徐雷

摘要：无线网络技术在给我们便捷性同时带来安全风险，随着单位里对wifi技术认知的加深，移动智能设备的普及量加大，及新媒体、APP技术的利用都在日益扩大，不仅仅有安全认证方面的问题，在wifi覆盖和用户认证体验上的优化需要，无线地址段的使用，同时使用时设备容量的问题都是亟须解决的，后期新增设备布局的问题，新老wifi技术的兼容，大量用户，不同楼层间的游离用户稳定性都对我不久之前刚建立的认证体系形成了很大的挑战。

关键词：RADIUS；无线网；安全验证；MAC绑定

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）18-0047-02

1系统问题产生背景

1.1无线入网系统初期运行状态

1.1.1原有系统描述

我在前几年建设的安徽报业大厦一套可以辨别用户的优先保障正常工作附带安全管理的无线网络安全管控系统，具备安全高效低成本的特征。在安全管理上，避免了没有申报授权用户接入访问网络，即使有人可以破解无线网连接的秘钥等验证接入了无线网也不能访问内网资源，干扰不到其他无线终端；使用了绑定用户密码和MAC地址等措施，当一个用户在首次成功登录后即在服务器和设备上绑定，在我们的无线网中这台设备就用不了其他用户密码登录，这个用户密码也不能用在其他设备上了。在无线设备的选择上，对AP和终端也没有特别要求，只要是可配置的AP和支持wifi功能的终端都可以使用。在实用性上，配置简单快捷，利用原有设备，不需专业服务器，低成本实现，相比较以前无验证开放式连接而言快速高效地解决了前期无线网络安全管控问题。

1.1.2原有认证步骤流程

原有办法是我们的用户首先通过办公系统申请固定账号或者临时用户申请，通过秘钥连接无线信号后再使用用户名密码的方式认证，最终在服务器端通过并绑定。

1.2产生的主要问题

在整个系统搭建完成后，初期运行良好，所有移动办公和娱乐用户都按本系统设计预期连接并完成认证，效果很好，出现过一些认证页面和信号强度方面的问题，也都解决了。但是运行一年左右，随着应用方面的扩大，申请账号的增多，很多用户陆续产生了每天需要输入认证很多次或者连接报错的故障，重复输入给用户造成很大的使用困难往往是用户外出、经过电梯都会出现问题，还有用户直接连接不上，同时给管理人员带来很大的工作量。常见以下几种问题：

1）外出后常出现IP、地址mac不允许；

2）上下楼后经常发生Ip已登录；

3）待机后重新点亮移动设备的屏幕有时出现不允许多人同时登录。

如图2：

2 问题排查及方案选择

2.1故障问题测试

针对故障以上问题我们发现分布在不同的楼层，各种无线设备下均有发生，而且有越来越多的趋势，通过以下步骤：首先我们设定测试账号；准备不同系统的几台无线设备；每台设备通过测试账号登陆；新建测试无线信号新的ip段。

经过反复登陆注销，有几个发现：在原有无线ssid信号中不同时间设备获取地址会发生变化、登陆后在楼层间移动一段时间设备会断网并重新弹出认证、还有部分首次通过上网过几分钟后断开认证也弹不出入网页面，每台设备都出现这些问题。在我们新建ssid信号中设备连接后很稳定，移动、待机、重连之后都没有出现问题。

2.2定位故障找出解决办法

通过测试我开始考虑是不是信号源出了问题，检查配置和后来建立的测试完全一样，除了网段和网段里在线的IP地址，登录核心网关查看正在使用出问题的这个信号使用的IP数：

在这个网段中地址几乎使用完，测试的地址段不用看了，刚建立的，也就是测试的几台地址。

我们这个无线系统设计初衷是安全、快捷，绑定区分每位用户并隔离，开始一百多个用户，我们预定可分配网段地址是一个C类地址段，当使用几年后用户已经超过三百人，目前已设定账户的用户超过六百人，

