瘦AP網(wǎng)管為無線校園覆蓋鋪路

文/常潘

瘦AP網(wǎng)管為無線校園覆蓋鋪路

文/常潘

華東師范大學(xué)已與三家運(yùn)營商達(dá)成共識

隨著廣大用戶對移動性要求的提高，無線網(wǎng)絡(luò)因?yàn)槠錈o需插線，設(shè)置簡單，正在受到越來越多的青睞。華東師范大學(xué)無線覆蓋范圍不斷擴(kuò)大，并實(shí)施網(wǎng)絡(luò)全免費(fèi)方案。

華東師范大學(xué)無線網(wǎng)絡(luò)使用瘦A P組網(wǎng)，AP可以自由布置，通過DNS的A記錄或DHCP的Option 43實(shí)現(xiàn)AP自動發(fā)現(xiàn)無線網(wǎng)絡(luò)控制器（Wireless LAN Controller，WLC），由控制器對AP進(jìn)行統(tǒng)一的管理，用戶端的地址和A P的地址可以在不同的網(wǎng)段，用戶端的地址由控制器負(fù)責(zé)分配，用戶的訪問策略也由控制器負(fù)責(zé)實(shí)施，AP的IP地址由其所插的網(wǎng)絡(luò)端口決定。

加強(qiáng)射頻管理

無線信號在空間是自由傳輸方式，因此會互相干擾，為了使信號的干擾最小化，校方首先通過發(fā)文不允許下屬各單位自行布置AP，一旦發(fā)現(xiàn)有非法的AP連接在可網(wǎng)管的交換機(jī)端口上，網(wǎng)管軟件立即封閉相應(yīng)的端口；如果無法確定AP所在的可網(wǎng)管交換機(jī)端口（很可能是校外設(shè)備，例如運(yùn)營商的設(shè)備），則校方的AP將發(fā)送干擾信號對非法AP（Rogue AP）進(jìn)行干擾，使其停止提供接入服務(wù)。

隨著校方無線覆蓋范圍的擴(kuò)大以及網(wǎng)絡(luò)全免費(fèi)的實(shí)施，校方就校園無線覆蓋問題與運(yùn)營商進(jìn)行廣泛溝通并達(dá)成如下的共識：學(xué)校鼓勵運(yùn)營商進(jìn)入校園進(jìn)行3G覆蓋，運(yùn)營商在鋪設(shè)3G覆蓋時，天饋必須采用吸頂天線，合路器部分必須為校方提供WLAN的接口，運(yùn)營商管理的界面為信號合路器到天線的部分，無線網(wǎng)絡(luò)設(shè)備由校方提供，為了解決運(yùn)營商WLAN覆蓋問題，校方在自己的A P上為中國移動、中國電信、中國聯(lián)通都開設(shè)了相應(yīng)的SSID，包括學(xué)校ECNU的SSID，每個AP上的SSID數(shù)目一般為4個。運(yùn)營商的SSID在控制器上由專用的網(wǎng)絡(luò)接口接入運(yùn)營商的專線進(jìn)行認(rèn)證及計費(fèi)，不需經(jīng)過校園網(wǎng)傳輸，保證了網(wǎng)絡(luò)完全隔離。

為了使布線規(guī)模盡可能小，校方在三家運(yùn)營商之間協(xié)調(diào)，希望三家運(yùn)營商使用統(tǒng)一的布線系統(tǒng)，最后達(dá)成的一致意見為網(wǎng)絡(luò)實(shí)施由一個同時經(jīng)過三個運(yùn)營商認(rèn)證的系統(tǒng)集成商負(fù)責(zé)，采用支持WLAN、TDSCDMA、WCDMA和CDMA2000的天饋系統(tǒng)及合路器，實(shí)施完畢以后，校內(nèi)已經(jīng)基本沒有非法的AP，同時校方和運(yùn)營商可以互惠互利，獲得雙贏。由于校方的AP都是采用瘦AP的方式，由無線控制器統(tǒng)一管理，自動進(jìn)行頻譜分配，AP間的干擾很小。

