基于RADIUS技术的无线网络安全管控系统设计与应用

张飞 徐雷

（安徽日报报业集团信息技术中心）

摘要：随着WLAN技术的发展和移动智能终端的普及人们对无线网络的使用率日益增长，尤其是在企业局域网中，使用智能手机、pad等移动终端办公、信息采集、娱乐休闲的用户越来越多，而无线信号通过空气传播的特性又使得我们难以洞悉无线网络中究竟发生了什么，潜藏着不容忽视的安全风险。企业局域网已从原有的有线网络拓扑扩展到边界模糊的有线、无线融合的网络连接。局域网中的无线网络部分日显重要，而其存在的问题不仅是速度和信号覆盖，安全和用户管理也是亟需考虑的。

关键字：无线用户验证 RADIUS 内网安全 MAC绑定

1、 前言 安徽报业大厦无线网络在建成初期，只是作为有线网络的辅助。因为用户不多，在管理上仅是分了几个通道、并分别设定一个简单的密码。近两年来，集团各媒体纷纷上马了移动办公系统，大量配备iphone、pad等智能终端用于移动发稿和发微博，无线用户暴增。在使用中，用户常反映速度时快时慢，有时甚至链接不上。排查后发现非工作连接用户很多，非工作需要的大量连接和流量影响了正常的无线办公。简单的密钥和大而化之的通道设置很容易传播，大家都只要知道密钥和信道就可以上无线，安全上也得不到保障。因此，我们急需建立一套可以辨别用户的、优先保障正常工作的、附带安全管理的无线网络安全管控系统。

2、 安徽报业大厦无线网络现状分析

2.1安徽报业大厦无线网络拓扑概述 考虑到大厦当时的现状，初期无线网络建设是以胖AP方式部署，每层楼部署一台无线AP并预留了4个无线AP接入点，楼层AP连接每层楼的接入交换机整体接入有线网络，所有无线用户未纳入一般用户管理。在早先用户并不多的情况下处于半开放方式，用信道和SSID来区别用户群，总共设置了3个信号包括普通员工、无线设备和管理用户，每组用户使用不同的密钥连接无线。

2.2存在问题分析 随着时间的推移，无线用户数一直增加，应用方式越来越多，有楼层无线用户反映无线变慢，检测发现单独楼层无线用户接入较多，因为没有单独的管理设备验证仅用密钥来管理无线不能保证密钥的流传，大部分无线用户并没有登记，只要知道密钥就可以上无线。无线网络处于可用，但管理不安全的状态。考虑到无线破解的情况，单位外用户登录无线还会对内网安全造成影响。需要对无线智能终端的验证接入重新规划。

2.3解决方案论证

2.3.1管控方式对比 一般无线管控方式有以下两种方式： 一种是前期考虑无线设备管理的统一建设，如安装指定厂商的无线接入设备、无线安全设备、无线管理软硬件，使用厂商给我们配置的方案、管理无线的设备、架设专用的验证服务器等，那么我们可以直接管理使用，每个用户需要单独验证，是一种安全的管理方式。 还有一种松散管理的方式只单独采购了无线接入设备，配置信道和密钥，单位里每个用户都可以联机，没有有效的安全监管手段。

2.3.2验证系统选型论证 为了达到安全管理验证的目的，我们考虑重新构建现有的管理模式： 一种方案是重新规划：包括采购新设备配套服务器，更新替换原来还能使用但规格较老的AP，这对于目前无线覆盖超过一半的量的单位来说是一个不小的二次投资。 另一种方案是在现有基础上不增加、少投资还能实现每个用户的验证上网，虽然我们没有运营商那种绑定卡和号码的技术手段，但是可以借鉴厂商成熟的技术方案、常用上网计费管理的配置方式，用现有安全设备的某些功能和免费软件来实现我们想要达到的无线验证和管理的目的。 3、系统设计和实现

3.1系统设计

3.1.1验证管理的兼容性 考虑到现在常见的几种智能终端的操作系统symbian、Linux、Palm、BlackBerry、WindowsMobile、Android、iOS，因为这些系统的开发我们并不清楚，所以这个验证管理的兼容性是最大的问题，短时间内不考虑支持验证的软件和客户端，分析后想到都是支持浏览器上网 ，只要是网页形式验证并且不需要安装任何控件的基础上进行单用户的验证对兼容性没有任何需求了，在任何一台能打开网页的终端上都可以通过认证。

3.1.2接入终端安全权限 无线接入终端的安全权限分为三部分考虑：一是，无线连接的验证配置为wpa2,开启无线隔离，关闭无线信号广播功能；二是，内网连接上将配置的无线设备使用的网段单独划分与其它网段在网络层隔离；三是，无线设备验证通过后将无线设备用户名与mac地址绑定。

3.1.3终端的带宽设置 根据不同用户的信道我设置不同的带宽和优先级，优先保障移动工作设备的连接，phone、pad工作使用的移动带宽纳入正常有线网路的带宽分配，而娱乐使用则限制带宽和连接低于正常带宽，对于外来用户采用限时接入的方式。 3.1.4所用设备和软件 对于所用设备和软件，重点考虑的是需不需要重新购买安全设备和验证软件及服务器。验证软件的考察中，咨询了我们使用的现有安全设备厂家，都没有在开发时考虑支持移动终端的验证，只支持pc电脑。所以，我们从现有的安全设备中选择那些只支持pc上网网页验证的安全设备测试，发现在访问互联网过程中可以以网页形式正常验证无线设备。所需服务器上，我们用了一台闲置的普通服务器，服务器软件考虑使用较为熟悉的RAdius。

3.2实现步骤和详细配置 通过对现有安全设备的验证功能测试和无线Ap的统计及安全验证方式与流程的探索，我们进行了以下4步调试并最终达到了我们预期的效果。拓扑图如下：

