高 波，潘毅明，黄国瑾

（中国电信股份有限公司上海研究院 上海200122）

1 引言

随着移动互联网时代的到来，尤其是具有WLAN（wireless local area network，无线局域网）无线模块的移动智能终端的普及推广，WLAN接入需求也日益迫切，在某种程度上，WLAN的普及程度已成为一个城市现代化的重要标志。政府要将WLAN打造成继水、电、气、交通之后的城市第5项公共基础设施，以提升城市信息化水平；各地“无线城市”建设进一步促进了WLAN和热点的建设。中国电信股份有限公司 （以下简称中国电信）也提出将WLAN建成第4张基础网络。

WLAN技术以其标准统一、部署简单、性价比高的特点，成为无线宽带接入的重要手段。但WLAN本质是个局域网技术，要适应城域组网的技术要求，需要对组网技术进行创新，实现对WLAN用户接入的可管、可控，打造一张基于城域组网的运营级WLAN。

本文以上海电信WLAN城域组网技术为基础，阐述基于城域组网的运营级WLAN组网技术和要求。

2 WLAN组网架构选择和组网策略

运营级WLAN的特征是“大容量、高可靠、可扩展、可管理”，其建设需要从网络覆盖、组网架构、网络质量和网络管理维护等多方面着手，以提升用户体验为落脚点，全方位提升网络质量。运营级WLAN主要特征有以下几个方面。

·WLAN覆盖将由零散热点向数据热区演进；对构建逻辑数据热区进行统一的网络管理、数据分析和特色业务开展。

·网络架构扁平化，提高网络运营和管理效率。网络部署时要按组建整网的思路进行规划和建设，构筑集中、安全、扁平化的网络架构；同时能适应不同业务的承载需求。

·着眼用户体验，全面提升网络质量：保证网络稳定性，使用户体验良好，满足多用户、高速率接入需求，支持各类WLAN终端方便接入；还需具备高安全性。

·网络可管可控，提升维护和优化水平。确保在网WLAN设备纳入网管，快速定位网络故障，确保网络整体运行良好。图1为WLAN目标组网架构示意。

图1 WLAN目标组网架构

3 运营级WLAN组网方案

大规模WLAN组网均已采用集中控制型AC（AP controller，AP控制器）+“瘦”AP（access point，接入点）架构。传统的组网方案是AC分散部署，就近旁挂BRAS（broadband remote access server，宽带网络接入服务器）。一台AC只能管理该BRAS下同一厂商的AP，覆盖范围有限。由于不同BRAS下WLAN业务发展的不平衡，使接入的AP数量、用户数量及流量不同，导致各台AC负载能力不均衡，部分AC设备利用率偏低；如果实现AC备份机制，将会大大提高设备成本。AC分散部署，资源无法做到全网统一调度和管理，无法满足多业务、个性化需求。

为此，提出将不同厂商的AC集中部署，形成AC中心，通过采用AC池化技术提升AC覆盖范围和负载均衡能力，全网统一调度资源。图2为WLAN组网拓扑示意。

每台AC双上联到支持虚拟一体化的二台交换机SW（switch，AC专用接入交换机），AC双上联均采用万兆接口跨框聚合，AP专线接入的BRAS分别采用两个端口分别与AC接入交换机互联，端口绑定，确保网络安全可靠。任一台AC与BRAS均可通过IP路由可达，因此AP通过BRAS可接入任一台AC；同时部署专用DHCP（dynamic host configuration protocol，动态主机配置协议）服务器[1]。通过上述组网形成AC中心。

其中，一部分AC设备配置私网地址，负责通过专线接入的AP；另一部分AC设备配置公网地址，负责通过Internet接入的AP。

3.1 AC池化技术

将为AP分配管理地址和下发AC地址的功能，从AC设备中剥离出来，AC仅负责AP接入注册、AP管理和管理信息上报给网管平台。AC池中心通过专用的DHCP服务器系统负责为AP分配管理地址，同时通过option 43属性为AP下发AC地址。

图2 WLAN组网拓扑

WLAN网管和后台的资源库根据新上线AP的需求、AC池中各AC的负载、同一热点已在线AP所注册的AC等情况进行综合考虑，为新上线AP分配合适的AC设备，并将AP与AC的对应关系下发给专用DHCP系统和AC设备。

通过AC池化技术，可以集中调度AC设备；利用网管系统检测在网AC设备负载、设备CPU（central processing unit，中央处理器）利用率等技术指标及实时检测AC设备的故障情况；灵活支持M＋1、M＋N或M∶M等多种AC备份机制。其中，M＋1备份指用一台专用的备份AC设备作为M台主用AC的备份；M＋N备份指用N台专用的备份AC设备作为M台主用AC的备份，任意1台主用AC出现故障时，可整机切换到备份AC设备上；M∶M备份指不设置专用的备份AC，所有的M台AC都正常工作，但不100%配置（如只配置AC能力的80%的AP），留有一定的空余能力作为备份，当有AC发生故障时，将故障AC上的AP灵活地分散调度到其他若干台AC中。

