基于城域組網的運營級WLAN組網技術

高 波，潘毅明，黃國瑾

（中國電信股份有限公司上海研究院 上海200122）

1 引言

隨著移動互聯網時代的到來，尤其是具有WLAN（wireless local area network，無線局域網）無線模塊的移動智能終端的普及推廣，WLAN接入需求也日益迫切，在某種程度上，WLAN的普及程度已成為一個城市現代化的重要標志。政府要將WLAN打造成繼水、電、氣、交通之后的城市第5項公共基礎設施，以提升城市信息化水平；各地“無線城市”建設進一步促進了WLAN和熱點的建設。中國電信股份有限公司 （以下簡稱中國電信）也提出將WLAN建成第4張基礎網絡。

WLAN技術以其標準統一、部署簡單、性價比高的特點，成為無線寬帶接入的重要手段。但WLAN本質是個局域網技術，要適應城域組網的技術要求，需要對組網技術進行創新，實現對WLAN用戶接入的可管、可控，打造一張基于城域組網的運營級WLAN。

本文以上海電信WLAN城域組網技術為基礎，闡述基于城域組網的運營級WLAN組網技術和要求。

2 WLAN組網架構選擇和組網策略

運營級WLAN的特征是“大容量、高可靠、可擴展、可管理”，其建設需要從網絡覆蓋、組網架構、網絡質量和網絡管理維護等多方面著手，以提升用戶體驗為落腳點，全方位提升網絡質量。運營級WLAN主要特征有以下幾個方面。

·WLAN覆蓋將由零散熱點向數據熱區演進；對構建邏輯數據熱區進行統一的網絡管理、數據分析和特色業務開展。

·網絡架構扁平化，提高網絡運營和管理效率。網絡部署時要按組建整網的思路進行規劃和建設，構筑集中、安全、扁平化的網絡架構；同時能適應不同業務的承載需求。

·著眼用戶體驗，全面提升網絡質量：保證網絡穩定性，使用戶體驗良好，滿足多用戶、高速率接入需求，支持各類WLAN終端方便接入；還需具備高安全性。

·網絡可管可控，提升維護和優化水平。確保在網WLAN設備納入網管，快速定位網絡故障，確保網絡整體運行良好。圖1為WLAN目標組網架構示意。

圖1 WLAN目標組網架構

3 運營級WLAN組網方案

大規模WLAN組網均已采用集中控制型AC（AP controller，AP控制器）+“瘦”AP（access point，接入點）架構。傳統的組網方案是AC分散部署，就近旁掛BRAS（broadband remote access server，寬帶網絡接入服務器）。一臺AC只能管理該BRAS下同一廠商的AP，覆蓋范圍有限。由于不同BRAS下WLAN業務發展的不平衡，使接入的AP數量、用戶數量及流量不同，導致各臺AC負載能力不均衡，部分AC設備利用率偏低；如果實現AC備份機制，將會大大提高設備成本。AC分散部署，資源無法做到全網統一調度和管理，無法滿足多業務、個性化需求。

為此，提出將不同廠商的AC集中部署，形成AC中心，通過采用AC池化技術提升AC覆蓋范圍和負載均衡能力，全網統一調度資源。圖2為WLAN組網拓撲示意。

每臺AC雙上聯到支持虛擬一體化的二臺交換機SW（switch，AC專用接入交換機），AC雙上聯均采用萬兆接口跨框聚合，AP專線接入的BRAS分別采用兩個端口分別與AC接入交換機互聯，端口綁定，確保網絡安全可靠。任一臺AC與BRAS均可通過IP路由可達，因此AP通過BRAS可接入任一臺AC；同時部署專用DHCP（dynamic host configuration protocol，動態主機配置協議）服務器[1]。通過上述組網形成AC中心。

