运营技术广角 基于城域组网的运营级WLAN组网技术 高 波。潘毅明,黄国瑾 (中国电信股份有限公司上海研究院上海200122) 摘 要:WLAN作为有线宽带的延伸,也是无线宽带的重要组成部分。近年来,各地纷纷提出建设“无线城 市”.将其作为城市第5项公共基础设施;中国电信股份有限公司也提出了将WLAN建设成为第4张基础网 络.这些因素促进了WLAN的大规模建设和发展。分析了基于城域组网的运营级WLAN的建设目标和组网架 构.提出了运营级WLAN的组网技术以及WLAN的安全策略部署建议。 关键词:WLAN:集中控制型AC+AP;AC池化技术;BRAS;DHCP;大数据;安全 doi:10.11959/j.issn.1000—0801.2015268 Technology of WLAN in Operation Level Based on Metropolitan Area Network Gao Bo,Pan Yiming,Huang Guojin (Shanghai Research Institute of China Telecom Co.,Ltd.,Shanghai 200122,China) Abstract:As an extension of the cable broadband network,WLAN iS also an important part of the wireless broadband network.In recent years.1ocal governments have put forward the construction of“wireless city”as tlle iffth city public infrastructure,China Telecom Co.Ltd.also put forward the WLAN construction as the forth basic network.These factors promoted the large-scale construction and development of WLAN. rhe construction goal and the network architecture of WLAN based on metropolitan area network were analyzed.The networking technologies and the security policy deployment of WIJAN were proposed. Key words:WLAN,centralized control AC+AP,AC pool technology,BRAS,DHCP,big data,safety 1 引言 城市第5项公共基础设施,以提升城市信息化水平:各地 “无线城市”建设进一步促进了WLAN和热点的建设。中 随着移动互联网时代的到来,尤其是具有WLAN 国电信股份有限公司(以下简称中国电信)也提出将 (wireless local area network,无线局域网)无线模块的移动 WLAN建成第4张基础网络。 智能终端的普及推广,WLAN接人需求也日益迫切,在某 WLAN技术以其标准统一、部署简单、性价比高的特 种程度上,WLAN的普及程度已成为一个城市现代化的重 点,成为无线宽带接人的重要手段。但WLAN本质是个局 要标志。要将WLAN打造成继水、电、气、交通之后的 域网技术,要适应城域组网的技术要求,需要对组网技术 收稿日期:2015—06—21;修回日期:2015—10—10 论文引用格式:高波,潘毅明,黄国瑾.基于城域组网的运营级WLAN组网技术.电信科学,2015268 Gao B,Pan Y M,Huang G J.Technology of WLAN in operation level based on metropolitan area network.Telecommunications Science, 2015268 AC :● ● ● AC :● _ I 动态地址 分配服务器 : l 图2 WLAN组网拓扑 器系统负责为AP分配管理地址,同时通过option 43属性 别配置不同的管理vLAN,BRAS根据管理VLAN识别厂 为AP下发AC地址。 商。将AP的DHCP报文转发给对应的AC ̄2I。通过AC池化 WLAN网管和后台的资源库根据新上线AP的需求、 技术,实现将不同厂商的AP都配置成相同的管理VLAN, AC池中各AC的负载、同一热点已在线AP所注册的AC BRAS统一将AP的DHCP报文转发给专用DHCP系统。 等情况进行综合考虑,为新上线AP分配合适的AC设 DI-ICP系统为AP分配管理地址的同时。根据网管系统下 备.并将AP与AC的对应关系下发给专用DHCP系统和 发的AP和AC对应关系,通过option43属性为AP下发 AC设备。 AC地址。 通过AC池化技术,可以集中调度AC设备;利用网管 3.2.2 AP Internet接入方式 系统检测在网AC设备负载、设备CPU(central processing AP通过场点部署的企业网关/家庭网关接人Internet, unit.处理器)利用率等技术指标及实时检测AC设备 如中小商铺通过部署企业网关/家庭网关PPPoE(PPP over 的故障情况;灵活支持M+I、_一 _ 一 .一 C A C A M+N或M:M等多种AC备份 ethernet,以太网上传送PPP)拨号接入Internet。AP由网关 机制。其中,M+I备份指用一台专用的备份AC设备作为 设备分配地址,通过域名解析获得AC地址,与部署在公 M台主用AC的备份;M+N备份指用Ⅳ台专用的备份AC 网的AC通信建立隧道[31。 设备作为 台主用AC的备份。任意1台主用AC出现故 3.3 AC启用二、三层混用功能 障时,可整机切换到备份AC设备上;肘: 备份指不设置 中国电信的WLAN组网利用现网已有的BRAS设备, 专用的备份AC,所有的M台AC都正常工作,但不100% 对WLAN用户实现地址分配、认证、管理等功能。