校園WLAN扁平化部署和精細化管理的探索與實踐

王佶 鄒池佳 江肖強

浙江大學信息中心 浙江 310027

0 引言

伴隨著移動互聯網的不斷發展、無線智能終端的迅速普及，高校針對校園 WLAN的需求正在不斷變化，傳統的校園 WLAN架構和管理模式正逐步呈現出許多難以應對的問題：無線控制器種類繁多、用戶策略各異，不便于管理維護；無法實現基于用戶不同需求的精細化管理；原有相當數量無線設備無法支持 IPv6協議等。因此，探索一個全新的校園WLAN架構體系以及相應的管理模式是目前高校WLAN管理者必須面對的緊迫課題。

1 校園WLAN扁平化架構

扁平化的架構模式并非必須或者一定就物理聯接層次上的減少，而是指網絡邏輯層次的簡化。

扁平化架構的優勢：將原先個層次模糊的功能區分清晰化，各司其職，有利于管理、維護和業務的部署；實現用戶、業務控制的集中化，由能力最強、功能最豐富的核心設備提供集中的業務控制和管理，在提供功能和業務時，發揮核心設備的高性能、穩定性、可靠性等優勢；匯聚、接入設備一般只需要提供基礎的AP管理、二層VLAN劃分等功能，不涉及到具體的用戶業務功能，因此部署新的用戶業務時，無需考慮其是否支持，無需考慮設備型號，有利于降低數量眾多的匯聚、接入層設備投資；功能劃分清晰后，整個網絡更有利于擴展，核心層設備的性能很強，對新功能新業務能夠提供良好的支持，匯聚層和接入層只需考慮接入數量的擴充、上行帶寬的增加等。如圖1所示，扁平化架構，可以將傳統的三層架構簡化為兩個層次，業務控制層和寬帶接入層。

圖1 優化架圖

2 校園WLAN的扁平化部署

與傳統校園WLAN由AC提供DHCP和Web Portal功能相比，扁平化的校園WLAN部署弱化了AC的功能，通過核心層實現DHCP和Web Portal的用戶接入網絡認證功能。此架構下的AC僅僅需要提供SSID、“瘦”AP的頻段功率等功能，無需再提供用戶認證策略的功能。

核心層除核心路由器外，還有具有用戶自助功能的Portal服務器，Radius認證平臺，出口網關設備，用戶管理平臺及數據庫系統等，如圖2所示。

圖2 扁平化部署

2.1 核心層

核心層，扁平化架構下也可稱為業務控制層，所有涉及用戶策略的下發都由其控制，包括用戶IP地址的分配、用戶上網帶寬等權限的下發、用戶在線狀態的監聽和用戶計費等審計業務的實現等。

此外，在核心層面上實現了有線無線用戶的一體化。傳統校園 WLAN模式下，用戶第一次認證接入校園網，訪問英特網需要第二次認證。扁平化架構下，無線用戶不需要二次認證，用戶連接到無線網絡后，核心設備通過NAS-PORT-TYPE的標準Radius屬性，判斷用戶是否具備無線訪問權限，并且按照預先設定的計費方案進行計費，優化了用戶體驗。

核心路由器配置：

2.2 寬帶接入層

扁平化部署弱化了AC功能，除了管理AP的基本功能外，只需要開啟SSID，將核心層提供的用戶VLAN與SSID關聯，從而實現用戶通過此VLAN與核心層通訊。

3 校園WLAN的精細化管理

3.1 基于賬號類型的用戶權限管理

校園上網賬號種類豐富。根據互聯網鏈路，可以分為校園網權限、教科網權限和國際權限等賬號；根據帶寬，可以分為1M、2M和4M等賬號；根據資費，可以分為10元、30元和50元等賬號。早期校園WLAN其中一種主流的認證方式是DHCP + Web Portal認證方式，此方式下，往往用戶認證后，僅僅是獲得了校園網接入的權限，需要通過第二次撥號才能訪問互聯網，同時用戶的校園網接入帶寬很難與賬號權限相匹配。在扁平化架構下，核心路由器和出口網關設備可以根據Radius提供的用戶信息下發用戶權限，同一無線環境下，實現了用戶上網僅需一次認證，同時可能根據用戶賬號權限，下發不同的帶寬策略和訪問權限。此種基于賬號類型的用戶權限管理，不僅具有良好的用戶體驗，也為管理者實現了管理的精細化。

