劉文林，喻金科，丁雪非，何 英

（南昌航空大學(xué) 現(xiàn)代教育技術(shù)與信息中心，江西 南昌330063）

1 概述

隨著移動(dòng)應(yīng)用的普及，人們的上網(wǎng)習(xí)慣發(fā)生了很大的變化，手機(jī)上網(wǎng)成為了主流。以我們學(xué)校為例，學(xué)生宿舍同時(shí)開通了有線的以太網(wǎng)和無線的WIFI，但WIFI 的流量大大超出以太網(wǎng)的流量。學(xué)校的學(xué)生宿舍規(guī)劃在幾個(gè)統(tǒng)一的片區(qū)內(nèi)，在片區(qū)內(nèi)相鄰宿舍樓的間距不到20米，相鄰樓之間的WIFI 覆蓋范圍相互重合，可以連成為一個(gè)大的覆蓋整個(gè)片區(qū)的WLAN。

在開始部署WLAN 的時(shí)候，并沒有考慮用戶WLAN內(nèi)漫游的問題，并且限制每棟宿舍樓的用戶只能登錄本宿舍樓的WLAN。這樣當(dāng)用戶離開自己宿舍樓的WLAN覆蓋范圍，即使處于附近宿舍樓的WLAN 覆蓋范圍，用戶也無法使用WIFI 了。隨著移動(dòng)應(yīng)用的普及，學(xué)生對(duì)無法在WLAN 片區(qū)內(nèi)漫游的限制，意見越來越大。為滿足學(xué)生的要求，我們首先選擇了一個(gè)最小的片區(qū)（包含6 棟宿舍樓），實(shí)驗(yàn)性地開通了WLAN 漫游服務(wù)。

2 WLAN 拓?fù)浣Y(jié)構(gòu)

圖1 片區(qū)WLAN 拓?fù)浣Y(jié)構(gòu)圖

WLAN 采用流行的Fit AP（瘦AP）+AC（Access Controller，訪問控制器）的集中式WLAN 架構(gòu)。這種架構(gòu)的優(yōu)點(diǎn)是可以通過AC 對(duì)Fit AP 進(jìn)行統(tǒng)一配置和管理，大大降低整個(gè)WLAN 的配置和管理強(qiáng)度。圖1 是片區(qū)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。宿舍樓的每層安裝若干AP，AP 通過超5類線上聯(lián)到具備供電功能的PoE 交換機(jī)（位于宿舍樓弱電間內(nèi)）。片區(qū)內(nèi)所有PoE 交換機(jī)通過光纖再上聯(lián)到一臺(tái)AC 上（位于學(xué)校網(wǎng)絡(luò)中心）。AC 連接到網(wǎng)絡(luò)中心的核心交換機(jī)上，接入校園網(wǎng)。每個(gè)片區(qū)內(nèi)的Fit AP 通過一臺(tái)AC 統(tǒng)一管理，都是華為的產(chǎn)品。

規(guī)范Fit AP 和AC 之間的交互行為的協(xié)議為無線接入點(diǎn)控制與規(guī)范CAPWAP（Control And Provisioning of Wireless Access Points）[1]。CAPWAP 有兩大功能：自動(dòng)配置和隧道轉(zhuǎn)發(fā)。

自動(dòng)配置是指AP 在上線的過程中可以自動(dòng)發(fā)現(xiàn)AC 并從AC 上下載配置信息自動(dòng)配置。這類似于DHCP客戶機(jī)通過DHCP 協(xié)議自動(dòng)配置IP 地址等參數(shù)。通過自動(dòng)配置功能，網(wǎng)絡(luò)管理員只需集中在AC 上實(shí)施有關(guān)網(wǎng)絡(luò)的相關(guān)配置，比如有關(guān)漫游的配置，就可以將配置下發(fā)到下游AP 上，從而應(yīng)用到整個(gè)WLAN 上。這大大方便對(duì)AP 的集中管理和維護(hù)。本文所涉及WLAN 配置均在AC上完成。

