高校無線局域網接入可控性研究和應用

中國電信股份有限公司鎮江分公司 網絡操作維護中心 李華亮 魏 斌

高校無線局域網接入可控性研究和應用

中國電信股份有限公司鎮江分公司 網絡操作維護中心 李華亮 魏 斌

由于WLAN（無線局域網）簡單開放的特點，安全穩定性和接入可控性成為其在高校等市場推廣的瓶頸。以“WiFi隨心連”軟件為切入點，研究高校WLAN接入控制可行性，提出幾套解決方案并在現網部署應用，同時探索基于SDN（軟件定義網絡）架構的高校WLAN組網方案。

信息化； 無線局域網； 接入控制； 軟件定義網絡

近期網絡上流行一款“WiF隨心連”軟件，用戶使用該軟件通過電信WLAN（無線局域網）熱點接入，使用異網或非學子E行賬號免費使用電信WLAN，繞過電信賬號限制策略，在校方禁止學生上網時間仍然可以使用WLAN上網，嚴重影響學校的正常教學和管理工作，同時該軟件在學生中大量使用后，導致電信WLAN和寬帶業務流失，對校園無線和寬帶業務經營產生沖擊，如何對WLAN接入用戶進行有效管理和控制成為迫切需要解決的問題。

1 “WiFi隨心連”軟件介紹

“WiFi隨心連”是一款提供免費WLAN賬號和流量卡的應用軟件，使用“WiFi隨心連”兌換的賬號可在智能手機、iPad、PC（個人計算機）筆記本上連接電信或移動的AP（接入點）熱點無線上網，具有網絡交易、資費低、無組別和接入限制的特點，繞過運營商的業務銷售渠道和接入控制管理平臺，將運營商WLAN無線網絡管道化、透明化。

軟件工作原理和影響：

“WiFi隨心連”軟件實際是一個全國性質的WLAN賬號交易平臺，軟件開發者在各省市低價收購WLAN賬號和WLAN流量卡，通過“WiFi隨心連”軟件進行二次銷售。該軟件支持多種終端、多運營商賬號接入，且資費低于校園營業廳，帶來三大問題： 一是網絡交易繞過電信校園營業實體店，銷售異網和異地賬號，搶占本地校園市場； 二是異網和異地賬號大量使用，打破了電信原有的校園WLAN無線熱點覆蓋優勢，電信無線網絡被管道化和透明化； 三是原來基于賬號組別的接入控制策略對異網和異地賬號不生效，WLAN接入用戶不可控，運營風險系數增加。

2 WLAN接入可控性研究

2.1 WLAN接入可控的必要性和意義

隨著高校信息化發展，校園成為各大運營商爭奪的主要市場之一，市場競爭激烈，如何發揮電信固網和WLAN優勢，搶占用戶，提高業務收入成為關鍵。通過WLAN接入可控，實現用戶細分、接入靈活管理、既可以滿足校方管理要求，同時還可有效控制接入用戶、限制異網和異地賬號、精確管理用戶，有針對地進行學生營銷和流量經營，對校園寬帶和無線業務推廣和發展有重要意義。

2.2 WLAN接入控制可行性分析

校園WLAN接入網一般采用交換網絡結構，核心交換機與各運營商和校園信息中心對接，業界主流采用廋AP組網方案，典型的組網拓撲見圖1。

圖1 典型校園WLAN組網拓撲圖

2.2.1 接入控制方案一（AC集中控制）

AC（接入控制器）根據AP接入標識，創建特定用戶組別，配置并引用控制策略，控制AP接入業務。· 軟硬件需求： AC需要安裝軟件防火墻，并購買licese；· 方案優點： AC一點控制；當AP數量較少時，業務部署快速便捷；

· 方案缺點： AC需要安裝軟件防火墻（增加額外成本）；因AC單臺承載用戶數有限，AC數量較多，當用戶組別較多、AP分散在各臺AC，策略部署較為混亂；增加AC負擔，影響AC工作性能，且部分個性化需求無法實現。

2.2.2 接入控制方案二（AC加BRAS控制）

AC根據AP接入標識，創建特定用戶組別封裝VLAN（虛擬專用網）上送BRAS（寬帶接入服務器），BRAS根據AC接口和AP封裝VLAN，配置并引用控制策略，控制AP接入業務。

