高校無線局域網(wǎng)接入可控性研究和應(yīng)用

中國電信股份有限公司鎮(zhèn)江分公司 網(wǎng)絡(luò)操作維護(hù)中心 李華亮 魏 斌

高校無線局域網(wǎng)接入可控性研究和應(yīng)用

中國電信股份有限公司鎮(zhèn)江分公司 網(wǎng)絡(luò)操作維護(hù)中心 李華亮 魏 斌

由于WLAN（無線局域網(wǎng)）簡單開放的特點(diǎn)，安全穩(wěn)定性和接入可控性成為其在高校等市場推廣的瓶頸。以“WiFi隨心連”軟件為切入點(diǎn)，研究高校WLAN接入控制可行性，提出幾套解決方案并在現(xiàn)網(wǎng)部署應(yīng)用，同時(shí)探索基于SDN（軟件定義網(wǎng)絡(luò)）架構(gòu)的高校WLAN組網(wǎng)方案。

信息化； 無線局域網(wǎng)； 接入控制； 軟件定義網(wǎng)絡(luò)

近期網(wǎng)絡(luò)上流行一款“WiF隨心連”軟件，用戶使用該軟件通過電信WLAN（無線局域網(wǎng)）熱點(diǎn)接入，使用異網(wǎng)或非學(xué)子E行賬號免費(fèi)使用電信WLAN，繞過電信賬號限制策略，在校方禁止學(xué)生上網(wǎng)時(shí)間仍然可以使用WLAN上網(wǎng)，嚴(yán)重影響學(xué)校的正常教學(xué)和管理工作，同時(shí)該軟件在學(xué)生中大量使用后，導(dǎo)致電信WLAN和寬帶業(yè)務(wù)流失，對校園無線和寬帶業(yè)務(wù)經(jīng)營產(chǎn)生沖擊，如何對WLAN接入用戶進(jìn)行有效管理和控制成為迫切需要解決的問題。

1 “WiFi隨心連”軟件介紹

“WiFi隨心連”是一款提供免費(fèi)WLAN賬號和流量卡的應(yīng)用軟件，使用“WiFi隨心連”兌換的賬號可在智能手機(jī)、iPad、PC（個(gè)人計(jì)算機(jī)）筆記本上連接電信或移動(dòng)的AP（接入點(diǎn)）熱點(diǎn)無線上網(wǎng)，具有網(wǎng)絡(luò)交易、資費(fèi)低、無組別和接入限制的特點(diǎn)，繞過運(yùn)營商的業(yè)務(wù)銷售渠道和接入控制管理平臺，將運(yùn)營商WLAN無線網(wǎng)絡(luò)管道化、透明化。

軟件工作原理和影響：

“WiFi隨心連”軟件實(shí)際是一個(gè)全國性質(zhì)的WLAN賬號交易平臺，軟件開發(fā)者在各省市低價(jià)收購WLAN賬號和WLAN流量卡，通過“WiFi隨心連”軟件進(jìn)行二次銷售。該軟件支持多種終端、多運(yùn)營商賬號接入，且資費(fèi)低于校園營業(yè)廳，帶來三大問題： 一是網(wǎng)絡(luò)交易繞過電信校園營業(yè)實(shí)體店，銷售異網(wǎng)和異地賬號，搶占本地校園市場； 二是異網(wǎng)和異地賬號大量使用，打破了電信原有的校園WLAN無線熱點(diǎn)覆蓋優(yōu)勢，電信無線網(wǎng)絡(luò)被管道化和透明化； 三是原來基于賬號組別的接入控制策略對異網(wǎng)和異地賬號不生效，WLAN接入用戶不可控，運(yùn)營風(fēng)險(xiǎn)系數(shù)增加。

2 WLAN接入可控性研究

2.1 WLAN接入可控的必要性和意義

隨著高校信息化發(fā)展，校園成為各大運(yùn)營商爭奪的主要市場之一，市場競爭激烈，如何發(fā)揮電信固網(wǎng)和WLAN優(yōu)勢，搶占用戶，提高業(yè)務(wù)收入成為關(guān)鍵。通過WLAN接入可控，實(shí)現(xiàn)用戶細(xì)分、接入靈活管理、既可以滿足校方管理要求，同時(shí)還可有效控制接入用戶、限制異網(wǎng)和異地賬號、精確管理用戶，有針對地進(jìn)行學(xué)生營銷和流量經(jīng)營，對校園寬帶和無線業(yè)務(wù)推廣和發(fā)展有重要意義。

