文/張煥杰

中國(guó)科學(xué)技術(shù)大學(xué) 共享Eduroam聯(lián)盟無線網(wǎng)絡(luò)服務(wù)

文/張煥杰

Eduroam聯(lián)盟無線網(wǎng)絡(luò)服務(wù)

Eduroam（Education Roaming，https://www. Eduroam.org/）是一種安全的全球?qū)W術(shù)網(wǎng)絡(luò)Wi-Fi漫游服務(wù)，目前已經(jīng)覆蓋全球七十多個(gè)國(guó)家和地區(qū)的大學(xué)及科研機(jī)構(gòu)。參與該聯(lián)盟的機(jī)構(gòu)只需在本單位設(shè)立Eduroam賬戶，用戶即可使用原機(jī)構(gòu)提供的合法賬號(hào)，在全球已參與Eduroam聯(lián)盟機(jī)構(gòu)內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)訪問的無障礙漫游。

加入Eduroam聯(lián)盟的成員，要提供RADIUS服務(wù)器以實(shí)現(xiàn)認(rèn)證、計(jì)費(fèi)（計(jì)費(fèi)不是必需的）功能，還要提供支持802.1X認(rèn)證的無線接入服務(wù)設(shè)施以便用戶使用無線網(wǎng)絡(luò)。部署Eduroam無線服務(wù)的SSID必須為Eduroam，并且必須免費(fèi)向聯(lián)盟成員用戶提供。

當(dāng)用戶連接無線接入服務(wù)設(shè)施時(shí)，需要提供用戶名、密碼等信息用來認(rèn)證身份。無線接入設(shè)施將用戶名（含認(rèn)證的域名）、密碼經(jīng)過加密處理后，利用RADIUS協(xié)議發(fā)送給本地RADIUS服務(wù)器請(qǐng)求認(rèn)證。本地RADIUS服務(wù)器根據(jù)用戶提供的認(rèn)證域信息進(jìn)行判斷，如果是本域用戶，RADIUS服務(wù)直接給出允許或拒絕用戶接入的應(yīng)答；如果是其他聯(lián)盟用戶，RADIUS服務(wù)器將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給上一級(jí)RADIUS服務(wù)器，通過若干RADIUS服務(wù)器轉(zhuǎn)發(fā)給用戶所在域的RADIUS服務(wù)器，最后將認(rèn)證應(yīng)答發(fā)送給無線接入設(shè)施。

整個(gè)認(rèn)證過程中，用戶提供的密碼僅僅在用戶的無線終端設(shè)備（如手機(jī)、筆記本電腦）內(nèi)明文處理，離開終端之后傳輸?shù)牟皇敲艽a明文，而是經(jīng)加密或處理后的密碼，因此非常安全。

中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心負(fù)責(zé)管理Eduroam中國(guó)無線網(wǎng)漫游交換中心（http://Eduroam.cstnet.cn/），它的服務(wù)器負(fù)責(zé).cn認(rèn)證域的轉(zhuǎn)發(fā)，而北京大學(xué)的服務(wù)器負(fù)責(zé).edu.cn認(rèn)證域的轉(zhuǎn)發(fā)。

中科大無線網(wǎng)

學(xué)校網(wǎng)絡(luò)信息中心在圖書館、會(huì)議室、食堂、操場(chǎng)等公共區(qū)域部署了無線（Wi-Fi）接入點(diǎn)，以滿足師生使用筆記本電腦、手機(jī)、平板等移動(dòng)應(yīng)用需求。

網(wǎng)絡(luò)信息中心部署的無線SSID有如下幾種：

圖1 校園網(wǎng)無線AP狀態(tài)

ustcnet：無需登錄，只能訪問校內(nèi)網(wǎng)絡(luò)，訪問校外網(wǎng)絡(luò)時(shí)需要登錄“網(wǎng)絡(luò)通”賬號(hào)。

ustc-guest：用戶使用手機(jī)號(hào)碼驗(yàn)證后，可以訪問校外網(wǎng)絡(luò)。

CMCC-EDU：直接轉(zhuǎn)發(fā)給中國(guó)移動(dòng)設(shè)備，由移動(dòng)提供服務(wù)。

ChinaNET：直接轉(zhuǎn)發(fā)給中國(guó)電信設(shè)備，由電信提供服務(wù)。

目前在線的AP約300臺(tái)，2015年底會(huì)增加到約1500臺(tái)。為了方便用戶了解無線網(wǎng)絡(luò)的工作情況，我們?cè)?http://202.38.64.40/ap 發(fā)布各AP的工作狀態(tài)，如圖1所示。

Eduroam聯(lián)盟無線網(wǎng)服務(wù)建設(shè)過程

隨著學(xué)校國(guó)際化進(jìn)程的發(fā)展，國(guó)內(nèi)外研究者、學(xué)生的交流和訪問越來越頻繁。為了滿足大學(xué)國(guó)際化趨勢(shì)下用戶的網(wǎng)絡(luò)服務(wù)需求，學(xué)校在2015年5月8日加入Eduroam無線網(wǎng)絡(luò)服務(wù)聯(lián)盟并開通服務(wù)，詳細(xì)的建設(shè)過程請(qǐng)見http://staff.ustc.edu.cn/～james/ Eduroam/。

1.基礎(chǔ)準(zhǔn)備工作

在無線控制器AC上設(shè)置一個(gè)Vlan（中國(guó)科大使用vlan196），設(shè)置好相關(guān)的IPv4/IPv6地址和DHCP信息，增加一個(gè)測(cè)試SSID，測(cè)試無線終端可以正常上網(wǎng)。

