汪翔

（中國移動通信集團設(shè)計院有限公司上海分公司，上海 200060）

高?！叭嗄Ｊ健盬LAN業(yè)務(wù)網(wǎng)絡(luò)分流建設(shè)模式

汪翔

（中國移動通信集團設(shè)計院有限公司上海分公司，上海 200060）

隨著中國移動對于WLAN網(wǎng)絡(luò)建設(shè)逐步展開，越來越多的WLAN個性化業(yè)務(wù)需求在各個用戶或者企業(yè)中出現(xiàn)，為了既要滿足用戶需求，同時又滿足移動WLAN網(wǎng)絡(luò)建設(shè)要求，多種WLAN業(yè)務(wù)的衍生方案應(yīng)運而生，本方案著重討論在多個SSID、多種認(rèn)證方式以及多類型IP地址業(yè)務(wù)需求下的WLAN網(wǎng)絡(luò)建設(shè)及數(shù)據(jù)分流模式。

多SSID業(yè)務(wù)；802.1x認(rèn)證；IPv4；IPv6

Wi-Fi熱點作為“智慧城市”建設(shè)中網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵組成部分，被集團和上海公司高度關(guān)注。集團發(fā)布《關(guān)于2010年WLAN業(yè)務(wù)發(fā)展的指導(dǎo)意見》，明確WLAN覆蓋場點優(yōu)先級，“力爭實現(xiàn)覆蓋8 000人以上高校不低于80%，8 000人以下高校不低于50%；高校校園重點覆蓋區(qū)域為圖書館、教室、學(xué)生宿舍等區(qū)域”，將8 000人以上高校作為首選覆蓋目標(biāo)。

1 高?！叭嗄Ｊ健睒I(yè)務(wù)需求及需求分析

大部分高校均自建有一套WLAN，但往往均不是全覆蓋，往往只覆蓋辦公教學(xué)區(qū)，未覆蓋宿舍區(qū)，因而中國移動可以借此機會將WLAN部署進高校宿舍區(qū)。但往往高校要求移動WLAN同時需要開放其本身的校園網(wǎng)SSID信號，由此就出現(xiàn)各種個性化的業(yè)務(wù)需求。由于高校本身屬于科研單位，所以其對中國移動WLAN的可擴展性、安全性以及相關(guān)的業(yè)務(wù)支持能力要求就相對較高。

高?！叭嗄Ｊ健睒I(yè)務(wù)需求如下。

多SSID需求：中國移動WLAN開通校園網(wǎng)SSID帶來的多SSID業(yè)務(wù)需求，高校要求開通支持Portal認(rèn)證或者802.1x認(rèn)證的校園網(wǎng)SSID。

多認(rèn)證方式需求：中國移動WLAN本身可支持Portal認(rèn)證、802.1x認(rèn)證以及MAC認(rèn)證等多種認(rèn)證方式，高校的校園網(wǎng)SSID也存在此類需求。

多類型IP地址需求：由于高校屬于科研單位，因此其校園網(wǎng)SSID可能會存在同時支持IPv6及IPv4的需求。

基于以上的三多模式，如何將移動建設(shè)的WLAN與高校建設(shè)的WLAN做本地互聯(lián)，實現(xiàn)業(yè)務(wù)融合和業(yè)務(wù)流本地轉(zhuǎn)發(fā)，成為我們需要考慮的重點問題。

高?！叭嗄Ｊ健毙枨蠓治觯涸诖四Ｊ较拢瑯I(yè)務(wù)網(wǎng)絡(luò)的建設(shè)和實現(xiàn)難點在于：數(shù)據(jù)流本地分流及互通問題；雙方網(wǎng)絡(luò)Portal認(rèn)證頁面如何彈出問題；移動校園網(wǎng)WLAN IP地址下發(fā)問題和移動WLAN校園網(wǎng)多SSID多認(rèn)證模式問題。

2 網(wǎng)絡(luò)建設(shè)及數(shù)據(jù)分流模式

根據(jù)以上幾點需求我們逐一考慮建設(shè)模式。

2.1 數(shù)據(jù)流本地分流及互通問題

在目前WLAN 瘦架構(gòu)設(shè)備廣泛鋪開的環(huán)境下，WLAN數(shù)據(jù)流分流從技術(shù)上主要是采用基于SSID配置VLAN標(biāo)簽實現(xiàn)業(yè)務(wù)分流的方式，但在互通問題上則存在兩種方式。

