文/常潘
瘦AP網管為無線校園覆蓋鋪路
文/常潘
華東師范大學已與三家運營商達成共識
隨著廣大用戶對移動性要求的提高,無線網絡因為其無需插線,設置簡單,正在受到越來越多的青睞。華東師范大學無線覆蓋范圍不斷擴大,并實施網絡全免費方案。
華東師范大學無線網絡使用瘦A P組網,AP可以自由布置,通過DNS的A記錄或DHCP的Option 43實現(xiàn)AP自動發(fā)現(xiàn)無線網絡控制器(Wireless LAN Controller,WLC),由控制器對AP進行統(tǒng)一的管理,用戶端的地址和A P的地址可以在不同的網段,用戶端的地址由控制器負責分配,用戶的訪問策略也由控制器負責實施,AP的IP地址由其所插的網絡端口決定。
無線信號在空間是自由傳輸方式,因此會互相干擾,為了使信號的干擾最小化,校方首先通過發(fā)文不允許下屬各單位自行布置AP,一旦發(fā)現(xiàn)有非法的AP連接在可網管的交換機端口上,網管軟件立即封閉相應的端口;如果無法確定AP所在的可網管交換機端口(很可能是校外設備,例如運營商的設備),則校方的AP將發(fā)送干擾信號對非法AP(Rogue AP)進行干擾,使其停止提供接入服務。
隨著校方無線覆蓋范圍的擴大以及網絡全免費的實施,校方就校園無線覆蓋問題與運營商進行廣泛溝通并達成如下的共識:學校鼓勵運營商進入校園進行3G覆蓋,運營商在鋪設3G覆蓋時,天饋必須采用吸頂天線,合路器部分必須為校方提供WLAN的接口,運營商管理的界面為信號合路器到天線的部分,無線網絡設備由校方提供,為了解決運營商WLAN覆蓋問題,校方在自己的A P上為中國移動、中國電信、中國聯(lián)通都開設了相應的SSID,包括學校ECNU的SSID,每個AP上的SSID數(shù)目一般為4個。運營商的SSID在控制器上由專用的網絡接口接入運營商的專線進行認證及計費,不需經過校園網傳輸,保證了網絡完全隔離。
為了使布線規(guī)模盡可能小,校方在三家運營商之間協(xié)調,希望三家運營商使用統(tǒng)一的布線系統(tǒng),最后達成的一致意見為網絡實施由一個同時經過三個運營商認證的系統(tǒng)集成商負責,采用支持WLAN、TDSCDMA、WCDMA和CDMA2000的天饋系統(tǒng)及合路器,實施完畢以后,校內已經基本沒有非法的AP,同時校方和運營商可以互惠互利,獲得雙贏。由于校方的AP都是采用瘦AP的方式,由無線控制器統(tǒng)一管理,自動進行頻譜分配,AP間的干擾很小。
用戶認證管理
因為無線的使用群體較大,在校方主要包含了以下幾種(不含運營商的用戶群) :
1.校內在冊的教職工;
2.全日制的本??粕?、研究生、博士生;
3.網絡學院的學生;
4.進修教師、專業(yè)研究生、各種外聘人員;
5.其他臨時人員(包括參加培訓的中學校長、短期訪問學者、參加會議人員)
其中1-2兩種人員的原始信息在校方的應用系統(tǒng)的LDAP中,3中人員的信息主要在網絡學院遠程教學系統(tǒng)的Windows AD中,4-5這些人因不需要使用校方的應用系統(tǒng),因此沒有相應的電子版用戶數(shù)據(jù)。
為了使1-5類人員能全部使用校內的無線及有線,校方開始建立認證中心,負責對校內所有系統(tǒng)提供用戶統(tǒng)一的身份認證接口,而在認證中心的后端增加了幾個到其他用戶庫的認證接口,其中一個接口是到LDAP認證。
第3種人員到網絡學院的Windows AD進行認證。第4類用戶雖然沒有固定的身份庫,但他們都有學校提供的校園卡,且都有自己的消費密碼,認證中心便采用校園卡的消費密碼作為這些人員的上網密碼,用戶名為卡號,通過拓展認證中心的接口,使之支持到后端的ODBC認證,讓這部分用戶直接進入一卡通的身份數(shù)據(jù)庫進行認證。
對于第5類用戶,由于這批用戶滯留的時間較短,一般不辦理校園卡,為了讓這批用戶能夠使用網絡,網絡中心在應用系統(tǒng)中做了一個界面,讓每一個第1類中的人員都可以申請臨時賬號,每人可同時申請10個,有效期為一個星期,數(shù)據(jù)直接存儲在ODBC的數(shù)據(jù)庫中,由認證中心到ODBC中進行認證,賬號的安全性由申請人員負責,這樣使每一個與學校相關的人員都可以使用校園網。
用戶權限管理
