鄭瑞平

陜西師范大學教育學院，西安 710062

隨著數(shù)字化校園的快速推進，師生對于移動學習的要求也進一步提高。在校園中，不可能做到每一個角落都布設有線網(wǎng)絡，而師生不僅希望能夠在辦公室、實驗室、宿舍等有固定網(wǎng)絡信息點的場所使用校園網(wǎng)絡，更希望在校園的每一個角落都使用網(wǎng)絡，比如階梯教室、體育館、圖書館和戶外場所，等［1-2］。該文介紹了陜西師范大學近期自行部署校園無線網(wǎng)所進行的方案設計，并最終選擇QinQ技術(shù)和Portal認證技術(shù)應用到校園無線網(wǎng)絡，希望能對一些企業(yè)和學校在做無線網(wǎng)絡的組建和設計時起到一些參考作用。

1 QinQ技術(shù)及Portal認證技術(shù)

1．1 QinQ 技術(shù)

QinQ技術(shù)其實就是IEEE 802．1QTunneling(隧道)，是將用戶私網(wǎng)VLAN Tag封裝在公網(wǎng)VLAN Tag中，報文帶著兩層Tag穿越服務商的骨干網(wǎng)絡(公網(wǎng))，從而為用戶提供一種較為簡單的二層VPN隧道。QinQ協(xié)議是基于IEEE 802．1Q技術(shù)的一種二層隧道協(xié)議。由于在公網(wǎng)中傳遞的幀有兩層802．1QTag(一個公網(wǎng)Tag，一個私網(wǎng) Tag)，即802．1Q-in-802．1Q，所以稱之為QinQ協(xié)議［3］。QinQ報文封裝與802．1Q報文封裝對比如圖1所示。

圖1 QinQ與802．1Q的報文封裝對比

支持QinQ的網(wǎng)絡設備可以用一個VLAN來支持擁有多個VLAN的用戶。用戶自身的VLAN被保留起來，這樣即使進入設備的不同用戶流的VLAN相同，也會在設備內(nèi)部網(wǎng)絡中被分開傳輸［4］。在同一個二層網(wǎng)絡中最多可以支持創(chuàng)建4 094個VLAN，但在實際應用中，這個數(shù)量遠遠不能滿足需求。Switch設備提供的QinQ接口，可以給幀加上雙重Tag。通常情況下，通過配置可以在內(nèi)部網(wǎng)絡中(如大型校園網(wǎng)絡)使用幀的私網(wǎng)Tag，而在外部網(wǎng)絡中(如運營商的網(wǎng)絡中)使用公網(wǎng)Tag，從而可以最多提供4 094×4 094個VLAN，滿足隔離大量用戶的需要。

1．2 Portal認證技術(shù)

Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其他信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。Portal認證技術(shù)提供一種靈活的訪問控制方式，不需要安裝客戶端，就可以在接入層以及需要保護的關(guān)鍵數(shù)據(jù)入口處實施訪問控制。

Portal認證技術(shù)具有以下優(yōu)點:

①不需要部署客戶端，直接使用Web頁面認證，使用方便;

②可以定制“VLAN+端口+dhcp池”粒度級別的個性化認證頁面，同時可以在Portal頁面上開展服務選擇和信息發(fā)布等內(nèi)容，進行業(yè)務拓展;

③關(guān)注對用戶的管理，可基于用戶名與VLAN ID/IP/MAC的捆綁識別來認證，并采用Portal server和Portal client之間，BAS和Portal client之間定期發(fā)送握手報文的方式來進行斷網(wǎng)檢測［5］。

2 校園無線網(wǎng)絡部署和實施

陜西師范大學原有的有線網(wǎng)絡都已接入到辦公樓、實驗樓、教學樓和學生宿舍，此次無線網(wǎng)絡的設計就是通過在有線網(wǎng)絡基礎上增加無線控制器、無線AP、PoE交換機及相應管理系統(tǒng)，基于QinQ技術(shù)和Portal認證技術(shù)實現(xiàn)校園無線網(wǎng)絡的覆蓋。

