张万里

摘 要：随着移动互联网的快速发展和各高校国际、国内学习交流的不断加强，如何满足师生们日益增长的对安全、稳定、便捷的无线网络的迫切需求是高校信息化工作者必须要解决的问题。Eudroam是专为科研和教育机构开发的安全的环球跨域无线漫游认证服务，能够为师生们提供一个免费、便捷的无线网络接入服务。近两年越来越多的国内高校加入到了Eudroam这个大家庭，为广大师生提供了便捷的无线网络服务，期待各高校信息部门尽早加入Eudroam，实现全国高校无线漫游[1]。

关键词：Eudroam;高校无线漫游;无线网络;信息化

中图分类号：TP393.18      文献标识码：A      文章编号：1009-3044（2018）31-0142-05

The Practice of Eudroam in the Independent College — Take Xinlian College of Henan Normal University as an Example

ZHANG Wan-li

（Modern Education and Technology Center， Xinlian College of Henan Normal University， Zhengzhou 450000， China）

Abstract： With the rapid development of mobile internet and the continuous strengthening of international and domestic learning or communication in universities， how to meet the increasing demand for a security， stability and convenience of the wireless network from teachers and students is a big problem that the information workers must solve. Eudroam （education roaming） is an international roaming service for users in research， higher education and further education. it can provide a free and convenient wireless network access service for teachers and students. In the past 2 years， more and more domestic colleges and universities have joined the large family of Eudroam， providing convenient wireless network services for teachers and students. We expect the information departments of colleges and universities to join Eudroam as soon as possible to achieve wireless roaming in colleges and universities throughout the country.

Key words： Eudroam; College wireless  roaming; wireless network; informatization

1 Eudroam简介

1.1 Eudroam是什么

Eudroam（education roaming）是专为科研和教育机构开发的安全的环球跨域无线漫游认证服务，目前已覆盖全球八十九个国家和地区的超过6000家科研机构和教育机构。Eudroam成员允许来自其他任何联盟成员的用户使用自己的网络，并根据受访机构的政策，Eudroam提供者还可能提供其他资源（如知网等付费数字资源等）可供来访用户使用。

Eudroam由TERENA（欧洲计算机网络研究和教育协会）的移动工作组 （task force on mobility and network middleware –TF-MNM）首先提出，希望将基于RADIUS的基础设施与IEEE 802.1X技术相结合，以便在研究和教育网络中提供漫游网络接入服务。这个想法最初在荷兰、葡萄牙、芬兰、克罗地亚、英国等国家的一些机构中进行测试，后来得到了更多欧洲科研组织的支持，最终命名为Eudroam。自2004年以来，欧盟通过GN2和GN3项目共同资助了与Eudroam服务相关的进一步研究和开发工作[2]。

Eudroam于2007年9月正式投入使用，全球Eudroam管委會（Global Eudroam Governance Committee，简称GeGC）于2010年11月组建，目前由来自非洲、亚太、拉丁美洲、北美和欧洲的漫游运营商共15名高级代表组成。GeGc秘书处挂靠于G?ANT协会，在与来自这些地区的Eudroam领导人进行广泛磋商后，最终确定了Eudroam的管理章程。 GeGC成员由G?ANT协会根据其区域漫游运营商或联盟的提名正式任命。2017年，Eudroam提供了超过36亿次国家认证和超过8.34亿次国际认证。通过在全球范围内为全世界数百万学生、研究人员和学术人员提供免费安全的无线网络连接，Eudroam将继续不断壮大。

1.2 Eudroam优势特点

认证简便 — 使用原机构账号认证，免除了繁复账号口令和频繁认证的烦恼，不再需要访问机构提供临时的账号;

自动连接 — 可以实现一次无线认证验证后，当网络在范围内时自动连接无需再次认证;

接入安全 — 通过WPA2-AES安全加密，实现无线终端接入的高等级安全;

账户安全 — 采用802.1x的EAP协议连接RADIUS完成认证，更好地保障账户安全;

国际漫游 — 覆盖全球89个国家和地区约6000多个学术机构的无线网络漫游。

1.3 Eudroam逻辑架构

Eudroam联盟建立了一套完整的 RADIUS代理服务器架构，覆盖了全球所有接入成员，主要分为三个层级[4]：

（1） 第一层：顶级认证服务器（Cofederation Top- level RADIUS Server，TLR），现有两个顶级认证服务器部署在欧洲的荷兰和丹麦，每台TLR存储有所有联盟级认证服务器（如.nl，.cn，.uk，.de等等）等信息，根据域名接收、转发报文至相应的FLRs，最终实现全球漫游;

