華東師范大學校園網(wǎng)絡中運營商Wi-Fi的部署

文/周祥

?

華東師范大學校園網(wǎng)絡中運營商Wi-Fi的部署

文/周祥

高校在校園WLAN覆蓋的基礎上引進運營商WLAN，可以轉(zhuǎn)移部分用戶至運營商網(wǎng)絡，減少校園網(wǎng)出口的壓力；高校通雖然可以實現(xiàn)各高校之間的跨校認證，但對于來自非高校的一些來賓仍然要提供Guest WLAN以實現(xiàn)無處不在的網(wǎng)絡接入需求，而運營商的WLAN就能很好地滿足這種需求，也省去了該校對自己建設的Guest WLAN的管理。

運營商如果自行部署高校內(nèi)的WLAN，除了需要大量的硬件及線路投入，由于無線頻譜的共享特性，運營商部署的AP還面臨著同校方無線設備相互干擾的問題；如果運營商利用高校已有的無線設備增加自己的WLAN覆蓋，提供一條WLAN用戶的出口鏈路，則能避免以上問題，很容易地實現(xiàn)上千畝地域的校園WLAN覆蓋。

統(tǒng)一無線網(wǎng)絡架構(gòu)

傳統(tǒng)的無線局域網(wǎng)架構(gòu)是以無線接入點（AP）為中心，AP提供802.11基本服務集（BSS）并充當該服務集的集線器，無線客戶端通過與AP關聯(lián)并到達網(wǎng)絡的其他位置。在這種模式下，客戶端直接和AP相連，由AP管理無線射頻信道的使用并獨立執(zhí)行各種安全策略。當大范圍的無線網(wǎng)絡需要部署多個AP時，管理配置眾多的AP不僅很困難，而且不能做到對各無線客戶端的監(jiān)控和服務質(zhì)量保證。

在新型的無線網(wǎng)絡架構(gòu)中，將AP的絕大部分功能集中到一個中心設備，這個中心設備叫做無線網(wǎng)絡控制器（Wireless Lan Controller，WLC）。在中心架構(gòu)下，信標和探針消息、RF發(fā)送和接收等由AP在 802.11的MAC層同無線客戶端交互，這種簡化功能的AP通常被稱為Fit AP 或LAP （Lightweight AP）。而客戶端的關聯(lián)和漫游、對客戶端的認證、授權(quán)、計費（AAA）則由WLC完成，控制器還能對射頻資源進行統(tǒng)一管理，自動調(diào)節(jié)AP的發(fā)射功率、自動分配頻段。LAP和WLC通過有線網(wǎng)絡連接之后會基于此連接建立一條隧道，用于傳輸與IEEE 802.11相關的消息和客戶端數(shù)據(jù)，隧道將LAP和WLC之間的數(shù)據(jù)封裝在IP分組中進行傳輸，因此可以跨交換或路由部署LAP和WLC,使用這種集中化的控制管理模式能全面了解無線網(wǎng)絡狀況，集中配置部署，降低運營、管理和維護成本。

能夠?qū)崿F(xiàn)校園內(nèi)迅速部署運營商WLAN的前提是學校無線網(wǎng)絡已經(jīng)采用上述統(tǒng)一無線局域網(wǎng)架構(gòu)，以下將基于這種架構(gòu)來講述具體的實現(xiàn)細節(jié)。

實現(xiàn)方案

在統(tǒng)一的無線局域網(wǎng)架構(gòu)中，通常先將連接到WLC的多個LAP進行分組，然后對這些分組的LAP進行無線客戶端VLAN、AAA和SSID的統(tǒng)一配置。對于某個特定的LAP或LAP組可以配置多個VLAN、AAA和SSID的組合。采用多SSID的方案，能夠在現(xiàn)有校園WLAN的基礎上與運營商WLAN共享硬件及射頻資源，校園網(wǎng)和運營商分別配置各自的SSID，并使用不同的AAA策略。

圖1是融合運營商WLAN之后的總體架構(gòu)示意圖。圖中Controller和LAP通過有線相連，它們之間路由可達，構(gòu)成了統(tǒng)一無線網(wǎng)絡基礎架構(gòu)，虛線部分是為結(jié)合運營商WLAN所添加的改動?？蛻舳藬?shù)據(jù)通過Controller和LAP之間的隧道到達Controller，由Controller決定不同WLAN客戶數(shù)據(jù)的最終去向。選擇校園WLAN所對應SSID的用戶流量去往校內(nèi)認證服務器，在通過身份驗證后經(jīng)由防火墻去往Cernet；選擇運營商SSID的WLAN用戶流量從Controller直接去往ISP，由運營商完成用戶的AAA和網(wǎng)絡訪問。不同的SSID所對應的不同數(shù)據(jù)流向，使校園網(wǎng)用戶和運營商用戶相互隔離，保證了雙方的安全性。

圖1 融合運營商WLAN之后的總體架構(gòu)示意

對于校園WLAN，需要配置認證服務器、認證前的網(wǎng)絡訪問權(quán)限及認證后的網(wǎng)絡訪問權(quán)限、SSID和對應的客戶端VLAN、802.11X或Web Portal的認證方式。因為運營商用戶的數(shù)據(jù)從Controller流出后直接去往運營商的網(wǎng)絡，運營商網(wǎng)絡一般采用Portal方式在認證服務器上進行認證，所以校園網(wǎng)工程師不需要關心運營商用戶認證的細節(jié)，只需要在WLC上開啟運營商SSID用戶的透明訪問權(quán)限，為防止運營商用戶認證通過后直接訪問校園網(wǎng)，一般做法為在運營商用戶的VLAN中去除接口地址即可，運營商用戶的網(wǎng)關直接指向運營商相應的網(wǎng)關設備，這樣運營商可以按流量對用戶進行計費，同時也保證了校園網(wǎng)絡的安全。

（作者單位為華東師范大學）