基于QinQ+Portal认证技术在校园无线网中的应用

郑瑞平

陕西师范大学教育学院，西安 710062

随着数字化校园的快速推进，师生对于移动学习的要求也进一步提高。在校园中，不可能做到每一个角落都布设有线网络，而师生不仅希望能够在办公室、实验室、宿舍等有固定网络信息点的场所使用校园网络，更希望在校园的每一个角落都使用网络，比如阶梯教室、体育馆、图书馆和户外场所，等［1-2］。该文介绍了陕西师范大学近期自行部署校园无线网所进行的方案设计，并最终选择QinQ技术和Portal认证技术应用到校园无线网络，希望能对一些企业和学校在做无线网络的组建和设计时起到一些参考作用。

1 QinQ技术及Portal认证技术

1．1 QinQ 技术

QinQ技术其实就是IEEE 802．1QTunneling(隧道)，是将用户私网VLAN Tag封装在公网VLAN Tag中，报文带着两层Tag穿越服务商的骨干网络(公网)，从而为用户提供一种较为简单的二层VPN隧道。QinQ协议是基于IEEE 802．1Q技术的一种二层隧道协议。由于在公网中传递的帧有两层802．1QTag(一个公网Tag，一个私网 Tag)，即802．1Q-in-802．1Q，所以称之为QinQ协议［3］。QinQ报文封装与802．1Q报文封装对比如图1所示。

图1 QinQ与802．1Q的报文封装对比

支持QinQ的网络设备可以用一个VLAN来支持拥有多个VLAN的用户。用户自身的VLAN被保留起来，这样即使进入设备的不同用户流的VLAN相同，也会在设备内部网络中被分开传输［4］。在同一个二层网络中最多可以支持创建4 094个VLAN，但在实际应用中，这个数量远远不能满足需求。Switch设备提供的QinQ接口，可以给帧加上双重Tag。通常情况下，通过配置可以在内部网络中(如大型校园网络)使用帧的私网Tag，而在外部网络中(如运营商的网络中)使用公网Tag，从而可以最多提供4 094×4 094个VLAN，满足隔离大量用户的需要。

1．2 Portal认证技术

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其他信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。Portal认证技术提供一种灵活的访问控制方式，不需要安装客户端，就可以在接入层以及需要保护的关键数据入口处实施访问控制。

Portal认证技术具有以下优点:

①不需要部署客户端，直接使用Web页面认证，使用方便;

②可以定制“VLAN+端口+dhcp池”粒度级别的个性化认证页面，同时可以在Portal页面上开展服务选择和信息发布等内容，进行业务拓展;

③关注对用户的管理，可基于用户名与VLAN ID/IP/MAC的捆绑识别来认证，并采用Portal server和Portal client之间，BAS和Portal client之间定期发送握手报文的方式来进行断网检测［5］。

2 校园无线网络部署和实施

陕西师范大学原有的有线网络都已接入到办公楼、实验楼、教学楼和学生宿舍，此次无线网络的设计就是通过在有线网络基础上增加无线控制器、无线AP、PoE交换机及相应管理系统，基于QinQ技术和Portal认证技术实现校园无线网络的覆盖。

2．1 校园网现状

陕西师范大学现有长安和雁塔两个校区，校园网有三个网络出口:教育专线、电信专线及联通专线。核心交换机上做了适当的分流策略，使得访问不同的外部网络走不同的线路，从而做到负载均衡。两个校区核心层各有一台Juniper MX 960作为核心路由，到各个楼宇的汇聚层由光缆连通。学生宿舍已经在2011年改造了原有网络，在汇聚层交换机上启用QinQ技术，然后下发到学生宿舍的各个接入交换机。学生在接入端上网使用Portal认证技术，上网账号和密码实现了与学校信息门户系统账号和密码的对接，并在Portal认证页面提供网络自助服务系统，方便学生进行查询、管理及充值业务。

陕西师范大学无线网络是由中国电信投入和部署的，电信SSID为ChinaNet和yixun，上网需要认证电信拨号客户端，具体收费是按月包时，而且属于校外网络，不能访问和下载校内的资源，对于教师、学生和校内其他工作人员十分不便。