（2） 第二层：联盟级认证服务器（Federation-Level RADIUS Servers，FLRs），FLR存储有下联的IdP服务器信息和域名，同时上联顶级认证服务器TLR。主要用于接收来自TLR和下端SP的请求并根据路由表转发请求至相应的IdP。

FLR通常由国家教育科研网运行，我国FLR由中国科学院计算机网络信息中心负责运行和管理，教育网用户由北京大学信息中心负责运行和管理;

（3） 第三层：校园级认证服务器（或级联认证服务器），由各Eudroam成员负责，分为Eudroam Identity Providers （IdPs）和Eudroam Service Providers （SPs）两种：

IdPs： 负责管理本机构用户身份（如用户名、密码等信息），通过本地身份认证管理系统对用户身份进行鉴定，是整个Eudroam体系里最复杂的环节，必须能够终止EAP请求并实现身份验证;

SPs： Eudroam的最终服务提供者，负责提供网络服务并向IdP转发来访用户的认证请求。大多数Eudroam成员即是SP也是IdP。

1.4 802.1X技术

IEEE 802.1X是IEEE制定的关于用户接入网络的认证标准，全称“基于端口的网络接入控制”。最初为以太网设计，后来为适应无线网络等技术的发展进行了修订，为有线局域网和无线局域网提供了一种认证机制，解决了局域网用户的接入身份认证问题。

802.1X协议运行于数据链路层，是基于端口的准入认证策略，对于任何一个端口（包括物理端口和逻辑端口，如VLAN、无线信道等），认证成功后允许所有报文通过，认证失败则保持关闭状态[5]。当端口处于关闭状态时只允许EAPOL（基于局域网的扩展认证协议-Extensible Authentication Protocol over LAN）[6]认证报文通过。

802.1X的认证系统由Supplicant（客户端）、Authenticator（认证接入端）、Authentication server（认证服务器）三部分组成（图2）[7]：

（1） Supplicant/客户端：

客户端指需要联网的终端（如电脑、智能手机、平板等），客户端必须支持EAPOL协议，同时配合802.1X客户端软件使用。

（2） Authenticator/认证接入端：

Authenticator通常指接入交换机或无线AP，通过判断用户的认证状态控制是否允许终端接入的网络设备。Authenticator通过EAPOL协议与客户端通讯，通过EAPOR（EAP over RADIUS）与认证服务器通讯。

Authenticator要求客户端提供身份标识，接收到客户端的EAP-Request报文后结合自己的NAS IP等相关信息一并封装到Radius报文中发送给认证服务器，最终根据服务器返回的认证结果控制是否开放端口[8]。

（3） Authentication Server/认证服务器：

Authentication Server接收客户端的认证请求并返回认证结果，从而实现基于端口的准入控制。EAP协议具有良好的灵活性，除端口状态外，还可用于认证和下发诸如VLAN、QOS、DHCP响应等信息，实现精细化管理，进一步提高管控水平[9]。

1.5 Eudroam 认证过程

当Eudroam成员A的用户到访Eudroam成员B并试图接入无线网络时，主要认证过程为[10]：

（1） 用户发起Eudroam接入请求

AP收到请求后启动 802.1X认证过程，建立加密隧道传送账号、密码等信息;

（2） AP将认证请求转发至本地SP Server，SP Server根據realm（账号的域名信息）信息进行判断后，将请求转发至上级FLR Server;

（3） FLR同样根据realm（账号的域名信息）进行判断，若用户所在机构成员A属于下属IdP，则直接将请求转发至该成员的IdP Server，否则将请求发送至上级TLR Server，再由 上级TLR Server转发至成员A所在的FLR Server，最后发送至成员A的IdP Server;

（4） 成员A的IdP Server收到请求后，首先判断其是否为本地用户，如果不是则拒绝认证，如果是则通过身份认证管理系统对账号、密码进行验证，并将结果反馈给成员B的SP Server;

（5） 成员B的AP根据反馈结果判断是否允许用户接入本地Eudroam。

2  国内Eudroam发展情况

Eudroam CN中国顶级节点于2014年引入并投入运行，由中国科学院计算机网络信息中心负责运行与管理。首批加入并运行Eudroam的单位有中国科学院计算机网络信息中心、中国科学院高能物理研究所和北京大学。截至2018年8月1日共有128所高校和46家研究机构加入了Eudroam。

