中国科学技术大学 共享Eduroam联盟无线网络服务

文/张焕杰

中国科学技术大学 共享Eduroam联盟无线网络服务

文/张焕杰

Eduroam联盟无线网络服务

Eduroam（Education Roaming，https://www. Eduroam.org/）是一种安全的全球学术网络Wi-Fi漫游服务，目前已经覆盖全球七十多个国家和地区的大学及科研机构。参与该联盟的机构只需在本单位设立Eduroam账户，用户即可使用原机构提供的合法账号，在全球已参与Eduroam联盟机构内实现无线网络访问的无障碍漫游。

加入Eduroam联盟的成员，要提供RADIUS服务器以实现认证、计费（计费不是必需的）功能，还要提供支持802.1X认证的无线接入服务设施以便用户使用无线网络。部署Eduroam无线服务的SSID必须为Eduroam，并且必须免费向联盟成员用户提供。

当用户连接无线接入服务设施时，需要提供用户名、密码等信息用来认证身份。无线接入设施将用户名（含认证的域名）、密码经过加密处理后，利用RADIUS协议发送给本地RADIUS服务器请求认证。本地RADIUS服务器根据用户提供的认证域信息进行判断，如果是本域用户，RADIUS服务直接给出允许或拒绝用户接入的应答；如果是其他联盟用户，RADIUS服务器将认证请求转发给上一级RADIUS服务器，通过若干RADIUS服务器转发给用户所在域的RADIUS服务器，最后将认证应答发送给无线接入设施。

整个认证过程中，用户提供的密码仅仅在用户的无线终端设备（如手机、笔记本电脑）内明文处理，离开终端之后传输的不是密码明文，而是经加密或处理后的密码，因此非常安全。

中国科学院计算机网络信息中心负责管理Eduroam中国无线网漫游交换中心（http://Eduroam.cstnet.cn/），它的服务器负责.cn认证域的转发，而北京大学的服务器负责.edu.cn认证域的转发。

中科大无线网

学校网络信息中心在图书馆、会议室、食堂、操场等公共区域部署了无线（Wi-Fi）接入点，以满足师生使用笔记本电脑、手机、平板等移动应用需求。

网络信息中心部署的无线SSID有如下几种：

图1 校园网无线AP状态

ustcnet：无需登录，只能访问校内网络，访问校外网络时需要登录“网络通”账号。

ustc-guest：用户使用手机号码验证后，可以访问校外网络。

CMCC-EDU：直接转发给中国移动设备，由移动提供服务。

ChinaNET：直接转发给中国电信设备，由电信提供服务。

目前在线的AP约300台，2015年底会增加到约1500台。为了方便用户了解无线网络的工作情况，我们在 http://202.38.64.40/ap 发布各AP的工作状态，如图1所示。

Eduroam联盟无线网服务建设过程

随着学校国际化进程的发展，国内外研究者、学生的交流和访问越来越频繁。为了满足大学国际化趋势下用户的网络服务需求，学校在2015年5月8日加入Eduroam无线网络服务联盟并开通服务，详细的建设过程请见http://staff.ustc.edu.cn/～james/ Eduroam/。

1.基础准备工作

在无线控制器AC上设置一个Vlan（中国科大使用vlan196），设置好相关的IPv4/IPv6地址和DHCP信息，增加一个测试SSID，测试无线终端可以正常上网。

用户的认证信息，如用户名、明文密码等信息。

准备一个虚拟机用作RADIUS服务器，使用的是CentOS 6.6。

2.向Eduroam 中国无线网漫游交换中心提出接入申请

按照http://Eduroam.cstnet.cn/how. jhtml说明，下载申请表格，填写相关信息后，发送至邮箱Eduroam@cstnet. cn。

对方通过电话联系确认身份后，利用邮件发送相关的key和测试账号。这个key用于与北京大学管理的服务器通信使用。

3.安装RADIUS服务器

学校使用MySQL数据库和FreeRADIUS软件提供RADIUS服务，因此需安装mysql-server、mysql、freeRADIUS-mysql、freeRADIUS、freeRADIUS-utils、git软件包。其中git用来跟踪对FreeRADIUS配置文件的修改。安装软件后，参考/etc/raddb/sql/mysql/admin.sql和schema.sql文件创建相关的表，并设置严格的iptables包过滤规则保护RADIUS服务器。

4.配置RADIUS服务器

根据上述步骤获取的key，设置好北大的上游RADIUS服务器信息。增加无线控制器AC的客户信息。

设置认证来源为MySQL数据库。

为了更好地服务用户，建议为RADIUS服务器申请专门的SSL证书，并设置好相关的密钥信息。

往数据库表中添加一条测试用户记录，建立用户test，密码test123：

mysql RADIUS

＞INSERT INTO radcheck VALUES (1,'test','Cleartext-Password',':=','test123');

5. 配置无线控制器AC

参考无线控制器AC的配置文档，在无线控制器AC上增加Eduroam SSID，并设置该SSID使用802.1X认证，认证RADIUS服务器为配置的RADIUS服务器。

表1 RADIUS服务器应答统计

表2 无线接入情况统计

6. 测试连接

在RADIUS服务器上执行以下命令启用RADIUS进程：

RADIUSd -X

在无线终端上选择Eduroam SSID连接无线，输入上述test/test123用户名和密码，测试是否能正确连接。如果连接正常，还可以使用获取的测试账号，测试其他认证域用户的登录是否正常。

7. 正式开通

测试通过后，可以将用户信息导入Radcheck表，对外正式开通服务。

近半年的使用情况

学校的无线网络采用充分开放的理念，校内网络活动用户均可使用Eduroam SSID登录，其他机构的Eduroam用户均可以使用学校的无线网络设施。

RADIUS服务器在运行过程中，会将发出的应答记录在radpostauth表中，同时会将计费信息记录在radacct表中。

RADIUS服务器应答统计

表1是来自radpostauth表统计的RADIUS服务器各种应答。从中可以看到7月和8月有较多的拒绝接入应答，这一般是密码错误引起的，猜测这两个月外来的短期夏令营学生较多，大量用户尝试接入时引起的错误。

无线接入情况统计

表2是来自radacct计费表统计的学校无线设备接入情况。我们在使用中发现，一次会话时间小于60秒的用户多为未成功接入用户，这些用户往往并未正确连接无线网络。导致用户未成功接入的原因很多，其中较多的原因是RADIUS服务器的证书未被客户端信任引起，这些用户往往会在30秒钟左右断开连接。而一次会话超过60秒钟的用户，几乎都可以正常使用网络，是有效接入用户。从中可以看到接入的有效率多为70%左右，暂时还不清楚9月接入有效率明显下降的原因。

从上述统计也可以看到，随着用户对该项服务的了解，使用的用户越来越多，尤其是校外用户占比越来越多，说明该项服务对校外用户非常有吸引力。

在使用中发现802.1X认证方式兼容性稍差，偶尔会有部分设备不能接入，需要更多的用户测试和反馈。此外，FreeRADIUS系统内置的监控和管理功能不够丰富，无法对校内用户在其他机构的使用做出较好的统计，希望能找到解决办法。

（作者单位为中国科学技术大学网络信息中心）