柳正旺

(齐鲁师范学院教务处，山东 济南 250013)

1 引言

近年来无线网络信息技术高速发展，无线网络在日常的教学生活中发挥着越来越重要的作用，为了提高教学水平，齐鲁师范学院跟随时代发展潮流建设了无线校园网络，但是随着学校办学规模的不断扩大和教学水平提高的需求，早期的校园网与中国移动的WLAN独立运行的网络状况不能使教师和学生更好地访问学校资源，为了提高校园网络的使用效率、改善和提升校园信息化水平，需要重新部署有线网络和无线网络，建设广覆盖、高速度、易管理、更安全的校园网络。

2 早期网络现状与分析

无线网建设之前，学校校园网的出口包括三条100M联通宽带和一条10M教育网，在用校园网用户数约2000人，全校学生人数总数为1.2万人，学生所用网络不在校园网之内。目前无线网络在办公和学生宿舍区域有中国移动的WLAN无线网络，但由于该无线网是与校园网完全隔离并独立运行的，网络上下行速度都非常慢，利用率很低，也无法让教职工和学生高速访问学校资源。因此需要重新部署有线网络和无线网络，有线部署的范围是所有学生宿舍，无线网络部署范围是所有学生宿舍楼和学校办公区域以及整个校园区域[1]。

3 建网目标

无线校园网的建设目标是实现高性能、高可靠性和安全的无线网络覆盖，确保各种校园网络应用能够在无线校园网络中顺利进行。同时实现校园范围内无线漫游，无盲区覆盖，能保证校园内网关键应用获得优先级较高的QOS保障，以改善和提升校园信息化水平，为学校的教学、科研、管理和服务提供支持。

4 总体方案设计

以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，要考虑到技术的先进性、成熟性，并采用模块化的设计方法。

我们把一个校园网划分为2个区域，一个区域是学生区域的有线网络和无线网络以及教职工的无线网络；另一个区域是原有的校园网。这两个区域之间10G高速互联，但独立运营，第一个区域由运营商运营和维护，第二个区域由学校网络管理中心管理和维护。在现有核心交换机H3C S7508E-X上增加无线控制器插卡，以实现对校园内所有AP的统一管理和策略集中控制，并且实现无线网络和有线网络之间的40Gbps互联带宽。

4.1 采用高性能的无线接入点

建议采用802.11ac协议标准，每个接入点采用双频技术，5GHz工作频段可以提供800Mbps以上的接入速率、2.4GHz工作频段可提供300Mbps以上接入速率，以满足访问校内资源、无线视频监控、校园视频广播等各种校园应用的需要。

针对室外区域，部署室外专用型802.11n无线接入点，满足对操场等开放区域的信号覆盖。

保证信号兼容性，满足支持802.11b/g/n和802.11a/n/ac无线终端的无线接入要求。

学生宿舍用户密度大，应保证无线上网的速度与稳定性。在宿舍内的任意角落，信号平均强度需要大于-65dB；每个宿舍带宽应该高于48M；每个用户的出口带宽不低于2M；符合消防规定及发射功率的有关规定。

4.2 提供高安全性和高稳定性

使用多功能企业级无线AP，提供2.4GHz和5.0GHz两种射频扫描和入侵检测防护功能，及时检测校园网中存在的非法AP，并可自动阻断，避免外来人员通过这些非法AP进入校园网。

增加硬件防火墙，实现与AC(无线控制器)联动功能，对每一个用户账号设置访问权限和带宽策略。通过扫描检测机制发现违规用户或者非法AP时，自动将其断网，从校园网络中隔离开来，以避免其对校园网络造成不良影响。提升无线网络与现有有线网络的整体效能，系统具备更强的稳定性。

4.3 方便使用和管理

采用基于用户身份的差异化策略控制和带宽管理功能，方便运维与管理。

在网络中部署有线无线一体化管理系统，在一张拓扑上直观展示有线、无线接入点的连接关系，便于故障定位和排错。同时，在此平台上支持开展定位业务，为智慧校园应用如校园导航、空闲教室查询、餐厅广告推送等业务提供基础支撑。