方案1：本地二層互通轉(zhuǎn)發(fā)。

分析：本地二層互通方式對雙方互通設(shè)備的要求則較少，互通端口和設(shè)備性能滿足二層分流需求即可；但是從網(wǎng)絡(luò)安全角度考慮，對雙方WLAN，若采用二層協(xié)議互通，則任何一方網(wǎng)絡(luò)都暴露在另一方的網(wǎng)絡(luò)上，普遍存在二層網(wǎng)絡(luò)風(fēng)險。

方案2：本地三層互通轉(zhuǎn)發(fā)。

分析：本地三層互通勢必涉及到設(shè)備配置，對于移動側(cè)的匯聚交換機必須要求為三層交換機，支持三層功能。同樣，對于高校側(cè)的核心出口設(shè)備也必然是支持三層功能的設(shè)備。

2.2 雙方WLAN網(wǎng)絡(luò)Portal認(rèn)證頁面如何彈出問題

在基于Portal認(rèn)證的模式下，由于Portal協(xié)議為二層協(xié)議，若雙方直接三層互通，將無法支持另一方SSID的Portal認(rèn)證，因而可以考慮在雙方互通鏈路上新增“中間件設(shè)備”。

圖1 移動高校WLAN數(shù)據(jù)二層互通網(wǎng)絡(luò)

圖2 移動高校WLAN數(shù)據(jù)三層互通網(wǎng)絡(luò)

圖3 移動高校WLAN數(shù)據(jù)三層互通網(wǎng)絡(luò)（支持Portal認(rèn)證）

圖3的組網(wǎng)方式既滿足了雙方網(wǎng)絡(luò)之前三層互通的需求，同時也滿足WLAN Portal認(rèn)證協(xié)議的要求，但是前提是這個“中間件設(shè)備”必須支持內(nèi)置Portal頁面，實現(xiàn)Portal認(rèn)證的用戶可以通過該頁面登陸。

2.3 移動校園網(wǎng)WLAN IP地址下發(fā)問題

從用戶接入流程上分析，用戶接入WLAN首先是發(fā)送ARP廣播分組向DHCP服務(wù)器獲取IP地址。在移動校園網(wǎng)WLAN的模式下，則存在3個或者多個DHCP設(shè)備，分別是移動WLAN核心網(wǎng)AC設(shè)備、校園網(wǎng)WLAN核心網(wǎng)AC設(shè)備以及校園網(wǎng)核心DHCP設(shè)備等。因此，對于多個SSID的IP地址下發(fā)，我們同樣需要根據(jù)不同的SSID區(qū)別對待。

建議配置原則為：根據(jù)SSID歸屬由各自DCHP設(shè)備下發(fā)各自的IP地址（包括IPv4和IPv6）。具體下發(fā)規(guī)則如下。

移動WLAN網(wǎng)絡(luò) SSID-CMCC和CMCCEDU：由移動核心網(wǎng)AC下發(fā)移動IP地址。

移動建WLAN網(wǎng)絡(luò) SSID-GX WLAN：由高校核心網(wǎng)DHCP設(shè)備下發(fā)校園網(wǎng)IP地址。

高校自建WLAN網(wǎng)絡(luò)SSID-CMCC和CMCCEDU：由移動核心網(wǎng)AC下發(fā)移動IP地址。

高校自建WLAN網(wǎng)絡(luò)SSID-GX WLAN：由高校自建AC下發(fā)校園網(wǎng)IP地址。

根據(jù)以上原則并結(jié)合前一節(jié)探討的數(shù)據(jù)三層互通建設(shè)模式，在WLAN組網(wǎng)上則需要注意以下幾點。

（1）由于雙方是三層互通，在IP地址下發(fā)過程中，必然需要DHCP，由于ARP廣播分組三層必然終結(jié)，因此雙方WLAN網(wǎng)絡(luò)中“中間件設(shè)備”需要支持DHCP或者DHCP Relay功能： 若采用DHCP則需要一方將其IP地址資源配置到另一方的“中間件設(shè)備”IP地址Pool中，若采用DHCP Relay，則直接Relay至對應(yīng)的DHCP設(shè)備。

圖4 移動高校WLAN數(shù)據(jù)三層互通網(wǎng)絡(luò)（支持Portal認(rèn)證及IP地址下發(fā)）

（2）高校存在IPv6地址的需求，但由于IPv6地址下發(fā)的DHCP設(shè)備為高校本身的AC或者核心網(wǎng)DHCP設(shè)備，因此移動無需配置支持DHCP IPv6地址的網(wǎng)絡(luò)設(shè)備。

