[摘 要]當前對WiFi終端的接入管理一般是通過身份認證系統(tǒng)與網(wǎng)絡(luò)設(shè)備結(jié)合，以聯(lián)動的方式來實現(xiàn)終端的訪問、權(quán)限以及分類管理。這種管理方法由于生產(chǎn)廠商之間的技術(shù)壁壘，常要求網(wǎng)絡(luò)設(shè)備和身份認證系統(tǒng)統(tǒng)一品牌才能實現(xiàn)。本文通過對DHCP、HTTP標準協(xié)議的分析，旨在探索出一條通過標準技術(shù)實現(xiàn)WiFi終端接入管理的思路。

[關(guān)鍵詞]WiFi接入管理;終端接入管理;DHCP;HTTP;NAC

隨著802.11n標準草案的通過，WiFi進一步消除了和有線網(wǎng)絡(luò)之間的接入速率差距， WiFi技術(shù)的應(yīng)用就成為各大運營商分流的一個好幫手。雖然WiFi擁有很多優(yōu)點，但是WiFi終端類型的多樣性，則引申出終端接入管理的多種問題。近些年來業(yè)界主流的管理思想是通過用戶管理來實現(xiàn)終端管理，主要強調(diào)的是用戶身份的合法性和權(quán)限分配，即網(wǎng)絡(luò)接入訪問控制技術(shù)（NAC）。NAC的思想雖然能夠?qū)崿F(xiàn)精細化的接入管理，但是這種管理方式通常是基于網(wǎng)絡(luò)設(shè)備與身份認證系統(tǒng)（或認證網(wǎng)關(guān)）之間的聯(lián)動功能，勢必要求身份認證系統(tǒng)下發(fā)的策略在無線控制器或者交換機能夠進行識別。換句話來說就是策略的管理端、執(zhí)行端通常需要使用同一個生產(chǎn)廠商的產(chǎn)品。而處于建設(shè)和管理的發(fā)展角度考慮，網(wǎng)絡(luò)建設(shè)者常常不希望因為產(chǎn)品聯(lián)動功能而受到建設(shè)制約，這就要求身份管理、終端管理要依托于兩套相對獨立的技術(shù)實現(xiàn)。

一、實現(xiàn)原理

通過對DHCP、HTTP等標準化協(xié)議進行技術(shù)分析，我們發(fā)現(xiàn)不一定非要靠用戶身份的辨識來進行WiFi接入終端的管理：通過終端在進行DHCP交互、Web認證或者是HTTP交互時，也可以通過對交互報文的截獲、解析、識別來對接入終端進行分類，然后在無線設(shè)備管理平臺上對不同類型的接入終端進行訪問權(quán)限、QoS、轉(zhuǎn)發(fā)路徑等策略的部署。這種方式無線設(shè)備的生產(chǎn)廠商就可以實現(xiàn)，而不需要和身份認證系統(tǒng)或者交換機進行聯(lián)動或者對接。通過DHCP option進行終端管理的想法雖然在無線WiFi網(wǎng)絡(luò)的實際應(yīng)用還不廣泛，但是該思路在運營商的IPTV業(yè)務(wù)中已經(jīng)經(jīng)過了較嚴謹?shù)臏y試及成功部署的驗證。例如在中國電信內(nèi)部發(fā)布的IPTV承載網(wǎng)絡(luò)DHCP接入技術(shù)規(guī)范（V2.2）中就如何通過標準的DHCP交互流程來實現(xiàn)IPTV機頂盒的接入控制和用戶認證應(yīng)用。

從對DHCP option技術(shù)分析來看，雖然通過DHCP交互能夠分辨終端的基本類型，但是由于涉及到終端廠商自定義的內(nèi)容，而且DHCP能夠攜帶的終端信息有限，因此我們還需要尋找另外一種攜帶更加豐富和細致的終端信息的標準技術(shù)，我們可以引入HTTP協(xié)議的UA字段來滿足這個需求。這種通過HTTP UA字段來進行無線終端的屬性收集及管理策略下發(fā)，在網(wǎng)絡(luò)設(shè)備廠商也已經(jīng)獲得了一些成熟的應(yīng)用。例如在思科的身份服務(wù)引擎（ISE）解決方案中，就有通過HTTP UA字段來識別無線接入終端的類型，然后通過認證系統(tǒng)的用戶類型和終端類型綁定來實現(xiàn)根據(jù)用戶下發(fā)管理策略。

