eduroam(education roaming)作为一种安全的国际学术网络WiFi漫游服务,2014年引入中国,2017年被列入CERNET基础服务。目前正在快速向CERNET会员高校推广,截止到2018年11月初,eduroam@CERNET已覆盖全国26省53市148所大学。这项服务推广以来,技术团队以方便学校管理员管理和运维、方便用户使用、使加入学校充分用好已建服务等为目标,持续关注安全管控和对学校计费模式冲击等学校开通eduroam服务的痛点问题,以技术实现带动服务提升,实践总结了一些有实际意义的方法经验,特此分享。
(一)采取联合运维模式,消除安全管控担忧(大家帮助大家)
目标:国内高校间去除安全管控,全面开放
由于国内对网络安全有严格要求,高校出于安全考虑,对完全开放eduroam漫游服务存在或多或少的顾虑,为此,从高校安全管理需求出发,同时最大限度做到eduroam开放共享,北京大学eduroam技术团队发起了“高校间联合运维模式”。
高校间联合运维模式通过高校间共享更多运维信息、故障排查手段、用户信息等,实现了“我校”用户的问题和“你校”一起排查,变学校单独解决为大家互助解决问题。具体实现方面,是在eduroam运行分析系统中增加了联合运维功能,通过该系统,可以找到需要联合排查问题的其他高校的管理员,进行线上线下联系;也可以了解本校用户在其他高校的漫游情况,等等,详细功能和作用可参见“表:联合运维系统的功能&作用”。
表:联合运维系统的功能&作用
| 联合运维 |
功能&作用 |
需要他校人工协助 |
| 基本情况 |
联合运维学校清单,共享学校管理员联系方式。 |
否 |
| 校外漫游 |
查询我校某用户某段时间在教育网eduroam漫游记录,了解用户的漫游情况。 |
否 |
| 故障排查 |
查看某学校最近eduroam服务提供情况,探测某项服务当前是否正常,了解某学校eduroam访客管理策略。 |
否 |
| 多点探测 |
在多个地点,探测某eduroam账号是否正常。 |
否 |
| 用户审计 |
向某校提交申请,请求协助,人工完成用户审计。 |
是 |
| 教育网top |
使用量前几学校的来访出访量。 |
否 |
| 可疑账号 |
非正常漫游用户名单。提醒学校管理员eduroam服务的异 常使用。 |
否 |
| 校间互访 |
以月报、日报的形式汇总我校和国内其他高校来访出访情况。 |
否 |
(二)允许本校用户使用本校eduroam,不影响校园网管理,漫游前提前体验
在现有eduroam技术架构基础上,通过简单配置,可以支持本校用户使用本校eduroam,在为师生提供在校体验eduroam服务的同时,不影响现有校园网管理和收费政策。具体技术方案登陆https://www.eduroam.edu.cn,我的调试。
以北京大学为例,在radius服务器etc/raddb/site-available/default文件的post-auth模块中添加如下图所示配置,对用户id“@”后为“pku.edu.cn”的用户,分配的vlan id为“3140”,该vlan id与无线控制器(AC)上分配给本校WiFi(如,PKU)的vlan id相同。
(三)实施弱管控,减小对学校计费的不良影响
自2018年11月开始,学校eduroam管理员将定期收到“漫游用户top清单”,了解漫游量较大用户情况。由身份所在校终止用户漫游权限,将减小对其他学校计费的不良影响。
图中记录了某个用户a@x.edu.cn,漫游到其他单位的总体漫游情况。漫游次数过多,有可能影响到其他单位的校园网计费。如果x.edu.cn管理员禁止了a@x.edu.cn用户的漫游权限,对其他单位的不良影响将会降低。
为避免eduroam访客占用资源冲击本校计费政策,到访校可以在以下几个方面进行限制:
现有校园网主流计费厂商提供eduroam访客管控产品,技术成熟,可酌情采购。
(四)用户端eduroam微信小程序,简化运维服务
面向eduroam用户,推出了用户端eduroam微信小程序,提供覆盖范围地图,包含用户端常用工具,用户可实时查找eduroam信号、获取eduroam帮助信息以及自我诊断eduroam问题。
经过两年多的建设和一百多所高校的应用实践,教育网eduroam@CERNET运行机制已见雏形,运维服务不断深化,管理机制逐步清晰,已进入良性、平稳发展阶段。
