IP網絡中WiFi終端管理的一種技術實現

[摘 要]當前對WiFi終端的接入管理一般是通過身份認證系統與網絡設備結合，以聯動的方式來實現終端的訪問、權限以及分類管理。這種管理方法由于生產廠商之間的技術壁壘，常要求網絡設備和身份認證系統統一品牌才能實現。本文通過對DHCP、HTTP標準協議的分析，旨在探索出一條通過標準技術實現WiFi終端接入管理的思路。

[關鍵詞]WiFi接入管理;終端接入管理;DHCP;HTTP;NAC

隨著802.11n標準草案的通過，WiFi進一步消除了和有線網絡之間的接入速率差距， WiFi技術的應用就成為各大運營商分流的一個好幫手。雖然WiFi擁有很多優點，但是WiFi終端類型的多樣性，則引申出終端接入管理的多種問題。近些年來業界主流的管理思想是通過用戶管理來實現終端管理，主要強調的是用戶身份的合法性和權限分配，即網絡接入訪問控制技術（NAC）。NAC的思想雖然能夠實現精細化的接入管理，但是這種管理方式通常是基于網絡設備與身份認證系統（或認證網關）之間的聯動功能，勢必要求身份認證系統下發的策略在無線控制器或者交換機能夠進行識別。換句話來說就是策略的管理端、執行端通常需要使用同一個生產廠商的產品。而處于建設和管理的發展角度考慮，網絡建設者常常不希望因為產品聯動功能而受到建設制約，這就要求身份管理、終端管理要依托于兩套相對獨立的技術實現。

一、實現原理

通過對DHCP、HTTP等標準化協議進行技術分析，我們發現不一定非要靠用戶身份的辨識來進行WiFi接入終端的管理：通過終端在進行DHCP交互、Web認證或者是HTTP交互時，也可以通過對交互報文的截獲、解析、識別來對接入終端進行分類，然后在無線設備管理平臺上對不同類型的接入終端進行訪問權限、QoS、轉發路徑等策略的部署。這種方式無線設備的生產廠商就可以實現，而不需要和身份認證系統或者交換機進行聯動或者對接。通過DHCP option進行終端管理的想法雖然在無線WiFi網絡的實際應用還不廣泛，但是該思路在運營商的IPTV業務中已經經過了較嚴謹的測試及成功部署的驗證。例如在中國電信內部發布的IPTV承載網絡DHCP接入技術規范（V2.2）中就如何通過標準的DHCP交互流程來實現IPTV機頂盒的接入控制和用戶認證應用。

從對DHCP option技術分析來看，雖然通過DHCP交互能夠分辨終端的基本類型，但是由于涉及到終端廠商自定義的內容，而且DHCP能夠攜帶的終端信息有限，因此我們還需要尋找另外一種攜帶更加豐富和細致的終端信息的標準技術，我們可以引入HTTP協議的UA字段來滿足這個需求。這種通過HTTP UA字段來進行無線終端的屬性收集及管理策略下發，在網絡設備廠商也已經獲得了一些成熟的應用。例如在思科的身份服務引擎（ISE）解決方案中，就有通過HTTP UA字段來識別無線接入終端的類型，然后通過認證系統的用戶類型和終端類型綁定來實現根據用戶下發管理策略。

從前面的技術分析可以看出，DHCP option所提供的終端信息較少，在最少的情況下只能看到基本的設備類型和操作系統類型，為了解決這個問題，在終端信息的識別過程中除了正則表達式的應用之外，還需要考慮如果同時存在DHCP和HTTP信息識別方式，而這兩者有矛盾時，如何進行最準確的識別。在這里將對比流程圖設計如下：

二、效益分析

由于將用戶身份認證和WiFi終端管理進行了分離，網絡的管理者在部署WiFi網絡時不再受限于身份認證系統、交換機和無線設備之間的聯動關系，而是將三者以一種松耦合的方式來進行聯系。這種松耦合關系能夠消除WiFi網絡建設時的廠商技術壁壘，網絡管理者在進行設備選型及采購時可以根據需要對身份認證系統、交換機、無線設備進行獨立的采購，保護投資。其次，當用戶通過智能手機、平板電腦長時間在線時，互聯網出口很可能出現帶寬不足或者某種終端占用了大量的帶寬的情況，但僅僅是擴展互聯網出口還是無法解決根本問題。那么通過本文介紹的方法，可以在管理系統上預先自定義策略模版，針對不同類型的接入終端通過路由策略下發可以實現分流出口，例如：智能手機通過電信出口接入互聯網;iPad平板電腦通過移動出口接入互聯網;筆記本電腦通過聯通出口接入互聯網。另外，在一些特定的環境下，某些網絡資源保密性要求比較高，只有特定的移動終端才能進行訪問，其它的WiFi接入終端是無法訪問的。這時光靠用戶身份認證顯然不能滿足要求，因此通過本文介紹的方法，可以識別特定的WiFi終端，滿足特定資源的保密訪問需求。最后，隨著在很多單位和企業，信息化建設的投入越來越大，定制化或者統一采購的WiFi終端管理成為一些單位和企業面臨的新問題，這部分資產是下發給用戶使用的，但是使用的情況以及資產審計是一個挑戰。通過本文介紹的方法，可以網絡管理者對接入WiFi終端進行信息的收集，在管理系統上呈現出來實現這部分資產管理和使用情況的審計。

總之，本文中介紹的通過DHCP和HTTP標準協議的應用能夠幫助網絡管理者在WiFi接入終端的管理上提供了一種更加精細化的思路。

參考文獻：

[1]（美）史蒂文斯（Stevens）.《TCP/IP詳解卷3》. "2011年6月.

[2]徐寶海.WiFi網絡工程優化方法研究.《電腦編程技巧與維護》. 2014年20期.

[3]毛文杰.淺論WiFi傳輸與接入技術的發展[J]. 《信息安全與技術》;2014年04期.

作者簡介：黃鴿（1982-1），男，湖南長沙人，湖南建筑高級技工學校，學工保衛科，講師，研究方向：計算機應用。