文/常潘

瘦AP網(wǎng)管為無(wú)線校園覆蓋鋪路

文/常潘

華東師范大學(xué)已與三家運(yùn)營(yíng)商達(dá)成共識(shí)

隨著廣大用戶對(duì)移動(dòng)性要求的提高，無(wú)線網(wǎng)絡(luò)因?yàn)槠錈o(wú)需插線，設(shè)置簡(jiǎn)單，正在受到越來(lái)越多的青睞。華東師范大學(xué)無(wú)線覆蓋范圍不斷擴(kuò)大，并實(shí)施網(wǎng)絡(luò)全免費(fèi)方案。

華東師范大學(xué)無(wú)線網(wǎng)絡(luò)使用瘦A P組網(wǎng)，AP可以自由布置，通過(guò)DNS的A記錄或DHCP的Option 43實(shí)現(xiàn)AP自動(dòng)發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)控制器（Wireless LAN Controller，WLC），由控制器對(duì)AP進(jìn)行統(tǒng)一的管理，用戶端的地址和A P的地址可以在不同的網(wǎng)段，用戶端的地址由控制器負(fù)責(zé)分配，用戶的訪問(wèn)策略也由控制器負(fù)責(zé)實(shí)施，AP的IP地址由其所插的網(wǎng)絡(luò)端口決定。

加強(qiáng)射頻管理

無(wú)線信號(hào)在空間是自由傳輸方式，因此會(huì)互相干擾，為了使信號(hào)的干擾最小化，校方首先通過(guò)發(fā)文不允許下屬各單位自行布置AP，一旦發(fā)現(xiàn)有非法的AP連接在可網(wǎng)管的交換機(jī)端口上，網(wǎng)管軟件立即封閉相應(yīng)的端口；如果無(wú)法確定AP所在的可網(wǎng)管交換機(jī)端口（很可能是校外設(shè)備，例如運(yùn)營(yíng)商的設(shè)備），則校方的AP將發(fā)送干擾信號(hào)對(duì)非法AP（Rogue AP）進(jìn)行干擾，使其停止提供接入服務(wù)。

隨著校方無(wú)線覆蓋范圍的擴(kuò)大以及網(wǎng)絡(luò)全免費(fèi)的實(shí)施，校方就校園無(wú)線覆蓋問(wèn)題與運(yùn)營(yíng)商進(jìn)行廣泛溝通并達(dá)成如下的共識(shí)：學(xué)校鼓勵(lì)運(yùn)營(yíng)商進(jìn)入校園進(jìn)行3G覆蓋，運(yùn)營(yíng)商在鋪設(shè)3G覆蓋時(shí)，天饋必須采用吸頂天線，合路器部分必須為校方提供WLAN的接口，運(yùn)營(yíng)商管理的界面為信號(hào)合路器到天線的部分，無(wú)線網(wǎng)絡(luò)設(shè)備由校方提供，為了解決運(yùn)營(yíng)商WLAN覆蓋問(wèn)題，校方在自己的A P上為中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通都開(kāi)設(shè)了相應(yīng)的SSID，包括學(xué)校ECNU的SSID，每個(gè)AP上的SSID數(shù)目一般為4個(gè)。運(yùn)營(yíng)商的SSID在控制器上由專用的網(wǎng)絡(luò)接口接入運(yùn)營(yíng)商的專線進(jìn)行認(rèn)證及計(jì)費(fèi)，不需經(jīng)過(guò)校園網(wǎng)傳輸，保證了網(wǎng)絡(luò)完全隔離。

為了使布線規(guī)模盡可能小，校方在三家運(yùn)營(yíng)商之間協(xié)調(diào)，希望三家運(yùn)營(yíng)商使用統(tǒng)一的布線系統(tǒng)，最后達(dá)成的一致意見(jiàn)為網(wǎng)絡(luò)實(shí)施由一個(gè)同時(shí)經(jīng)過(guò)三個(gè)運(yùn)營(yíng)商認(rèn)證的系統(tǒng)集成商負(fù)責(zé)，采用支持WLAN、TDSCDMA、WCDMA和CDMA2000的天饋系統(tǒng)及合路器，實(shí)施完畢以后，校內(nèi)已經(jīng)基本沒(méi)有非法的AP，同時(shí)校方和運(yùn)營(yíng)商可以互惠互利，獲得雙贏。由于校方的AP都是采用瘦AP的方式，由無(wú)線控制器統(tǒng)一管理，自動(dòng)進(jìn)行頻譜分配，AP間的干擾很小。

深入用戶管理

用戶認(rèn)證管理

因?yàn)闊o(wú)線的使用群體較大，在校方主要包含了以下幾種（不含運(yùn)營(yíng)商的用戶群） ：

1.校內(nèi)在冊(cè)的教職工；

2.全日制的本專科生、研究生、博士生；

3.網(wǎng)絡(luò)學(xué)院的學(xué)生；

4.進(jìn)修教師、專業(yè)研究生、各種外聘人員；

5.其他臨時(shí)人員（包括參加培訓(xùn)的中學(xué)校長(zhǎng)、短期訪問(wèn)學(xué)者、參加會(huì)議人員）

其中1-2兩種人員的原始信息在校方的應(yīng)用系統(tǒng)的LDAP中，3中人員的信息主要在網(wǎng)絡(luò)學(xué)院遠(yuǎn)程教學(xué)系統(tǒng)的Windows AD中，4-5這些人因不需要使用校方的應(yīng)用系統(tǒng)，因此沒(méi)有相應(yīng)的電子版用戶數(shù)據(jù)。