3.2 基于流量計費的用戶流量管理

無線網與有線網相比，帶寬相對較窄，P2P下載致使用戶相互影響也時有發生，因此從規范管理的角度來看，對無線網進行一定的流量限制是有必要。傳統架構下，流量管理不僅較難實現，而且要在每臺AC上進行繁瑣的策略部署。在扁平的架構下，弱化AC功能后，所有的流量計費功能都由核心路由器、出口網關及Radius共同承擔，不僅全網下實現了統一部署，而且可以避免AC不支持某項功能的尷尬。對核心層進行新功能開發，更可以實現校園網、教科網和國際網流量的不同計費策略，不僅對用戶行為進行了限制，還能減輕國際出口帶寬的壓力。

3.3 基于用戶終端的認證管理

傳統校園 WLAN一般采用 IEEE 802.1X或網頁認證。802.1X認證，就存在客戶端兼容性問題；而傳統的網頁認證，除了存在二次認證的問題，在用戶在線狀態監聽、用戶帶寬等權限下發方面，存在明顯缺陷。扁平化的WLAN架構下，由于部署的核心功能強大，同時，所有新的需求只需在核心層進行定制開發，為不斷更新的用戶終端接入奠定了良好的基礎。

扁平化的部署，采用認證方式是核心路由器提供DHCP等功能、配合Web Portal服務器、Radius服務器及萬兆出口網關設備實現用戶上網接入認證。用戶的主要認證接入方式是Web認證，通過80端口的http服務或443端口的https服務進行用戶瀏覽器認證。網頁認證相對于客戶端認證，最大的優勢就是用戶終端操作系統兼容性強，終端只要支持http/https協議，就能實現接入認證。同時為了方便用戶，可以針對PC終端例如Windows、Mac OS、Linux等系統，或者移動終端如iPhone、iPad、Android等系統開發相應的模擬http/https協議的客戶端，此客戶端僅僅為模擬網頁認證，因此設計相對較為簡單快捷。

3.4 基于用戶狀態的用戶接入等其它管理

傳統的DHCP + Web portal架構，在用戶在線狀態偵聽、用戶強制離線和消息發布等功能上存在缺陷。有時用戶離線，因為沒有偵聽用戶在線狀態，無法及時將用戶下線，導致用戶無法再別處登錄、IP地址資源浪費等問題。扁平化的部署，就能實現精細化的管理，可以實現用戶下線后較短時間內賬號下線及IP地址釋放、用戶欠費后強制離線以及各種窗口托送的消息發布，使管理更加精準有效。

需要時，也可以開發功能授權模塊，即控制每個小組內用戶不同時段具有不同的訪問權限。例如結合學校排課系統，可以控制學生用戶在上課時間不能訪問QQ等。精細化的網絡管理，為高校的教育提供了良好的支撐。

4 結論

本文闡述了通過網絡扁平化和管理精細化的優化工作，使原先個層次模糊的功能區分清晰化，是原先粗放的管理變得更加精準。與傳統校園 WLAN的部署和管理相比，可以發現校園 WLAN扁平化部署和精細化管理具有更高的效率也更有利于管理，為改善整個校網無線的用戶體驗奠定了基礎。

[1]魯義軒.大流量業務沖擊3G+WLAN網路 802.11n 被納入規劃[J].通信世界.2010.

[2]劉利.異構無線網環境下移動 IPv6關鍵技術研究[D].博士論文.安徽:中國科學技術大學.2007.

[3]厲延民.試論無線校園網的設計和實施[J].電腦知識與技術.2011.

[4]徐峰,嚴學強.全扁平化移動網絡架構的研究[J].移動通訊.2011.

[5]高波,張正風,徐旭.基于WLAN接入的DHCP + Web認證關鍵技術分析[J].電信科學.2008.

[6]楊放春.智能網技術及其發展[J].電信科學.2001.

[7]胡云波,王培東,朱海燕.無線局域網的認證方法研究[J].計算機工程與應用. 2008.

[8]吳越,曹秀英,胡愛群,畢光國.無線局域網安全技術研究[J].電信科學.2002.