隨著數(shù)字化改造的潮流���,至今各行各業(yè)的網(wǎng)絡(luò)環(huán)境已經(jīng)基本完成了無線全覆蓋���,加快數(shù)字化改造的進(jìn)程����。以高校為例�,無線網(wǎng)絡(luò)的搭建大致規(guī)劃如下所示:
1.無線網(wǎng)絡(luò)架構(gòu)
目前高校大多數(shù)采用的無線網(wǎng)架構(gòu)為AC+FIT AP�����,同時采用隧道轉(zhuǎn)發(fā)���?����?蛻敉ㄟ^無線訪問網(wǎng)絡(luò)時�����,AP先將用戶的無線流量封裝進(jìn)capwap隧道�����,點到點轉(zhuǎn)發(fā)到無線控制器上�����,隨即又無線控制器對流量進(jìn)行解封裝��,然后再根據(jù)內(nèi)部的IP報頭進(jìn)行報文轉(zhuǎn)發(fā)����。
2.無線認(rèn)證架構(gòu)
當(dāng)上網(wǎng)流量引流至AC,再從AC統(tǒng)一轉(zhuǎn)發(fā)至網(wǎng)絡(luò)出口���,而為了給無線用戶進(jìn)行統(tǒng)一認(rèn)證管理���,從AC到網(wǎng)絡(luò)出口的第一跳設(shè)備為校園網(wǎng)第三方認(rèn)證網(wǎng)關(guān)設(shè)備。所以如果無線終端需要訪問外網(wǎng)��,必須要經(jīng)過認(rèn)證網(wǎng)關(guān)進(jìn)行認(rèn)證��,認(rèn)證成功才能通過并訪問外網(wǎng)����。這樣做的好處是可以讓無線網(wǎng)絡(luò)系統(tǒng)和認(rèn)證系統(tǒng)完成解耦,無線和認(rèn)證兩個系統(tǒng)各自的維護(hù)或升級操作不會影響到另外一個系統(tǒng)。
3. 同時由于高校體量較大�,無線覆蓋工作需要分成若干期進(jìn)行實施,所以可能會造成存在多廠商AC的情況�。
隨著校園無線網(wǎng)絡(luò)規(guī)模的逐步擴(kuò)大,一些問題也隨之出現(xiàn)�����。主要問題表現(xiàn)為師生在校園內(nèi)漫游上網(wǎng)時�,會突然彈出認(rèn)證界面,讓終端再次進(jìn)行認(rèn)證��,而終端是已經(jīng)成功認(rèn)證了�����,在無感知認(rèn)證功能的前提下�����,不會讓終端再重新認(rèn)證的���。經(jīng)過排查出現(xiàn)該問題的原因主要包括一下幾點:
(1)無線網(wǎng)絡(luò)三層為多網(wǎng)段規(guī)劃,終端在不同區(qū)域會獲取不同的IP地址
目前學(xué)校無線網(wǎng)在校園內(nèi)的不同區(qū)域規(guī)劃了不同的VLAN接入��,此規(guī)劃的目的是為了避免二層網(wǎng)絡(luò)過大造成不必要的流量泛洪和攻擊。但是這種方法會導(dǎo)致無線終端在學(xué)校的不同區(qū)域上網(wǎng)時����,會獲取不同IP網(wǎng)段的地址,而對于校園網(wǎng)的認(rèn)證網(wǎng)關(guān)來說���,一個IP地址就代表了一個新終端��,如果終端的IP更換之后�,需要師生重新用自己的賬號進(jìn)行認(rèn)證登錄����。
(2)無線網(wǎng)絡(luò)部署了多個SSID,導(dǎo)致終端使用隨機(jī)MAC獲取IP地址
隨機(jī)MAC地址功能起初是為了防范在一些無線環(huán)境中�,有攻擊者利用WiFi探針技術(shù)獲取手機(jī)用戶個人信息,即獲取手機(jī)WLAN MAC地址����,進(jìn)而獲取手機(jī)IMEI號,然后就獲取用戶的手機(jī)號���,這樣就為騷擾電話提供了來源�����。
目前手機(jī)系統(tǒng)為了應(yīng)對該問題�����,都已經(jīng)支持了MAC地址隨機(jī)化功能���,MAC地址隨機(jī)化是指手機(jī)WiFi開啟后�,每次在掃描周圍WiFi熱點時攜帶的MAC地址都是隨機(jī)生成的���,連接不同的SSID就會生成不同的隨機(jī)MAC�����,就算被WiFi探針獲取也無法做正確的大數(shù)據(jù)匹配�。
但是隨機(jī)MAC功能在校園無線中也帶來了一些問題�。無線終端在通過DHCP獲取IP地址時����,不同的終端使用自己的MAC進(jìn)行區(qū)別,即在終端發(fā)送的DHCP Discover報文中����,需要填充上自己的MAC地址,這樣DHCP服務(wù)器就可以區(qū)分出來是不同的終端發(fā)的請求報文,從而下發(fā)不同的IP地址����。
DHCP報文格式如下所示:
所以隨機(jī)MAC功能導(dǎo)致的結(jié)果為終端在學(xué)校區(qū)域內(nèi)連接不同的SSID時,會產(chǎn)生不同的MAC地址去請求IP����,從而獲取到了不同的IP地址,此時在認(rèn)證網(wǎng)關(guān)內(nèi)部����,依舊會認(rèn)為是一個新的用戶接入,同樣需要用師生的賬號重新進(jìn)行認(rèn)證����。
(3)認(rèn)證網(wǎng)關(guān)系統(tǒng)對同一個賬號同時登錄多終端的數(shù)量限制
