高校无线网络认证问题案例浅析

随着数字化改造的潮流，至今各行各业的网络环境已经基本完成了无线全覆盖，加快数字化改造的进程。以高校为例，无线网络的搭建大致规划如下所示：
1.无线网络架构
 目前高校大多数采用的无线网架构为AC+FIT AP，同时采用隧道转发。客户通过无线访问网络时，AP先将用户的无线流量封装进capwap隧道，点到点转发到无线控制器上，随即又无线控制器对流量进行解封装，然后再根据内部的IP报头进行报文转发。
2.无线认证架构
 当上网流量引流至AC，再从AC统一转发至网络出口，而为了给无线用户进行统一认证管理，从AC到网络出口的第一跳设备为校园网第三方认证网关设备。所以如果无线终端需要访问外网，必须要经过认证网关进行认证，认证成功才能通过并访问外网。这样做的好处是可以让无线网络系统和认证系统完成解耦，无线和认证两个系统各自的维护或升级操作不会影响到另外一个系统。
3.同时由于高校体量较大，无线覆盖工作需要分成若干期进行实施，所以可能会造成存在多厂商AC的情况。
无线网络拓扑示意图如下所示：

随着校园无线网络规模的逐步扩大，一些问题也随之出现。主要问题表现为师生在校园内漫游上网时，会突然弹出认证界面，让终端再次进行认证，而终端是已经成功认证了，在无感知认证功能的前提下，不会让终端再重新认证的。经过排查出现该问题的原因主要包括一下几点：
(1)无线网络三层为多网段规划，终端在不同区域会获取不同的IP地址
目前学校无线网在校园内的不同区域规划了不同的VLAN接入，此规划的目的是为了避免二层网络过大造成不必要的流量泛洪和攻击。但是这种方法会导致无线终端在学校的不同区域上网时，会获取不同IP网段的地址，而对于校园网的认证网关来说，一个IP地址就代表了一个新终端，如果终端的IP更换之后，需要师生重新用自己的账号进行认证登录。
(2)无线网络部署了多个SSID，导致终端使用随机MAC获取IP地址
随机MAC地址功能起初是为了防范在一些无线环境中，有攻击者利用WiFi探针技术获取手机用户个人信息，即获取手机WLAN MAC地址，进而获取手机IMEI号，然后就获取用户的手机号，这样就为骚扰电话提供了来源。
目前手机系统为了应对该问题，都已经支持了MAC地址随机化功能，MAC地址随机化是指手机WiFi开启后，每次在扫描周围WiFi热点时携带的MAC地址都是随机生成的，连接不同的SSID就会生成不同的随机MAC，就算被WiFi探针获取也无法做正确的大数据匹配。
但是随机MAC功能在校园无线中也带来了一些问题。无线终端在通过DHCP获取IP地址时，不同的终端使用自己的MAC进行区别，即在终端发送的DHCP Discover报文中，需要填充上自己的MAC地址，这样DHCP服务器就可以区分出来是不同的终端发的请求报文，从而下发不同的IP地址。
DHCP报文格式如下所示：

所以随机MAC功能导致的结果为终端在学校区域内连接不同的SSID时，会产生不同的MAC地址去请求IP，从而获取到了不同的IP地址，此时在认证网关内部，依旧会认为是一个新的用户接入，同样需要用师生的账号重新进行认证。

(3)认证网关系统对同一个账号同时登录多终端的数量限制

学校认证网关内部创建的账号认证策略，可以使一个账号同时登录6个终端，即如果学生有六个不同的无线终端，可以同时使用自己的账号进行登录，而认证网关认为是不同终端的参考依据是终端获取了不同的IP地址。

所以根据目前校园无线的规划，同一个无线终端，在学校内漫游上网时，可能由于连接了不同的网段或者连接了不同的SSID，都可能会获取到不同的IP地址，这样在认证网关内部会认为是不同的终端，需要把该IP和账号绑定，最多一个账号可以绑定6个IP，而由于学校无线区域较大，已经规划了多个不同的网段和不同的SSID，所以正常情况下，一个终端很可能获取的IP地址数量就会超过6个，此时由于自己的账号绑定的IP已经超出限制，所以需要让终端重新进行认证，将之前绑定的账号踢下去之后，才能重新认证上网。

针对该问题的整改策略

 目前产生该问题的主要原因就是校园无线的部署架构导致同一个终端获取了多个不同的IP地址，解决该问题的思路就是让同一终端在整个校园内获取唯一的IP地址，一般每个学生使用的终端主要包括手机和笔记本，正常情况下每个学生的终端数是不会超过6台的。这样在认证网关内部，一个账号绑定的终端数一般来说就不超过6个了。具体的解决方法如下：

 (1)将多个无线网段合并为一个无线网段

 之前的多网段部署，导致了学生在学校的不同区域会通过不同的VLAN接入，从而就会获取到不同网段的IP地址。通过将整个无线网段合并为一个大网段，即所有的无线用户都属于同一个VLAN，这样就解决了漫游时更换网段IP的问题。配置方法为将所有AP组调用的服务模板中，将业务接入VLAN都配置成相同的。

 并且将无线用户的网关设置在华为AC上，即在华为AC上配置VLAN4040的三层接口，无线流量传至网关后，再负责将所有的无线流量上传至核心交换机。同时华为AC也作为DHCP中继，负责将终端的DHCP请求统一发送到校园网DHCP服务器，由DHCP服务器统一负责下发地址，保证地址下发的唯一性。
 VLAN4040三层接口配置：

 无线流量转发路径示意图如下所示：

 (2)全校部署一个SSID，保证终端使用一个MAC获取IP地址
 在解决了学校多网段部署架构之后，还需要解决多SSID带来的随机MAC问题。虽然目前所有终端都处于同一网段，并且由同一个DHCP服务器统一下发地址，但如果无线终端使用不同的MAC地址去进行DHCP请求，DHCP服务器就会认为是不同终端发来的请求，最终结果还是会下发不同的IP地址。目前绝大部分手机上都默认开启了随机MAC功能，通过相应的设置也可以关闭。

 但是通过修改终端配置来解决随机MAC带来的问题，显然不现实。针对该问题，采用了统一SSID的方法，即将校园网内所有的SSID都配置成同一个。通过新增一个SSID模板，然后再让所有的AP组都调用该模板，此时所有的AP就会下发同一个SSID信号。

 更改后效果说明
 (1)通过合并网段以及合并SSID的操作，就可保证每个终端在校园区域内只能获取同一个地址。因为在DHCP服务器内下发地址后会保存下发记录，每次都会优先给终端下发之前使用过的地址。
 (2)虽然目前校园内有两个品牌的无线AC，但是通过此操作之后，DHCP和认证都和无线AC解耦，测试无线AC只负责AP控制以及流量转发，所以后期无线AC进行一些策略的修改，主要不涉及VLAN修改，都不会影响到目前的网络架构。
 (3)目前的架构下，AP使用本地转发或隧道转发均可，因为对于无线网关来说，区别就在于是原始流量直接转发到网关进行识别，还是隧道流量转发到网关后，先解封装再进行识别。