高 波,潘毅明,黄国瑾
(中国电信股份有限公司上海研究院上海200122)
摘要:WLAN作为有线宽带的延伸,也是无线宽带的重要组成部分。近年来,各地政府纷纷提出建设“无线城市”,将其作为城市第5项公共基础设施;中国电信股份有限公司也提出了将WLAN建设成为第4张基础网络,这些冈素促进了WLAN的大规模建设和发展。分析了基于城域组网的运营级WLAN的建设目标和组网架构,提出了运营级WLAN的组网技术以及WLAN的安全策略部署建议。
1 引言
随着移动互联网时代的到来,尤其是具有WLAN(wireless local area network,无线局域网)无线模块的移动智能终端的普及推广,WLAN接人需求也日益迫切,在某种程度上,WLAN的普及程度已成为一个城市现代化的重要标志。政府要将WLAN打造成继水、电、气、交通之后的城市第5项公共基础设施,以提升城市信息化水平:各地“无线城市”建设进一步促进了WLAN和热点的建设。中国电信股份有限公司(以下简称中国电信)也提出将WIAN建成第4张基础网络。
WLAN技术以其标准统一、部署简单、性价比高的特点,成为无线宽带接入的重要手段。但WLAN本质是个局域网技术,要适应城域组网的技术要求,需要对组网技术进行创新,实现对WLAN用户接入的可管、可控,打造一张基于城域组网的运营级WLAN。
本文以上海电信WLAN城域组网技术为基础,阐述基于城域组网的运营级WLAN组网技术和要求。
2 WLAN组网架构选择和组网策略
运营级WLAN的特征是“大容量、高可靠、可扩展、可管理”,其建设需要从网络覆盖、组网架构、网络质量和网络管理维护等多方面着手,以提升用户体验为落脚点,全方位提升网络质量。运营级WLAN主要特征有以下几个方面。
·WLAN覆盖将由零散热点向数据热区演进;对构建逻辑数据热区进行统一的网络管理、数据分析和特色业务开展。
·网络架构扁平化,提高网络运营和管理效率。网络部署时要按组建整网的思路进行规划和建设,构筑集中、安全、扁平化的网络架构;同时能适应不同业务的承载需求。
·着眼用户体验,全面提升网络质量:保证网络稳定性,使用户体验良好,满足多用户、高速率接入需求,支持各类WLAN终端方便接入;还需具备高安全性。
·网络可管可控,提升维护和优化水平。确保在网WLAN设备纳入网管,快速定位网络故障,确保网络整体运行良好。图1为WLAN目标组网架构示意。
3 运营级WLAN组网方案
大规模WLAN组网均已采用集中控制型AC (APcontroller,AP控制器)+“瘦”AP(access point,接入点)架构。传统的组网方案是AC分散部署,就近旁挂BRAS(broadband remote access server,宽带网络接入服务器)。一台AC只能管理该BRAS下同一厂商的AP,覆盖范围有限。由于不同BRAS下WLAN业务发展的不平衡,使接入的AP数量、用户数量及流量不同,导致各台AC负载能力不均衡,部分AC设备利用率偏低;如果实现AC备份机制,将会大大提高设备成本。AC分散部署,资源无法做到全网统一调度和管理,无法满足多业务、个性化需求。
为此,提出将不同厂商的AC集中部署,形成AC中心,通过采用AC池化技术提升AC覆盖范围和负载均衡能力,全网统一调度资源。图2为WLAN组网拓扑示意。
每台AC双上联到支持虚拟一体化的二台交换机SW(switch,AC专用接入交换机),AC双上联均采用万兆接口跨框聚合,AP专线接人的BRAS分别采用两个端口分别与AC接入交换机互联,端口绑定,确保网络安全可靠。任一台AC与BRAS均可通过IP路由可达,因此AP通过BRAS可接入任一台AC;同时部署专用DHCP (dynamichost configuration protocol,动态主机配置协议)服务器。通过上述组网形成AC中心。
其中,一部分AC设备配置私网地址,负责通过专线接入的AP;另一部分AC设备配置公网地址,负责通过Intemet接入的AP。
3.1 AC池化技术
将为AP分配管理地址和下发AC地址的功能,从AC设备中剥离出来,AC仅负责AP接入注册、AP管理和管理信息上报给网管平台。AC池中心通过专用的DHCP服务器系统负责为AP分配管理地址,同时通过option 43属性为AP下发AC地址。
WLAN网管和后台的资源库根据新上线AP的需求、AC池中各AC的负载、同一热点已在线AP所注册的AC等情况进行综合考虑,为新上线AP分配合适的AC设备,并将AP与AC的对应关系下发给专用DHCP系统和AC设备。
通过AC池化技术,可以集中调度AC设备;利用网管系统检测在网AC设备负载、设备CPU( central processingunit,中央处理器)利用率等技术指标及实时检测AC设备的故障情况;灵活支持M+l、M+N或M:M等多种AC备份机制。其中.M+l备份指用一台专用的备份AC设备作为肘台主用AC的备份:M+N备份指用Ⅳ台专用的备份AC设备作为M台主用AC的备份,任意1台主用AC出现故障时,可整机切换到备份AC设备上:M:M备份指不设置专用的备份AC,所有的M台AC都正常工作,但不100%配置(如只配置AC能力的800/0的AP),留有一定的空余能力作为备份,当有AC发生故障时,将故障AC上的AP灵活地分散调度到其他若干台AC中。
