luò)接入過(guò)渡，甚至在某些場(chǎng)景下無(wú)線(xiàn)網(wǎng)絡(luò)接入已經(jīng)處于主導(dǎo)地位。

作為校園網(wǎng)的重要組成部分，無(wú)線(xiàn)網(wǎng)絡(luò)接入是可以在其覆蓋區(qū)隨時(shí)隨地提供無(wú)線(xiàn)接入服務(wù)的，如果沒(méi)有安全認(rèn)證，那么用戶(hù)只要能接到網(wǎng)絡(luò)設(shè)備上即可直接使用。這樣一個(gè)沒(méi)有經(jīng)過(guò)鑒別認(rèn)證的用戶(hù)可以沒(méi)有任何阻礙地通過(guò)連接的AP進(jìn)入網(wǎng)絡(luò)，對(duì)校園網(wǎng)的網(wǎng)絡(luò)安全造成了巨大的影響。因此對(duì)于接入用戶(hù)進(jìn)行鑒別，區(qū)分是否為合法用戶(hù)是無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)的首要問(wèn)題。而一個(gè)良好的認(rèn)證系統(tǒng)就成為了鑒別用戶(hù)是否合法的簡(jiǎn)單手段。為此很多廠(chǎng)商、集成商都從自身產(chǎn)品出發(fā)，提出了很多的建設(shè)方案，但是無(wú)論哪種建設(shè)方案在實(shí)際應(yīng)用中都會(huì)存在著以下的風(fēng)險(xiǎn)與問(wèn)題：

認(rèn)證方式不統(tǒng)一的風(fēng)險(xiǎn)

無(wú)線(xiàn)網(wǎng)絡(luò)在多次建設(shè)中會(huì)出現(xiàn)多品牌的設(shè)備。而目前基于AC負(fù)責(zé)FIT AP接入、管理方式下的無(wú)線(xiàn)網(wǎng)絡(luò)中一旦出現(xiàn)異種品牌的AP就造成了AC無(wú)法進(jìn)行對(duì)于AP接入、管理的局面，進(jìn)而影響到用戶(hù)認(rèn)證問(wèn)題。如果采用AC負(fù)責(zé)同品牌AP接入、管理，同時(shí)負(fù)責(zé)同品牌AP下用戶(hù)的接入、認(rèn)證、流量轉(zhuǎn)發(fā)。這樣做雖然簡(jiǎn)單，但是由于每個(gè)品牌AC的認(rèn)證方式不同，造成了用戶(hù)認(rèn)證方式的不同，從而使用戶(hù)必須關(guān)心身處何地、需用何種方式進(jìn)行認(rèn)證，造成用戶(hù)額外的負(fù)擔(dān)，從而影響到用戶(hù)的體感。

圖1 當(dāng)前校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)示意圖

運(yùn)維故障點(diǎn)多的風(fēng)險(xiǎn)

如果采用基于AC+第三方認(rèn)證來(lái)對(duì)無(wú)線(xiàn)網(wǎng)用戶(hù)進(jìn)行認(rèn)證，這樣雖然看上去可以保證用戶(hù)認(rèn)證方式一致，但是由于中間接口程序的存在，尤其是很多非標(biāo)接口需要再次開(kāi)發(fā)，從而造成了更多的故障點(diǎn)，從運(yùn)維角度來(lái)看是非常不可取的。此外還有很多諸如計(jì)費(fèi)二次認(rèn)證等更多衍生的問(wèn)題。

調(diào)整方案

為了解決上述問(wèn)題，筆者認(rèn)為應(yīng)當(dāng)從無(wú)線(xiàn)網(wǎng)絡(luò)的構(gòu)架著手，分析一下校園網(wǎng)用戶(hù)使用無(wú)線(xiàn)網(wǎng)絡(luò)的流程，如圖1。

通常情況下，當(dāng)用戶(hù)通過(guò)Switch B交換機(jī)下的IP地址為10.12.1.3的AP進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)，需要有三個(gè)步驟：

1、需要尋找到該AP進(jìn)行連接，并通過(guò)AP和AC之間的CAPWAP隧道進(jìn)行通訊，從DHCP服務(wù)器獲得IP地址。應(yīng)當(dāng)注意的是此時(shí)用戶(hù)并未通過(guò)認(rèn)證，并不能真正地訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)上的內(nèi)容。

2、獲得IP地址后的校園網(wǎng)用戶(hù)需要通過(guò)頁(yè)面方式或者客戶(hù)端方式在IP地址為10.217.0.3的AC上進(jìn)行認(rèn)證通過(guò)后才能有訪(fǎng)問(wèn)網(wǎng)絡(luò)的權(quán)利。

3、校園網(wǎng)用戶(hù)在通過(guò)認(rèn)證后進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)，結(jié)束后下線(xiàn)退出。

在這個(gè)過(guò)程中有一個(gè)在無(wú)線(xiàn)網(wǎng)絡(luò)中的關(guān)鍵設(shè)備：無(wú)線(xiàn)控制器AC。AC是運(yùn)維人員用來(lái)負(fù)責(zé)管理無(wú)線(xiàn)網(wǎng)絡(luò)中的所有無(wú)線(xiàn)AP，對(duì)AP管理包括：下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。此外它不僅是AP與AC之間通訊隧道的終點(diǎn)，還要為AP上用戶(hù)提供認(rèn)證、訪(fǎng)問(wèn)網(wǎng)絡(luò)的服務(wù)。

據(jù)此筆者認(rèn)為，在多品牌無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品的環(huán)境下，如果取消AC的認(rèn)證功能，另外構(gòu)建一個(gè)與AC無(wú)關(guān)的第三方認(rèn)證就可以解決上面所提出的問(wèn)題。為此，筆者選擇安全認(rèn)證網(wǎng)關(guān)對(duì)無(wú)線(xiàn)網(wǎng)用戶(hù)進(jìn)行認(rèn)證。

