■

随着笔记本电脑、智能手机、平板电脑的普级，校园网用户对于网络接入的需求已经从传统的有线网络接入向无线网络接入过渡，甚至在某些场景下无线网络接入已经处于主导地位。

作为校园网的重要组成部分，无线网络接入是可以在其覆盖区随时随地提供无线接入服务的，如果没有安全认证，那么用户只要能接到网络设备上即可直接使用。这样一个没有经过鉴别认证的用户可以没有任何阻碍地通过连接的AP进入网络，对校园网的网络安全造成了巨大的影响。因此对于接入用户进行鉴别，区分是否为合法用户是无线网络建设的首要问题。而一个良好的认证系统就成为了鉴别用户是否合法的简单手段。为此很多厂商、集成商都从自身产品出发，提出了很多的建设方案，但是无论哪种建设方案在实际应用中都会存在着以下的风险与问题：

认证方式不统一的风险

无线网络在多次建设中会出现多品牌的设备。而目前基于AC负责FIT AP接入、管理方式下的无线网络中一旦出现异种品牌的AP就造成了AC无法进行对于AP接入、管理的局面，进而影响到用户认证问题。如果采用AC负责同品牌AP接入、管理，同时负责同品牌AP下用户的接入、认证、流量转发。这样做虽然简单，但是由于每个品牌AC的认证方式不同，造成了用户认证方式的不同，从而使用户必须关心身处何地、需用何种方式进行认证，造成用户额外的负担，从而影响到用户的体感。

图1 当前校园网无线网络示意图

运维故障点多的风险

如果采用基于AC+第三方认证来对无线网用户进行认证，这样虽然看上去可以保证用户认证方式一致，但是由于中间接口程序的存在，尤其是很多非标接口需要再次开发，从而造成了更多的故障点，从运维角度来看是非常不可取的。此外还有很多诸如计费二次认证等更多衍生的问题。

调整方案

为了解决上述问题，笔者认为应当从无线网络的构架着手，分析一下校园网用户使用无线网络的流程，如图1。

通常情况下，当用户通过Switch B交换机下的IP地址为10.12.1.3的AP进行无线网络访问时，需要有三个步骤：

1、需要寻找到该AP进行连接，并通过AP和AC之间的CAPWAP隧道进行通讯，从DHCP服务器获得IP地址。应当注意的是此时用户并未通过认证，并不能真正地访问无线网络上的内容。

2、获得IP地址后的校园网用户需要通过页面方式或者客户端方式在IP地址为10.217.0.3的AC上进行认证通过后才能有访问网络的权利。

3、校园网用户在通过认证后进行网络访问，结束后下线退出。

在这个过程中有一个在无线网络中的关键设备：无线控制器AC。AC是运维人员用来负责管理无线网络中的所有无线AP，对AP管理包括：下发配置、修改相关配置参数、射频智能管理、接入安全控制等。此外它不仅是AP与AC之间通讯隧道的终点，还要为AP上用户提供认证、访问网络的服务。

据此笔者认为，在多品牌无线网络产品的环境下，如果取消AC的认证功能，另外构建一个与AC无关的第三方认证就可以解决上面所提出的问题。为此，笔者选择安全认证网关对无线网用户进行认证。

由于在前面已经取消了不同品牌的AC上的认证功能，因此安全认证网关在网络放置的位置选择是非常重要的，它的位置选择好坏决定了校园网是否有可能存在未经认证用户，网络是否安全。对于安全认证网关放置位置还是要从用户的网络流量上去找：

从图1上看，在这个以Switch A为网络核心的网络上，位于汇聚Switch B上AP接入的无线网络用户虽然分配 到 了IP 192.168.90.182，但是这个地址所在的路由并没有在汇聚Switch B上出现，其原因在于无线网络中AP与AC之间的传输是使用隧道来完成的，因此，192.168.90.12的路由会出现在汇聚Switch C上，也就是说所有无线网络用户所在的IP地址路由均会在控制AP的AC所在汇聚上出现。换个角度看，从Switch A上看，Switch B的192.168.90.0/24与Switch B上的其它路由10.127.0.0/24以及Switch A上的192.168.10.0/24的路由没有任何区别，都是有线网络的路由。

图2 修正后的无线网络拓扑图

因此，我们可以在Switch C与Switch B之间的链路上部署认证设备。但考虑到在这条链路上的流量包括用户的网络流量以及再通过AC与AP之间隧道传输给用户的流量，而两种流量的叠加对于网关型设备来说是一种很大的负担，而且因为其中一半的流量是不用进行认证的，从而造成了认证网关的效率很低，。

因此，笔者对于图1进行了拓扑修正，如图2。在图2种，所有的AC都被放置在了Switch C交换机下面。与图1不同的地方有三处：

1.在Switch A的172.18.0.1与Switch C的172.18.0.2之间新增了认证网关AAA1，这个网关可以覆盖到全部无线网用户并对这些用户进行认证，但需要对DNS进行放行处理。

2.在Switch C上 的OSPF发布中删除所有AC的路由信息。

3.在Switch A的 与Switch C之间增加了红色的172.18.0.5与172.18.0.6之间的链路，通过Switch A与Switch C上静态路由设置，使得AP与AC之间的所有隧道流量都在这个链路上进行。

部分具体配置如下（全网经过IP调整后，AP的IP地址聚类规划为10.12.0.0/16，AC与DHCP的IP地址在10.127.0.0/24段）：

在配置过程中需要注意：

1.对 于Switch C交换机OSPF配置时不要将10.127.0.0/24的地址进行发布，也不要配置redistribute connected subnets，这样就保证了从OSPF上无法看到AC与DHCP的地址，从而使此段IP地址无法通过OSPF提供的路由进行访问。

2.在Switch A交换机上配置的静态路由只能是OSPF中没有发布的10.127.0.0/24，而在Switch C交换机上也只能回指AP聚类后的IP地址段，以确保只有AP到AC的隧道流量经过172.18.0.5余172.18.0.6之间的链路。

最后需要说明的是，这个模型具有很强的可扩展能力，即当无线网络不断扩充，单一的Switch C在处理能力有所不及的情况下，可以随时将其上面的AC迁移到新的交换机上保证无线网络的正常运行。采用多个Switch C交换机进行分布式部署，同时并对AC进行进一步调配，使网络上的AP都能进行主备AC控制时，就会极大降低对于Switch C交换机的性能要求，降低交换机投入成本；而在此同时大大提升网络运维的安全性与稳定性。

总之，通过这样的网络部署，使得本文前面提到的问题得到了解决。该模型目前已经在学校部分环境中进行了测试性部署，取得了较好的效果。