移動(dòng)式智慧城市WLAN熱點(diǎn)部署方案研究

曹 捷，沈 毅，趙彥杰/Cao Jie，Shen Yi，Zhao Yanjie

（中國電信股份有限公司上海分公司 上海200120）

1 引言

隨著信息技術(shù)的發(fā)展，人們的生活方式正發(fā)生著深刻的變化，人們變得更善于利用各種有線、無線的途徑與他人交流，獲得信息與資源，智慧城市的概念應(yīng)運(yùn)而生。WLAN（Wireless Local Area Networks，無線局域網(wǎng)）作為“最后一公里”的網(wǎng)絡(luò)接入手段，具有便捷、高效、可靠等優(yōu)點(diǎn)。隨著智能終端的普及，WLAN無線熱點(diǎn)部署已成為智慧城市建設(shè)的重要組成部分。

目前WLAN熱點(diǎn)部署的方式還存在一些問題，造成了“雙重城市[1]”等負(fù)面空間效應(yīng)。在城市中，重要的區(qū)位通過大量覆蓋已滿足高速互聯(lián)網(wǎng)接入，但城市內(nèi)部存在大量不能聯(lián)網(wǎng)的信息貧困區(qū)，同時(shí)，大量無管制的熱點(diǎn)也為用戶接入帶來了安全隱患。

本文在分析現(xiàn)有固定式熱點(diǎn)部署方式的基礎(chǔ)上，給出了一種移動(dòng)式的WLAN熱點(diǎn)部署方案。該方案已在上海某路公交車上完成試點(diǎn)，通過便攜式的安裝、集中式的管控和個(gè)性化的展現(xiàn)，實(shí)現(xiàn)WLAN熱點(diǎn)的更廣覆蓋，為完善智慧城市WLAN熱點(diǎn)部署提供一種新的思路和方向。

2 移動(dòng)式WLAN熱點(diǎn)部署基礎(chǔ)方案設(shè)計(jì)

智慧城市最終服務(wù)的是城市居民，因此“人”才是智慧的關(guān)鍵，熱點(diǎn)的部署也應(yīng)隨人動(dòng)，有人聚集的地方就該有熱點(diǎn)，就該有“智慧”，因此，設(shè)計(jì)一種移動(dòng)式的WLAN熱點(diǎn)部署方案，通過WLAN熱點(diǎn)在公交車、出租車等公共交通工具上的部署，完善WLAN熱點(diǎn)覆蓋，為城市的均衡發(fā)展貢獻(xiàn)力量。

有別于個(gè)人家庭熱點(diǎn)部署，WLAN公共熱點(diǎn)部署具有身份認(rèn)證和集約化運(yùn)營管理的特點(diǎn)[2]，有胖AP （Access Point，接入點(diǎn)） 和瘦 AP+AC（Access Controller，接入控制器）兩種部署方式。本方案將3G/LTE網(wǎng)絡(luò)作為移動(dòng)數(shù)據(jù)的承載通道，將AC引入移動(dòng)式WLAN熱點(diǎn)部署方案中，同時(shí)，通過DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）+Portal的方式實(shí)現(xiàn)無線用戶的身份認(rèn)證，用戶上網(wǎng)可以滿足公安部無線上網(wǎng)的溯源要求。

移動(dòng)式 WLAN熱點(diǎn)部署方案 （基礎(chǔ)架構(gòu)）如圖1所示，方案基于瘦AP+AC架構(gòu)，網(wǎng)絡(luò)中所有的AP由AC統(tǒng)一控制，AC負(fù)責(zé)無線網(wǎng)絡(luò)的接入控制、轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制等。瘦AP+AC架構(gòu)中，AP的功能較單一，為“零配置”，AP開機(jī)后自動(dòng)發(fā)現(xiàn)并接入AC，為了便于開通及后期運(yùn)營管理需要，可通過軟件或硬件方式配置AC分配器。AP通電撥號(hào)后，首先與AC分配器交互獲取需注冊(cè)的AC地址。AP接入AC后，由AC向AP下發(fā)配置文件，AP-AC間采用CAPWAP（Controland Provisioning ofWireless Access Points Protocol Specification，無線接入點(diǎn)的控制和配置協(xié)議）隧道。AC接入交換機(jī)啟用三層路由功能，對(duì)于業(yè)務(wù)VLAN，AC接入交換機(jī)啟用二層功能。通過AC和AC接入交換機(jī)將用戶流量送回至AC上聯(lián) BRAS（Broadband Remote Access Server，寬帶遠(yuǎn)程接入服務(wù)器）。AC的公網(wǎng)地址由上聯(lián)BRAS分配，以確保遵循流量的同進(jìn)同出原則。用戶地址由BRAS分配，在用戶上網(wǎng)前通過DHCP+Web方式由RADIUS（Remote Authentication Dial in User Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)）系統(tǒng)進(jìn)行身份驗(yàn)證。用戶的認(rèn)證點(diǎn)在BRAS，由BRAS完成Portal展現(xiàn)重定向及向RADIUS發(fā)起鑒權(quán)等工作。

