文/牟綜磊 任彥龍

Eduroam概述

多年來，通過實施“211工程”、“985工程”以及“優(yōu)勢學科創(chuàng)新平臺”和“特色重點學科項目”等重點建設，國家的高等教育水平有了顯著的提高，同時涌現(xiàn)一批重點高校和重點學科建設，為經(jīng)濟社會持續(xù)健康發(fā)展作出了重要貢獻。隨著信息化時代的到來，黨中央、國務院做出建設“世界一流大學”和“一流學科”的重大戰(zhàn)略決策。國內高校之間以及與國際高校之間的合作交流日趨增加，隨著相互之間合作的不斷深入，高校師生在國內和國際流動更加頻繁，訪問學者和交換生的數(shù)量不斷增長，國內國外學術研討會議日漸頻繁，對網(wǎng)絡的需求也在迅速的增長。當訪問者來校進行訪問學習時，學校需要給其建立臨時網(wǎng)絡賬號，這給學校的網(wǎng)絡管理帶來很多的不便和運維成本。全球無線漫游聯(lián)盟為了更好地解決這一問題，提出全球教育無線網(wǎng)漫游聯(lián)盟（Education roaming），簡稱Eduroam。

Eduroam的實現(xiàn)，很好地解決了高校教育機構之間跨區(qū)域學術交流，所有已加入Eduroam聯(lián)盟的機構，用戶可以使用原單位提供的網(wǎng)絡賬號，在全球范圍內連接已加入Eduroam機構的無線網(wǎng)絡。Eduroam很好地滿足了授權用戶在成員教育機構可以安全暢享無線網(wǎng)絡，從而減輕了訪問高校網(wǎng)絡的工作，提高了各項辦事效率。目前，歐美國家和日本幾乎所有大學都是Eduroam成員，我國的跨域無線漫游技術還處于發(fā)展階段，但是隨著國內外高校的交流增多，提供便利的網(wǎng)絡接入、加入Eduroam聯(lián)盟將是大勢所趨。

認證機制

Eduroam是由歐洲研究與教育協(xié)會提出的，一種應用了802.1x協(xié)議的專為研究和教育機構開發(fā)的國際無線漫游接入認證服務。Eduroam認證機制是在全球范圍內為加入的機構建立了Radius代理服務器的樹形結構，該架構主要包括下面幾部分：頂級認證服務器（TLR）、聯(lián)盟級的認證服務器（FLRS）、校園級認證服務器、級聯(lián)認證服務器、身份管理系統(tǒng)。用戶在連接到訪機構的無線網(wǎng)絡時，身份認證信息將從到訪機構的認證服務器通過上述的樹形架構傳送用戶認證信息到所在機構的認證服務器中進行身份的識別。具體認證過程如圖1所示。

圖1 Eduroam認證過程

1.當來自機構B的用戶在機構A連接無線網(wǎng)時，發(fā)起Eduroam網(wǎng)絡認證請求，機構B用戶的認證信息含有機構B的域名通過無線AP發(fā)送到Authenticator，啟動802.1x認證過程。

2.交換機將請求信息發(fā)送到機構A認證服務器，對認證信息進行判斷，將認證請求轉發(fā)到聯(lián)盟級認證服務器以及頂級認證服務器，對訪問請求信息進行判斷，如果@機構B域名屬于聯(lián)盟用戶，轉發(fā)到機構B認證服務器。

3.機構B認證服務器對請求進行認證，認證完畢將認證信息通過Radius代理服務器轉發(fā)回機構A認證服務器。

4.機構A將結果轉發(fā)到Authenticator。Authenticator對機構B用戶授權無線網(wǎng)絡。

使用特色

訪問學者和訪問學生日漸增加，國際國內相互間交流非常頻繁，學校交換生數(shù)量逐年遞增，校內師生國內外開會學習時使用網(wǎng)絡的需求也在日益增加，部署Eduroam無線漫游認證可以很好的解決以上問題，同時，我們學校根據(jù)學校實際情況，為更好地實現(xiàn)網(wǎng)絡安全和審計，搭建了扁平化網(wǎng)絡架構。