深入用戶管理

用戶認(rèn)證管理

因?yàn)闊o線的使用群體較大，在校方主要包含了以下幾種（不含運(yùn)營商的用戶群） ：

1.校內(nèi)在冊的教職工；

2.全日制的本?？粕?、研究生、博士生；

3.網(wǎng)絡(luò)學(xué)院的學(xué)生；

4.進(jìn)修教師、專業(yè)研究生、各種外聘人員；

5.其他臨時人員（包括參加培訓(xùn)的中學(xué)校長、短期訪問學(xué)者、參加會議人員）

其中1-2兩種人員的原始信息在校方的應(yīng)用系統(tǒng)的LDAP中，3中人員的信息主要在網(wǎng)絡(luò)學(xué)院遠(yuǎn)程教學(xué)系統(tǒng)的Windows AD中，4-5這些人因不需要使用校方的應(yīng)用系統(tǒng)，因此沒有相應(yīng)的電子版用戶數(shù)據(jù)。

為了使1-5類人員能全部使用校內(nèi)的無線及有線，校方開始建立認(rèn)證中心，負(fù)責(zé)對校內(nèi)所有系統(tǒng)提供用戶統(tǒng)一的身份認(rèn)證接口，而在認(rèn)證中心的后端增加了幾個到其他用戶庫的認(rèn)證接口，其中一個接口是到LDAP認(rèn)證。

第3種人員到網(wǎng)絡(luò)學(xué)院的Windows AD進(jìn)行認(rèn)證。第4類用戶雖然沒有固定的身份庫，但他們都有學(xué)校提供的校園卡，且都有自己的消費(fèi)密碼，認(rèn)證中心便采用校園卡的消費(fèi)密碼作為這些人員的上網(wǎng)密碼，用戶名為卡號，通過拓展認(rèn)證中心的接口，使之支持到后端的ODBC認(rèn)證，讓這部分用戶直接進(jìn)入一卡通的身份數(shù)據(jù)庫進(jìn)行認(rèn)證。

對于第5類用戶，由于這批用戶滯留的時間較短，一般不辦理校園卡，為了讓這批用戶能夠使用網(wǎng)絡(luò)，網(wǎng)絡(luò)中心在應(yīng)用系統(tǒng)中做了一個界面，讓每一個第1類中的人員都可以申請臨時賬號，每人可同時申請10個，有效期為一個星期，數(shù)據(jù)直接存儲在ODBC的數(shù)據(jù)庫中，由認(rèn)證中心到ODBC中進(jìn)行認(rèn)證，賬號的安全性由申請人員負(fù)責(zé)，這樣使每一個與學(xué)校相關(guān)的人員都可以使用校園網(wǎng)。

用戶權(quán)限管理

為了給不同的用戶不同種類的訪問權(quán)限，在認(rèn)證中心中對不同種類用戶進(jìn)行分組，第1-2類人員，登錄無線后，可以訪問校內(nèi)所有的應(yīng)用服務(wù)器以及外網(wǎng)。第3類用戶登錄后只能訪問網(wǎng)絡(luò)學(xué)院的教學(xué)系統(tǒng)以及圖書館資源，第4、5類用戶登錄成功后僅能訪問外網(wǎng)以及校內(nèi)受限的資源。

用戶分布管理

在布設(shè)天線時，根據(jù)大樓設(shè)計時的CAD矢量圖，將天線的位置標(biāo)注在CAD矢量圖上，然后在無線的網(wǎng)管系統(tǒng)中導(dǎo)入相應(yīng)的矢量圖，就可以得到用戶具體位置，連接具體AP的詳細(xì)信息，對于用戶的定位和解決用戶的上網(wǎng)故障都將有很大的幫助。根據(jù)用戶所處位置的熱圖，我們還可以周期性對AP的接入用戶進(jìn)行統(tǒng)計，根據(jù)這些統(tǒng)計，可以調(diào)整一些AP的部署，對那些長時間沒有用戶連接的A P進(jìn)行移位或者拆除，對一些用戶比較飽和的區(qū)域，再適當(dāng)增加一些AP。

數(shù)據(jù)傳輸?shù)陌踩怨芾?/h2>

目前無線網(wǎng)的用戶認(rèn)證一般采用802.1X認(rèn)證或者是Web Portal認(rèn)證，802.1X認(rèn)證相對比較安全，但由于其設(shè)置復(fù)雜，一般用戶使用不太方便。 Web Portal認(rèn)證因?yàn)槠浜唵?，不需要任何設(shè)置，往往被絕大部分無線服務(wù)提供者使用。為了給一些Web Portal用戶提供增強(qiáng)的安全，我們將SSL VPN服務(wù)器在登錄頁面上做好鏈接，同時在無線控制器上允許VPN Server不需要Portal登錄就可以訪問，用戶采用SSL VPN加密后，用戶端和SSL VPN Server之間傳輸?shù)膬?nèi)容就可以全部通過SSL加密傳輸，在空中傳輸?shù)膬?nèi)容就不會被偷聽（因?yàn)橄抻谟脩舻牟l(fā)數(shù)及性能，校方的SSL VPN僅允許第1、2類用戶登錄）。