在安裝實(shí)施階段，裝維人員通過掃描AP二維碼，將AP設(shè)備的型號(hào)、序列號(hào)等信息送至資源系統(tǒng)，完成AC分配器的信息錄入，獲取注冊(cè)AC地址及關(guān)聯(lián)BRAS的相關(guān)信息，完成場點(diǎn)創(chuàng)建。AP完成至AC注冊(cè)，能正常將用戶請(qǐng)求送至關(guān)聯(lián)BRAS。在現(xiàn)場進(jìn)行Portal頁面彈出及認(rèn)證測試?；A(chǔ)架構(gòu)確保AP在通電后通過LTE撥號(hào)獲取公網(wǎng)地址，并完成AP-AC間的注冊(cè)上線工作，目前，基于基礎(chǔ)架構(gòu)的移動(dòng)式WLAN熱點(diǎn)部署方案已完成裝車和試點(diǎn)測試，如圖2所示。但基礎(chǔ)架構(gòu)還存在一些缺點(diǎn)：為了AP能夠正常完成AC注冊(cè)，需要為AC分配公網(wǎng)地址，存在一定的安全隱患；由大網(wǎng)BRAS為用戶分配公網(wǎng)地址，考慮到公網(wǎng)地址的緊缺和車載用戶的密集分布，應(yīng)為用戶分配私網(wǎng)地址，通過NAT網(wǎng)關(guān)為用戶提供公網(wǎng)服務(wù)。

圖1 移動(dòng)式WLAN熱點(diǎn)部署方案（基礎(chǔ)架構(gòu)）

圖2 移動(dòng)式WLAN熱點(diǎn)裝車效果

3 可運(yùn)營的移動(dòng)式WLAN熱點(diǎn)部署方案設(shè)計(jì)與實(shí)現(xiàn)（融合架構(gòu)）

融合架構(gòu)將BRAS設(shè)備與AC設(shè)備合設(shè)，通過AC終結(jié)用戶流量，同時(shí)增加CGN（Carrier-Grade NAT，運(yùn)營商級(jí)NAT網(wǎng)關(guān)）設(shè)備，為終端用戶提供地址映射服務(wù)。如圖3所示，為確保AC設(shè)備安全并為后期個(gè)性化運(yùn)營服務(wù)，使用VPDN（Virtual Private Dial-up Networks，虛擬專用撥號(hào)網(wǎng)）業(yè)務(wù)承載AP-AC隧道。

①PGW（PDN GateWay，PDN 網(wǎng)關(guān)分配）設(shè)備作為 LAC （L2TP Access Concentrator，L2TP 訪問集中器），與 LNS（L2TP Network Server，L2TP 網(wǎng)絡(luò)服務(wù)器）設(shè)備通過L2TP兩層隧道互通。車載AP通電并發(fā)起 PPP（Point to Point Protocol，點(diǎn)對(duì)點(diǎn)協(xié)議）撥號(hào)，使用特殊的APN（Access Point Name，接入點(diǎn)名稱）至PGW，PGW向LNS發(fā)起建立L2TP隧道，傳送用戶名、密碼、認(rèn)證方式等信息，LNS發(fā)起認(rèn)證通過請(qǐng)求，車載AP與LNS完成PPP連接，AP的IP地址由LNS設(shè)備統(tǒng)一分配。

②LNS設(shè)備與融合AC可兩層或三層互通，AP可以通過組播、在LNS側(cè)配置DNS域名解析服務(wù)器、靜態(tài)配置和與AC分配器交互等方式獲取融合AC地址。AP通過CAPWAP隧道向AC發(fā)起注冊(cè)請(qǐng)求。

③用戶網(wǎng)關(guān)設(shè)在融合AC設(shè)備上。用戶關(guān)聯(lián)SSID后，AP將用戶的DHCP報(bào)文封裝在CAPWAP隧道中，當(dāng)DHCP交互報(bào)文送至AC后，由AC解CAPWAP隧道封裝，并為用戶分配私網(wǎng)地址。

