王佶 鄒池佳 江肖強(qiáng)

浙江大學(xué)信息中心 浙江 310027

0 引言

伴隨著移動互聯(lián)網(wǎng)的不斷發(fā)展、無線智能終端的迅速普及，高校針對校園 WLAN的需求正在不斷變化，傳統(tǒng)的校園 WLAN架構(gòu)和管理模式正逐步呈現(xiàn)出許多難以應(yīng)對的問題：無線控制器種類繁多、用戶策略各異，不便于管理維護(hù)；無法實(shí)現(xiàn)基于用戶不同需求的精細(xì)化管理；原有相當(dāng)數(shù)量無線設(shè)備無法支持 IPv6協(xié)議等。因此，探索一個(gè)全新的校園WLAN架構(gòu)體系以及相應(yīng)的管理模式是目前高校WLAN管理者必須面對的緊迫課題。

1 校園WLAN扁平化架構(gòu)

扁平化的架構(gòu)模式并非必須或者一定就物理聯(lián)接層次上的減少，而是指網(wǎng)絡(luò)邏輯層次的簡化。

扁平化架構(gòu)的優(yōu)勢：將原先個(gè)層次模糊的功能區(qū)分清晰化，各司其職，有利于管理、維護(hù)和業(yè)務(wù)的部署；實(shí)現(xiàn)用戶、業(yè)務(wù)控制的集中化，由能力最強(qiáng)、功能最豐富的核心設(shè)備提供集中的業(yè)務(wù)控制和管理，在提供功能和業(yè)務(wù)時(shí)，發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢；匯聚、接入設(shè)備一般只需要提供基礎(chǔ)的AP管理、二層VLAN劃分等功能，不涉及到具體的用戶業(yè)務(wù)功能，因此部署新的用戶業(yè)務(wù)時(shí)，無需考慮其是否支持，無需考慮設(shè)備型號，有利于降低數(shù)量眾多的匯聚、接入層設(shè)備投資；功能劃分清晰后，整個(gè)網(wǎng)絡(luò)更有利于擴(kuò)展，核心層設(shè)備的性能很強(qiáng)，對新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需考慮接入數(shù)量的擴(kuò)充、上行帶寬的增加等。如圖1所示，扁平化架構(gòu)，可以將傳統(tǒng)的三層架構(gòu)簡化為兩個(gè)層次，業(yè)務(wù)控制層和寬帶接入層。

圖1 優(yōu)化架圖

2 校園WLAN的扁平化部署

與傳統(tǒng)校園WLAN由AC提供DHCP和Web Portal功能相比，扁平化的校園WLAN部署弱化了AC的功能，通過核心層實(shí)現(xiàn)DHCP和Web Portal的用戶接入網(wǎng)絡(luò)認(rèn)證功能。此架構(gòu)下的AC僅僅需要提供SSID、“瘦”AP的頻段功率等功能，無需再提供用戶認(rèn)證策略的功能。

核心層除核心路由器外，還有具有用戶自助功能的Portal服務(wù)器，Radius認(rèn)證平臺，出口網(wǎng)關(guān)設(shè)備，用戶管理平臺及數(shù)據(jù)庫系統(tǒng)等，如圖2所示。

圖2 扁平化部署

2.1 核心層

核心層，扁平化架構(gòu)下也可稱為業(yè)務(wù)控制層，所有涉及用戶策略的下發(fā)都由其控制，包括用戶IP地址的分配、用戶上網(wǎng)帶寬等權(quán)限的下發(fā)、用戶在線狀態(tài)的監(jiān)聽和用戶計(jì)費(fèi)等審計(jì)業(yè)務(wù)的實(shí)現(xiàn)等。

此外，在核心層面上實(shí)現(xiàn)了有線無線用戶的一體化。傳統(tǒng)校園 WLAN模式下，用戶第一次認(rèn)證接入校園網(wǎng)，訪問英特網(wǎng)需要第二次認(rèn)證。扁平化架構(gòu)下，無線用戶不需要二次認(rèn)證，用戶連接到無線網(wǎng)絡(luò)后，核心設(shè)備通過NAS-PORT-TYPE的標(biāo)準(zhǔn)Radius屬性，判斷用戶是否具備無線訪問權(quán)限，并且按照預(yù)先設(shè)定的計(jì)費(fèi)方案進(jìn)行計(jì)費(fèi)，優(yōu)化了用戶體驗(yàn)。