2．2 校园无线网络部署

由于陕西师范大学有线网络应用QinQ结合Portal认证技术已有2年多的时间，相对技术比较成熟，网络使用也比较稳定。所以，无线网络的部署就是在原有网络基础上增加无线相关设备，实现与有线网络和校园门户系统的无缝对接。无线网络的设计主要从以下几个方面考虑:

①覆盖范围要求:主要是有线网络无法接入的室外场所及有线网络使用不便或受限的室内场所。用无线网络覆盖可以来解决相当数量的移动设备同时访问网络的问题。在学校中，主要包括各教学楼、校园礼堂、学校图书馆以及户外休息区等场所。

②安全、认证和管理的要求:考虑到校园无线网络安全的问题，需要实现对用户管理、认证和控制功能，用户需要通过Web页面认证，认证账号和密码通过与学校门户系统数据库对接［6］。

③校园无线网网络结构的要求:无线接入所需布设的POE交换机和无线AP通过校园网的有线网络汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网。无线微蜂窝覆盖就是多个AP各自的无线信号相互交叉覆盖，在其覆盖区域内实现无缝连接，无线终端只要处于覆盖无线信号的地区，就可以通过就近的AP访问互联网，实现用户在覆盖区内的漫游，由于有多个AP之间可以实现无线互联通信，所以不会因为单个AP区域没有覆盖到的地方而无法上互联网［7］。

基于以上几个方面的综合考虑，陕西师范大学最终确定为AC+AP的设计方案。在核心端，陕西师范大学选用Hipath C5210无线控制器，无线控制器系统负责对整个无线网络系统进行统一集中监控，并对所有无线接入点(AP)进行集中控制，管理与这些接入点有关的无线客户端设备的网络分配［7］。每台高端控制器支持高达1 050个接入点，考虑未来网络升级和扩容问题，通过部署多控制器，可以支持更多接入点;在接入端，选择AP 3715无线接入点，负责无线信号的收发，完成与无线终端设备的交互;供电段:接入层POE交换机选择西门子公司800系列08G20G4-24P POE交换机，负责为AP提供POE供电，并为其提供网

络链路平台［8］。

2．3 QinQ的实施与配置

校园无线网络的设计是在两校区各增加一台enterasys C5210型号的无线控制器，对整个无线网络系统进行统一集中管理和监控，同时负责全校所有AP的管理和监控，无线控制器通过单模光纤链接到核心设备MX 960上，相应接口配置如下:

xe-0/3/0{

flexible-vlan-tagging;

auto-configure{

stacked-vlan-ranges{

dynamic-profile stackvlan-BanGongQu{

accept［dhcp-v4 dhcp-v6］;

ranges{

2201-2230，4031-4060;

}

}

}

}

unit 3901{

vlan-id 3901;

family inet{

address 10．19．0．13/29;

}

}

}［9］

由于有线网络的各个楼宇的汇聚层设备都是链接到同一个核心设备Juniper MX 960上，所以只需在互联到汇聚设备的对应接口下加上无线网络对应的VLAN(包括外层VLAN和内层VLAN)，相应接口配置如下:

description"Connect to SNNU-YT-BGQ-Jiao6Lou:gi";

flexible-vlan-tagging;

auto-configure{

stacked-vlan-ranges{

dynamic-profile stackvlan-BanGongQu{

accept［dhcp-v4 dhcp-v6］;

ranges{

2206-2206，101-4060;

}

}

}

}［9］

各楼宇的汇聚设备到核心设备Juniper MX 960的互联端口只需要把所有的用户VLAN和设备管理VLAN透传上去即可。陕西师范大学各个楼宇的汇聚设备都是H3C的网络设备，H3C设备能很好地支持QinQ技术，在汇聚的HC3 5500交换机上开启QinQ功能;同时把增加的POE交换机连接到每个楼宇的汇聚设备上，在相应端口也开启QinQ功能，相应接口配置如下:

interface GigabitEthernet1/0/11

port link-mode bridge

description"Connect to WiFi-POE-SW"

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 2 to 4094

port trunk pvid vlan 2206=

qinq enable

qinq transparent-vlan 4094［3］

陕西师范大学选用的poe交换机是enterasys公司生产的800系列08G20G4-24P POE交换机，它有24个10/100/1000自适应POE RJ45端口，在相应的端口添加内层标签VLAN。根据每层楼教室的格局、部署，通过安装西门子公司的Hipath 3715瘦AP来实现整层楼的无线覆盖，AP数量依实际情况而定。这种采用AC+AP的整体组网方案可轻松实现全网的无缝漫游以及负载均衡。

