摘要:隨著教育信息化建設加快推進���,各中小學校數字化校園硬件和軟件系統(tǒng)也得到了不斷完善,在辦公及學習區(qū)域都有一定數量的無線AP, 方便老師移動辦公和學生的數字化學習�。但無線網絡相對于有線網絡沒有固定邊界��,在沒有任何安全策略情況下只要進入無線覆蓋范圍內就可以關聯(lián)無線�,存在身份無法確認的巨大安全隱患����。同時數據通過電磁波進行傳輸����,黑客可以通過無線抓包軟件探測周圍無線數據報文,數據傳輸同樣存在安全隱患��。本文給出一種基于802.1x協(xié)議的校園網無線認證方法,并闡述了其實現(xiàn)步驟���。
一��、現(xiàn)狀與需求分析
隨著智能終端的普及��,接入校園網絡的終端類型正在逐漸發(fā)生變化����。智能終端需要通過3G���、GPRS�����、WIFI接入Internet網絡����。但目前3G、GPRS上網資費較貴��,所以WIFI成為校園網中智能終端的主要接入方式��。為了保障無線網絡及用戶數據傳輸的安全�,需要對接入終端身份進行校驗,同時對傳輸數據進行加密。
校園網中常見的無線身份驗證方式為:預共享密鑰的方式�、Portal方式(WEB認證)��。
(1)預共享密鑰:學校網絡管理員提前配置無線安全密鑰�,用戶接入網絡時輸入提前配置的密鑰進行身份驗證。由于密鑰為靜態(tài)管理方式�,如果該密鑰泄露,將失去用戶身份驗證的作用����,該方式在大型無線網絡中已經很少使用。
(2)Portal方式:用戶使用瀏覽器進行認證(WEB認證)��,不存在系統(tǒng)兼容性的問題����,但是用戶每次接入網絡都需要打開瀏覽器進行一次Portal認證���,如果每次都需要進行Portal認證將大大降低用戶的無線體驗。
根據老師們使用習慣和應用場景分析�,能不能給我們的老師提供一種快速“無感知”的接入方式,即終端進入無線覆蓋范圍內即可自動連接無線網絡�����,不再需要輸入用戶名���、密碼或者預共享密鑰等信息即可完成終端身份識別���。化繁為簡的“無感知”接入��,讓用戶幾乎忘了自己是如何上網的,同時安全性卻絲毫沒有妥協(xié)�����,網絡管理員依然可以做到最為安全的無線網絡接入�。
二、802.1x無感知認證價值描述
無感知認證的方案有:基于802.1x無感知認證��,基于MAC無感知認證。本文主要討論基于802.1x的無感知認證��。
市場上大部分智能終端都支持802.1x認證功能�����,802.1x技術為企業(yè)級的網絡提供了安全和便捷的解決方案���。用戶希望接入無線網絡時只需要首次進行認證信息配置��,后續(xù)用戶只要進入無線信號覆蓋范圍內即可自動完成認證�。
802.1x協(xié)議規(guī)定在完成認證之前是不允許信息交互的���,因此手持終端與AC在認證之前只能通過802.1x協(xié)議規(guī)定的EAP(Extensible Authentication Protocol����,可擴展認證協(xié)議)幀交換認證信息��。目前大多數手持終端都支持基于802.1x的EAP認證����,輸入相應的用戶名密碼�����,即可自動完成認證,這種方式稱為EAP-PEAP���,即Protected-EAP(受保護的可擴展的身份驗證協(xié)議)�����。已被Wi-FI聯(lián)盟WPA和WPA2批準的有兩個子類型:PEAPV0-MSCHAPV2和PEAPV1-GTC���。又由于PEAP是一個框架協(xié)議,目前業(yè)界使用最廣的是由微軟提出的PEAP-MSCHAPV2協(xié)議����,又被稱作MS-PEAP,也就是我們在iPhone上看到的WPA/WPA2企業(yè)級認證方式���。
PEAP是可擴展的身份認證協(xié)議�,認證過程分為兩個階段��,第一階段終端與Radius服務器之間建立TLS隧道��,通過TLS保護第二階段用戶信息的交互���;第二階段完成認證方式的協(xié)商及用戶身份的認證��。常見的PAEP認證方式有兩種:PEAP-MSCHAPV2�、PEAP-GTC。從技術角度而言��,PEAP-MSCHAPV2技術是大部分移動終端都支持的無線認證協(xié)議���,該協(xié)議將用戶的認證信息在PEAP保護下傳輸��,且用戶密碼無法被解密而被竊取��。所以PEAP-MSCHAPV2成為大部分無線項目主推的認證方式���。
三、基礎網絡部署
802.1x無感知認證采用標準的PEAP方式進行認證�,該功能不是銳捷特有的功能,下面只是以銳捷網絡設備為例���。
1.網絡設備
三層核心交換機SW1(S8606),二層接入交換機SW2(S2900),無線AP(RG-AP320-I),無線AC控制器(RG-WS5302)�����,RG-ESS或RG-SMP認證系統(tǒng)。
2.網絡拓撲
網絡拓撲如圖1所示�����,其功能介紹如表1所示�����。
圖1 網絡拓撲
表1 功能介紹
|
序號
|
功能規(guī)劃
|
內容
|
|
1
|
AP設備VLAN 10
|
192.168.10.0/24 AP設備網關在核心
|
|
2
|
AP用戶VLAN 20
|
192.168.20.0/24 無線用戶網關在核心
|
|
3
|
AC和核心互聯(lián) VLAN 30
|
核心:192.168.30.1/30
AC:192.168.30.2/30
|
|
4
|
AC環(huán)回地址
|
Lo0:192.168.254.254/32
|
|
5
|
RG-ESS/SMP地址
|
192.168.100.100/24
|
|
6
|
無線用戶SSID
|
802.1x無感知認證:ruijie-802.1x
|
(1)在上面的網絡中使用了無線AC本地轉發(fā)部署模式�����。通常情況下無線用戶所有流量都需要先經過AC才能進行轉發(fā)�����,這種集中轉發(fā)的模型有可能會改變客戶的流量模型�,客戶希望無線用戶流量不走AC直接通過AP進行轉發(fā),這就是本地轉發(fā)功能��。AC只做控制不參與用戶數據轉發(fā)��,減輕了AC負擔���。