5 主要技术

5.1 WLAN-RIPT技术

在集中式的无线网络体系架构中，由AC(无线控制器)负责所有AP的集中管理和配置，能够实现AP的零配置，极大地方便了整个无线网络的管理与配置。AC作为无线局域网的核心设备承担着下属所有AP的数据和管理报文的转发与处理，保护好AC非常重要，它是整个无线网络的核心故障点，如果AC出现故障，其管理的下属所有AP将无法连接而全部失效，整个无线网络也就无法正常运行，不能继续对外提供服务，将造成整个无线网络的瘫痪[2]。解决这个问题可以利用一种技术：RIPT (Remote Intelligent Perceptive Technology，边缘智能感知技术)的解决方案。可以利用RIPT技术，如果AC出现故障或者AP与AC之间链路出现故障，导致AC与其管理的下属AP连接断开的情况下，AP能够继续的对外提供WLAN服务。

RIPT是针对集中式无线网络架构的，因此针对的是瘦AP(胖AP不在RIPT解决方案涉及范围内)。对于启动RIPT特性的瘦AP，我们称为RIPT-AP。根据RIPT-AP与AC的连接建立与否，提出了RIPT-AP的两种工作模式[3]：独立模式(Standalone mode)与连接模式(Connected Mode)，以及三种状态 AC-PROBE 、CONNECT、STANDALONE[4]。

RIPT工作的基本原理是，在连接模式(Connected Mode)下，AC与AP有承担不同的分工：AC负责所有的用户认证和集中转发任务[5]，AP负责本地转发任务；如果AP和AC连接断开，即进入独立模式，由AP负责所有用户认证和本地转发任务，不再集中转发；如果AP和AC连接恢复，切换回连接模式。

如图1所示，无线局域网典型拓扑情况如下：

图1 无线局域网场景拓扑

AC设备连接在有线网络的核心/汇聚交换设备上，作为无线网络的控制核心。AP(没有特殊说明的情况下AP均指瘦AP)通过有线网络接入交换机连接到局域网中，与AC建立CAPWAP隧道。DHCP server连接在核心/汇聚交换设备上。一般一个无线局域网只会配置一台DHCP服务器，统一管理AP和无线用户的IP地址。AAA server(认证服务器)连接在核心/汇聚交换设备上，进行无线网络用户的认证。WLAN由AC配置并下发到AP上。无线用户通过AP上发布的WLAN接入，通过认证后使用网络资源。WLAN的配置支持集中转发模式和本地转发模式。集中转发模式下，用户的数据流量由AC负责转发；本地转发模式下，用户数据由AP负责转发。不管集中转发还是本地转发，无线用户的关联接入、认证都由AC负责。由于AC负责所有AP上无线用户的关联接入、认证以及用户信息的管理，一旦AC故障或者AP与AC之间的链路发生故障导致AP与AC的CAPWAP隧道断开的话，将导致所有AP的在线用户下线，新的用户无法关联上线，整个无线网络全部瘫痪，无法对外提供服务。例如，校园网中部署在图书馆AP上，提供有本地转发模式的WLAN，接入的无线用户可以访问图书馆的网站和FTP服务器。用户的数据流量经AP直接转发，用户流量并不经过核心交换机和AC。在核心交换机或者AC故障时，AP与AC的连接断开，将导致该WLAN无法提供服务[6]。

在不采用AC热备份的情况下，对于上述场景的功能需求有：在AC不可达，如果发生AP与AC的CAPWAP隧道连接断开的情况，AP能够独立提供部分的无线网络功能，可以实现本地转发模式的无线网络在线用户不下线，用户数据流量不受影响等功能。在AC恢复后，AP能够重新与AC建立CAPWAP隧道，对外提供完整的无线网络服务。通过采用RIPT技术，可以在AC设备出现故障时，无线网络还能在一定程度上继续对外提供服务。同时RIPT技术不需要用户购置额外的设备，在提高了网络可用性的同时，又可以节省用户开销。

5.2 CAPWAP技术

无线接入点的控制和配置协议即CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification)，在瘦AP和无线控制器(AC)结合的技术方案中，所有下属的AP都由AC统一管理和控制。瘦AP方案应用得到普及后，AP需要各个厂商之间的兼容，AC可以控制和兼容不同厂商的AP。AC通过无线接入点的控制和配置协议来控制AP。其工作原理是：在集中转发模式下，STA的所有报文都由AP封装成CAPWAP协议报文后再由AC对该报文解封装后进行转发。如果采用本地转发模式，AP也是由AC通过CAPWAP报文进行控制。

