漫游在基于CAPWAP 的WLAN 中的實施*

劉文林，喻金科，丁雪非，何 英

（南昌航空大學(xué) 現(xiàn)代教育技術(shù)與信息中心，江西 南昌330063）

1 概述

隨著移動應(yīng)用的普及，人們的上網(wǎng)習(xí)慣發(fā)生了很大的變化，手機上網(wǎng)成為了主流。以我們學(xué)校為例，學(xué)生宿舍同時開通了有線的以太網(wǎng)和無線的WIFI，但WIFI 的流量大大超出以太網(wǎng)的流量。學(xué)校的學(xué)生宿舍規(guī)劃在幾個統(tǒng)一的片區(qū)內(nèi)，在片區(qū)內(nèi)相鄰宿舍樓的間距不到20米，相鄰樓之間的WIFI 覆蓋范圍相互重合，可以連成為一個大的覆蓋整個片區(qū)的WLAN。

在開始部署WLAN 的時候，并沒有考慮用戶WLAN內(nèi)漫游的問題，并且限制每棟宿舍樓的用戶只能登錄本宿舍樓的WLAN。這樣當(dāng)用戶離開自己宿舍樓的WLAN覆蓋范圍，即使處于附近宿舍樓的WLAN 覆蓋范圍，用戶也無法使用WIFI 了。隨著移動應(yīng)用的普及，學(xué)生對無法在WLAN 片區(qū)內(nèi)漫游的限制，意見越來越大。為滿足學(xué)生的要求，我們首先選擇了一個最小的片區(qū)（包含6 棟宿舍樓），實驗性地開通了WLAN 漫游服務(wù)。

2 WLAN 拓?fù)浣Y(jié)構(gòu)

圖1 片區(qū)WLAN 拓?fù)浣Y(jié)構(gòu)圖

WLAN 采用流行的Fit AP（瘦AP）+AC（Access Controller，訪問控制器）的集中式WLAN 架構(gòu)。這種架構(gòu)的優(yōu)點是可以通過AC 對Fit AP 進(jìn)行統(tǒng)一配置和管理，大大降低整個WLAN 的配置和管理強度。圖1 是片區(qū)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。宿舍樓的每層安裝若干AP，AP 通過超5類線上聯(lián)到具備供電功能的PoE 交換機（位于宿舍樓弱電間內(nèi)）。片區(qū)內(nèi)所有PoE 交換機通過光纖再上聯(lián)到一臺AC 上（位于學(xué)校網(wǎng)絡(luò)中心）。AC 連接到網(wǎng)絡(luò)中心的核心交換機上，接入校園網(wǎng)。每個片區(qū)內(nèi)的Fit AP 通過一臺AC 統(tǒng)一管理，都是華為的產(chǎn)品。

規(guī)范Fit AP 和AC 之間的交互行為的協(xié)議為無線接入點控制與規(guī)范CAPWAP（Control And Provisioning of Wireless Access Points）[1]。CAPWAP 有兩大功能：自動配置和隧道轉(zhuǎn)發(fā)。

自動配置是指AP 在上線的過程中可以自動發(fā)現(xiàn)AC 并從AC 上下載配置信息自動配置。這類似于DHCP客戶機通過DHCP 協(xié)議自動配置IP 地址等參數(shù)。通過自動配置功能，網(wǎng)絡(luò)管理員只需集中在AC 上實施有關(guān)網(wǎng)絡(luò)的相關(guān)配置，比如有關(guān)漫游的配置，就可以將配置下發(fā)到下游AP 上，從而應(yīng)用到整個WLAN 上。這大大方便對AP 的集中管理和維護。本文所涉及WLAN 配置均在AC上完成。

隧道轉(zhuǎn)發(fā)是指連接到AP 上的用戶設(shè)備，又稱工作站（Station，簡寫為STA），可以和AC 建立一個加密的安全隧道，所有出口流量經(jīng)由隧道發(fā)送到AC，然后通過AC集中轉(zhuǎn)發(fā)。這雖然會增加AC 的負(fù)荷，但可以大大提高通信的安全性。所以，學(xué)校的WLAN 都啟用了隧道轉(zhuǎn)發(fā)。

3 三層漫游的實施

對于華為的產(chǎn)品，默認(rèn)配置下，WLAN 的漫游服務(wù)是開啟的，之所以漫游被禁止是認(rèn)證策略的問題。WLAN 覆蓋范圍內(nèi)的工作站無需密碼即可連接到附近的Fit AP上，但在上網(wǎng)之前必須通過一個認(rèn)證網(wǎng)頁（Web Portal）進(jìn)行認(rèn)證，認(rèn)證通過才能上網(wǎng)。這也就是目前流行的Web Portal 認(rèn)證方式。每棟樓的網(wǎng)絡(luò)都規(guī)劃為一個獨立的VLAN（Virtual LAN，虛擬局域網(wǎng)）[3]，我們將用戶和他們所在樓的VLAN 進(jìn)行了綁定。這樣一來，用戶只能在他所住的樓內(nèi)上網(wǎng)，結(jié)果就是限制了WLAN 內(nèi)的漫游。如果取消用戶和VLAN 的綁定，那么漫游服務(wù)就能正常運作了。