④用戶訪問任意網(wǎng)址，觸發(fā)AC發(fā)起重定向請(qǐng)求至Portal平臺(tái)。Portal為用戶展現(xiàn)登錄頁面，通過短信方式， 為用戶在 AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)系統(tǒng)）開通賬號(hào)。用戶點(diǎn)擊“登錄”按鈕，由Portal→AC→AAA發(fā)起認(rèn)證請(qǐng)求，認(rèn)證通過后，AC放通用戶上網(wǎng)業(yè)務(wù)請(qǐng)求。由CGN設(shè)備為用戶請(qǐng)求提供地址映射服務(wù)。

圖3 移動(dòng)式WLAN熱點(diǎn)部署方案（融合架構(gòu)）

⑤CGN設(shè)備為用戶的私網(wǎng)地址新建映射，同時(shí)通過Syslog協(xié)議將映射信息報(bào)文發(fā)送至Syslog系統(tǒng)，此映射關(guān)系為用戶級(jí)映射模式。AAA可通過查詢Syslog系統(tǒng)獲取用戶公網(wǎng)IP、端口與私網(wǎng)地址的對(duì)應(yīng)關(guān)系，與賬號(hào)信息整合后對(duì)外提供溯源接口。

⑥在安裝實(shí)施階段，裝維人員通過掃描AP二維碼，將AP設(shè)備型號(hào)、序列號(hào)等信息送至資源中心，完成至AC分配器的信息錄入。信息錄入后，AP獲取注冊(cè)AC地址，完成至AC注冊(cè)，能夠正常將用戶請(qǐng)求送至CGN設(shè)備。裝維人員在現(xiàn)場進(jìn)行Portal頁面彈出及認(rèn)證測試。

各方案優(yōu)/缺點(diǎn)見表1，基礎(chǔ)架構(gòu)由于是在原有固定式WLAN基礎(chǔ)上進(jìn)行的移動(dòng)網(wǎng)絡(luò)承載疊加，因此較融合架構(gòu)具備更低的實(shí)現(xiàn)成本，但融合架構(gòu)引入的融合型AC、NAT44網(wǎng)關(guān)設(shè)備，能夠更好地進(jìn)行商業(yè)運(yùn)營。

4 基于移動(dòng)式WLAN熱點(diǎn)部署的應(yīng)用及運(yùn)營方式設(shè)計(jì)

隨著Wi-Fi快速成為新的移動(dòng)互聯(lián)網(wǎng)入口，Wi-Fi在公共場所作為固定網(wǎng)絡(luò)延伸帶來接入價(jià)值的同時(shí)，商業(yè)價(jià)值也變得越來越重要，移動(dòng)式WLAN熱點(diǎn)部署方案非常適合集約運(yùn)營，可以在以下幾個(gè)方面挖掘移動(dòng)熱點(diǎn)的商業(yè)價(jià)值。

（1）個(gè)性化頁面展現(xiàn)

由于AP通過CAPWAP隧道完成與AC互通，同時(shí)AP管理地址通過LNS分配，將移動(dòng)熱點(diǎn)部署納入統(tǒng)一的行業(yè)Wi-Fi管理系統(tǒng)，電信管理員為行業(yè)用戶（如某路公交線路）分配特定的IP地址池或關(guān)聯(lián)特定標(biāo)識(shí)信息。無線用戶關(guān)聯(lián)SSID后，Portal服務(wù)器根據(jù)重定向請(qǐng)求中的用戶地址池或特定標(biāo)識(shí)，識(shí)別用戶群組信息，為用戶展現(xiàn)個(gè)性化頁面。

行業(yè)管理員（如某路公交系統(tǒng)）通過自服務(wù)模塊，以SSO（Single Sign On，單點(diǎn)登錄）方式登錄WLAN行業(yè)管理系統(tǒng)，編輯自身的個(gè)性化頁面，在協(xié)議框架內(nèi)為連接的用戶設(shè)置無線屬性，如接入帶寬、單次上網(wǎng)時(shí)長等；通過網(wǎng)管模塊查看所屬名下AP的運(yùn)行情況；由后臺(tái)管理模塊進(jìn)行行業(yè)用戶身份管理并提供統(tǒng)計(jì)報(bào)表功能；在底層通過Web Service、FTP等接口與 Portal、AAA及AC網(wǎng)管系統(tǒng)對(duì)接。