為了使1-5類人員能全部使用校內(nèi)的無(wú)線及有線，校方開(kāi)始建立認(rèn)證中心，負(fù)責(zé)對(duì)校內(nèi)所有系統(tǒng)提供用戶統(tǒng)一的身份認(rèn)證接口，而在認(rèn)證中心的后端增加了幾個(gè)到其他用戶庫(kù)的認(rèn)證接口，其中一個(gè)接口是到LDAP認(rèn)證。

第3種人員到網(wǎng)絡(luò)學(xué)院的Windows AD進(jìn)行認(rèn)證。第4類用戶雖然沒(méi)有固定的身份庫(kù)，但他們都有學(xué)校提供的校園卡，且都有自己的消費(fèi)密碼，認(rèn)證中心便采用校園卡的消費(fèi)密碼作為這些人員的上網(wǎng)密碼，用戶名為卡號(hào)，通過(guò)拓展認(rèn)證中心的接口，使之支持到后端的ODBC認(rèn)證，讓這部分用戶直接進(jìn)入一卡通的身份數(shù)據(jù)庫(kù)進(jìn)行認(rèn)證。

對(duì)于第5類用戶，由于這批用戶滯留的時(shí)間較短，一般不辦理校園卡，為了讓這批用戶能夠使用網(wǎng)絡(luò)，網(wǎng)絡(luò)中心在應(yīng)用系統(tǒng)中做了一個(gè)界面，讓每一個(gè)第1類中的人員都可以申請(qǐng)臨時(shí)賬號(hào)，每人可同時(shí)申請(qǐng)10個(gè)，有效期為一個(gè)星期，數(shù)據(jù)直接存儲(chǔ)在ODBC的數(shù)據(jù)庫(kù)中，由認(rèn)證中心到ODBC中進(jìn)行認(rèn)證，賬號(hào)的安全性由申請(qǐng)人員負(fù)責(zé)，這樣使每一個(gè)與學(xué)校相關(guān)的人員都可以使用校園網(wǎng)。

用戶權(quán)限管理

為了給不同的用戶不同種類的訪問(wèn)權(quán)限，在認(rèn)證中心中對(duì)不同種類用戶進(jìn)行分組，第1-2類人員，登錄無(wú)線后，可以訪問(wèn)校內(nèi)所有的應(yīng)用服務(wù)器以及外網(wǎng)。第3類用戶登錄后只能訪問(wèn)網(wǎng)絡(luò)學(xué)院的教學(xué)系統(tǒng)以及圖書(shū)館資源，第4、5類用戶登錄成功后僅能訪問(wèn)外網(wǎng)以及校內(nèi)受限的資源。

用戶分布管理

在布設(shè)天線時(shí)，根據(jù)大樓設(shè)計(jì)時(shí)的CAD矢量圖，將天線的位置標(biāo)注在CAD矢量圖上，然后在無(wú)線的網(wǎng)管系統(tǒng)中導(dǎo)入相應(yīng)的矢量圖，就可以得到用戶具體位置，連接具體AP的詳細(xì)信息，對(duì)于用戶的定位和解決用戶的上網(wǎng)故障都將有很大的幫助。根據(jù)用戶所處位置的熱圖，我們還可以周期性對(duì)AP的接入用戶進(jìn)行統(tǒng)計(jì)，根據(jù)這些統(tǒng)計(jì)，可以調(diào)整一些AP的部署，對(duì)那些長(zhǎng)時(shí)間沒(méi)有用戶連接的A P進(jìn)行移位或者拆除，對(duì)一些用戶比較飽和的區(qū)域，再適當(dāng)增加一些AP。

數(shù)據(jù)傳輸?shù)陌踩怨芾?/h2>

目前無(wú)線網(wǎng)的用戶認(rèn)證一般采用802.1X認(rèn)證或者是Web Portal認(rèn)證，802.1X認(rèn)證相對(duì)比較安全，但由于其設(shè)置復(fù)雜，一般用戶使用不太方便。 Web Portal認(rèn)證因?yàn)槠浜?jiǎn)單，不需要任何設(shè)置，往往被絕大部分無(wú)線服務(wù)提供者使用。為了給一些Web Portal用戶提供增強(qiáng)的安全，我們將SSL VPN服務(wù)器在登錄頁(yè)面上做好鏈接，同時(shí)在無(wú)線控制器上允許VPN Server不需要Portal登錄就可以訪問(wèn)，用戶采用SSL VPN加密后，用戶端和SSL VPN Server之間傳輸?shù)膬?nèi)容就可以全部通過(guò)SSL加密傳輸，在空中傳輸?shù)膬?nèi)容就不會(huì)被偷聽(tīng)（因?yàn)橄抻谟脩舻牟l(fā)數(shù)及性能，校方的SSL VPN僅允許第1、2類用戶登錄）。

