馬健

摘要：無線網(wǎng)絡(luò)是目前各大高校骨干網(wǎng)絡(luò)建設(shè)后的主要建設(shè)項目之一，因為無線上網(wǎng)具有比傳統(tǒng)網(wǎng)絡(luò)連接方式很大的便利性，但是在移動認(rèn)證上具有一定的挑戰(zhàn)，也是高校校園內(nèi)規(guī)劃網(wǎng)絡(luò)時主要衡量的因素，該文提出了以web-based并以使用者身份認(rèn)證基礎(chǔ)的研究，采用Linux、PHP/MYSQL、IPTables等技術(shù)，避免權(quán)限設(shè)置問題，并運(yùn)用到高校的校園網(wǎng)絡(luò)環(huán)境，為今后其他高校使用無線網(wǎng)絡(luò)提供了方案策略。

關(guān)鍵詞：網(wǎng)絡(luò)認(rèn)證；無線網(wǎng)絡(luò)；IPTables；

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）13-0041-02

1 前言

隨著科技的發(fā)展，網(wǎng)絡(luò)在社會中的普及，從有線網(wǎng)絡(luò)到隨處可以上網(wǎng)的無線網(wǎng)絡(luò)，上網(wǎng)人數(shù)在不斷增加，尤其是在校園資源有限，人數(shù)增多的情況下，網(wǎng)絡(luò)管理人員如何將提供給廣大師生優(yōu)質(zhì)是網(wǎng)絡(luò)信號進(jìn)行服務(wù)，避免資源浪費，除了應(yīng)用網(wǎng)絡(luò)設(shè)備之外，必須建立全方位網(wǎng)絡(luò)管理系統(tǒng)，促進(jìn)管理者維護(hù)網(wǎng)絡(luò)效能策略的提高。

在校園內(nèi)部，由于每年學(xué)生人數(shù)的不斷增加，學(xué)生上網(wǎng)需要不斷加大，而且上網(wǎng)時間較長，對于目前校園內(nèi)使用的IPv4網(wǎng)絡(luò)已經(jīng)出現(xiàn)不能滿足校園網(wǎng)絡(luò)的需求，因此，為了能夠解決此問題，適度的使用網(wǎng)絡(luò)資源，建立一個無線的網(wǎng)絡(luò)系統(tǒng)并進(jìn)行無線認(rèn)證是迫在眉睫。

本文通過Web based 認(rèn)證系統(tǒng)來取代原有的MAC的方式，全校的師生只要通過輸入自己的賬號和密碼就能上網(wǎng)，這樣操作簡單，而且即使有外來人員，也可以單獨開發(fā)一個賬號進(jìn)行上網(wǎng)[1]，這樣方便學(xué)校對賬號進(jìn)行管理，學(xué)生和教師進(jìn)行認(rèn)證必須通過學(xué)校提供的名單進(jìn)行實名認(rèn)證，這樣不僅僅解決上網(wǎng)問題，還可以對網(wǎng)絡(luò)信息和網(wǎng)絡(luò)資源等進(jìn)行跟蹤，挖掘出上網(wǎng)者的上網(wǎng)時間和模式等情況。

2 無線網(wǎng)絡(luò)的研究

目前無線網(wǎng)絡(luò)管理主要是通過網(wǎng)絡(luò)監(jiān)控鎖MAC技術(shù)及采用的EAP等認(rèn)證方式，大多數(shù)使用者都是采用的MAC模式，[2]網(wǎng)絡(luò)管理人員對其管理比較繁瑣，而EAP是目前IEEE802.1X

所制定的標(biāo)準(zhǔn)，是可以加密的協(xié)議，通過RADIUS服務(wù)器來對使用者進(jìn)行集中管理，使用者必須通過認(rèn)證方可上網(wǎng)。

EAP的優(yōu)點是它可以和學(xué)校的賬號密碼相結(jié)合，并且還可以在分校區(qū)進(jìn)行跨網(wǎng)合作，無論是哪個校區(qū)，都可以使用無線網(wǎng)絡(luò)，網(wǎng)絡(luò)的服務(wù)器可以是互相連通的[3]。但是目前EAP不是普遍使用的技術(shù)，有些網(wǎng)卡不能支持EAP的認(rèn)證方式，所以需要購買無線網(wǎng)卡。

本文在兩種無線認(rèn)證的方式為基礎(chǔ)開發(fā)了一套以web based為基礎(chǔ)，利用linux IPTables 及LDAP的網(wǎng)絡(luò)環(huán)境認(rèn)證管理系統(tǒng)，進(jìn)行人性化、方便操作的認(rèn)證系統(tǒng)。

3 校園WLAN系統(tǒng)架構(gòu)

本文結(jié)合校園WLAN的實際情況，將校園內(nèi)部網(wǎng)絡(luò)欲對外連線的封包全部擋下，并轉(zhuǎn)向至linux server的 80端口，如圖1所。使用者需要通過認(rèn)證后才能上網(wǎng)，在網(wǎng)頁關(guān)了方面我們使用PHP +MYSQL，硬件方面需要安裝兩個網(wǎng)卡，一個需要連接虛擬IP，另一個網(wǎng)卡則連接到對外的Switch上，擋虛擬Ip的封包經(jīng)過ethi進(jìn)入linux時，系統(tǒng)會因為IPTables的PREROUTING Chain 鎖定，而將封包擋下并轉(zhuǎn)向到本機(jī)的80端口，以Web based方式讓使用者進(jìn)行認(rèn)證，通過PHP 將使用者輸入的賬號密碼與LDAP的信息進(jìn)行對比[4]。當(dāng)使用者通過認(rèn)證之后，PHP會在MYSQL數(shù)據(jù)庫中存儲信息，并更改IPTables的設(shè)定，讓使用者能夠上網(wǎng)，最后經(jīng)過Source NAT連接出去。

