文/趙宇

隨著移動設備的日益增加，校園網(wǎng)用戶對于無線網(wǎng)絡的需求越來愈大。因此原本起著拾遺補缺或者錦上添花的校園無線網(wǎng)絡變得日益重要起來。如何構架一個好的無線校園網(wǎng)，成為必須，本文據(jù)此提出了一個建設校園無線網(wǎng)絡的新模型。

校園網(wǎng)的構架在幾年前還是以有線網(wǎng)絡為主、無線為輔的局面，但是隨著移動產(chǎn)品的普及，特別是平板電腦和智能手機的廣泛使用，使得無線網(wǎng)絡不再是有線網(wǎng)絡的輔助或者有力補充，相反在學生宿舍等特定的場景有線網(wǎng)絡接入需求已經(jīng)大幅降低，無線網(wǎng)絡已經(jīng)成為了提供網(wǎng)絡服務的主要力量。因此建立好一個讓校園網(wǎng)用戶滿意的無線網(wǎng)絡成為了網(wǎng)絡的重中之重。

傳統(tǒng)無線網(wǎng)架構現(xiàn)存問題

圖1是一個拓撲非常簡單的校園無線網(wǎng)絡部署模型。

圖1 校園無線網(wǎng)絡部署模型

在該簡略的拓撲結(jié)構中，其中Switch A 代表著校園網(wǎng)骨干網(wǎng)OSPF的area 0中的一臺核心設備，Switch B代表著校園網(wǎng)中的一臺樓宇匯聚設備，而Switch C則代表著無線網(wǎng)絡獨享的匯聚設備。這個匯聚主要負責接入控制器AC以及DHCP服務器。

而目前校園網(wǎng)的無線網(wǎng)絡通常的模式是采用便于集中管理的FIT AP的方式進行建設，然后用戶通過認證進而訪問網(wǎng)絡。在這個模式有AP也要有AC，同時還需要DHCP服務器進行配合用于分配無線用戶的接入IP地址。

值得注意的是，隨著無線網(wǎng)絡的不斷擴建、升級造成了無線網(wǎng)絡設備的品牌難以保持一致。因此也就意味著當需要控制器AC負責接入、管理的FIT AP出現(xiàn)其他品牌的時候，AC是無法為異種品牌AP提供接入和進行控制管理的情況，這樣就造成了以下幾個問題：

首先是認證問題。在無線接入不單獨成網(wǎng)，AC做認證的情況下，當用戶在不同的FIT AP下進行接入訪問時，需要由不同的控制器AC進行認證處理，使得用戶使用方式上出現(xiàn)不一致。因此迫使用戶去關心負責接入自己無線設備的AP是哪個品牌，用什么方式進行登錄這是一個很糟糕的做法，這樣會造成用戶很差的體驗感。

當然也可以讓控制器AC通過將認證交與第三方進行認證進行彌補。盡管很多AC都有公共的接口供大家利用，但還是會有很多接口上的非標需要進行處理，甚至要去定制開發(fā)接口程序，從而增加了更多的故障點，造成了管理復雜度的大幅提升。

其次是用戶漫游問題。無論是多品牌的控制器AC認證，還是第三方認證，對于一個樓宇內(nèi)混雜多種品牌AP是無法做到的，即當用戶連接甲品牌AP后需要進行認證，而漫游到乙品牌的AP上時除了會中斷用戶的連接外，還需要進行重新認證。反復進行相同的認證同樣會造成用戶體驗感不佳。

解決策略

為此，筆者通過對傳統(tǒng)基于OSPF的三層構架校園網(wǎng)拓撲及網(wǎng)關方式計費的模型進行修改，進而解決了上述問題，具體模型如圖2所示。

圖2 三層構架校園網(wǎng)修改后拓撲

圖2拓撲和圖1的拓撲最主要的區(qū)別在于匯聚Switch B與Switch C之間有新的鏈路存在來實現(xiàn)策略路由，這樣的鏈路是依靠樓宇間的冗余光纖來完成的。因此在網(wǎng)絡路由上也相應發(fā)生了變化：即Switch B和Switch C仍然采用OSPF和Switch A進行互聯(lián)，但是Switch B上的10.5.0.0/24網(wǎng)段AP上用戶的上網(wǎng)流量不會經(jīng)過172.16.1.2與Switch A上172.16.1.1之間路由到達Switch A上，而是通過Switch B上172.12.1.2與Switch C上172.17.1.1之間的路由直接到達Switch C上，然后通過172.16.2.6與172.16.2.5之間的路由到達Switch A上。具體路由配置如下：

