IP網(wǎng)絡(luò)中WiFi終端管理的一種技術(shù)實(shí)現(xiàn)

[摘 要]當(dāng)前對(duì)WiFi終端的接入管理一般是通過(guò)身份認(rèn)證系統(tǒng)與網(wǎng)絡(luò)設(shè)備結(jié)合，以聯(lián)動(dòng)的方式來(lái)實(shí)現(xiàn)終端的訪問(wèn)、權(quán)限以及分類(lèi)管理。這種管理方法由于生產(chǎn)廠商之間的技術(shù)壁壘，常要求網(wǎng)絡(luò)設(shè)備和身份認(rèn)證系統(tǒng)統(tǒng)一品牌才能實(shí)現(xiàn)。本文通過(guò)對(duì)DHCP、HTTP標(biāo)準(zhǔn)協(xié)議的分析，旨在探索出一條通過(guò)標(biāo)準(zhǔn)技術(shù)實(shí)現(xiàn)WiFi終端接入管理的思路。

[關(guān)鍵詞]WiFi接入管理;終端接入管理;DHCP;HTTP;NAC

隨著802.11n標(biāo)準(zhǔn)草案的通過(guò)，WiFi進(jìn)一步消除了和有線網(wǎng)絡(luò)之間的接入速率差距， WiFi技術(shù)的應(yīng)用就成為各大運(yùn)營(yíng)商分流的一個(gè)好幫手。雖然WiFi擁有很多優(yōu)點(diǎn)，但是WiFi終端類(lèi)型的多樣性，則引申出終端接入管理的多種問(wèn)題。近些年來(lái)業(yè)界主流的管理思想是通過(guò)用戶(hù)管理來(lái)實(shí)現(xiàn)終端管理，主要強(qiáng)調(diào)的是用戶(hù)身份的合法性和權(quán)限分配，即網(wǎng)絡(luò)接入訪問(wèn)控制技術(shù)（NAC）。NAC的思想雖然能夠?qū)崿F(xiàn)精細(xì)化的接入管理，但是這種管理方式通常是基于網(wǎng)絡(luò)設(shè)備與身份認(rèn)證系統(tǒng)（或認(rèn)證網(wǎng)關(guān)）之間的聯(lián)動(dòng)功能，勢(shì)必要求身份認(rèn)證系統(tǒng)下發(fā)的策略在無(wú)線控制器或者交換機(jī)能夠進(jìn)行識(shí)別。換句話來(lái)說(shuō)就是策略的管理端、執(zhí)行端通常需要使用同一個(gè)生產(chǎn)廠商的產(chǎn)品。而處于建設(shè)和管理的發(fā)展角度考慮，網(wǎng)絡(luò)建設(shè)者常常不希望因?yàn)楫a(chǎn)品聯(lián)動(dòng)功能而受到建設(shè)制約，這就要求身份管理、終端管理要依托于兩套相對(duì)獨(dú)立的技術(shù)實(shí)現(xiàn)。

一、實(shí)現(xiàn)原理

通過(guò)對(duì)DHCP、HTTP等標(biāo)準(zhǔn)化協(xié)議進(jìn)行技術(shù)分析，我們發(fā)現(xiàn)不一定非要靠用戶(hù)身份的辨識(shí)來(lái)進(jìn)行WiFi接入終端的管理：通過(guò)終端在進(jìn)行DHCP交互、Web認(rèn)證或者是HTTP交互時(shí)，也可以通過(guò)對(duì)交互報(bào)文的截獲、解析、識(shí)別來(lái)對(duì)接入終端進(jìn)行分類(lèi)，然后在無(wú)線設(shè)備管理平臺(tái)上對(duì)不同類(lèi)型的接入終端進(jìn)行訪問(wèn)權(quán)限、QoS、轉(zhuǎn)發(fā)路徑等策略的部署。這種方式無(wú)線設(shè)備的生產(chǎn)廠商就可以實(shí)現(xiàn)，而不需要和身份認(rèn)證系統(tǒng)或者交換機(jī)進(jìn)行聯(lián)動(dòng)或者對(duì)接。通過(guò)DHCP option進(jìn)行終端管理的想法雖然在無(wú)線WiFi網(wǎng)絡(luò)的實(shí)際應(yīng)用還不廣泛，但是該思路在運(yùn)營(yíng)商的IPTV業(yè)務(wù)中已經(jīng)經(jīng)過(guò)了較嚴(yán)謹(jǐn)?shù)臏y(cè)試及成功部署的驗(yàn)證。例如在中國(guó)電信內(nèi)部發(fā)布的IPTV承載網(wǎng)絡(luò)DHCP接入技術(shù)規(guī)范（V2.2）中就如何通過(guò)標(biāo)準(zhǔn)的DHCP交互流程來(lái)實(shí)現(xiàn)IPTV機(jī)頂盒的接入控制和用戶(hù)認(rèn)證應(yīng)用。

