Download
1 / 21
210 likes | 338 Views
敬邀 貴校加入校際漫遊行列. 中華民國九十四年二月. 前 言. 經濟部工業局奉指示配合行政院六年國家發展建設計畫,於科技顧問組規劃 e-Taiwan 計畫中之「寬頻到家」項下,規劃「無線寬頻網路示範應用計畫」,以強化台灣無線寬頻網路之建設與應用發展 推廣島內公眾無線區域網路漫遊服務機制,並協助國內業者建立跨網漫遊 (WLAN 和 Cellular) 以及國際漫遊服務機制,實現「一卡在手,全島走透透」、 「 One Subscription , Global Reach 」之理想
E N D
敬邀 貴校加入校際漫遊行列 中華民國九十四年二月
前 言 • 經濟部工業局奉指示配合行政院六年國家發展建設計畫,於科技顧問組規劃e-Taiwan 計畫中之「寬頻到家」項下,規劃「無線寬頻網路示範應用計畫」,以強化台灣無線寬頻網路之建設與應用發展 • 推廣島內公眾無線區域網路漫遊服務機制,並協助國內業者建立跨網漫遊(WLAN和Cellular) 以及國際漫遊服務機制,實現「一卡在手,全島走透透」、 「One Subscription,Global Reach 」之理想 • 藉由校際漫遊之推動,協助全國大專院校間無線上網環境之透通,俾使各校教職員生得以使用單一帳號進行跨校漫遊,達到學校彼此間網路資源與資訊共享之目的
漫遊學校 (Visited Entity) 所屬學校 (Home Entity) 漫遊認證交換中心 Roaming Server Roaming Server 非本校帳號之認證資訊 AAA–RADIUS System AAA–RADIUS System 通過認證後允許上網 認證資訊 Internet Access Controller 上網點 使用者 User @ Home Entity 校際漫遊架構
加入校際漫遊的效益 • 教職員生可悠遊於便捷、透通的無線上網環境 • 教職員生得以使用單一帳號,進行跨校漫遊,免除跨校申請與設定的困擾 • 方便學校行政人員公文、行政之往來 • 學生可跨校使用各種通訊方式,如:VoIP • m-Learning無障礙,教育資源更得以善用 • 透過教育資源之共享,創造更高的學術生產力 • 提供另外一種師生溝通的管道,有助於教學品質的提升 • 教職員生可在參與漫遊之學校中,透過無線網路環境,迅速地取得各校的網路資源與資訊 立 即 效 益
加入校際漫遊的效益(續) • 名聲 • 支持政府(IDB)活動,有助於提升學校的正面形象 以及能見度 • 利益 • III將提供建立校際漫遊所需之軟硬體設備的支援與協助 短期效益 • 教育是促進經濟成長的一個重要因子 • 讓學生於在校期間熟悉無線寬頻網路的使用,未來進入職場將更容易接受、運用無線寬頻相關的應用與服務,甚至投入推動的行列 • 間接地培育日後無線寬頻產業的優秀人才 • 其他 • 可搭配漫遊示範區提供應用服務 • 若將來允許收費,將有設施供應等之收益 長期效益
92年完成連線 淡江大學 陽明大學 台灣科技大學 交通大學 台灣大學 政治大學 清華大學 93年完成連線 雲林科技大學 台北醫學大學 逢甲大學 高雄大學 義守大學 宜蘭大學 師範大學 高雄第一科技大學 海洋大學 中正大學 東吳大學 吳鳳技術學院 聯合大學 華梵大學 目前推動成果 • 資策會漫遊中心部分(總計二十一所大專院校、三個單位) • 國網中心部分 • (總計十七所大專院校) • 靜宜大學 • 大葉大學 • 銘傳大學 • 元智大學 • 中央大學 • 成功大學 • 東華大學 • 台東大學 • 文化大學城區部 • 嶺東技術學院 • 暨南大學 • 修平技術學院 • 中興大學 • 輔英大學 • 中華大學 • 新竹師範學院 • 台北大學 • 其他連線單位 • 教育部 • SIP/ENUM • 宜蘭縣網