在测试过程中发现的地址问题首先我们在绑定是用的mac地址绑定，但在网络转发时其实用的还是ip地址，如上图5在外网网关上显示的还是ip地址名称，当在设备上设定固定静态地址时，终端相对稳定的时间要长些，我们在交换机上设立的dhcp，在查看是发现一台设备地址分配的情况

可以确定的是由于用户地址发生变化导致一系列故障的产生，地址短缺发生地址变化和获取不到地址时自然就出现上面的故障了并且由于地址数小于账号数，不能设定长期的租约。最终问题明确了虽然没有ip地址绑定，但在账号数增长的情况下需要固定地址并保证长期不变。

2.3优化方案构思

我们的无线入网需要改变，一个必要的条件就是现有连接用户端尽可能不改变连接入网方式及习惯，还有我们没有大幅度调整设备的条件。

1）首先想到多增加几个网段，每个从vlan44-vlan48每个地址段分布1至2个楼层，如下

在考虑后发现，必须能够保证这些楼层的用户互相之间都不能跨太多楼层，不然同一个用户进入其他楼层进入不同vlan变了地址还是会重新入网一次，只能缓解基本静止状态的用户。

2）又想根据不同部门分配不同的地址段和无线信号，实际测试了一个楼层，工作量比较大，每台设备AP上都要登入全新配置，配置全部不同，在技术实施上也出现了问题，很多部门分散，有楼层部门超过5个，而有AP一个radio下只能绑4个信号源，直接就不能满足，不过在测试的楼层确实运行良好，在以后升级Ap，使用AC控制器瘦Ap方式下也是一个办法。

3）最后只有扩大地址段的办法，在企业网中用的多的都是C类地址段，扩大使用一个B了真怕有广播风暴，考虑最多1000个地址并且这些地址并不同时在线，在无线上做了无线隔离，无线ip互相不能访问，每个汇聚口都配置了广播抑制30%，再加上汇聚上行万兆上行，可以保障数据正常。先期增加地址办法采用的是直接在核心8512交换机上把DHCP地址池改大，

network 192.168.19.0 mask 255.255.255.0改为network 192.168.19.0 mask 255.255.254.0，并加入租约限制expired day 365，在进行现场模拟测试时发现认证不理想，用户更换手机及保留地址时设置管理很不方便，这是一项经常变动的配置在用户数多的情况下增加管理难度，后考虑操作采用微软自带DHcp服务器，在配置管理方面可视化选择配置方便管理；

4）还有账号增加的问题，前期设计系统时使用的是一个免费第三方Radius软件，账号权限管理和账号数量上在现在已经不再适用，考虑管理及兼容配置上采用windows配置Radius服务器。

3 改进系统设计及实施步骤

3.1总体设计流程

新改进的无线入网机制和前期基本原理一致，没有增加终端用户的配置难度，

移动终端输入正确的无线秘钥连接之后获取dhcp分配的地址，当第一次连接外部网络会打开验证，输入用户名和密码后连接到Radius服务器上验证，当验证无误绑定用户并提示通过访问外部网络。

3.2网段规划分配

在地址段规划上有两个方面的考虑，开始升级时考虑多个C类网段，通过在每两个楼层分配一个C类地址，在用户连接数量需求上可以满足，无线信号保持一致，连接便捷度上也不会有问题，分楼层实施后出现两个情况很少一部分用户长期在本楼层用后再到其他楼层使用，这个过程中绑定信息会重复，用户需要点确定在体验上会有操作的重复性；最后还是决定扩大地址段容量，使用一个B类地址，按照每用户2个移动终端可分配地址数大致两千左右，账号对固定IP地址的对应，不是同时在线，预先划分地址段vlan52，分配192.168.48.0/255.255.252.0子网，加入防火墙

