北京建筑大学扁平网络环境下实现Eduroam的溯源审计

文/牟综磊 任彦龙

Eduroam概述

多年来，通过实施“211工程”、“985工程”以及“优势学科创新平台”和“特色重点学科项目”等重点建设，国家的高等教育水平有了显著的提高，同时涌现一批重点高校和重点学科建设，为经济社会持续健康发展作出了重要贡献。随着信息化时代的到来，党中央、国务院做出建设“世界一流大学”和“一流学科”的重大战略决策。国内高校之间以及与国际高校之间的合作交流日趋增加，随着相互之间合作的不断深入，高校师生在国内和国际流动更加频繁，访问学者和交换生的数量不断增长，国内国外学术研讨会议日渐频繁，对网络的需求也在迅速的增长。当访问者来校进行访问学习时，学校需要给其建立临时网络账号，这给学校的网络管理带来很多的不便和运维成本。全球无线漫游联盟为了更好地解决这一问题，提出全球教育无线网漫游联盟（Education roaming），简称Eduroam。

Eduroam的实现，很好地解决了高校教育机构之间跨区域学术交流，所有已加入Eduroam联盟的机构，用户可以使用原单位提供的网络账号，在全球范围内连接已加入Eduroam机构的无线网络。Eduroam很好地满足了授权用户在成员教育机构可以安全畅享无线网络，从而减轻了访问高校网络的工作，提高了各项办事效率。目前，欧美国家和日本几乎所有大学都是Eduroam成员，我国的跨域无线漫游技术还处于发展阶段，但是随着国内外高校的交流增多，提供便利的网络接入、加入Eduroam联盟将是大势所趋。

认证机制

Eduroam是由欧洲研究与教育协会提出的，一种应用了802.1x协议的专为研究和教育机构开发的国际无线漫游接入认证服务。Eduroam认证机制是在全球范围内为加入的机构建立了Radius代理服务器的树形结构，该架构主要包括下面几部分：顶级认证服务器（TLR）、联盟级的认证服务器（FLRS）、校园级认证服务器、级联认证服务器、身份管理系统。用户在连接到访机构的无线网络时，身份认证信息将从到访机构的认证服务器通过上述的树形架构传送用户认证信息到所在机构的认证服务器中进行身份的识别。具体认证过程如图1所示。

图1 Eduroam认证过程

1.当来自机构B的用户在机构A连接无线网时，发起Eduroam网络认证请求，机构B用户的认证信息含有机构B的域名通过无线AP发送到Authenticator，启动802.1x认证过程。

2.交换机将请求信息发送到机构A认证服务器，对认证信息进行判断，将认证请求转发到联盟级认证服务器以及顶级认证服务器，对访问请求信息进行判断，如果@机构B域名属于联盟用户，转发到机构B认证服务器。

3.机构B认证服务器对请求进行认证，认证完毕将认证信息通过Radius代理服务器转发回机构A认证服务器。

4.机构A将结果转发到Authenticator。Authenticator对机构B用户授权无线网络。

使用特色

访问学者和访问学生日渐增加，国际国内相互间交流非常频繁，学校交换生数量逐年递增，校内师生国内外开会学习时使用网络的需求也在日益增加，部署Eduroam无线漫游认证可以很好的解决以上问题，同时，我们学校根据学校实际情况，为更好地实现网络安全和审计，搭建了扁平化网络架构。

扁平化网络架构设计

当前很多学校网络采用三层网络架构，即接入—汇聚—核心。接入至汇聚为二层链路，汇聚至核心为三层链路，为了确保终端用户的安全接入以及网络的稳定运行，往往在接入与汇聚设备上部署特别多的完全策略，并且尽可能地简化核心的配置，确保核心高速转发流量（包括正常流量、异常攻击流量、非法接入的流量）。同时，校园网采用上述粗放型的网络架构设计，网络仍然存在无法实现差异化服务，简单互通，无法针对不同群体用户实现不同的服务；用户之间互相影响，网络中的攻击泛滥；无序使用，访问过程没有完整的记录、审计和基于用户的控制等诸多问题。

结合上述问题，经过多方调研和探讨，决定采用扁平化网络架构设计来解决传统校园网的问题。全新的网络业务处理流程如图2所示，可以很好地定位和溯源网络用户，解决了安全审计等问题。

对于学校未来的网络发展，我们为学校引入了IPoE的接入方式。IPoE是一种新型的接入方式，后台BAS在给前端每一个接入用户分配IP地址时，BAS都将配合后台的Radius进行相关DHCP Option信息认证，然后会在内部生成一个针对此用户的逻辑通道DSI（Dynamic Service Interface），并可以配合认证结果在此逻辑DSI接口上下发相应的用户策略，从而实现差异化的服务和精细化的管理。每个用户的DSI通道完全独立和隔离，换个角度而言这实际上是：“账号—IP地址—MAC地址—DSI session ID”的绑定，任何盗用IP甚至盗用账号的问题将不复存在，真正实现了PUPSPV（Per User Per Service Per VLAN）。

图2 网络业务处理流程

SSID使用隐藏式发布

Eduroam的SSID是隐藏式的发布，并没有对全校师生进行公开。只有涉外的部门掌握Eduroam的使用方法，通知官方访问团或交换生使用，访客信息可控。Eduroam只是针对于来校的访问学者和访问学生以及到其他高校访问的我校师生使用，并不需要面向全校师生，隐藏式发布同时可以使网络更加的安全。因此，Eduroam的SSID是隐藏式的发布。

在Eduroam审计上的思考

采用扁平化网络结构设计，学校实现了“账号—IP地址—MAC地址—DSI session ID”的关联，通过接入端口的采集信息，可以查询接入用户获得的IP地址、终端MAC、上线准确的时间、甚至从哪个设备来、出口在哪里，这样利于接入定位。其次，还可以通过计费系统进行数据的采集信息，可以记录IP、用户的账号及上线的时间等。最后，通过出口日志采集到的信息与接口采集信息、计费系统采集信息关联进行查询，最终能得到哪一个用户、在什么时候、从哪儿接入网络最终去了哪里，更有效地实现了对网络的监控，可以分层次、分等级的多维梯次审计。另外，校园网络结构的不同，对Eduroam的服务支持也会有所差异，我们的网络结构支撑审计策略。

Eduroam展现的是一个高校的情怀，不应拒绝，而应敞开怀抱，同时，也是高校意识形态和办学理念的一种体现形式，基于Eduroam无线漫游认证很好地为高校师生的访学提供网络资源。本文主要针对学校Eduroam的部署和特点的考虑做了阐述，用户的使用体验是Eduroam得以发展壮大的基本前提，分层级、分等级的多维梯次的审计，能更有效地控制访客的信息。