目前推動成果 手機電信業者 國際漫遊組織 漫遊認證 交換中心 (具備身份認證、計價 拆帳與清算功能) … … 其他(2) 教育部、SIP/ENUM : 09440 … 學術網路(38+108) III(21):台大、清大、交大、政大、 淡江、陽明、台科大、雲科大 、北醫、逢甲、高雄、義守、 宜蘭、 師大 、高雄第一科大、 海大、中正、東吳、吳鳳、聯 合、華梵 III(1) :松山工農 NCHC(17):銘傳、靜宜、大葉、元智 、中央、 成大、台東、 東華、文化、嶺東、暨 南 、修平、中興、輔英、 中華、竹師、台北大 … 宜蘭縣網(107) :宜蘭縣107所中小學 WLAN網路服務業者(12) 示範應用區(18) IDB(15):史博館、台北市/關渡自然公園 、台北縣、桃園縣、台中市、彰 化縣、台南市、屏 東縣/海生館 、花蓮縣、雲 林縣、宜蘭縣、高 雄縣、玉山國家公園、新竹市、 嘉義 市、金門縣、高雄市/科工 館 (RI) … Non-IDB(1):信義計畫區 … 示範區(5):全球領航、蕃薯藤/傳象、 HiNet、開博、宏碁 … 非示範區(7):So-net 、 Seednet 、曜正、 鉅坤、APOL、 EzOn (松山和中正機場) 、 東信 (清水和西螺休息站)… 單一用戶帳號 悠 遊 雙 網 此漫遊認證交換中心不直接面對使用者,而是提供相關業者間之共通基礎服務! 無線寬頻 上網標章
漫遊認證交換中心 HOME ENTITY VISITED ENTITY Roaming Server Roaming Server AAA–RADIUS System AAA–RADIUS System Roaming Server Authentication Authorization Accounting Information Authentication Authorization Accounting Information AS, MSC , HLR Operator C Internet Access Controller Access Controller Hot Spot (Home Entity) Hot Spot (Visited Entity) User @ Home Entity AP AP 漫遊服務機制整體架構圖
Roaming Server Home Entity’s Radius Server 漫遊認證 交換中心 VPN TUNNEL Roaming Server (Linux. Red Hat) Firewall Roaming Server 的硬體由 Home Entity 提供, 資策會方面則協助軟體的安裝及設定。 Roaming Server 採遠端安裝的方式,參與單位 依系統安裝步驟說明文件,完成作業系統安裝 及網路設定。之後,再由漫遊認證交換中心透 過網路進行軟體安裝及設定。 Roaming Server 之硬體規格, 建議至少為 CPU : P3 、RAM : 512MB、HD : 10 GB 、一個 10/100 Ethernet 網路介面 及 一部光碟機。 VPND Radius Proxy
1. AAA-RADIUS REQUEST RADIUSCLIENT RADIUS SERVER 2. AAA-RADIUS RESPONSE AAA-RADIUS PROTOCOL • Authentication • Access-Request • PAP、CHAP … • EAP-MD5、EAP-TLS (certificate)、EAP-TTLS、EAP-PEAP …( RADIUS Server 需支援 EAP over RADIUS ! ) • Access-Accept/Reject • Access-Challenge • Accounting • Accounting-Request • Start、(Interim)、Stop • Accounting-Response
漫遊服務機制-相容性問題 • 問題點 • Home Entity’s Authentication Server 不支援 Visited Entity’s Authenticator(或是Supplicant) 所選定的認證方式PAP/CHAP (EAP-XXX…) • 解決方法 (完全支援漫遊機制之必要條件) • 要求 Authenticator / Supplicant 使用 PAP、CHAP / EAP over RADIUS 等身份認證方式 (三者擇一) • 要求 Authentication Server 同時支援 PAP、CHAP 及 EAP over RADIUS 等身份認證方式 (三者皆具) • 現況 • 多數學校的認證系統只支援 PAP Roaming Center RADIUS REQUEST Visited Entity’s Authentication Server (RADIUS Server) Home Entity’s Authentication Server (RADIUS Server) Visited Entity’s Authenticator (Supplicant) PROXY