隧道轉(zhuǎn)發(fā)是指連接到AP 上的用戶設(shè)備，又稱工作站（Station，簡(jiǎn)寫為STA），可以和AC 建立一個(gè)加密的安全隧道，所有出口流量經(jīng)由隧道發(fā)送到AC，然后通過AC集中轉(zhuǎn)發(fā)。這雖然會(huì)增加AC 的負(fù)荷，但可以大大提高通信的安全性。所以，學(xué)校的WLAN 都啟用了隧道轉(zhuǎn)發(fā)。

3 三層漫游的實(shí)施

對(duì)于華為的產(chǎn)品，默認(rèn)配置下，WLAN 的漫游服務(wù)是開啟的，之所以漫游被禁止是認(rèn)證策略的問題。WLAN 覆蓋范圍內(nèi)的工作站無需密碼即可連接到附近的Fit AP上，但在上網(wǎng)之前必須通過一個(gè)認(rèn)證網(wǎng)頁（Web Portal）進(jìn)行認(rèn)證，認(rèn)證通過才能上網(wǎng)。這也就是目前流行的Web Portal 認(rèn)證方式。每棟樓的網(wǎng)絡(luò)都規(guī)劃為一個(gè)獨(dú)立的VLAN（Virtual LAN，虛擬局域網(wǎng)）[3]，我們將用戶和他們所在樓的VLAN 進(jìn)行了綁定。這樣一來，用戶只能在他所住的樓內(nèi)上網(wǎng)，結(jié)果就是限制了WLAN 內(nèi)的漫游。如果取消用戶和VLAN 的綁定，那么漫游服務(wù)就能正常運(yùn)作了。

我們選擇了一個(gè)假期進(jìn)行實(shí)驗(yàn)，取消綁定限制，并進(jìn)行了小規(guī)模的測(cè)試。測(cè)試的方式是這樣的：測(cè)試者手持手機(jī)在片區(qū)內(nèi)一邊散步，一邊訪問網(wǎng)頁、在線點(diǎn)播視頻/音樂、打微信電話等。在這個(gè)過程中，測(cè)試者記錄是否有卡頓、掉線等異常情況。其中打微信電話是最能測(cè)試漫游服務(wù)質(zhì)量的一項(xiàng)測(cè)試，因?yàn)榇蚓W(wǎng)絡(luò)電話時(shí)要求實(shí)時(shí)地保持在線連接，這意味這電話兩端設(shè)備的IP 地址在漫游中需一直保持不變。另外，在漫游的過程中，手機(jī)可能會(huì)切換到不同的AP 上。切換可能導(dǎo)致短暫的通訊中斷，這也是在測(cè)試過程中需要注意觀察的。經(jīng)測(cè)試，使用微信電話的過程中有時(shí)會(huì)出現(xiàn)卡頓，但一般不會(huì)導(dǎo)致通話中斷，總的來說通話過程比較流暢。至于無需實(shí)時(shí)保持在線連接的應(yīng)用，比如瀏覽普通網(wǎng)頁，基本上感覺不到卡頓。

我們也進(jìn)行了簡(jiǎn)單的定量測(cè)試。測(cè)試方法和前面的定性測(cè)試類似，差別是在測(cè)試者手機(jī)上運(yùn)行ping，ping AC 的管理地址1000 次，統(tǒng)計(jì)網(wǎng)絡(luò)傳輸延遲和丟包率。每次記下平均傳輸延遲和丟包率，共測(cè)試5 次。我們發(fā)現(xiàn)在切換AP 時(shí)，會(huì)有幾個(gè)數(shù)據(jù)包傳輸延遲變大，從不足5ms增加到10ms 甚至更大，偶爾會(huì)出現(xiàn)掉包。這都可能導(dǎo)致最終的平均傳輸延遲和丟包率變大。表1 是測(cè)試結(jié)果?？梢钥闯? 次測(cè)試的結(jié)果有所波動(dòng)，但平均傳輸延遲均未超過10ms 這是相當(dāng)不錯(cuò)的。丟包率也沒有超過6‰。無論是現(xiàn)在的移動(dòng)操作系統(tǒng)和移動(dòng)APP 對(duì)網(wǎng)絡(luò)狀況不佳都有響應(yīng)的應(yīng)對(duì)和優(yōu)化措施，測(cè)試結(jié)果是相當(dāng)令人滿意的。由于測(cè)試是在WLAN 輕負(fù)荷下進(jìn)行，測(cè)試結(jié)果僅供參考。

