您好, 访客   登录/注册

无线校园网用户群管理技术研究

来源:用户上传      作者:

  摘要基于上海交通职业技术学院南北两个校区,两个校区均采用无线校园网。用户群的管理实际是规定了用户所在组群的网络访问权限,并且能方便对南校区各用户进行操作与管理。尤其是在漫游用户进入南校区无线网络覆盖范围时,该用户在通过验证后的权限分配与用户组别归类,对信息资源安全起着很重要的作用。本论文在对用户群管理技术研究的同时,也对用户群管理的方案进行对比,提出并实现了以接入认证为基础的动态VLAN来对南校区无线用户群进行管理,并配置其访问权限。体现了用户群管理技术在用户漫游过程中很高的实用性与价值。
  关键词 无线校园网,漫游,动态VLAN,用户群管理
  
  the research for Management Technique of user group in wireless campus network
  Chen wei
  (Department of Civil Aviation Engineering, Shanghai Transportation Professional Technology Institute, Shanghai 200232, China)
  AbstractThe foundation of my opinion is due to having two institute areas respectively in Southern and Northern places, which are equipped with wireless campus network. The management of user group is to regulate the net visiting limitation and to facilitate the application of users in southern place. When the roaming user entry into the wireless southern campus network, he/she will be checked by the net visiting limitation and user group classification. In such a way does have an important role in the information resource security.This paper on the basis of technique research and project comparison points out the management of dynamic VLAN and the allocation of net visiting limitation for the user groups in the southern place, which embodies the practical value of the management technique of user group in the process of roaming.
  KeywordWireless campus network,The roaming,dynamic VLAN,Management of user group
  1. 研究的意义与背景
   论文观点提出的依据主要是由于上海交通职业技术学院存在着南北两个校区,教师与学生不可避免的会在两个校区之间流动,如:教师跨校区上课或是学生的重修等。当用户进入异区时,原本在其本地无线网络中的连接与使用权限就会失效,此刻异区用户需要接入无线网并被分配其使用权限。因此,在无线校园网中实现用户群的合理划分与管理很有意义的。
   本文本论亮点在于以接入认证为基础的动态VLAN来对南校区无线用户群进行管理,实现论文的中心论点并应用到无线校园网的有效管理系统中去。论文也对北校区用户群管理的方案并进行对比,使文章的结构,内容更为丰富与充实,从而也体现了校区无线校园网用户群管理与应用技术的可靠与可行性。另外,用户群的划分与管理也是“漫游”技术实现的重要环节之一。
  
  2. 无线用户群管理的实现
   南校区的注册用户主要为各专业的学生以及在校的教职员工。一般来讲,他们都可以通过验证,成功接入南校区无线校园网。随着用户数量的提高,用户在访问网络时,如果能为用户划分成组群,就能更有组织的对用户群进行管理,并且能根据用户所在的群组,给予一定的网络访问权限,提高网络的安全性。采用具有灵活与实用的技术来对用户群进行划分与管理,就显的很重要。
   VLAN技术在有线校园网络中已经得到了广泛的使用,同样采用无线VLAN技术也可对整个无线网络进行集中管理。用户可根据业务需要快速组建和调整VLAN。当链路拥挤时,利用管理程序可重新分配业务。使用VLAN节省了带宽,提高了网络处理能力。增强了校园网的安全性。VLAN内的用户不能和其它VLAN内的用户直接通信,但是可以通过三层交换机实现相互的通信。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。所以利用无线VLAN技术,可以对用户群进行管理。
   首先校区可以考虑利用MAC地址的无线VLAN来管理用户。这种划分VLAN的方法是根据每个用户移动终端的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。可以在认证服务器中,建立关于校区每个用户移动终端的MAC地址的记录,并以此为根据来划分管理VLAN用户群。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个AP换到其他的AP时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千用户的话,配置是非常累的。而且这种划分的方法也导致了AP执行效率的降低,因为在每一个AP点都可能存在很多个VLAN组的成员,这样就无法限制广播包了。如果只要有用户更换了网卡,这样VLAN就必须不停地配置。另外,当有“异区”用户进入时,由于无法知道该用户移动终端的MAC地址,在接入认证时,就无法通过认证来访问网络。可见,这种方案无法有效的管理用户群。
   由于校区建立了接入认证系统,非授权用户一般无法使用网络资源。最理想的方法是能采用用户自助方式,但是在未经认证之前,将用户置于一个公共VLAN ID:GUEST VLAN 中。当用户通过认证之后,根据用户的在服务器数据中的注册信息下发动态的VLAN ID,并给予用户权限访问网络。对于“异区用户”也可以访客身份使用公共账号访问公共资源。
   所以,南校区采用以无线接入认证系统为基础的动态VLAN技术进行用户群的管理。
  