3.2.1实施部署步骤 按照顺序逐步进行内网安全、无线AP统一配置、验证服务器架设、终端验证页面的四个方法配置

3.2.2详细配置流程（本文只列出独立功能的配置命令，限于篇幅未列出基础配置命令）

3.2.2.1进入核心三层交换机配置无线网段并设置该网段的隔离 这里我们使用的是华为交换机，其他品牌交换机配置命令略有区别但实现的功能是一样的，详见以下配置： 1．建立无线网使用的网段 vlan 20 int Vlan 20 ip add 192.168.20.1 255.255.255.0 2．配置网段隔离 我们使用的acl方式 acl number 3000 match-order auto rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule deny ip source 192.168.0.0 0.0.255.255 destination 192.168.20.0 0.0.0.255 int G 1/1/1 port link-type trunk port trunk permit vlan all packet-filter inbound ip-group 3000 3．加入dhcp服务 dhcp server ip-pool ap_2 network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 218.104.78.2 61.132.163.68 208.67.222.222 8.8.8.8 3.2.2.2 AP上配置统一的信道密钥和无线隔离 我们ap使用的是h3c的两款产品，都是启用基本功能，没有特性配置 1．设定一个无线信号 ssid phone ssid phone set vlan 20 bind domain system encryption suite ccmp authentication psk ascii ***** security-mode wpa2 interface Wireless-access2/1 bind ssid phone access uplayer 2．启用无线隔离关闭广播 user-isolation hide-ssid 3.2.2.3配置pc server的radius服务器 前期其它服务器上使用过一个免费的radius软件这里就不去配置ias了,是一样的效果 任意一台pc服务器上安装好操作系统后直接运行radius认证软件，这里只需在软件上配置nas密钥和认证端口即可 3.2.2.4安全网关型设备上配置验证 通过对现有设备的比较测试我们使用的是上网行为管理这个架设在出口位置的桥接设备，在这个设备上有弹出web页面验证的功能，一般安全网关型设备、常见的网吧校园网的设备都自带这种认证功能。 1.启用无线网段vlan20的认证，直接在设备的页面上点击启用即可 2.连接认证服务器就是我们上面安装的radius软件服务器，在页面上输入radius服务器的ip地址和配置的nas密钥

4、系统应用效果和问题

4.1无线终端的入网流程 任何一台无线终端接入网络需要进行以下几个步骤：如下图

4.2 系统应用效果 4.2.1用户访问速度稳定 在完成配置实施后，经过一段时间的使用，工作用户反映良好，没有再出现连接和速度上的问题，由于少了很多未授权用户和视频流的限制，非工作用户使用也没有出现问题，使用无线的其他设备（监控等）也工作正常，没有再出现中断。 4.2.2用户甄别无误 所有用户连接无线上网必须通过两层验证，首先选择授权的无线信号，输入正确的密钥，再在弹出的页面内输入申请过的用户名密码才能连接到无线网。经过测试和用户反馈，没有授权的、用户密码错误的都无法连接，极大保障了工作用户的无线访问。 4.2.3安全控制全面 对无线安全加强的设置在实际使用中杜绝了非授权连接，信号隐蔽，单位外用户找不到信号，内部用户没有授权也连接不上，连接上的用户之间也是和内网隔离的，不授权内网资源的用户无法访问内网。 4.2.4用户管理方便 用户的密码都设置在一台RADIUS服务器上，增加删除用户直接登录RADIUS服务器，没有复杂的设置，用户使用情况在安全网关上有详细日志，检查方便。

4.3出现的问题和解决办法 此方案实施后，通过监控没有发现未授权用户接入使用网络，所有授权接入无线用户都在可管理状态。但也出现了一些零星的小问题，比如： 4.3.1无法跳转验证页面 这种验证方式使用至今，应用良好，大部分用户管理验证没有问题。但有个别用户出现跳转不出验证页面的现象，反复操作发现是浏览器问题，使用终端默认浏览器时没有问题，都是在使用的后期安装的其他浏览器，例如UC浏览器等会出现不能验证的情况，告知用户后问题解决。 4.3.2登录验证密码错误 有些用户开始验证没有问题，后期突然出现登录验证中一直出现密码错误的故障，我们初始设置的密码为数字英文，但在服务器上可以看到用户输入的密码为汉字字符型数字，在终端上多次输入均无法更改成英文的数字，判断是用户后期安装的输入法导致，最后只能更改密码。

5、结束语 安徽报业大厦无线网络安全管控系统具备安全、高效、低成本的特征。在安全性上，避免了普通未授权用户接入访问网络，即使可以破解无线网wpa2等验证接入了无线网也访问不了内网资源干扰不到其他无线终端；使用了绑定用户密码和MAC地址等措施，一个用户在首次成功登录后即在服务器和设备上绑定，在本无线网中这台设备就用不了其他用户密码登录，这个用户密码也不能用在其他设备上了。在兼容性上，对AP和终端也没有任何要求，只要是可配置的AP和支持wifi功能的终端都可以使用。在实用性上，配置简单快捷，利用原有设备，无需专业服务器，低成本实现，快速高效的解决了无线网络安全管控问题，已成为大厦总体网络安全管控的一个重要组成部分。

参考文献 H3C.打造可管理的宽带企业内部无线网新一代无线WLAN组网解决方案.微型计算机.2010年.第7期 朱利民. RADIUS认证服务器的实现.硅谷. 2009年.第23期 孙健，铁玲，诸鸿文.基于口令的无线局域网安全管理协议.计算机工程.2004年。09期 李歆，任纪生.无线局域网协议安全性研究与改进.电脑知识与技术（学术交流）.2007年.12期