瘦AP网管为无线校园覆盖铺路

文/常潘

瘦AP网管为无线校园覆盖铺路

文/常潘

华东师范大学已与三家运营商达成共识

随着广大用户对移动性要求的提高，无线网络因为其无需插线，设置简单，正在受到越来越多的青睐。华东师范大学无线覆盖范围不断扩大，并实施网络全免费方案。

华东师范大学无线网络使用瘦A P组网，AP可以自由布置，通过DNS的A记录或DHCP的Option 43实现AP自动发现无线网络控制器（Wireless LAN Controller，WLC），由控制器对AP进行统一的管理，用户端的地址和A P的地址可以在不同的网段，用户端的地址由控制器负责分配，用户的访问策略也由控制器负责实施，AP的IP地址由其所插的网络端口决定。

加强射频管理

无线信号在空间是自由传输方式，因此会互相干扰，为了使信号的干扰最小化，校方首先通过发文不允许下属各单位自行布置AP，一旦发现有非法的AP连接在可网管的交换机端口上，网管软件立即封闭相应的端口；如果无法确定AP所在的可网管交换机端口（很可能是校外设备，例如运营商的设备），则校方的AP将发送干扰信号对非法AP（Rogue AP）进行干扰，使其停止提供接入服务。

随着校方无线覆盖范围的扩大以及网络全免费的实施，校方就校园无线覆盖问题与运营商进行广泛沟通并达成如下的共识：学校鼓励运营商进入校园进行3G覆盖，运营商在铺设3G覆盖时，天馈必须采用吸顶天线，合路器部分必须为校方提供WLAN的接口，运营商管理的界面为信号合路器到天线的部分，无线网络设备由校方提供，为了解决运营商WLAN覆盖问题，校方在自己的A P上为中国移动、中国电信、中国联通都开设了相应的SSID，包括学校ECNU的SSID，每个AP上的SSID数目一般为4个。运营商的SSID在控制器上由专用的网络接口接入运营商的专线进行认证及计费，不需经过校园网传输，保证了网络完全隔离。

为了使布线规模尽可能小，校方在三家运营商之间协调，希望三家运营商使用统一的布线系统，最后达成的一致意见为网络实施由一个同时经过三个运营商认证的系统集成商负责，采用支持WLAN、TDSCDMA、WCDMA和CDMA2000的天馈系统及合路器，实施完毕以后，校内已经基本没有非法的AP，同时校方和运营商可以互惠互利，获得双赢。由于校方的AP都是采用瘦AP的方式，由无线控制器统一管理，自动进行频谱分配，AP间的干扰很小。

深入用户管理

用户认证管理

因为无线的使用群体较大，在校方主要包含了以下几种（不含运营商的用户群） ：

1.校内在册的教职工；

2.全日制的本专科生、研究生、博士生；

3.网络学院的学生；

4.进修教师、专业研究生、各种外聘人员；

5.其他临时人员（包括参加培训的中学校长、短期访问学者、参加会议人员）

其中1-2两种人员的原始信息在校方的应用系统的LDAP中，3中人员的信息主要在网络学院远程教学系统的Windows AD中，4-5这些人因不需要使用校方的应用系统，因此没有相应的电子版用户数据。

为了使1-5类人员能全部使用校内的无线及有线，校方开始建立认证中心，负责对校内所有系统提供用户统一的身份认证接口，而在认证中心的后端增加了几个到其他用户库的认证接口，其中一个接口是到LDAP认证。

第3种人员到网络学院的Windows AD进行认证。第4类用户虽然没有固定的身份库，但他们都有学校提供的校园卡，且都有自己的消费密码，认证中心便采用校园卡的消费密码作为这些人员的上网密码，用户名为卡号，通过拓展认证中心的接口，使之支持到后端的ODBC认证，让这部分用户直接进入一卡通的身份数据库进行认证。

对于第5类用户，由于这批用户滞留的时间较短，一般不办理校园卡，为了让这批用户能够使用网络，网络中心在应用系统中做了一个界面，让每一个第1类中的人员都可以申请临时账号，每人可同时申请10个，有效期为一个星期，数据直接存储在ODBC的数据库中，由认证中心到ODBC中进行认证，账号的安全性由申请人员负责，这样使每一个与学校相关的人员都可以使用校园网。