目前CAPWAP协议功能的实现方式：在三层核心网络的传输模式下，所有的CAPWAP协议报文都被封装成UDP报文，将其在IP网路中传输。但CAPWAP隧道是由AC的接口IP地址和WTP的IP地址来管理和维护的，相当于无线控制器的loopback0地址以及AP的IP地址。如果无线控制器的loopback0地址与AP的IP地址之间路由正常可达，CAPWAP隧道就能运行正常。CAPWAP建立需要经历以下七个过程：AP通过DNS、DHCP、静态配置IP地址、广播等方式获取到AC的IP地址；AP发现AC；AP请求加入AC；AP自动升级；AP配置下发；配置确认；通过CAPWAP隧道转发数据。

5.3 RSR77准出认证

RSR77可以与SAM认证系统联动，在SAM服务器上配置RSR77作为出口设备后，SAM服务器将主动与其建立TCP连接，通过SAM联动私有协议，可以及时通告RSR77用户上下线信息。SAM通告给RSR77的联动信息主要包括：上下线状态、用户IP、用户所属的用户组。管理员需要预先在RSR77上配置用户组，当用户上线时，SAM会通告RSR77，RSR77将用户的IP添加到本地配置的用户组，下线时，SAM通知RSR77删除。RSR77上可以基于用户组配置选路策略和带宽控制策略。

用户认证过程如图2所示。

图2 用户认证过程

5.4 SUPER VLAN技术

Super VLAN的主要功能就是能够实现节约IP地址，隔离广播风暴，病毒攻击，控制端口二层互访。特别适用于大二层结构的环境，用户多，VLAN多，但是IP地址又是同一个网段，又要实现彼此之间二层隔离，个别VLAN之间又有互访的需求(需要对应的sub VLAN开启ARP代理)。Super VLan技术和Private VLAN隔离功能相比，Super VLAN属于三层功能，需要三层交换机支持，Private VLAN属于二层交换机支持的功能，Super VLAN的配置较为简单(如图2所示)，Private VLAN配置较为复杂，但对用户间的访问控制灵活性不如Private VLAN，Super VLAN内需要查询部分暂时离线的用户时，网关需要在每个子VLAN内广播发送报文，可能较大的消耗设备CPU资源。

图3 Super VLAN配置示意图

Super VLAN是一种专门优化IP地址的管理技术，通过Super VLAN可以划分VLAN。使用该技术可以将一个网段的IP分给不同的子VLAN(Sub VLAN)，所有Sub VLAN同属于一个Super VLAN。所以Super VLAN又称为VLAN聚合。每一个Sub VLAN共享的广播域，不同Sub VLAN 之间二层相互独立隔离。不同Sub VLAN 之间需要进行网络通信时，可使用Super VLAN 的虚接口的IP地址作为虚拟网关，多个VLAN可共享一个网关地址，简化了IP地址的使用。利用ARP代理功能，实现不同Sub VLAN 间的网络互通及Sub VLAN 与其他网络的互联互通。利用ARP代理功能，可以进行ARP请求和响应报文的转发与处理，从而实现了二层网络的隔离和三层网络的互通。

Sub VLAN的二层通信：如果Super VLAN没有配置SVI，Super VLAN内的各个Sub VLAN之间是二层隔离的，即Sub VLAN内的用户之间不能通信；如果Super VLAN配置了SVI，通过Super VLAN的网关作为ARP代理，同一Super VLAN内的Sub VLAN之间可以通信，因为这些Sub VLAN用户的IP是同一个网段，认为还是二层通信[7]。