(2)無線用戶網關位于核心交換機����,無線用戶數據報文由AP完成802.11到802.3轉化。接入交換機和AP互聯(lián)接口配置為trunk��,native vlan修改為AP設備vlan����,只放通無線用戶vlan和AP vlan。
3.配置要點
(1)核心交換機SW1的配置
創(chuàng)建ap vlan 10��、用戶vlan 20�����、AC與核心交換機(SW1)互聯(lián)的vlan 30:
SW1>enable //進入特權模式
SW1#configure terminal //進入全局配置模式
SW1(config)#vlan 10 //ap的vlan
SW1(config-vlan)#vlan 20 //用戶的vlan
SW1(config-vlan)#vlan 30 //AC與核心交換機(SW1)互聯(lián)的vlan
配置接口和接口地址:
SW1(config)# interface GigabitEthernet 0/1 //與AC互聯(lián)的接口配置為trunk
SW1(config-if-GigabitEthernet 0/1)#switchport mode trunk
SW1(config)#interface vlan 10 //配置ap網關地址
SW1(config-if-VLAN 10)# ip address 192.168.10.1 255.255.255.0
SW1(config)#interface vlan 20 //無線用戶的網關地址
SW1(config-if-VLAN 20)# ip address 192.168.20.1 255.255.255.0
SW1(config)#interface vlan 30 //和AC互聯(lián)地址,子網掩碼30位
SW1(config-if-VLAN 30)# ip address 192.168.30.1 255.255.255.252
地址池相關配置��,給AP和無線用戶分配地址:
SW1(config)#service dhcp //開啟DHCP服務
SW1(config)#ip dhcp pool ap //創(chuàng)建DHCP地址池�����,名稱是ap
SW1(dhcp-config)#option 138 ip 192.168.254.254 //配置option字段��,指定AC的地址���,即AC的loopback 0地址
SW1(dhcp-config)#network 192.168.10.0 255.255.255.0 //分配給ap的地址
SW1(dhcp-config)#default-route 192.168.10.1 //分配給ap的網關地址
SW1(config-dhcp)#exit
SW1(config)#ip dhcp pool ap_user //無線用戶DHCP地址池���,名稱是ap_user
SW1(dhcp-config)#network 192.168.20.0 255.255.255.0 //分配給無線用戶的地址
SW1(dhcp-config)#default-route 192.168.20.1 //分給無線用戶的網關
SW1(dhcp-config)#dns-server 8.8.8.8 //分配給無線用戶的dns
注意:AP的DHCP中的option字段和網段、網關要配置正確����,否則會出現(xiàn)AP獲取不到DHCP信息導致無法建立隧道。
配置靜態(tài)路由:
指明到達AC的loopback 0 的路徑, AC環(huán)回地址使用32位掩碼��。
SW1(config)#ip route 192.168.254.254 255.255.255.255 192.168.30.2
(2)AC控制器配置
創(chuàng)建vlan:
AC(config)#vlan 10 //ap的vlan
AC(config-vlan)#vlan 20 //用戶的vlan
AC(config-vlan)#vlan 30 //AC與核心交換機(SW1)互聯(lián)的vlan
配置接口和接口地址:
AC(config)# interface GigabitEthernet 0/1 //與SW1互聯(lián)的接口配置為trunk
AC(config-if-GigabitEthernet 0/1)#switchport mode trunk
AC(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094
AC(config)# interface Loopback 0 //配置AC回環(huán)接口地址
AC(config-if-Loopback 0)#ip address 192.168.254.254 255.255.255.255
AC(config)#interface vlan 30 //配置與核心SW1互聯(lián)地址,子網掩碼30位
AC(config-if-VLAN 30)# ip address 192.168.30.2 255.255.255.252
配置默認路由:
AC(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 //192.168.30.1是核心交換機的地址
無線SSID配置:
AC(config)#wlan-config 20 ruijie-802.1x //創(chuàng)建SSID為ruijie-802.1x無線信號
AC(config-wlan)#tunnel local //開啟wlan-id 20 的本地轉發(fā)功能
無線ap-group配置��,關聯(lián)wlan-config和用戶vlan:
AC(config)#ap-group default
AC(config-ap-group)#interface-mapping 20 20 //把wlan-config 20和vlan 20進行關聯(lián)
