王佶 鄒池佳 江肖強(qiáng)

浙江大學(xué)信息中心 浙江 310027

0 引言

伴隨著移動(dòng)互聯(lián)網(wǎng)的不斷發(fā)展、無(wú)線(xiàn)智能終端的迅速普及，高校針對(duì)校園 WLAN的需求正在不斷變化，傳統(tǒng)的校園 WLAN架構(gòu)和管理模式正逐步呈現(xiàn)出許多難以應(yīng)對(duì)的問(wèn)題：無(wú)線(xiàn)控制器種類(lèi)繁多、用戶(hù)策略各異，不便于管理維護(hù)；無(wú)法實(shí)現(xiàn)基于用戶(hù)不同需求的精細(xì)化管理；原有相當(dāng)數(shù)量無(wú)線(xiàn)設(shè)備無(wú)法支持 IPv6協(xié)議等。因此，探索一個(gè)全新的校園WLAN架構(gòu)體系以及相應(yīng)的管理模式是目前高校WLAN管理者必須面對(duì)的緊迫課題。

1 校園WLAN扁平化架構(gòu)

扁平化的架構(gòu)模式并非必須或者一定就物理聯(lián)接層次上的減少，而是指網(wǎng)絡(luò)邏輯層次的簡(jiǎn)化。

扁平化架構(gòu)的優(yōu)勢(shì)：將原先個(gè)層次模糊的功能區(qū)分清晰化，各司其職，有利于管理、維護(hù)和業(yè)務(wù)的部署；實(shí)現(xiàn)用戶(hù)、業(yè)務(wù)控制的集中化，由能力最強(qiáng)、功能最豐富的核心設(shè)備提供集中的業(yè)務(wù)控制和管理，在提供功能和業(yè)務(wù)時(shí)，發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢(shì)；匯聚、接入設(shè)備一般只需要提供基礎(chǔ)的AP管理、二層VLAN劃分等功能，不涉及到具體的用戶(hù)業(yè)務(wù)功能，因此部署新的用戶(hù)業(yè)務(wù)時(shí)，無(wú)需考慮其是否支持，無(wú)需考慮設(shè)備型號(hào)，有利于降低數(shù)量眾多的匯聚、接入層設(shè)備投資；功能劃分清晰后，整個(gè)網(wǎng)絡(luò)更有利于擴(kuò)展，核心層設(shè)備的性能很強(qiáng)，對(duì)新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需考慮接入數(shù)量的擴(kuò)充、上行帶寬的增加等。如圖1所示，扁平化架構(gòu)，可以將傳統(tǒng)的三層架構(gòu)簡(jiǎn)化為兩個(gè)層次，業(yè)務(wù)控制層和寬帶接入層。

圖1 優(yōu)化架圖

2 校園WLAN的扁平化部署

與傳統(tǒng)校園WLAN由AC提供DHCP和Web Portal功能相比，扁平化的校園WLAN部署弱化了AC的功能，通過(guò)核心層實(shí)現(xiàn)DHCP和Web Portal的用戶(hù)接入網(wǎng)絡(luò)認(rèn)證功能。此架構(gòu)下的AC僅僅需要提供SSID、“瘦”AP的頻段功率等功能，無(wú)需再提供用戶(hù)認(rèn)證策略的功能。

核心層除核心路由器外，還有具有用戶(hù)自助功能的Portal服務(wù)器，Radius認(rèn)證平臺(tái)，出口網(wǎng)關(guān)設(shè)備，用戶(hù)管理平臺(tái)及數(shù)據(jù)庫(kù)系統(tǒng)等，如圖2所示。

圖2 扁平化部署

2.1 核心層

核心層，扁平化架構(gòu)下也可稱(chēng)為業(yè)務(wù)控制層，所有涉及用戶(hù)策略的下發(fā)都由其控制，包括用戶(hù)IP地址的分配、用戶(hù)上網(wǎng)帶寬等權(quán)限的下發(fā)、用戶(hù)在線(xiàn)狀態(tài)的監(jiān)聽(tīng)和用戶(hù)計(jì)費(fèi)等審計(jì)業(yè)務(wù)的實(shí)現(xiàn)等。

此外，在核心層面上實(shí)現(xiàn)了有線(xiàn)無(wú)線(xiàn)用戶(hù)的一體化。傳統(tǒng)校園 WLAN模式下，用戶(hù)第一次認(rèn)證接入校園網(wǎng)，訪(fǎng)問(wèn)英特網(wǎng)需要第二次認(rèn)證。扁平化架構(gòu)下，無(wú)線(xiàn)用戶(hù)不需要二次認(rèn)證，用戶(hù)連接到無(wú)線(xiàn)網(wǎng)絡(luò)后，核心設(shè)備通過(guò)NAS-PORT-TYPE的標(biāo)準(zhǔn)Radius屬性，判斷用戶(hù)是否具備無(wú)線(xiàn)訪(fǎng)問(wèn)權(quán)限，并且按照預(yù)先設(shè)定的計(jì)費(fèi)方案進(jìn)行計(jì)費(fèi)，優(yōu)化了用戶(hù)體驗(yàn)。

