首都經濟貿易大學破解多品牌校園無線漫游難題

文/龐鐳

首都經濟貿易大學破解多品牌校園無線漫游難題

文/龐鐳

2016年初，首都經濟貿易大學建成了覆蓋花鄉、紅廟兩大校區，無線接入點超過1100個，無線用戶數量過萬的大規模復雜無線網。從網絡的擴展性和管理的便捷性來看，將大型校園網WLAN分成多個子網是好辦法，但是，首都經濟貿易大學的無線網現狀是：整個校園無線網部署多臺無線控制器，且無線控制器非單一品牌，無線客戶端根據所在物理位置不同分屬不同IP子網和VLAN，無線網采用統一的認證計費網關。當無線客戶端物理位置從一個樓宇移動至另一個樓宇，從一個控制器漫游到另一個控制器時，就會出現IP地址發生變化、反復多次登錄計費賬號的問題，給用戶使用帶來極大不便。

現狀及必要性

首都經濟貿易大學在校師生20000人左右，校本部由主校區、賽歐公寓園區、華僑學院園區三個部分組成，三個園區距離較近。目前，整個校園網基礎設施擁有兩個標準機房，交換機500多臺，無線網接入點（AP）1000多個，形成了以核心交換機為中心，各樓匯聚交換機為主干,各樓接入交換機為分支節點的校園網。

校園無線網的網絡拓撲圖如圖1所示，無線網核心交換機與校園網核心交換機、計費認證網關相連，專用的DHCP服務器為無線客戶端分配IP地址。當前，校園網無線接入點(AP)有兩種品牌，無線控制器（AC）兩種品牌。

無線用戶上網時，首先獲得由無線DHCP服務器分配到的IP地址，然后登錄計費認證系統，認證成功后，由統一的計費認證網關放行，從而可以訪問Internet，各個無線控制器不提供認證功能。無線接入點（AP）通過CAPWAP隧道與無線控制器（AC）進行通信。

改造前的策略

當無線客戶端從物理位置A移動到物理位置B時，客戶端在不同控制器下的不同AP間漫游，無線SSID對應的VLAN是不同子網，各個子網根據樓宇劃分。例如：學生公寓1號樓用戶獲得的IP地址所屬子網為10.10.0.0/24，學生公寓2號樓用戶獲得的IP地址所屬子網為10.10.1.0/24。

DHCP服務器配置

無線客戶端獲得的IP地址通過DHCP服務器分配，DHCP服務器按照校園樓宇配置多個作用域，每個樓宇分配16個C類IP地址供本樓宇內的客戶端使用。例如：賽歐一號樓的作用域是10.16.0.0，該樓宇的客戶端獲得的IP地址范圍為10.16.0.3-10.16.16.254。計費認證策略

圖1 校園無線網網絡拓撲圖

無線客戶端30分鐘之內沒有下行流量的情況下，認證計費系統會將客戶端進行離線處理，此時客戶端若使用校園無線網，則需要再次登錄計費賬號。

客戶端IP地址策略

客戶端在使用無線網絡前，會獲得由無線DHCP服務器分配到的IP地址，此IP地址的租期為2小時。

無線地址池和VLAN策略

校園無線網建設初期，為了方便管理，考慮擴展性，將無線網按照樓宇分為多個子網，每個控制器上的動態接口（Interfaces）都被分配不同的VLAN和IP地址。例如名稱為bonalou的接口，VLAN為915，IP地址為10.16.224.2。

隨著首都經濟貿易大學校園無線網規模的進一步擴大，無線信號覆蓋區域范圍擴大，校園無線網絡包含大量無線接入點（AP），單純使用一個無線控制器已經無法實現大量AP的控制管理工作。在很多情況下，校園網無線客戶端需要從一個樓宇移動到另一個樓宇，從一個控制器漫游到另一個控制器，就會出現IP地址分屬不同子網，需要再次登錄計費賬號的現象。

針對此現象，經測試后，將無線網配置策略做一定調整。目的是為了實現無線客戶端在校園園區內進行物理位置移動時，無線網絡不中斷，客戶端實現校園內AP間無縫漫游。

改造后的策略

客戶端IP地址段選取

客戶端IP地址由無線DHCP服務器負責分配，在校園網私有IP地址段中選取一個B類地址提供給無線客戶端使用，出于以下兩個方面考慮：

一是學校在校師生20000人左右，無線網在線用戶一般為10000人，每位師生最多允許兩個無線終端設備同時在線，共計需要20000個IP地址；

二是考慮校園無線網未來的發展需要，若當前選用半個B類地址,未來需要擴容至一個B類地址，需要對現有的計費認證系統策略、DHCP作用域、校園網無線核心交換機的路由等多個設備進行多方面的調整。因此，選用一個B類地址提供給無線客戶端使用。