其中，一部分AC設備配置私網地址，負責通過專線接入的AP；另一部分AC設備配置公網地址，負責通過Internet接入的AP。

3.1 AC池化技術

將為AP分配管理地址和下發AC地址的功能，從AC設備中剝離出來，AC僅負責AP接入注冊、AP管理和管理信息上報給網管平臺。AC池中心通過專用的DHCP服務器系統負責為AP分配管理地址，同時通過option 43屬性為AP下發AC地址。

圖2 WLAN組網拓撲

WLAN網管和后臺的資源庫根據新上線AP的需求、AC池中各AC的負載、同一熱點已在線AP所注冊的AC等情況進行綜合考慮，為新上線AP分配合適的AC設備，并將AP與AC的對應關系下發給專用DHCP系統和AC設備。

通過AC池化技術，可以集中調度AC設備；利用網管系統檢測在網AC設備負載、設備CPU（central processing unit，中央處理器）利用率等技術指標及實時檢測AC設備的故障情況；靈活支持M＋1、M＋N或M∶M等多種AC備份機制。其中，M＋1備份指用一臺專用的備份AC設備作為M臺主用AC的備份；M＋N備份指用N臺專用的備份AC設備作為M臺主用AC的備份，任意1臺主用AC出現故障時，可整機切換到備份AC設備上；M∶M備份指不設置專用的備份AC，所有的M臺AC都正常工作，但不100%配置（如只配置AC能力的80%的AP），留有一定的空余能力作為備份，當有AC發生故障時，將故障AC上的AP靈活地分散調度到其他若干臺AC中。

3.2 AP兩種接入方式

AP上聯主要有兩種接入方式，一種是專線接入，AP通過預配置管理VLAN（virtual local area network，虛擬局域網）接入BRAS，BRAS通過VLAN可識別AP業務并作相應的轉發；另一種是AP通過Internet接入與部署在公網的AC組網。AP通過Internet接入AC組 網，作為AP專 線 接入組網的補充手段，極大地擴大了WLAN的覆蓋范圍，使任何場點都有可能接入基于城域組網的WLAN。

3.2.1 AP專線接入方式

AP通過專線接入。傳統組網需要將不同廠商的AP分別配置不同的管理VLAN，BRAS根據管理VLAN識別廠商，將AP的DHCP報文轉發給對應的AC[2]。通過AC池化技術，實現將不同廠商的AP都配置成相同的管理VLAN，BRAS統一將AP的DHCP報文轉發給專用DHCP系統。DHCP系統為AP分配管理地址的同時，根據網管系統下發的AP和AC對應關系，通過option43屬性為AP下發AC地址。

3.2.2 AP Internet接入方式

AP通過場點部署的企業網關/家庭網關接入Internet，如中小商鋪通過部署企業網關/家庭網關PPPoE（PPP over ethernet，以太網上傳送PPP）撥號接入Internet。AP由網關設備分配地址，通過域名解析獲得AC地址，與部署在公網的AC通信建立隧道[3]。

3.3 AC啟用二、三層混用功能

中國電信的WLAN組網利用現網已有的BRAS設備，對WLAN用戶實現地址分配、認證、管理等功能。用戶數據通過AP-AC隧道，經AC二層轉發至BRAS，用戶二層報文終結于BRAS。

隨著多SSID（service set identifier，服務集標識）的開啟，AC二層透傳各SSID用戶數據到BRAS，會過多消耗BRAS的資源，勢必會影響到BRAS原來承載的寬帶業務。為此，AC會承載部分SSID的用戶地址分配、認證和管理等功能，近階段AC主要承載便捷認證業務的SSID、行業SSID用戶的認證和管理；其他SSID用戶數據仍由AC二層轉發到BRAS。將結合BRAS功能的AC稱為融合AC，在現網中融合AC同時啟用二層用戶數據轉發和三層用戶數據終結的功能。

3.4 多業務承載

中國電信WLAN原本承載ChinaNet業務，隨著廣大用戶和終端類型對WLAN接入的日益普及，各地市級政府和區級政府都有建設“無線城市”和應用的需求，不少行業也提出WLAN業務需求，互聯網企業也與運營商合作開展WLAN后向經營業務的需求。為此，同一張WLAN網絡需同時承載多種業務，且能夠滿足個性化業務需求。