2.1 为什么要加入Eudroam

随着移动互联网的快速发展和各高校国际、国内学习交流的不断加强，如何满足师生们日益增长的对安全、稳定、便捷的无线网络的迫切需求是信息化工作者必须要解决的问题。Eudroam是解决这个需求的国际化解决方案，能够为师生们提供一个免费、便捷的无线网络接入服务。

2.2  如何加入Eudroam

北京大学计算中心负责管理国内高校的Eudroam接入服务，凡是域名为xxx.edu.cn的单位均可申请接入Eudroam@CERNET，目前Eudroam@CERNET只接受单位的无线网络管理部门（如网络中心、信息化管理办公室、现代教育技术中心等）提交的申请，不受理院系提交的申请。

（1） 在线申请https：//analysis.Eudroam.edu.cn/admin/univ/create

（2） 邮寄申请表和承诺书（加盖部门公章）

（3） 配置Eudroam无线网络及radius服务器

（4） 测试系统

（5） 完成接入

3  部署Eudroam

我校无线网络采用锐捷网络产品（2015年部署），数字化校园采用金智教育数字化校园解决方案（2010年部署，含统一身份认证等），基于一个账号、一个密码的原则，计划使用freeradius+ldap搭建radius服务器[11]。实际部署中分别测试了freeradius[12]、freeradius+sam、深澜Eudroam、网瑞达AAA[13]等产品。

3.1  开通Eudroam测试信号

（1） 添加radius服务器，共享密码建议使用北大分配的密钥

（2） 添加Eudroam无线信号

3.2  部署freeradius服务器

（1） 下载北京大学计算中心提供的freeRadius+LDAP[14]版镜像文件（ova文件）

（2） 基于模板创建虚拟机（参照Eudroam@CERNET 服务配置指南v2.0版本）

（3） 配置IP、IDP、SP、创建证书[15]等（参照Eudroam@CERNET 服务配置指南v2.0版本）

服务器ip建议直接使用申请表填的ip，避免NAT转换配置故障[16]

（4） 基本文本數据的本地测试

编辑/usr/local/freeradius-3.0.11/etc/raddb/users，取消steve账号前的注释符。

启动调试模式，在本地及校外测试网站测试steve@xxx.edu.cn是否能够认证通过。如认证通过，则怎么freeradius部署成功，否则根据屏幕显示日志查看错误信息进一步排查。

调试模式：/usr/local/freeradius-3.0.11/sbin/radiusd –X

系统日志：/usr/local/freeradius-3.0.11/var/log/radius/radacct/

（5）基于mysql的数据测试

配置/usr/local/freeradius-3.0.11/etc/raddb/mods-enable/sql，设置mysql用户名、密码;

进入mysql：mysql -u root –p

使用radius数据库：use radius;

创建测试用户xlxytest，明文密码为xlxy2018：

insert into radcheck（id，username，attribute，op，value） values（'2'，'xlxytest'，'Cleartext-Password'，'：='，'xlxy2018'）;

查看用户情况：select * from radcheck;

启用调试模式并在本地及校外测试网站测试账号是否正常认证。

（6）基于ldap的数据测试

配置/usr/local/freeradius-3.0.11/etc/raddb/mods-available/ldap，在 ldap 块中添加实际使用的 server、identity、password 和 base_dn 等信息后启用调试模式并测试。

由于我校LDAP中仅有经ssha[17]加密的用户密码，并无freeradius需要的ntpassword字段[18]，因此使用freeradius无法实现统一身份认证的问题。

3.3  部署freeradius+sam

为解决统一身份认证问题，测试锐捷Eudroam解决方案，使用freeradius+sam+ldap实现ldap无ntpassword下的统一身份认证问题。

（1） 基于现有freeradius已完成的IP/IDP/SP配置

（2） 修改SP配置（proxy.conf）

添加sam服务器并配置本地域名认证转发至sam服务器。

（3） 添加认证前处理规则

在/usr/local/freeradius-3.0.11/etc/raddb/sites-enabled/default文件中添加认证前处理规则，将设备转发出去的报文中NAS_IP属性由127.0.0.1转换为服务器IP。

