文/牟綜磊 任彥龍

Eduroam概述

多年來，通過實施“211工程”、“985工程”以及“優(yōu)勢學(xué)科創(chuàng)新平臺”和“特色重點學(xué)科項目”等重點建設(shè)，國家的高等教育水平有了顯著的提高，同時涌現(xiàn)一批重點高校和重點學(xué)科建設(shè)，為經(jīng)濟(jì)社會持續(xù)健康發(fā)展作出了重要貢獻(xiàn)。隨著信息化時代的到來，黨中央、國務(wù)院做出建設(shè)“世界一流大學(xué)”和“一流學(xué)科”的重大戰(zhàn)略決策。國內(nèi)高校之間以及與國際高校之間的合作交流日趨增加，隨著相互之間合作的不斷深入，高校師生在國內(nèi)和國際流動更加頻繁，訪問學(xué)者和交換生的數(shù)量不斷增長，國內(nèi)國外學(xué)術(shù)研討會議日漸頻繁，對網(wǎng)絡(luò)的需求也在迅速的增長。當(dāng)訪問者來校進(jìn)行訪問學(xué)習(xí)時，學(xué)校需要給其建立臨時網(wǎng)絡(luò)賬號，這給學(xué)校的網(wǎng)絡(luò)管理帶來很多的不便和運(yùn)維成本。全球無線漫游聯(lián)盟為了更好地解決這一問題，提出全球教育無線網(wǎng)漫游聯(lián)盟（Education roaming），簡稱Eduroam。

Eduroam的實現(xiàn)，很好地解決了高校教育機(jī)構(gòu)之間跨區(qū)域?qū)W術(shù)交流，所有已加入Eduroam聯(lián)盟的機(jī)構(gòu)，用戶可以使用原單位提供的網(wǎng)絡(luò)賬號，在全球范圍內(nèi)連接已加入Eduroam機(jī)構(gòu)的無線網(wǎng)絡(luò)。Eduroam很好地滿足了授權(quán)用戶在成員教育機(jī)構(gòu)可以安全暢享無線網(wǎng)絡(luò)，從而減輕了訪問高校網(wǎng)絡(luò)的工作，提高了各項辦事效率。目前，歐美國家和日本幾乎所有大學(xué)都是Eduroam成員，我國的跨域無線漫游技術(shù)還處于發(fā)展階段，但是隨著國內(nèi)外高校的交流增多，提供便利的網(wǎng)絡(luò)接入、加入Eduroam聯(lián)盟將是大勢所趨。

認(rèn)證機(jī)制

Eduroam是由歐洲研究與教育協(xié)會提出的，一種應(yīng)用了802.1x協(xié)議的專為研究和教育機(jī)構(gòu)開發(fā)的國際無線漫游接入認(rèn)證服務(wù)。Eduroam認(rèn)證機(jī)制是在全球范圍內(nèi)為加入的機(jī)構(gòu)建立了Radius代理服務(wù)器的樹形結(jié)構(gòu)，該架構(gòu)主要包括下面幾部分：頂級認(rèn)證服務(wù)器（TLR）、聯(lián)盟級的認(rèn)證服務(wù)器（FLRS）、校園級認(rèn)證服務(wù)器、級聯(lián)認(rèn)證服務(wù)器、身份管理系統(tǒng)。用戶在連接到訪機(jī)構(gòu)的無線網(wǎng)絡(luò)時，身份認(rèn)證信息將從到訪機(jī)構(gòu)的認(rèn)證服務(wù)器通過上述的樹形架構(gòu)傳送用戶認(rèn)證信息到所在機(jī)構(gòu)的認(rèn)證服務(wù)器中進(jìn)行身份的識別。具體認(rèn)證過程如圖1所示。

圖1 Eduroam認(rèn)證過程

1.當(dāng)來自機(jī)構(gòu)B的用戶在機(jī)構(gòu)A連接無線網(wǎng)時，發(fā)起Eduroam網(wǎng)絡(luò)認(rèn)證請求，機(jī)構(gòu)B用戶的認(rèn)證信息含有機(jī)構(gòu)B的域名通過無線AP發(fā)送到Authenticator，啟動802.1x認(rèn)證過程。

2.交換機(jī)將請求信息發(fā)送到機(jī)構(gòu)A認(rèn)證服務(wù)器，對認(rèn)證信息進(jìn)行判斷，將認(rèn)證請求轉(zhuǎn)發(fā)到聯(lián)盟級認(rèn)證服務(wù)器以及頂級認(rèn)證服務(wù)器，對訪問請求信息進(jìn)行判斷，如果@機(jī)構(gòu)B域名屬于聯(lián)盟用戶，轉(zhuǎn)發(fā)到機(jī)構(gòu)B認(rèn)證服務(wù)器。

3.機(jī)構(gòu)B認(rèn)證服務(wù)器對請求進(jìn)行認(rèn)證，認(rèn)證完畢將認(rèn)證信息通過Radius代理服務(wù)器轉(zhuǎn)發(fā)回機(jī)構(gòu)A認(rèn)證服務(wù)器。

4.機(jī)構(gòu)A將結(jié)果轉(zhuǎn)發(fā)到Authenticator。Authenticator對機(jī)構(gòu)B用戶授權(quán)無線網(wǎng)絡(luò)。