  
  
  
  
  
  
  
   图1 南校区用户群管理方案示意图
  
   在校园网基于用户授权方式的网络管理中,用户通过认证,获得访问网络的权限。授权包括用户可访问的网络范围,以及用户可获得的网络服务质量,如:访问带宽、访问优先级。在南校区的无线校园网中,为了方便用户群的管理,无线动态VLAN并结合接入认证系统,提供了一种更模块化、更简单的管理方式。

   用户群管理实现的过程为:
  利用用户的身份信息配置VLAN ID,划分用户群。
   RADIUS服务器(此服务器中带有CAMS功能)中已经对校区内注册用户的信息给予记录在数据库中了。一般来说,在南校区的注册用户中,主要包括了在校的学生、教师以及教辅员工。这些人员的身份信息在数据库中是有记录的,根据这些信息可以预先校区的分为若干组群。VLAN ID:Students 1・・・ID n:Students n,这是学生按专业分成的若干组群,该VLAN用户可以访问部分校园网内部与外部资源,其中包括下载各种课件、收取校园通告等权限,其带宽严格受限。任课教师分成一个组群为VLAN ID:Teacher VLAN,该VLAN用户可以访问校园网内部与外部全部资源,其带宽不受限制。教辅员工分为一个组群为VLAN ID:Workers VLAN,该VLAN用户可以访问校园网内部与外部全部资源,其带宽不受限制。对于“异区用户”、下线用户与在认证前用户都编入一个ID:GUEST VLAN 中去。该VLAN用户被给予了公共账号密码,可以访问一个特定的网络资源(这些资源统一放在一个公共的服务器上)但无法访问校园网的外部资源;认证失败用户分配在VLAN ID:NO USE VLAN中,禁止其访问权。
  授权配置的动态下发实现用户管理
   将一组基于用户群或“异区”用户定制的策略配置在各个用户信息中,并且为每个用户群或“异区”用户预先分配其授权文件(在授权文件中作包括访问的端口、带宽限速、VLAN等),授权文件保存在服务器中,也可以修改与删除。校区注册用户通过验证之后(验证过程详见图2),RADIUS服务器(此服务器中带有CAMS功能)动态下发VLAN ID给对应的无线接入点,通过AP并给该VLAN用户群动态下发其授权文件配置,覆盖用户在接入认证之前所在的GUEST VLAN 用户群,使该用户群能动态获得其可以访问的网络范围,访问带宽以及访问优先级;如果用户下线、注销后,用户群权限的关联自动解除,该组群又重新属于GUEST VLAN 用户群。
  
  
  
  
  
  
  