表1 三層漫游延遲和丟包率測(cè)試數(shù)據(jù)

測(cè)試結(jié)果表明，漫游服務(wù)已經(jīng)成功開啟，而且質(zhì)量也不錯(cuò)，于是我們實(shí)驗(yàn)性的開通了WLAN 漫游服務(wù)。但真正大規(guī)模試運(yùn)行后不久整個(gè)片區(qū)的WLAN 出現(xiàn)了卡頓、掉線甚至無法上線的情況。我們登錄到AC 上檢查CPU占用率，發(fā)現(xiàn)CPU 占用率幾乎到了100%。通過ping 測(cè)試到的網(wǎng)絡(luò)傳輸延遲和掉包率急劇增大。在排除網(wǎng)絡(luò)攻擊、廣播風(fēng)暴等可能的誘因后，確定是三層漫游服務(wù)巨大的三層處理開銷導(dǎo)致的。最初沒有開通漫游服務(wù)的一個(gè)原因就是廠家的工程師建議不要開通，因?yàn)槲覀冑徺I的AC并非高端型號(hào)，大規(guī)模開通三層漫游服務(wù)力不從心。

4 二層漫游的實(shí)施

按照是否跨越IP 子網(wǎng)，WLAN 漫游分為三層漫游和二層漫游。二層漫游發(fā)生于同一個(gè)IP 子網(wǎng)內(nèi)，而三層漫游跨越兩個(gè)不同的IP 子網(wǎng)。在常規(guī)的三層漫游的過程中，漫游者的家鄉(xiāng)代理需借助IP 隧道維持和漫游者的聯(lián)系，以便為漫游者中轉(zhuǎn)數(shù)據(jù)。IP 隧道的建立和維護(hù)，過程復(fù)雜、開銷巨大（詳細(xì)機(jī)制請(qǐng)參考[2]）。而二層漫游開銷不需要三層漫游的代理機(jī)制，依靠二層固有的MAC 地址表刷新機(jī)制即可實(shí)現(xiàn)，不涉及三層協(xié)議變動(dòng)，可以說基本沒有額外開銷。于是，我們決定統(tǒng)一實(shí)施二層漫游。

首先，我們禁止了三層漫游，方法是在AC 上運(yùn)行命令layer3-roam disable。其次，如果將片區(qū)內(nèi)的所有AP規(guī)劃到一個(gè)VLAN 內(nèi)，那么在片區(qū)內(nèi)漫游就僅限二層漫游了。為方便起見，片區(qū)內(nèi)有線的以太網(wǎng)還是保持原有的VLAN 劃分，單獨(dú)為所有AP 創(chuàng)建了一個(gè)新的VLAN。

通過劃分多個(gè)VLAN 可以將一個(gè)大的物理網(wǎng)絡(luò)劃分為多個(gè)邏輯上的子網(wǎng)，可以實(shí)現(xiàn)一定程度的隔離，比如隔離廣播風(fēng)暴、網(wǎng)絡(luò)攻擊。如果將大量設(shè)備集中到單個(gè)VLAN 內(nèi)，就無法有效隔離廣播風(fēng)暴或者某些網(wǎng)絡(luò)攻擊，對(duì)網(wǎng)絡(luò)平穩(wěn)運(yùn)行形成嚴(yán)重威脅。為解決這個(gè)問題，我們采用了一種細(xì)粒度的隔離技術(shù)——端口隔離[4]。

