文/赵宇

随着移动设备的日益增加，校园网用户对于无线网络的需求越来愈大。因此原本起着拾遗补缺或者锦上添花的校园无线网络变得日益重要起来。如何构架一个好的无线校园网，成为必须，本文据此提出了一个建设校园无线网络的新模型。

校园网的构架在几年前还是以有线网络为主、无线为辅的局面，但是随着移动产品的普及，特别是平板电脑和智能手机的广泛使用，使得无线网络不再是有线网络的辅助或者有力补充，相反在学生宿舍等特定的场景有线网络接入需求已经大幅降低，无线网络已经成为了提供网络服务的主要力量。因此建立好一个让校园网用户满意的无线网络成为了网络的重中之重。

传统无线网架构现存问题

图1是一个拓扑非常简单的校园无线网络部署模型。

图1 校园无线网络部署模型

在该简略的拓扑结构中，其中Switch A 代表着校园网骨干网OSPF的area 0中的一台核心设备，Switch B代表着校园网中的一台楼宇汇聚设备，而Switch C则代表着无线网络独享的汇聚设备。这个汇聚主要负责接入控制器AC以及DHCP服务器。

而目前校园网的无线网络通常的模式是采用便于集中管理的FIT AP的方式进行建设，然后用户通过认证进而访问网络。在这个模式有AP也要有AC，同时还需要DHCP服务器进行配合用于分配无线用户的接入IP地址。

值得注意的是，随着无线网络的不断扩建、升级造成了无线网络设备的品牌难以保持一致。因此也就意味着当需要控制器AC负责接入、管理的FIT AP出现其他品牌的时候，AC是无法为异种品牌AP提供接入和进行控制管理的情况，这样就造成了以下几个问题：

首先是认证问题。在无线接入不单独成网，AC做认证的情况下，当用户在不同的FIT AP下进行接入访问时，需要由不同的控制器AC进行认证处理，使得用户使用方式上出现不一致。因此迫使用户去关心负责接入自己无线设备的AP是哪个品牌，用什么方式进行登录这是一个很糟糕的做法，这样会造成用户很差的体验感。

当然也可以让控制器AC通过将认证交与第三方进行认证进行弥补。尽管很多AC都有公共的接口供大家利用，但还是会有很多接口上的非标需要进行处理，甚至要去定制开发接口程序，从而增加了更多的故障点，造成了管理复杂度的大幅提升。

其次是用户漫游问题。无论是多品牌的控制器AC认证，还是第三方认证，对于一个楼宇内混杂多种品牌AP是无法做到的，即当用户连接甲品牌AP后需要进行认证，而漫游到乙品牌的AP上时除了会中断用户的连接外，还需要进行重新认证。反复进行相同的认证同样会造成用户体验感不佳。

解决策略

为此，笔者通过对传统基于OSPF的三层构架校园网拓扑及网关方式计费的模型进行修改，进而解决了上述问题，具体模型如图2所示。

图2 三层构架校园网修改后拓扑

图2拓扑和图1的拓扑最主要的区别在于汇聚Switch B与Switch C之间有新的链路存在来实现策略路由，这样的链路是依靠楼宇间的冗余光纤来完成的。因此在网络路由上也相应发生了变化：即Switch B和Switch C仍然采用OSPF和Switch A进行互联，但是Switch B上的10.5.0.0/24网段AP上用户的上网流量不会经过172.16.1.2与Switch A上172.16.1.1之间路由到达Switch A上，而是通过Switch B上172.12.1.2与Switch C上172.17.1.1之间的路由直接到达Switch C上，然后通过172.16.2.6与172.16.2.5之间的路由到达Switch A上。具体路由配置如下：