3.2 AP两种接入方式

AP上联主要有两种接入方式，一种是专线接入，AP通过预配置管理VLAN（virtual local area network，虚拟局域网）接入BRAS，BRAS通过VLAN可识别AP业务并作相应的转发；另一种是AP通过Internet接入与部署在公网的AC组网。AP通过Internet接入AC组 网，作为AP专 线 接入组网的补充手段，极大地扩大了WLAN的覆盖范围，使任何场点都有可能接入基于城域组网的WLAN。

3.2.1 AP专线接入方式

AP通过专线接入。传统组网需要将不同厂商的AP分别配置不同的管理VLAN，BRAS根据管理VLAN识别厂商，将AP的DHCP报文转发给对应的AC[2]。通过AC池化技术，实现将不同厂商的AP都配置成相同的管理VLAN，BRAS统一将AP的DHCP报文转发给专用DHCP系统。DHCP系统为AP分配管理地址的同时，根据网管系统下发的AP和AC对应关系，通过option43属性为AP下发AC地址。

3.2.2 AP Internet接入方式

AP通过场点部署的企业网关/家庭网关接入Internet，如中小商铺通过部署企业网关/家庭网关PPPoE（PPP over ethernet，以太网上传送PPP）拨号接入Internet。AP由网关设备分配地址，通过域名解析获得AC地址，与部署在公网的AC通信建立隧道[3]。

3.3 AC启用二、三层混用功能

中国电信的WLAN组网利用现网已有的BRAS设备，对WLAN用户实现地址分配、认证、管理等功能。用户数据通过AP-AC隧道，经AC二层转发至BRAS，用户二层报文终结于BRAS。

随着多SSID（service set identifier，服务集标识）的开启，AC二层透传各SSID用户数据到BRAS，会过多消耗BRAS的资源，势必会影响到BRAS原来承载的宽带业务。为此，AC会承载部分SSID的用户地址分配、认证和管理等功能，近阶段AC主要承载便捷认证业务的SSID、行业SSID用户的认证和管理；其他SSID用户数据仍由AC二层转发到BRAS。将结合BRAS功能的AC称为融合AC，在现网中融合AC同时启用二层用户数据转发和三层用户数据终结的功能。

3.4 多业务承载

中国电信WLAN原本承载ChinaNet业务，随着广大用户和终端类型对WLAN接入的日益普及，各地市级政府和区级政府都有建设“无线城市”和应用的需求，不少行业也提出WLAN业务需求，互联网企业也与运营商合作开展WLAN后向经营业务的需求。为此，同一张WLAN网络需同时承载多种业务，且能够满足个性化业务需求。

采用AC集中部署的池化技术，可以很好地满足上述多业务需求。通过规划用户双层业务VLAN，用外层VLAN标识业务类型、内层VLAN标识AP或场点，就能实现用户位置和业务的精确定位。集中部署的AC可以在全局层面灵活地部署个性化业务策略，可以推送全局性的个性化portal认证页面，也可在同一业务下根据不同AP或场点推送不同的portal认证页面，也支持基于场点和业务进行的个性化计费。

3.5 大数据挖掘

WLAN以AP、SSID为单位对热点运营数据进行采集，包括WLAN终端的MAC地址、AP设备地址、RSSI（received signal strength indication，接收的信号强度指示）、时间戳等信息，并发给大数据分析平台。大数据分析平台能按AP、SSID、场点等进行数据统计；按PV（page view，页面浏览量或点击量）数据、UV（unique visitor，访问某个站点或点击某条新闻的不同IP地址的人数）数据、CPC（cost per click，每次点击付费广告）数据、CPM（cost per thousand click-through，网上广告产生每1000个广告印象（显示）数的费用）数据、流量/人均流量、时长/人均时长等多个维度进行数据展示和业务分析。

同时，将大数据平台分析得到的数据反馈回WLAN，根据用户特征和场点性能，可实时对个性化portal页面的展示内容和热点接入带宽等进行动态调整。

4 WLAN安全防范策略

在建设高效、灵活的WLAN的同时，还要考虑WLAN的安全[4]，其安全包括用户接入安全、用户数据空口传输安全、网络安全、设备安全等方面，下面分别进行描述。

4.1 用户接入安全防范

用户接入安全问题主要有：在同一AP/AC下用户二层互访、IP地址欺骗、MAC（media access control，媒体访问控制）地址欺骗。

如果在同一AP/AC下，用户通过二层网络能相互通信（用户未通过接入认证），则存在如下安全隐患：

·用户通过某一用户作代理访问公网；

·某一终端中毒，则会不断发送ARP（address resolution protocol，地址解析协议）广播或协议类攻击报文或进行病毒传播、木马植入等网络攻击，影响整个WLAN二层网络；

·用户之间如在同一个局域网，恶意用户（未通过接入认证）能够攻击其他同一个二层网络的用户或窃听其他用户信息。

IP地址欺骗存在如下安全隐患：用户地址由BRAS/融合AC负责分配，如果某一终端配置静态IP地址，会造成与其他终端地址冲突，造成合法用户不能正常上网；如果用户配置用户网关地址，会造成整个网络瘫痪。

