智慧矿山中WLAN无感认证的设计与实现

2020-10-30冯文超

世界有色金属 2020年16期

冯文超

（兰州职业技术学院电子与信息工程系，甘肃兰州 730070）

随着时代的发展和技术的进步，有关矿山未来发展方向和实现方式不断被刷新。2020年“新冠”疫情的爆发稳固了矿产开发领域转型的主要途径—大数据，人工智能和云计算的应用。智慧矿山[1]的出现正引领着矿山企业向着绿色，安全，智能，高效的方向加速发展。为解决工矿企业各自动化设备在不同矿区WLAN之间出现的断线重连，跨区掉线以及跨区无法认证的问题，提出了基于无缝漫游的WLAN无感知认证方案。该方案对网络拓扑结构进行改造，在扩大的二层网络之上修改了DHCP地址租约策略，使得接入设备在跨区漫游过程中避免IP失效的问题，从而避免接入设备在不同控制器之间漫游出现断线情况，同时通过采用外部认证服务器的方式，保证接入设备一次认证跨区接入，最后使用无线网二层隔离和交换机端口隔离的方式避免可能出现的广播风暴问题。

1 基于无缝漫游的无感认证设计

1.1 WLAN漫游和WLAN无感认证问题

1.1.1 WLAN漫游问题

802.11标准中定义了3种移动类型：非移动型，BSS移动型[2]，ESS移动型[3]。从行为特点上，BSS型移动称之为漫游，而ESS型移动称为切换。漫游又可以分为链路层漫游和网络层漫游。矿区内存在一个使用WDS技术[4]中继的WLAN，当一辆矿车从该WLAN的一个AP切换到另外一个AP连接时，由于IP地址不会发生改变，而网络数据表实际转发的路由器却发生了改变，这种不切换网络的地址的漫游称之为链路层漫游。如果这个矿车从一个网络切换到另外一个网络，如果需要重新获取IP地址，这种漫游称之为网络层漫游。

1.1.2 WLAN无感认证问题

为了保证矿山企业的数据完全，矿区内所有的WLAN都需要对无线站点的接入进行认证和授权。然而当无线终端在一个WLAN中认证之后，该WLAN保存了用户的认证信息，如果无线终端在不同ESS之间漫游时，由于无法同步用户的认证导致网络断开，需要重新认证，这种情况是WLAN无感认证必须解决的问题。WLAN无感认证需要满足以下三个要素：①无线终端首次接入需要认证，但在之后的使用过程中无需重新认证；②系统必须提供无线终端的统一身份认证方式；③当无线终端发生漫游或者重连之后可以自动认证。

1.2 跨WLAN无感认证设计方案

图1 智慧矿山中新网络拓扑结构

在矿山无线网络中，无缝漫游的用户表现是终端的IP地址，MAC地址和身份ID信息在漫游过程中保持一致。由于MAC地址有网卡厂商统一分配，因此不会导致重复，身份ID是矿山企业为每个接入点分配的唯一身份认证，因此也可以避免重复情况。因此要实现用户在漫游过程中不更换IP地址，需要设计合理的组网方式，设计的网络拓扑结构如图1所示。

在上述网络拓扑结构中，如果无线终端进行BSS漫游，则可以采用802.11协议中的IAPP协议[5]。在实现漫游的基础上，由于web portal认证服务器处于AP控制器的上层，因此无论终端是否进行漫游，其认证信息都存在于web portal服务器之中，且在整个漫游过程中不会出现IP地址的切换，因此无需重新认证。为了避免网络规模的扩大导致的网络冲突，进而使得WLAN的网络利用率大幅降低。

由于网络规模的扩大，每个终端节点在发送网络数据包都需要发送广播报文获取信道参数，这种广播大量堆积会导致广播风暴[6]。为了避免这种情况的发生，本系统采用终端隔离，具体来说，在无线网中采用二层隔离的方式，在有线网中采用端口隔离的方式。

2 基于无缝漫游的无感认证的实现

2.1 无缝漫游的实现

在智慧矿山探索建设阶段，该矿区提供无线网络的主要设备为华为无线设备，在整个矿区部署约4320个AP，4台AC，两台web Portal服务器和一台RADIUS服务器。如图2所示，在通过部署两台AC为矿区的无线终端提供两个无线网络服务。

图2 无缝漫游组网方式

图3 漫游响应时间对比

通过上述操作，可以实现无线终端在两个AC之间实现漫游，通过验证无线终端在两个AC之间漫游断开的时间，可以验证本方案的正确性。测试结果如图3所示。

2.2 无感认证的实现

基于无缝漫游的无感认证实在无线漫游组网方式的基础上，采用串联web portal认证服务器的部署方式。

无感认证的模式需要满足：①在web portal服务器开启无感认证模块；②设置统一的认证界面；③web portal获取汇聚交换机的ARP表，将无线终端的IP和MAC地址进行绑定。通过给交换机的前4个端口开启隔离组，隔离着4个端口的广播包。无感认证的有线网络的端口配置过程如图4所示。

图4 有线网络的端口配置过程

通过上述所述的步骤，WLAN的无感知认证配置完成，无线终端通过访问页面进行准入身份登记，web portal服务器会根据登录时间记录登录终端的IP和MAC地址以及身份信息等，信息绑定之后，无线终端无论是在不同AC之间漫游还是断开重连，都可以实现无感认证。该设计测试并初步应用，通过无感认证的方式，较为明显的提高了无线终端接入效率。