文/周祥

?

華東師范大學(xué)校園網(wǎng)絡(luò)中運(yùn)營商Wi-Fi的部署

文/周祥

高校在校園WLAN覆蓋的基礎(chǔ)上引進(jìn)運(yùn)營商WLAN，可以轉(zhuǎn)移部分用戶至運(yùn)營商網(wǎng)絡(luò)，減少校園網(wǎng)出口的壓力；高校通雖然可以實(shí)現(xiàn)各高校之間的跨校認(rèn)證，但對(duì)于來自非高校的一些來賓仍然要提供Guest WLAN以實(shí)現(xiàn)無處不在的網(wǎng)絡(luò)接入需求，而運(yùn)營商的WLAN就能很好地滿足這種需求，也省去了該校對(duì)自己建設(shè)的Guest WLAN的管理。

運(yùn)營商如果自行部署高校內(nèi)的WLAN，除了需要大量的硬件及線路投入，由于無線頻譜的共享特性，運(yùn)營商部署的AP還面臨著同校方無線設(shè)備相互干擾的問題；如果運(yùn)營商利用高校已有的無線設(shè)備增加自己的WLAN覆蓋，提供一條WLAN用戶的出口鏈路，則能避免以上問題，很容易地實(shí)現(xiàn)上千畝地域的校園WLAN覆蓋。

統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)

傳統(tǒng)的無線局域網(wǎng)架構(gòu)是以無線接入點(diǎn)（AP）為中心，AP提供802.11基本服務(wù)集（BSS）并充當(dāng)該服務(wù)集的集線器，無線客戶端通過與AP關(guān)聯(lián)并到達(dá)網(wǎng)絡(luò)的其他位置。在這種模式下，客戶端直接和AP相連，由AP管理無線射頻信道的使用并獨(dú)立執(zhí)行各種安全策略。當(dāng)大范圍的無線網(wǎng)絡(luò)需要部署多個(gè)AP時(shí)，管理配置眾多的AP不僅很困難，而且不能做到對(duì)各無線客戶端的監(jiān)控和服務(wù)質(zhì)量保證。

在新型的無線網(wǎng)絡(luò)架構(gòu)中，將AP的絕大部分功能集中到一個(gè)中心設(shè)備，這個(gè)中心設(shè)備叫做無線網(wǎng)絡(luò)控制器（Wireless Lan Controller，WLC）。在中心架構(gòu)下，信標(biāo)和探針消息、RF發(fā)送和接收等由AP在 802.11的MAC層同無線客戶端交互，這種簡化功能的AP通常被稱為Fit AP 或LAP （Lightweight AP）。而客戶端的關(guān)聯(lián)和漫游、對(duì)客戶端的認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA）則由WLC完成，控制器還能對(duì)射頻資源進(jìn)行統(tǒng)一管理，自動(dòng)調(diào)節(jié)AP的發(fā)射功率、自動(dòng)分配頻段。LAP和WLC通過有線網(wǎng)絡(luò)連接之后會(huì)基于此連接建立一條隧道，用于傳輸與IEEE 802.11相關(guān)的消息和客戶端數(shù)據(jù)，隧道將LAP和WLC之間的數(shù)據(jù)封裝在IP分組中進(jìn)行傳輸，因此可以跨交換或路由部署LAP和WLC,使用這種集中化的控制管理模式能全面了解無線網(wǎng)絡(luò)狀況，集中配置部署，降低運(yùn)營、管理和維護(hù)成本。

能夠?qū)崿F(xiàn)校園內(nèi)迅速部署運(yùn)營商WLAN的前提是學(xué)校無線網(wǎng)絡(luò)已經(jīng)采用上述統(tǒng)一無線局域網(wǎng)架構(gòu)，以下將基于這種架構(gòu)來講述具體的實(shí)現(xiàn)細(xì)節(jié)。

實(shí)現(xiàn)方案

在統(tǒng)一的無線局域網(wǎng)架構(gòu)中，通常先將連接到WLC的多個(gè)LAP進(jìn)行分組，然后對(duì)這些分組的LAP進(jìn)行無線客戶端VLAN、AAA和SSID的統(tǒng)一配置。對(duì)于某個(gè)特定的LAP或LAP組可以配置多個(gè)VLAN、AAA和SSID的組合。采用多SSID的方案，能夠在現(xiàn)有校園WLAN的基礎(chǔ)上與運(yùn)營商WLAN共享硬件及射頻資源，校園網(wǎng)和運(yùn)營商分別配置各自的SSID，并使用不同的AAA策略。

圖1是融合運(yùn)營商WLAN之后的總體架構(gòu)示意圖。圖中Controller和LAP通過有線相連，它們之間路由可達(dá)，構(gòu)成了統(tǒng)一無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，虛線部分是為結(jié)合運(yùn)營商WLAN所添加的改動(dòng)?？蛻舳藬?shù)據(jù)通過Controller和LAP之間的隧道到達(dá)Controller，由Controller決定不同WLAN客戶數(shù)據(jù)的最終去向。選擇校園WLAN所對(duì)應(yīng)SSID的用戶流量去往校內(nèi)認(rèn)證服務(wù)器，在通過身份驗(yàn)證后經(jīng)由防火墻去往Cernet；選擇運(yùn)營商SSID的WLAN用戶流量從Controller直接去往ISP，由運(yùn)營商完成用戶的AAA和網(wǎng)絡(luò)訪問。不同的SSID所對(duì)應(yīng)的不同數(shù)據(jù)流向，使校園網(wǎng)用戶和運(yùn)營商用戶相互隔離，保證了雙方的安全性。

圖1 融合運(yùn)營商WLAN之后的總體架構(gòu)示意

對(duì)于校園WLAN，需要配置認(rèn)證服務(wù)器、認(rèn)證前的網(wǎng)絡(luò)訪問權(quán)限及認(rèn)證后的網(wǎng)絡(luò)訪問權(quán)限、SSID和對(duì)應(yīng)的客戶端VLAN、802.11X或Web Portal的認(rèn)證方式。因?yàn)檫\(yùn)營商用戶的數(shù)據(jù)從Controller流出后直接去往運(yùn)營商的網(wǎng)絡(luò)，運(yùn)營商網(wǎng)絡(luò)一般采用Portal方式在認(rèn)證服務(wù)器上進(jìn)行認(rèn)證，所以校園網(wǎng)工程師不需要關(guān)心運(yùn)營商用戶認(rèn)證的細(xì)節(jié)，只需要在WLC上開啟運(yùn)營商SSID用戶的透明訪問權(quán)限，為防止運(yùn)營商用戶認(rèn)證通過后直接訪問校園網(wǎng)，一般做法為在運(yùn)營商用戶的VLAN中去除接口地址即可，運(yùn)營商用戶的網(wǎng)關(guān)直接指向運(yùn)營商相應(yīng)的網(wǎng)關(guān)設(shè)備，這樣運(yùn)營商可以按流量對(duì)用戶進(jìn)行計(jì)費(fèi)，同時(shí)也保證了校園網(wǎng)絡(luò)的安全。

（作者單位為華東師范大學(xué)）