2．1 校園網(wǎng)現(xiàn)狀

陜西師范大學現(xiàn)有長安和雁塔兩個校區(qū)，校園網(wǎng)有三個網(wǎng)絡出口:教育專線、電信專線及聯(lián)通專線。核心交換機上做了適當?shù)姆至鞑呗?，使得訪問不同的外部網(wǎng)絡走不同的線路，從而做到負載均衡。兩個校區(qū)核心層各有一臺Juniper MX 960作為核心路由，到各個樓宇的匯聚層由光纜連通。學生宿舍已經(jīng)在2011年改造了原有網(wǎng)絡，在匯聚層交換機上啟用QinQ技術(shù)，然后下發(fā)到學生宿舍的各個接入交換機。學生在接入端上網(wǎng)使用Portal認證技術(shù)，上網(wǎng)賬號和密碼實現(xiàn)了與學校信息門戶系統(tǒng)賬號和密碼的對接，并在Portal認證頁面提供網(wǎng)絡自助服務系統(tǒng)，方便學生進行查詢、管理及充值業(yè)務。

陜西師范大學無線網(wǎng)絡是由中國電信投入和部署的，電信SSID為ChinaNet和yixun，上網(wǎng)需要認證電信撥號客戶端，具體收費是按月包時，而且屬于校外網(wǎng)絡，不能訪問和下載校內(nèi)的資源，對于教師、學生和校內(nèi)其他工作人員十分不便。

2．2 校園無線網(wǎng)絡部署

由于陜西師范大學有線網(wǎng)絡應用QinQ結(jié)合Portal認證技術(shù)已有2年多的時間，相對技術(shù)比較成熟，網(wǎng)絡使用也比較穩(wěn)定。所以，無線網(wǎng)絡的部署就是在原有網(wǎng)絡基礎上增加無線相關(guān)設備，實現(xiàn)與有線網(wǎng)絡和校園門戶系統(tǒng)的無縫對接。無線網(wǎng)絡的設計主要從以下幾個方面考慮:

①覆蓋范圍要求:主要是有線網(wǎng)絡無法接入的室外場所及有線網(wǎng)絡使用不便或受限的室內(nèi)場所。用無線網(wǎng)絡覆蓋可以來解決相當數(shù)量的移動設備同時訪問網(wǎng)絡的問題。在學校中，主要包括各教學樓、校園禮堂、學校圖書館以及戶外休息區(qū)等場所。

②安全、認證和管理的要求:考慮到校園無線網(wǎng)絡安全的問題，需要實現(xiàn)對用戶管理、認證和控制功能，用戶需要通過Web頁面認證，認證賬號和密碼通過與學校門戶系統(tǒng)數(shù)據(jù)庫對接［6］。

③校園無線網(wǎng)網(wǎng)絡結(jié)構(gòu)的要求:無線接入所需布設的POE交換機和無線AP通過校園網(wǎng)的有線網(wǎng)絡匯聚層設備接入到校園網(wǎng)中，在匯聚層都提供相應的接口給無線網(wǎng)。無線微蜂窩覆蓋就是多個AP各自的無線信號相互交叉覆蓋，在其覆蓋區(qū)域內(nèi)實現(xiàn)無縫連接，無線終端只要處于覆蓋無線信號的地區(qū)，就可以通過就近的AP訪問互聯(lián)網(wǎng)，實現(xiàn)用戶在覆蓋區(qū)內(nèi)的漫游，由于有多個AP之間可以實現(xiàn)無線互聯(lián)通信，所以不會因為單個AP區(qū)域沒有覆蓋到的地方而無法上互聯(lián)網(wǎng)［7］。

基于以上幾個方面的綜合考慮，陜西師范大學最終確定為AC+AP的設計方案。在核心端，陜西師范大學選用Hipath C5210無線控制器，無線控制器系統(tǒng)負責對整個無線網(wǎng)絡系統(tǒng)進行統(tǒng)一集中監(jiān)控，并對所有無線接入點(AP)進行集中控制，管理與這些接入點有關(guān)的無線客戶端設備的網(wǎng)絡分配［7］。每臺高端控制器支持高達1 050個接入點，考慮未來網(wǎng)絡升級和擴容問題，通過部署多控制器，可以支持更多接入點;在接入端，選擇AP 3715無線接入點，負責無線信號的收發(fā)，完成與無線終端設備的交互;供電段:接入層POE交換機選擇西門子公司800系列08G20G4-24P POE交換機，負責為AP提供POE供電，并為其提供網(wǎng)

