徐雷

摘要：無線網(wǎng)絡(luò)技術(shù)在給我們便捷性同時(shí)帶來安全風(fēng)險(xiǎn)，隨著單位里對wifi技術(shù)認(rèn)知的加深，移動智能設(shè)備的普及量加大，及新媒體、APP技術(shù)的利用都在日益擴(kuò)大，不僅僅有安全認(rèn)證方面的問題，在wifi覆蓋和用戶認(rèn)證體驗(yàn)上的優(yōu)化需要，無線地址段的使用，同時(shí)使用時(shí)設(shè)備容量的問題都是亟須解決的，后期新增設(shè)備布局的問題，新老wifi技術(shù)的兼容，大量用戶，不同樓層間的游離用戶穩(wěn)定性都對我不久之前剛建立的認(rèn)證體系形成了很大的挑戰(zhàn)。

關(guān)鍵詞：RADIUS；無線網(wǎng)；安全驗(yàn)證；MAC綁定

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）18-0047-02

1系統(tǒng)問題產(chǎn)生背景

1.1無線入網(wǎng)系統(tǒng)初期運(yùn)行狀態(tài)

1.1.1原有系統(tǒng)描述

我在前幾年建設(shè)的安徽報(bào)業(yè)大廈一套可以辨別用戶的優(yōu)先保障正常工作附帶安全管理的無線網(wǎng)絡(luò)安全管控系統(tǒng)，具備安全高效低成本的特征。在安全管理上，避免了沒有申報(bào)授權(quán)用戶接入訪問網(wǎng)絡(luò)，即使有人可以破解無線網(wǎng)連接的秘鑰等驗(yàn)證接入了無線網(wǎng)也不能訪問內(nèi)網(wǎng)資源，干擾不到其他無線終端；使用了綁定用戶密碼和MAC地址等措施，當(dāng)一個(gè)用戶在首次成功登錄后即在服務(wù)器和設(shè)備上綁定，在我們的無線網(wǎng)中這臺設(shè)備就用不了其他用戶密碼登錄，這個(gè)用戶密碼也不能用在其他設(shè)備上了。在無線設(shè)備的選擇上，對AP和終端也沒有特別要求，只要是可配置的AP和支持wifi功能的終端都可以使用。在實(shí)用性上，配置簡單快捷，利用原有設(shè)備，不需專業(yè)服務(wù)器，低成本實(shí)現(xiàn)，相比較以前無驗(yàn)證開放式連接而言快速高效地解決了前期無線網(wǎng)絡(luò)安全管控問題。

1.1.2原有認(rèn)證步驟流程

原有辦法是我們的用戶首先通過辦公系統(tǒng)申請固定賬號或者臨時(shí)用戶申請，通過秘鑰連接無線信號后再使用用戶名密碼的方式認(rèn)證，最終在服務(wù)器端通過并綁定。

1.2產(chǎn)生的主要問題

在整個(gè)系統(tǒng)搭建完成后，初期運(yùn)行良好，所有移動辦公和娛樂用戶都按本系統(tǒng)設(shè)計(jì)預(yù)期連接并完成認(rèn)證，效果很好，出現(xiàn)過一些認(rèn)證頁面和信號強(qiáng)度方面的問題，也都解決了。但是運(yùn)行一年左右，隨著應(yīng)用方面的擴(kuò)大，申請賬號的增多，很多用戶陸續(xù)產(chǎn)生了每天需要輸入認(rèn)證很多次或者連接報(bào)錯(cuò)的故障，重復(fù)輸入給用戶造成很大的使用困難往往是用戶外出、經(jīng)過電梯都會出現(xiàn)問題，還有用戶直接連接不上，同時(shí)給管理人員帶來很大的工作量。常見以下幾種問題：

1）外出后常出現(xiàn)IP、地址mac不允許；

2）上下樓后經(jīng)常發(fā)生Ip已登錄；

3）待機(jī)后重新點(diǎn)亮移動設(shè)備的屏幕有時(shí)出現(xiàn)不允許多人同時(shí)登錄。

如圖2：

2 問題排查及方案選擇

2.1故障問題測試

針對故障以上問題我們發(fā)現(xiàn)分布在不同的樓層，各種無線設(shè)備下均有發(fā)生，而且有越來越多的趨勢，通過以下步驟：首先我們設(shè)定測試賬號；準(zhǔn)備不同系統(tǒng)的幾臺無線設(shè)備；每臺設(shè)備通過測試賬號登陸；新建測試無線信號新的ip段。