從對(duì)DHCP option技術(shù)分析來(lái)看，雖然通過(guò)DHCP交互能夠分辨終端的基本類(lèi)型，但是由于涉及到終端廠商自定義的內(nèi)容，而且DHCP能夠攜帶的終端信息有限，因此我們還需要尋找另外一種攜帶更加豐富和細(xì)致的終端信息的標(biāo)準(zhǔn)技術(shù)，我們可以引入HTTP協(xié)議的UA字段來(lái)滿(mǎn)足這個(gè)需求。這種通過(guò)HTTP UA字段來(lái)進(jìn)行無(wú)線終端的屬性收集及管理策略下發(fā)，在網(wǎng)絡(luò)設(shè)備廠商也已經(jīng)獲得了一些成熟的應(yīng)用。例如在思科的身份服務(wù)引擎（ISE）解決方案中，就有通過(guò)HTTP UA字段來(lái)識(shí)別無(wú)線接入終端的類(lèi)型，然后通過(guò)認(rèn)證系統(tǒng)的用戶(hù)類(lèi)型和終端類(lèi)型綁定來(lái)實(shí)現(xiàn)根據(jù)用戶(hù)下發(fā)管理策略。

從前面的技術(shù)分析可以看出，DHCP option所提供的終端信息較少，在最少的情況下只能看到基本的設(shè)備類(lèi)型和操作系統(tǒng)類(lèi)型，為了解決這個(gè)問(wèn)題，在終端信息的識(shí)別過(guò)程中除了正則表達(dá)式的應(yīng)用之外，還需要考慮如果同時(shí)存在DHCP和HTTP信息識(shí)別方式，而這兩者有矛盾時(shí)，如何進(jìn)行最準(zhǔn)確的識(shí)別。在這里將對(duì)比流程圖設(shè)計(jì)如下：

二、效益分析

由于將用戶(hù)身份認(rèn)證和WiFi終端管理進(jìn)行了分離，網(wǎng)絡(luò)的管理者在部署WiFi網(wǎng)絡(luò)時(shí)不再受限于身份認(rèn)證系統(tǒng)、交換機(jī)和無(wú)線設(shè)備之間的聯(lián)動(dòng)關(guān)系，而是將三者以一種松耦合的方式來(lái)進(jìn)行聯(lián)系。這種松耦合關(guān)系能夠消除WiFi網(wǎng)絡(luò)建設(shè)時(shí)的廠商技術(shù)壁壘，網(wǎng)絡(luò)管理者在進(jìn)行設(shè)備選型及采購(gòu)時(shí)可以根據(jù)需要對(duì)身份認(rèn)證系統(tǒng)、交換機(jī)、無(wú)線設(shè)備進(jìn)行獨(dú)立的采購(gòu)，保護(hù)投資。其次，當(dāng)用戶(hù)通過(guò)智能手機(jī)、平板電腦長(zhǎng)時(shí)間在線時(shí)，互聯(lián)網(wǎng)出口很可能出現(xiàn)帶寬不足或者某種終端占用了大量的帶寬的情況，但僅僅是擴(kuò)展互聯(lián)網(wǎng)出口還是無(wú)法解決根本問(wèn)題。那么通過(guò)本文介紹的方法，可以在管理系統(tǒng)上預(yù)先自定義策略模版，針對(duì)不同類(lèi)型的接入終端通過(guò)路由策略下發(fā)可以實(shí)現(xiàn)分流出口，例如：智能手機(jī)通過(guò)電信出口接入互聯(lián)網(wǎng);iPad平板電腦通過(guò)移動(dòng)出口接入互聯(lián)網(wǎng);筆記本電腦通過(guò)聯(lián)通出口接入互聯(lián)網(wǎng)。另外，在一些特定的環(huán)境下，某些網(wǎng)絡(luò)資源保密性要求比較高，只有特定的移動(dòng)終端才能進(jìn)行訪問(wèn)，其它的WiFi接入終端是無(wú)法訪問(wèn)的。這時(shí)光靠用戶(hù)身份認(rèn)證顯然不能滿(mǎn)足要求，因此通過(guò)本文介紹的方法，可以識(shí)別特定的WiFi終端，滿(mǎn)足特定資源的保密訪問(wèn)需求。最后，隨著在很多單位和企業(yè)，信息化建設(shè)的投入越來(lái)越大，定制化或者統(tǒng)一采購(gòu)的WiFi終端管理成為一些單位和企業(yè)面臨的新問(wèn)題，這部分資產(chǎn)是下發(fā)給用戶(hù)使用的，但是使用的情況以及資產(chǎn)審計(jì)是一個(gè)挑戰(zhàn)。通過(guò)本文介紹的方法，可以網(wǎng)絡(luò)管理者對(duì)接入WiFi終端進(jìn)行信息的收集，在管理系統(tǒng)上呈現(xiàn)出來(lái)實(shí)現(xiàn)這部分資產(chǎn)管理和使用情況的審計(jì)。

總之，本文中介紹的通過(guò)DHCP和HTTP標(biāo)準(zhǔn)協(xié)議的應(yīng)用能夠幫助網(wǎng)絡(luò)管理者在WiFi接入終端的管理上提供了一種更加精細(xì)化的思路。

參考文獻(xiàn)：

[1]（美）史蒂文斯（Stevens）.《TCP/IP詳解卷3》. "2011年6月.

[2]徐寶海.WiFi網(wǎng)絡(luò)工程優(yōu)化方法研究.《電腦編程技巧與維護(hù)》. 2014年20期.

[3]毛文杰.淺論WiFi傳輸與接入技術(shù)的發(fā)展[J]. 《信息安全與技術(shù)》;2014年04期.

作者簡(jiǎn)介：黃鴿（1982-1），男，湖南長(zhǎng)沙人，湖南建筑高級(jí)技工學(xué)校，學(xué)工保衛(wèi)科，講師，研究方向：計(jì)算機(jī)應(yīng)用。