2.2 WLAN接入控制可行性分析

校園WLAN接入網(wǎng)一般采用交換網(wǎng)絡(luò)結(jié)構(gòu)，核心交換機(jī)與各運(yùn)營商和校園信息中心對接，業(yè)界主流采用廋AP組網(wǎng)方案，典型的組網(wǎng)拓?fù)湟妶D1。

圖1 典型校園WLAN組網(wǎng)拓?fù)鋱D

2.2.1 接入控制方案一（AC集中控制）

AC（接入控制器）根據(jù)AP接入標(biāo)識，創(chuàng)建特定用戶組別，配置并引用控制策略，控制AP接入業(yè)務(wù)?！?軟硬件需求： AC需要安裝軟件防火墻，并購買licese；· 方案優(yōu)點(diǎn)： AC一點(diǎn)控制；當(dāng)AP數(shù)量較少時(shí)，業(yè)務(wù)部署快速便捷；

· 方案缺點(diǎn)： AC需要安裝軟件防火墻（增加額外成本）；因AC單臺承載用戶數(shù)有限，AC數(shù)量較多，當(dāng)用戶組別較多、AP分散在各臺AC，策略部署較為混亂；增加AC負(fù)擔(dān)，影響AC工作性能，且部分個(gè)性化需求無法實(shí)現(xiàn)。

2.2.2 接入控制方案二（AC加BRAS控制）

AC根據(jù)AP接入標(biāo)識，創(chuàng)建特定用戶組別封裝VLAN（虛擬專用網(wǎng)）上送BRAS（寬帶接入服務(wù)器），BRAS根據(jù)AC接口和AP封裝VLAN，配置并引用控制策略，控制AP接入業(yè)務(wù)。

· 軟硬件需求： 無；

· 方案優(yōu)點(diǎn)： 無需增加額外設(shè)備和成本，BRAS統(tǒng)一配置和部署控制策略，適用于大規(guī)模業(yè)務(wù)配置和管理；

· 方案缺點(diǎn)： AC和BRAS多點(diǎn)配置和控制，相比AC集中控制較為復(fù)雜，且策略配置繁瑣，部分個(gè)性化需求無法實(shí)現(xiàn)，業(yè)務(wù)響應(yīng)不及時(shí)。

綜上所述，兩個(gè)方案各有利弊，方案一（AC集中控制）適用于AP數(shù)量較少，策略單一的場景，方案二（AC加BRAS控制）適用于AP數(shù)量大，控制策略復(fù)雜的場景?，F(xiàn)網(wǎng)應(yīng)用時(shí)應(yīng)根據(jù)具體業(yè)務(wù)需求和業(yè)務(wù)量，選擇合適的技術(shù)方案。

2.3 WLAN接入控制應(yīng)用案例

某職業(yè)中專與電信合作建設(shè)校園無線網(wǎng)絡(luò)，校方出于對教學(xué)和管理需要，提出了幾點(diǎn)要求：

· 校方規(guī)定的禁止上網(wǎng)時(shí)段（如上課時(shí)間），電信和異網(wǎng)、異地賬號均不得通過電信WLAN熱點(diǎn)上網(wǎng)；

· 非校方授權(quán)的運(yùn)營商和異地賬號不得在校園內(nèi)使用；

· 接入賬號可溯源，可靈活控制和管理。

分析業(yè)務(wù)需求： 學(xué)校共計(jì)32個(gè)WLAN熱點(diǎn)，分布在教學(xué)區(qū)和食堂各點(diǎn)，接入控制需求較為復(fù)雜，適合采用方案二（AC 加BRAS控制）方式，具體部署策略見圖2。

圖2 某職中WLAN接入控制方案

AC對教學(xué)區(qū)和食堂接入AP進(jìn)行業(yè)務(wù)標(biāo)識，創(chuàng)建特定組，封裝VLAN，上送BRAS，由BRAS完成用戶接入、控制、數(shù)據(jù)采集和策略應(yīng)用，實(shí)現(xiàn)多點(diǎn)接入、一點(diǎn)控制，部署思路清晰、高效、無需額外增加成本，可滿足校方要求。

3 SDN技術(shù)引入

傳統(tǒng)IP網(wǎng)絡(luò)組網(wǎng)方案，存在硬件資源固化、運(yùn)維管理繁瑣、接入控制管理復(fù)雜且存在局限性、業(yè)務(wù)響應(yīng)不及時(shí)、網(wǎng)絡(luò)擴(kuò)展性和彈性不足等問題。SDN（軟件定義網(wǎng)絡(luò)）技術(shù)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來，降低投資成本，提高網(wǎng)絡(luò)部署的靈活性，提升網(wǎng)絡(luò)的軟件化程度和可編程能力，實(shí)現(xiàn)對業(yè)務(wù)的高效靈活控制，逐漸成為行業(yè)應(yīng)用的熱點(diǎn)技術(shù)。

