马迎++张丹东++赵志辉

摘 要：校园网用户在多个孤立无线网络中漫游时，需要不断地进行再次认证，大大降低了用户的上网体验，这是很多高校面临的问题。本文提出基于IPOE模式下，保持用户的IP地址不变，实现全无线网内一次认证的模式，提高用户的上网体验。

关键词：无线网漫游认证；IPOE；一次认证

中图分类号：TP393.1 文献标志码：A 文章编号：1673-8454（2017）05-0045-03

近几年，各高校正在逐步进行高密度、大规模校园无线网络基础建设，满足用户随时、随地自由无线上网的使用需求。在多个不同品牌的无线网中漫游的频繁再次认证是很多高校都面临的困扰。

一、我校园无线网络现况

1.我校园无线网络拓扑

校园无线网络承载全校无线用户的上网需求，受客观条件限制，我校无线网络经多次建设完成，无线设备品牌多样，相互独立的无线控制器四台，服务于全校各个不同的区域。在无线网络建设完成初期，无线用户在一日内，反复跨越不同区域、不同无线控制器管理的无线网络进行访问时，会面临不断重新认证的困扰，极大地降低了用户使用网络的体验，这也是很多院校面临的问题。因此，我们考虑访问校园无线网络一次认证的实现方式。

我校的四张无线网络设备与核心路由器连接。（见图1）传统方式是：不同的无线控制器下无线用户的vlan不同，分配的用户地址段也不相同，无线用户每次穿越不同无线网络时，都重新获得一个新的IP地址，新IP地址通过网关认证系统访问外网时需要重新认证，出现了用户每日反复认证的现象。

2.我校无线网采用IPOE模式

传统DHCP只是解决了用户接入网络的基本需求，即用户终端接入网络后，获取到IP地址、网关以及DNS信息后满足用户上网的需求。一些网络厂商借鉴了传统PPPOE的用户管理方式，在宽带接入路由器（BRAS）设备上对DHCP及其扩展option做出了一些改进，主要包括：为一个用户终端分配了IP地址以后，BRAS设备会根据该DHCP binding信息生成一个全局唯一的逻辑通道，BRAS设备根据该逻辑通道对该用户的接入状态进行标识，根据用户身份的不同为该逻辑通道加载不同的ACL和带宽策略，从而实现用户差异化的权限和带宽控制。通过在BRAS设备上的这些改进，实现了类似传统PPPOE的完善的用户接入管理功能，但同时在某些方面还具有一些PPPOE不具备的优势，例如终端不需要安装拨号客户端、组播的实现上更灵活，所以为了与PPPoE进行区分，业界将这样的用户接入管理方式命名为IPOE。

我校自2013年起全校无线网用户采用不开启AAA认证的DHCP Relay的IPOE模式，主要采用IPOE模式对每个终端管理。由BRAS统一下发DHCP Server地址、用户vlan、网关，并由DHCP Server统一下发用户IP地址。（见图2）

IPOE模式的优点：

（1）不需要客户端。所有支持IP协议的设备都支持IPOE系统，不需要安装第三方拨号软件，可以广泛支持各种手持设备、移动设备、视频设备等。

（2）BRAS核心设备能力强大、功能丰富，提供集中的业务控制和管理，如IPv4/IPv6的地址分配、用户带宽管理、DDos防护等。

（3）在BRAS上有效管理单个用户。针对每个接入用户生成DEMUX动态接口；在用户的DEMUX接口上可以加载固定的统一策略，有效管理每个终端上下带宽。

（4）可实现用户隔离和病毒感染的阻断。

（5）可防止用户私设IP地址；非BRAS下发的IP地址用户不能上网。

二、我校园无线漫游一次认证方式的实现

为了简化准入认证管理，我校采用了准出认证模式——web网关统一认证模式。用户认证后，用户账号与IP地址关联，在认证系统中通过对IP地址的管理来实现用户账号管理。用户在web登录界面输入账号信息，认证系统获得用户账号和IP地址的对应关系信息，对IP地址進行放行或阻止的操作。传统方式无线用户漫游需要重复认证的原因在于用户的IP地址改变了，为此我们尝试无线网用户漫游在不同无线网时，保证终端的IP地址不变，以实现无需再次认证。

为此规划全校无线网用户在同一vlan中、同一网关，由同一个地址池下发地址，以此来实现在各个无线网漫游时终端携带地址不变。有两种实现方式：

（1）各无线网汇聚到同一台汇聚交换机，此汇聚交换机上联连接到BRAS设备的一个接口。由BRAS 的DHCP Server统一进行地址下发，用户漫游在不同的无线网络时，BRAS感知的是同一接口下MAC地址不变，不进行地址的重新分配，可以实现用户终端的IP地址不变。通常可以在无线网络流量不足够大的时候采用。缺点是容易出现单台设备故障。

