一、現狀與需求分析

隨著智能終端的普及，接入校園網絡的終端類型正在逐漸發生變化。智能終端需要通過3G、GPRS、WIFI接入Internet網絡。但目前3G、GPRS上網資費較貴，所以WIFI成為校園網中智能終端的主要接入方式。為了保障無線網絡及用戶數據傳輸的安全，需要對接入終端身份進行校驗,同時對傳輸數據進行加密。

校園網中常見的無線身份驗證方式為：預共享密鑰的方式、Portal方式(WEB認證)。

(1)預共享密鑰：學校網絡管理員提前配置無線安全密鑰，用戶接入網絡時輸入提前配置的密鑰進行身份驗證。由于密鑰為靜態管理方式，如果該密鑰泄露，將失去用戶身份驗證的作用，該方式在大型無線網絡中已經很少使用。

(2)Portal方式：用戶使用瀏覽器進行認證(WEB認證)，不存在系統兼容性的問題，但是用戶每次接入網絡都需要打開瀏覽器進行一次Portal認證，如果每次都需要進行Portal認證將大大降低用戶的無線體驗。

根據老師們使用習慣和應用場景分析，能不能給我們的老師提供一種快速“無感知”的接入方式，即終端進入無線覆蓋范圍內即可自動連接無線網絡，不再需要輸入用戶名、密碼或者預共享密鑰等信息即可完成終端身份識別。化繁為簡的“無感知”接入，讓用戶幾乎忘了自己是如何上網的,同時安全性卻絲毫沒有妥協，網絡管理員依然可以做到最為安全的無線網絡接入。

二、802.1x無感知認證價值描述

無感知認證的方案有：基于802.1x無感知認證，基于MAC無感知認證。本文主要討論基于802.1x的無感知認證。

市場上大部分智能終端都支持802.1x認證功能，802.1x技術為企業級的網絡提供了安全和便捷的解決方案。用戶希望接入無線網絡時只需要首次進行認證信息配置，后續用戶只要進入無線信號覆蓋范圍內即可自動完成認證。

802.1x協議規定在完成認證之前是不允許信息交互的，因此手持終端與AC在認證之前只能通過802.1x協議規定的EAP(Extensible Authentication Protocol，可擴展認證協議)幀交換認證信息。目前大多數手持終端都支持基于802.1x的EAP認證，輸入相應的用戶名密碼，即可自動完成認證，這種方式稱為EAP-PEAP，即Protected-EAP(受保護的可擴展的身份驗證協議)。已被Wi-FI聯盟WPA和WPA2批準的有兩個子類型：PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個框架協議，目前業界使用最廣的是由微軟提出的PEAP-MSCHAPV2協議，又被稱作MS-PEAP，也就是我們在iPhone上看到的WPA/WPA2企業級認證方式。

PEAP是可擴展的身份認證協議，認證過程分為兩個階段，第一階段終端與Radius服務器之間建立TLS隧道，通過TLS保護第二階段用戶信息的交互;第二階段完成認證方式的協商及用戶身份的認證。常見的PAEP認證方式有兩種：PEAP-MSCHAPV2、PEAP-GTC。從技術角度而言，PEAP-MSCHAPV2技術是大部分移動終端都支持的無線認證協議，該協議將用戶的認證信息在PEAP保護下傳輸，且用戶密碼無法被解密而被竊取。所以PEAP-MSCHAPV2成為大部分無線項目主推的認證方式。

三、基礎網絡部署

802.1x無感知認證采用標準的PEAP方式進行認證，該功能不是銳捷特有的功能，下面只是以銳捷網絡設備為例。

1.網絡設備

三層核心交換機SW1(S8606)，二層接入交換機SW2(S2900),無線AP(RG-AP320-I),無線AC控制器(RG-WS5302)，RG-ESS或RG-SMP認證系統。

2.網絡拓撲

網絡拓撲如圖1所示，其功能介紹如表1所示。

圖1 網絡拓撲

表1 功能介紹

序號功能規劃內容

1AP設備VLAN 10192.168.10.0/24 AP設備網關在核心

2AP用戶VLAN 20192.168.20.0/24 無線用戶網關在核心

3AC和核心互聯 VLAN 30核心：192.168.30.1/30

AC：192.168.30.2/30

4AC環回地址Lo0：192.168.254.254/32

5RG-ESS/SMP地址192.168.100.100/24

6無線用戶SSID802.1x無感知認證：ruijie-802.1x

(1)在上面的網絡中使用了無線AC本地轉發部署模式。通常情況下無線用戶所有流量都需要先經過AC才能進行轉發，這種集中轉發的模型有可能會改變客戶的流量模型，客戶希望無線用戶流量不走AC直接通過AP進行轉發，這就是本地轉發功能。AC只做控制不參與用戶數據轉發，減輕了AC負擔。