Switch B交換機的部分配置如下：

!以下是交換機Switch B中AP所在Vlan的配置

interface Vlan100

descriptionConnectToAP

ip address 10.5.0.1 255.255.255.0

ip policy route-map WIFI

!以下是交換機Switch B中關于OSPF配置

routerospf 1

router-id 172.16.0.2

log-adjacency-changes

redistribute static subnets

network 172.16.1.0 0.0.0.3 area 3

network 10.5.0.0 0.0.0.255 area 3

!以下是交換機Switch B中關于動態(tài)路由的配置

access-list 100 permit ip 10.5.0 0.0.0.255 any

route-map WIFI permit 10

matchip address 100

setip next-hop 172.17.1.1

交換機Switch C中的部分配置如下：

!以下是關于Switch C中關于OSPF的配置

routerospf 1

router-id 172.16.0.33

log-adjacency-changes

redistribute connected subnets

redistribute static subnets

network 172.17.0.0 0.0.0.3 area 33

network 172.17.0.4 0.0.0.3 area 33

network 172.17.254.0 0.0.0.255 area 33

!以下是關于Switch C中關于靜態(tài)路由的配置

ip route 10.5.0.0 255.255.255.0 172.17.1.2

ip route 10.7.0.0 255.255.255.0 172.17.1.10

在配置過程中需要注意：

1.對于Switch B交換機OSPF配置時不要將AP所在的網(wǎng)絡進行聲明，也不要配置redistribute connected subnets，這樣就保證無法將10.5.0.0/24這個網(wǎng)段從172.16.1.2這個端口進行發(fā)布。

2.利用ip policy route-map WiFi將Switch B上所有AP的下一跳路由指向Switch C以方便無線網(wǎng)絡的邏輯獨立。

3.在進行Switch C交換機OSFP配置時需要配置redistribute static subnets以保證Switch C上DHCP服務器分配給無線網(wǎng)絡用戶IP的路由能夠通過OSPF進行發(fā)布，而redistribute connected subnets也能保證Switch B上AP的IP地址也能夠通過Switch C上的OSPF進行發(fā)布。這對于管理很重要。

4.在Switch C上配置靜態(tài)的回指路由非常重要。

在完成了上述工作之后，整個網(wǎng)絡已經(jīng)從拓撲上形成了邏輯上分離的無線網(wǎng)絡和有線網(wǎng)絡。當然，如果簡單地這樣改造網(wǎng)絡也解決不了上面提到的諸多問題，其解決問題的關鍵在于：

修改控制器AC的設置，將原來負責AP接入、管理，無線網(wǎng)絡用戶接入、認證、流量轉(zhuǎn)發(fā)功能進行修剪，取消了無線網(wǎng)絡用戶的認證功能。這也就意味著當一個用戶無論連接任何AP進入無線網(wǎng)絡之后，獲得IP就可以訪問網(wǎng)絡，完全消除了因為AC不同造成的認證差異。

當然，如果僅僅是放開控制器AC對用戶的認證工作，雖然解除了上面的矛盾，或者避免了增加的故障點，但是從安全角度上看是很有風險的。但是通過圖2，大家可以發(fā)現(xiàn)：Switch C并不是像其他匯聚那樣簡簡單單通過光纖跳線直接連接到骨干網(wǎng)上，而是在與核心網(wǎng)絡進行相連雙鏈路的中間串接了一個認證網(wǎng)關AAA 1，這個認證負責Switch C上路由到Switch A的用戶進行認證工作而不對用戶網(wǎng)絡活動的時間或流量進行記錄，同時認證網(wǎng)關AAA 1與出口的計費認證AAA進行聯(lián)動，保證將用戶的認證信息傳遞到AAA上，做到用戶一次認證之后在訪問校內(nèi)資源的同時兼顧校外訪問。這里需要說明，需要在Switch C上建立DNS（AAA 1免認證）或者將校園網(wǎng)的DNS設置成免認證資源以保證無線用戶的訪問。

該拓撲設計之初，在考慮到AP與控制器AC之間采用隧道技術進行通訊的情況下，并沒有設計動態(tài)路由和增加Switch C與Switch B的鏈路，因此在實施過程中給AAA 1帶來了雙倍的流量，即用戶通過AP與AC之間的隧道流量以及AC轉(zhuǎn)發(fā)的用戶訪問網(wǎng)絡的流量。雖然AAA 1只進行認證工作，但是無線網(wǎng)絡用戶日益增長的流量對于一個x86構架的網(wǎng)關來說還是盡量小一些為好。之后結(jié)合其他院校無線獨立成網(wǎng)的經(jīng)驗增加了Switch C與Switch B之間的鏈路，并使用RIP進行路由調(diào)整，使得認證AAA 1的壓力大為低，同時使網(wǎng)絡流量更加清晰，雖然這樣的構架在Switch C部署的時候需充分權衡其部署位置和與各匯聚之間光纖線路的空余數(shù)量這兩個因素。

總之，通過上述模型的實踐，在具體實施過程中，解決了本文上面提到的問題，取得了一定的效果。