由于在前面已經(jīng)取消了不同品牌的AC上的認(rèn)證功能，因此安全認(rèn)證網(wǎng)關(guān)在網(wǎng)絡(luò)放置的位置選擇是非常重要的，它的位置選擇好壞決定了校園網(wǎng)是否有可能存在未經(jīng)認(rèn)證用戶(hù)，網(wǎng)絡(luò)是否安全。對(duì)于安全認(rèn)證網(wǎng)關(guān)放置位置還是要從用戶(hù)的網(wǎng)絡(luò)流量上去找：

從圖1上看，在這個(gè)以Switch A為網(wǎng)絡(luò)核心的網(wǎng)絡(luò)上，位于匯聚Switch B上AP接入的無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)雖然分配 到 了IP 192.168.90.182，但是這個(gè)地址所在的路由并沒(méi)有在匯聚Switch B上出現(xiàn)，其原因在于無(wú)線(xiàn)網(wǎng)絡(luò)中AP與AC之間的傳輸是使用隧道來(lái)完成的，因此，192.168.90.12的路由會(huì)出現(xiàn)在匯聚Switch C上，也就是說(shuō)所有無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)所在的IP地址路由均會(huì)在控制AP的AC所在匯聚上出現(xiàn)。換個(gè)角度看，從Switch A上看，Switch B的192.168.90.0/24與Switch B上的其它路由10.127.0.0/24以及Switch A上的192.168.10.0/24的路由沒(méi)有任何區(qū)別，都是有線(xiàn)網(wǎng)絡(luò)的路由。

圖2 修正后的無(wú)線(xiàn)網(wǎng)絡(luò)拓?fù)鋱D

因此，我們可以在Switch C與Switch B之間的鏈路上部署認(rèn)證設(shè)備。但考慮到在這條鏈路上的流量包括用戶(hù)的網(wǎng)絡(luò)流量以及再通過(guò)AC與AP之間隧道傳輸給用戶(hù)的流量，而兩種流量的疊加對(duì)于網(wǎng)關(guān)型設(shè)備來(lái)說(shuō)是一種很大的負(fù)擔(dān)，而且因?yàn)槠渲幸话氲牧髁渴遣挥眠M(jìn)行認(rèn)證的，從而造成了認(rèn)證網(wǎng)關(guān)的效率很低，。

因此，筆者對(duì)于圖1進(jìn)行了拓?fù)湫拚?，如圖2。在圖2種，所有的AC都被放置在了Switch C交換機(jī)下面。與圖1不同的地方有三處：

1.在Switch A的172.18.0.1與Switch C的172.18.0.2之間新增了認(rèn)證網(wǎng)關(guān)AAA1，這個(gè)網(wǎng)關(guān)可以覆蓋到全部無(wú)線(xiàn)網(wǎng)用戶(hù)并對(duì)這些用戶(hù)進(jìn)行認(rèn)證，但需要對(duì)DNS進(jìn)行放行處理。

2.在Switch C上 的OSPF發(fā)布中刪除所有AC的路由信息。

3.在Switch A的 與Switch C之間增加了紅色的172.18.0.5與172.18.0.6之間的鏈路，通過(guò)Switch A與Switch C上靜態(tài)路由設(shè)置，使得AP與AC之間的所有隧道流量都在這個(gè)鏈路上進(jìn)行。

部分具體配置如下（全網(wǎng)經(jīng)過(guò)IP調(diào)整后，AP的IP地址聚類(lèi)規(guī)劃為10.12.0.0/16，AC與DHCP的IP地址在10.127.0.0/24段）：

在配置過(guò)程中需要注意：

1.對(duì) 于Switch C交換機(jī)OSPF配置時(shí)不要將10.127.0.0/24的地址進(jìn)行發(fā)布，也不要配置redistribute connected subnets，這樣就保證了從OSPF上無(wú)法看到AC與DHCP的地址，從而使此段IP地址無(wú)法通過(guò)OSPF提供的路由進(jìn)行訪(fǎng)問(wèn)。

2.在Switch A交換機(jī)上配置的靜態(tài)路由只能是OSPF中沒(méi)有發(fā)布的10.127.0.0/24，而在Switch C交換機(jī)上也只能回指AP聚類(lèi)后的IP地址段，以確保只有AP到AC的隧道流量經(jīng)過(guò)172.18.0.5余172.18.0.6之間的鏈路。

最后需要說(shuō)明的是，這個(gè)模型具有很強(qiáng)的可擴(kuò)展能力，即當(dāng)無(wú)線(xiàn)網(wǎng)絡(luò)不斷擴(kuò)充，單一的Switch C在處理能力有所不及的情況下，可以隨時(shí)將其上面的AC遷移到新的交換機(jī)上保證無(wú)線(xiàn)網(wǎng)絡(luò)的正常運(yùn)行。采用多個(gè)Switch C交換機(jī)進(jìn)行分布式部署，同時(shí)并對(duì)AC進(jìn)行進(jìn)一步調(diào)配，使網(wǎng)絡(luò)上的AP都能進(jìn)行主備AC控制時(shí)，就會(huì)極大降低對(duì)于Switch C交換機(jī)的性能要求，降低交換機(jī)投入成本；而在此同時(shí)大大提升網(wǎng)絡(luò)運(yùn)維的安全性與穩(wěn)定性。

總之，通過(guò)這樣的網(wǎng)絡(luò)部署，使得本文前面提到的問(wèn)題得到了解決。該模型目前已經(jīng)在學(xué)校部分環(huán)境中進(jìn)行了測(cè)試性部署，取得了較好的效果。