移動式智慧城市WLAN熱點部署方案研究

曹 捷，沈 毅，趙彥杰/Cao Jie，Shen Yi，Zhao Yanjie

（中國電信股份有限公司上海分公司 上海200120）

1 引言

隨著信息技術的發展，人們的生活方式正發生著深刻的變化，人們變得更善于利用各種有線、無線的途徑與他人交流，獲得信息與資源，智慧城市的概念應運而生。WLAN（Wireless Local Area Networks，無線局域網）作為“最后一公里”的網絡接入手段，具有便捷、高效、可靠等優點。隨著智能終端的普及，WLAN無線熱點部署已成為智慧城市建設的重要組成部分。

目前WLAN熱點部署的方式還存在一些問題，造成了“雙重城市[1]”等負面空間效應。在城市中，重要的區位通過大量覆蓋已滿足高速互聯網接入，但城市內部存在大量不能聯網的信息貧困區，同時，大量無管制的熱點也為用戶接入帶來了安全隱患。

本文在分析現有固定式熱點部署方式的基礎上，給出了一種移動式的WLAN熱點部署方案。該方案已在上海某路公交車上完成試點，通過便攜式的安裝、集中式的管控和個性化的展現，實現WLAN熱點的更廣覆蓋，為完善智慧城市WLAN熱點部署提供一種新的思路和方向。

2 移動式WLAN熱點部署基礎方案設計

智慧城市最終服務的是城市居民，因此“人”才是智慧的關鍵，熱點的部署也應隨人動，有人聚集的地方就該有熱點，就該有“智慧”，因此，設計一種移動式的WLAN熱點部署方案，通過WLAN熱點在公交車、出租車等公共交通工具上的部署，完善WLAN熱點覆蓋，為城市的均衡發展貢獻力量。

有別于個人家庭熱點部署，WLAN公共熱點部署具有身份認證和集約化運營管理的特點[2]，有胖AP （Access Point，接入點） 和瘦 AP+AC（Access Controller，接入控制器）兩種部署方式。本方案將3G/LTE網絡作為移動數據的承載通道，將AC引入移動式WLAN熱點部署方案中，同時，通過DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）+Portal的方式實現無線用戶的身份認證，用戶上網可以滿足公安部無線上網的溯源要求。

移動式 WLAN熱點部署方案 （基礎架構）如圖1所示，方案基于瘦AP+AC架構，網絡中所有的AP由AC統一控制，AC負責無線網絡的接入控制、轉發和統計、AP的配置監控、漫游管理、AP的網管代理、安全控制等。瘦AP+AC架構中，AP的功能較單一，為“零配置”，AP開機后自動發現并接入AC，為了便于開通及后期運營管理需要，可通過軟件或硬件方式配置AC分配器。AP通電撥號后，首先與AC分配器交互獲取需注冊的AC地址。AP接入AC后，由AC向AP下發配置文件，AP-AC間采用CAPWAP（Controland Provisioning ofWireless Access Points Protocol Specification，無線接入點的控制和配置協議）隧道。AC接入交換機啟用三層路由功能，對于業務VLAN，AC接入交換機啟用二層功能。通過AC和AC接入交換機將用戶流量送回至AC上聯 BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）。AC的公網地址由上聯BRAS分配，以確保遵循流量的同進同出原則。用戶地址由BRAS分配，在用戶上網前通過DHCP+Web方式由RADIUS（Remote Authentication Dial in User Service，遠程用戶撥號認證系統）系統進行身份驗證。用戶的認證點在BRAS，由BRAS完成Portal展現重定向及向RADIUS發起鑒權等工作。

在安裝實施階段，裝維人員通過掃描AP二維碼，將AP設備的型號、序列號等信息送至資源系統，完成AC分配器的信息錄入，獲取注冊AC地址及關聯BRAS的相關信息，完成場點創建。AP完成至AC注冊，能正常將用戶請求送至關聯BRAS。在現場進行Portal頁面彈出及認證測試。基礎架構確保AP在通電后通過LTE撥號獲取公網地址，并完成AP-AC間的注冊上線工作，目前，基于基礎架構的移動式WLAN熱點部署方案已完成裝車和試點測試，如圖2所示。但基礎架構還存在一些缺點：為了AP能夠正常完成AC注冊，需要為AC分配公網地址，存在一定的安全隱患；由大網BRAS為用戶分配公網地址，考慮到公網地址的緊缺和車載用戶的密集分布，應為用戶分配私網地址，通過NAT網關為用戶提供公網服務。

