摘要 基于上海交通職業(yè)技術(shù)學(xué)院南北兩個(gè)校區(qū)，兩個(gè)校區(qū)均采用無線校園網(wǎng)。用戶群的管理實(shí)際是規(guī)定了用戶所在組群的網(wǎng)絡(luò)訪問權(quán)限，并且能方便對南校區(qū)各用戶進(jìn)行操作與管理。尤其是在漫游用戶進(jìn)入南校區(qū)無線網(wǎng)絡(luò)覆蓋范圍時(shí)，該用戶在通過驗(yàn)證后的權(quán)限分配與用戶組別歸類，對信息資源安全起著很重要的作用。本論文在對用戶群管理技術(shù)研究的同時(shí)，也對用戶群管理的方案進(jìn)行對比，提出并實(shí)現(xiàn)了以接入認(rèn)證為基礎(chǔ)的動(dòng)態(tài)VLAN來對南校區(qū)無線用戶群進(jìn)行管理，并配置其訪問權(quán)限。體現(xiàn)了用戶群管理技術(shù)在用戶漫游過程中很高的實(shí)用性與價(jià)值。

　　關(guān)鍵詞 無線校園網(wǎng)，漫游，動(dòng)態(tài)VLAN，用戶群管理

　　the research for Management Technique of user group in wireless campus network

　　Chen wei

　　(Department of Civil Aviation Engineering, Shanghai Transportation Professional Technology Institute, Shanghai 200232, China)

　　Abstract The foundation of my opinion is due to having two institute areas respectively in Southern and Northern places, which are equipped with wireless campus network. The management of user group is to regulate the net visiting limitation and to facilitate the application of users in southern place. When the roaming user entry into the wireless southern campus network, he/she will be checked by the net visiting limitation and user group classification. In such a way does have an important role in the information resource security. This paper on the basis of technique research and project comparison points out the management of dynamic VLAN and the allocation of net visiting limitation for the user groups in the southern place, which embodies the practical value of the management technique of user group in the process of roaming.

　　Keyword Wireless campus network，The roaming，dynamic VLAN, Management of user group

　　1. 研究的意義與背景

　　論文觀點(diǎn)提出的依據(jù)主要是由于上海交通職業(yè)技術(shù)學(xué)院存在著南北兩個(gè)校區(qū)，教師與學(xué)生不可避免的會(huì)在兩個(gè)校區(qū)之間流動(dòng)，如：教師跨校區(qū)上課或是學(xué)生的重修等。當(dāng)用戶進(jìn)入異區(qū)時(shí)，原本在其本地?zé)o線網(wǎng)絡(luò)中的連接與使用權(quán)限就會(huì)失效，此刻異區(qū)用戶需要接入無線網(wǎng)并被分配其使用權(quán)限。因此，在無線校園網(wǎng)中實(shí)現(xiàn)用戶群的合理劃分與管理很有意義的。

　　本文本論亮點(diǎn)在于以接入認(rèn)證為基礎(chǔ)的動(dòng)態(tài)VLAN來對南校區(qū)無線用戶群進(jìn)行管理，實(shí)現(xiàn)論文的中心論點(diǎn)并應(yīng)用到無線校園網(wǎng)的有效管理系統(tǒng)中去。論文也對北校區(qū)用戶群管理的方案并進(jìn)行對比，使文章的結(jié)構(gòu)，內(nèi)容更為豐富與充實(shí)，從而也體現(xiàn)了校區(qū)無線校園網(wǎng)用戶群管理與應(yīng)用技術(shù)的可靠與可行性。另外，用戶群的劃分與管理也是“漫游”技術(shù)實(shí)現(xiàn)的重要環(huán)節(jié)之一。

　　2. 無線用戶群管理的實(shí)現(xiàn)