(2)無線用戶網關位于核心交換機，無線用戶數據報文由AP完成802.11到802.3轉化。接入交換機和AP互聯接口配置為trunk，native vlan修改為AP設備vlan，只放通無線用戶vlan和AP vlan。

3.配置要點

(1)核心交換機SW1的配置

創建ap vlan 10、用戶vlan 20、AC與核心交換機(SW1)互聯的vlan 30：

SW1>enable //進入特權模式

SW1#configure terminal //進入全局配置模式

SW1(config)#vlan 10 //ap的vlan

SW1(config-vlan)#vlan 20 //用戶的vlan

SW1(config-vlan)#vlan 30 //AC與核心交換機(SW1)互聯的vlan

配置接口和接口地址：

SW1(config)# interface GigabitEthernet 0/1 //與AC互聯的接口配置為trunk

SW1(config-if-GigabitEthernet 0/1)#switchport mode trunk

SW1(config)#interface vlan 10 //配置ap網關地址

SW1(config-if-VLAN 10)# ip address 192.168.10.1 255.255.255.0

SW1(config)#interface vlan 20 //無線用戶的網關地址

SW1(config-if-VLAN 20)# ip address 192.168.20.1 255.255.255.0

SW1(config)#interface vlan 30 //和AC互聯地址,子網掩碼30位

SW1(config-if-VLAN 30)# ip address 192.168.30.1 255.255.255.252

地址池相關配置，給AP和無線用戶分配地址:

SW1(config)#service dhcp //開啟DHCP服務

SW1(config)#ip dhcp pool ap //創建DHCP地址池，名稱是ap

SW1(dhcp-config)#option 138 ip 192.168.254.254 //配置option字段，指定AC的地址，即AC的loopback 0地址

SW1(dhcp-config)#network 192.168.10.0 255.255.255.0 //分配給ap的地址

SW1(dhcp-config)#default-route 192.168.10.1 //分配給ap的網關地址

SW1(config-dhcp)#exit

SW1(config)#ip dhcp pool ap_user //無線用戶DHCP地址池，名稱是ap_user

SW1(dhcp-config)#network 192.168.20.0 255.255.255.0 //分配給無線用戶的地址

SW1(dhcp-config)#default-route 192.168.20.1 //分給無線用戶的網關

SW1(dhcp-config)#dns-server 8.8.8.8 //分配給無線用戶的dns

注意：AP的DHCP中的option字段和網段、網關要配置正確，否則會出現AP獲取不到DHCP信息導致無法建立隧道。

配置靜態路由:

指明到達AC的loopback 0 的路徑, AC環回地址使用32位掩碼。

SW1(config)#ip route 192.168.254.254 255.255.255.255 192.168.30.2

(2)AC控制器配置

創建vlan:

AC(config)#vlan 10 //ap的vlan

AC(config-vlan)#vlan 20 //用戶的vlan

AC(config-vlan)#vlan 30 //AC與核心交換機(SW1)互聯的vlan

配置接口和接口地址：

AC(config)# interface GigabitEthernet 0/1 //與SW1互聯的接口配置為trunk

AC(config-if-GigabitEthernet 0/1)#switchport mode trunk

AC(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094

AC(config)# interface Loopback 0 //配置AC回環接口地址

AC(config-if-Loopback 0)#ip address 192.168.254.254 255.255.255.255

AC(config)#interface vlan 30 //配置與核心SW1互聯地址,子網掩碼30位

AC(config-if-VLAN 30)# ip address 192.168.30.2 255.255.255.252

配置默認路由:

AC(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 //192.168.30.1是核心交換機的地址

無線SSID配置:

AC(config)#wlan-config 20 ruijie-802.1x //創建SSID為ruijie-802.1x無線信號

AC(config-wlan)#tunnel local //開啟wlan-id 20 的本地轉發功能

無線ap-group配置，關聯wlan-config和用戶vlan：

AC(config)#ap-group default

AC(config-ap-group)#interface-mapping 20 20 //把wlan-config 20和vlan 20進行關聯

(3)接入交換機(SW2)配置

在本地轉發模式中，接入交換機和AP互聯接口配置為trunk，native 為AP vlan，只放通無線用戶vlan和AP vlan。

SW2(config)# interface GigabitEthernet 0/2

SW2(config-if-GigabitEthernet 0/2)#switchport mode trunk

SW2(config-if-GigabitEthernet 0/2)#switchport trunk native vlan 10 //必須把AP所屬于的vlan配置為native vlan