圖1 移動式WLAN熱點部署方案（基礎架構）

圖2 移動式WLAN熱點裝車效果

3 可運營的移動式WLAN熱點部署方案設計與實現（融合架構）

融合架構將BRAS設備與AC設備合設，通過AC終結用戶流量，同時增加CGN（Carrier-Grade NAT，運營商級NAT網關）設備，為終端用戶提供地址映射服務。如圖3所示，為確保AC設備安全并為后期個性化運營服務，使用VPDN（Virtual Private Dial-up Networks，虛擬專用撥號網）業務承載AP-AC隧道。

①PGW（PDN GateWay，PDN 網關分配）設備作為 LAC （L2TP Access Concentrator，L2TP 訪問集中器），與 LNS（L2TP Network Server，L2TP 網絡服務器）設備通過L2TP兩層隧道互通。車載AP通電并發起 PPP（Point to Point Protocol，點對點協議）撥號，使用特殊的APN（Access Point Name，接入點名稱）至PGW，PGW向LNS發起建立L2TP隧道，傳送用戶名、密碼、認證方式等信息，LNS發起認證通過請求，車載AP與LNS完成PPP連接，AP的IP地址由LNS設備統一分配。

②LNS設備與融合AC可兩層或三層互通，AP可以通過組播、在LNS側配置DNS域名解析服務器、靜態配置和與AC分配器交互等方式獲取融合AC地址。AP通過CAPWAP隧道向AC發起注冊請求。

③用戶網關設在融合AC設備上。用戶關聯SSID后，AP將用戶的DHCP報文封裝在CAPWAP隧道中，當DHCP交互報文送至AC后，由AC解CAPWAP隧道封裝，并為用戶分配私網地址。

④用戶訪問任意網址，觸發AC發起重定向請求至Portal平臺。Portal為用戶展現登錄頁面，通過短信方式， 為用戶在 AAA（Authentication、Authorization、Accounting，認證、授權、計費系統）開通賬號。用戶點擊“登錄”按鈕，由Portal→AC→AAA發起認證請求，認證通過后，AC放通用戶上網業務請求。由CGN設備為用戶請求提供地址映射服務。

圖3 移動式WLAN熱點部署方案（融合架構）

⑤CGN設備為用戶的私網地址新建映射，同時通過Syslog協議將映射信息報文發送至Syslog系統，此映射關系為用戶級映射模式。AAA可通過查詢Syslog系統獲取用戶公網IP、端口與私網地址的對應關系，與賬號信息整合后對外提供溯源接口。

⑥在安裝實施階段，裝維人員通過掃描AP二維碼，將AP設備型號、序列號等信息送至資源中心，完成至AC分配器的信息錄入。信息錄入后，AP獲取注冊AC地址，完成至AC注冊，能夠正常將用戶請求送至CGN設備。裝維人員在現場進行Portal頁面彈出及認證測試。

各方案優/缺點見表1，基礎架構由于是在原有固定式WLAN基礎上進行的移動網絡承載疊加，因此較融合架構具備更低的實現成本，但融合架構引入的融合型AC、NAT44網關設備，能夠更好地進行商業運營。

4 基于移動式WLAN熱點部署的應用及運營方式設計

隨著Wi-Fi快速成為新的移動互聯網入口，Wi-Fi在公共場所作為固定網絡延伸帶來接入價值的同時，商業價值也變得越來越重要，移動式WLAN熱點部署方案非常適合集約運營，可以在以下幾個方面挖掘移動熱點的商業價值。

