摘要 基于上海交通職業技術學院南北兩個校區，兩個校區均采用無線校園網。用戶群的管理實際是規定了用戶所在組群的網絡訪問權限，并且能方便對南校區各用戶進行操作與管理。尤其是在漫游用戶進入南校區無線網絡覆蓋范圍時，該用戶在通過驗證后的權限分配與用戶組別歸類，對信息資源安全起著很重要的作用。本論文在對用戶群管理技術研究的同時，也對用戶群管理的方案進行對比，提出并實現了以接入認證為基礎的動態VLAN來對南校區無線用戶群進行管理，并配置其訪問權限。體現了用戶群管理技術在用戶漫游過程中很高的實用性與價值。

　　關鍵詞 無線校園網，漫游，動態VLAN，用戶群管理

　　the research for Management Technique of user group in wireless campus network

　　Chen wei

　　(Department of Civil Aviation Engineering, Shanghai Transportation Professional Technology Institute, Shanghai 200232, China)

　　Abstract The foundation of my opinion is due to having two institute areas respectively in Southern and Northern places, which are equipped with wireless campus network. The management of user group is to regulate the net visiting limitation and to facilitate the application of users in southern place. When the roaming user entry into the wireless southern campus network, he/she will be checked by the net visiting limitation and user group classification. In such a way does have an important role in the information resource security. This paper on the basis of technique research and project comparison points out the management of dynamic VLAN and the allocation of net visiting limitation for the user groups in the southern place, which embodies the practical value of the management technique of user group in the process of roaming.

　　Keyword Wireless campus network，The roaming，dynamic VLAN, Management of user group

　　1. 研究的意義與背景

　　論文觀點提出的依據主要是由于上海交通職業技術學院存在著南北兩個校區，教師與學生不可避免的會在兩個校區之間流動，如：教師跨校區上課或是學生的重修等。當用戶進入異區時，原本在其本地無線網絡中的連接與使用權限就會失效，此刻異區用戶需要接入無線網并被分配其使用權限。因此，在無線校園網中實現用戶群的合理劃分與管理很有意義的。

　　本文本論亮點在于以接入認證為基礎的動態VLAN來對南校區無線用戶群進行管理，實現論文的中心論點并應用到無線校園網的有效管理系統中去。論文也對北校區用戶群管理的方案并進行對比，使文章的結構，內容更為豐富與充實，從而也體現了校區無線校園網用戶群管理與應用技術的可靠與可行性。另外，用戶群的劃分與管理也是“漫游”技術實現的重要環節之一。

　　2. 無線用戶群管理的實現

　　南校區的注冊用戶主要為各專業的學生以及在校的教職員工。一般來講，他們都可以通過驗證，成功接入南校區無線校園網。隨著用戶數量的提高，用戶在訪問網絡時，如果能為用戶劃分成組群，就能更有組織的對用戶群進行管理，并且能根據用戶所在的群組，給予一定的網絡訪問權限，提高網絡的安全性。采用具有靈活與實用的技術來對用戶群進行劃分與管理，就顯的很重要。

　　VLAN技術在有線校園網絡中已經得到了廣泛的使用，同樣采用無線VLAN技術也可對整個無線網絡進行集中管理。用戶可根據業務需要快速組建和調整VLAN。當鏈路擁擠時，利用管理程序可重新分配業務。使用VLAN節省了帶寬，提高了網絡處理能力。增強了校園網的安全性。VLAN內的用戶不能和其它VLAN內的用戶直接通信，但是可以通過三層交換機實現相互的通信。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。所以利用無線VLAN技術，可以對用戶群進行管理。

　　首先校區可以考慮利用MAC地址的無線VLAN來管理用戶。這種劃分VLAN的方法是根據每個用戶移動終端的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。可以在認證服務器中，建立關于校區每個用戶移動終端的MAC地址的記錄，并以此為根據來劃分管理VLAN用戶群。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個AP換到其他的AP時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千用戶的話，配置是非常累的。而且這種劃分的方法也導致了AP執行效率的降低，因為在每一個AP點都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。如果只要有用戶更換了網卡，這樣VLAN就必須不停地配置。另外，當有“異區”用戶進入時，由于無法知道該用戶移動終端的MAC地址，在接入認證時，就無法通過認證來訪問網絡。可見，這種方案無法有效的管理用戶群。

　　由于校區建立了接入認證系統，非授權用戶一般無法使用網絡資源。最理想的方法是能采用用戶自助方式，但是在未經認證之前，將用戶置于一個公共VLAN ID：GUEST VLAN 中。當用戶通過認證之后，根據用戶的在服務器數據中的注冊信息下發動態的VLAN ID，并給予用戶權限訪問網絡。對于“異區用戶”也可以訪客身份使用公共賬號訪問公共資源。

　　所以，南校區采用以無線接入認證系統為基礎的動態VLAN技術進行用戶群的管理。

　　在校園網基于用戶授權方式的網絡管理中，用戶通過認證，獲得訪問網絡的權限。授權包括用戶可訪問的網絡范圍，以及用戶可獲得的網絡服務質量，如：訪問帶寬、訪問優先級。在南校區的無線校園網中，為了方便用戶群的管理，無線動態VLAN并結合接入認證系統，提供了一種更模塊化、更簡單的管理方式。