（2）各无线网汇聚到各自独立的汇聚交换机，各个汇聚交换机分别上联连接BRAS设备的各个接口。如果是BRAS 的DHCP Server下发用户地址，用户在无线网中漫游时会从BRAS不同的接口接入，即使是相同的MAC地址，BRAS也会认为是不同用户，重新进行IP地址分配。因此，需要采用独立DHCP Sever，在BRAS上采用DHCP Relay方式下发地址，可以实现用户的IP地址不变。

三、保障同一vlan下用户间的安全性

众所周知，vlan划分可以有效抑制广播包，上万个无线用户在同一vlan中，如果不能做很好的数据隔离，广播风暴问题将会使全无线网用户瘫痪。为此我们采用如下方式进行用户间隔离，确保网络稳定：

（1）在各无线控制器上设置“用户隔离”，限制同一控制器下的无线终端的互访，无线终端只能与核心设备的接口MAC地址之间进行二层数据传输，用户相互之间不能相互通信。

命令：user-isolation vlan 970 enable user-isolation vlan 970 permit-mac b0a8-6e7d-9fc0 //只允许用户与网关（网关MAC：b0a8-6e7d-9fc0）之间的数据交互。

（2）无线网络采用IPOE模式，在BRAS开启Demux的配置，相当于每个用户拥有一个vlan：

配置每用户生成一个demux接口：

命令：set dynamic-profiles wlan-test-2015 predefined-variable-defaults input-filter wlan-up-yidong //设置入方向流量的策略

set dynamic-profiles wlan-test-2015 predefined-variable-defaults output-filter wlan-down-yidong //设置出方向流量的策略

set dynamic-profiles wlan-test-2015 interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address preferred-source-address 10.48.0.1 // 设置网关地址

（3）在BRAS上设置开启DDOS攻击防御机制，做了ARP数据数量限制，抑制非法ARP报文。命令：

set system ddos-protection protocols arp aggregate flow-level-bandwidth logical-interface 1000 //逻辑接口下ARP报文带宽不超过1000kb

（4）在BRAS设备上限制每个终端的上下行带宽。命令：

set firewall family inet filter wlan-down-yidong interface-specific

set firewall family inet filter wlan-down-yidong term 1 then policer 30m //用户下行带宽执行“30m”策略

set firewall family inet filter wlan-up-yidong interface-specific

set firewall family inet filter wlan-up-yidong term 1 then policer 15m //用户上行带宽执行“15m”策略

set firewall policer 30m if-exceeding bandwidth-limit 30m //用户带宽30M；

set firewall policer 30m if-exceeding burst-size-limit 10m //用户缓冲区带宽10M；

set firewall policer 30m then discard

set firewall policer 15m if-exceeding bandwidth-limit 15m //用户带宽15M；

set firewall policer 15m if-exceeding burst-size-limit 5m //用户缓冲区带宽5M；

set firewall policer 15m then discard

（5）在接入交换机的接口上做下联端口之间数据的隔离。

am isolate Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11

（6）在無线控制器上进行“丢弃广播和未知名多播”的设置。减少控制器上的无线设备的异常广播包。

四、在DHCP 服务器上实现“固定”IP地址分配

我校采用了定制的DHCP服务器实现全校上万无线用户地址分配的功能。（见图3）用户连接到网络，首先进行获取IP请求，BRAS 将用户的地址请求 DHCP relay到DHCP Server上，DHCP Server在IP地址历史租约表中查找是否有此MAC地址的记录，若有此MAC地址，且其对应的IP地址可以分配，则将此IP地址分配给请求的用户。当无线用户从一个无线网漫游到另一个无线网时，用户所在vlan不变，网关不变，用户再次做DHCP请求，DHCP 服务器在租约表中查到此MAC地址与IP地址对应的关系，用户实现了续租此IP地址。

通过定制的DHCP服务器下发地址，同一台设备获得的IP极少有改变。无线用户获得的IP地址不变，漫游在各无线网络中，认证系统依然保持“放行”状态，无需再次认证，实现了用户一次认证的跨网漫游的自由访问，如图4所示。用户只要有一次外网访问的行为，（获得了用户账号与IP地址的对应信息）基本就可以定位用户，实现了准出认证方式用户内网访问定位的问题。对于网关式认证服务器，终端IP地址认证后，用户即可以外网访问。

五、结束语

中国人民大学充分利用BRAS设备集中管理用户和安全策略的优势，采用IPOE模式+“MAC相同，IP地址不变”的模式结构已经稳定、高效地运行近2年时间，在此期间无线网络没有发生过广播风暴等网络事件，解决了用户在多个独立的无线网络中漫游时的反复认证问题，大大增强了用户使用网络的体验。同时对运维来说，配置更简单、清晰，极大地提高了运维效率。

（编辑：王天鹏）