馮文超

（蘭州職業(yè)技術學院 電子與信息工程系，甘肅 蘭州 730070）

隨著時代的發(fā)展和技術的進步，有關礦山未來發(fā)展方向和實現(xiàn)方式不斷被刷新。2020年“新冠”疫情的爆發(fā)穩(wěn)固了礦產開發(fā)領域轉型的主要途徑—大數(shù)據(jù)，人工智能和云計算的應用。智慧礦山[1]的出現(xiàn)正引領著礦山企業(yè)向著綠色，安全，智能，高效的方向加速發(fā)展。為解決工礦企業(yè)各自動化設備在不同礦區(qū)WLAN之間出現(xiàn)的斷線重連，跨區(qū)掉線以及跨區(qū)無法認證的問題，提出了基于無縫漫游的WLAN無感知認證方案。該方案對網(wǎng)絡拓撲結構進行改造，在擴大的二層網(wǎng)絡之上修改了DHCP地址租約策略，使得接入設備在跨區(qū)漫游過程中避免IP失效的問題，從而避免接入設備在不同控制器之間漫游出現(xiàn)斷線情況，同時通過采用外部認證服務器的方式，保證接入設備一次認證跨區(qū)接入，最后使用無線網(wǎng)二層隔離和交換機端口隔離的方式避免可能出現(xiàn)的廣播風暴問題。

1 基于無縫漫游的無感認證設計

1.1 WLAN漫游和WLAN無感認證問題

1.1.1 WLAN漫游問題

802.11標準中定義了3種移動類型：非移動型，BSS移動型[2]，ESS移動型[3]。從行為特點上，BSS型移動稱之為漫游，而ESS型移動稱為切換。漫游又可以分為鏈路層漫游和網(wǎng)絡層漫游。礦區(qū)內存在一個使用WDS技術[4]中繼的WLAN，當一輛礦車從該WLAN的一個AP切換到另外一個AP連接時，由于IP地址不會發(fā)生改變，而網(wǎng)絡數(shù)據(jù)表實際轉發(fā)的路由器卻發(fā)生了改變，這種不切換網(wǎng)絡的地址的漫游稱之為鏈路層漫游。如果這個礦車從一個網(wǎng)絡切換到另外一個網(wǎng)絡，如果需要重新獲取IP地址，這種漫游稱之為網(wǎng)絡層漫游。

1.1.2 WLAN無感認證問題

為了保證礦山企業(yè)的數(shù)據(jù)完全，礦區(qū)內所有的WLAN都需要對無線站點的接入進行認證和授權。然而當無線終端在一個WLAN中認證之后，該WLAN保存了用戶的認證信息，如果無線終端在不同ESS之間漫游時，由于無法同步用戶的認證導致網(wǎng)絡斷開，需要重新認證，這種情況是WLAN無感認證必須解決的問題。WLAN無感認證需要滿足以下三個要素：①無線終端首次接入需要認證，但在之后的使用過程中無需重新認證；②系統(tǒng)必須提供無線終端的統(tǒng)一身份認證方式；③當無線終端發(fā)生漫游或者重連之后可以自動認證。

1.2 跨WLAN無感認證設計方案

圖1 智慧礦山中新網(wǎng)絡拓撲結構

在礦山無線網(wǎng)絡中，無縫漫游的用戶表現(xiàn)是終端的IP地址，MAC地址和身份ID信息在漫游過程中保持一致。由于MAC地址有網(wǎng)卡廠商統(tǒng)一分配，因此不會導致重復，身份ID是礦山企業(yè)為每個接入點分配的唯一身份認證，因此也可以避免重復情況。因此要實現(xiàn)用戶在漫游過程中不更換IP地址，需要設計合理的組網(wǎng)方式，設計的網(wǎng)絡拓撲結構如圖1所示。

在上述網(wǎng)絡拓撲結構中，如果無線終端進行BSS漫游，則可以采用802.11協(xié)議中的IAPP協(xié)議[5]。在實現(xiàn)漫游的基礎上，由于web portal認證服務器處于AP控制器的上層，因此無論終端是否進行漫游，其認證信息都存在于web portal服務器之中，且在整個漫游過程中不會出現(xiàn)IP地址的切換，因此無需重新認證。為了避免網(wǎng)絡規(guī)模的擴大導致的網(wǎng)絡沖突，進而使得WLAN的網(wǎng)絡利用率大幅降低。

由于網(wǎng)絡規(guī)模的擴大，每個終端節(jié)點在發(fā)送網(wǎng)絡數(shù)據(jù)包都需要發(fā)送廣播報文獲取信道參數(shù)，這種廣播大量堆積會導致廣播風暴[6]。為了避免這種情況的發(fā)生，本系統(tǒng)采用終端隔離，具體來說，在無線網(wǎng)中采用二層隔離的方式，在有線網(wǎng)中采用端口隔離的方式。

2 基于無縫漫游的無感認證的實現(xiàn)

2.1 無縫漫游的實現(xiàn)

在智慧礦山探索建設階段，該礦區(qū)提供無線網(wǎng)絡的主要設備為華為無線設備，在整個礦區(qū)部署約4320個AP，4臺AC，兩臺web Portal服務器和一臺RADIUS服務器。如圖2所示，在通過部署兩臺AC為礦區(qū)的無線終端提供兩個無線網(wǎng)絡服務。

圖2 無縫漫游組網(wǎng)方式

圖3 漫游響應時間對比

通過上述操作，可以實現(xiàn)無線終端在兩個AC之間實現(xiàn)漫游，通過驗證無線終端在兩個AC之間漫游斷開的時間，可以驗證本方案的正確性。測試結果如圖3所示。

2.2 無感認證的實現(xiàn)

基于無縫漫游的無感認證實在無線漫游組網(wǎng)方式的基礎上，采用串聯(lián)web portal認證服務器的部署方式。

無感認證的模式需要滿足：①在web portal服務器開啟無感認證模塊；②設置統(tǒng)一的認證界面；③web portal獲取匯聚交換機的ARP表，將無線終端的IP和MAC地址進行綁定。通過給交換機的前4個端口開啟隔離組，隔離著4個端口的廣播包。無感認證的有線網(wǎng)絡的端口配置過程如圖4所示。

圖4 有線網(wǎng)絡的端口配置過程

通過上述所述的步驟，WLAN的無感知認證配置完成，無線終端通過訪問頁面進行準入身份登記，web portal服務器會根據(jù)登錄時間記錄登錄終端的IP和MAC地址以及身份信息等，信息綁定之后，無線終端無論是在不同AC之間漫游還是斷開重連，都可以實現(xiàn)無感認證。該設計測試并初步應用，通過無感認證的方式，較為明顯的提高了無線終端接入效率。

3 結束語

文章提出了基于無縫漫游的WLAN無感認證方案。該方案在擴大的二層網(wǎng)絡之上修改了DHCP地址租約策略，避免接入設備在不同控制器之間漫游出現(xiàn)斷線情況，同時通過采用外部認證服務器的方式，保證接入設備一次認證跨區(qū)接入，最后使用無線網(wǎng)二層隔離和交換機端口隔離的方式避免可能出現(xiàn)的廣播風暴問題。