2．4 Portal认证的实施与配置

对于Portal认证用户是通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过;对于访问其他地址的HTTP报文，接入设备将其重定向到Portal服务器［5］。Portal服务器提供Web页面供用户输入用户名和密码进行认证，并在Portal认证页面提供网络自助服务系统，方便学生进行查询、管理及充值业务。

Portal认证过程可以简单描述如下:首先，用户通过DHCPServer获取IP地址，从而可以直接访问Portal服务器和一些内部服务器;第二步，用户根据登录前获得的IP被强制跳转到指定Web登陆界面，在该Web界面同时还可以浏览Web页面上的新闻、公告等免费信息;第三步，用户在登录界面输入用户名和密码，随后用户所输入的用户名和密码就会被Web客户端传给Portal服务器;第四步，Portal服务器又将用户请求发送至BAS，而BAS再传给Radius(远程接入用户认证服务)服务器进行认证;最后，将认证通过的信息再回传到Portal服务器，由Portal服务器向用户推送相应的认证界面，从而实现相互认证和用户上网的过程［10］。

对于Portal认证，IP地址是用户的惟一标识。因此，Portal认证的策略是在用户所在VLAN ID的网关设备上添加，也就是核心设备MX 960上添加强制转到Portal认证页面的策略，策略如下:

filter pbr1{

interface-specific;

enhanced-mode;

term 1{

from{

destination-address{

10．19．0．100/32;

}

}

then accept;

}

}

配置radius服务器:

access{

radius-server{

10．19．0．100{

port 1812;

accounting-port 1813;

secret"＊＊＊＊＊＊";##SECRET-DATA

source-address 10．19．1．2;

}

}

profile radius_profile{

accounting-order radius;

authentication-order radius;

radius{

authentication-server 10．19．0．100;

accounting-server 10．19．0．100;

}

domain{

map test{

access-profile radius_profile;

strip-domain;}

}

}

通过对陕西师范大学校园网络现状的分析，设计了一套即安全可靠，又能与原校园网络紧密结合的无线网络方案，这就是基于Qinq和Portal认证技术部署的校园无线网络，其网络结构如图2所示。

图2 校园无线网络结构

该文以陕西师范大学校园无线网络的部署工程为背景，设计了校园无线网络的部署方案，给出了与原有线网络相结合的基于QinQ和Portal认证技术的无线网络应用规划思路。无线网络发展到今天，虽然不能够取代有线网络，但作为有线网络的延伸和补充，基于QinQ和Portal认证技术相结合的校园无线网络不失为一个好的选择。

［1］胡建龙，高岭，种兰祥，等．现代校园无线网络建设与管理［J］．中国教育信化，2012，(15):54-55

［2］王鑫．浅谈校园无线网络设计与实现［J］．电子商务与电子政务，2013，(9):452-456

［3］华三通信技术有限公司．QINQ技术白皮书［EB/OL］．http://www．h3c．com．cn/Products_Technology/Technology/LAN/Other_technology/Technology_recommend/200805/60 5855_30003_0．htm，2012-01

［4］刘浪，洪耀球．QinQ技术在校园网中的应用［J］．信息科技，2012，(5):202

［5］华三通信技术有限公司．Portal认证技术白皮书［EB/OL］．http://www．h3c．com．cn/Products_Technology/Technology/Security_Encrypt/Other_technology/Technology_recommend/200812/624142_30003_0．htm，2012-06

［6］罗坚．基于FitAP模式的无线校园网络的设计与实现［D］．上海:上海交通大学，2012，(5):11-12

［7］王毅．WLAN中AC_AP组网的设计与应用［J］．产业与科技论坛，2012，(11):101-102

［8］西门子公司．Wireless Student Guide v4．07［EB/OL］．Enterasys Networks，2012-03-05

［9］Juniper网络公司．Juniper MX960 Technotes［EB/OL］．http://www．juniper．net/techpubs/en_US/release-independent/junos/topics/concept/mx960-description．html，2013-05

［10］秦文胜，辛继胜．基于Portal认证的电信宽带接入在校园网中的应用［J］．中国教育信息化，2011，(21):79-80