移动式智慧城市WLAN热点部署方案研究
2015-05-11赵彦杰CaoJieShenYiZhaoYanjie
曹 捷,沈 毅,赵彦杰/Cao Jie,Shen Yi,Zhao Yanjie
(中国电信股份有限公司上海分公司 上海200120)
1 引言
随着信息技术的发展,人们的生活方式正发生着深刻的变化,人们变得更善于利用各种有线、无线的途径与他人交流,获得信息与资源,智慧城市的概念应运而生。WLAN(Wireless Local Area Networks,无线局域网)作为“最后一公里”的网络接入手段,具有便捷、高效、可靠等优点。随着智能终端的普及,WLAN无线热点部署已成为智慧城市建设的重要组成部分。
目前WLAN热点部署的方式还存在一些问题,造成了“双重城市[1]”等负面空间效应。在城市中,重要的区位通过大量覆盖已满足高速互联网接入,但城市内部存在大量不能联网的信息贫困区,同时,大量无管制的热点也为用户接入带来了安全隐患。
本文在分析现有固定式热点部署方式的基础上,给出了一种移动式的WLAN热点部署方案。该方案已在上海某路公交车上完成试点,通过便携式的安装、集中式的管控和个性化的展现,实现WLAN热点的更广覆盖,为完善智慧城市WLAN热点部署提供一种新的思路和方向。
2 移动式WLAN热点部署基础方案设计
智慧城市最终服务的是城市居民,因此“人”才是智慧的关键,热点的部署也应随人动,有人聚集的地方就该有热点,就该有“智慧”,因此,设计一种移动式的WLAN热点部署方案,通过WLAN热点在公交车、出租车等公共交通工具上的部署,完善WLAN热点覆盖,为城市的均衡发展贡献力量。
有别于个人家庭热点部署,WLAN公共热点部署具有身份认证和集约化运营管理的特点[2],有胖AP (Access Point,接入点) 和瘦 AP+AC(Access Controller,接入控制器)两种部署方式。本方案将3G/LTE网络作为移动数据的承载通道,将AC引入移动式WLAN热点部署方案中,同时,通过DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)+Portal的方式实现无线用户的身份认证,用户上网可以满足公安部无线上网的溯源要求。
移动式 WLAN热点部署方案 (基础架构)如图1所示,方案基于瘦AP+AC架构,网络中所有的AP由AC统一控制,AC负责无线网络的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制等。瘦AP+AC架构中,AP的功能较单一,为“零配置”,AP开机后自动发现并接入AC,为了便于开通及后期运营管理需要,可通过软件或硬件方式配置AC分配器。AP通电拨号后,首先与AC分配器交互获取需注册的AC地址。AP接入AC后,由AC向AP下发配置文件,AP-AC间采用CAPWAP(Controland Provisioning ofWireless Access Points Protocol Specification,无线接入点的控制和配置协议)隧道。AC接入交换机启用三层路由功能,对于业务VLAN,AC接入交换机启用二层功能。通过AC和AC接入交换机将用户流量送回至AC上联 BRAS(Broadband Remote Access Server,宽带远程接入服务器)。AC的公网地址由上联BRAS分配,以确保遵循流量的同进同出原则。用户地址由BRAS分配,在用户上网前通过DHCP+Web方式由RADIUS(Remote Authentication Dial in User Service,远程用户拨号认证系统)系统进行身份验证。用户的认证点在BRAS,由BRAS完成Portal展现重定向及向RADIUS发起鉴权等工作。
