高校“三多模式”WLAN业务网络分流建设模式
2013-06-01汪翔
汪翔
(中国移动通信集团设计院有限公司上海分公司,上海 200060)
高校“三多模式”WLAN业务网络分流建设模式
汪翔
(中国移动通信集团设计院有限公司上海分公司,上海 200060)
随着中国移动对于WLAN网络建设逐步展开,越来越多的WLAN个性化业务需求在各个用户或者企业中出现,为了既要满足用户需求,同时又满足移动WLAN网络建设要求,多种WLAN业务的衍生方案应运而生,本方案着重讨论在多个SSID、多种认证方式以及多类型IP地址业务需求下的WLAN网络建设及数据分流模式。
多SSID业务;802.1x认证;IPv4;IPv6
Wi-Fi热点作为“智慧城市”建设中网络基础设施的关键组成部分,被集团和上海公司高度关注。集团发布《关于2010年WLAN业务发展的指导意见》,明确WLAN覆盖场点优先级,“力争实现覆盖8 000人以上高校不低于80%,8 000人以下高校不低于50%;高校校园重点覆盖区域为图书馆、教室、学生宿舍等区域”,将8 000人以上高校作为首选覆盖目标。
1 高校“三多模式”业务需求及需求分析
大部分高校均自建有一套WLAN,但往往均不是全覆盖,往往只覆盖办公教学区,未覆盖宿舍区,因而中国移动可以借此机会将WLAN部署进高校宿舍区。但往往高校要求移动WLAN同时需要开放其本身的校园网SSID信号,由此就出现各种个性化的业务需求。由于高校本身属于科研单位,所以其对中国移动WLAN的可扩展性、安全性以及相关的业务支持能力要求就相对较高。
高校“三多模式”业务需求如下。
多SSID需求:中国移动WLAN开通校园网SSID带来的多SSID业务需求,高校要求开通支持Portal认证或者802.1x认证的校园网SSID。
多认证方式需求:中国移动WLAN本身可支持Portal认证、802.1x认证以及MAC认证等多种认证方式,高校的校园网SSID也存在此类需求。
多类型IP地址需求:由于高校属于科研单位,因此其校园网SSID可能会存在同时支持IPv6及IPv4的需求。
基于以上的三多模式,如何将移动建设的WLAN与高校建设的WLAN做本地互联,实现业务融合和业务流本地转发,成为我们需要考虑的重点问题。
高校“三多模式”需求分析:在此模式下,业务网络的建设和实现难点在于:数据流本地分流及互通问题;双方网络Portal认证页面如何弹出问题;移动校园网WLAN IP地址下发问题和移动WLAN校园网多SSID多认证模式问题。
2 网络建设及数据分流模式
根据以上几点需求我们逐一考虑建设模式。
2.1 数据流本地分流及互通问题
在目前WLAN 瘦架构设备广泛铺开的环境下,WLAN数据流分流从技术上主要是采用基于SSID配置VLAN标签实现业务分流的方式,但在互通问题上则存在两种方式。
方案1:本地二层互通转发。
分析:本地二层互通方式对双方互通设备的要求则较少,互通端口和设备性能满足二层分流需求即可;但是从网络安全角度考虑,对双方WLAN,若采用二层协议互通,则任何一方网络都暴露在另一方的网络上,普遍存在二层网络风险。
方案2:本地三层互通转发。
分析:本地三层互通势必涉及到设备配置,对于移动侧的汇聚交换机必须要求为三层交换机,支持三层功能。同样,对于高校侧的核心出口设备也必然是支持三层功能的设备。
2.2 双方WLAN网络Portal认证页面如何弹出问题
在基于Portal认证的模式下,由于Portal协议为二层协议,若双方直接三层互通,将无法支持另一方SSID的Portal认证,因而可以考虑在双方互通链路上新增“中间件设备”。
图1 移动高校WLAN数据二层互通网络
图2 移动高校WLAN数据三层互通网络
图3 移动高校WLAN数据三层互通网络(支持Portal认证)
图3的组网方式既满足了双方网络之前三层互通的需求,同时也满足WLAN Portal认证协议的要求,但是前提是这个“中间件设备”必须支持内置Portal页面,实现Portal认证的用户可以通过该页面登陆。
2.3 移动校园网WLAN IP地址下发问题
从用户接入流程上分析,用户接入WLAN首先是发送ARP广播分组向DHCP服务器获取IP地址。在移动校园网WLAN的模式下,则存在3个或者多个DHCP设备,分别是移动WLAN核心网AC设备、校园网WLAN核心网AC设备以及校园网核心DHCP设备等。因此,对于多个SSID的IP地址下发,我们同样需要根据不同的SSID区别对待。
建议配置原则为:根据SSID归属由各自DCHP设备下发各自的IP地址(包括IPv4和IPv6)。具体下发规则如下。
移动WLAN网络 SSID-CMCC和CMCCEDU:由移动核心网AC下发移动IP地址。
移动建WLAN网络 SSID-GX WLAN:由高校核心网DHCP设备下发校园网IP地址。
高校自建WLAN网络SSID-CMCC和CMCCEDU:由移动核心网AC下发移动IP地址。
高校自建WLAN网络SSID-GX WLAN:由高校自建AC下发校园网IP地址。