Sub VLAN内的用户要跨网段进行三层网络通信时，其所属的Super VLAN的网关地址作为ARP代理，代替Sub VLAN回应相应的ARP请求。

Super VLAN和Sub VLAN的ARP代理功能默认是打开的。采用Super VLAN技术除了可以极大的节省IP地址资源以外，还能方便网络管理。

5.5 二代WEB认证技术

当客户希望对接入网络的各类终端，特别是移动终端的合法性进行校验，只允许提供正确的用户名、密码的用户才能使用网络，而又不想安装繁琐的各类认证软件的时候，就可以考虑部署web认证方案；或者是一些流动性比较大的场景，经常有外来访客的情况，没有办法安装认证端软件，只能采用IE浏览器进行校验的时候，也是可以推荐采用web认证方案；另外一些特别的终端，比如手机，平板电脑等无法安装认证端，而能采用IE浏览器进行认证的场景。

web认证的优势就是使用方便，快捷，免安装客户端软件，只需要采用任意的IE浏览器发起访问请求，重定向认证页面后提交身份验证通过后即可访问网络，特别适用于不方便安装SU客户端的情况。

web认证的劣势也比较多，需要购买eportal，radius认证的服务器，同时需要有交换机支持web认证功能(支持802.1x的交换机不一定支持web认证)[8]，并且web认证方案通常需要NAS交换机与eportal都是同一厂商的才能配合工作(主要是很多扩展功能都是通过私有协议交互，实现方案不一样)，否则NAS与eportal采用不同厂商的设备会存在兼容性问题，可能连基本的认证都不生效，所以客户如果需要部署web认证的话需要统一的设备，这样对客户原来的设备投资不利，需要更新设备。

二代WEB认证是一种基于网页的认证，不能被认证的用户，其HTTP报文首先都会被NAS截获，然后把交换机作为用户访问的站点，与用户建立TCP连接，通过HTTP重定向将预先设定好的用户认证页面推送给相应的用户，eportal服务器负责携带用户的认证信息，向radius服务器发认证请求信息，radius服务器根据比对返回认证成功或失败信息。如果认证成功，由web portal服务器向NAS设备通过SNMP下发IP和MAC或者IP的绑定信息，同时发记账开始信息到radius服务器开始记账，这样用户既可以在线认证，也不用安装认证客户端，达到方便用户使用的目的。Web认证的典型组网方式如图4所示。

图4 Web认证的典型组网方式

5.6 防代理盒子技术

针对高校宿舍区代理逃费问题推出了一套全新防代理方案，采用ASME+SAM联合，采用旁路部署方式，只需要将核心交换机上联口TX方向的流量镜像到ASME即可进行代理检测。

5.6.1 ASME&SAM工作流程

SAM将用户信息同步给ASME，包括用户上下线信息以及批量同步用户信息。ASM&SAM工作流程如图5所示，ASME根据用户信息，建立用户名与IP的对应关系；ASME对出口镜像流量做嗅探分析，基于源IP进行检测，锁定存在共享上网行为的用户；ASME将共享上网用户信息同步给SAM；SAM根据配置的防代理策略，对ASME通告的违例用户进行管理，管理手段包括告警、强制用户下线或者将用户加入黑名单等行为禁止用户继续使用网络资源。

图5 ASME&SAM工作流程

5.6.2 ASME特点

ASME特点具有旁路部署、不存在单点故障、对网络无影响，支持有线/无线接入方式下的802.1x/web/PPPOE等多种认证方式和破解难度大，误判率低<1%的三个特点。

5.6.3 ASME检测机制

ASME的违例用户定义，主要是基于用户接入的终端数量。终端类型细分为个人电脑(PC，包括台式机和笔记本)和移动终端(包括智能手机、pad)。ASME检测接入共享行为，是通过将用户流量匹配特征库来识别接入共享行为。每匹配一个特征，都会增加对应的权值，称为可疑度。可疑度越高，表明匹配到的特征越多，检测结果越可靠。通过调整可疑度阈值，可以调整检测的准确性：一般来说，提高可疑度阈值配置，会降低误检率，同时提高漏检率；降低可疑度阈值则相反。

6 小结

从管理用层面，校园网络要实现无线网络、学生宿舍有线网、教学办公网统一出口，需要按照预定策略保证出口带宽，从而保证教学、科研和管理等顺利开展。学生宿舍网及无线网应相对独立，与教学办公网互联，保证学生高速访问校内资源，改善和提升校园信息化水平，为学校的教学、科研、管理和服务提供支持，实现各类资源高效的访问。