用戶的認(rèn)證信息，如用戶名、明文密碼等信息。

準(zhǔn)備一個(gè)虛擬機(jī)用作RADIUS服務(wù)器，使用的是CentOS 6.6。

2.向Eduroam 中國(guó)無線網(wǎng)漫游交換中心提出接入申請(qǐng)

按照http://Eduroam.cstnet.cn/how. jhtml說明，下載申請(qǐng)表格，填寫相關(guān)信息后，發(fā)送至郵箱Eduroam@cstnet. cn。

對(duì)方通過電話聯(lián)系確認(rèn)身份后，利用郵件發(fā)送相關(guān)的key和測(cè)試賬號(hào)。這個(gè)key用于與北京大學(xué)管理的服務(wù)器通信使用。

3.安裝RADIUS服務(wù)器

學(xué)校使用MySQL數(shù)據(jù)庫(kù)和FreeRADIUS軟件提供RADIUS服務(wù)，因此需安裝mysql-server、mysql、freeRADIUS-mysql、freeRADIUS、freeRADIUS-utils、git軟件包。其中g(shù)it用來跟蹤對(duì)FreeRADIUS配置文件的修改。安裝軟件后，參考/etc/raddb/sql/mysql/admin.sql和schema.sql文件創(chuàng)建相關(guān)的表，并設(shè)置嚴(yán)格的iptables包過濾規(guī)則保護(hù)RADIUS服務(wù)器。

4.配置RADIUS服務(wù)器

根據(jù)上述步驟獲取的key，設(shè)置好北大的上游RADIUS服務(wù)器信息。增加無線控制器AC的客戶信息。

設(shè)置認(rèn)證來源為MySQL數(shù)據(jù)庫(kù)。

為了更好地服務(wù)用戶，建議為RADIUS服務(wù)器申請(qǐng)專門的SSL證書，并設(shè)置好相關(guān)的密鑰信息。

往數(shù)據(jù)庫(kù)表中添加一條測(cè)試用戶記錄，建立用戶test，密碼test123：

mysql RADIUS

＞INSERT INTO radcheck VALUES (1,'test','Cleartext-Password',':=','test123');

5. 配置無線控制器AC

參考無線控制器AC的配置文檔，在無線控制器AC上增加Eduroam SSID，并設(shè)置該SSID使用802.1X認(rèn)證，認(rèn)證RADIUS服務(wù)器為配置的RADIUS服務(wù)器。

表1 RADIUS服務(wù)器應(yīng)答統(tǒng)計(jì)

表2 無線接入情況統(tǒng)計(jì)

6. 測(cè)試連接

在RADIUS服務(wù)器上執(zhí)行以下命令啟用RADIUS進(jìn)程：

RADIUSd -X

在無線終端上選擇Eduroam SSID連接無線，輸入上述test/test123用戶名和密碼，測(cè)試是否能正確連接。如果連接正常，還可以使用獲取的測(cè)試賬號(hào)，測(cè)試其他認(rèn)證域用戶的登錄是否正常。

7. 正式開通

測(cè)試通過后，可以將用戶信息導(dǎo)入Radcheck表，對(duì)外正式開通服務(wù)。

近半年的使用情況

學(xué)校的無線網(wǎng)絡(luò)采用充分開放的理念，校內(nèi)網(wǎng)絡(luò)活動(dòng)用戶均可使用Eduroam SSID登錄，其他機(jī)構(gòu)的Eduroam用戶均可以使用學(xué)校的無線網(wǎng)絡(luò)設(shè)施。

RADIUS服務(wù)器在運(yùn)行過程中，會(huì)將發(fā)出的應(yīng)答記錄在radpostauth表中，同時(shí)會(huì)將計(jì)費(fèi)信息記錄在radacct表中。

RADIUS服務(wù)器應(yīng)答統(tǒng)計(jì)

表1是來自radpostauth表統(tǒng)計(jì)的RADIUS服務(wù)器各種應(yīng)答。從中可以看到7月和8月有較多的拒絕接入應(yīng)答，這一般是密碼錯(cuò)誤引起的，猜測(cè)這兩個(gè)月外來的短期夏令營(yíng)學(xué)生較多，大量用戶嘗試接入時(shí)引起的錯(cuò)誤。

無線接入情況統(tǒng)計(jì)

表2是來自radacct計(jì)費(fèi)表統(tǒng)計(jì)的學(xué)校無線設(shè)備接入情況。我們?cè)谑褂弥邪l(fā)現(xiàn)，一次會(huì)話時(shí)間小于60秒的用戶多為未成功接入用戶，這些用戶往往并未正確連接無線網(wǎng)絡(luò)。導(dǎo)致用戶未成功接入的原因很多，其中較多的原因是RADIUS服務(wù)器的證書未被客戶端信任引起，這些用戶往往會(huì)在30秒鐘左右斷開連接。而一次會(huì)話超過60秒鐘的用戶，幾乎都可以正常使用網(wǎng)絡(luò)，是有效接入用戶。從中可以看到接入的有效率多為70%左右，暫時(shí)還不清楚9月接入有效率明顯下降的原因。

從上述統(tǒng)計(jì)也可以看到，隨著用戶對(duì)該項(xiàng)服務(wù)的了解，使用的用戶越來越多，尤其是校外用戶占比越來越多，說明該項(xiàng)服務(wù)對(duì)校外用戶非常有吸引力。

在使用中發(fā)現(xiàn)802.1X認(rèn)證方式兼容性稍差，偶爾會(huì)有部分設(shè)備不能接入，需要更多的用戶測(cè)試和反饋。此外，F(xiàn)reeRADIUS系統(tǒng)內(nèi)置的監(jiān)控和管理功能不夠豐富，無法對(duì)校內(nèi)用戶在其他機(jī)構(gòu)的使用做出較好的統(tǒng)計(jì)，希望能找到解決辦法。

（作者單位為中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心）