中国电信股份有限公司镇江分公司 网络操作维护中心 李华亮 魏 斌

高校无线局域网接入可控性研究和应用

中国电信股份有限公司镇江分公司 网络操作维护中心 李华亮 魏 斌

由于WLAN（无线局域网）简单开放的特点，安全稳定性和接入可控性成为其在高校等市场推广的瓶颈。以“WiFi随心连”软件为切入点，研究高校WLAN接入控制可行性，提出几套解决方案并在现网部署应用，同时探索基于SDN（软件定义网络）架构的高校WLAN组网方案。

信息化； 无线局域网； 接入控制； 软件定义网络

近期网络上流行一款“WiF随心连”软件，用户使用该软件通过电信WLAN（无线局域网）热点接入，使用异网或非学子E行账号免费使用电信WLAN，绕过电信账号限制策略，在校方禁止学生上网时间仍然可以使用WLAN上网，严重影响学校的正常教学和管理工作，同时该软件在学生中大量使用后，导致电信WLAN和宽带业务流失，对校园无线和宽带业务经营产生冲击，如何对WLAN接入用户进行有效管理和控制成为迫切需要解决的问题。

1 “WiFi随心连”软件介绍

“WiFi随心连”是一款提供免费WLAN账号和流量卡的应用软件，使用“WiFi随心连”兑换的账号可在智能手机、iPad、PC（个人计算机）笔记本上连接电信或移动的AP（接入点）热点无线上网，具有网络交易、资费低、无组别和接入限制的特点，绕过运营商的业务销售渠道和接入控制管理平台，将运营商WLAN无线网络管道化、透明化。

软件工作原理和影响：

“WiFi随心连”软件实际是一个全国性质的WLAN账号交易平台，软件开发者在各省市低价收购WLAN账号和WLAN流量卡，通过“WiFi随心连”软件进行二次销售。该软件支持多种终端、多运营商账号接入，且资费低于校园营业厅，带来三大问题： 一是网络交易绕过电信校园营业实体店，销售异网和异地账号，抢占本地校园市场； 二是异网和异地账号大量使用，打破了电信原有的校园WLAN无线热点覆盖优势，电信无线网络被管道化和透明化； 三是原来基于账号组别的接入控制策略对异网和异地账号不生效，WLAN接入用户不可控，运营风险系数增加。

2 WLAN接入可控性研究

2.1 WLAN接入可控的必要性和意义

随着高校信息化发展，校园成为各大运营商争夺的主要市场之一，市场竞争激烈，如何发挥电信固网和WLAN优势，抢占用户，提高业务收入成为关键。通过WLAN接入可控，实现用户细分、接入灵活管理、既可以满足校方管理要求，同时还可有效控制接入用户、限制异网和异地账号、精确管理用户，有针对地进行学生营销和流量经营，对校园宽带和无线业务推广和发展有重要意义。

2.2 WLAN接入控制可行性分析

校园WLAN接入网一般采用交换网络结构，核心交换机与各运营商和校园信息中心对接，业界主流采用廋AP组网方案，典型的组网拓扑见图1。

图1 典型校园WLAN组网拓扑图

2.2.1 接入控制方案一（AC集中控制）

AC（接入控制器）根据AP接入标识，创建特定用户组别，配置并引用控制策略，控制AP接入业务。· 软硬件需求： AC需要安装软件防火墙，并购买licese；· 方案优点： AC一点控制；当AP数量较少时，业务部署快速便捷；

· 方案缺点： AC需要安装软件防火墙（增加额外成本）；因AC单台承载用户数有限，AC数量较多，当用户组别较多、AP分散在各台AC，策略部署较为混乱；增加AC负担，影响AC工作性能，且部分个性化需求无法实现。

2.2.2 接入控制方案二（AC加BRAS控制）

AC根据AP接入标识，创建特定用户组别封装VLAN（虚拟专用网）上送BRAS（宽带接入服务器），BRAS根据AC接口和AP封装VLAN，配置并引用控制策略，控制AP接入业务。