　　南校區(qū)的注冊用戶主要為各專業(yè)的學(xué)生以及在校的教職員工。一般來講，他們都可以通過驗(yàn)證，成功接入南校區(qū)無線校園網(wǎng)。隨著用戶數(shù)量的提高，用戶在訪問網(wǎng)絡(luò)時(shí)，如果能為用戶劃分成組群，就能更有組織的對用戶群進(jìn)行管理，并且能根據(jù)用戶所在的群組，給予一定的網(wǎng)絡(luò)訪問權(quán)限，提高網(wǎng)絡(luò)的安全性。采用具有靈活與實(shí)用的技術(shù)來對用戶群進(jìn)行劃分與管理，就顯的很重要。

　　VLAN技術(shù)在有線校園網(wǎng)絡(luò)中已經(jīng)得到了廣泛的使用，同樣采用無線VLAN技術(shù)也可對整個(gè)無線網(wǎng)絡(luò)進(jìn)行集中管理。用戶可根據(jù)業(yè)務(wù)需要快速組建和調(diào)整VLAN。當(dāng)鏈路擁擠時(shí)，利用管理程序可重新分配業(yè)務(wù)。使用VLAN節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。增強(qiáng)了校園網(wǎng)的安全性。VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，但是可以通過三層交換機(jī)實(shí)現(xiàn)相互的通信。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。所以利用無線VLAN技術(shù)，可以對用戶群進(jìn)行管理。

　　首先校區(qū)可以考慮利用MAC地址的無線VLAN來管理用戶。這種劃分VLAN的方法是根據(jù)每個(gè)用戶移動(dòng)終端的MAC地址來劃分，即對每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。可以在認(rèn)證服務(wù)器中，建立關(guān)于校區(qū)每個(gè)用戶移動(dòng)終端的MAC地址的記錄，并以此為根據(jù)來劃分管理VLAN用戶群。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)AP換到其他的AP時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了AP執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)AP點(diǎn)都可能存在很多個(gè)VLAN組的成員，這樣就無法限制廣播包了。如果只要有用戶更換了網(wǎng)卡，這樣VLAN就必須不停地配置。另外，當(dāng)有“異區(qū)”用戶進(jìn)入時(shí)，由于無法知道該用戶移動(dòng)終端的MAC地址，在接入認(rèn)證時(shí)，就無法通過認(rèn)證來訪問網(wǎng)絡(luò)。可見，這種方案無法有效的管理用戶群。

　　由于校區(qū)建立了接入認(rèn)證系統(tǒng)，非授權(quán)用戶一般無法使用網(wǎng)絡(luò)資源。最理想的方法是能采用用戶自助方式，但是在未經(jīng)認(rèn)證之前，將用戶置于一個(gè)公共VLAN ID：GUEST VLAN 中。當(dāng)用戶通過認(rèn)證之后，根據(jù)用戶的在服務(wù)器數(shù)據(jù)中的注冊信息下發(fā)動(dòng)態(tài)的VLAN ID，并給予用戶權(quán)限訪問網(wǎng)絡(luò)。對于“異區(qū)用戶”也可以訪客身份使用公共賬號訪問公共資源。

　　所以，南校區(qū)采用以無線接入認(rèn)證系統(tǒng)為基礎(chǔ)的動(dòng)態(tài)VLAN技術(shù)進(jìn)行用戶群的管理。

　　在校園網(wǎng)基于用戶授權(quán)方式的網(wǎng)絡(luò)管理中，用戶通過認(rèn)證，獲得訪問網(wǎng)絡(luò)的權(quán)限。授權(quán)包括用戶可訪問的網(wǎng)絡(luò)范圍，以及用戶可獲得的網(wǎng)絡(luò)服務(wù)質(zhì)量，如：訪問帶寬、訪問優(yōu)先級。在南校區(qū)的無線校園網(wǎng)中，為了方便用戶群的管理，無線動(dòng)態(tài)VLAN并結(jié)合接入認(rèn)證系統(tǒng)，提供了一種更模塊化、更簡單的管理方式。