從前面的技術(shù)分析可以看出，DHCP option所提供的終端信息較少，在最少的情況下只能看到基本的設(shè)備類型和操作系統(tǒng)類型，為了解決這個問題，在終端信息的識別過程中除了正則表達式的應(yīng)用之外，還需要考慮如果同時存在DHCP和HTTP信息識別方式，而這兩者有矛盾時，如何進行最準確的識別。在這里將對比流程圖設(shè)計如下：

二、效益分析

由于將用戶身份認證和WiFi終端管理進行了分離，網(wǎng)絡(luò)的管理者在部署WiFi網(wǎng)絡(luò)時不再受限于身份認證系統(tǒng)、交換機和無線設(shè)備之間的聯(lián)動關(guān)系，而是將三者以一種松耦合的方式來進行聯(lián)系。這種松耦合關(guān)系能夠消除WiFi網(wǎng)絡(luò)建設(shè)時的廠商技術(shù)壁壘，網(wǎng)絡(luò)管理者在進行設(shè)備選型及采購時可以根據(jù)需要對身份認證系統(tǒng)、交換機、無線設(shè)備進行獨立的采購，保護投資。其次，當用戶通過智能手機、平板電腦長時間在線時，互聯(lián)網(wǎng)出口很可能出現(xiàn)帶寬不足或者某種終端占用了大量的帶寬的情況，但僅僅是擴展互聯(lián)網(wǎng)出口還是無法解決根本問題。那么通過本文介紹的方法，可以在管理系統(tǒng)上預(yù)先自定義策略模版，針對不同類型的接入終端通過路由策略下發(fā)可以實現(xiàn)分流出口，例如：智能手機通過電信出口接入互聯(lián)網(wǎng);iPad平板電腦通過移動出口接入互聯(lián)網(wǎng);筆記本電腦通過聯(lián)通出口接入互聯(lián)網(wǎng)。另外，在一些特定的環(huán)境下，某些網(wǎng)絡(luò)資源保密性要求比較高，只有特定的移動終端才能進行訪問，其它的WiFi接入終端是無法訪問的。這時光靠用戶身份認證顯然不能滿足要求，因此通過本文介紹的方法，可以識別特定的WiFi終端，滿足特定資源的保密訪問需求。最后，隨著在很多單位和企業(yè)，信息化建設(shè)的投入越來越大，定制化或者統(tǒng)一采購的WiFi終端管理成為一些單位和企業(yè)面臨的新問題，這部分資產(chǎn)是下發(fā)給用戶使用的，但是使用的情況以及資產(chǎn)審計是一個挑戰(zhàn)。通過本文介紹的方法，可以網(wǎng)絡(luò)管理者對接入WiFi終端進行信息的收集，在管理系統(tǒng)上呈現(xiàn)出來實現(xiàn)這部分資產(chǎn)管理和使用情況的審計。

總之，本文中介紹的通過DHCP和HTTP標準協(xié)議的應(yīng)用能夠幫助網(wǎng)絡(luò)管理者在WiFi接入終端的管理上提供了一種更加精細化的思路。

參考文獻：

[1]（美）史蒂文斯（Stevens）.《TCP/IP詳解卷3》. "2011年6月.

[2]徐寶海.WiFi網(wǎng)絡(luò)工程優(yōu)化方法研究.《電腦編程技巧與維護》. 2014年20期.

[3]毛文杰.淺論WiFi傳輸與接入技術(shù)的發(fā)展[J]. 《信息安全與技術(shù)》;2014年04期.

作者簡介：黃鴿（1982-1），男，湖南長沙人，湖南建筑高級技工學校，學工保衛(wèi)科，講師，研究方向：計算機應(yīng)用。