劉輝

摘 要:本文簡要介紹WLAN網(wǎng)絡的組網(wǎng)結構及各個網(wǎng)元的主要功能,并提出在實現(xiàn)AC主備用時需要注意的幾點問題。

關鍵詞:無線局域網(wǎng)接入點接入點控制器網(wǎng)絡技術VRRP

中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2012)06(b)-0023-01

近幾年,伴隨著我國有線網(wǎng)絡的廣泛應用,傳統(tǒng)的局域網(wǎng)、城域網(wǎng)技術漸漸的已經(jīng)不能滿足使用的需要,WLAN作為有線網(wǎng)絡的重要補充和延伸,目前已經(jīng)廣泛應用于接入領域,利用無線電射頻技術,充分滿足用戶移動性的要求,同時還具有組網(wǎng)靈活,建網(wǎng)迅速,投資小,見效快等優(yōu)點,目前成為各大運營商競爭的焦點。下面結合天津聯(lián)通WLAN網(wǎng)絡現(xiàn)狀對WLAN的組網(wǎng)結構進行簡單的介紹。

AP:接入點,在集中式組網(wǎng)方式下的WLAN中主要作用是完成802.11幀與802.3幀格式的轉換,提供無線接入功能,接受接入點控制器的管理,RF空口的統(tǒng)計等簡單功能。

AC:接入點控制器,對所有的瘦AP進行統(tǒng)一的管理,負責無線網(wǎng)絡的接入控制,轉發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制等。一般采取主備配置,提高網(wǎng)絡的安全可靠性。

BAS:寬帶接入服務器,實現(xiàn)WLAN用戶動態(tài)IP地址的獲取,強制Portal、業(yè)務控制,接收Portal服務器發(fā)起的認證請求,完成用戶認證、上/下線請求功能;同時BAS支持免認證訪問功能,通過ACL策略的配置允許用戶在未認證前可訪問Portal頁面。

Portal服務器:門戶網(wǎng)站,推送認證頁面,接收WLAN用戶的認證信息,向BAS發(fā)起用戶認證請求以及用戶下線通知。

AAA服務器:完成用戶的認證、計費、鑒權的功能。

動態(tài)密碼服務器:主要實現(xiàn)為申請動態(tài)密碼的手機用戶提供動態(tài)密碼生成并通過短信網(wǎng)關下發(fā)給用戶的功能。

DHCP服務器:主要完成為WLAN用戶終端動態(tài)的分配IP地址的功能。

為了增強WLAN網(wǎng)絡的安全可靠性,一般AC采取主備配置兩臺AC設備通過一臺交換機連接到城域網(wǎng)。兩臺AC通過心跳線相連,使用VRRP組成一臺虛擬路由器,必須要保證軟硬件的一致。下面結合天津聯(lián)通的WLAN實際情況(AC設備兼作AP設備管理地址分配的DHCP服務器,AP和AC之間僅建立管理隧道不建立數(shù)據(jù)隧道,業(yè)務數(shù)據(jù)采取本地轉發(fā)模式)從VRRP開始分析一下整個實現(xiàn)過程。

VRRP是一種容錯協(xié)議,它為具有組播或廣播能力的局域網(wǎng)設計,它保證當局域網(wǎng)內主機的下一跳路由器出現(xiàn)故障時,可以及時的由另一臺路由器來代替,從而保持通訊的連續(xù)性和可靠性。為了使VRRP工作,要在路由器上配置虛擬路由器號和虛擬IP地址,同時產(chǎn)生一個虛擬MAC地址,這樣在這個網(wǎng)絡中就加入了一個虛擬路由器。而網(wǎng)絡上的主機與虛擬路由器通信,無需了解這個網(wǎng)絡上物理路由器的任何信息。一個虛擬路由器由一個主路由器和若干個備份路由器組成,主路由器實現(xiàn)真正的轉發(fā)功能。主路由器定期發(fā)送VRRP組播報文以通知備份路由器主路由器處于正常工作狀態(tài)。當主路由器出現(xiàn)故障時,組內的備份路由器長時間沒有接收到來自主路由器的報文則重新選擇出新的主路由器接替原主路由器的工作。這個過程中要求主備路由器之間的ARP表項必須進行同步。

下面從AP啟動開始進行分析,“零配置”的AP設備通過DHCP獲得AP的IP地址,同時通過DHCP消息中的option43選項獲得AC的IP地址。這個過程中負責為AP分配地址的DHCP服務器的功能是在AC上實現(xiàn)的,所以在主備AC之間要進行DHCP功能的同步,主備AC的地址池和相關的參數(shù)配置要相同,IP地址的分配情況要同步。Option43選項中配置的AC地址應該為VRRP虛擬IP地址,而不是某個AC的實際地址。AP獲取到AC的地址后,分別經(jīng)過發(fā)現(xiàn)階段、加入階段、版本升級階段、配置升級階段到正式建立管理隧道提供業(yè)務。這一系列過程中要求主備AC上對AP的射頻信息(射頻類型、功率設置、WMM設置、無線速率等)、安全策略、流量策略、ESS配置、VAP配置等項目的配置必須相同,隧道信息、對AP的認證信息等必須同步。

在用戶使用WLAN業(yè)務時,經(jīng)過網(wǎng)絡發(fā)現(xiàn)、認證階段、關聯(lián)階段后進行數(shù)據(jù)的收發(fā),在用戶使用過程中還可能進行不同AP間的漫游。所以要求主備AC上對于用戶的認證信息、關聯(lián)信息、漫游信息等數(shù)據(jù)必須同步。

經(jīng)過以上各個階段的分析,主備AC設備上的配置信息必須一致,ARP表項、DHCP地址分配情況、隧道信息、對AP的鑒權認證信息、對用戶的認證關聯(lián)及漫游信息等必須進行同步,信息的同步是通過主備AC之間的心跳線傳送的。

總之,作為電信級的應用網(wǎng)絡,保證系統(tǒng)的安全可靠性是必然的要求。各個WLAN廠家對AC主備的實現(xiàn)不盡相同,但是在實現(xiàn)的過程中必須要保證相關信息的及時同步更新。

參考文獻

[1] 馬建峰.無線局域網(wǎng)安全體系結構[M].高等教育出版社,2008.

[2] 朱建明.無線局域網(wǎng)安全——方法與技術[M].機械工業(yè)出版社,2009.

[3] 潘焱.無線通信系統(tǒng)與技術[M].人民郵電出版社,2011.