UAM and 802.1x ○:普及性高、方便使用(Web-based) X:安全性低、不具業界標準 UAM Web-Based Login Page(SSL) 1 AAA-RADIUS REQUEST ( PAP/CHAP) 2 NAS RADIUSCLIENT RADIUS SERVER ○:安全性高、已成為 Wi-Fi 標準 X:目前普及性較低、使用者端較為不便 802.1x 2 EAP over RADIUS 1 EAP over LAN NAS Authentication Server Supplicant Authenticator
RADIUS 帳號管理 獨立帳號 ○:支援的認證協定最為完整 ,擁有最佳的漫遊互通性 X:帳號獨立管理,可能造成 網管人員額外的負擔 RADIUS’s DB alex passwd1 bob passwd2 candy passwd3 … RADIUS 共用帳號 ○:可以延用既有的帳號系統, 免去帳號重複管理的麻煩 X:通常只能支援 UAM(PAP), 造成漫遊互通性上的問題 Email Server UNIX Server LDAP … RADIUS
規 劃 建 議 • 尚未建置之單位 • 在 RADIUS Server 中獨立管理使用者帳號,以獲得最佳之漫遊互通性 • 無線網路佈建部份 • 可先選擇互通性較高的 UAM(PAP) 方式,惟系統應保留未來轉型至 WPA (802.1x+EAP+TKIP+MIC) 之彈性 • 或直接選用以 802.1x + EAP 之認證方式,惟應規劃使用者端的軟體安裝與設定之相關細節 (此法在實施初期可能形成其他單位無法 Roaming In 之情況) • 已建置之單位 • 進行 RADIUS 系統之升級,以便能同時支援多種認證方式(PAP、CHAP、EAP-XXX),獲得較佳之漫遊互通性 • 考慮 PWLAN 系統升級至 WPA 之必要性
漫遊服務機制參與辦法 • 與漫遊認證交換中心進行互連測試 • 單位之 PWLAN 系統應採用 AAA-RADIUS 機制處理身份認證(與計價),支援 EAP over Radius • 提供 Roaming Server 所需之硬體及連網環境 • 連網環境需要一個真實 IP 位址 • 硬體須能配合作業環境(Red Hat 9.x) • 與漫遊認證交換中心接洽,進行連線測試 • 業務窗口 蘇志倫 aaron@iii.org.tw • 技術窗口 王天智 tcwang@nmi.iii.org.tw • 測試完成,向TEEMA/通訊產業聯盟申請無線寬頻上網標章(PWLAN Logo) • 連絡窗口 陳焱君經理 stone@teema.org.tw
結 語 誠摯地邀請 貴校加入校際漫遊的行列,並歡迎 透過電話或e-mail與下列承辦人員進一步聯絡: 財團法人資訊工業策進會 蘇志倫 Tel:(02)8732-6222 #160 E-mail:aaron@iii.org.tw 王天智 Tel:(02)2739-9616 #895 E-mail:tcwang@nmi.iii.org.tw
校園無線應用案例 • 提供教職員生無障礙的網路資源服務 • 學生可於圖書館使用筆記型電腦或其他終端設備無線上網 • 外賓來訪時可輕易連接上校園網路 • 提供無線校務資訊管理 • 搭配攝影機,針對校園死角進行無線監控 • 搭配PDA,針對校園車輛進行停車管理 • 搭配門禁系統,針對校園建築物在特定時段控管人員進出
Internet Gateway SSID? WEP? AP 802.11a/b/g 無線區域網路 WLAN 無線區域網路(WLAN)
AP 公眾無線區域網路(PWLAN) Internet AAA-Radius Server Gateway Access Controller UAM 802.1x • 需身份認證的公眾環境 • 身份辯識 • 用戶收費 • AAA-RADIUS • Authorization • Authentication • Accounting 802.11a/b/g 公眾無線區域網路 PWLAN
