王佶 邹池佳 江肖强

浙江大学信息中心 浙江 310027

0 引言

伴随着移动互联网的不断发展、无线智能终端的迅速普及，高校针对校园 WLAN的需求正在不断变化，传统的校园 WLAN架构和管理模式正逐步呈现出许多难以应对的问题：无线控制器种类繁多、用户策略各异，不便于管理维护；无法实现基于用户不同需求的精细化管理；原有相当数量无线设备无法支持 IPv6协议等。因此，探索一个全新的校园WLAN架构体系以及相应的管理模式是目前高校WLAN管理者必须面对的紧迫课题。

1 校园WLAN扁平化架构

扁平化的架构模式并非必须或者一定就物理联接层次上的减少，而是指网络逻辑层次的简化。

扁平化架构的优势：将原先个层次模糊的功能区分清晰化，各司其职，有利于管理、维护和业务的部署；实现用户、业务控制的集中化，由能力最强、功能最丰富的核心设备提供集中的业务控制和管理，在提供功能和业务时，发挥核心设备的高性能、稳定性、可靠性等优势；汇聚、接入设备一般只需要提供基础的AP管理、二层VLAN划分等功能，不涉及到具体的用户业务功能，因此部署新的用户业务时，无需考虑其是否支持，无需考虑设备型号，有利于降低数量众多的汇聚、接入层设备投资；功能划分清晰后，整个网络更有利于扩展，核心层设备的性能很强，对新功能新业务能够提供良好的支持，汇聚层和接入层只需考虑接入数量的扩充、上行带宽的增加等。如图1所示，扁平化架构，可以将传统的三层架构简化为两个层次，业务控制层和宽带接入层。

图1 优化架图

2 校园WLAN的扁平化部署

与传统校园WLAN由AC提供DHCP和Web Portal功能相比，扁平化的校园WLAN部署弱化了AC的功能，通过核心层实现DHCP和Web Portal的用户接入网络认证功能。此架构下的AC仅仅需要提供SSID、“瘦”AP的频段功率等功能，无需再提供用户认证策略的功能。

核心层除核心路由器外，还有具有用户自助功能的Portal服务器，Radius认证平台，出口网关设备，用户管理平台及数据库系统等，如图2所示。

图2 扁平化部署

2.1 核心层

核心层，扁平化架构下也可称为业务控制层，所有涉及用户策略的下发都由其控制，包括用户IP地址的分配、用户上网带宽等权限的下发、用户在线状态的监听和用户计费等审计业务的实现等。

此外，在核心层面上实现了有线无线用户的一体化。传统校园 WLAN模式下，用户第一次认证接入校园网，访问英特网需要第二次认证。扁平化架构下，无线用户不需要二次认证，用户连接到无线网络后，核心设备通过NAS-PORT-TYPE的标准Radius属性，判断用户是否具备无线访问权限，并且按照预先设定的计费方案进行计费，优化了用户体验。

核心路由器配置：

2.2 宽带接入层

扁平化部署弱化了AC功能，除了管理AP的基本功能外，只需要开启SSID，将核心层提供的用户VLAN与SSID关联，从而实现用户通过此VLAN与核心层通讯。

3 校园WLAN的精细化管理

3.1 基于账号类型的用户权限管理

校园上网账号种类丰富。根据互联网链路，可以分为校园网权限、教科网权限和国际权限等账号；根据带宽，可以分为1M、2M和4M等账号；根据资费，可以分为10元、30元和50元等账号。早期校园WLAN其中一种主流的认证方式是DHCP + Web Portal认证方式，此方式下，往往用户认证后，仅仅是获得了校园网接入的权限，需要通过第二次拨号才能访问互联网，同时用户的校园网接入带宽很难与账号权限相匹配。在扁平化架构下，核心路由器和出口网关设备可以根据Radius提供的用户信息下发用户权限，同一无线环境下，实现了用户上网仅需一次认证，同时可能根据用户账号权限，下发不同的带宽策略和访问权限。此种基于账号类型的用户权限管理，不仅具有良好的用户体验，也为管理者实现了管理的精细化。