采用AC集中部署的池化技術，可以很好地滿足上述多業務需求。通過規劃用戶雙層業務VLAN，用外層VLAN標識業務類型、內層VLAN標識AP或場點，就能實現用戶位置和業務的精確定位。集中部署的AC可以在全局層面靈活地部署個性化業務策略，可以推送全局性的個性化portal認證頁面，也可在同一業務下根據不同AP或場點推送不同的portal認證頁面，也支持基于場點和業務進行的個性化計費。

3.5 大數據挖掘

WLAN以AP、SSID為單位對熱點運營數據進行采集，包括WLAN終端的MAC地址、AP設備地址、RSSI（received signal strength indication，接收的信號強度指示）、時間戳等信息，并發給大數據分析平臺。大數據分析平臺能按AP、SSID、場點等進行數據統計；按PV（page view，頁面瀏覽量或點擊量）數據、UV（unique visitor，訪問某個站點或點擊某條新聞的不同IP地址的人數）數據、CPC（cost per click，每次點擊付費廣告）數據、CPM（cost per thousand click-through，網上廣告產生每1000個廣告印象（顯示）數的費用）數據、流量/人均流量、時長/人均時長等多個維度進行數據展示和業務分析。

同時，將大數據平臺分析得到的數據反饋回WLAN，根據用戶特征和場點性能，可實時對個性化portal頁面的展示內容和熱點接入帶寬等進行動態調整。

4 WLAN安全防范策略

在建設高效、靈活的WLAN的同時，還要考慮WLAN的安全[4]，其安全包括用戶接入安全、用戶數據空口傳輸安全、網絡安全、設備安全等方面，下面分別進行描述。

4.1 用戶接入安全防范

用戶接入安全問題主要有：在同一AP/AC下用戶二層互訪、IP地址欺騙、MAC（media access control，媒體訪問控制）地址欺騙。

如果在同一AP/AC下，用戶通過二層網絡能相互通信（用戶未通過接入認證），則存在如下安全隱患：

·用戶通過某一用戶作代理訪問公網；

·某一終端中毒，則會不斷發送ARP（address resolution protocol，地址解析協議）廣播或協議類攻擊報文或進行病毒傳播、木馬植入等網絡攻擊，影響整個WLAN二層網絡；

·用戶之間如在同一個局域網，惡意用戶（未通過接入認證）能夠攻擊其他同一個二層網絡的用戶或竊聽其他用戶信息。

IP地址欺騙存在如下安全隱患：用戶地址由BRAS/融合AC負責分配，如果某一終端配置靜態IP地址，會造成與其他終端地址沖突，造成合法用戶不能正常上網；如果用戶配置用戶網關地址，會造成整個網絡癱瘓。

MAC地址欺騙存在如下安全隱患：在無線環境中，非法用戶通過偵聽等手段獲得網絡中合法站點的MAC地址比在有線環境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。

用戶接入應采取的安全防范措施為：

·同一AP和同一AC下啟用用戶二層隔離功能，只有認證通過的用戶才能通過三層相互訪問；

·在BRAS設備上啟用DHCP snooping功能，用戶地址與MAC地址綁定，防范IP地址和MAC地址欺騙。

4.2 用戶數據傳輸安全防范

在WLAN中，在同一個AP下用戶是共享帶寬，如果個 別 用 戶 使 用P2P（peer-to-peer，伙 伴 對 伙 伴）、BT（bit torrent，比特流）等這類占用大量帶寬的應用，就會影響其他用戶正常使用WLAN業務。

通過對用戶限速，可以防止個別用戶占用過多帶寬，提升所有用戶使用WLAN業務的體驗。

4.3 無線網絡安全防范

IEEE 802.11網絡很容易受到威脅網絡安全的攻擊，如DoS（denial of service，拒 絕 服 務）/DDoS（distributed denial of service，分布式拒絕服務）攻擊、泛洪攻擊、欺騙攻擊等。通過啟用AC設備的WIDS（wireless intrusion detection system，無 線 入 侵 檢 測 系 統）/WIPS（wireless intrusion detection system，無線入侵保護系統）功能，監視分析無線用戶的活動、判斷入侵事件的類型、檢測非法網絡行為、對異常的網絡流量進行報警，并根據策略采取相應的措施，確保WLAN的安全。