IPv6支持

有些廠家的WLC已經(jīng)可以支持IPv6的路由協(xié)議，這些WLC上的用戶可以直接使用v6的協(xié)議進(jìn)行身份認(rèn)證及網(wǎng)絡(luò)訪問(wèn)；有些WLC不支持IPv6協(xié)議，但是可以讓IPv6的協(xié)議報(bào)文透明傳輸，這些WLC的配置就需要將三層接口配置于支持IPv6路由協(xié)議的三層交換機(jī)或者路由器上，以使IPv6的報(bào)文可以路由。

對(duì)于一部分完全不支持IPv6的WLC，如果需要在客戶端支持IPv6的協(xié)議，需要將用戶的網(wǎng)關(guān)配置于WLC上，然后在支持WLC的相應(yīng)VLAN接口上外掛支持IPv6路由協(xié)議的交換機(jī)或者路由器（也可以借助上游的三層交換機(jī)），這樣用戶v4的IP報(bào)文通過(guò)WLC路由，v6地址通過(guò)外掛的交換機(jī)或路由器自動(dòng)分配并路由，實(shí)現(xiàn)v4與v6同時(shí)訪問(wèn)，但此種方式的缺點(diǎn)是IPv6的地址無(wú)法做身份認(rèn)證，用戶不需要通過(guò)無(wú)線網(wǎng)絡(luò)認(rèn)證就可以通過(guò)IPv6訪問(wèn)相應(yīng)的網(wǎng)絡(luò)。

原有胖AP的融入

由于校內(nèi)部分區(qū)域還有一些無(wú)法升級(jí)成瘦AP的胖AP，使用胖AP組網(wǎng)，通過(guò)使用專網(wǎng)或?qū)Ｓ镁€路，將所有的AP最終匯聚到同一個(gè)認(rèn)證網(wǎng)關(guān)之下，由網(wǎng)關(guān)進(jìn)行用戶身份認(rèn)證。為了對(duì)這些AP進(jìn)行統(tǒng)一的管理，通過(guò)部署MPLS VPN將所有的胖AP通過(guò)MPLS VPN匯聚后，連接到無(wú)線控制器的有線網(wǎng)口上，使這部分用戶也通過(guò)控制器進(jìn)行統(tǒng)一認(rèn)證與管理，如果這些AP支持SNMP網(wǎng)管功能，還可以通過(guò)無(wú)線網(wǎng)管軟件對(duì)這些AP進(jìn)行統(tǒng)一網(wǎng)管，不僅可以查看用戶的認(rèn)證信息，還可以查看用戶的位置信息（只能定位到具體的AP，不支持三角算法）。

亟需解決的問(wèn)題及展望

目前很多高校為了提高無(wú)線的覆蓋，在大樓內(nèi)采用饋線的方式進(jìn)行覆蓋，這種覆蓋會(huì)產(chǎn)生如下二個(gè)問(wèn)題：

一是無(wú)線控制器無(wú)法動(dòng)態(tài)確定A P的發(fā)射功率，有礙AP的蜂窩形成，造成AP間的相互干擾比較嚴(yán)重，而且容易形成覆蓋空洞（Coverage Hole）。

二是采用饋線方式無(wú)法解決802.11協(xié)議中提及的隱藏終端問(wèn)題，使得沖突的概率大幅度提高，影響整個(gè)無(wú)線網(wǎng)絡(luò)的性能。

隨著無(wú)線網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大，性能的提升，校園的無(wú)線覆蓋有望沒(méi)有盲點(diǎn)，WLAN上的語(yǔ)音、流媒體等實(shí)時(shí)業(yè)務(wù)將給廣大師生帶來(lái)學(xué)習(xí)與生活上的各種便利，無(wú)線網(wǎng)絡(luò)本身也必將會(huì)在廣大用戶的支持下獲得更好的發(fā)展。

（作者單位為華東師范大學(xué)網(wǎng)絡(luò)中心）

深信服簽約馬來(lái)西國(guó)民科技大學(xué)

上網(wǎng)行為管理方案顯優(yōu)勢(shì)

本刊訊 日前，深信服科技駐馬來(lái)西亞辦事處的銷售和技術(shù)人員通過(guò)分析國(guó)民科技大學(xué)的現(xiàn)狀，結(jié)合深信服上網(wǎng)行為管理產(chǎn)品的特點(diǎn)，提出了針對(duì)性的解決方案。

深信服在馬來(lái)西國(guó)民科技大學(xué)的主干網(wǎng)絡(luò)出口處，以網(wǎng)橋模式部署上網(wǎng)行為管理方案，通過(guò)分析網(wǎng)絡(luò)中的流量，制定一系列上網(wǎng)行為管理的措施，使馬來(lái)西亞國(guó)民科技大學(xué)遇到的問(wèn)題得到解決。