我們選擇了一個假期進(jìn)行實驗，取消綁定限制，并進(jìn)行了小規(guī)模的測試。測試的方式是這樣的：測試者手持手機在片區(qū)內(nèi)一邊散步，一邊訪問網(wǎng)頁、在線點播視頻/音樂、打微信電話等。在這個過程中，測試者記錄是否有卡頓、掉線等異常情況。其中打微信電話是最能測試漫游服務(wù)質(zhì)量的一項測試，因為打網(wǎng)絡(luò)電話時要求實時地保持在線連接，這意味這電話兩端設(shè)備的IP 地址在漫游中需一直保持不變。另外，在漫游的過程中，手機可能會切換到不同的AP 上。切換可能導(dǎo)致短暫的通訊中斷，這也是在測試過程中需要注意觀察的。經(jīng)測試，使用微信電話的過程中有時會出現(xiàn)卡頓，但一般不會導(dǎo)致通話中斷，總的來說通話過程比較流暢。至于無需實時保持在線連接的應(yīng)用，比如瀏覽普通網(wǎng)頁，基本上感覺不到卡頓。

我們也進(jìn)行了簡單的定量測試。測試方法和前面的定性測試類似，差別是在測試者手機上運行ping，ping AC 的管理地址1000 次，統(tǒng)計網(wǎng)絡(luò)傳輸延遲和丟包率。每次記下平均傳輸延遲和丟包率，共測試5 次。我們發(fā)現(xiàn)在切換AP 時，會有幾個數(shù)據(jù)包傳輸延遲變大，從不足5ms增加到10ms 甚至更大，偶爾會出現(xiàn)掉包。這都可能導(dǎo)致最終的平均傳輸延遲和丟包率變大。表1 是測試結(jié)果?？梢钥闯? 次測試的結(jié)果有所波動，但平均傳輸延遲均未超過10ms 這是相當(dāng)不錯的。丟包率也沒有超過6‰。無論是現(xiàn)在的移動操作系統(tǒng)和移動APP 對網(wǎng)絡(luò)狀況不佳都有響應(yīng)的應(yīng)對和優(yōu)化措施，測試結(jié)果是相當(dāng)令人滿意的。由于測試是在WLAN 輕負(fù)荷下進(jìn)行，測試結(jié)果僅供參考。

表1 三層漫游延遲和丟包率測試數(shù)據(jù)

測試結(jié)果表明，漫游服務(wù)已經(jīng)成功開啟，而且質(zhì)量也不錯，于是我們實驗性的開通了WLAN 漫游服務(wù)。但真正大規(guī)模試運行后不久整個片區(qū)的WLAN 出現(xiàn)了卡頓、掉線甚至無法上線的情況。我們登錄到AC 上檢查CPU占用率，發(fā)現(xiàn)CPU 占用率幾乎到了100%。通過ping 測試到的網(wǎng)絡(luò)傳輸延遲和掉包率急劇增大。在排除網(wǎng)絡(luò)攻擊、廣播風(fēng)暴等可能的誘因后，確定是三層漫游服務(wù)巨大的三層處理開銷導(dǎo)致的。最初沒有開通漫游服務(wù)的一個原因就是廠家的工程師建議不要開通，因為我們購買的AC并非高端型號，大規(guī)模開通三層漫游服務(wù)力不從心。

4 二層漫游的實施

按照是否跨越IP 子網(wǎng)，WLAN 漫游分為三層漫游和二層漫游。二層漫游發(fā)生于同一個IP 子網(wǎng)內(nèi)，而三層漫游跨越兩個不同的IP 子網(wǎng)。在常規(guī)的三層漫游的過程中，漫游者的家鄉(xiāng)代理需借助IP 隧道維持和漫游者的聯(lián)系，以便為漫游者中轉(zhuǎn)數(shù)據(jù)。IP 隧道的建立和維護，過程復(fù)雜、開銷巨大（詳細(xì)機制請參考[2]）。而二層漫游開銷不需要三層漫游的代理機制，依靠二層固有的MAC 地址表刷新機制即可實現(xiàn)，不涉及三層協(xié)議變動，可以說基本沒有額外開銷。于是，我們決定統(tǒng)一實施二層漫游。

首先，我們禁止了三層漫游，方法是在AC 上運行命令layer3-roam disable。其次，如果將片區(qū)內(nèi)的所有AP規(guī)劃到一個VLAN 內(nèi)，那么在片區(qū)內(nèi)漫游就僅限二層漫游了。為方便起見，片區(qū)內(nèi)有線的以太網(wǎng)還是保持原有的VLAN 劃分，單獨為所有AP 創(chuàng)建了一個新的VLAN。