為了給不同的用戶不同種類的訪問權限,在認證中心中對不同種類用戶進行分組,第1-2類人員,登錄無線后,可以訪問校內所有的應用服務器以及外網。第3類用戶登錄后只能訪問網絡學院的教學系統(tǒng)以及圖書館資源,第4、5類用戶登錄成功后僅能訪問外網以及校內受限的資源。
用戶分布管理
在布設天線時,根據(jù)大樓設計時的CAD矢量圖,將天線的位置標注在CAD矢量圖上,然后在無線的網管系統(tǒng)中導入相應的矢量圖,就可以得到用戶具體位置,連接具體AP的詳細信息,對于用戶的定位和解決用戶的上網故障都將有很大的幫助。根據(jù)用戶所處位置的熱圖,我們還可以周期性對AP的接入用戶進行統(tǒng)計,根據(jù)這些統(tǒng)計,可以調整一些AP的部署,對那些長時間沒有用戶連接的A P進行移位或者拆除,對一些用戶比較飽和的區(qū)域,再適當增加一些AP。
目前無線網的用戶認證一般采用802.1X認證或者是Web Portal認證,802.1X認證相對比較安全,但由于其設置復雜,一般用戶使用不太方便。 Web Portal認證因為其簡單,不需要任何設置,往往被絕大部分無線服務提供者使用。為了給一些Web Portal用戶提供增強的安全,我們將SSL VPN服務器在登錄頁面上做好鏈接,同時在無線控制器上允許VPN Server不需要Portal登錄就可以訪問,用戶采用SSL VPN加密后,用戶端和SSL VPN Server之間傳輸?shù)膬热菥涂梢匀客ㄟ^SSL加密傳輸,在空中傳輸?shù)膬热菥筒粫煌德牐ㄒ驗橄抻谟脩舻牟l(fā)數(shù)及性能,校方的SSL VPN僅允許第1、2類用戶登錄)。
IPv6支持
有些廠家的WLC已經可以支持IPv6的路由協(xié)議,這些WLC上的用戶可以直接使用v6的協(xié)議進行身份認證及網絡訪問;有些WLC不支持IPv6協(xié)議,但是可以讓IPv6的協(xié)議報文透明傳輸,這些WLC的配置就需要將三層接口配置于支持IPv6路由協(xié)議的三層交換機或者路由器上,以使IPv6的報文可以路由。
對于一部分完全不支持IPv6的WLC,如果需要在客戶端支持IPv6的協(xié)議,需要將用戶的網關配置于WLC上,然后在支持WLC的相應VLAN接口上外掛支持IPv6路由協(xié)議的交換機或者路由器(也可以借助上游的三層交換機),這樣用戶v4的IP報文通過WLC路由,v6地址通過外掛的交換機或路由器自動分配并路由,實現(xiàn)v4與v6同時訪問,但此種方式的缺點是IPv6的地址無法做身份認證,用戶不需要通過無線網絡認證就可以通過IPv6訪問相應的網絡。
原有胖AP的融入
由于校內部分區(qū)域還有一些無法升級成瘦AP的胖AP,使用胖AP組網,通過使用專網或專用線路,將所有的AP最終匯聚到同一個認證網關之下,由網關進行用戶身份認證。為了對這些AP進行統(tǒng)一的管理,通過部署MPLS VPN將所有的胖AP通過MPLS VPN匯聚后,連接到無線控制器的有線網口上,使這部分用戶也通過控制器進行統(tǒng)一認證與管理,如果這些AP支持SNMP網管功能,還可以通過無線網管軟件對這些AP進行統(tǒng)一網管,不僅可以查看用戶的認證信息,還可以查看用戶的位置信息(只能定位到具體的AP,不支持三角算法)。
目前很多高校為了提高無線的覆蓋,在大樓內采用饋線的方式進行覆蓋,這種覆蓋會產生如下二個問題:
一是無線控制器無法動態(tài)確定A P的發(fā)射功率,有礙AP的蜂窩形成,造成AP間的相互干擾比較嚴重,而且容易形成覆蓋空洞(Coverage Hole)。
二是采用饋線方式無法解決802.11協(xié)議中提及的隱藏終端問題,使得沖突的概率大幅度提高,影響整個無線網絡的性能。
隨著無線網絡覆蓋范圍的擴大,性能的提升,校園的無線覆蓋有望沒有盲點,WLAN上的語音、流媒體等實時業(yè)務將給廣大師生帶來學習與生活上的各種便利,無線網絡本身也必將會在廣大用戶的支持下獲得更好的發(fā)展。
(作者單位為華東師范大學網絡中心)
深信服簽約馬來西國民科技大學
上網行為管理方案顯優(yōu)勢
本刊訊 日前,深信服科技駐馬來西亞辦事處的銷售和技術人員通過分析國民科技大學的現(xiàn)狀,結合深信服上網行為管理產品的特點,提出了針對性的解決方案。
深信服在馬來西國民科技大學的主干網絡出口處,以網橋模式部署上網行為管理方案,通過分析網絡中的流量,制定一系列上網行為管理的措施,使馬來西亞國民科技大學遇到的問題得到解決。