(3)接入交換機(SW2)配置
在本地轉發(fā)模式中����,接入交換機和AP互聯(lián)接口配置為trunk,native 為AP vlan�����,只放通無線用戶vlan和AP vlan�。
SW2(config)# interface GigabitEthernet 0/2
SW2(config-if-GigabitEthernet 0/2)#switchport mode trunk
SW2(config-if-GigabitEthernet 0/2)#switchport trunk native vlan 10 //必須把AP所屬于的vlan配置為native vlan
SW2(config-if-GigabitEthernet 0/2)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094
四、802.1x認證配置
基礎網絡部署配置完成后就可以在AC控制器上配置802.1x認證�����,在RG-ESS/RG-SMP上完成相應參數的設置���,就可實現(xiàn)無感知認證上網�。
第一步:啟用802.1x AAA認證
AC(config)#aaa new-model //啟用AAA認證功能
AC(config)#aaa accounting update //開啟記賬更新
AC(config)#aaa accounting update periodic 5 //記賬更新時間間隔與SMP服務器保持一致,SMP默認為5分鐘
AC(config)#aaa accounting network acct-1x start-stop group radius //定義名為acct-1x記賬列表
AC(config)#aaa authentication dot1x auth-1x group radius //定義名為auth-1x認證列表
第二步:配置radius服務器IP及KEY
AC(config)#radius-server host 192.168.100.100 key ruijie //配置radius服務器KEY及IP
AC(config)#ip radius source-interface vlan 30 //AC使用vlan30的IP地址和radius對接
第三步:WLAN啟用802.1x
AC(config)#wlansec 20 //20為前面配置的wlan-config 20
AC(config-wlansec)#security rsn enable //啟用WPA2認證
AC(config-wlansec)#security rsn ciphers aes enable //啟用AES加密
AC(config-wlansec)#security rsn akm 802.1x enable //啟用802.1X認證
AC(config-wlansec)#dot1x accounting acct-1x //調用第一步定義的記賬列表
AC(config-wlansec)#dot1x authentication auth-1x //調用第一步定義的認證列表
第四步:配置SNMP功能
AC(config)#snmp-server host 192.168.100.100 traps version 2c ruijie
AC(config)#snmp-server enable traps
AC(config)#snmp-server community ruijie rw
第五步:其它相關配置
AC(config)#dot1x eapol-tag //AC可以處理帶Vlan Tag認證報文�,默認都需要配置
AC(config)#ip dhcp snooping //開啟dhcp snooping
AC(config)#dot1x dhcp-before-acct enable //獲取snooping表中用戶的IP地址通過記賬開始報文上傳
五、RG-ESS/RG-SMP服務器相關配置
AC控制器配置完成后就可以在RG-ESS/RG-SMP認證服務器上完成相關配置���,主要包括添加AC設備�����,添加上網帳號�。由于其配置使用的是WEB方式����,所以相對比較簡單。
第一步:在系統(tǒng)中添加無線控制器AC
添加無線設備之前需要修改無線設備模版中的相關參數如radius key��、portal key等����,這些參數是前面在AC中配置的。添加設備截圖如圖2所示��。
圖2 添加設備截圖
第二步:配置無線認證協(xié)議
打開認證參數配置��,在無線認證方式中選擇“PEAP-MSCHAP”,同時“啟用windows xp系統(tǒng)自帶客戶端無感知認證”���,然后根據實際配置無感知認證的SSID、安全類型�����、加密類型�����,以及認證協(xié)議��。
第三步:添加賬號
添加上網用戶賬號�,賬號屬于默認用戶組,不需要進行特殊設置����。
六、終端功能驗證
通過上面一系列的操作�,已經完成了802.1x無感知認證的所有關鍵配置,由于無線接入終端很多�����,下面就以ios系統(tǒng)為例進行上網驗證,Android等其它系統(tǒng)配置差不多���。
第一步:進入設置,打開無線局域網��,點擊“ruijie-802.1x”無線網絡��,如圖3所示���。
圖3 打開無線局域網截圖
第二步:在彈出的界面中輸入用戶名、密碼��,點擊加入�,如圖4所示。
圖4 輸入密碼截圖
第三步:如果彈出一張尚未驗證的證書����,點擊接受。此時界面會回到無線局域網連接的界面���,且SSID “ruijie-802.1x”前面打個勾說明鏈接成功��。
基于802.1x無感知認證確保上網安全的同時給我們用戶提供了一種快速的接入����,接入無線網絡時只需要首次進行認證信息配置,后續(xù)用戶只要進入無線信號覆蓋范圍內即可自動完成認證�����,大大提高用戶的無線體驗����。非常適合在中小學校部署使用����。學校網絡管理員要做的是開通上網帳號,對上網帳號進行有效管理和控制��。