經(jīng)過反復(fù)登陸注銷，有幾個(gè)發(fā)現(xiàn)：在原有無線ssid信號中不同時(shí)間設(shè)備獲取地址會發(fā)生變化、登陸后在樓層間移動一段時(shí)間設(shè)備會斷網(wǎng)并重新彈出認(rèn)證、還有部分首次通過上網(wǎng)過幾分鐘后斷開認(rèn)證也彈不出入網(wǎng)頁面，每臺設(shè)備都出現(xiàn)這些問題。在我們新建ssid信號中設(shè)備連接后很穩(wěn)定，移動、待機(jī)、重連之后都沒有出現(xiàn)問題。

2.2定位故障找出解決辦法

通過測試我開始考慮是不是信號源出了問題，檢查配置和后來建立的測試完全一樣，除了網(wǎng)段和網(wǎng)段里在線的IP地址，登錄核心網(wǎng)關(guān)查看正在使用出問題的這個(gè)信號使用的IP數(shù)：

在這個(gè)網(wǎng)段中地址幾乎使用完，測試的地址段不用看了，剛建立的，也就是測試的幾臺地址。

我們這個(gè)無線系統(tǒng)設(shè)計(jì)初衷是安全、快捷，綁定區(qū)分每位用戶并隔離，開始一百多個(gè)用戶，我們預(yù)定可分配網(wǎng)段地址是一個(gè)C類地址段，當(dāng)使用幾年后用戶已經(jīng)超過三百人，目前已設(shè)定賬戶的用戶超過六百人，

在測試過程中發(fā)現(xiàn)的地址問題首先我們在綁定是用的mac地址綁定，但在網(wǎng)絡(luò)轉(zhuǎn)發(fā)時(shí)其實(shí)用的還是ip地址，如上圖5在外網(wǎng)網(wǎng)關(guān)上顯示的還是ip地址名稱，當(dāng)在設(shè)備上設(shè)定固定靜態(tài)地址時(shí)，終端相對穩(wěn)定的時(shí)間要長些，我們在交換機(jī)上設(shè)立的dhcp，在查看是發(fā)現(xiàn)一臺設(shè)備地址分配的情況

可以確定的是由于用戶地址發(fā)生變化導(dǎo)致一系列故障的產(chǎn)生，地址短缺發(fā)生地址變化和獲取不到地址時(shí)自然就出現(xiàn)上面的故障了并且由于地址數(shù)小于賬號數(shù)，不能設(shè)定長期的租約。最終問題明確了雖然沒有ip地址綁定，但在賬號數(shù)增長的情況下需要固定地址并保證長期不變。

2.3優(yōu)化方案構(gòu)思

我們的無線入網(wǎng)需要改變，一個(gè)必要的條件就是現(xiàn)有連接用戶端盡可能不改變連接入網(wǎng)方式及習(xí)慣，還有我們沒有大幅度調(diào)整設(shè)備的條件。

1）首先想到多增加幾個(gè)網(wǎng)段，每個(gè)從vlan44-vlan48每個(gè)地址段分布1至2個(gè)樓層，如下

在考慮后發(fā)現(xiàn)，必須能夠保證這些樓層的用戶互相之間都不能跨太多樓層，不然同一個(gè)用戶進(jìn)入其他樓層進(jìn)入不同vlan變了地址還是會重新入網(wǎng)一次，只能緩解基本靜止?fàn)顟B(tài)的用戶。

2）又想根據(jù)不同部門分配不同的地址段和無線信號，實(shí)際測試了一個(gè)樓層，工作量比較大，每臺設(shè)備AP上都要登入全新配置，配置全部不同，在技術(shù)實(shí)施上也出現(xiàn)了問題，很多部門分散，有樓層部門超過5個(gè)，而有AP一個(gè)radio下只能綁4個(gè)信號源，直接就不能滿足，不過在測試的樓層確實(shí)運(yùn)行良好，在以后升級Ap，使用AC控制器瘦Ap方式下也是一個(gè)辦法。

