文/田愛寶 夏凌云 宋文文

中國石油大學(xué) 基于Eduroam構(gòu)建高校無線漫游網(wǎng)絡(luò)

文/田愛寶 夏凌云 宋文文

國內(nèi)高校在對(duì)外學(xué)術(shù)交流活動(dòng)面臨著網(wǎng)絡(luò)很難接入的問題，同時(shí)校園無線網(wǎng)絡(luò)管理遭遇到管理瓶頸，Eduroam在國外蓬勃發(fā)展的背景下，國內(nèi)高校充分利用Eduroam的優(yōu)勢(shì)，能有效解決國內(nèi)高校當(dāng)前面臨的問題，為高校的發(fā)展帶來新的機(jī)遇。

近幾年來，國內(nèi)高校逐漸將國際國內(nèi)學(xué)術(shù)交流提升到促進(jìn)學(xué)校發(fā)展的重要手段之一，導(dǎo)致師生在國際國內(nèi)流動(dòng)日益頻繁。同時(shí)，國內(nèi)高校逐步開展學(xué)校間學(xué)分互認(rèn)等教學(xué)改革，進(jìn)一步增加了師生跨學(xué)校流動(dòng)。在國家寬帶戰(zhàn)略下，各高校不斷加大校園網(wǎng)絡(luò)的投入力度，特別是校園無線網(wǎng)絡(luò)建設(shè)，985、211類高校基本上實(shí)現(xiàn)了校園無線網(wǎng)絡(luò)的全部或部分覆蓋。但是，大部分高校的無線網(wǎng)主要為本校師生提供服務(wù)，對(duì)訪客基本上采取使用共享密碼連接無線網(wǎng)或不提供服務(wù)兩種辦法，因此帶來的網(wǎng)絡(luò)安全問題或用戶使用的不便利均不能很好解決。

Eduroam架構(gòu)

Eduroam的目標(biāo)是讓用戶使用所屬機(jī)構(gòu)的注冊(cè)賬號(hào)允許接入其他Eduroam機(jī)構(gòu)的無線網(wǎng)絡(luò)，為了實(shí)現(xiàn)用戶訪問網(wǎng)絡(luò)權(quán)限的漫游，主要通過身份驗(yàn)證和網(wǎng)絡(luò)授權(quán)兩個(gè)部分來實(shí)現(xiàn)。

用戶所屬機(jī)構(gòu)網(wǎng)絡(luò)信息管理部門管理用戶身份信息，即賬號(hào)，是Eduroam系統(tǒng)中用戶身份信息的提供者。用戶接入Eduroam網(wǎng)絡(luò)前需要將其用戶身份信息提交到用戶管理機(jī)構(gòu)進(jìn)行身份驗(yàn)證，確定身份合法后給予相應(yīng)的無線網(wǎng)絡(luò)訪問權(quán)限。為了保證用戶身份信息在互聯(lián)網(wǎng)上傳遞的安全，必須采用EAP認(rèn)證模式，根據(jù)各機(jī)構(gòu)實(shí)際情況，可采用PEAP、TLS、TTLS等EAP認(rèn)證模式。

網(wǎng)絡(luò)授權(quán)由無線網(wǎng)絡(luò)提供者根據(jù)上述身份信息驗(yàn)證決定是否允許用戶接入無線網(wǎng)絡(luò)并授予網(wǎng)絡(luò)訪問權(quán)限。為了網(wǎng)絡(luò)安全和認(rèn)證方式的統(tǒng)一，Eduroam無線網(wǎng)絡(luò)全部采用802.1X網(wǎng)絡(luò)認(rèn)證模式。

為了實(shí)現(xiàn)身份驗(yàn)證和網(wǎng)絡(luò)授權(quán)的信息傳遞，Eduroam需要構(gòu)建一套R(shí)ADIUS服務(wù)系統(tǒng)。全球RADIUS服務(wù)系統(tǒng)主要包括以下三部分服務(wù)：

1.頂級(jí)RADIUS服務(wù)器 Confederation Top-Level RADIUS Server (TLRs) ，位于歐洲的荷蘭和丹麥、亞太地區(qū)的香港和澳大利亞，分別負(fù)責(zé)將不同的認(rèn)證包轉(zhuǎn)發(fā)到本區(qū)域內(nèi)相關(guān)的 FLR 服務(wù)器，并實(shí)現(xiàn)頂級(jí)服務(wù)器間的數(shù)據(jù)交互。

2.聯(lián) 盟 級(jí)RADIUS服 務(wù) 器Federation-Level RADIUS servers (FLRs) ，在每個(gè)國家或地區(qū)會(huì)有相應(yīng)的FLR 服務(wù)器，負(fù)責(zé)將認(rèn)證包在TLR 和各科研教育機(jī)構(gòu)IDP(Identity Provider)/SP(Service Provider)之間進(jìn)行轉(zhuǎn)發(fā)。