在安装实施阶段,装维人员通过扫描AP二维码,将AP设备的型号、序列号等信息送至资源系统,完成AC分配器的信息录入,获取注册AC地址及关联BRAS的相关信息,完成场点创建。AP完成至AC注册,能正常将用户请求送至关联BRAS。在现场进行Portal页面弹出及认证测试。基础架构确保AP在通电后通过LTE拨号获取公网地址,并完成AP-AC间的注册上线工作,目前,基于基础架构的移动式WLAN热点部署方案已完成装车和试点测试,如图2所示。但基础架构还存在一些缺点:为了AP能够正常完成AC注册,需要为AC分配公网地址,存在一定的安全隐患;由大网BRAS为用户分配公网地址,考虑到公网地址的紧缺和车载用户的密集分布,应为用户分配私网地址,通过NAT网关为用户提供公网服务。
图1 移动式WLAN热点部署方案(基础架构)
图2 移动式WLAN热点装车效果
3 可运营的移动式WLAN热点部署方案设计与实现(融合架构)
融合架构将BRAS设备与AC设备合设,通过AC终结用户流量,同时增加CGN(Carrier-Grade NAT,运营商级NAT网关)设备,为终端用户提供地址映射服务。如图3所示,为确保AC设备安全并为后期个性化运营服务,使用VPDN(Virtual Private Dial-up Networks,虚拟专用拨号网)业务承载AP-AC隧道。
①PGW(PDN GateWay,PDN 网关分配)设备作为 LAC (L2TP Access Concentrator,L2TP 访问集中器),与 LNS(L2TP Network Server,L2TP 网络服务器)设备通过L2TP两层隧道互通。车载AP通电并发起 PPP(Point to Point Protocol,点对点协议)拨号,使用特殊的APN(Access Point Name,接入点名称)至PGW,PGW向LNS发起建立L2TP隧道,传送用户名、密码、认证方式等信息,LNS发起认证通过请求,车载AP与LNS完成PPP连接,AP的IP地址由LNS设备统一分配。
②LNS设备与融合AC可两层或三层互通,AP可以通过组播、在LNS侧配置DNS域名解析服务器、静态配置和与AC分配器交互等方式获取融合AC地址。AP通过CAPWAP隧道向AC发起注册请求。
③用户网关设在融合AC设备上。用户关联SSID后,AP将用户的DHCP报文封装在CAPWAP隧道中,当DHCP交互报文送至AC后,由AC解CAPWAP隧道封装,并为用户分配私网地址。
④用户访问任意网址,触发AC发起重定向请求至Portal平台。Portal为用户展现登录页面,通过短信方式, 为用户在 AAA(Authentication、Authorization、Accounting,认证、授权、计费系统)开通账号。用户点击“登录”按钮,由Portal→AC→AAA发起认证请求,认证通过后,AC放通用户上网业务请求。由CGN设备为用户请求提供地址映射服务。
图3 移动式WLAN热点部署方案(融合架构)
⑤CGN设备为用户的私网地址新建映射,同时通过Syslog协议将映射信息报文发送至Syslog系统,此映射关系为用户级映射模式。AAA可通过查询Syslog系统获取用户公网IP、端口与私网地址的对应关系,与账号信息整合后对外提供溯源接口。
⑥在安装实施阶段,装维人员通过扫描AP二维码,将AP设备型号、序列号等信息送至资源中心,完成至AC分配器的信息录入。信息录入后,AP获取注册AC地址,完成至AC注册,能够正常将用户请求送至CGN设备。装维人员在现场进行Portal页面弹出及认证测试。
各方案优/缺点见表1,基础架构由于是在原有固定式WLAN基础上进行的移动网络承载叠加,因此较融合架构具备更低的实现成本,但融合架构引入的融合型AC、NAT44网关设备,能够更好地进行商业运营。
4 基于移动式WLAN热点部署的应用及运营方式设计
随着Wi-Fi快速成为新的移动互联网入口,Wi-Fi在公共场所作为固定网络延伸带来接入价值的同时,商业价值也变得越来越重要,移动式WLAN热点部署方案非常适合集约运营,可以在以下几个方面挖掘移动热点的商业价值。
