高校在校园WLAN覆盖的基础上引进运营商WLAN,可以转移部分用户至运营商网络,减少校园网出口的压力;高校通虽然可以实现各高校之间的跨校认证,但对于来自非高校的一些来宾仍然要提供Guest WLAN以实现无处不在的网络接入需求,而运营商的WLAN就能很好地满足这种需求,也省去了该校对自己建设的Guest WLAN的管理。
运营商如果自行部署高校内的WLAN,除了需要大量的硬件及线路投入,由于无线频谱的共享特性,运营商部署的AP还面临着同校方无线设备相互干扰的问题;如果运营商利用高校已有的无线设备增加自己的WLAN覆盖,提供一条WLAN用户的出口链路,则能避免以上问题,很容易地实现上千亩地域的校园WLAN覆盖。
统一无线网络架构
传统的无线局域网架构是以无线接入点(AP)为中心,AP提供802.11基本服务集(BSS)并充当该服务集的集线器,无线客户端通过与AP关联并到达网络的其他位置。在这种模式下,客户端直接和AP相连,由AP管理无线射频信道的使用并独立执行各种安全策略。当大范围的无线网络需要部署多个AP时,管理配置众多的AP不仅很困难,而且不能做到对各无线客户端的监控和服务质量保证。
在新型的无线网络架构中,将AP的绝大部分功能集中到一个中心设备,这个中心设备叫做无线网络控制器(WirelessLan Controller,WLC)。在中心架构下,信标和探针消息、RF发送和接收等由AP在802.11的MAC层同无线客户端交互,这种简化功能的AP通常被称为Fit AP或LAP(Lightweight AP)。而客户端的关联和漫游、对客户端的认证、授权、计费(AAA)则由WLC完成,控制器还能对射频资源进行统一管理,自动调节AP的发射功率、自动分配频段。LAP和WLC通过有线网络连接之后会基于此连接建立一条隧道,用于传输与IEEE802.11相关的消息和客户端数据,隧道将LAP和WLC之间的数据封装在IP分组中进行传输,因此可以跨交换或路由部署LAP和WLC,使用这种集中化的控制管理模式能全面了解无线网络状况,集中配置部署,降低运营、管理和维护成本。
能够实现校园内迅速部署运营商WLAN的前提是学校无线网络已经采用上述统一无线局域网架构,以下将基于这种架构来讲述具体的实现细节。
实现方案
在统一的无线局域网架构中,通常先将连接到WLC的多个LAP进行分组,然后对这些分组的LAP进行无线客户端VLAN、AAA和SSID的统一配置。对于某个特定的LAP或LAP组可以配置多个VLAN、AAA和SSID的组合。采用多SSID的方案,能够在现有校园WLAN的基础上与运营商WLAN共享硬件及射频资源,校园网和运营商分别配置各自的SSID,并使用不同的AAA策略。
图1是融合运营商WLAN之后的总体架构示意图。图中Controller和LAP通过有线相连,它们之间路由可达,构成了统一无线网络基础架构,虚线部分是为结合运营商WLAN所添加的改动。客户端数据通过Controller和LAP之间的隧道到达Controller,由Controller决定不同WLAN客户数据的最终去向。选择校园WLAN所对应SSID的用户流量去往校内认证服务器,在通过身份验证后经由防火墙去往Cernet;选择运营商SSID的WLAN用户流量从Controller直接去往ISP,由运营商完成用户的AAA和网络访问。不同的SSID所对应的不同数据流向,使校园网用户和运营商用户相互隔离,保证了双方的安全性。
对于校园WLAN,需要配置认证服务器、认证前的网络访问权限及认证后的网络访问权限、SSID和对应的客户端VLAN、802.11X或Web Portal的认证方式。因为运营商用户的数据从Controller流出后直接去往运营商的网络,运营商网络一般采用Portal方式在认证服务器上进行认证,所以校园网工程师不需要关心运营商用户认证的细节,只需要在WLC上开启运营商SSID用户的透明访问权限,为防止运营商用户认证通过后直接访问校园网,一般做法为在运营商用户的VLAN中去除接口地址即可,运营商用户的网关直接指向运营商相应的网关设备,这样运营商可以按流量对用户进行计费,同时也保证了校园网络的安全。