絡鏈路平臺［8］。

2．3 QinQ的實施與配置

校園無線網(wǎng)絡的設計是在兩校區(qū)各增加一臺enterasys C5210型號的無線控制器，對整個無線網(wǎng)絡系統(tǒng)進行統(tǒng)一集中管理和監(jiān)控，同時負責全校所有AP的管理和監(jiān)控，無線控制器通過單模光纖鏈接到核心設備MX 960上，相應接口配置如下:

xe-0/3/0{

flexible-vlan-tagging;

auto-configure{

stacked-vlan-ranges{

dynamic-profile stackvlan-BanGongQu{

accept［dhcp-v4 dhcp-v6］;

ranges{

2201-2230，4031-4060;

}

}

}

}

unit 3901{

vlan-id 3901;

family inet{

address 10．19．0．13/29;

}

}

}［9］

由于有線網(wǎng)絡的各個樓宇的匯聚層設備都是鏈接到同一個核心設備Juniper MX 960上，所以只需在互聯(lián)到匯聚設備的對應接口下加上無線網(wǎng)絡對應的VLAN(包括外層VLAN和內(nèi)層VLAN)，相應接口配置如下:

description"Connect to SNNU-YT-BGQ-Jiao6Lou:gi";

flexible-vlan-tagging;

auto-configure{

stacked-vlan-ranges{

dynamic-profile stackvlan-BanGongQu{

accept［dhcp-v4 dhcp-v6］;

ranges{

2206-2206，101-4060;

}

}

}

}［9］

各樓宇的匯聚設備到核心設備Juniper MX 960的互聯(lián)端口只需要把所有的用戶VLAN和設備管理VLAN透傳上去即可。陜西師范大學各個樓宇的匯聚設備都是H3C的網(wǎng)絡設備，H3C設備能很好地支持QinQ技術(shù)，在匯聚的HC3 5500交換機上開啟QinQ功能;同時把增加的POE交換機連接到每個樓宇的匯聚設備上，在相應端口也開啟QinQ功能，相應接口配置如下:

interface GigabitEthernet1/0/11

port link-mode bridge

description"Connect to WiFi-POE-SW"

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 2 to 4094

port trunk pvid vlan 2206=

qinq enable

qinq transparent-vlan 4094［3］

陜西師范大學選用的poe交換機是enterasys公司生產(chǎn)的800系列08G20G4-24P POE交換機，它有24個10/100/1000自適應POE RJ45端口，在相應的端口添加內(nèi)層標簽VLAN。根據(jù)每層樓教室的格局、部署，通過安裝西門子公司的Hipath 3715瘦AP來實現(xiàn)整層樓的無線覆蓋，AP數(shù)量依實際情況而定。這種采用AC+AP的整體組網(wǎng)方案可輕松實現(xiàn)全網(wǎng)的無縫漫游以及負載均衡。

2．4 Portal認證的實施與配置

對于Portal認證用戶是通過HTTP協(xié)議發(fā)起認證請求。HTTP報文經(jīng)過接入設備時，對于訪問Portal服務器或設定的免費訪問地址的HTTP報文，接入設備允許其通過;對于訪問其他地址的HTTP報文，接入設備將其重定向到Portal服務器［5］。Portal服務器提供Web頁面供用戶輸入用戶名和密碼進行認證，并在Portal認證頁面提供網(wǎng)絡自助服務系統(tǒng)，方便學生進行查詢、管理及充值業(yè)務。