· 軟硬件需求： 無；

· 方案優點： 無需增加額外設備和成本，BRAS統一配置和部署控制策略，適用于大規模業務配置和管理；

· 方案缺點： AC和BRAS多點配置和控制，相比AC集中控制較為復雜，且策略配置繁瑣，部分個性化需求無法實現，業務響應不及時。

綜上所述，兩個方案各有利弊，方案一（AC集中控制）適用于AP數量較少，策略單一的場景，方案二（AC加BRAS控制）適用于AP數量大，控制策略復雜的場景。現網應用時應根據具體業務需求和業務量，選擇合適的技術方案。

2.3 WLAN接入控制應用案例

某職業中專與電信合作建設校園無線網絡，校方出于對教學和管理需要，提出了幾點要求：

· 校方規定的禁止上網時段（如上課時間），電信和異網、異地賬號均不得通過電信WLAN熱點上網；

· 非校方授權的運營商和異地賬號不得在校園內使用；

· 接入賬號可溯源，可靈活控制和管理。

分析業務需求： 學校共計32個WLAN熱點，分布在教學區和食堂各點，接入控制需求較為復雜，適合采用方案二（AC 加BRAS控制）方式，具體部署策略見圖2。

圖2 某職中WLAN接入控制方案

AC對教學區和食堂接入AP進行業務標識，創建特定組，封裝VLAN，上送BRAS，由BRAS完成用戶接入、控制、數據采集和策略應用，實現多點接入、一點控制，部署思路清晰、高效、無需額外增加成本，可滿足校方要求。

3 SDN技術引入

傳統IP網絡組網方案，存在硬件資源固化、運維管理繁瑣、接入控制管理復雜且存在局限性、業務響應不及時、網絡擴展性和彈性不足等問題。SDN（軟件定義網絡）技術將網絡設備控制面與數據面分離開來，降低投資成本，提高網絡部署的靈活性，提升網絡的軟件化程度和可編程能力，實現對業務的高效靈活控制，逐漸成為行業應用的熱點技術。

3.1 SDN技術特性

· 網絡資源虛擬化： 支持邏輯網絡與物理網絡分離，邏輯網絡可根據業務需要配置和遷移，不受物理位置的限制。

· 網絡控制集中化： 支持網絡資源的集中控制，可進行全局優化，比如流量工程、負載分擔、安全控制等； 支持整個網絡當一臺設備進行維護，設備零配置即插即用、大大降低運維成本。

· 網絡能力開放化： 應用和網絡無縫集成，應用直接向網絡提出能力要求，比如帶寬、延遲、安全、接入控制、路由成本等； 控制軟件可編程，可通過軟件編程方式滿足客戶定制化需求，實現快速靈活業務提供。

3.2 SDN技術對校園WLAN接入控制

校園網絡設備型號眾多、分布分散、用戶流動性大、客戶需求靈活多變，傳統維護模式已經難以適應快速變化的業務發展需求，SDN技術網絡與控制相分離、軟件可編程的特點，為校園WLAN接入控制提供了一種靈活高效的解決思路。基于SDN架構的WLAN組網方案見圖3。

圖3 基于SDN架構的WLAN組網方案

在AP和各層次設備中植入OpenFlow協議支持模塊，使得SDN控制器可以通過相關協議對AP和各層次設備進行控制和管理。SDN控制器通過向下接口實現對數據轉發層的AP和各層次設備的控制，解析AP和交換機的行為進行管理。上層應用開發人員可通過SDN的向上接口添加新的功能應用或策略模塊。數據庫從底層采集各項數據信息，業務邏輯模塊負責對各種數據的處理和管理。

基于SDN架構的WLAN組網模式下，所有接入控制和應用策略，只需要在SDN控制器上進行開發編程，集中部署策略，通過SDN交換機向各層次網元設備批量下發策略即可。操作簡單靈活、部署效率高、數據采集精確快捷、業務管理方便、用戶需求響應快，未來必將成為有線和無線網絡的主流組網方案。

4 結束語

WLAN作為一種低成本、高帶寬的無線接入技術，在各大高校內規模部署和廣泛應用。另一方面，高校作為教學主體，對WLAN接入控制和用戶管理相比公共網絡更為嚴格，如何協調業務發展和學校管理，實現校企雙贏是關鍵點。

本文結合某職中WLAN接入控制要求，分析校園WLAN組網特點，根據校方要求，提出AC單獨控制和AC加BRAS兩套解決方案，旨在滿足校方教學管理的前提下，部署有利于校園寬帶業務經營的接入控制策略。研究時下熱門的SDN控制技術，探討基于SDN架構的校園WLAN組網模式，希望對校園寬帶網絡建設、管理和寬帶業務發展起正向作用。