3.2 基于流量计费的用户流量管理

无线网与有线网相比，带宽相对较窄，P2P下载致使用户相互影响也时有发生，因此从规范管理的角度来看，对无线网进行一定的流量限制是有必要。传统架构下，流量管理不仅较难实现，而且要在每台AC上进行繁琐的策略部署。在扁平的架构下，弱化AC功能后，所有的流量计费功能都由核心路由器、出口网关及Radius共同承担，不仅全网下实现了统一部署，而且可以避免AC不支持某项功能的尴尬。对核心层进行新功能开发，更可以实现校园网、教科网和国际网流量的不同计费策略，不仅对用户行为进行了限制，还能减轻国际出口带宽的压力。

3.3 基于用户终端的认证管理

传统校园 WLAN一般采用 IEEE 802.1X或网页认证。802.1X认证，就存在客户端兼容性问题；而传统的网页认证，除了存在二次认证的问题，在用户在线状态监听、用户带宽等权限下发方面，存在明显缺陷。扁平化的WLAN架构下，由于部署的核心功能强大，同时，所有新的需求只需在核心层进行定制开发，为不断更新的用户终端接入奠定了良好的基础。

扁平化的部署，采用认证方式是核心路由器提供DHCP等功能、配合Web Portal服务器、Radius服务器及万兆出口网关设备实现用户上网接入认证。用户的主要认证接入方式是Web认证，通过80端口的http服务或443端口的https服务进行用户浏览器认证。网页认证相对于客户端认证，最大的优势就是用户终端操作系统兼容性强，终端只要支持http/https协议，就能实现接入认证。同时为了方便用户，可以针对PC终端例如Windows、Mac OS、Linux等系统，或者移动终端如iPhone、iPad、Android等系统开发相应的模拟http/https协议的客户端，此客户端仅仅为模拟网页认证，因此设计相对较为简单快捷。

3.4 基于用户状态的用户接入等其它管理

传统的DHCP + Web portal架构，在用户在线状态侦听、用户强制离线和消息发布等功能上存在缺陷。有时用户离线，因为没有侦听用户在线状态，无法及时将用户下线，导致用户无法再别处登录、IP地址资源浪费等问题。扁平化的部署，就能实现精细化的管理，可以实现用户下线后较短时间内账号下线及IP地址释放、用户欠费后强制离线以及各种窗口托送的消息发布，使管理更加精准有效。

需要时，也可以开发功能授权模块，即控制每个小组内用户不同时段具有不同的访问权限。例如结合学校排课系统，可以控制学生用户在上课时间不能访问QQ等。精细化的网络管理，为高校的教育提供了良好的支撑。

4 结论

本文阐述了通过网络扁平化和管理精细化的优化工作，使原先个层次模糊的功能区分清晰化，是原先粗放的管理变得更加精准。与传统校园 WLAN的部署和管理相比，可以发现校园 WLAN扁平化部署和精细化管理具有更高的效率也更有利于管理，为改善整个校网无线的用户体验奠定了基础。

[1]鲁义轩.大流量业务冲击3G+WLAN网路 802.11n 被纳入规划[J].通信世界.2010.

[2]刘利.异构无线网环境下移动 IPv6关键技术研究[D].博士论文.安徽:中国科学技术大学.2007.

[3]厉延民.试论无线校园网的设计和实施[J].电脑知识与技术.2011.

[4]徐峰,严学强.全扁平化移动网络架构的研究[J].移动通讯.2011.

[5]高波,张正风,徐旭.基于WLAN接入的DHCP + Web认证关键技术分析[J].电信科学.2008.

[6]杨放春.智能网技术及其发展[J].电信科学.2001.

[7]胡云波,王培东,朱海燕.无线局域网的认证方法研究[J].计算机工程与应用. 2008.

[8]吴越,曹秀英,胡爱群,毕光国.无线局域网安全技术研究[J].电信科学.2002.