用户数据 配置(如只配置AC能力的80%的AP),留有一定的空余能 通过AP-AC隧道,经AC二层转发至BRAS,用户二层报文 力作为备份,当有AC发生故障时,将故障AC上的AP灵 终结于BRAS。 活地分散调度到其他若干台AC中。 随着多SSID(service set identifier,服务集标识)的开 3.2 AP两种接入方式 启,AC二层透传各SSID用户数据到BRAS,会过多消耗 AP上联主要有两种接入方式,一种是专线接人。AP BRAS的资源,势必会影响到BRAS原来承载的宽带业务。 通过预配置管理VLAN(virtual local area network,虚拟局域 为此,AC会承载部分SsID的用户地址分配、认证和管理 网)接人BRAS,BRAS通过vLAN可识别AP业务并作相 等功能,近阶段AC主要承载便捷认证业务的SSID、行业 应的转发:另一种是AP通过Internet接人与部署在公网的 SSID用户的认证和管理:其他SSID用户数据仍由AC二 AC组网。AP通过Internet接入AC组网,作为AP专线接 层转发到BRAS。将结合BRAS功能的AC称为融合AC。在 人组网的补充手段,极大地扩大了WLAN的覆盖范围,使 现网中融合AC同时启用二层用户数据转发和三层用户 任何场点都有可能接入基于城域组网的WLAN。 数据终结的功能。 3.2.1 AP专线接入方式 3.4多业务承载 AP通过专线接人。传统组网需要将不同厂商的AP分 中国电信WLAN原本承载ChinaNet业务。随着广大 l 电一■垩 £鱼 用户和终端类型对WLAN接入的日益普及.各地市级政 府和区级都有建设“无线城市”和应用的需求,不少 行业也提出WLAN业务需求,互联网企业也与运营商合 作开展WLAN后向经营业务的需求。为此,同一张 WLAN网络需同时承载多种业务,且能够满足个性化业 务需求。 采用AC集中部署的池化技术,可以很好地满足上述 多业务需求。通过规划用户双层业务VLAN,用外层VLAN 标识业务类型、内层VLAN标识AP或场点,就能实现用户 位置和业务的精确定位。集中部署的AC可以在全局层面 灵活地部署个性化业务策略.可以推送全局性的个性化 portal认证页面,也可在同一业务下根据不同AP或场点推 送不同的portal认证页面,也支持基于场点和业务进行的 个性化计费。 3.5大数据挖掘 WLAN以AP、SSID为单位对热点运营数据进行采集, 包括WLAN终端的MAC地址、AP设备地址、RSSI (received signal strength indication,接收的信号强度指示)、 时间戳等信息,并发给大数据分析平台。大数据分析平台 能按AP、SSID、场点等进行数据统计;按PV(page view,页 面浏览量或点击量)数据、UV(unique visitor,访问某个站点 或点击某条新闻的不同IP地址的人数)数据、CPC(cost per click,每次点击付费广告)数据、CPM(cost per thousand click-through.网上广告产生每1 000个广告印象(显示)数 的费用)数据、流量/人均流量、时长/人均时长等多个维度 进行数据展示和业务分析。 同时,将大数据平台分析得到的数据反馈回WLAN, 根据用户特征和场点性能,可实时对个性化portal页面的 展示内容和热点接人带宽等进行动态调整。 4 WLAN安全防范策略 在建设高效、灵活的WLAN的同时,还要考虑WLAN 的安全嘲,其安全包括用户接入安全、用户数据空口传输安 全、网络安全、设备安全等方面,下面分别进行描述。 4.1 用户接入安全防范 用户接入安全问题主要有:在同一AP『AC下用户二 层互访、IP地址欺骗、MAC(media access control,媒体访问 控制)地址欺骗。 如果在同一AP/AC下,用户通过二层网络能相互通 信(用户未通过接人认证),则存在如下安全隐患: ・用户通过某一用户作代理访问公网: ・某一终端中毒,则会不断发送ARP(address resolution protocol,地址解析协议)广播或协议类攻 击报文或进行病毒传播、木马植入等网络攻击,影 响整个WLAN二层网络: ・用户之间如在同一个局域网,恶意用户(未通过接 入认证)能够攻击其他同一个二层网络的用户或窃 听其他用户信息。 IP地址欺骗存在如下安全隐患:用户地址由BRAS/融 合AC负责分配,如果某一终端配置静态IP地址.会造成 与其他终端地址冲突,造成合法用户不能正常上网;如果 用户配置用户网关地址。会造成整个网络瘫痪。 MAC地址欺骗存在如下安全隐患:在无线环境中.非 法用户通过侦听等手段获得网络中合法站点的MAC地址 比在有线环境中要容易得多。这些合法的MAC地址可以 被用来进行恶意攻击。 用户接人应采取的安全防范措施为: ・同一AP和同一AC下启用用户二层隔离功能,只 有认证通过的用户才能通过三层相互访问; ・在BRAS设备上启用DHCP snooping功能,用户地址 与MAC地址绑定,防范IP地址和MAC地址欺骗。 4_2用户数据传输安全防范 在WLAN中,在同一个AP下用户是共享带宽,如果 个别用户使用P2P(peer-to-peer,伙伴对伙伴)、BT(bit torrent,比特流)等这类占用大量带宽的应用,就会影响其 他用户正常使用WLAN业务。 通过对用户限速。可以防止个别用户占用过多带宽, 提升所有用户使用WLAN业务的体验。 4.3无线网络安全防范 IEEE 802.11网络很容易受到威胁网络安全的攻击, 如DoS(denial of service.拒绝服务)/DDoS(distributed denial of 8ervice.分布式拒绝服务)攻击、泛洪攻击、欺骗攻 击等。通过启用AC设备的WIDS(wireless intrusion detection system,无线入侵检测系统)/WIPS(wireless intursion detection system.无线入侵保护系统)功能,监视 分析无线用户的活动、判断入侵事件的类型、检测非法网 络行为、对异常的网络流量进行报警,并根据策略采取相 应的措施,确保WLAN的安全。 DoS/DDoS利用软件(含操作系统)的缺陷、协议的漏 洞(如Syn good攻击)进行资源比拼(如发送大量的垃圾数