DoS/DDoS利用軟件（含操作系統）的缺陷、協議的漏洞（如Syn flood攻擊）進行資源比拼（如發送大量的垃圾數據侵占系統資源），利用攻擊程序 （如smurf、trinoo、tfn、tfn2k、stacheldraht告示DoS攻擊程序）進行攻擊。

當一臺無線設備試圖在網絡內泛洪時，會在短時間內發送大量的同種類型的報文。此時AC和AP會被泛洪設備發送的攻擊報文淹沒而無法處理正常無線終端（合法用戶）的報文。

泛洪攻擊類型的報文主要有：

·認證請求/解除認證請求；

·關聯請求/解除關聯請求/重新關聯請求；

·探查請求；

·空數據幀；

·action幀。

欺騙攻擊：這種攻擊是借合法終端MAC地址來發送攻擊報文，如一個欺騙的解除認證的報文會導致合法無線客戶端下線。

通過啟用AC設備的WIDS/WIPS功能，監視分析無線用戶的活動、判斷入侵事件的類型、檢測非法網絡行為、對異常的網絡流量進行報警，并根據策略采取相應的措施，以確保WLAN的安全。

4.4 WLAN設備的安全防范

DHCP池的安全性。當AC負責分配AP的地址時，即AC啟用DHCP池功能，如果AC不檢測DHCP請求的終端（如AP）的合法性而直接分配IP地址，則DHCP池的地址可能被耗盡并帶來安全隱患。

對于DHCP池的安全性問題，要求AP支持DHCP option60，即AP攜帶企業碼，這樣AC就不會為任意一個DHCP請求的終端分配地址。

AC設備的安全性，主要有以下幾個方面。

（1）AC配 置公網IP地 址，若黑客 破解 了AC設 備 賬號，入侵了主機，植入了非法進程（如tirqd）與非法服務項（如tblockd），并啟用8080端口發送了大量的垃圾郵件，會造成惡劣的影響。

應采取的安全措施有：AC配私網管理地址，與公網隔離；AC啟用ACL策略，只允許特定IP地址的終端訪問，并設置登入賬號；只打開特定端口，其他端口關閉。

（2）當AP到AC注冊建立隧道時，如果AC不檢測/認證AP的合法性，而直接允許AP注冊，則存在非法AP接入的風險。

應采取的安全措施有：AC應檢查AP的序列號、MAC地址等，確認所接入的AP是預先允許接入的AP。

5 結束語

將AC集中部署、通過AC池化技術組網，大大減少了AC部署數量和占用機房空間，節省了管理、維護和人力成本；支持AP通過中國電信的有線網絡和移動網絡以及其他運營商網絡接入AC中心，實現WLAN城域組網，極大地擴展了WLAN覆蓋范圍。利用豐富的VLAN資源實現外層業務VLAN標識業務、內層業務VLAN標識AP或場點等技術，強化網絡及設備的安全性能，通過建設運營級WLAN，滿足“無線城市”、行業WLAN、商業WLAN和公共無線寬帶上網需求。通過自建或與互聯網企業合作開展后向經營，極大地提升了WLAN價值，為廣大用戶提供了高帶寬、低資費的無線寬帶接入。

1 IETF RFC2131.Dynamic Host Configuration Protocol,1997

2 IETF RFC3046.DHCP Relay Agent Information Option,2001

3 IETF RFC5415.Control And Provisioning of Wireless Access Points（CAPWAP）Protocol Specification,2009

4 劉杰.淺析WLAN及WLAN網絡安全問題.網絡安全，2007(7)Liu J.Analysis of WLAN and WLAN security issues.Network Security,2007(7)