并在核心上配置网关

interface Vlan-interface52

ip address 192.168.48.2 255.255.248.0

ip relay address 192.168.18.77

dhcp select relay

vrrp vrid 52 virtual-ip 192.168.48.1

vrrp vrid 52 priority 150

vrrp vrid 52 timer advertise 5

3.3验证加密设置

检查设备数据时发现，连接的无线设备的ip地址数量有时会大于认证账号，前几年为了一些陈旧终端的连接，所有无线AP设置的使用wep方式，只有信息中心使用的无线信号实现了wpa2方式，一直都有隐患，WEP是802.11 1999中提到的加密协议。是一种rc4算法 CRC进行效验和计算，弱IV和CRC机制的问题。不论是64还是128位加密的WEP密码，某些工具很有可能破解，我们决定采用WPA2方式，WPA2是WiFi联盟验证过的IEEE 802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，安全性更强、更适合应用在无线局域网环境的加密协定，针对现有的几种设备配置如下：

无线Ap1208型号的配置

vlan 52

#

ssid phone

set vlan 52

bind domain system

encryption suite ccmp

encryption suite tkip

authentication psk ascii ******

security-mode wpa2

无线Ap2620的配置

vlan 52

#

wlan service-template 4 crypto

ssid phone

cipher-suite ccmp

security-ie rsn

service-template enable

#

interface WLAN-BSS14

port access vlan 52

port-security port-mode psk

port-security tx-key-type 11key

port-security preshared-key pass-phrase cipher *******

无线Ap6010的配置

vlan batch 52

#

interface Wlan-Bss2

port hybrid pvid vlan 52

port hybrid untagged vlan 52

#

wlan

wmm-profile name phonewmm id 2

traffic-profile name phonetraffic id 2

security-profile name phonesecurity id 2

security-policy wpa-wpa2

wpa-wpa2 authentication-method psk pass-phrase cipher ****** encryption-method ccmp

service-set name phone id 2

Wlan-Bss 2

ssid phone

traffic-profile id 2

security-profile id 2

radio-profile name phoneradio id 2

wmm-profile id 2

3.4认证服务器设置

在认证上我沿用了上次的Radius，是因为RADIUS协议简单明确，可扩充，并且由于上次使用第三方radius软件，在账号管理和账号数量上已经不能满足现在需求，使用windows2008搭建radius 服务器在兼容性和账户安全设置、数量上都是比第三方软件易用。

3.5地址服务器指向及配置

在交换机上配置Dhcp服务器针对大用户量和地址管理已经捉襟见肘，单独使用DHCP服务器的优势明显，这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集，可以指定通用和特定子网的TCP/IP参数，并且可以定义使用保留地址的客户机的参数。使用DHCP服务器能大大减少配置花费的开销和重新配置的时间，服务器可以在指派地址租约时配置所有的附加配置值。可以固定移动端使用的IP，在再次启动客户机时，DHCP服务器会自动为客户机配置同样的IP。当用户更换手机，需要重新绑定，可以方便快递地找到需要删除的绑定信息，更大程度的节约管理成本。

在本次实现动态分配采用DHcp relay方式配置，即在网关交换机192.168.1.2上配置relay语句，

interface Vlan-interface52

dhcp select relay

大部分设备可以转发DHCP配置请求，因此，只需要配置一台DHCP服务器满足多个信号的使用。

4 改进后系统效果

经过以上各联动系统设备的统一配置后，上线测试用户认证通过并稳定访问，没有出现过用户入网访问故障，安全性上沿用账号密码的认证并绑定，安全协议上也从原先部分wep升级全部使用wpa2，安全级别得到了进一步的加强，在账号管理、地址管理、变动、用户使用稳定性上都得到提升。在未来我们的设备如能统一fitAp并使用无线控制器，根据无线使用的场景个性布局的话，信号覆盖更全，利用现有入网流程会更有利。

参考文献：

[1] 张磊，王辉. 无线局域网安全协议研究[J].通信技术，2011（9）.

[2] 邬平杰.基于DHCP的网络IP地址管理[J].中国新技术新产品，2009（15）.

[3] 孙健，铁玲，诸鸿文. 基于口令的无线局域网安全管理协议[J].计算机工程，2004（9）.