學(xué)校認(rèn)證網(wǎng)關(guān)內(nèi)部創(chuàng)建的賬號認(rèn)證策略,可以使一個賬號同時登錄6個終端�����,即如果學(xué)生有六個不同的無線終端����,可以同時使用自己的賬號進(jìn)行登錄,而認(rèn)證網(wǎng)關(guān)認(rèn)為是不同終端的參考依據(jù)是終端獲取了不同的IP地址���。
所以根據(jù)目前校園無線的規(guī)劃��,同一個無線終端��,在學(xué)校內(nèi)漫游上網(wǎng)時�����,可能由于連接了不同的網(wǎng)段或者連接了不同的SSID����,都可能會獲取到不同的IP地址,這樣在認(rèn)證網(wǎng)關(guān)內(nèi)部會認(rèn)為是不同的終端�����,需要把該IP和賬號綁定���,最多一個賬號可以綁定6個IP�����,而由于學(xué)校無線區(qū)域較大,已經(jīng)規(guī)劃了多個不同的網(wǎng)段和不同的SSID���,所以正常情況下����,一個終端很可能獲取的IP地址數(shù)量就會超過6個,此時由于自己的賬號綁定的IP已經(jīng)超出限制����,所以需要讓終端重新進(jìn)行認(rèn)證,將之前綁定的賬號踢下去之后���,才能重新認(rèn)證上網(wǎng)�����。
1.針對該問題的整改策略
目前產(chǎn)生該問題的主要原因就是校園無線的部署架構(gòu)導(dǎo)致同一個終端獲取了多個不同的IP地址���,解決該問題的思路就是讓同一終端在整個校園內(nèi)獲取唯一的IP地址,一般每個學(xué)生使用的終端主要包括手機(jī)和筆記本�,正常情況下每個學(xué)生的終端數(shù)是不會超過6臺的。這樣在認(rèn)證網(wǎng)關(guān)內(nèi)部��,一個賬號綁定的終端數(shù)一般來說就不超過6個了���。具體的解決方法如下:
(1)將多個無線網(wǎng)段合并為一個無線網(wǎng)段
之前的多網(wǎng)段部署��,導(dǎo)致了學(xué)生在學(xué)校的不同區(qū)域會通過不同的VLAN接入��,從而就會獲取到不同網(wǎng)段的IP地址���。通過將整個無線網(wǎng)段合并為一個大網(wǎng)段����,即所有的無線用戶都屬于同一個VLAN�����,這樣就解決了漫游時更換網(wǎng)段IP的問題����。配置方法為將所有AP組調(diào)用的服務(wù)模板中,將業(yè)務(wù)接入VLAN都配置成相同的��。
并且將無線用戶的網(wǎng)關(guān)設(shè)置在華為AC上���,即在華為AC上配置VLAN4040的三層接口��,無線流量傳至網(wǎng)關(guān)后�,再負(fù)責(zé)將所有的無線流量上傳至核心交換機(jī)����。同時華為AC也作為DHCP中繼,負(fù)責(zé)將終端的DHCP請求統(tǒng)一發(fā)送到校園網(wǎng)DHCP服務(wù)器�,由DHCP服務(wù)器統(tǒng)一負(fù)責(zé)下發(fā)地址,保證地址下發(fā)的唯一性�。
VLAN4040三層接口配置:
無線流量轉(zhuǎn)發(fā)路徑示意圖如下所示:
(2)全校部署一個SSID,保證終端使用一個MAC獲取IP地址
在解決了學(xué)校多網(wǎng)段部署架構(gòu)之后��,還需要解決多SSID帶來的隨機(jī)MAC問題�����。雖然目前所有終端都處于同一網(wǎng)段����,并且由同一個DHCP服務(wù)器統(tǒng)一下發(fā)地址,但如果無線終端使用不同的MAC地址去進(jìn)行DHCP請求��,DHCP服務(wù)器就會認(rèn)為是不同終端發(fā)來的請求����,最終結(jié)果還是會下發(fā)不同的IP地址。目前絕大部分手機(jī)上都默認(rèn)開啟了隨機(jī)MAC功能����,通過相應(yīng)的設(shè)置也可以關(guān)閉����。
但是通過修改終端配置來解決隨機(jī)MAC帶來的問題��,顯然不現(xiàn)實��。針對該問題��,采用了統(tǒng)一SSID的方法�,即將校園網(wǎng)內(nèi)所有的SSID都配置成同一個。通過新增一個SSID模板�����,然后再讓所有的AP組都調(diào)用該模板�����,此時所有的AP就會下發(fā)同一個SSID信號���。
2.更改后效果說明
(1)通過合并網(wǎng)段以及合并SSID的操作�,就可保證每個終端在校園區(qū)域內(nèi)只能獲取同一個地址��。因為在DHCP服務(wù)器內(nèi)下發(fā)地址后會保存下發(fā)記錄,每次都會優(yōu)先給終端下發(fā)之前使用過的地址��。
(2)雖然目前校園內(nèi)有兩個品牌的無線AC���,但是通過此操作之后����,DHCP和認(rèn)證都和無線AC解耦���,測試無線AC只負(fù)責(zé)AP控制以及流量轉(zhuǎn)發(fā),所以后期無線AC進(jìn)行一些策略的修改��,主要不涉及VLAN修改�,都不會影響到目前的網(wǎng)絡(luò)架構(gòu)。
(3)目前的架構(gòu)下����,AP使用本地轉(zhuǎn)發(fā)或隧道轉(zhuǎn)發(fā)均可,因為對于無線網(wǎng)關(guān)來說���,區(qū)別就在于是原始流量直接轉(zhuǎn)發(fā)到網(wǎng)關(guān)進(jìn)行識別��,還是隧道流量轉(zhuǎn)發(fā)到網(wǎng)關(guān)后�,先解封裝再進(jìn)行識別。