核心路由器配置：

2.2 寬帶接入層

扁平化部署弱化了AC功能，除了管理AP的基本功能外，只需要開啟SSID，將核心層提供的用戶VLAN與SSID關(guān)聯(lián)，從而實(shí)現(xiàn)用戶通過此VLAN與核心層通訊。

3 校園WLAN的精細(xì)化管理

3.1 基于賬號類型的用戶權(quán)限管理

校園上網(wǎng)賬號種類豐富。根據(jù)互聯(lián)網(wǎng)鏈路，可以分為校園網(wǎng)權(quán)限、教科網(wǎng)權(quán)限和國際權(quán)限等賬號；根據(jù)帶寬，可以分為1M、2M和4M等賬號；根據(jù)資費(fèi)，可以分為10元、30元和50元等賬號。早期校園WLAN其中一種主流的認(rèn)證方式是DHCP + Web Portal認(rèn)證方式，此方式下，往往用戶認(rèn)證后，僅僅是獲得了校園網(wǎng)接入的權(quán)限，需要通過第二次撥號才能訪問互聯(lián)網(wǎng)，同時(shí)用戶的校園網(wǎng)接入帶寬很難與賬號權(quán)限相匹配。在扁平化架構(gòu)下，核心路由器和出口網(wǎng)關(guān)設(shè)備可以根據(jù)Radius提供的用戶信息下發(fā)用戶權(quán)限，同一無線環(huán)境下，實(shí)現(xiàn)了用戶上網(wǎng)僅需一次認(rèn)證，同時(shí)可能根據(jù)用戶賬號權(quán)限，下發(fā)不同的帶寬策略和訪問權(quán)限。此種基于賬號類型的用戶權(quán)限管理，不僅具有良好的用戶體驗(yàn)，也為管理者實(shí)現(xiàn)了管理的精細(xì)化。

3.2 基于流量計(jì)費(fèi)的用戶流量管理

無線網(wǎng)與有線網(wǎng)相比，帶寬相對較窄，P2P下載致使用戶相互影響也時(shí)有發(fā)生，因此從規(guī)范管理的角度來看，對無線網(wǎng)進(jìn)行一定的流量限制是有必要。傳統(tǒng)架構(gòu)下，流量管理不僅較難實(shí)現(xiàn)，而且要在每臺AC上進(jìn)行繁瑣的策略部署。在扁平的架構(gòu)下，弱化AC功能后，所有的流量計(jì)費(fèi)功能都由核心路由器、出口網(wǎng)關(guān)及Radius共同承擔(dān)，不僅全網(wǎng)下實(shí)現(xiàn)了統(tǒng)一部署，而且可以避免AC不支持某項(xiàng)功能的尷尬。對核心層進(jìn)行新功能開發(fā)，更可以實(shí)現(xiàn)校園網(wǎng)、教科網(wǎng)和國際網(wǎng)流量的不同計(jì)費(fèi)策略，不僅對用戶行為進(jìn)行了限制，還能減輕國際出口帶寬的壓力。

3.3 基于用戶終端的認(rèn)證管理

傳統(tǒng)校園 WLAN一般采用 IEEE 802.1X或網(wǎng)頁認(rèn)證。802.1X認(rèn)證，就存在客戶端兼容性問題；而傳統(tǒng)的網(wǎng)頁認(rèn)證，除了存在二次認(rèn)證的問題，在用戶在線狀態(tài)監(jiān)聽、用戶帶寬等權(quán)限下發(fā)方面，存在明顯缺陷。扁平化的WLAN架構(gòu)下，由于部署的核心功能強(qiáng)大，同時(shí)，所有新的需求只需在核心層進(jìn)行定制開發(fā)，為不斷更新的用戶終端接入奠定了良好的基礎(chǔ)。

