编辑点评：高校在校园WLAN覆盖的基础上引进运营商WLAN，可以转移部分用户至运营商网络，减少校园网出口的压力。然而，能够实现校园内迅速部署运营商WLAN的前提是学校无线网络已经采用统一无线局域网架构。本文介绍校园网络中运营商Wi-Fi的部署，并基于这种架构来讲述具体的实现细节，对于其他高校具有借鉴的价值。

　　高校在校园WLAN覆盖的基础上引进运营商WLAN，可以转移部分用户至运营商网络，减少校园网出口的压力；高校通虽然可以实现各高校之间的跨校认证，但对于来自非高校的一些来宾仍然要提供Guest WLAN以实现无处不在的网络接入需求，而运营商的WLAN就能很好地满足这种需求，也省去了该校对自己建设的Guest WLAN的管理。

　　运营商如果自行部署高校内的WLAN，除了需要大量的硬件及线路投入，由于无线频谱的共享特性，运营商部署的AP还面临着同校方无线设备相互干扰的问题；如果运营商利用高校已有的无线设备增加自己的WLAN覆盖，提供一条WLAN用户的出口链路，则能避免以上问题，很容易地实现上千亩地域的校园WLAN覆盖。

　　统一无线网络架构

　　传统的无线局域网架构是以无线接入点（AP）为中心，AP提供802.11基本服务集（BSS）并充当该服务集的集线器，无线客户端通过与AP关联并到达网络的其他位置。在这种模式下，客户端直接和AP相连，由AP管理无线射频信道的使用并独立执行各种安全策略。当大范围的无线网络需要部署多个AP时，管理配置众多的AP不仅很困难，而且不能做到对各无线客户端的监控和服务质量保证。

　　在新型的无线网络架构中，将AP的绝大部分功能集中到一个中心设备，这个中心设备叫做无线网络控制器（WirelessLan Controller，WLC）。在中心架构下，信标和探针消息、RF发送和接收等由AP在802.11的MAC层同无线客户端交互，这种简化功能的AP通常被称为Fit AP或LAP（Lightweight AP）。而客户端的关联和漫游、对客户端的认证、授权、计费（AAA）则由WLC完成，控制器还能对射频资源进行统一管理，自动调节AP的发射功率、自动分配频段。LAP和WLC通过有线网络连接之后会基于此连接建立一条隧道，用于传输与IEEE802.11相关的消息和客户端数据，隧道将LAP和WLC之间的数据封装在IP分组中进行传输，因此可以跨交换或路由部署LAP和WLC，使用这种集中化的控制管理模式能全面了解无线网络状况，集中配置部署，降低运营、管理和维护成本。

　　能够实现校园内迅速部署运营商WLAN的前提是学校无线网络已经采用上述统一无线局域网架构，以下将基于这种架构来讲述具体的实现细节。

　　实现方案

　　在统一的无线局域网架构中，通常先将连接到WLC的多个LAP进行分组，然后对这些分组的LAP进行无线客户端VLAN、AAA和SSID的统一配置。对于某个特定的LAP或LAP组可以配置多个VLAN、AAA和SSID的组合。采用多SSID的方案，能够在现有校园WLAN的基础上与运营商WLAN共享硬件及射频资源，校园网和运营商分别配置各自的SSID，并使用不同的AAA策略。

　　图1是融合运营商WLAN之后的总体架构示意图。图中Controller和LAP通过有线相连，它们之间路由可达，构成了统一无线网络基础架构，虚线部分是为结合运营商WLAN所添加的改动。客户端数据通过Controller和LAP之间的隧道到达Controller，由Controller决定不同WLAN客户数据的最终去向。选择校园WLAN所对应SSID的用户流量去往校内认证服务器，在通过身份验证后经由防火墙去往Cernet；选择运营商SSID的WLAN用户流量从Controller直接去往ISP，由运营商完成用户的AAA和网络访问。不同的SSID所对应的不同数据流向，使校园网用户和运营商用户相互隔离，保证了双方的安全性。

　　对于校园WLAN，需要配置认证服务器、认证前的网络访问权限及认证后的网络访问权限、SSID和对应的客户端VLAN、802.11X或Web Portal的认证方式。因为运营商用户的数据从Controller流出后直接去往运营商的网络，运营商网络一般采用Portal方式在认证服务器上进行认证，所以校园网工程师不需要关心运营商用户认证的细节，只需要在WLC上开启运营商SSID用户的透明访问权限，为防止运营商用户认证通过后直接访问校园网，一般做法为在运营商用户的VLAN中去除接口地址即可，运营商用户的网关直接指向运营商相应的网关设备，这样运营商可以按流量对用户进行计费，同时也保证了校园网络的安全。

　　（作者单位为华东师范大学）