端口隔離是一種輕量級(jí)的端口級(jí)的隔離技術(shù)，劃入同一端口隔離組的端口之間的相互通信被阻止，或者說相互隔離。端口隔離能保證同一個(gè)隔離組內(nèi)的用戶即使是在同一個(gè)VLAN 內(nèi)也無法相互通信。因此，即使我們將WLAN 用戶都劃入了同一個(gè)VLAN 內(nèi)，仍然可以有效地實(shí)現(xiàn)有效的隔離。片區(qū)內(nèi)的AP 向上連接到可網(wǎng)管以太網(wǎng)PoE 交換機(jī)，通過它們?cè)龠B接到AC。我們?cè)谶@些PoE交換機(jī)上進(jìn)行配置，將連接AP 的端口加入同一個(gè)端口隔離組，這樣一來，這些AP 就無法相互通信了。這有效地將WLAN 以AP 為單位實(shí)現(xiàn)了隔離，比VLAN 的隔離效果更強(qiáng)。當(dāng)然，這可能有些副作用。比如原先在同一VLAN 內(nèi)的用戶可以通過“網(wǎng)上鄰居”之類的局域網(wǎng)應(yīng)用共享文件，但實(shí)施端口隔離之后，VLAN 可能被分割為若干小的隔離域，一些用戶之間就無法共享文件了。不過在學(xué)生宿舍內(nèi)這類應(yīng)用很少用到，而且連到同一AP 的用戶，比如同一寢室內(nèi)用戶仍然可以相互通信，共享文件的。因此，這些副作用基本上不影響學(xué)生的上網(wǎng)體驗(yàn)。配置端口隔離組的步驟如下：

（1）執(zhí)行system-view，進(jìn)入系統(tǒng)視圖。

（2）執(zhí)行port-isolate mode all，配置端口隔離模式，隔離所有報(bào)文（二層和三層）。

（3）執(zhí)行interface interface-type interface-number，進(jìn)入以太網(wǎng)接口視圖。

（4）執(zhí)行port-isolate enable [group group-id]，使能端口隔離功能，將端口加入對(duì)應(yīng)隔離組。

要注意的是：PoE 交換機(jī)的上聯(lián)口，即連接到AC 的端口要單獨(dú)設(shè)置一個(gè)隔離組，連接AP 的端口另外設(shè)置一個(gè)隔離組。這保證來自AP 的出口流量能通過上聯(lián)口轉(zhuǎn)發(fā)出去。

片區(qū)內(nèi)AP 還支持一種“AP 隔離”的功能，可以集中在AC 上配置并下發(fā)到AP 上。這是一種“無線版本”的端口隔離技術(shù)，某個(gè)AP 開啟這個(gè)功能之后，連接到這個(gè)AP 上的用戶就被禁止相互通信了，或者說相互隔離了。不過因?yàn)橛袑W(xué)生反映開啟AP 隔離之后，類似“手機(jī)快傳”的一些流行的手機(jī)應(yīng)用在寢室內(nèi)就無法使用了，所以我們最終沒有啟用這個(gè)功能。

5 測(cè)試結(jié)果和結(jié)論

我們選擇了片區(qū)學(xué)生上網(wǎng)的高峰時(shí)間（晚上9 點(diǎn)左右，活躍在線人數(shù)達(dá)1500 左右）進(jìn)行了定性和定量測(cè)試，以反映WLAN 實(shí)際運(yùn)行效果。測(cè)試方法同和三層漫游的測(cè)試一樣。定性測(cè)試為發(fā)現(xiàn)有明顯的卡頓、掉線，結(jié)果令人滿意，就不贅述了。表2 是定量測(cè)試結(jié)果。延遲和丟包率有些偏高，但都在可接受的范圍。由于WLAN 信號(hào)不穩(wěn)定的特性，定量測(cè)試結(jié)果僅供參考。

表2 二層漫游延遲和丟包率測(cè)試數(shù)據(jù)

開通漫游是項(xiàng)系統(tǒng)工程，我們對(duì)各個(gè)宿舍樓一層的AP 實(shí)施了信號(hào)增強(qiáng)，替換了一些信號(hào)不佳的AP。在AC上實(shí)施了信號(hào)調(diào)優(yōu)策略，動(dòng)態(tài)調(diào)整AP 的信道占用，以減少信道沖突。實(shí)施二層漫游+端口隔離后至今有兩個(gè)學(xué)期，實(shí)驗(yàn)WLAN 運(yùn)行穩(wěn)定，AC 的CPU 占用率并無明顯增加，網(wǎng)絡(luò)故障率對(duì)比開通前沒有明顯變化。學(xué)生對(duì)漫游服務(wù)開通反應(yīng)良好，這證明二層漫游+端口隔離的策略是行之有效的。一方面，開通二層漫游在性能上可以承受的；另一方面端口隔離替代VLAN 隔離也是行之有效的。