核心路由器配置：

2.2 寬帶接入層

扁平化部署弱化了AC功能，除了管理AP的基本功能外，只需要開(kāi)啟SSID，將核心層提供的用戶(hù)VLAN與SSID關(guān)聯(lián)，從而實(shí)現(xiàn)用戶(hù)通過(guò)此VLAN與核心層通訊。

3 校園WLAN的精細(xì)化管理

3.1 基于賬號(hào)類(lèi)型的用戶(hù)權(quán)限管理

校園上網(wǎng)賬號(hào)種類(lèi)豐富。根據(jù)互聯(lián)網(wǎng)鏈路，可以分為校園網(wǎng)權(quán)限、教科網(wǎng)權(quán)限和國(guó)際權(quán)限等賬號(hào)；根據(jù)帶寬，可以分為1M、2M和4M等賬號(hào)；根據(jù)資費(fèi)，可以分為10元、30元和50元等賬號(hào)。早期校園WLAN其中一種主流的認(rèn)證方式是DHCP + Web Portal認(rèn)證方式，此方式下，往往用戶(hù)認(rèn)證后，僅僅是獲得了校園網(wǎng)接入的權(quán)限，需要通過(guò)第二次撥號(hào)才能訪(fǎng)問(wèn)互聯(lián)網(wǎng)，同時(shí)用戶(hù)的校園網(wǎng)接入帶寬很難與賬號(hào)權(quán)限相匹配。在扁平化架構(gòu)下，核心路由器和出口網(wǎng)關(guān)設(shè)備可以根據(jù)Radius提供的用戶(hù)信息下發(fā)用戶(hù)權(quán)限，同一無(wú)線(xiàn)環(huán)境下，實(shí)現(xiàn)了用戶(hù)上網(wǎng)僅需一次認(rèn)證，同時(shí)可能根據(jù)用戶(hù)賬號(hào)權(quán)限，下發(fā)不同的帶寬策略和訪(fǎng)問(wèn)權(quán)限。此種基于賬號(hào)類(lèi)型的用戶(hù)權(quán)限管理，不僅具有良好的用戶(hù)體驗(yàn)，也為管理者實(shí)現(xiàn)了管理的精細(xì)化。

3.2 基于流量計(jì)費(fèi)的用戶(hù)流量管理

無(wú)線(xiàn)網(wǎng)與有線(xiàn)網(wǎng)相比，帶寬相對(duì)較窄，P2P下載致使用戶(hù)相互影響也時(shí)有發(fā)生，因此從規(guī)范管理的角度來(lái)看，對(duì)無(wú)線(xiàn)網(wǎng)進(jìn)行一定的流量限制是有必要。傳統(tǒng)架構(gòu)下，流量管理不僅較難實(shí)現(xiàn)，而且要在每臺(tái)AC上進(jìn)行繁瑣的策略部署。在扁平的架構(gòu)下，弱化AC功能后，所有的流量計(jì)費(fèi)功能都由核心路由器、出口網(wǎng)關(guān)及Radius共同承擔(dān)，不僅全網(wǎng)下實(shí)現(xiàn)了統(tǒng)一部署，而且可以避免AC不支持某項(xiàng)功能的尷尬。對(duì)核心層進(jìn)行新功能開(kāi)發(fā)，更可以實(shí)現(xiàn)校園網(wǎng)、教科網(wǎng)和國(guó)際網(wǎng)流量的不同計(jì)費(fèi)策略，不僅對(duì)用戶(hù)行為進(jìn)行了限制，還能減輕國(guó)際出口帶寬的壓力。

3.3 基于用戶(hù)終端的認(rèn)證管理

傳統(tǒng)校園 WLAN一般采用 IEEE 802.1X或網(wǎng)頁(yè)認(rèn)證。802.1X認(rèn)證，就存在客戶(hù)端兼容性問(wèn)題；而傳統(tǒng)的網(wǎng)頁(yè)認(rèn)證，除了存在二次認(rèn)證的問(wèn)題，在用戶(hù)在線(xiàn)狀態(tài)監(jiān)聽(tīng)、用戶(hù)帶寬等權(quán)限下發(fā)方面，存在明顯缺陷。扁平化的WLAN架構(gòu)下，由于部署的核心功能強(qiáng)大，同時(shí)，所有新的需求只需在核心層進(jìn)行定制開(kāi)發(fā)，為不斷更新的用戶(hù)終端接入奠定了良好的基礎(chǔ)。