DHCP服務器配置

新建作用域，分配一個B類地址供全校無線客戶端使用，DHCP客戶端的租用期限為2小時。停用原來各個樓宇的DHCP作用域。

當客戶端發起控制器間漫游操作時，涉及的兩個控制器能夠對比分配給它們各自WLAN接口的VLAN號。如果VLAN ID相同，那么無需進行任何特殊處理，客戶端將實現控制器間漫游，并且可以在新控制器上繼續使用原有的IP地址。

計費認證策略

校區、賽歐公寓園區、華僑學院園區在地理位置上距離較近，經實地測算，步行30分鐘時間內可以實現三個園區內的物理位置移動，因此計費流量的在線時間策略可不做任何調整。

無線核心交換機配置

新建VLAN951，命名Wireless_Vlan，具體配置如下：

這里helper-address就是DHCP服務器地址。

A品牌無線控制器

在AP Groups設置里，將WLANs選項中的Interface/Interface Group都映射到Vlan951所對應的Interface上。

B品牌無線控制器

將ap-group 全部映射到VLAN951中。

客戶端在不同控制器下的不同AP間漫游，SSID對應的VLAN是同一個子網，都是VLAN951所對應的子網10.10.0.0/16。此外，各個樓宇的匯聚交換機配置不用額外做任何調整，只需要正確配置option 43或者option 138命令即可。

接入交換機

跨控制器后，無線終端MAC地址上行端口發生變化，即無線終端所連接的AP不同。由于AP上聯的POE交換機上只可讀到所連接AP的MAC地址，不可看到無線終端的MAC地址。無線終端的MAC地址通過CAPWAP隧道，可以在在無線控制器讀到，因此，不會存在因POE交換機MAC表不更新而導致無線終端用戶跨控制器的過程中，出現連接中斷的現象。

DHCP服務器基于無線終端的MAC地址分配IP地址，一個MAC地址相應的獲得一個IP地址，租期為2小時；跨控制器后，無線終端MAC地址不發生變化，物理位置的改變只要控制在30分鐘內，那么該終端將一直占用最初獲得的IP地址，計費認證系統不關心該終端是否跨控制器，只要該IP地址30分鐘內有下行流量，則不會重新登錄計費系統，可保持一直在線狀態。

存在的問題及解決辦法

存在的問題

改造后的配置策略，選用一個B類地址，一個用戶VLAN，存在的弊端是無法避免廣播風暴和病毒的擴散。我們通過兩種方式來解決以上問題。

圖2 無線控制器CUP和內存使用率曲線圖

解決辦法

1. WLAN優化手段

在無線控制器上啟用無線用戶VLAN內的二層隔離功能。對于沒有二層互訪需求的網絡配置該功能，減少網絡攻擊和多播報文帶寬占用。啟用該功能后，核心交換機上無線VLAN下的所有客戶端無法實現相互訪問，從而減少廣播風暴。

2.無線控制器訪問控制列表

通過配置無線控制器訪問控制列表，起到防控病毒的作用。無線控制器上的訪問控制列表用于限制或允許無線客戶端訪問無線局域網內的服務。可以從兩個方面進行數據包過濾，一是作用于每個無線控制器上無線客戶端VLAN的入站和出站方向；二是在無線SSID的入站方向進行過濾。但是需要注意的是，訪問控制列表只能配置在動態的Interface上。進行如上操作后，訪問控制列表就會允許或者拒絕校園無線網中使用該動態Interface的數據流量，從而起到保護校園網安全的作用。

以上兩種解決辦法都在無線控制器上進行配置，不涉及接入和匯聚交換機，因此，不會給交換機增加負擔。同時，從無線控制器CUP和內存使用率曲線圖（圖2）來看，WLAN優化手段和無線控制器訪問控制列表的實施并未對無線控制器帶來較大負擔。

經過改造后的配置策略生效后，輔以控制器上的用戶二層隔離功能和訪問控制列表，校園網無線客戶端可以實現校區內物理位置移動，無線網不中斷，同時避免了多次登錄計費認證系統的麻煩，極大地方便了學校師生的上網行為，得到了廣大師生的一致肯定。

（責編：楊燕婷）

（作者單位為首都經濟貿易大學教育技術中心 ）