   图2 南校区用户群动态VLAN与访问权限发放实现过程
  
   3. 用户群管理技术对“异区漫游”中的实用价值
   在“异区漫游”过程中当实现了IP地址的无缝转换后,其实该用户已经成为南校区无线用户群中的访客用户,属于GUEST VLAN 该用户群中。异区用户、下线用户都属于这个VLAN。该VLAN中用户被给予了公共账号密码,只能访问很少的一个特定的网络资源(这些资源统一放在一个公共的服务器上),但是无法访问校园网的外部资源,其分配的带宽也是受限制的。这主要是因为异区用户并没有通过接入认证,无法成为南校区各合法用户群中的一员。因此,隶属于GUEST VLAN该组的异区用户并没有真正意义上使用到南校区的网络资源。反之,南校区认证服务器在接受到北校区认证服务器的验证有效的用户信息后,开始进行认证异区用户的合法性。如果认证成功之后,查看该用户的身份,将其编入到相应的VLAN用户群中,分配给异区用户访问的权限(用户群管理详见本章第2节),然后,异区用户就可以开始真正使用南校区的网络资源或是访问外网了。漫游用户的权限完全是根据其所在的群来分配的,因此用户群管理技术在漫游中体现了很高的实用性与价值。
  
  3. 结论与展望
   本文主要针对上海交通职业技术学院存在南北校区的特点,无线用户群管理技术可以有效地避免广播风暴的产生,减少主干流量消耗,提高网络性能;解决校园网安全保密和资源共享的矛盾和安全性与灵活管理的矛盾;为网络配置和管理提供了良好的方法。
   1. 使用效果
   当北校区的教师进入我校区无线覆盖时,他的笔记本电脑在处于短暂的IP切换后,北区教师可以通过信号强的AP,无须密码。接入到校区内的公共资源中去,但无法访问外网。在接入时,北区教师只要输入在北校区的他使用的ID与密码(必须是北校区注册用户),通过两校区RADIUS服务器的用户信息交换,十几秒后(有时也会有超时现象出现),就能接入南校区的无线网络了,根据教师用户群VLAN的权限,他可以使用任何网络资源与上外网。
   但是南校区的无线用户群管理系统也有一些问题存在,如:接入认证时会有超时现象,尤其是使用人数多的情况下;网速慢;两地认证服务器在传递用户信息时安全性不高,有时会有传输中断的现象等。另外,本系统所讲的“异区”,还是狭义的,只实现了我校南北校区用户群管理,对于外校用户的是无法实现的。
  2. 用户管理优化建议
   第一,为了节省下次认证的时间与开销,避免两校区的认证系统频繁调用用户的信息,引起网络的延时,南校区的认证系统在第一次接受完异区用户的信息之后,就将该异区用户的信息记录在了数据库中,供该用户再次漫游接入认证时使用;第二,优化AP点的设置,减少盲区;第三,维护与刷新用户的数据与系统的配置;第四,加强流量的控制管理;
   在无线校园网被广泛应用的今天, 研究与完善我南校区无线校园网实施方案可以很好地满足校园网的实际应用要求。因此,研究与推进无线网络技术在校园网建设中的进一步应用是本校区网路建设今后的重点。
  
  参考文献
  牛伟,郭世泽,吴志军等.无线局域网[M]. 北京:人民邮电出版社,2003
  曹秀英,耿驾,沈平等编著.无线局域网安全系统[M]. 北京:电子工业出版社,2004
  徐朴,卢平,江朔.无线局域网 HiperLan/2标准综述[S]. 中兴通讯技术出版社,2001,5(8)
  韩玮.无线局域网安全技术研究[D]. 西安电子科技大学,2003
  赖晓龙.802.11WLAN安全技术[D]. 西安电子科技大学,2004
  刘元安等.宽带无线接入和无线局域网[M].北京:北京邮电大学出版社,2000
  Nichols.R.K, Lekkas.P.C. Wireless Security-Models, Threats, and Solutions. [M]. New York: McGraw-Hill, 2002
  Roxenblit.M. Security for Telecommunications Network Management. [M]. New York: Telcordia Technologies, Inc., 1999
  Russell Dean Vines. Wireless Security Essentials Defending Mobile System from Data Privacy. Ned Jersey: Wiley Publishing, Inc., 2002[J].
  Brian Carter, Russell Shum way. Wireless Security End to End. [M]. New Jersey: Wiley Publishing, Inc,.2002
  


转载注明来源:https://www.xzbu.com/2/view-568121.htm