根据以上原则并结合前一节探讨的数据三层互通建设模式,在WLAN组网上则需要注意以下几点。
(1)由于双方是三层互通,在IP地址下发过程中,必然需要DHCP,由于ARP广播分组三层必然终结,因此双方WLAN网络中“中间件设备”需要支持DHCP或者DHCP Relay功能: 若采用DHCP则需要一方将其IP地址资源配置到另一方的“中间件设备”IP地址Pool中,若采用DHCP Relay,则直接Relay至对应的DHCP设备。
图4 移动高校WLAN数据三层互通网络(支持Portal认证及IP地址下发)
(2)高校存在IPv6地址的需求,但由于IPv6地址下发的DHCP设备为高校本身的AC或者核心网DHCP设备,因此移动无需配置支持DHCP IPv6地址的网络设备。
2.4 移动WLAN校园网多SSID多认证模式问题
在目前的网络组网情况下,如何实现认证,首先需要考虑认证点原则,认证点分配原则与IP地址下发相同:移动SSID由移动RADIUS平台认证,而高校SSID由高校认证平台认证。
而后需要考虑在对方WLAN网络下,如何多种认证模式下实现本方用户至本方认证平台认证的问题。
2.4.1 Portal认证
我们已经讨论过如何实现Portal页面弹出的问题, 因此在弹出Portal页面后,只需要将认证数据通过三层链路推送至归属认证平台即可。如图5所示。
2.4.2 802.1x认证
由于802.1x认证属于在瘦架构下实现机制是AC下发认证密钥至AP,而后AP对用户进行认证。在移动现有的组网模式下,若要实现高校802.1x认证的需求,则必须要由移动WLAN核心网AC下发802.1x认证,而后将认证数据指向高校自有的RADIUS。同时由于移动目前自有一个基于802.1x认证的SSID:CMCC-AUTO,因此移动AC需要根据不同SSID将认证数据流指向不同的RADIUS,具体数据流向如图6所示。
针对高校WLAN的802.1x认证,由于目前高校AC不属于移动RADIUS接入范围,因此无法在高校WLAN中开通移动802.1x认证。若要实现此业务需求,则必须将高校WLAN AC设备列入移动Radius接入白名单才能实现。
2.4.3 MAC认证
MAC认证数据流则比较简单,只需根据业务SSID将数据流分流至各自的DHCP设备,而后根据MAC地址进行认证。
图5 Portal认证数据流
图6 802.lx认证数据流
图7 MAC认证数据流
综上讨论,高校“三多模式”下的WLAN网络融合建设方案需要考虑多方面的业务规则和技术要求,因此在现有的移动WLAN建设模式下,我们需要借助支持内置Portal页面以及支持DHCP或者DHCP Realy功能的“中间件设备”来实现高校复杂的业务需求。此类组网模式同样适用于对WLAN业务需求较高的大型集团客户,对移动WLAN网络的扩展有非常大的借鉴作用。
3 结束语
在中国移动铺开建设WLAN热点之际,讨论多种业务模式下的WLAN建设融合组网对今后移动WLAN建设有着非常大的指导作用,可以为中国移动的WLAN建设提出新的空间和思路,对中国移动WLAN的发展有着重要作用。
Probe into the construction of colleges and universities wireless integrated network with “threefold requirement mode”
WANG Xiang
(China Mobile Group Design Institute Co., Ltd. Shanghai Branch, Shanghai 200060, China)
With China Mobile wireless network construction gradually, more and more wireless network personalized service demand in each user or enterprise, in order to meet the needs of users, but also meet the requirements of mobile wireless network construction, various schemes of wireless network construction plan be derived, this thesis focuses on the WLAN networking mode under requirements of multiple SSID, multiple authentication methods and multiple IP address types.
multiple SSID; 802.1x authentication; IPv4; IPv6
TN929.5
A
1008-5599(2013)10-0011-05
2013-09-01