漫游在基于CAPWAP 的WLAN 中的實施*

劉文林，喻金科，丁雪非，何 英

（南昌航空大學 現代教育技術與信息中心，江西 南昌330063）

1 概述

隨著移動應用的普及，人們的上網習慣發生了很大的變化，手機上網成為了主流。以我們學校為例，學生宿舍同時開通了有線的以太網和無線的WIFI，但WIFI 的流量大大超出以太網的流量。學校的學生宿舍規劃在幾個統一的片區內，在片區內相鄰宿舍樓的間距不到20米，相鄰樓之間的WIFI 覆蓋范圍相互重合，可以連成為一個大的覆蓋整個片區的WLAN。

在開始部署WLAN 的時候，并沒有考慮用戶WLAN內漫游的問題，并且限制每棟宿舍樓的用戶只能登錄本宿舍樓的WLAN。這樣當用戶離開自己宿舍樓的WLAN覆蓋范圍，即使處于附近宿舍樓的WLAN 覆蓋范圍，用戶也無法使用WIFI 了。隨著移動應用的普及，學生對無法在WLAN 片區內漫游的限制，意見越來越大。為滿足學生的要求，我們首先選擇了一個最小的片區（包含6 棟宿舍樓），實驗性地開通了WLAN 漫游服務。

2 WLAN 拓撲結構

圖1 片區WLAN 拓撲結構圖

WLAN 采用流行的Fit AP（瘦AP）+AC（Access Controller，訪問控制器）的集中式WLAN 架構。這種架構的優點是可以通過AC 對Fit AP 進行統一配置和管理，大大降低整個WLAN 的配置和管理強度。圖1 是片區的網絡拓撲結構圖。宿舍樓的每層安裝若干AP，AP 通過超5類線上聯到具備供電功能的PoE 交換機（位于宿舍樓弱電間內）。片區內所有PoE 交換機通過光纖再上聯到一臺AC 上（位于學校網絡中心）。AC 連接到網絡中心的核心交換機上，接入校園網。每個片區內的Fit AP 通過一臺AC 統一管理，都是華為的產品。

規范Fit AP 和AC 之間的交互行為的協議為無線接入點控制與規范CAPWAP（Control And Provisioning of Wireless Access Points）[1]。CAPWAP 有兩大功能：自動配置和隧道轉發。

自動配置是指AP 在上線的過程中可以自動發現AC 并從AC 上下載配置信息自動配置。這類似于DHCP客戶機通過DHCP 協議自動配置IP 地址等參數。通過自動配置功能，網絡管理員只需集中在AC 上實施有關網絡的相關配置，比如有關漫游的配置，就可以將配置下發到下游AP 上，從而應用到整個WLAN 上。這大大方便對AP 的集中管理和維護。本文所涉及WLAN 配置均在AC上完成。

隧道轉發是指連接到AP 上的用戶設備，又稱工作站（Station，簡寫為STA），可以和AC 建立一個加密的安全隧道，所有出口流量經由隧道發送到AC，然后通過AC集中轉發。這雖然會增加AC 的負荷，但可以大大提高通信的安全性。所以，學校的WLAN 都啟用了隧道轉發。

3 三層漫游的實施

對于華為的產品，默認配置下，WLAN 的漫游服務是開啟的，之所以漫游被禁止是認證策略的問題。WLAN 覆蓋范圍內的工作站無需密碼即可連接到附近的Fit AP上，但在上網之前必須通過一個認證網頁（Web Portal）進行認證，認證通過才能上網。這也就是目前流行的Web Portal 認證方式。每棟樓的網絡都規劃為一個獨立的VLAN（Virtual LAN，虛擬局域網）[3]，我們將用戶和他們所在樓的VLAN 進行了綁定。這樣一來，用戶只能在他所住的樓內上網，結果就是限制了WLAN 內的漫游。如果取消用戶和VLAN 的綁定，那么漫游服務就能正常運作了。

我們選擇了一個假期進行實驗，取消綁定限制，并進行了小規模的測試。測試的方式是這樣的：測試者手持手機在片區內一邊散步，一邊訪問網頁、在線點播視頻/音樂、打微信電話等。在這個過程中，測試者記錄是否有卡頓、掉線等異常情況。其中打微信電話是最能測試漫游服務質量的一項測試，因為打網絡電話時要求實時地保持在線連接，這意味這電話兩端設備的IP 地址在漫游中需一直保持不變。另外，在漫游的過程中，手機可能會切換到不同的AP 上。切換可能導致短暫的通訊中斷，這也是在測試過程中需要注意觀察的。經測試，使用微信電話的過程中有時會出現卡頓，但一般不會導致通話中斷，總的來說通話過程比較流暢。至于無需實時保持在線連接的應用，比如瀏覽普通網頁，基本上感覺不到卡頓。

我們也進行了簡單的定量測試。測試方法和前面的定性測試類似，差別是在測試者手機上運行ping，ping AC 的管理地址1000 次，統計網絡傳輸延遲和丟包率。每次記下平均傳輸延遲和丟包率，共測試5 次。我們發現在切換AP 時，會有幾個數據包傳輸延遲變大，從不足5ms增加到10ms 甚至更大，偶爾會出現掉包。這都可能導致最終的平均傳輸延遲和丟包率變大。表1 是測試結果。可以看出5 次測試的結果有所波動，但平均傳輸延遲均未超過10ms 這是相當不錯的。丟包率也沒有超過6‰。無論是現在的移動操作系統和移動APP 對網絡狀況不佳都有響應的應對和優化措施，測試結果是相當令人滿意的。由于測試是在WLAN 輕負荷下進行，測試結果僅供參考。

