高校校园无线网络认证系统研究

马健

摘要：无线网络是目前各大高校骨干网络建设后的主要建设项目之一，因为无线上网具有比传统网络连接方式很大的便利性，但是在移动认证上具有一定的挑战，也是高校校园内规划网络时主要衡量的因素，该文提出了以web-based并以使用者身份认证基础的研究，采用Linux、PHP/MYSQL、IPTables等技术，避免权限设置问题，并运用到高校的校园网络环境，为今后其他高校使用无线网络提供了方案策略。

关键词：网络认证；无线网络；IPTables；

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）13-0041-02

1 前言

随着科技的发展，网络在社会中的普及，从有线网络到随处可以上网的无线网络，上网人数在不断增加，尤其是在校园资源有限，人数增多的情况下，网络管理人员如何将提供给广大师生优质是网络信号进行服务，避免资源浪费，除了应用网络设备之外，必须建立全方位网络管理系统，促进管理者维护网络效能策略的提高。

在校园内部，由于每年学生人数的不断增加，学生上网需要不断加大，而且上网时间较长，对于目前校园内使用的IPv4网络已经出现不能满足校园网络的需求，因此，为了能够解决此问题，适度的使用网络资源，建立一个无线的网络系统并进行无线认证是迫在眉睫。

本文通过Web based 认证系统来取代原有的MAC的方式，全校的师生只要通过输入自己的账号和密码就能上网，这样操作简单，而且即使有外来人员，也可以单独开发一个账号进行上网[1]，这样方便学校对账号进行管理，学生和教师进行认证必须通过学校提供的名单进行实名认证，这样不仅仅解决上网问题，还可以对网络信息和网络资源等进行跟踪，挖掘出上网者的上网时间和模式等情况。

2 无线网络的研究

目前无线网络管理主要是通过网络监控锁MAC技术及采用的EAP等认证方式，大多数使用者都是采用的MAC模式，[2]网络管理人员对其管理比较繁琐，而EAP是目前IEEE802.1X

所制定的标准，是可以加密的协议，通过RADIUS服务器来对使用者进行集中管理，使用者必须通过认证方可上网。

EAP的优点是它可以和学校的账号密码相结合，并且还可以在分校区进行跨网合作，无论是哪个校区，都可以使用无线网络，网络的服务器可以是互相连通的[3]。但是目前EAP不是普遍使用的技术，有些网卡不能支持EAP的认证方式，所以需要购买无线网卡。

本文在两种无线认证的方式为基础开发了一套以web based为基础，利用linux IPTables 及LDAP的网络环境认证管理系统，进行人性化、方便操作的认证系统。

3 校园WLAN系统架构

本文结合校园WLAN的实际情况，将校园内部网络欲对外连线的封包全部挡下，并转向至linux server的 80端口，如图1所。使用者需要通过认证后才能上网，在网页关了方面我们使用PHP +MYSQL，硬件方面需要安装两个网卡，一个需要连接虚拟IP，另一个网卡则连接到对外的Switch上，挡虚拟Ip的封包经过ethi进入linux时，系统会因为IPTables的PREROUTING Chain 锁定，而将封包挡下并转向到本机的80端口，以Web based方式让使用者进行认证，通过PHP 将使用者输入的账号密码与LDAP的信息进行对比[4]。当使用者通过认证之后，PHP会在MYSQL数据库中存储信息，并更改IPTables的设定，让使用者能够上网，最后经过Source NAT连接出去。

为了维护网络资源，我们使用了一个机制，系统会根据网络管理人员所设定的时间去侦测每位上网者的连线情况，并根据ICMP的回应来判断使用者是否还在线上，如果发现某位上网者已经连续两次没有回应，此时为了避免资源的浪费，我们会将使用者自MYSQL及IPTables的名单中删除，使用者以后再次上网时，必须通过认证才能上网。

这些使用者信息我们将进行保存在mysql里面，并在下面列出几个重要设置的说明：

1）id：记录使用者的学号；

2）login_ip ：使用者上网所使用的ip；

3）login_time：使用者开始上网的时间；

4）checked：判断使用者是否已通过认证；

5）idle_time：闲置次数，若使用者超过两次会被强制离线。

3.1 OpenLDAP的相关设置

在建立LDAP的Entry时，我们利用cn及userpassword等相关属性，如下列所示：

dn：cn=m303016101@stut.edu.tw，dc=stut，dc=edu，dc=tw

cn：m303016101

userpassword：{crypt}yvnAPVOWByG46

objcetClass：person

……

由于LDAP Server 存储了全校师生的相关信息，而在进行认证的时候，PHP会依据使用者所输入的账号密码与LDAP Server进行对比，并传回验证成功或者失败的信息，然后根据信息去处理相应的操作。

3.2 IPTables 的相关设置

在PREROUTING Chain 的设置部分如下所示：

Iptables-A RPEROUTING-t nat-p tcp-j

REDIRECT—to-port 80

Iptables-A PREROUTING –t nat-p udp-j

REDIRECT—to-port 80

由于PREROUTING Chain 是内部网络封包最先进来的地方，所以我们在此将尚未通过认证的使用者拦下，并转向至本机的80 端口，以便进行认证操作，而使用者通过认证时，系统便会再次更改PREROUTING Chain 的规则，让使用者在后续上网的部分不会因锁定而无法上网。使用者通过认证在PREROUTING Chain 的部分命令如下所示：

Iptables-I PREROUTING - t nat-s 使用者IP/32-j

ACCEPT

上述指令将置于PREROUTING Chain 的最前面，所以通过认证的IP不会受到REDIRECT设定的影响，而使用者的IP会为虚拟IP时，则通过PREROUTING Chain的设定使其转化为合法IP。认证系统的流程图如图2所示。

4 结束语

本文提出校园可行的无线网络认证方式，系统设计理念上完全使用开发原始码的软件，而对于使用者来说，仅需要在第一次上网使用浏览器时，认证系统会自动将其引导相关的认证网页界面上，来进行使用者账号确认的操作。而且我们还可以利用所取得的信息来进一步分析使用者的上网行为，为以后网络管理提供数据参考。

参考文献：

[1] 杨秀梅， 郑剑. 校园无线网部署方案研究[J]. 华东师范大学学报， 2015（S1）.

[2] 马帅营， 魏金良， 阿古达木. 基于细粒度标签的校园无线网弹性qos优化[J]. 大连民族学院学报， 2015，17（5）.

[3] 李玉平. 浅谈高校校园无线网规划与建设[J]. 齐齐哈尔工程学院学报， 2012， 6（4）.

[4] 李巍， 王琪全， 陈鑫玮. 面向校园无线网的位置服务系统[J]. 中山大学学报， 2009（48）.