3.校園級(jí)RADIUS 服務(wù)器 IdP and SP RADIUS infratructure，部署在高校或科研機(jī)構(gòu)內(nèi)，既是用戶身份信息的提供者和管理者，也是無線網(wǎng)絡(luò)的提供者。身份驗(yàn)證和網(wǎng)絡(luò)授權(quán)均由該級(jí)別的服務(wù)器提供服務(wù)。

為了保證用戶身份信息的正確傳遞，用戶賬號(hào)均采用user@realm的格式，realm是基于域名系統(tǒng)架構(gòu)，采用層次結(jié)構(gòu)，TLR服務(wù)器、FLR服務(wù)器根據(jù)realm對(duì)賬號(hào)進(jìn)行轉(zhuǎn)發(fā)，直到找到用戶所屬機(jī)構(gòu)的IdP服務(wù)器完成身份信息的驗(yàn)證。

校園級(jí)IDP/SP服務(wù)器配置

校園級(jí)RADIUS服務(wù)器采用FreeRADIUS軟件，完成與上級(jí)FLR服務(wù)器的連接，并實(shí)現(xiàn)與無線網(wǎng)絡(luò)認(rèn)證對(duì)接。具體步驟為：

1.下載安裝FreeRADIUS軟件。

2.配置FreeRADIUS服務(wù)器的客戶端。

無線網(wǎng)絡(luò)的無線控制器作為無線網(wǎng)的接入設(shè)備，在認(rèn)證時(shí)須將用戶身份信息轉(zhuǎn)發(fā)給RADIUS服務(wù)器，故校園網(wǎng)無線控制器是RADIUS服務(wù)器的客戶端，同時(shí)，本地用戶漫游到其他機(jī)構(gòu)時(shí)，接收上級(jí)RADIUS服務(wù)器轉(zhuǎn)發(fā)過來的認(rèn)證包，也是本地RADIUS服務(wù)器的客戶端，故配置RADIUS客戶端時(shí)需將無線控制器和上級(jí)FLR服務(wù)器均配置為RADIUS客戶端。

在/etc/raddb/clients.conf文件中添加

client edu-flr-1 {

ipaddr = 上級(jí)FLR服務(wù)器

netmask = 32

secret = 與FLR服務(wù)器對(duì)接密鑰shortname = edu-flr-1

}

client wlan-ac-1 {

ipaddr = 無線控制器IP地址

netmask = 32

secret = 與無線控制器對(duì)接密鑰shortname = wlan-ac-1

}

3.配置FreeRADIUS轉(zhuǎn)發(fā)策略

用戶在本地?zé)o線網(wǎng)登錄Eduroam時(shí)，將用戶身份信息轉(zhuǎn)發(fā)至RADIUS服務(wù)器，根據(jù)用戶名的realm信息，RADIUS服務(wù)器將認(rèn)證包轉(zhuǎn)發(fā)到上級(jí)FLR服務(wù)器或進(jìn)行本地驗(yàn)證，為了達(dá)到此目的，需要對(duì)RADIUS服務(wù)器配置轉(zhuǎn)發(fā)策略。

具體配置/etc/raddb/proxy.conf 文件：

home_server flr1.edu.cn{

type=auth+acct

ipaddr = 上級(jí)FLR服務(wù)器port = 1812 proto = udp secret = 連接密鑰

}

home_server_pool Eduroam{

home_server = flr1.edu.cn }

realm upc.edu.cn{

}

realm NULL{

}

realm LOCAL{

}

realm DEFAULT{

pool =Eduroam nostrip

}

4.IdP 設(shè)置

IdP是用戶身份服務(wù)，提供本地身份認(rèn)證信息。一般情況下，每個(gè) IdP 部署的 RADIUS 服務(wù)器均指向到本地已有的用戶認(rèn)證數(shù)據(jù)庫，上層的RADIUS服務(wù)器會(huì)通過用戶賬號(hào)的格式（例如 user@realm）將用戶認(rèn)證包轉(zhuǎn)發(fā)到用戶所在的RADIUS IDP 認(rèn)證服務(wù)器，完成整個(gè)認(rèn)證過程。

RADIUS 服務(wù)器上的 IdP 認(rèn)證，可以采用本地配置文件方式，可以通過連接數(shù)據(jù)庫方式，也可以通過使用用戶認(rèn)證 LDAP 方式。

5.配置 CA

為了保障EAP正常工作，需要提供TLS服務(wù)證書，一般使用申請(qǐng)的簽名證書，當(dāng)然，使用自簽名證書也能正常工作，但用戶需要手動(dòng)信任該證書。

6.配置無線網(wǎng)絡(luò)