表1 三層漫游延遲和丟包率測試數據

測試結果表明，漫游服務已經成功開啟，而且質量也不錯，于是我們實驗性的開通了WLAN 漫游服務。但真正大規模試運行后不久整個片區的WLAN 出現了卡頓、掉線甚至無法上線的情況。我們登錄到AC 上檢查CPU占用率，發現CPU 占用率幾乎到了100%。通過ping 測試到的網絡傳輸延遲和掉包率急劇增大。在排除網絡攻擊、廣播風暴等可能的誘因后，確定是三層漫游服務巨大的三層處理開銷導致的。最初沒有開通漫游服務的一個原因就是廠家的工程師建議不要開通，因為我們購買的AC并非高端型號，大規模開通三層漫游服務力不從心。

4 二層漫游的實施

按照是否跨越IP 子網，WLAN 漫游分為三層漫游和二層漫游。二層漫游發生于同一個IP 子網內，而三層漫游跨越兩個不同的IP 子網。在常規的三層漫游的過程中，漫游者的家鄉代理需借助IP 隧道維持和漫游者的聯系，以便為漫游者中轉數據。IP 隧道的建立和維護，過程復雜、開銷巨大（詳細機制請參考[2]）。而二層漫游開銷不需要三層漫游的代理機制，依靠二層固有的MAC 地址表刷新機制即可實現，不涉及三層協議變動，可以說基本沒有額外開銷。于是，我們決定統一實施二層漫游。

首先，我們禁止了三層漫游，方法是在AC 上運行命令layer3-roam disable。其次，如果將片區內的所有AP規劃到一個VLAN 內，那么在片區內漫游就僅限二層漫游了。為方便起見，片區內有線的以太網還是保持原有的VLAN 劃分，單獨為所有AP 創建了一個新的VLAN。

通過劃分多個VLAN 可以將一個大的物理網絡劃分為多個邏輯上的子網，可以實現一定程度的隔離，比如隔離廣播風暴、網絡攻擊。如果將大量設備集中到單個VLAN 內，就無法有效隔離廣播風暴或者某些網絡攻擊，對網絡平穩運行形成嚴重威脅。為解決這個問題，我們采用了一種細粒度的隔離技術——端口隔離[4]。

端口隔離是一種輕量級的端口級的隔離技術，劃入同一端口隔離組的端口之間的相互通信被阻止，或者說相互隔離。端口隔離能保證同一個隔離組內的用戶即使是在同一個VLAN 內也無法相互通信。因此，即使我們將WLAN 用戶都劃入了同一個VLAN 內，仍然可以有效地實現有效的隔離。片區內的AP 向上連接到可網管以太網PoE 交換機，通過它們再連接到AC。我們在這些PoE交換機上進行配置，將連接AP 的端口加入同一個端口隔離組，這樣一來，這些AP 就無法相互通信了。這有效地將WLAN 以AP 為單位實現了隔離，比VLAN 的隔離效果更強。當然，這可能有些副作用。比如原先在同一VLAN 內的用戶可以通過“網上鄰居”之類的局域網應用共享文件，但實施端口隔離之后，VLAN 可能被分割為若干小的隔離域，一些用戶之間就無法共享文件了。不過在學生宿舍內這類應用很少用到，而且連到同一AP 的用戶，比如同一寢室內用戶仍然可以相互通信，共享文件的。因此，這些副作用基本上不影響學生的上網體驗。配置端口隔離組的步驟如下：

（1）執行system-view，進入系統視圖。

（2）執行port-isolate mode all，配置端口隔離模式，隔離所有報文（二層和三層）。

（3）執行interface interface-type interface-number，進入以太網接口視圖。

（4）執行port-isolate enable [group group-id]，使能端口隔離功能，將端口加入對應隔離組。

要注意的是：PoE 交換機的上聯口，即連接到AC 的端口要單獨設置一個隔離組，連接AP 的端口另外設置一個隔離組。這保證來自AP 的出口流量能通過上聯口轉發出去。

片區內AP 還支持一種“AP 隔離”的功能，可以集中在AC 上配置并下發到AP 上。這是一種“無線版本”的端口隔離技術，某個AP 開啟這個功能之后，連接到這個AP 上的用戶就被禁止相互通信了，或者說相互隔離了。不過因為有學生反映開啟AP 隔離之后，類似“手機快傳”的一些流行的手機應用在寢室內就無法使用了，所以我們最終沒有啟用這個功能。

5 測試結果和結論

我們選擇了片區學生上網的高峰時間（晚上9 點左右，活躍在線人數達1500 左右）進行了定性和定量測試，以反映WLAN 實際運行效果。測試方法同和三層漫游的測試一樣。定性測試為發現有明顯的卡頓、掉線，結果令人滿意，就不贅述了。表2 是定量測試結果。延遲和丟包率有些偏高，但都在可接受的范圍。由于WLAN 信號不穩定的特性，定量測試結果僅供參考。

表2 二層漫游延遲和丟包率測試數據

開通漫游是項系統工程，我們對各個宿舍樓一層的AP 實施了信號增強，替換了一些信號不佳的AP。在AC上實施了信號調優策略，動態調整AP 的信道占用，以減少信道沖突。實施二層漫游+端口隔離后至今有兩個學期，實驗WLAN 運行穩定，AC 的CPU 占用率并無明顯增加，網絡故障率對比開通前沒有明顯變化。學生對漫游服務開通反應良好，這證明二層漫游+端口隔離的策略是行之有效的。一方面，開通二層漫游在性能上可以承受的；另一方面端口隔離替代VLAN 隔離也是行之有效的。