用户权限管理

为了给不同的用户不同种类的访问权限，在认证中心中对不同种类用户进行分组，第1-2类人员，登录无线后，可以访问校内所有的应用服务器以及外网。第3类用户登录后只能访问网络学院的教学系统以及图书馆资源，第4、5类用户登录成功后仅能访问外网以及校内受限的资源。

用户分布管理

在布设天线时，根据大楼设计时的CAD矢量图，将天线的位置标注在CAD矢量图上，然后在无线的网管系统中导入相应的矢量图，就可以得到用户具体位置，连接具体AP的详细信息，对于用户的定位和解决用户的上网故障都将有很大的帮助。根据用户所处位置的热图，我们还可以周期性对AP的接入用户进行统计，根据这些统计，可以调整一些AP的部署，对那些长时间没有用户连接的A P进行移位或者拆除，对一些用户比较饱和的区域，再适当增加一些AP。

数据传输的安全性管理

目前无线网的用户认证一般采用802.1X认证或者是Web Portal认证，802.1X认证相对比较安全，但由于其设置复杂，一般用户使用不太方便。 Web Portal认证因为其简单，不需要任何设置，往往被绝大部分无线服务提供者使用。为了给一些Web Portal用户提供增强的安全，我们将SSL VPN服务器在登录页面上做好链接，同时在无线控制器上允许VPN Server不需要Portal登录就可以访问，用户采用SSL VPN加密后，用户端和SSL VPN Server之间传输的内容就可以全部通过SSL加密传输，在空中传输的内容就不会被偷听（因为限于用户的并发数及性能，校方的SSL VPN仅允许第1、2类用户登录）。

IPv6支持

有些厂家的WLC已经可以支持IPv6的路由协议，这些WLC上的用户可以直接使用v6的协议进行身份认证及网络访问；有些WLC不支持IPv6协议，但是可以让IPv6的协议报文透明传输，这些WLC的配置就需要将三层接口配置于支持IPv6路由协议的三层交换机或者路由器上，以使IPv6的报文可以路由。

对于一部分完全不支持IPv6的WLC，如果需要在客户端支持IPv6的协议，需要将用户的网关配置于WLC上，然后在支持WLC的相应VLAN接口上外挂支持IPv6路由协议的交换机或者路由器（也可以借助上游的三层交换机），这样用户v4的IP报文通过WLC路由，v6地址通过外挂的交换机或路由器自动分配并路由，实现v4与v6同时访问，但此种方式的缺点是IPv6的地址无法做身份认证，用户不需要通过无线网络认证就可以通过IPv6访问相应的网络。

原有胖AP的融入

由于校内部分区域还有一些无法升级成瘦AP的胖AP，使用胖AP组网，通过使用专网或专用线路，将所有的AP最终汇聚到同一个认证网关之下，由网关进行用户身份认证。为了对这些AP进行统一的管理，通过部署MPLS VPN将所有的胖AP通过MPLS VPN汇聚后，连接到无线控制器的有线网口上，使这部分用户也通过控制器进行统一认证与管理，如果这些AP支持SNMP网管功能，还可以通过无线网管软件对这些AP进行统一网管，不仅可以查看用户的认证信息，还可以查看用户的位置信息（只能定位到具体的AP，不支持三角算法）。

亟需解决的问题及展望

目前很多高校为了提高无线的覆盖，在大楼内采用馈线的方式进行覆盖，这种覆盖会产生如下二个问题：

一是无线控制器无法动态确定A P的发射功率，有碍AP的蜂窝形成，造成AP间的相互干扰比较严重，而且容易形成覆盖空洞（Coverage Hole）。

二是采用馈线方式无法解决802.11协议中提及的隐藏终端问题，使得冲突的概率大幅度提高，影响整个无线网络的性能。

随着无线网络覆盖范围的扩大，性能的提升，校园的无线覆盖有望没有盲点，WLAN上的语音、流媒体等实时业务将给广大师生带来学习与生活上的各种便利，无线网络本身也必将会在广大用户的支持下获得更好的发展。

（作者单位为华东师范大学网络中心）

深信服签约马来西国民科技大学

上网行为管理方案显优势

本刊讯 日前，深信服科技驻马来西亚办事处的销售和技术人员通过分析国民科技大学的现状，结合深信服上网行为管理产品的特点，提出了针对性的解决方案。

深信服在马来西国民科技大学的主干网络出口处，以网桥模式部署上网行为管理方案，通过分析网络中的流量，制定一系列上网行为管理的措施，使马来西亚国民科技大学遇到的问题得到解决。