基于RAIUS技术的无线网络安全管控系统的升级及扩容.docVIP

基于RADIUS技术的无线网络安全管控系统的升级及扩容 无线网络技术在给我们便捷性同时带来 安全风险，随着单位里对wifi技术认知的加深，移动 智能设备的普及量加大，及新媒体、APP技术的利用 都在日益扩大，不仅仅有安全认证方面的问题，在wifi 覆盖和用户认证体验上的优化需要，无线地址段的使 用，同时使用时设备容量的问题都是亟须解决的，后 期新增设备布局的问题，新老wifi技术的兼容，大量 用户，不同楼层间的游离用户稳定性都对我不久之前 刚建立的认证体系形成了很大的挑战。 关键词：RADIUS；无线网；安全验证；MAC绑 定 TP311 A 1009-3044 (2016) 18-0047-02 1系统问题产生背景 1.1无线入网系统初期运行状态 1.1.1原有系统描述 我在前几年建设的安徽报业大厦一套可以辨别用 户的优先保障正常工作附带安全管理的无线网络安全 管控系统，具备安全高效低成本的特征。在安全管理 上，避免了没有申报授权用户接入访问网络，即使有 人可以破解无线网连接的秘钥等验证接入了无线网也 不能访问内网资源，干扰不到其他无线终端；使用了 绑定用户密码和MAC地址等措施，当一个用户在首 次成功登录后即在服务器和设备上绑定，在我们的无 线网中这台设备就用不了其他用户密码登录，这个用 户密码也不能用在其他设备上了。在无线设备的选择 上，对AP和终端也没有特别要求，只要是可配置的 AP和支持wifi功能的终端都可以使用。在实用性上， 配置简单快捷，利用原有设备，不需专业服务器，低 成本实现，相比较以前无验证开放式连接而言快速高 效地解决了前期无线网络安全管控问题。 1.1.2原有认证步骤流程 原有办法是我们的用户首先通过办公系统申请固 定账号或者临时用户申请，通过秘钥连接无线信号后 再使用用户名密码的方式认证，最终在服务器端通过 并绑定。 1.2产生的主要问题 在整个系统搭建完成后，初期运行良好，所有移 动办公和娱乐用户都按本系统设计预期连接并完成认 证，效果很好，出现过一些认证页面和信号强度方面 的问题，也都解决了。但是运行一年左右，随着应用 方面的扩大，申请账号的增多，很多用户陆续产生了 每天需要输入认证很多次或者连接报错的故障，重复 输入给用户造成很大的使用困难往往是用户外出、经 过电梯都会出现问题，还有用户直接连接不上，同时 给管理人员带来很大的工作量。常见以下几种问题： 1）外出后常出现IP、地址mac不允许； 2） 上下楼后经常发生Ip己登录； 3） 待机后重新点亮移动设备的屏幕有时出现不允 许多人同时登录。 如图2: 2问题排查及方案选择 2.1故障问题测试 针对故障以上问题我们发现分布在不同的楼层， 各种无线设备下均有发生，而且有越来越多的趋势， 通过以下步骤：首先我们设定测试账号；准备不同系 统的几台无线设备；每台设备通过测试账号登陆；新 建测试无线信号新的ip段 经过反复登陆注销，有几个发现：在原有无线ssid 信号中不同时间设备获取地址会发生变化、登陆后在 楼层间移动一段时间设备会断网并重新弹出认证、还 有部分首次通过上网过几分钟后断开认证也弹不出入 网页面，每台设备都出现这些问题。在我们新建ssid 信号中设备连接后很稳定，移动、待机、重连之后都 没有出现问题。 2.2定位故障找出解决办法 通过测试我开始考虑是不是信号源出了问题，检 查配置和后来建立的测试完全一样，除了网段和网段 里在线的IP地址，登录核心网关查看正在使用出问题 的这个信号使用的IP数： 在这个网段中地址几乎使用完，测试的地址段不 用看了，刚建立的，也就是测试的几台地址。 我们这个无线系统设计初衷是安全、快捷，绑定 区分每位用户并隔离，开始一百多个用户，我们预定 可分配网段地址是一个C类地址段，当使用几年后用 户已经超过三百人，目前已设定账户的用户超过六百 人， 在测试过程中发现的地址问题首先我们在绑定是 用的mac地址绑定，但在网络转发时其实用的还是ip 地址，如上图5在外网网关上显示的还是ip地址名称， 当在设备上设定固定静态地址时，终端相对稳定的时 间要长些，我们在交换机上设立的dhcp，在查看是发 现一台设备地址分配的情况 可以确定的是由于用户地址发生变化导致一系列 故障的产生，地址短缺发生地址变化和获取不到地址 时自然就出现上面的故障了并且由于地址数小于账号 数，不能设定长期的租约。最终问题明确了虽然没有 ip地址绑定，但在账号数增长的情况下需要固定地址 并保证长期不变。 2.3优化方案构思 我们的无线入网需要改变，一个必要的条件就是 现有连接用户端尽可能不改变连接入网方式及习惯， 还有我们没有大幅度调整设备的条件。 1） 首先想到多增加几个网段，每个从 vlan44-vlan48每个地址段分布1至2个楼层，如