華東師范大學：校園網絡中運營商Wi-Fi的部署

　　高校在校園WLAN覆蓋的基礎上引進運營商WLAN，可以轉移部分用戶至運營商網絡，減少校園網出口的壓力;高校通雖然可以實現各高校之間的跨校認證，但對于來自非高校的一些來賓仍然要提供Guest WLAN以實現無處不在的網絡接入需求，而運營商的WLAN就能很好地滿足這種需求，也省去了該校對自己建設的Guest WLAN的管理。

　　運營商如果自行部署高校內的WLAN，除了需要大量的硬件及線路投入，由于無線頻譜的共享特性，運營商部署的AP還面臨著同校方無線設備相互干擾的問題;如果運營商利用高校已有的無線設備增加自己的WLAN覆蓋，提供一條WLAN用戶的出口鏈路，則能避免以上問題，很容易地實現上千畝地域的校園WLAN覆蓋。

　　統一無線網絡架構

　　傳統的無線局域網架構是以無線接入點(AP)為中心，AP提供802.11基本服務集(BSS)并充當該服務集的集線器，無線客戶端通過與AP關聯并到達網絡的其他位置。在這種模式下，客戶端直接和AP相連，由AP管理無線射頻信道的使用并獨立執行各種安全策略。當大范圍的無線網絡需要部署多個AP時，管理配置眾多的AP不僅很困難，而且不能做到對各無線客戶端的監控和服務質量保證。

　　在新型的無線網絡架構中，將AP的絕大部分功能集中到一個中心設備，這個中心設備叫做無線網絡控制器(WirelessLan Controller，WLC)。在中心架構下，信標和探針消息、RF發送和接收等由AP在802.11的MAC層同無線客戶端交互，這種簡化功能的AP通常被稱為Fit AP或LAP(Lightweight AP)。而客戶端的關聯和漫游、對客戶端的認證、授權、計費(AAA)則由WLC完成，控制器還能對射頻資源進行統一管理，自動調節AP的發射功率、自動分配頻段。LAP和WLC通過有線網絡連接之后會基于此連接建立一條隧道，用于傳輸與IEEE802.11相關的消息和客戶端數據，隧道將LAP和WLC之間的數據封裝在IP分組中進行傳輸，因此可以跨交換或路由部署LAP和WLC，使用這種集中化的控制管理模式能全面了解無線網絡狀況，集中配置部署，降低運營、管理和維護成本。

　　能夠實現校園內迅速部署運營商WLAN的前提是學校無線網絡已經采用上述統一無線局域網架構，以下將基于這種架構來講述具體的實現細節。

　　實現方案

　　在統一的無線局域網架構中，通常先將連接到WLC的多個LAP進行分組，然后對這些分組的LAP進行無線客戶端VLAN、AAA和SSID的統一配置。對于某個特定的LAP或LAP組可以配置多個VLAN、AAA和SSID的組合。采用多SSID的方案，能夠在現有校園WLAN的基礎上與運營商WLAN共享硬件及射頻資源，校園網和運營商分別配置各自的SSID，并使用不同的AAA策略。

　　圖1是融合運營商WLAN之后的總體架構示意圖。圖中Controller和LAP通過有線相連，它們之間路由可達，構成了統一無線網絡基礎架構，虛線部分是為結合運營商WLAN所添加的改動?？蛻舳藬祿ㄟ^Controller和LAP之間的隧道到達Controller，由Controller決定不同WLAN客戶數據的最終去向。選擇校園WLAN所對應SSID的用戶流量去往校內認證服務器，在通過身份驗證后經由防火墻去往Cernet;選擇運營商SSID的WLAN用戶流量從Controller直接去往ISP，由運營商完成用戶的AAA和網絡訪問。不同的SSID所對應的不同數據流向，使校園網用戶和運營商用戶相互隔離，保證了雙方的安全性。

　　對于校園WLAN，需要配置認證服務器、認證前的網絡訪問權限及認證后的網絡訪問權限、SSID和對應的客戶端VLAN、802.11X或Web Portal的認證方式。因為運營商用戶的數據從Controller流出后直接去往運營商的網絡，運營商網絡一般采用Portal方式在認證服務器上進行認證，所以校園網工程師不需要關心運營商用戶認證的細節，只需要在WLC上開啟運營商SSID用戶的透明訪問權限，為防止運營商用戶認證通過后直接訪問校園網，一般做法為在運營商用戶的VLAN中去除接口地址即可，運營商用戶的網關直接指向運營商相應的網關設備，這樣運營商可以按流量對用戶進行計費，同時也保證了校園網絡的安全。