Portal認證過程可以簡單描述如下:首先，用戶通過DHCPServer獲取IP地址，從而可以直接訪問Portal服務器和一些內(nèi)部服務器;第二步，用戶根據(jù)登錄前獲得的IP被強制跳轉(zhuǎn)到指定Web登陸界面，在該Web界面同時還可以瀏覽Web頁面上的新聞、公告等免費信息;第三步，用戶在登錄界面輸入用戶名和密碼，隨后用戶所輸入的用戶名和密碼就會被Web客戶端傳給Portal服務器;第四步，Portal服務器又將用戶請求發(fā)送至BAS，而BAS再傳給Radius(遠程接入用戶認證服務)服務器進行認證;最后，將認證通過的信息再回傳到Portal服務器，由Portal服務器向用戶推送相應的認證界面，從而實現(xiàn)相互認證和用戶上網(wǎng)的過程［10］。

對于Portal認證，IP地址是用戶的惟一標識。因此，Portal認證的策略是在用戶所在VLAN ID的網(wǎng)關(guān)設備上添加，也就是核心設備MX 960上添加強制轉(zhuǎn)到Portal認證頁面的策略，策略如下:

filter pbr1{

interface-specific;

enhanced-mode;

term 1{

from{

destination-address{

10．19．0．100/32;

}

}

then accept;

}

}

配置radius服務器:

access{

radius-server{

10．19．0．100{

port 1812;

accounting-port 1813;

secret"＊＊＊＊＊＊";##SECRET-DATA

source-address 10．19．1．2;

}

}

profile radius_profile{

accounting-order radius;

authentication-order radius;

radius{

authentication-server 10．19．0．100;

accounting-server 10．19．0．100;

}

domain{

map test{

access-profile radius_profile;

strip-domain;}

}

}

通過對陜西師范大學校園網(wǎng)絡現(xiàn)狀的分析，設計了一套即安全可靠，又能與原校園網(wǎng)絡緊密結(jié)合的無線網(wǎng)絡方案，這就是基于Qinq和Portal認證技術(shù)部署的校園無線網(wǎng)絡，其網(wǎng)絡結(jié)構(gòu)如圖2所示。

圖2 校園無線網(wǎng)絡結(jié)構(gòu)

該文以陜西師范大學校園無線網(wǎng)絡的部署工程為背景，設計了校園無線網(wǎng)絡的部署方案，給出了與原有線網(wǎng)絡相結(jié)合的基于QinQ和Portal認證技術(shù)的無線網(wǎng)絡應用規(guī)劃思路。無線網(wǎng)絡發(fā)展到今天，雖然不能夠取代有線網(wǎng)絡，但作為有線網(wǎng)絡的延伸和補充，基于QinQ和Portal認證技術(shù)相結(jié)合的校園無線網(wǎng)絡不失為一個好的選擇。

［1］胡建龍，高嶺，種蘭祥，等．現(xiàn)代校園無線網(wǎng)絡建設與管理［J］．中國教育信化，2012，(15):54-55

［2］王鑫．淺談校園無線網(wǎng)絡設計與實現(xiàn)［J］．電子商務與電子政務，2013，(9):452-456

［3］華三通信技術(shù)有限公司．QINQ技術(shù)白皮書［EB/OL］．http://www．h3c．com．cn/Products_Technology/Technology/LAN/Other_technology/Technology_recommend/200805/60 5855_30003_0．htm，2012-01

［4］劉浪，洪耀球．QinQ技術(shù)在校園網(wǎng)中的應用［J］．信息科技，2012，(5):202

［5］華三通信技術(shù)有限公司．Portal認證技術(shù)白皮書［EB/OL］．http://www．h3c．com．cn/Products_Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200812/624142_30003_0．htm，2012-06

［6］羅堅．基于FitAP模式的無線校園網(wǎng)絡的設計與實現(xiàn)［D］．上海:上海交通大學，2012，(5):11-12

［7］王毅．WLAN中AC_AP組網(wǎng)的設計與應用［J］．產(chǎn)業(yè)與科技論壇，2012，(11):101-102

［8］西門子公司．Wireless Student Guide v4．07［EB/OL］．Enterasys Networks，2012-03-05

［9］Juniper網(wǎng)絡公司．Juniper MX960 Technotes［EB/OL］．http://www．juniper．net/techpubs/en_US/release-independent/junos/topics/concept/mx960-description．html，2013-05

［10］秦文勝，辛繼勝．基于Portal認證的電信寬帶接入在校園網(wǎng)中的應用［J］．中國教育信息化，2011，(21):79-80