Switch B交换机的部分配置如下：

!以下是交换机Switch B中AP所在Vlan的配置

interface Vlan100

descriptionConnectToAP

ip address 10.5.0.1 255.255.255.0

ip policy route-map WIFI

!以下是交换机Switch B中关于OSPF配置

routerospf 1

router-id 172.16.0.2

log-adjacency-changes

redistribute static subnets

network 172.16.1.0 0.0.0.3 area 3

network 10.5.0.0 0.0.0.255 area 3

!以下是交换机Switch B中关于动态路由的配置

access-list 100 permit ip 10.5.0 0.0.0.255 any

route-map WIFI permit 10

matchip address 100

setip next-hop 172.17.1.1

交换机Switch C中的部分配置如下：

!以下是关于Switch C中关于OSPF的配置

routerospf 1

router-id 172.16.0.33

log-adjacency-changes

redistribute connected subnets

redistribute static subnets

network 172.17.0.0 0.0.0.3 area 33

network 172.17.0.4 0.0.0.3 area 33

network 172.17.254.0 0.0.0.255 area 33

!以下是关于Switch C中关于静态路由的配置

ip route 10.5.0.0 255.255.255.0 172.17.1.2

ip route 10.7.0.0 255.255.255.0 172.17.1.10

在配置过程中需要注意：

1.对于Switch B交换机OSPF配置时不要将AP所在的网络进行声明，也不要配置redistribute connected subnets，这样就保证无法将10.5.0.0/24这个网段从172.16.1.2这个端口进行发布。

2.利用ip policy route-map WiFi将Switch B上所有AP的下一跳路由指向Switch C以方便无线网络的逻辑独立。

3.在进行Switch C交换机OSFP配置时需要配置redistribute static subnets以保证Switch C上DHCP服务器分配给无线网络用户IP的路由能够通过OSPF进行发布，而redistribute connected subnets也能保证Switch B上AP的IP地址也能够通过Switch C上的OSPF进行发布。这对于管理很重要。

4.在Switch C上配置静态的回指路由非常重要。

在完成了上述工作之后，整个网络已经从拓扑上形成了逻辑上分离的无线网络和有线网络。当然，如果简单地这样改造网络也解决不了上面提到的诸多问题，其解决问题的关键在于：

修改控制器AC的设置，将原来负责AP接入、管理，无线网络用户接入、认证、流量转发功能进行修剪，取消了无线网络用户的认证功能。这也就意味着当一个用户无论连接任何AP进入无线网络之后，获得IP就可以访问网络，完全消除了因为AC不同造成的认证差异。

当然，如果仅仅是放开控制器AC对用户的认证工作，虽然解除了上面的矛盾，或者避免了增加的故障点，但是从安全角度上看是很有风险的。但是通过图2，大家可以发现：Switch C并不是像其他汇聚那样简简单单通过光纤跳线直接连接到骨干网上，而是在与核心网络进行相连双链路的中间串接了一个认证网关AAA 1，这个认证负责Switch C上路由到Switch A的用户进行认证工作而不对用户网络活动的时间或流量进行记录，同时认证网关AAA 1与出口的计费认证AAA进行联动，保证将用户的认证信息传递到AAA上，做到用户一次认证之后在访问校内资源的同时兼顾校外访问。这里需要说明，需要在Switch C上建立DNS（AAA 1免认证）或者将校园网的DNS设置成免认证资源以保证无线用户的访问。

该拓扑设计之初，在考虑到AP与控制器AC之间采用隧道技术进行通讯的情况下，并没有设计动态路由和增加Switch C与Switch B的链路，因此在实施过程中给AAA 1带来了双倍的流量，即用户通过AP与AC之间的隧道流量以及AC转发的用户访问网络的流量。虽然AAA 1只进行认证工作，但是无线网络用户日益增长的流量对于一个x86构架的网关来说还是尽量小一些为好。之后结合其他院校无线独立成网的经验增加了Switch C与Switch B之间的链路，并使用RIP进行路由调整，使得认证AAA 1的压力大为低，同时使网络流量更加清晰，虽然这样的构架在Switch C部署的时候需充分权衡其部署位置和与各汇聚之间光纤线路的空余数量这两个因素。

总之，通过上述模型的实践，在具体实施过程中，解决了本文上面提到的问题，取得了一定的效果。