（4） sam中添加freeradius为设备

（5） sam中配置用户模板套餐，添加xlxy.edu.cn服务

启用freeradius调试模式并在本地及校外测试网站测试账号是否正常认证。由于sam已经与校内LDAP打通，因此通过freeradius代理转发后实现了统一身份认证的问题。

3.4  部署深澜Eudroam系统

联系深澜工程师获取srun4k-Eudroam.tar.gz安装包，部署測试。部署简单且能够实现对用户的并发用户数、时间、位置、流量等多种类型的控制，满足精细化管理的需求。但在我校测试中，并未解决LDAP没有ntpassword密码的问题。

3.5  部署网瑞达AAA系统

联系网瑞达工程师获取wrd3a-WRD-RC1.iso安装包，部署测试。网瑞达AAA系统部署简单，目前版本不能实现对用户的并发用户数、时间、位置、流量等多种类型的控制，但支持GTC模式，解决了LDAP没有ntpassword密码的问题，实现了统一身份认证[19]。

3.6  各解决方案对比

3.7  我校Eudroam运行情况

我校Eudroam于2017年11月23日完成接入调试，2018年5月11日正式开放使用，截至2018年8月1日累计来访93人，出访147人，来访认证成功1379次，出访认证成功1923次，为全校师生的交流访问提供了优质的无线网络漫游服务，有力提升了学校信息化水平[20]。

通过我校Eudroam的部署与推广，可以看出广大师生对国内外无线网络漫游的需求随着学校国际化办学定位的推进及跨校交流学习机会的增加在不断提升。作为民办高校信息化从业者的一员，我们应当抓住国内互联网快速发展的机遇，抓住一切有利于提高学校信息化水平的机会，多向国内外先进高校交流、学习，以师生日益增长需求为驱动力，以不断提高信息化建设水平为己任，打造优质、高效、便捷的信息化校园。

参考文献：

[1] 公晓旭，付中南，吕洁等.基于Eudroam和SDN的无线漫游认证授权技术研究[N].华东师范大学学报，2015.z1.026.

[2] Eudroam[EB/OL]. https：//en.wikipedia.org/wiki/Eudroam.

[3] 杨燕婷.全球大学无线漫游[J].中国教育网络.2015.11.15.

[4] 靳盼.基于FreeRADIUS的高校Eudroam无线漫游认证技术研究[J].信息技术与信息化.2017.12.034.

[5] 何中勇. 数字化校园统一身份认证分析与设计[D].电子科技大学，2008.

[6] 802.1X协议培训教程-华为[EB/OL]. https：//wenku.baidu.com/view/e87fb6ea551810a6f5248677.html.

[7] eap[EB/OL]. https：//en.wikipedia.org/wiki/Extensible_Authentication_Protocol.

[8] 802.1x[EB/OL].http：//blog.sina.com.cn/s/blog_5544469d010007qs.html.

[9] 赵永胜. 内网非法外联安全监控系统的研究与设计[D].北京邮电大学，2010.

[10] Eudroam技术架构[EB/OL].http：//www.Eudroam.edu.cn/jsjg.htm.

[11] 杨建军，贾晨军，冉立新.基于RADIUS协议的网络认证技术研究[J].浙江大学学报（工学版），2005（2）：67-70.

[12] freeradius[EB/OL]. https：//en.wikipedia.org/wiki/FreeRADIUS.

[13] aaa[EB/OL]. https：//en.wikipedia.org/wiki/AAA.

[14] 李翔，晁爱农，刘孟强.LDAP的研究及其在统一身份认证系统中的应用[J].计算机应用，2008（S1）：98-100.

[15] 董杰，揭金良.基于PKI的CA认证中心的搭建[J].成都理工大学学报（自然科学版），2003（1）：102-106.

[16] eap-tls[EB/OL]. https：//tools.ietf.org/html/rfc3748.

[17] ssha[EB/OL]. https：//tools.ietf.org/html/rfc3112.

[18] 王丽，曾珊，夏明山，齐法制，陈刚，谢建军，胡笑然，董科军.基于Eudroam的跨域无线接入解决方案[J].科研信息化技术与应用，2016，7（2）：3-7.

[19] 常潘，沈富可.基于LDAP的校园网统一身份认证的实现[J].计算机工程，2007（5）：281-282+285.

[20] 杨瑞仙，李贤，李志.国际比较视野下我国高校信息化建设现状及对策[J].电脑知识与技术，2017，13（9）：128-131.