MAC地址欺骗存在如下安全隐患：在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比在有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

用户接入应采取的安全防范措施为：

·同一AP和同一AC下启用用户二层隔离功能，只有认证通过的用户才能通过三层相互访问；

·在BRAS设备上启用DHCP snooping功能，用户地址与MAC地址绑定，防范IP地址和MAC地址欺骗。

4.2 用户数据传输安全防范

在WLAN中，在同一个AP下用户是共享带宽，如果个 别 用 户 使 用P2P（peer-to-peer，伙 伴 对 伙 伴）、BT（bit torrent，比特流）等这类占用大量带宽的应用，就会影响其他用户正常使用WLAN业务。

通过对用户限速，可以防止个别用户占用过多带宽，提升所有用户使用WLAN业务的体验。

4.3 无线网络安全防范

IEEE 802.11网络很容易受到威胁网络安全的攻击，如DoS（denial of service，拒 绝 服 务）/DDoS（distributed denial of service，分布式拒绝服务）攻击、泛洪攻击、欺骗攻击等。通过启用AC设备的WIDS（wireless intrusion detection system，无 线 入 侵 检 测 系 统）/WIPS（wireless intrusion detection system，无线入侵保护系统）功能，监视分析无线用户的活动、判断入侵事件的类型、检测非法网络行为、对异常的网络流量进行报警，并根据策略采取相应的措施，确保WLAN的安全。

DoS/DDoS利用软件（含操作系统）的缺陷、协议的漏洞（如Syn flood攻击）进行资源比拼（如发送大量的垃圾数据侵占系统资源），利用攻击程序 （如smurf、trinoo、tfn、tfn2k、stacheldraht告示DoS攻击程序）进行攻击。

当一台无线设备试图在网络内泛洪时，会在短时间内发送大量的同种类型的报文。此时AC和AP会被泛洪设备发送的攻击报文淹没而无法处理正常无线终端（合法用户）的报文。

泛洪攻击类型的报文主要有：

·认证请求/解除认证请求；

·关联请求/解除关联请求/重新关联请求；

·探查请求；

·空数据帧；

·action帧。

欺骗攻击：这种攻击是借合法终端MAC地址来发送攻击报文，如一个欺骗的解除认证的报文会导致合法无线客户端下线。

通过启用AC设备的WIDS/WIPS功能，监视分析无线用户的活动、判断入侵事件的类型、检测非法网络行为、对异常的网络流量进行报警，并根据策略采取相应的措施，以确保WLAN的安全。

4.4 WLAN设备的安全防范

DHCP池的安全性。当AC负责分配AP的地址时，即AC启用DHCP池功能，如果AC不检测DHCP请求的终端（如AP）的合法性而直接分配IP地址，则DHCP池的地址可能被耗尽并带来安全隐患。

对于DHCP池的安全性问题，要求AP支持DHCP option60，即AP携带企业码，这样AC就不会为任意一个DHCP请求的终端分配地址。

AC设备的安全性，主要有以下几个方面。

（1）AC配 置公网IP地 址，若黑客 破解 了AC设 备 账号，入侵了主机，植入了非法进程（如tirqd）与非法服务项（如tblockd），并启用8080端口发送了大量的垃圾邮件，会造成恶劣的影响。

应采取的安全措施有：AC配私网管理地址，与公网隔离；AC启用ACL策略，只允许特定IP地址的终端访问，并设置登入账号；只打开特定端口，其他端口关闭。

（2）当AP到AC注册建立隧道时，如果AC不检测/认证AP的合法性，而直接允许AP注册，则存在非法AP接入的风险。

应采取的安全措施有：AC应检查AP的序列号、MAC地址等，确认所接入的AP是预先允许接入的AP。

5 结束语

将AC集中部署、通过AC池化技术组网，大大减少了AC部署数量和占用机房空间，节省了管理、维护和人力成本；支持AP通过中国电信的有线网络和移动网络以及其他运营商网络接入AC中心，实现WLAN城域组网，极大地扩展了WLAN覆盖范围。利用丰富的VLAN资源实现外层业务VLAN标识业务、内层业务VLAN标识AP或场点等技术，强化网络及设备的安全性能，通过建设运营级WLAN，满足“无线城市”、行业WLAN、商业WLAN和公共无线宽带上网需求。通过自建或与互联网企业合作开展后向经营，极大地提升了WLAN价值，为广大用户提供了高带宽、低资费的无线宽带接入。

1 IETF RFC2131.Dynamic Host Configuration Protocol,1997

2 IETF RFC3046.DHCP Relay Agent Information Option,2001

3 IETF RFC5415.Control And Provisioning of Wireless Access Points（CAPWAP）Protocol Specification,2009

4 刘杰.浅析WLAN及WLAN网络安全问题.网络安全，2007(7)Liu J.Analysis of WLAN and WLAN security issues.Network Security,2007(7)