3）最后只有擴(kuò)大地址段的辦法，在企業(yè)網(wǎng)中用的多的都是C類地址段，擴(kuò)大使用一個(gè)B了真怕有廣播風(fēng)暴，考慮最多1000個(gè)地址并且這些地址并不同時(shí)在線，在無線上做了無線隔離，無線ip互相不能訪問，每個(gè)匯聚口都配置了廣播抑制30%，再加上匯聚上行萬兆上行，可以保障數(shù)據(jù)正常。先期增加地址辦法采用的是直接在核心8512交換機(jī)上把DHCP地址池改大，

network 192.168.19.0 mask 255.255.255.0改為network 192.168.19.0 mask 255.255.254.0，并加入租約限制expired day 365，在進(jìn)行現(xiàn)場模擬測試時(shí)發(fā)現(xiàn)認(rèn)證不理想，用戶更換手機(jī)及保留地址時(shí)設(shè)置管理很不方便，這是一項(xiàng)經(jīng)常變動的配置在用戶數(shù)多的情況下增加管理難度，后考慮操作采用微軟自帶DHcp服務(wù)器，在配置管理方面可視化選擇配置方便管理；

4）還有賬號增加的問題，前期設(shè)計(jì)系統(tǒng)時(shí)使用的是一個(gè)免費(fèi)第三方Radius軟件，賬號權(quán)限管理和賬號數(shù)量上在現(xiàn)在已經(jīng)不再適用，考慮管理及兼容配置上采用windows配置Radius服務(wù)器。

3 改進(jìn)系統(tǒng)設(shè)計(jì)及實(shí)施步驟

3.1總體設(shè)計(jì)流程

新改進(jìn)的無線入網(wǎng)機(jī)制和前期基本原理一致，沒有增加終端用戶的配置難度，

移動終端輸入正確的無線秘鑰連接之后獲取dhcp分配的地址，當(dāng)?shù)谝淮芜B接外部網(wǎng)絡(luò)會打開驗(yàn)證，輸入用戶名和密碼后連接到Radius服務(wù)器上驗(yàn)證，當(dāng)驗(yàn)證無誤綁定用戶并提示通過訪問外部網(wǎng)絡(luò)。

3.2網(wǎng)段規(guī)劃分配

在地址段規(guī)劃上有兩個(gè)方面的考慮，開始升級時(shí)考慮多個(gè)C類網(wǎng)段，通過在每兩個(gè)樓層分配一個(gè)C類地址，在用戶連接數(shù)量需求上可以滿足，無線信號保持一致，連接便捷度上也不會有問題，分樓層實(shí)施后出現(xiàn)兩個(gè)情況很少一部分用戶長期在本樓層用后再到其他樓層使用，這個(gè)過程中綁定信息會重復(fù)，用戶需要點(diǎn)確定在體驗(yàn)上會有操作的重復(fù)性；最后還是決定擴(kuò)大地址段容量，使用一個(gè)B類地址，按照每用戶2個(gè)移動終端可分配地址數(shù)大致兩千左右，賬號對固定IP地址的對應(yīng)，不是同時(shí)在線，預(yù)先劃分地址段vlan52，分配192.168.48.0/255.255.252.0子網(wǎng)，加入防火墻

并在核心上配置網(wǎng)關(guān)

interface Vlan-interface52

ip address 192.168.48.2 255.255.248.0

ip relay address 192.168.18.77

dhcp select relay

vrrp vrid 52 virtual-ip 192.168.48.1

vrrp vrid 52 priority 150

vrrp vrid 52 timer advertise 5

3.3驗(yàn)證加密設(shè)置

檢查設(shè)備數(shù)據(jù)時(shí)發(fā)現(xiàn)，連接的無線設(shè)備的ip地址數(shù)量有時(shí)會大于認(rèn)證賬號，前幾年為了一些陳舊終端的連接，所有無線AP設(shè)置的使用wep方式，只有信息中心使用的無線信號實(shí)現(xiàn)了wpa2方式，一直都有隱患，WEP是802.11 1999中提到的加密協(xié)議。是一種rc4算法 CRC進(jìn)行效驗(yàn)和計(jì)算，弱IV和CRC機(jī)制的問題。不論是64還是128位加密的WEP密碼，某些工具很有可能破解，我們決定采用WPA2方式，WPA2是WiFi聯(lián)盟驗(yàn)證過的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，安全性更強(qiáng)、更適合應(yīng)用在無線局域網(wǎng)環(huán)境的加密協(xié)定，針對現(xiàn)有的幾種設(shè)備配置如下：