通過劃分多個VLAN 可以將一個大的物理網(wǎng)絡(luò)劃分為多個邏輯上的子網(wǎng)，可以實現(xiàn)一定程度的隔離，比如隔離廣播風(fēng)暴、網(wǎng)絡(luò)攻擊。如果將大量設(shè)備集中到單個VLAN 內(nèi)，就無法有效隔離廣播風(fēng)暴或者某些網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)平穩(wěn)運行形成嚴(yán)重威脅。為解決這個問題，我們采用了一種細(xì)粒度的隔離技術(shù)——端口隔離[4]。

端口隔離是一種輕量級的端口級的隔離技術(shù)，劃入同一端口隔離組的端口之間的相互通信被阻止，或者說相互隔離。端口隔離能保證同一個隔離組內(nèi)的用戶即使是在同一個VLAN 內(nèi)也無法相互通信。因此，即使我們將WLAN 用戶都劃入了同一個VLAN 內(nèi)，仍然可以有效地實現(xiàn)有效的隔離。片區(qū)內(nèi)的AP 向上連接到可網(wǎng)管以太網(wǎng)PoE 交換機，通過它們再連接到AC。我們在這些PoE交換機上進(jìn)行配置，將連接AP 的端口加入同一個端口隔離組，這樣一來，這些AP 就無法相互通信了。這有效地將WLAN 以AP 為單位實現(xiàn)了隔離，比VLAN 的隔離效果更強。當(dāng)然，這可能有些副作用。比如原先在同一VLAN 內(nèi)的用戶可以通過“網(wǎng)上鄰居”之類的局域網(wǎng)應(yīng)用共享文件，但實施端口隔離之后，VLAN 可能被分割為若干小的隔離域，一些用戶之間就無法共享文件了。不過在學(xué)生宿舍內(nèi)這類應(yīng)用很少用到，而且連到同一AP 的用戶，比如同一寢室內(nèi)用戶仍然可以相互通信，共享文件的。因此，這些副作用基本上不影響學(xué)生的上網(wǎng)體驗。配置端口隔離組的步驟如下：

（1）執(zhí)行system-view，進(jìn)入系統(tǒng)視圖。

（2）執(zhí)行port-isolate mode all，配置端口隔離模式，隔離所有報文（二層和三層）。

（3）執(zhí)行interface interface-type interface-number，進(jìn)入以太網(wǎng)接口視圖。

（4）執(zhí)行port-isolate enable [group group-id]，使能端口隔離功能，將端口加入對應(yīng)隔離組。

要注意的是：PoE 交換機的上聯(lián)口，即連接到AC 的端口要單獨設(shè)置一個隔離組，連接AP 的端口另外設(shè)置一個隔離組。這保證來自AP 的出口流量能通過上聯(lián)口轉(zhuǎn)發(fā)出去。

片區(qū)內(nèi)AP 還支持一種“AP 隔離”的功能，可以集中在AC 上配置并下發(fā)到AP 上。這是一種“無線版本”的端口隔離技術(shù)，某個AP 開啟這個功能之后，連接到這個AP 上的用戶就被禁止相互通信了，或者說相互隔離了。不過因為有學(xué)生反映開啟AP 隔離之后，類似“手機快傳”的一些流行的手機應(yīng)用在寢室內(nèi)就無法使用了，所以我們最終沒有啟用這個功能。

5 測試結(jié)果和結(jié)論

我們選擇了片區(qū)學(xué)生上網(wǎng)的高峰時間（晚上9 點左右，活躍在線人數(shù)達(dá)1500 左右）進(jìn)行了定性和定量測試，以反映WLAN 實際運行效果。測試方法同和三層漫游的測試一樣。定性測試為發(fā)現(xiàn)有明顯的卡頓、掉線，結(jié)果令人滿意，就不贅述了。表2 是定量測試結(jié)果。延遲和丟包率有些偏高，但都在可接受的范圍。由于WLAN 信號不穩(wěn)定的特性，定量測試結(jié)果僅供參考。

表2 二層漫游延遲和丟包率測試數(shù)據(jù)

開通漫游是項系統(tǒng)工程，我們對各個宿舍樓一層的AP 實施了信號增強，替換了一些信號不佳的AP。在AC上實施了信號調(diào)優(yōu)策略，動態(tài)調(diào)整AP 的信道占用，以減少信道沖突。實施二層漫游+端口隔離后至今有兩個學(xué)期，實驗WLAN 運行穩(wěn)定，AC 的CPU 占用率并無明顯增加，網(wǎng)絡(luò)故障率對比開通前沒有明顯變化。學(xué)生對漫游服務(wù)開通反應(yīng)良好，這證明二層漫游+端口隔離的策略是行之有效的。一方面，開通二層漫游在性能上可以承受的；另一方面端口隔離替代VLAN 隔離也是行之有效的。