TANet 跨校漫遊歷史演進

Posted on In Views:

以前待過的學校最近要開始建置 eduroam 國際跨校漫遊的 802.1X 服務,所以回頭複習了一下之前的建置紀錄,重新喚醒記憶。

TANetRoaming 時代

印象中早年的漫遊中心有兩個,一個是資策會,另一個是國家高速網路中心,而當時學校所介接的漫遊中心隸屬資策會,記得後來整個計畫移交回教育部,由教育部轄下的學校承接所有漫遊中心的業務

整個跨校漫遊主要建構在 RADIUS 技術上,各校需建置 RADIUS Server,並透過 OpenVPN 與漫遊中心建立 VPN Tunnel,由於大部分學校會有自己的 RADIUS Server 提供校內的 (authentication, authorization, and accounting, AAA) 服務,所以會再額外建置一套屬於 RADIUS Proxy 的機制,VPN Tunnel 也部署在這個上面,我們會稱之為 Roaming Server

網頁認證

過去校園的無線網路認證機制大多都採用網頁認證 (captive portal) 的方式,這個機制實作上比較簡單,相對以前對於資訊安全比較不像現在這麼重視,再者 802.1X 相關 (Extensible Authentication Protocol, EAP) 驗證框架也不容易理解,到底後端身份驗證方式有哪些 EAP 框架可以支援也搞不太清楚,更何況無線網路隸屬網路領域,要網管針對 RADIUS 串接後端身份驗證系統 (例如 LDAP, Active Directory…等) 相關程式撰寫根本不太可能,而且各個終端設備作業系統對於 802.1X 支援程度不一,導致實作過程非常困難也非常容易失敗。

wireless captive portal page

據說當時我客制的這個 captive portal page 被廠商拿去做在他們的設備裡面,也算是功德一件。

eduroam 崛起

當時除了 TANetRoaming(只有台灣在使用) 之外,另外還有一個是 eduroam,它屬於國際學術科研的網路漫遊機制,一樣也是建構在 RADIUS 技術上,與台灣不同的是,他們採用 802.1X EAP 方式運行,而近年來開始慢慢重視資訊安全,802.1X EAP 比網頁型式的認證相對上安全許多,而且漫遊中心也跟亞太區的 eduroam service provider 串接完成,終端設備作業系統支援度也比過去好,所以 eduroam 的使用量也逐漸超越 TANetRoaming,所以教育部前幾年也開始推廣 eduroam,TANetRoaming 漸漸的功成身退了。