3.1 SDN技術(shù)特性

· 網(wǎng)絡(luò)資源虛擬化： 支持邏輯網(wǎng)絡(luò)與物理網(wǎng)絡(luò)分離，邏輯網(wǎng)絡(luò)可根據(jù)業(yè)務(wù)需要配置和遷移，不受物理位置的限制。

· 網(wǎng)絡(luò)控制集中化： 支持網(wǎng)絡(luò)資源的集中控制，可進(jìn)行全局優(yōu)化，比如流量工程、負(fù)載分擔(dān)、安全控制等； 支持整個(gè)網(wǎng)絡(luò)當(dāng)一臺設(shè)備進(jìn)行維護(hù)，設(shè)備零配置即插即用、大大降低運(yùn)維成本。

· 網(wǎng)絡(luò)能力開放化： 應(yīng)用和網(wǎng)絡(luò)無縫集成，應(yīng)用直接向網(wǎng)絡(luò)提出能力要求，比如帶寬、延遲、安全、接入控制、路由成本等； 控制軟件可編程，可通過軟件編程方式滿足客戶定制化需求，實(shí)現(xiàn)快速靈活業(yè)務(wù)提供。

3.2 SDN技術(shù)對校園WLAN接入控制

校園網(wǎng)絡(luò)設(shè)備型號眾多、分布分散、用戶流動(dòng)性大、客戶需求靈活多變，傳統(tǒng)維護(hù)模式已經(jīng)難以適應(yīng)快速變化的業(yè)務(wù)發(fā)展需求，SDN技術(shù)網(wǎng)絡(luò)與控制相分離、軟件可編程的特點(diǎn)，為校園WLAN接入控制提供了一種靈活高效的解決思路。基于SDN架構(gòu)的WLAN組網(wǎng)方案見圖3。

圖3 基于SDN架構(gòu)的WLAN組網(wǎng)方案

在AP和各層次設(shè)備中植入OpenFlow協(xié)議支持模塊，使得SDN控制器可以通過相關(guān)協(xié)議對AP和各層次設(shè)備進(jìn)行控制和管理。SDN控制器通過向下接口實(shí)現(xiàn)對數(shù)據(jù)轉(zhuǎn)發(fā)層的AP和各層次設(shè)備的控制，解析AP和交換機(jī)的行為進(jìn)行管理。上層應(yīng)用開發(fā)人員可通過SDN的向上接口添加新的功能應(yīng)用或策略模塊。數(shù)據(jù)庫從底層采集各項(xiàng)數(shù)據(jù)信息，業(yè)務(wù)邏輯模塊負(fù)責(zé)對各種數(shù)據(jù)的處理和管理。

基于SDN架構(gòu)的WLAN組網(wǎng)模式下，所有接入控制和應(yīng)用策略，只需要在SDN控制器上進(jìn)行開發(fā)編程，集中部署策略，通過SDN交換機(jī)向各層次網(wǎng)元設(shè)備批量下發(fā)策略即可。操作簡單靈活、部署效率高、數(shù)據(jù)采集精確快捷、業(yè)務(wù)管理方便、用戶需求響應(yīng)快，未來必將成為有線和無線網(wǎng)絡(luò)的主流組網(wǎng)方案。

4 結(jié)束語

WLAN作為一種低成本、高帶寬的無線接入技術(shù)，在各大高校內(nèi)規(guī)模部署和廣泛應(yīng)用。另一方面，高校作為教學(xué)主體，對WLAN接入控制和用戶管理相比公共網(wǎng)絡(luò)更為嚴(yán)格，如何協(xié)調(diào)業(yè)務(wù)發(fā)展和學(xué)校管理，實(shí)現(xiàn)校企雙贏是關(guān)鍵點(diǎn)。

本文結(jié)合某職中WLAN接入控制要求，分析校園WLAN組網(wǎng)特點(diǎn)，根據(jù)校方要求，提出AC單獨(dú)控制和AC加BRAS兩套解決方案，旨在滿足校方教學(xué)管理的前提下，部署有利于校園寬帶業(yè)務(wù)經(jīng)營的接入控制策略。研究時(shí)下熱門的SDN控制技術(shù)，探討基于SDN架構(gòu)的校園WLAN組網(wǎng)模式，希望對校園寬帶網(wǎng)絡(luò)建設(shè)、管理和寬帶業(yè)務(wù)發(fā)展起正向作用。