為了維護(hù)網(wǎng)絡(luò)資源，我們使用了一個機(jī)制，系統(tǒng)會根據(jù)網(wǎng)絡(luò)管理人員所設(shè)定的時間去偵測每位上網(wǎng)者的連線情況，并根據(jù)ICMP的回應(yīng)來判斷使用者是否還在線上，如果發(fā)現(xiàn)某位上網(wǎng)者已經(jīng)連續(xù)兩次沒有回應(yīng)，此時為了避免資源的浪費，我們會將使用者自MYSQL及IPTables的名單中刪除，使用者以后再次上網(wǎng)時，必須通過認(rèn)證才能上網(wǎng)。

這些使用者信息我們將進(jìn)行保存在mysql里面，并在下面列出幾個重要設(shè)置的說明：

1）id：記錄使用者的學(xué)號；

2）login_ip ：使用者上網(wǎng)所使用的ip；

3）login_time：使用者開始上網(wǎng)的時間；

4）checked：判斷使用者是否已通過認(rèn)證；

5）idle_time：閑置次數(shù)，若使用者超過兩次會被強(qiáng)制離線。

3.1 OpenLDAP的相關(guān)設(shè)置

在建立LDAP的Entry時，我們利用cn及userpassword等相關(guān)屬性，如下列所示：

dn：cn=m303016101@stut.edu.tw，dc=stut，dc=edu，dc=tw

cn：m303016101

userpassword：{crypt}yvnAPVOWByG46

objcetClass：person

……

由于LDAP Server 存儲了全校師生的相關(guān)信息，而在進(jìn)行認(rèn)證的時候，PHP會依據(jù)使用者所輸入的賬號密碼與LDAP Server進(jìn)行對比，并傳回驗證成功或者失敗的信息，然后根據(jù)信息去處理相應(yīng)的操作。

3.2 IPTables 的相關(guān)設(shè)置

在PREROUTING Chain 的設(shè)置部分如下所示：

Iptables-A RPEROUTING-t nat-p tcp-j

REDIRECT—to-port 80

Iptables-A PREROUTING –t nat-p udp-j

REDIRECT—to-port 80

由于PREROUTING Chain 是內(nèi)部網(wǎng)絡(luò)封包最先進(jìn)來的地方，所以我們在此將尚未通過認(rèn)證的使用者攔下，并轉(zhuǎn)向至本機(jī)的80 端口，以便進(jìn)行認(rèn)證操作，而使用者通過認(rèn)證時，系統(tǒng)便會再次更改PREROUTING Chain 的規(guī)則，讓使用者在后續(xù)上網(wǎng)的部分不會因鎖定而無法上網(wǎng)。使用者通過認(rèn)證在PREROUTING Chain 的部分命令如下所示：

Iptables-I PREROUTING - t nat-s 使用者IP/32-j

ACCEPT

上述指令將置于PREROUTING Chain 的最前面，所以通過認(rèn)證的IP不會受到REDIRECT設(shè)定的影響，而使用者的IP會為虛擬IP時，則通過PREROUTING Chain的設(shè)定使其轉(zhuǎn)化為合法IP。認(rèn)證系統(tǒng)的流程圖如圖2所示。

4 結(jié)束語

本文提出校園可行的無線網(wǎng)絡(luò)認(rèn)證方式，系統(tǒng)設(shè)計理念上完全使用開發(fā)原始碼的軟件，而對于使用者來說，僅需要在第一次上網(wǎng)使用瀏覽器時，認(rèn)證系統(tǒng)會自動將其引導(dǎo)相關(guān)的認(rèn)證網(wǎng)頁界面上，來進(jìn)行使用者賬號確認(rèn)的操作。而且我們還可以利用所取得的信息來進(jìn)一步分析使用者的上網(wǎng)行為，為以后網(wǎng)絡(luò)管理提供數(shù)據(jù)參考。

參考文獻(xiàn)：

[1] 楊秀梅， 鄭劍. 校園無線網(wǎng)部署方案研究[J]. 華東師范大學(xué)學(xué)報， 2015（S1）.

[2] 馬帥營， 魏金良， 阿古達(dá)木. 基于細(xì)粒度標(biāo)簽的校園無線網(wǎng)彈性qos優(yōu)化[J]. 大連民族學(xué)院學(xué)報， 2015，17（5）.

[3] 李玉平. 淺談高校校園無線網(wǎng)規(guī)劃與建設(shè)[J]. 齊齊哈爾工程學(xué)院學(xué)報， 2012， 6（4）.

[4] 李巍， 王琪全， 陳鑫瑋. 面向校園無線網(wǎng)的位置服務(wù)系統(tǒng)[J]. 中山大學(xué)學(xué)報， 2009（48）.