使用特色

訪問學(xué)者和訪問學(xué)生日漸增加，國際國內(nèi)相互間交流非常頻繁，學(xué)校交換生數(shù)量逐年遞增，校內(nèi)師生國內(nèi)外開會學(xué)習(xí)時使用網(wǎng)絡(luò)的需求也在日益增加，部署Eduroam無線漫游認(rèn)證可以很好的解決以上問題，同時，我們學(xué)校根據(jù)學(xué)校實際情況，為更好地實現(xiàn)網(wǎng)絡(luò)安全和審計，搭建了扁平化網(wǎng)絡(luò)架構(gòu)。

扁平化網(wǎng)絡(luò)架構(gòu)設(shè)計

當(dāng)前很多學(xué)校網(wǎng)絡(luò)采用三層網(wǎng)絡(luò)架構(gòu)，即接入—匯聚—核心。接入至匯聚為二層鏈路，匯聚至核心為三層鏈路，為了確保終端用戶的安全接入以及網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，往往在接入與匯聚設(shè)備上部署特別多的完全策略，并且盡可能地簡化核心的配置，確保核心高速轉(zhuǎn)發(fā)流量（包括正常流量、異常攻擊流量、非法接入的流量）。同時，校園網(wǎng)采用上述粗放型的網(wǎng)絡(luò)架構(gòu)設(shè)計，網(wǎng)絡(luò)仍然存在無法實現(xiàn)差異化服務(wù)，簡單互通，無法針對不同群體用戶實現(xiàn)不同的服務(wù)；用戶之間互相影響，網(wǎng)絡(luò)中的攻擊泛濫；無序使用，訪問過程沒有完整的記錄、審計和基于用戶的控制等諸多問題。

結(jié)合上述問題，經(jīng)過多方調(diào)研和探討，決定采用扁平化網(wǎng)絡(luò)架構(gòu)設(shè)計來解決傳統(tǒng)校園網(wǎng)的問題。全新的網(wǎng)絡(luò)業(yè)務(wù)處理流程如圖2所示，可以很好地定位和溯源網(wǎng)絡(luò)用戶，解決了安全審計等問題。

對于學(xué)校未來的網(wǎng)絡(luò)發(fā)展，我們?yōu)閷W(xué)校引入了IPoE的接入方式。IPoE是一種新型的接入方式，后臺BAS在給前端每一個接入用戶分配IP地址時，BAS都將配合后臺的Radius進(jìn)行相關(guān)DHCP Option信息認(rèn)證，然后會在內(nèi)部生成一個針對此用戶的邏輯通道DSI（Dynamic Service Interface），并可以配合認(rèn)證結(jié)果在此邏輯DSI接口上下發(fā)相應(yīng)的用戶策略，從而實現(xiàn)差異化的服務(wù)和精細(xì)化的管理。每個用戶的DSI通道完全獨(dú)立和隔離，換個角度而言這實際上是：“賬號—IP地址—MAC地址—DSI session ID”的綁定，任何盜用IP甚至盜用賬號的問題將不復(fù)存在，真正實現(xiàn)了PUPSPV（Per User Per Service Per VLAN）。

圖2 網(wǎng)絡(luò)業(yè)務(wù)處理流程

SSID使用隱藏式發(fā)布

Eduroam的SSID是隱藏式的發(fā)布，并沒有對全校師生進(jìn)行公開。只有涉外的部門掌握Eduroam的使用方法，通知官方訪問團(tuán)或交換生使用，訪客信息可控。Eduroam只是針對于來校的訪問學(xué)者和訪問學(xué)生以及到其他高校訪問的我校師生使用，并不需要面向全校師生，隱藏式發(fā)布同時可以使網(wǎng)絡(luò)更加的安全。因此，Eduroam的SSID是隱藏式的發(fā)布。

在Eduroam審計上的思考

采用扁平化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，學(xué)校實現(xiàn)了“賬號—IP地址—MAC地址—DSI session ID”的關(guān)聯(lián)，通過接入端口的采集信息，可以查詢接入用戶獲得的IP地址、終端MAC、上線準(zhǔn)確的時間、甚至從哪個設(shè)備來、出口在哪里，這樣利于接入定位。其次，還可以通過計費(fèi)系統(tǒng)進(jìn)行數(shù)據(jù)的采集信息，可以記錄IP、用戶的賬號及上線的時間等。最后，通過出口日志采集到的信息與接口采集信息、計費(fèi)系統(tǒng)采集信息關(guān)聯(lián)進(jìn)行查詢，最終能得到哪一個用戶、在什么時候、從哪兒接入網(wǎng)絡(luò)最終去了哪里，更有效地實現(xiàn)了對網(wǎng)絡(luò)的監(jiān)控，可以分層次、分等級的多維梯次審計。另外，校園網(wǎng)絡(luò)結(jié)構(gòu)的不同，對Eduroam的服務(wù)支持也會有所差異，我們的網(wǎng)絡(luò)結(jié)構(gòu)支撐審計策略。

Eduroam展現(xiàn)的是一個高校的情懷，不應(yīng)拒絕，而應(yīng)敞開懷抱，同時，也是高校意識形態(tài)和辦學(xué)理念的一種體現(xiàn)形式，基于Eduroam無線漫游認(rèn)證很好地為高校師生的訪學(xué)提供網(wǎng)絡(luò)資源。本文主要針對學(xué)校Eduroam的部署和特點的考慮做了闡述，用戶的使用體驗是Eduroam得以發(fā)展壯大的基本前提，分層級、分等級的多維梯次的審計，能更有效地控制訪客的信息。