　　用戶群管理實(shí)現(xiàn)的過程為：

　　1. 利用用戶的身份信息配置VLAN ID，劃分用戶群。

　　RADIUS服務(wù)器(此服務(wù)器中帶有CAMS功能)中已經(jīng)對校區(qū)內(nèi)注冊用戶的信息給予記錄在數(shù)據(jù)庫中了。一般來說，在南校區(qū)的注冊用戶中，主要包括了在校的學(xué)生、教師以及教輔員工。這些人員的身份信息在數(shù)據(jù)庫中是有記錄的，根據(jù)這些信息可以預(yù)先校區(qū)的分為若干組群。VLAN ID：Students 1···ID n：Students n，這是學(xué)生按專業(yè)分成的若干組群，該VLAN用戶可以訪問部分校園網(wǎng)內(nèi)部與外部資源，其中包括下載各種課件、收取校園通告等權(quán)限，其帶寬嚴(yán)格受限。任課教師分成一個(gè)組群為VLAN ID：Teacher VLAN，該VLAN用戶可以訪問校園網(wǎng)內(nèi)部與外部全部資源，其帶寬不受限制。教輔員工分為一個(gè)組群為VLAN ID：Workers VLAN，該VLAN用戶可以訪問校園網(wǎng)內(nèi)部與外部全部資源，其帶寬不受限制。對于“異區(qū)用戶”、下線用戶與在認(rèn)證前用戶都編入一個(gè)ID：GUEST VLAN 中去。該VLAN用戶被給予了公共賬號密碼，可以訪問一個(gè)特定的網(wǎng)絡(luò)資源(這些資源統(tǒng)一放在一個(gè)公共的服務(wù)器上)但無法訪問校園網(wǎng)的外部資源;認(rèn)證失敗用戶分配在VLAN ID：NO USE VLAN中，禁止其訪問權(quán)。

　　2. 授權(quán)配置的動(dòng)態(tài)下發(fā)實(shí)現(xiàn)用戶管理

　　將一組基于用戶群或“異區(qū)”用戶定制的策略配置在各個(gè)用戶信息中，并且為每個(gè)用戶群或“異區(qū)”用戶預(yù)先分配其授權(quán)文件(在授權(quán)文件中作包括訪問的端口、帶寬限速、VLAN等)，授權(quán)文件保存在服務(wù)器中，也可以修改與刪除。校區(qū)注冊用戶通過驗(yàn)證之后(驗(yàn)證過程詳見圖2)，RADIUS服務(wù)器(此服務(wù)器中帶有CAMS功能)動(dòng)態(tài)下發(fā)VLAN ID給對應(yīng)的無線接入點(diǎn)，通過AP并給該VLAN用戶群動(dòng)態(tài)下發(fā)其授權(quán)文件配置，覆蓋用戶在接入認(rèn)證之前所在的GUEST VLAN 用戶群，使該用戶群能動(dòng)態(tài)獲得其可以訪問的網(wǎng)絡(luò)范圍，訪問帶寬以及訪問優(yōu)先級;如果用戶下線、注銷后，用戶群權(quán)限的關(guān)聯(lián)自動(dòng)解除，該組群又重新屬于GUEST VLAN 用戶群。

　　3. 用戶群管理技術(shù)對“異區(qū)漫游”中的實(shí)用價(jià)值

　　在“異區(qū)漫游”過程中當(dāng)實(shí)現(xiàn)了IP地址的無縫轉(zhuǎn)換后，其實(shí)該用戶已經(jīng)成為南校區(qū)無線用戶群中的訪客用戶，屬于GUEST VLAN 該用戶群中。異區(qū)用戶、下線用戶都屬于這個(gè)VLAN。該VLAN中用戶被給予了公共賬號密碼，只能訪問很少的一個(gè)特定的網(wǎng)絡(luò)資源(這些資源統(tǒng)一放在一個(gè)公共的服務(wù)器上)，但是無法訪問校園網(wǎng)的外部資源，其分配的帶寬也是受限制的。這主要是因?yàn)楫悈^(qū)用戶并沒有通過接入認(rèn)證，無法成為南校區(qū)各合法用戶群中的一員。因此，隸屬于GUEST VLAN該組的異區(qū)用戶并沒有真正意義上使用到南校區(qū)的網(wǎng)絡(luò)資源。反之，南校區(qū)認(rèn)證服務(wù)器在接受到北校區(qū)認(rèn)證服務(wù)器的驗(yàn)證有效的用戶信息后，開始進(jìn)行認(rèn)證異區(qū)用戶的合法性。如果認(rèn)證成功之后，查看該用戶的身份，將其編入到相應(yīng)的VLAN用戶群中，分配給異區(qū)用戶訪問的權(quán)限(用戶群管理詳見本章第2節(jié))，然后，異區(qū)用戶就可以開始真正使用南校區(qū)的網(wǎng)絡(luò)資源或是訪問外網(wǎng)了。漫游用戶的權(quán)限完全是根據(jù)其所在的群來分配的，因此用戶群管理技術(shù)在漫游中體現(xiàn)了很高的實(shí)用性與價(jià)值。