無線Ap1208型號的配置

vlan 52

#

ssid phone

set vlan 52

bind domain system

encryption suite ccmp

encryption suite tkip

authentication psk ascii ******

security-mode wpa2

無線Ap2620的配置

vlan 52

#

wlan service-template 4 crypto

ssid phone

cipher-suite ccmp

security-ie rsn

service-template enable

#

interface WLAN-BSS14

port access vlan 52

port-security port-mode psk

port-security tx-key-type 11key

port-security preshared-key pass-phrase cipher *******

無線Ap6010的配置

vlan batch 52

#

interface Wlan-Bss2

port hybrid pvid vlan 52

port hybrid untagged vlan 52

#

wlan

wmm-profile name phonewmm id 2

traffic-profile name phonetraffic id 2

security-profile name phonesecurity id 2

security-policy wpa-wpa2

wpa-wpa2 authentication-method psk pass-phrase cipher ****** encryption-method ccmp

service-set name phone id 2

Wlan-Bss 2

ssid phone

traffic-profile id 2

security-profile id 2

radio-profile name phoneradio id 2

wmm-profile id 2

3.4認(rèn)證服務(wù)器設(shè)置

在認(rèn)證上我沿用了上次的Radius，是因?yàn)镽ADIUS協(xié)議簡單明確，可擴(kuò)充，并且由于上次使用第三方radius軟件，在賬號管理和賬號數(shù)量上已經(jīng)不能滿足現(xiàn)在需求，使用windows2008搭建radius 服務(wù)器在兼容性和賬戶安全設(shè)置、數(shù)量上都是比第三方軟件易用。

3.5地址服務(wù)器指向及配置

在交換機(jī)上配置Dhcp服務(wù)器針對大用戶量和地址管理已經(jīng)捉襟見肘，單獨(dú)使用DHCP服務(wù)器的優(yōu)勢明顯，這些被分配的IP地址都是DHCP服務(wù)器預(yù)先保留的一個(gè)由多個(gè)地址組成的地址集，可以指定通用和特定子網(wǎng)的TCP/IP參數(shù)，并且可以定義使用保留地址的客戶機(jī)的參數(shù)。使用DHCP服務(wù)器能大大減少配置花費(fèi)的開銷和重新配置的時(shí)間，服務(wù)器可以在指派地址租約時(shí)配置所有的附加配置值。可以固定移動端使用的IP，在再次啟動客戶機(jī)時(shí)，DHCP服務(wù)器會自動為客戶機(jī)配置同樣的IP。當(dāng)用戶更換手機(jī)，需要重新綁定，可以方便快遞地找到需要?jiǎng)h除的綁定信息，更大程度的節(jié)約管理成本。

在本次實(shí)現(xiàn)動態(tài)分配采用DHcp relay方式配置，即在網(wǎng)關(guān)交換機(jī)192.168.1.2上配置relay語句，

interface Vlan-interface52

dhcp select relay

大部分設(shè)備可以轉(zhuǎn)發(fā)DHCP配置請求，因此，只需要配置一臺DHCP服務(wù)器滿足多個(gè)信號的使用。

4 改進(jìn)后系統(tǒng)效果

經(jīng)過以上各聯(lián)動系統(tǒng)設(shè)備的統(tǒng)一配置后，上線測試用戶認(rèn)證通過并穩(wěn)定訪問，沒有出現(xiàn)過用戶入網(wǎng)訪問故障，安全性上沿用賬號密碼的認(rèn)證并綁定，安全協(xié)議上也從原先部分wep升級全部使用wpa2，安全級別得到了進(jìn)一步的加強(qiáng)，在賬號管理、地址管理、變動、用戶使用穩(wěn)定性上都得到提升。在未來我們的設(shè)備如能統(tǒng)一fitAp并使用無線控制器，根據(jù)無線使用的場景個(gè)性布局的話，信號覆蓋更全，利用現(xiàn)有入網(wǎng)流程會更有利。

參考文獻(xiàn)：

[1] 張磊，王輝. 無線局域網(wǎng)安全協(xié)議研究[J].通信技術(shù)，2011（9）.

[2] 鄔平杰.基于DHCP的網(wǎng)絡(luò)IP地址管理[J].中國新技術(shù)新產(chǎn)品，2009（15）.

[3] 孫健，鐵玲，諸鴻文. 基于口令的無線局域網(wǎng)安全管理協(xié)議[J].計(jì)算機(jī)工程，2004（9）.