扁平化網(wǎng)絡架構設計

當前很多學校網(wǎng)絡采用三層網(wǎng)絡架構，即接入—匯聚—核心。接入至匯聚為二層鏈路，匯聚至核心為三層鏈路，為了確保終端用戶的安全接入以及網(wǎng)絡的穩(wěn)定運行，往往在接入與匯聚設備上部署特別多的完全策略，并且盡可能地簡化核心的配置，確保核心高速轉發(fā)流量（包括正常流量、異常攻擊流量、非法接入的流量）。同時，校園網(wǎng)采用上述粗放型的網(wǎng)絡架構設計，網(wǎng)絡仍然存在無法實現(xiàn)差異化服務，簡單互通，無法針對不同群體用戶實現(xiàn)不同的服務；用戶之間互相影響，網(wǎng)絡中的攻擊泛濫；無序使用，訪問過程沒有完整的記錄、審計和基于用戶的控制等諸多問題。

結合上述問題，經(jīng)過多方調研和探討，決定采用扁平化網(wǎng)絡架構設計來解決傳統(tǒng)校園網(wǎng)的問題。全新的網(wǎng)絡業(yè)務處理流程如圖2所示，可以很好地定位和溯源網(wǎng)絡用戶，解決了安全審計等問題。

對于學校未來的網(wǎng)絡發(fā)展，我們?yōu)閷W校引入了IPoE的接入方式。IPoE是一種新型的接入方式，后臺BAS在給前端每一個接入用戶分配IP地址時，BAS都將配合后臺的Radius進行相關DHCP Option信息認證，然后會在內部生成一個針對此用戶的邏輯通道DSI（Dynamic Service Interface），并可以配合認證結果在此邏輯DSI接口上下發(fā)相應的用戶策略，從而實現(xiàn)差異化的服務和精細化的管理。每個用戶的DSI通道完全獨立和隔離，換個角度而言這實際上是：“賬號—IP地址—MAC地址—DSI session ID”的綁定，任何盜用IP甚至盜用賬號的問題將不復存在，真正實現(xiàn)了PUPSPV（Per User Per Service Per VLAN）。

圖2 網(wǎng)絡業(yè)務處理流程

SSID使用隱藏式發(fā)布

Eduroam的SSID是隱藏式的發(fā)布，并沒有對全校師生進行公開。只有涉外的部門掌握Eduroam的使用方法，通知官方訪問團或交換生使用，訪客信息可控。Eduroam只是針對于來校的訪問學者和訪問學生以及到其他高校訪問的我校師生使用，并不需要面向全校師生，隱藏式發(fā)布同時可以使網(wǎng)絡更加的安全。因此，Eduroam的SSID是隱藏式的發(fā)布。

在Eduroam審計上的思考

采用扁平化網(wǎng)絡結構設計，學校實現(xiàn)了“賬號—IP地址—MAC地址—DSI session ID”的關聯(lián)，通過接入端口的采集信息，可以查詢接入用戶獲得的IP地址、終端MAC、上線準確的時間、甚至從哪個設備來、出口在哪里，這樣利于接入定位。其次，還可以通過計費系統(tǒng)進行數(shù)據(jù)的采集信息，可以記錄IP、用戶的賬號及上線的時間等。最后，通過出口日志采集到的信息與接口采集信息、計費系統(tǒng)采集信息關聯(lián)進行查詢，最終能得到哪一個用戶、在什么時候、從哪兒接入網(wǎng)絡最終去了哪里，更有效地實現(xiàn)了對網(wǎng)絡的監(jiān)控，可以分層次、分等級的多維梯次審計。另外，校園網(wǎng)絡結構的不同，對Eduroam的服務支持也會有所差異，我們的網(wǎng)絡結構支撐審計策略。

Eduroam展現(xiàn)的是一個高校的情懷，不應拒絕，而應敞開懷抱，同時，也是高校意識形態(tài)和辦學理念的一種體現(xiàn)形式，基于Eduroam無線漫游認證很好地為高校師生的訪學提供網(wǎng)絡資源。本文主要針對學校Eduroam的部署和特點的考慮做了闡述，用戶的使用體驗是Eduroam得以發(fā)展壯大的基本前提，分層級、分等級的多維梯次的審計，能更有效地控制訪客的信息。