IPv6支持

有些廠家的WLC已經(jīng)可以支持IPv6的路由協(xié)議，這些WLC上的用戶可以直接使用v6的協(xié)議進(jìn)行身份認(rèn)證及網(wǎng)絡(luò)訪問；有些WLC不支持IPv6協(xié)議，但是可以讓IPv6的協(xié)議報文透明傳輸，這些WLC的配置就需要將三層接口配置于支持IPv6路由協(xié)議的三層交換機(jī)或者路由器上，以使IPv6的報文可以路由。

對于一部分完全不支持IPv6的WLC，如果需要在客戶端支持IPv6的協(xié)議，需要將用戶的網(wǎng)關(guān)配置于WLC上，然后在支持WLC的相應(yīng)VLAN接口上外掛支持IPv6路由協(xié)議的交換機(jī)或者路由器（也可以借助上游的三層交換機(jī)），這樣用戶v4的IP報文通過WLC路由，v6地址通過外掛的交換機(jī)或路由器自動分配并路由，實(shí)現(xiàn)v4與v6同時訪問，但此種方式的缺點(diǎn)是IPv6的地址無法做身份認(rèn)證，用戶不需要通過無線網(wǎng)絡(luò)認(rèn)證就可以通過IPv6訪問相應(yīng)的網(wǎng)絡(luò)。

原有胖AP的融入

由于校內(nèi)部分區(qū)域還有一些無法升級成瘦AP的胖AP，使用胖AP組網(wǎng)，通過使用專網(wǎng)或?qū)Ｓ镁€路，將所有的AP最終匯聚到同一個認(rèn)證網(wǎng)關(guān)之下，由網(wǎng)關(guān)進(jìn)行用戶身份認(rèn)證。為了對這些AP進(jìn)行統(tǒng)一的管理，通過部署MPLS VPN將所有的胖AP通過MPLS VPN匯聚后，連接到無線控制器的有線網(wǎng)口上，使這部分用戶也通過控制器進(jìn)行統(tǒng)一認(rèn)證與管理，如果這些AP支持SNMP網(wǎng)管功能，還可以通過無線網(wǎng)管軟件對這些AP進(jìn)行統(tǒng)一網(wǎng)管，不僅可以查看用戶的認(rèn)證信息，還可以查看用戶的位置信息（只能定位到具體的AP，不支持三角算法）。

亟需解決的問題及展望

目前很多高校為了提高無線的覆蓋，在大樓內(nèi)采用饋線的方式進(jìn)行覆蓋，這種覆蓋會產(chǎn)生如下二個問題：

一是無線控制器無法動態(tài)確定A P的發(fā)射功率，有礙AP的蜂窩形成，造成AP間的相互干擾比較嚴(yán)重，而且容易形成覆蓋空洞（Coverage Hole）。

二是采用饋線方式無法解決802.11協(xié)議中提及的隱藏終端問題，使得沖突的概率大幅度提高，影響整個無線網(wǎng)絡(luò)的性能。

隨著無線網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大，性能的提升，校園的無線覆蓋有望沒有盲點(diǎn)，WLAN上的語音、流媒體等實(shí)時業(yè)務(wù)將給廣大師生帶來學(xué)習(xí)與生活上的各種便利，無線網(wǎng)絡(luò)本身也必將會在廣大用戶的支持下獲得更好的發(fā)展。

（作者單位為華東師范大學(xué)網(wǎng)絡(luò)中心）

深信服簽約馬來西國民科技大學(xué)

上網(wǎng)行為管理方案顯優(yōu)勢

本刊訊 日前，深信服科技駐馬來西亞辦事處的銷售和技術(shù)人員通過分析國民科技大學(xué)的現(xiàn)狀，結(jié)合深信服上網(wǎng)行為管理產(chǎn)品的特點(diǎn)，提出了針對性的解決方案。

深信服在馬來西國民科技大學(xué)的主干網(wǎng)絡(luò)出口處，以網(wǎng)橋模式部署上網(wǎng)行為管理方案，通過分析網(wǎng)絡(luò)中的流量，制定一系列上網(wǎng)行為管理的措施，使馬來西亞國民科技大學(xué)遇到的問題得到解決。