3.2 AP两种接入方式
AP上联主要有两种接入方式,一种是专线接入.AP通过预配置管理VLAN(virtual local area network,虚拟局域网)接入BRAS.BRAS通过VIAN可识别AP业务并作相应的转发:另一种是AP通过Intemet接入与部署在公网的AC组网。AP通过Internet接人AC组网,作为AP专线接入组网的补充手段,极大地扩大了WLAN的覆盖范围,使任何场点都有可能接入基于城域组网的WLAN。
3.2.1 AP专线接入方式
AP通过专线接入。传统组网需要将不同厂商的AP分别配置不同的管理VLAN,BRAS根据管理VLAN识别厂商,将AP的DHCP报文转发给对应的AC。通过AC池化技术,实现将不同厂商的AP都配置成相同的管理VLAN,BRAS统一将AP的DHCP报文转发给专用DHCP系统。DHCP系统为AP分配管理地址的同时,根据网管系统下发的AP和AC对应关系,通过option43属性为AP下发AC地址。
3.2.2AP Intemet接入方式
AP通过场点部署的企业网关/家庭网关接入Internet,如中小商铺通过部署企业网关/家庭网关PPPoE (PPP overethernet,以太网上传送PPP)拨号接入Internet。AP由网关设备分配地址,通过域名解析获得AC地址,与部署在公网的AC通信建立隧道。
3,3 AC启用二、三层混用功能
中国电信的WLAN组网利用现网已有的BRAS设备,对WIAN用户实现地址分配、认证、管理等功能。用户数据通过AP-AC隧道,经AC二层转发至BRAS,用户二层报文终结于BRAS。
随着多SSID(service set identifier,服务集标识)的开启,AC二层透传各SSID用户数据到BRAS,会过多消耗BRAS的资源,势必会影响到BRAS原来承载的宽带业务。为此,AC会承载部分SSID的用户地址分配、认证和管理等功能,近阶段AC主要承载便捷认证业务的SSID、行业SSID用户的认证和管理:其他SSID用户数据仍由AC二层转发到BRAS。将结合BRAS功能的AC称为融合AC,在现网中融合AC同时启用二层用户数据转发和三层用户数据终结的功能。
3.4多业务承载
中国电信WLAN原本承载ChinaNet业务,随着广大用户和终端类型对WLAN接入的日益普及,各地市级政府和区级政府都有建设“无线城市”和应用的需求,不少行业也提出WLAN业务需求,互联网企业也与运营商合作开展WLAN后向经营业务的需求。为此,同一张WLAN网络需同时承载多种业务,且能够满足个性化业务需求。
采用AC集中部署的池化技术,可以很好地满足上述多业务需求。通过规划用户双层业务VLAN,用外层VLAN标识业务类型、内层VLAN标识AP或场点,就能实现用户位置和业务的精确定位。集中部署的AC可以在全局层面灵活地部署个性化业务策略,可以推送全局性的个性化portal认证页面,也可在同一业务下根据不同AP或场点推送不同的portal认证页面,也支持基于场点和业务进行的个性化计费。
3.5大数据挖掘
WLAN以AP、SSID为单位对热点运营数据进行采集,包括WLAN终端的MAC地址、AP设备地址、RSSI(received signal strength indication.接收的信号强度指示)、时间戳等信息,并发给大数据分析平台。大数据分析平台能按AP、SSID、场点等进行数据统计;按PV(page view,页面浏览量或点击量)数据、UV(unique visitor,访问某个站点或点击某条新闻的不同IP地址的人数)数据、CPC (costper click,每次点击付费广告)数据、CPM (cost per thousandclick-through,网上广告产生每1 000个广告印象(显示)数的费用)数据、流量/人均流量、时长/人均时长等多个维度进行数据展示和业务分析。
同时,将大数据平台分析得到的数据反馈回WLAN,根据用户特征和场点性能,可实时对个性化portal页面的展示内容和热点接入带宽等进行动态调整。
4 WLAN安全防范策略
在建设高效、灵活的WLAN的同时,还要考虑WLAN的安全,其安全包括用户接入安全、用户数据空口传输安全、网络安全、设备安全等方面,下面分别进行描述。
4.1 用户接入安全防范
用户接入安全问题主要有:在同- AP/AC下用户二层互访、IP地址欺骗、MAC(media access control,媒体访问控制)地址欺骗。
如果在同- AP/AC下,用户通过二层网络能相互通信(用户未通过接人认证),则存在如下安全隐患:
·用户通过某一用户作代理访问公网:
·某一终端中毒,则会不断发送ARP( addressresolution protocol.地址解析协议)广播或协议类攻击报文或进行病毒传播、木马植入等网络攻击,影响整个WLAN二层网络:
·用户之间如在同一个局域网,恶意用户(未通过接人认证)能够攻击其他同一个二层网络的用户或窃听其他用户信息。
IP地址欺骗存在如下安全隐患:用户地址由BRAS/融合AC负责分配,如果某一终端配置静态IP地址,会造成与其他终端地址冲突,造成合法用户不能正常上网;如果用户配置用户网关地址,会造成整个网络瘫痪。
MAC地址欺骗存在如下安全隐患:在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比在有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
用户接人应采取的安全防范措施为:
·同- AP和同- AC下启用用户二层隔离功能,只有认证通过的用户才能通过三层相互访问:
·在BRAS设备上启用DHCP snooping功能,用户地址与MAC地址绑定,防范IP地址和MAC地址欺骗。
4.2用户数据传输安全防范
在WLAN中,在同一个AP下用户是共享带宽,如果个别用户使用P2P(peer-to-peer,伙伴对伙伴)、BT (bittorrent,比特流)等这类占用大量带宽的应用,就会影响其他用户正常使用WLAN业务。
通过对用户限速,可以防止个别用户占用过多带宽,提升所有用户使用WLAN业务的体验。
4.3无线网络安全防范
IEEE 802.11网络很容易受到威胁网络安全的攻击,如DoS(denlal of servlce,拒绝服务)/DDoS( distributeddenial of service,分布式拒绝服务)攻击、泛洪攻击、欺骗攻击等。通过启用AC设备的WIDS (wireless intrusiondetection system,无线入侵检测系统)/WIPS (wirelessintrusion detection system,无线入侵保护系统)功能,监视分析无线用户的活动、判断入侵事件的类型、检测非法网络行为、对异常的网络流量进行报警,并根据策略采取相应的措施,确保WLAN的安全。
DoS/DDoS利用软件(含操作系统)的缺陷、协议的漏洞(如Syn flood攻击)进行资源比拼(如发送大量的垃圾数据侵占系统资源),利用攻击程序(如smurf、trinoo、tfn、tfn2k、stacheldraht告示DoS攻击程序)进行攻击。
当一台无线设备试图在网络内泛洪时,会在短时间内发送大量的同种类型的报文。此时AC和AP会被泛洪设备发送的攻击报文淹没而无法处理正常无线终端(合法用户)的报文。
泛洪攻击类型的报文主要有:
·认证请求/解除认证请求;
·关联请求/解除关联请求/重新关联请求:
·探查请求;
·空数据帧:
·action帧。
欺骗攻击:这种攻击是借合法终端MAC地址来发送攻击报文,如一个欺骗的解除认证的报文会导致合法无线客户端下线。
通过启用AC设备的WIDS/WIPS功能,监视分析无线用户的活动、判断入侵事件的类型、检测非法网络行为、对异常的网络流量进行报警,并根据策略采取相应的措施,以确保WLAN的安全。
4.4 WLAN设备的安全防范
DHCP池的安全性。当AC负责分配AP的地址时,即AC启用DHCP池功能,如果AC不检测DHCP请求的终端(如AP)的合法性而直接分配IP地址,则DHCP池的地址可能被耗尽并带来安全隐患。
对于DHCP池的安全性问题,要求AP支持DHCPoption60,即AP携带企业码,这样AC就不会为任意一个DHCP请求的终端分配地址。
AC设备的安全性,主要有以下几个方面。
(1)AC配置公网IP地址,若黑客破解了AC设备账号,入侵了主机,植入了非法进程(如tirqd)与非法服务项(如tblockd),并启用8080端口发送了大量的垃圾邮件,会造成恶劣的影响。
应采取的安全措施有:AC配私网管理地址,与公网隔离;AC启用ACL策略,只允许特定IP地址的终端访问,并设置登人账号:只打开特定端口,其他端口关闭。
(2)当AP到AC注册建立隧道时,如果AC不检测/认证AP的合法性,而直接允许AP注册,则存在非法AP接入的风险。
应采取的安全措施有:AC应检查AP的序列号、MAC地址等,确认所接入的AP是预先允许接入的AP。
5 结束语
将AC集中部署、通过AC池化技术组网,大大减少了AC部署数量和占用机房空间,节省了管理、维护和人力成本;支持AP通过中国电信的有线网络和移动网络以及其他运营商网络接入AC中心,实现WLAN城域组网,极大地扩展了WLAN覆盖范围。利用丰富的VLAN资源实现外层业务VLAN标识业务、内层业务VLAN标识AP或场点等技术,强化网络及设备的安全性能.通过建设运营级WLAN,满足“无线城市”、行业WLAN、商业WLAN和公共无线宽带上网需求。通过自建或与互联网企业合作开展后向经营,极大地提升了WLAN价值,为广大用户提供了高带宽、低资费的无线宽带接入。