（1）個性化頁面展現

由于AP通過CAPWAP隧道完成與AC互通，同時AP管理地址通過LNS分配，將移動熱點部署納入統一的行業Wi-Fi管理系統，電信管理員為行業用戶（如某路公交線路）分配特定的IP地址池或關聯特定標識信息。無線用戶關聯SSID后，Portal服務器根據重定向請求中的用戶地址池或特定標識，識別用戶群組信息，為用戶展現個性化頁面。

行業管理員（如某路公交系統）通過自服務模塊，以SSO（Single Sign On，單點登錄）方式登錄WLAN行業管理系統，編輯自身的個性化頁面，在協議框架內為連接的用戶設置無線屬性，如接入帶寬、單次上網時長等；通過網管模塊查看所屬名下AP的運行情況；由后臺管理模塊進行行業用戶身份管理并提供統計報表功能；在底層通過Web Service、FTP等接口與 Portal、AAA及AC網管系統對接。

（2）與車聯網[3]技術結合

對于移動式車載AP設備，在融合AC設備的管控下，完成注冊、上線。AP實際上成為一種安全的車輛傳感器設備（AP配置GPS模塊）。SplitMAC模式下，AP相關管理報文（包括GPS模塊的位置等信息）通過CAPWAP封裝送至融合AC設備。融合AC可以實時獲得車輛的位置信息，通過與WLAN Portal平臺的實時交互，在認證成功后，為用戶推送實時信息，如車輛到站時間預期、車輛周邊商業信息、天氣等。

（3）各類快捷認證方案拓展

由于融合AC設備可以在用戶每次數據請求中獲取用戶的MAC地址，因此可基于MAC為用戶省去輸入手機號、密碼的步驟。為避免用戶惡意篡改重定向URL而導致MAC地址偽造等安全問題，對于融合架構的移動式WLAN熱點部署方案，可以在用戶首次上網重定向時，由融合AC先查詢MAC地址庫，無相關記錄時，重定向至Portal頁面，由用戶通過短信等方式完成首次登錄，登錄中可人工選擇是否需要無感知登錄。簽約無感知登錄的用戶在后續上網時，可由融合AC查詢MAC地址庫后，直接向行業AAA發起認證鑒權請求，由系統自動完成用戶認證登錄工作，由MAC地址庫完成對用戶MAC老化周期的控制。對于區分接入AC和專用AC的組網結構，用戶每次數據請求中不含有MAC地址，專用AC需要從收到的DHCPRelay報文中解析用戶的MAC地址，完成無感知認證工作。

在Portal側部署微信、易信服務器，基于微信、易信掃碼，借用微信、易信公眾平臺完成與終端用戶的交互，由微信、易信服務器代用戶發起認證，實現用戶上網的快速登錄。

表1 WLAN熱點部署方案比較

將移動式WLAN熱點下的認證融合至已有的手機APP上，用戶在安裝APP時完成賬號綁定工作，由AAA服務器向APP下發包含密鑰參數的令牌。客戶端根據令牌運算每分鐘產生一個不可預測的動態口令，自動向AAA服務器發起認證，實現用戶快速登錄。

5 總結與展望

智慧城市建設中，基于WLAN的信息消費在全方位地拓展人們的工作、生活等領域的同時，也帶來了一定的風險。一方面是由于WLAN熱點部署不均衡帶來的“雙重城市”效應；另一方面是高度組織的社會化生活帶來的個人自由、個人隱私的威脅。移動式智慧城市WLAN熱點部署方案擴充了熱點部署的廣度，進一步縮小了城市內的數字鴻溝，集約化的組網結構便于政府引導有資質的企業對WLAN進行商業化的運作，消除小微企業部署公共熱點帶來的信息監管缺失、網絡安全等問題，避免用戶在享受智慧城市帶來的選擇多樣性和便捷性的同時，以私密信息泄露為代價。

[1] 張望，盧超.無線城市中的 “雙重城市”現象解析[J].規劃師,2012,(B03):96-99.

[2]H3C.WLAN運營商解決方案[EB/OL].http://www.c114.net/topic/3555/a710503.html,2012.

[3] 頓文濤，趙玉成，王力斌.車聯網的關鍵技術及研究進展[J].農業網絡信息,2015,(8):46-50.