(1)个性化页面展现
由于AP通过CAPWAP隧道完成与AC互通,同时AP管理地址通过LNS分配,将移动热点部署纳入统一的行业Wi-Fi管理系统,电信管理员为行业用户(如某路公交线路)分配特定的IP地址池或关联特定标识信息。无线用户关联SSID后,Portal服务器根据重定向请求中的用户地址池或特定标识,识别用户群组信息,为用户展现个性化页面。
行业管理员(如某路公交系统)通过自服务模块,以SSO(Single Sign On,单点登录)方式登录WLAN行业管理系统,编辑自身的个性化页面,在协议框架内为连接的用户设置无线属性,如接入带宽、单次上网时长等;通过网管模块查看所属名下AP的运行情况;由后台管理模块进行行业用户身份管理并提供统计报表功能;在底层通过Web Service、FTP等接口与 Portal、AAA及AC网管系统对接。
(2)与车联网[3]技术结合
对于移动式车载AP设备,在融合AC设备的管控下,完成注册、上线。AP实际上成为一种安全的车辆传感器设备(AP配置GPS模块)。SplitMAC模式下,AP相关管理报文(包括GPS模块的位置等信息)通过CAPWAP封装送至融合AC设备。融合AC可以实时获得车辆的位置信息,通过与WLAN Portal平台的实时交互,在认证成功后,为用户推送实时信息,如车辆到站时间预期、车辆周边商业信息、天气等。
(3)各类快捷认证方案拓展
由于融合AC设备可以在用户每次数据请求中获取用户的MAC地址,因此可基于MAC为用户省去输入手机号、密码的步骤。为避免用户恶意篡改重定向URL而导致MAC地址伪造等安全问题,对于融合架构的移动式WLAN热点部署方案,可以在用户首次上网重定向时,由融合AC先查询MAC地址库,无相关记录时,重定向至Portal页面,由用户通过短信等方式完成首次登录,登录中可人工选择是否需要无感知登录。签约无感知登录的用户在后续上网时,可由融合AC查询MAC地址库后,直接向行业AAA发起认证鉴权请求,由系统自动完成用户认证登录工作,由MAC地址库完成对用户MAC老化周期的控制。对于区分接入AC和专用AC的组网结构,用户每次数据请求中不含有MAC地址,专用AC需要从收到的DHCPRelay报文中解析用户的MAC地址,完成无感知认证工作。
在Portal侧部署微信、易信服务器,基于微信、易信扫码,借用微信、易信公众平台完成与终端用户的交互,由微信、易信服务器代用户发起认证,实现用户上网的快速登录。
表1 WLAN热点部署方案比较
将移动式WLAN热点下的认证融合至已有的手机APP上,用户在安装APP时完成账号绑定工作,由AAA服务器向APP下发包含密钥参数的令牌。客户端根据令牌运算每分钟产生一个不可预测的动态口令,自动向AAA服务器发起认证,实现用户快速登录。
5 总结与展望
智慧城市建设中,基于WLAN的信息消费在全方位地拓展人们的工作、生活等领域的同时,也带来了一定的风险。一方面是由于WLAN热点部署不均衡带来的“双重城市”效应;另一方面是高度组织的社会化生活带来的个人自由、个人隐私的威胁。移动式智慧城市WLAN热点部署方案扩充了热点部署的广度,进一步缩小了城市内的数字鸿沟,集约化的组网结构便于政府引导有资质的企业对WLAN进行商业化的运作,消除小微企业部署公共热点带来的信息监管缺失、网络安全等问题,避免用户在享受智慧城市带来的选择多样性和便捷性的同时,以私密信息泄露为代价。
[1] 张望,卢超.无线城市中的 “双重城市”现象解析[J].规划师,2012,(B03):96-99.
[2]H3C.WLAN运营商解决方案[EB/OL].http://www.c114.net/topic/3555/a710503.html,2012.
[3] 顿文涛,赵玉成,王力斌.车联网的关键技术及研究进展[J].农业网络信息,2015,(8):46-50.