臺中市教育網路-無線網路整合與使用
教網中心 網路組 黃國順
Fat AP 無線網路的使用
目前建置範圍:中區學校(原臺中市的國中小學)。
Fat AP 網路架構說明
NGN Core Switch
A學校
B學校 Radius
認證伺服器
Juniper Firewall
Juniper Firewall
無線網路使用者連通無線基地台後,使用瀏覽器上網瀏覽時會出現要求輸入 帳號密碼的對話視窗,此對話視窗由 Juniper Firewall 送出,使用者輸入帳號 密碼資料後,Juniper Firewall 會將帳號密碼資訊轉送至 Radius 伺服器上作帳 號及密碼認證查詢。
無線網路使用者取得的 IP 為 Private IP,由 Juniper Firewall 擔任 NAT
無線網路為不安全的不加密的連線方式
無線使用者上網由學校 Juniper Firewall 控管,要注意 Juniper Firewall 上關於 無線的 Firewall 規則,才不會產生無線網路使用者可以輕易攻擊學校電腦的 狀況。
為了方便本市市立中小學之教職員使用,請修改 Fat AP 上之無線 SSID 統一 改為 tc。
Thin AP 無線網路的使用
目前建置範圍:山海屯區學校(原臺中縣的國中小學),每校3個無線基地台。
Thin AP 網路架構說明
WLAN
Controller FG 防火牆
NGN Core
Switch A學校
B學校 GRE Tunnel
認證/Roaming 伺服器
Fortigate Firewall
Fortigate Firewall
※AP 與 WLAN Controller 間會建立 GRE Tunnel(使用 UDP 4500 Port 來傳送資 料) ,無線使用者連線後取得的 IP 由 WLAN Controller 派送。因此無線使用者 視同校外人士,以保障學校內部網路的安全。
無線基地台說明
Aruba AP-61 無線存取點規格
1. 內建一個 Ethernet Port RJ-45*1 同時可支援 POE (Power Over Ethernet) 及 SPOE (Serial Over Ethernet)。
2. 內建全向性天線,提供無線網路服務。
3. 單一無線 AP (Wireless Access Point) 須可支援 802.11a 及 802.11b/g 無線 傳輸標準。
4. 同一時間可設定為 802.11a 或 802.11b/g 模式,並通過 Wi-Fi 認證。
5. 提供自動頻道選擇功能,可控制無線 AP (Access Point) 自動選擇頻道以減少 干擾。
6. 提供無線基地台發送功率 (transmit power) 自動控制功能。
7. 提供 Access Point 負載平衡功能,可依照連線數量及使用率做負載平衡功 能。
8. 提供無線射頻覆蓋率 (Coverage Hole) 自動調整功能。
9. 提供自動涵蓋損毀 AP 之無線信號範圍 (Self Healing) 功能。
10. 提供無線基地台及無線網卡使用者偵測及定位功能 11. 以圖形方式顯示定位之無線基地台及無線網卡。
12. 提供 Wireless RMON 及 Wireless Packet Capture 功能。
燈號說明 由左而右
PWR 電源 ENET 有線網路 WLAN 無線網路
若正常運作的話,三個燈都會亮綠燈。
資料來源:http://www.arubanetworks.com/products/access-points/ap-60-61.php
無線網路登入方式
目前提供二種類型的無線網路登入方式:tc 及 tc-802.1x
Web Portal 使用 SSID 為 tc
連線後需先開啓瀏覽器,認證通過後才能上網瀏覽。
臺中市市立中小學教職員工:輸入教育局公務帳號及密碼後即可使用。
安全性說明:採用 Web Portal 認證方式,因無線使用者到無線 AP 這一 段並未加密傳送封包,因此有可能被有心人士蒐集封包加以分析竊取重 要的資料。因此採用 Web Portal 認證方式的使用者,要特別注意資料傳 送的安全性問題。
連線限制:因 Web Portal 為不安全的連線方式,因此連通後僅可使用 http https ftp 及 dns 等基本服務。
僅支援 IPv4
802.1x 使用 SSID 為 tc-802.1x
認證方式為 802.1x+WPA2+AES+PEAP+EAP-GTC Protected Extensible Authentication Protocol (PEAP) Generic Token Card (GTC)
支援 IPv4 及 IPv6
若您的作業系統是 Windows XP 請務必更新系統到 SP2 之後,並且無線 網卡的驅動程式也要更新到最新。
若網路驗證無「WPA2」代表需更新無線網卡驅動程式。
首次使用,需依您所使用的作業系統安裝認證所需的 EAP-GTC 加解密 元件。EAP-GTC 元件目前提供 Windows XP、Windows Vista 及 Windows 7(32/64 位元)。使用者可自行至 SSID tc 登入畫面中下載。
Windows XP 使用 tc-802.1x 安裝設定
Windows XP 首次使用請下載安裝 EAP-GTC_1.0.msi
※安裝完成後要重新啟動
Windows XP 及 Vista 可利用自動設定程式設定
至 SSID tc 的登入畫面下載「tc-802.1x.autoconf.zip」,並請解壓縮
Windows XP 執行內含的 wificfgxp.bat
Windows Vista 執行內含的 wificfgvista.bat
使用自動設定程式的方式限制:
必須使用微軟標準無線管理工具 Wireless Zero Configuration (WZC) 不使用各家無線網卡管理工具。例如 lenovo (IBM) 筆電需取消 Access Connection 工具。
需先安裝 EAP-GTC 元件
Windows XP 手動設定 802.1x 無線網路認證
※一定要先安裝 EAP-GTC 認證的模組程式
控制台網路連線在”無線網路連線”上按滑鼠右鍵,選內容
選”無線網路”頁按”新增” 輸入下列資訊:
網路名稱 (SSID): tc-802.1x 網路驗證: WPA2
資料加密: AES
點選”驗證”頁將 EAP 類型設為”Protected EAP (PEAP)”後選”內容”
更改驗證方法為 EAP Token 後按 確定
按「確認」完成設定
Windows 7 手動設定 802.1x 無線網路認證
※一定要先安裝 EAP-GTC 認證的模組程式
「控制台」「檢視網路狀態及工作」
「管理無線網路」
「新增」「手動建立網路設定檔」
輸入連線相關資料:
網路名稱:tc-802.1x
安全性類型:WPA2-Enterprise 加密類型:AES
「變更連線設定」「安全性」頁選擇網路驗證方法:「Microsoft: Protected EAP(PEAP)」「設定」選擇驗證方法:「EAP-Token」按「確定」完 成設定
Windows 7 連線
輸入公務帳號及密碼後按「OK」,若為其他無線漫遊單位請在帳號後加上
「@xxx.edu.tw」
連線成功
TANet 無線網路漫遊交換中心 參考:http://wifirc.niu.edu.tw
規劃管理說明
因 Web Portal 連線方式不安全,目前僅提供 HTTP、HTTPS、FTP 及 DNS 服務使用,未來會朝向僅提供 tc-802.1x 方式連線上網。tcc-802.1x 可使用之服務目前暫不限制。
無線網路使用者連線後 IP 統由教網中心 DHCP Server 發放,目前提供 範圍為 120.109.240.1~ 120.109.255.128 ,IPv4 Address 約可提供近 4 千 個無線使用者同時使用。
無線網路使用者對外流量會經過防火牆、縣網入侵偵測設備及不當資訊 設備檢查封包,因此 P2P、傳送病毒檔及連線至不當資訊網站都會被阻 擋下來。