SW2(config-if-GigabitEthernet 0/2)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094

四、802.1x認證配置

基礎網絡部署配置完成后就可以在AC控制器上配置802.1x認證，在RG-ESS/RG-SMP上完成相應參數的設置，就可實現無感知認證上網。

第一步：啟用802.1x AAA認證

AC(config)#aaa new-model //啟用AAA認證功能

AC(config)#aaa accounting update //開啟記賬更新

AC(config)#aaa accounting update periodic 5 //記賬更新時間間隔與SMP服務器保持一致，SMP默認為5分鐘

AC(config)#aaa accounting network acct-1x start-stop group radius //定義名為acct-1x記賬列表

AC(config)#aaa authentication dot1x auth-1x group radius //定義名為auth-1x認證列表

第二步：配置radius服務器IP及KEY

AC(config)#radius-server host 192.168.100.100 key ruijie //配置radius服務器KEY及IP

AC(config)#ip radius source-interface vlan 30 //AC使用vlan30的IP地址和radius對接

第三步：WLAN啟用802.1x

AC(config)#wlansec 20 //20為前面配置的wlan-config 20

AC(config-wlansec)#security rsn enable //啟用WPA2認證

AC(config-wlansec)#security rsn ciphers aes enable //啟用AES加密

AC(config-wlansec)#security rsn akm 802.1x enable //啟用802.1X認證

AC(config-wlansec)#dot1x accounting acct-1x //調用第一步定義的記賬列表

AC(config-wlansec)#dot1x authentication auth-1x //調用第一步定義的認證列表

第四步：配置SNMP功能

AC(config)#snmp-server host 192.168.100.100 traps version 2c ruijie

AC(config)#snmp-server enable traps

AC(config)#snmp-server community ruijie rw

第五步：其它相關配置

AC(config)#dot1x eapol-tag //AC可以處理帶Vlan Tag認證報文，默認都需要配置

AC(config)#ip dhcp snooping //開啟dhcp snooping

AC(config)#dot1x dhcp-before-acct enable //獲取snooping表中用戶的IP地址通過記賬開始報文上傳

五、RG-ESS/RG-SMP服務器相關配置

AC控制器配置完成后就可以在RG-ESS/RG-SMP認證服務器上完成相關配置，主要包括添加AC設備，添加上網帳號。由于其配置使用的是WEB方式，所以相對比較簡單。

第一步：在系統中添加無線控制器AC

添加無線設備之前需要修改無線設備模版中的相關參數如radius key、portal key等，這些參數是前面在AC中配置的。添加設備截圖如圖2所示。

圖2 添加設備截圖

第二步：配置無線認證協議

打開認證參數配置，在無線認證方式中選擇“PEAP-MSCHAP”，同時“啟用windows xp系統自帶客戶端無感知認證”，然后根據實際配置無感知認證的SSID、安全類型、加密類型，以及認證協議。

第三步：添加賬號

添加上網用戶賬號，賬號屬于默認用戶組，不需要進行特殊設置。

六、終端功能驗證

通過上面一系列的操作，已經完成了802.1x無感知認證的所有關鍵配置，由于無線接入終端很多，下面就以ios系統為例進行上網驗證，Android等其它系統配置差不多。

第一步：進入設置,打開無線局域網，點擊“ruijie-802.1x”無線網絡，如圖3所示。

圖3打開無線局域網截圖

第二步：在彈出的界面中輸入用戶名、密碼，點擊加入，如圖4所示。

圖4 輸入密碼截圖

第三步：如果彈出一張尚未驗證的證書，點擊接受。此時界面會回到無線局域網連接的界面，且SSID “ruijie-802.1x”前面打個勾說明鏈接成功。

基于802.1x無感知認證確保上網安全的同時給我們用戶提供了一種快速的接入，接入無線網絡時只需要首次進行認證信息配置，后續用戶只要進入無線信號覆蓋范圍內即可自動完成認證，大大提高用戶的無線體驗。非常適合在中小學校部署使用。學校網絡管理員要做的是開通上網帳號，對上網帳號進行有效管理和控制。