扁平化的部署，采用認(rèn)證方式是核心路由器提供DHCP等功能、配合Web Portal服務(wù)器、Radius服務(wù)器及萬兆出口網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)用戶上網(wǎng)接入認(rèn)證。用戶的主要認(rèn)證接入方式是Web認(rèn)證，通過80端口的http服務(wù)或443端口的https服務(wù)進(jìn)行用戶瀏覽器認(rèn)證。網(wǎng)頁認(rèn)證相對于客戶端認(rèn)證，最大的優(yōu)勢就是用戶終端操作系統(tǒng)兼容性強(qiáng)，終端只要支持http/https協(xié)議，就能實(shí)現(xiàn)接入認(rèn)證。同時(shí)為了方便用戶，可以針對PC終端例如Windows、Mac OS、Linux等系統(tǒng)，或者移動終端如iPhone、iPad、Android等系統(tǒng)開發(fā)相應(yīng)的模擬http/https協(xié)議的客戶端，此客戶端僅僅為模擬網(wǎng)頁認(rèn)證，因此設(shè)計(jì)相對較為簡單快捷。

3.4 基于用戶狀態(tài)的用戶接入等其它管理

傳統(tǒng)的DHCP + Web portal架構(gòu)，在用戶在線狀態(tài)偵聽、用戶強(qiáng)制離線和消息發(fā)布等功能上存在缺陷。有時(shí)用戶離線，因?yàn)闆]有偵聽用戶在線狀態(tài)，無法及時(shí)將用戶下線，導(dǎo)致用戶無法再別處登錄、IP地址資源浪費(fèi)等問題。扁平化的部署，就能實(shí)現(xiàn)精細(xì)化的管理，可以實(shí)現(xiàn)用戶下線后較短時(shí)間內(nèi)賬號下線及IP地址釋放、用戶欠費(fèi)后強(qiáng)制離線以及各種窗口托送的消息發(fā)布，使管理更加精準(zhǔn)有效。

需要時(shí)，也可以開發(fā)功能授權(quán)模塊，即控制每個(gè)小組內(nèi)用戶不同時(shí)段具有不同的訪問權(quán)限。例如結(jié)合學(xué)校排課系統(tǒng)，可以控制學(xué)生用戶在上課時(shí)間不能訪問QQ等。精細(xì)化的網(wǎng)絡(luò)管理，為高校的教育提供了良好的支撐。

4 結(jié)論

本文闡述了通過網(wǎng)絡(luò)扁平化和管理精細(xì)化的優(yōu)化工作，使原先個(gè)層次模糊的功能區(qū)分清晰化，是原先粗放的管理變得更加精準(zhǔn)。與傳統(tǒng)校園 WLAN的部署和管理相比，可以發(fā)現(xiàn)校園 WLAN扁平化部署和精細(xì)化管理具有更高的效率也更有利于管理，為改善整個(gè)校網(wǎng)無線的用戶體驗(yàn)奠定了基礎(chǔ)。

[1]魯義軒.大流量業(yè)務(wù)沖擊3G+WLAN網(wǎng)路 802.11n 被納入規(guī)劃[J].通信世界.2010.

[2]劉利.異構(gòu)無線網(wǎng)環(huán)境下移動 IPv6關(guān)鍵技術(shù)研究[D].博士論文.安徽:中國科學(xué)技術(shù)大學(xué).2007.

[3]厲延民.試論無線校園網(wǎng)的設(shè)計(jì)和實(shí)施[J].電腦知識與技術(shù).2011.

[4]徐峰,嚴(yán)學(xué)強(qiáng).全扁平化移動網(wǎng)絡(luò)架構(gòu)的研究[J].移動通訊.2011.

[5]高波,張正風(fēng),徐旭.基于WLAN接入的DHCP + Web認(rèn)證關(guān)鍵技術(shù)分析[J].電信科學(xué).2008.

[6]楊放春.智能網(wǎng)技術(shù)及其發(fā)展[J].電信科學(xué).2001.

[7]胡云波,王培東,朱海燕.無線局域網(wǎng)的認(rèn)證方法研究[J].計(jì)算機(jī)工程與應(yīng)用. 2008.

[8]吳越,曹秀英,胡愛群,畢光國.無線局域網(wǎng)安全技術(shù)研究[J].電信科學(xué).2002.