無線網(wǎng)絡(luò)控制器配置獨(dú)立的名稱為Eduroam的SSID，并開啟802.1X認(rèn)證，采用RADIUS認(rèn)證方式，并將RADIUS服務(wù)器指向校園級(jí)Eduroam RADIUS服務(wù)器。

Eduroam運(yùn)行情況

Eduroam于2015年5月正式開通，覆蓋青島校區(qū)辦公區(qū)大部、全部教學(xué)區(qū)、圖書館、會(huì)議室、主要室內(nèi)外公共區(qū)域。

中國石油大學(xué)（華東）無線網(wǎng)絡(luò)自2011年開始建設(shè)，經(jīng)過幾年的擴(kuò)充，截止到2015年底，AP總數(shù)量將達(dá)到4100多個(gè)，其中，學(xué)校自建數(shù)量2300個(gè)左右，與運(yùn)營商合作建設(shè)1800多個(gè)，覆蓋青島校區(qū)大部分樓宇和室內(nèi)外公共區(qū)域，根據(jù)計(jì)劃，2016年將實(shí)現(xiàn)校區(qū)的室內(nèi)外完整覆蓋。

目前，中國石油大學(xué)（華東）青島校區(qū)無線網(wǎng)自建部分發(fā)布了UPC、UPC-Mobile、Eduroam三個(gè)SSID，其中，UPC、UPC-Mobile為本校校園網(wǎng)用戶提供服務(wù)，使用Web和802.1X認(rèn)證模式，可以訪問互聯(lián)網(wǎng)；Eduroam為無線漫游用戶提供服務(wù)，采用802.1X認(rèn)證模式，禁止本校校園網(wǎng)用戶登錄。與運(yùn)營商合作建設(shè)的校園無線網(wǎng)絡(luò)全部分布在學(xué)生宿舍樓，SSID統(tǒng)一為CMCC-EDU，必須是本校校園網(wǎng)用戶才能登錄使用。

中國石油大學(xué)（華東）校內(nèi)用戶Eduroam賬號(hào)來源于學(xué)?；A(chǔ)數(shù)字平臺(tái)，所有師生在入校注冊(cè)身份信息時(shí)得到的學(xué)工號(hào)和密碼即自動(dòng)成為Eduroam的登錄賬號(hào)與密碼，無需繳納任何費(fèi)用。

Eduroam于2015年5月正式開通，覆蓋青島校區(qū)辦公區(qū)大部、全部教學(xué)區(qū)、圖書館、會(huì)議室、主要室內(nèi)外公共區(qū)域。

自開通至10月中旬5個(gè)月的時(shí)間內(nèi)，Eduroam共計(jì)接收認(rèn)證請(qǐng)求1243314次，其中認(rèn)證通過13334次，拒絕1230011次，校外用戶有效接入賬號(hào)106個(gè)，本校用戶在校外漫游登錄有效賬號(hào)38個(gè)。根據(jù)運(yùn)行拒絕日志分析，認(rèn)證拒絕的賬號(hào)98%以上是本校校園網(wǎng)用戶，這與采取本校用戶不允許登錄Eduroam的策略及該策略宣傳不到位有很大的關(guān)系。

根據(jù)現(xiàn)有的運(yùn)行情況和用戶反饋的信息分析，Eduroam在國內(nèi)高校存在如下問題：

1.國內(nèi)高校用戶對(duì)Eduroam不熟悉，很多用戶不清楚、不了解Eduroam，甚至包括部分已經(jīng)開通Eduroam的高?；蚩蒲袡C(jī)構(gòu)的用戶。

2.由于各高校無線網(wǎng)建設(shè)模式不一致，導(dǎo)致Eduroam開通存在一定的障礙，如學(xué)校自建網(wǎng)絡(luò)的很容易開通，但與運(yùn)營商合作建設(shè)的無線網(wǎng)絡(luò)開通Eduroam存在一定的問題。

3.Eduroam漫游系統(tǒng)所使用的FreeRADIUS軟件在諸如計(jì)費(fèi)、日志、管理等方面界面非常不友好，導(dǎo)致管理維護(hù)比較困難，影響網(wǎng)絡(luò)管理人員的積極性。另外，Eduroam賬號(hào)的格式和加密協(xié)議等要求，導(dǎo)致與校園網(wǎng)身份信息庫或網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)進(jìn)行對(duì)接中可能會(huì)存在意料之外的問題。

雖然當(dāng)前國內(nèi)大陸地區(qū)發(fā)展較晚，但Eduroam能解決無線網(wǎng)絡(luò)國內(nèi)外漫游的問題，隨著對(duì)Eduroam認(rèn)識(shí)的加深，國內(nèi)高校將重視無線網(wǎng)絡(luò)漫游在學(xué)校發(fā)展中的重要性，并逐步開通Eduroam網(wǎng)絡(luò)，為高校間學(xué)術(shù)交流提供更加方便的無線網(wǎng)絡(luò)接入服務(wù)。

（中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心）