　　3. 結(jié)論與展望

　　本文主要針對上海交通職業(yè)技術(shù)學(xué)院存在南北校區(qū)的特點(diǎn)，無線用戶群管理技術(shù)可以有效地避免廣播風(fēng)暴的產(chǎn)生，減少主干流量消耗，提高網(wǎng)絡(luò)性能;解決校園網(wǎng)安全保密和資源共享的矛盾和安全性與靈活管理的矛盾;為網(wǎng)絡(luò)配置和管理提供了良好的方法。

　　1. 使用效果

　　當(dāng)北校區(qū)的教師進(jìn)入我校區(qū)無線覆蓋時(shí)，他的筆記本電腦在處于短暫的IP切換后，北區(qū)教師可以通過信號強(qiáng)的AP，無須密碼。接入到校區(qū)內(nèi)的公共資源中去，但無法訪問外網(wǎng)。在接入時(shí)，北區(qū)教師只要輸入在北校區(qū)的他使用的ID與密碼(必須是北校區(qū)注冊用戶)，通過兩校區(qū)RADIUS服務(wù)器的用戶信息交換，十幾秒后(有時(shí)也會(huì)有超時(shí)現(xiàn)象出現(xiàn))，就能接入南校區(qū)的無線網(wǎng)絡(luò)了，根據(jù)教師用戶群VLAN的權(quán)限，他可以使用任何網(wǎng)絡(luò)資源與上外網(wǎng)。

　　但是南校區(qū)的無線用戶群管理系統(tǒng)也有一些問題存在，如：接入認(rèn)證時(shí)會(huì)有超時(shí)現(xiàn)象，尤其是使用人數(shù)多的情況下;網(wǎng)速慢;兩地認(rèn)證服務(wù)器在傳遞用戶信息時(shí)安全性不高，有時(shí)會(huì)有傳輸中斷的現(xiàn)象等。另外，本系統(tǒng)所講的“異區(qū)”，還是狹義的，只實(shí)現(xiàn)了我校南北校區(qū)用戶群管理，對于外校用戶的是無法實(shí)現(xiàn)的。

　　2. 用戶管理優(yōu)化建議

　　第一，為了節(jié)省下次認(rèn)證的時(shí)間與開銷，避免兩校區(qū)的認(rèn)證系統(tǒng)頻繁調(diào)用用戶的信息，引起網(wǎng)絡(luò)的延時(shí)，南校區(qū)的認(rèn)證系統(tǒng)在第一次接受完異區(qū)用戶的信息之后，就將該異區(qū)用戶的信息記錄在了數(shù)據(jù)庫中，供該用戶再次漫游接入認(rèn)證時(shí)使用;第二，優(yōu)化AP點(diǎn)的設(shè)置，減少盲區(qū);第三，維護(hù)與刷新用戶的數(shù)據(jù)與系統(tǒng)的配置;第四，加強(qiáng)流量的控制管理;

　　在無線校園網(wǎng)被廣泛應(yīng)用的今天， 研究與完善我南校區(qū)無線校園網(wǎng)實(shí)施方案可以很好地滿足校園網(wǎng)的實(shí)際應(yīng)用要求。因此，研究與推進(jìn)無線網(wǎng)絡(luò)技術(shù)在校園網(wǎng)建設(shè)中的進(jìn)一步應(yīng)用是本校區(qū)網(wǎng)路建設(shè)今后的重點(diǎn)。