（2）與車聯(lián)網(wǎng)[3]技術(shù)結(jié)合

對(duì)于移動(dòng)式車載AP設(shè)備，在融合AC設(shè)備的管控下，完成注冊(cè)、上線。AP實(shí)際上成為一種安全的車輛傳感器設(shè)備（AP配置GPS模塊）。SplitMAC模式下，AP相關(guān)管理報(bào)文（包括GPS模塊的位置等信息）通過CAPWAP封裝送至融合AC設(shè)備。融合AC可以實(shí)時(shí)獲得車輛的位置信息，通過與WLAN Portal平臺(tái)的實(shí)時(shí)交互，在認(rèn)證成功后，為用戶推送實(shí)時(shí)信息，如車輛到站時(shí)間預(yù)期、車輛周邊商業(yè)信息、天氣等。

（3）各類快捷認(rèn)證方案拓展

由于融合AC設(shè)備可以在用戶每次數(shù)據(jù)請(qǐng)求中獲取用戶的MAC地址，因此可基于MAC為用戶省去輸入手機(jī)號(hào)、密碼的步驟。為避免用戶惡意篡改重定向URL而導(dǎo)致MAC地址偽造等安全問題，對(duì)于融合架構(gòu)的移動(dòng)式WLAN熱點(diǎn)部署方案，可以在用戶首次上網(wǎng)重定向時(shí)，由融合AC先查詢MAC地址庫，無相關(guān)記錄時(shí)，重定向至Portal頁面，由用戶通過短信等方式完成首次登錄，登錄中可人工選擇是否需要無感知登錄。簽約無感知登錄的用戶在后續(xù)上網(wǎng)時(shí)，可由融合AC查詢MAC地址庫后，直接向行業(yè)AAA發(fā)起認(rèn)證鑒權(quán)請(qǐng)求，由系統(tǒng)自動(dòng)完成用戶認(rèn)證登錄工作，由MAC地址庫完成對(duì)用戶MAC老化周期的控制。對(duì)于區(qū)分接入AC和專用AC的組網(wǎng)結(jié)構(gòu)，用戶每次數(shù)據(jù)請(qǐng)求中不含有MAC地址，專用AC需要從收到的DHCPRelay報(bào)文中解析用戶的MAC地址，完成無感知認(rèn)證工作。

在Portal側(cè)部署微信、易信服務(wù)器，基于微信、易信掃碼，借用微信、易信公眾平臺(tái)完成與終端用戶的交互，由微信、易信服務(wù)器代用戶發(fā)起認(rèn)證，實(shí)現(xiàn)用戶上網(wǎng)的快速登錄。

表1 WLAN熱點(diǎn)部署方案比較

將移動(dòng)式WLAN熱點(diǎn)下的認(rèn)證融合至已有的手機(jī)APP上，用戶在安裝APP時(shí)完成賬號(hào)綁定工作，由AAA服務(wù)器向APP下發(fā)包含密鑰參數(shù)的令牌。客戶端根據(jù)令牌運(yùn)算每分鐘產(chǎn)生一個(gè)不可預(yù)測的動(dòng)態(tài)口令，自動(dòng)向AAA服務(wù)器發(fā)起認(rèn)證，實(shí)現(xiàn)用戶快速登錄。

5 總結(jié)與展望

智慧城市建設(shè)中，基于WLAN的信息消費(fèi)在全方位地拓展人們的工作、生活等領(lǐng)域的同時(shí)，也帶來了一定的風(fēng)險(xiǎn)。一方面是由于WLAN熱點(diǎn)部署不均衡帶來的“雙重城市”效應(yīng)；另一方面是高度組織的社會(huì)化生活帶來的個(gè)人自由、個(gè)人隱私的威脅。移動(dòng)式智慧城市WLAN熱點(diǎn)部署方案擴(kuò)充了熱點(diǎn)部署的廣度，進(jìn)一步縮小了城市內(nèi)的數(shù)字鴻溝，集約化的組網(wǎng)結(jié)構(gòu)便于政府引導(dǎo)有資質(zhì)的企業(yè)對(duì)WLAN進(jìn)行商業(yè)化的運(yùn)作，消除小微企業(yè)部署公共熱點(diǎn)帶來的信息監(jiān)管缺失、網(wǎng)絡(luò)安全等問題，避免用戶在享受智慧城市帶來的選擇多樣性和便捷性的同時(shí)，以私密信息泄露為代價(jià)。

[1] 張望，盧超.無線城市中的 “雙重城市”現(xiàn)象解析[J].規(guī)劃師,2012,(B03):96-99.

[2]H3C.WLAN運(yùn)營商解決方案[EB/OL].http://www.c114.net/topic/3555/a710503.html,2012.

[3] 頓文濤，趙玉成，王力斌.車聯(lián)網(wǎng)的關(guān)鍵技術(shù)及研究進(jìn)展[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2015,(8):46-50.