扁平化的部署，采用認(rèn)證方式是核心路由器提供DHCP等功能、配合Web Portal服務(wù)器、Radius服務(wù)器及萬(wàn)兆出口網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)用戶(hù)上網(wǎng)接入認(rèn)證。用戶(hù)的主要認(rèn)證接入方式是Web認(rèn)證，通過(guò)80端口的http服務(wù)或443端口的https服務(wù)進(jìn)行用戶(hù)瀏覽器認(rèn)證。網(wǎng)頁(yè)認(rèn)證相對(duì)于客戶(hù)端認(rèn)證，最大的優(yōu)勢(shì)就是用戶(hù)終端操作系統(tǒng)兼容性強(qiáng)，終端只要支持http/https協(xié)議，就能實(shí)現(xiàn)接入認(rèn)證。同時(shí)為了方便用戶(hù)，可以針對(duì)PC終端例如Windows、Mac OS、Linux等系統(tǒng)，或者移動(dòng)終端如iPhone、iPad、Android等系統(tǒng)開(kāi)發(fā)相應(yīng)的模擬http/https協(xié)議的客戶(hù)端，此客戶(hù)端僅僅為模擬網(wǎng)頁(yè)認(rèn)證，因此設(shè)計(jì)相對(duì)較為簡(jiǎn)單快捷。

3.4 基于用戶(hù)狀態(tài)的用戶(hù)接入等其它管理

傳統(tǒng)的DHCP + Web portal架構(gòu)，在用戶(hù)在線(xiàn)狀態(tài)偵聽(tīng)、用戶(hù)強(qiáng)制離線(xiàn)和消息發(fā)布等功能上存在缺陷。有時(shí)用戶(hù)離線(xiàn)，因?yàn)闆](méi)有偵聽(tīng)用戶(hù)在線(xiàn)狀態(tài)，無(wú)法及時(shí)將用戶(hù)下線(xiàn)，導(dǎo)致用戶(hù)無(wú)法再別處登錄、IP地址資源浪費(fèi)等問(wèn)題。扁平化的部署，就能實(shí)現(xiàn)精細(xì)化的管理，可以實(shí)現(xiàn)用戶(hù)下線(xiàn)后較短時(shí)間內(nèi)賬號(hào)下線(xiàn)及IP地址釋放、用戶(hù)欠費(fèi)后強(qiáng)制離線(xiàn)以及各種窗口托送的消息發(fā)布，使管理更加精準(zhǔn)有效。

需要時(shí)，也可以開(kāi)發(fā)功能授權(quán)模塊，即控制每個(gè)小組內(nèi)用戶(hù)不同時(shí)段具有不同的訪(fǎng)問(wèn)權(quán)限。例如結(jié)合學(xué)校排課系統(tǒng)，可以控制學(xué)生用戶(hù)在上課時(shí)間不能訪(fǎng)問(wèn)QQ等。精細(xì)化的網(wǎng)絡(luò)管理，為高校的教育提供了良好的支撐。

4 結(jié)論

本文闡述了通過(guò)網(wǎng)絡(luò)扁平化和管理精細(xì)化的優(yōu)化工作，使原先個(gè)層次模糊的功能區(qū)分清晰化，是原先粗放的管理變得更加精準(zhǔn)。與傳統(tǒng)校園 WLAN的部署和管理相比，可以發(fā)現(xiàn)校園 WLAN扁平化部署和精細(xì)化管理具有更高的效率也更有利于管理，為改善整個(gè)校網(wǎng)無(wú)線(xiàn)的用戶(hù)體驗(yàn)奠定了基礎(chǔ)。

[1]魯義軒.大流量業(yè)務(wù)沖擊3G+WLAN網(wǎng)路 802.11n 被納入規(guī)劃[J].通信世界.2010.

[2]劉利.異構(gòu)無(wú)線(xiàn)網(wǎng)環(huán)境下移動(dòng) IPv6關(guān)鍵技術(shù)研究[D].博士論文.安徽:中國(guó)科學(xué)技術(shù)大學(xué).2007.

[3]厲延民.試論無(wú)線(xiàn)校園網(wǎng)的設(shè)計(jì)和實(shí)施[J].電腦知識(shí)與技術(shù).2011.

[4]徐峰,嚴(yán)學(xué)強(qiáng).全扁平化移動(dòng)網(wǎng)絡(luò)架構(gòu)的研究[J].移動(dòng)通訊.2011.

[5]高波,張正風(fēng),徐旭.基于WLAN接入的DHCP + Web認(rèn)證關(guān)鍵技術(shù)分析[J].電信科學(xué).2008.

[6]楊放春.智能網(wǎng)技術(shù)及其發(fā)展[J].電信科學(xué).2001.

[7]胡云波,王培東,朱海燕.無(wú)線(xiàn)局域網(wǎng)的認(rèn)證方法研究[J].計(jì)算機(jī)工程與應(yīng)用. 2008.

[8]吳越,曹秀英,胡愛(ài)群,畢光國(guó).無(wú)線(xiàn)局域網(wǎng)安全技術(shù)研究[J].電信科學(xué).2002.