　　用戶群管理實現的過程為：

　　1. 利用用戶的身份信息配置VLAN ID，劃分用戶群。

　　RADIUS服務器(此服務器中帶有CAMS功能)中已經對校區內注冊用戶的信息給予記錄在數據庫中了。一般來說，在南校區的注冊用戶中，主要包括了在校的學生、教師以及教輔員工。這些人員的身份信息在數據庫中是有記錄的，根據這些信息可以預先校區的分為若干組群。VLAN ID：Students 1···ID n：Students n，這是學生按專業分成的若干組群，該VLAN用戶可以訪問部分校園網內部與外部資源，其中包括下載各種課件、收取校園通告等權限，其帶寬嚴格受限。任課教師分成一個組群為VLAN ID：Teacher VLAN，該VLAN用戶可以訪問校園網內部與外部全部資源，其帶寬不受限制。教輔員工分為一個組群為VLAN ID：Workers VLAN，該VLAN用戶可以訪問校園網內部與外部全部資源，其帶寬不受限制。對于“異區用戶”、下線用戶與在認證前用戶都編入一個ID：GUEST VLAN 中去。該VLAN用戶被給予了公共賬號密碼，可以訪問一個特定的網絡資源(這些資源統一放在一個公共的服務器上)但無法訪問校園網的外部資源;認證失敗用戶分配在VLAN ID：NO USE VLAN中，禁止其訪問權。

　　2. 授權配置的動態下發實現用戶管理

　　將一組基于用戶群或“異區”用戶定制的策略配置在各個用戶信息中，并且為每個用戶群或“異區”用戶預先分配其授權文件(在授權文件中作包括訪問的端口、帶寬限速、VLAN等)，授權文件保存在服務器中，也可以修改與刪除。校區注冊用戶通過驗證之后(驗證過程詳見圖2)，RADIUS服務器(此服務器中帶有CAMS功能)動態下發VLAN ID給對應的無線接入點，通過AP并給該VLAN用戶群動態下發其授權文件配置，覆蓋用戶在接入認證之前所在的GUEST VLAN 用戶群，使該用戶群能動態獲得其可以訪問的網絡范圍，訪問帶寬以及訪問優先級;如果用戶下線、注銷后，用戶群權限的關聯自動解除，該組群又重新屬于GUEST VLAN 用戶群。

　　3. 用戶群管理技術對“異區漫游”中的實用價值

　　在“異區漫游”過程中當實現了IP地址的無縫轉換后，其實該用戶已經成為南校區無線用戶群中的訪客用戶，屬于GUEST VLAN 該用戶群中。異區用戶、下線用戶都屬于這個VLAN。該VLAN中用戶被給予了公共賬號密碼，只能訪問很少的一個特定的網絡資源(這些資源統一放在一個公共的服務器上)，但是無法訪問校園網的外部資源，其分配的帶寬也是受限制的。這主要是因為異區用戶并沒有通過接入認證，無法成為南校區各合法用戶群中的一員。因此，隸屬于GUEST VLAN該組的異區用戶并沒有真正意義上使用到南校區的網絡資源。反之，南校區認證服務器在接受到北校區認證服務器的驗證有效的用戶信息后，開始進行認證異區用戶的合法性。如果認證成功之后，查看該用戶的身份，將其編入到相應的VLAN用戶群中，分配給異區用戶訪問的權限(用戶群管理詳見本章第2節)，然后，異區用戶就可以開始真正使用南校區的網絡資源或是訪問外網了。漫游用戶的權限完全是根據其所在的群來分配的，因此用戶群管理技術在漫游中體現了很高的實用性與價值。

　　3. 結論與展望

　　本文主要針對上海交通職業技術學院存在南北校區的特點，無線用戶群管理技術可以有效地避免廣播風暴的產生，減少主干流量消耗，提高網絡性能;解決校園網安全保密和資源共享的矛盾和安全性與靈活管理的矛盾;為網絡配置和管理提供了良好的方法。

　　1. 使用效果

　　當北校區的教師進入我校區無線覆蓋時，他的筆記本電腦在處于短暫的IP切換后，北區教師可以通過信號強的AP，無須密碼。接入到校區內的公共資源中去，但無法訪問外網。在接入時，北區教師只要輸入在北校區的他使用的ID與密碼(必須是北校區注冊用戶)，通過兩校區RADIUS服務器的用戶信息交換，十幾秒后(有時也會有超時現象出現)，就能接入南校區的無線網絡了，根據教師用戶群VLAN的權限，他可以使用任何網絡資源與上外網。

　　但是南校區的無線用戶群管理系統也有一些問題存在，如：接入認證時會有超時現象，尤其是使用人數多的情況下;網速慢;兩地認證服務器在傳遞用戶信息時安全性不高，有時會有傳輸中斷的現象等。另外，本系統所講的“異區”，還是狹義的，只實現了我校南北校區用戶群管理，對于外校用戶的是無法實現的。

　　2. 用戶管理優化建議

　　第一，為了節省下次認證的時間與開銷，避免兩校區的認證系統頻繁調用用戶的信息，引起網絡的延時，南校區的認證系統在第一次接受完異區用戶的信息之后，就將該異區用戶的信息記錄在了數據庫中，供該用戶再次漫游接入認證時使用;第二，優化AP點的設置，減少盲區;第三，維護與刷新用戶的數據與系統的配置;第四，加強流量的控制管理;

　　在無線校園網被廣泛應用的今天， 研究與完善我南校區無線校園網實施方案可以很好地滿足校園網的實際應用要求。因此，研究與推進無線網絡技術在校園網建設中的進一步應用是本校區網路建設今后的重點。