2.4 移動WLAN校園網(wǎng)多SSID多認(rèn)證模式問題

在目前的網(wǎng)絡(luò)組網(wǎng)情況下，如何實現(xiàn)認(rèn)證，首先需要考慮認(rèn)證點原則，認(rèn)證點分配原則與IP地址下發(fā)相同：移動SSID由移動RADIUS平臺認(rèn)證，而高校SSID由高校認(rèn)證平臺認(rèn)證。

而后需要考慮在對方WLAN網(wǎng)絡(luò)下，如何多種認(rèn)證模式下實現(xiàn)本方用戶至本方認(rèn)證平臺認(rèn)證的問題。

2．4．1 Portal認(rèn)證

我們已經(jīng)討論過如何實現(xiàn)Portal頁面彈出的問題， 因此在彈出Portal頁面后，只需要將認(rèn)證數(shù)據(jù)通過三層鏈路推送至歸屬認(rèn)證平臺即可。如圖5所示。

2．4．2 802．1x認(rèn)證

由于802.1x認(rèn)證屬于在瘦架構(gòu)下實現(xiàn)機制是AC下發(fā)認(rèn)證密鑰至AP，而后AP對用戶進行認(rèn)證。在移動現(xiàn)有的組網(wǎng)模式下，若要實現(xiàn)高校802.1x認(rèn)證的需求，則必須要由移動WLAN核心網(wǎng)AC下發(fā)802.1x認(rèn)證，而后將認(rèn)證數(shù)據(jù)指向高校自有的RADIUS。同時由于移動目前自有一個基于802.1x認(rèn)證的SSID：CMCC-AUTO，因此移動AC需要根據(jù)不同SSID將認(rèn)證數(shù)據(jù)流指向不同的RADIUS，具體數(shù)據(jù)流向如圖6所示。

針對高校WLAN的802.1x認(rèn)證，由于目前高校AC不屬于移動RADIUS接入范圍，因此無法在高校WLAN中開通移動802.1x認(rèn)證。若要實現(xiàn)此業(yè)務(wù)需求，則必須將高校WLAN AC設(shè)備列入移動Radius接入白名單才能實現(xiàn)。

2．4．3 MAC認(rèn)證

MAC認(rèn)證數(shù)據(jù)流則比較簡單，只需根據(jù)業(yè)務(wù)SSID將數(shù)據(jù)流分流至各自的DHCP設(shè)備，而后根據(jù)MAC地址進行認(rèn)證。

圖5 Portal認(rèn)證數(shù)據(jù)流

圖6 802.lx認(rèn)證數(shù)據(jù)流

圖7 MAC認(rèn)證數(shù)據(jù)流

綜上討論，高?！叭嗄Ｊ健毕碌腤LAN網(wǎng)絡(luò)融合建設(shè)方案需要考慮多方面的業(yè)務(wù)規(guī)則和技術(shù)要求，因此在現(xiàn)有的移動WLAN建設(shè)模式下，我們需要借助支持內(nèi)置Portal頁面以及支持DHCP或者DHCP Realy功能的“中間件設(shè)備”來實現(xiàn)高校復(fù)雜的業(yè)務(wù)需求。此類組網(wǎng)模式同樣適用于對WLAN業(yè)務(wù)需求較高的大型集團客戶，對移動WLAN網(wǎng)絡(luò)的擴展有非常大的借鑒作用。

3 結(jié)束語

在中國移動鋪開建設(shè)WLAN熱點之際，討論多種業(yè)務(wù)模式下的WLAN建設(shè)融合組網(wǎng)對今后移動WLAN建設(shè)有著非常大的指導(dǎo)作用，可以為中國移動的WLAN建設(shè)提出新的空間和思路，對中國移動WLAN的發(fā)展有著重要作用。

Probe into the construction of colleges and universities wireless integrated network with “threefold requirement mode”

WANG Xiang
(China Mobile Group Design Institute Co., Ltd. Shanghai Branch, Shanghai 200060, China)

With China Mobile wireless network construction gradually, more and more wireless network personalized service demand in each user or enterprise, in order to meet the needs of users, but also meet the requirements of mobile wireless network construction, various schemes of wireless network construction plan be derived, this thesis focuses on the WLAN networking mode under requirements of multiple SSID, multiple authentication methods and multiple IP address types.

multiple SSID; 802.1x authentication; IPv4; IPv6

TN929.5

A

1008-5599（2013）10-0011－05

2013-09-01