· 软硬件需求： 无；

· 方案优点： 无需增加额外设备和成本，BRAS统一配置和部署控制策略，适用于大规模业务配置和管理；

· 方案缺点： AC和BRAS多点配置和控制，相比AC集中控制较为复杂，且策略配置繁琐，部分个性化需求无法实现，业务响应不及时。

综上所述，两个方案各有利弊，方案一（AC集中控制）适用于AP数量较少，策略单一的场景，方案二（AC加BRAS控制）适用于AP数量大，控制策略复杂的场景。现网应用时应根据具体业务需求和业务量，选择合适的技术方案。

2.3 WLAN接入控制应用案例

某职业中专与电信合作建设校园无线网络，校方出于对教学和管理需要，提出了几点要求：

· 校方规定的禁止上网时段（如上课时间），电信和异网、异地账号均不得通过电信WLAN热点上网；

· 非校方授权的运营商和异地账号不得在校园内使用；

· 接入账号可溯源，可灵活控制和管理。

分析业务需求： 学校共计32个WLAN热点，分布在教学区和食堂各点，接入控制需求较为复杂，适合采用方案二（AC 加BRAS控制）方式，具体部署策略见图2。

图2 某职中WLAN接入控制方案

AC对教学区和食堂接入AP进行业务标识，创建特定组，封装VLAN，上送BRAS，由BRAS完成用户接入、控制、数据采集和策略应用，实现多点接入、一点控制，部署思路清晰、高效、无需额外增加成本，可满足校方要求。

3 SDN技术引入

传统IP网络组网方案，存在硬件资源固化、运维管理繁琐、接入控制管理复杂且存在局限性、业务响应不及时、网络扩展性和弹性不足等问题。SDN（软件定义网络）技术将网络设备控制面与数据面分离开来，降低投资成本，提高网络部署的灵活性，提升网络的软件化程度和可编程能力，实现对业务的高效灵活控制，逐渐成为行业应用的热点技术。

3.1 SDN技术特性

· 网络资源虚拟化： 支持逻辑网络与物理网络分离，逻辑网络可根据业务需要配置和迁移，不受物理位置的限制。

· 网络控制集中化： 支持网络资源的集中控制，可进行全局优化，比如流量工程、负载分担、安全控制等； 支持整个网络当一台设备进行维护，设备零配置即插即用、大大降低运维成本。

· 网络能力开放化： 应用和网络无缝集成，应用直接向网络提出能力要求，比如带宽、延迟、安全、接入控制、路由成本等； 控制软件可编程，可通过软件编程方式满足客户定制化需求，实现快速灵活业务提供。

3.2 SDN技术对校园WLAN接入控制

校园网络设备型号众多、分布分散、用户流动性大、客户需求灵活多变，传统维护模式已经难以适应快速变化的业务发展需求，SDN技术网络与控制相分离、软件可编程的特点，为校园WLAN接入控制提供了一种灵活高效的解决思路。基于SDN架构的WLAN组网方案见图3。

图3 基于SDN架构的WLAN组网方案

在AP和各层次设备中植入OpenFlow协议支持模块，使得SDN控制器可以通过相关协议对AP和各层次设备进行控制和管理。SDN控制器通过向下接口实现对数据转发层的AP和各层次设备的控制，解析AP和交换机的行为进行管理。上层应用开发人员可通过SDN的向上接口添加新的功能应用或策略模块。数据库从底层采集各项数据信息，业务逻辑模块负责对各种数据的处理和管理。

基于SDN架构的WLAN组网模式下，所有接入控制和应用策略，只需要在SDN控制器上进行开发编程，集中部署策略，通过SDN交换机向各层次网元设备批量下发策略即可。操作简单灵活、部署效率高、数据采集精确快捷、业务管理方便、用户需求响应快，未来必将成为有线和无线网络的主流组网方案。

4 结束语

WLAN作为一种低成本、高带宽的无线接入技术，在各大高校内规模部署和广泛应用。另一方面，高校作为教学主体，对WLAN接入控制和用户管理相比公共网络更为严格，如何协调业务发展和学校管理，实现校企双赢是关键点。

本文结合某职中WLAN接入控制要求，分析校园WLAN组网特点，根据校方要求，提出AC单独控制和AC加BRAS两套解决方案，旨在满足校方教学管理的前提下，部署有利于校园宽带业务经营的接入控制策略。研究时下热门的SDN控制技术，探讨基于SDN架构的校园WLAN组网模式，希望对校园宽带网络建设、管理和宽带业务发展起正向作用。