1、IP網絡中WiFi終端管理的一種技術實現摘要 當前對 WiFi 終端的接入管理一般是通過身份認證 系統與網絡設備結合，以聯動的方式來實現終端的訪問、權 限以及分類管理。這種管理方法由于生產廠商之間的技術壁 壘，常要求網絡設備和身份認證系統統一品牌才能實現。本 文通過對DHCP HTTP標準協議的分析，旨在探索出一條通 過標準技術實現 WiFi 終端接入管理的思路。關鍵詞 WiFi 接入管理 ;終端接入管理 ;DHCP;HTTP;NAC 隨著 802.11n 標準草案的通過， WiFi 進一步消除了和有 線網絡之間的接入速率差距， WiFi 技術的應用就成為各大 運營商分流的一個好幫手。雖然 W

2、iFi 擁有很多優點，但是 WiFi 終端類型的多樣性， 則引申出終端接入管理的多種問題。 近些年來業界主流的管理思想是通過用戶管理來實現終端 管理，主要強調的是用戶身份的合法性和權限分配，即網絡 接入訪問控制技術（NAC）。NAC的思想雖然能夠實現精細化 的接入管理，但是這種管理方式通常是基于網絡設備與身份 認證系統（或認證網關）之間的聯動功能，勢必要求身份認 證系統下發的策略在無線控制器或者交換機能夠進行識別。 換句話來說就是策略的管理端、執行端通常需要使用同一個 生產廠商的產品。而處于建設和管理的發展角度考慮，網絡 建設者常常不希望因為產品聯動功能而受到建設制約，這就 要求身份管理、終端

3、管理要依托于兩套相對獨立的技術實現。一、實現原理通過對DHCP HTTP等標準化協議進行技術分析，我們 發現不一定非要靠用戶身份的辨識來進行 WiFi 接入終端的 管理：通過終端在進行 DHCP交互、Web認證或者是 HTTP 交互時，也可以通過對交互報文的截獲、解析、識別來對接 入終端進行分類，然后在無線設備管理平臺上對不同類型的 接入終端進行訪問權限、QoS、轉發路徑等策略的部署。這 種方式無線設備的生產廠商就可以實現，而不需要和身份認 證系統或者交換機進行聯動或者對接。通過DHCP option 進行終端管理的想法雖然在無線 WiFi 網絡的實際應用還不廣 泛，但是該思路在運營商的IPT

4、V業務中已經經過了較嚴謹的 測試及成功部署的驗證。 例如在中國電信內部發布的 IPTV承 載網絡DHCP接入技術規范（V2.2）中就如何通過標準的 DHCP 交互流程來實現IPTV機頂盒的接入控制和用戶認證應用。從對DHCP option技術分析來看，雖然通過 DHCP交互 能夠分辨終端的基本類型，但是由于涉及到終端廠商自定義 的內容，而且DHCP能夠攜帶的終端信息有限，因此我們還 需要尋找另外一種攜帶更加豐富和細致的終端信息的標準 技術，我們可以引入 HTTP協議的UA字段來滿足這個需求。 這種通過HTTP UA字段來進行無線終端的屬性收集及管理策略下發，在網絡設備廠商也已經獲得了一些成熟的

5、應用。例如在思科的身份服務引擎 (ISE解決方案中，就有通過HTTP UA 字段來識別無線接入終端的類型， 然后通過認證系統的用 戶類型和終端類型綁定來實現根據用戶下發管理策略。從前面的技術分析可以看出， DHCP option 所提供的終端 信息較少，在最少的情況下只能看到基本的設備類型和操作 系統類型，為了解決這個問題，在終端信息的識別過程中除 了正則表達式的應用之外，還需要考慮如果同時存在 DHCP 和HTTP信息識別方式，而這兩者有矛盾時，如何進行最準 確的識別。在這里將對比流程圖設計如下：二、效益分析由于將用戶身份認證和 WiFi 終端管理進行了分離， 網絡 的管理者在部署 WiFi

6、 網絡時不再受限于身份認證系統、 交換 機和無線設備之間的聯動關系，而是將三者以一種松耦合的 方式來進行聯系。 這種松耦合關系能夠消除 WiFi 網絡建設時 的廠商技術壁壘，網絡管理者在進行設備選型及采購時可以 根據需要對身份認證系統、交換機、無線設備進行獨立的采 購，保護投資。其次，當用戶通過智能手機、平板電腦長時 間在線時，互聯網出口很可能出現帶寬不足或者某種終端占 用了大量的帶寬的情況，但僅僅是擴展互聯網出口還是無法 解決根本問題。那么通過本文介紹的方法，可以在管理系統 上預先自定義策略模版，針對不同類型的接入終端通過路由策略下發可以實現分流出口，例如：智能手機通過電信出口 接入互聯網

7、;iPad 平板電腦通過移動出口接入互聯網; 筆記本電腦通過聯通出口接入互聯網。 另外，在一些特定的環境下， 某些網絡資源保密性要求比較高，只有特定的移動終端才能 進行訪問， 其它的 WiFi 接入終端是無法訪問的。 這時光靠用 戶身份認證顯然不能滿足要求，因此通過本文介紹的方法， 可以識別特定的 WiFi 終端，滿足特定資源的保密訪問需求。 最后，隨著在很多單位和企業， 信息化建設的投入越來越大， 定制化或者統一采購的 WiFi 終端管理成為一些單位和企業 面臨的新問題，這部分資產是下發給用戶使用的，但是使用 的情況以及資產審計是一個挑戰。通過本文介紹的方法，可 以網絡管理者對接入 WiFi 終端進行信息的收集， 在管理系統 上呈現出來實現這部分資產管理和使用情況的審計。總之，本文中介紹的通過 DHCP和HTTP標準協議的應用 能夠幫助網絡管理者在 WiFi 接入終端的管理上提供了一種 更加精細化的思路。參考文獻：1 （美）史蒂文斯（Stevens）.TCP/IP詳解卷32011年 6 月 .2 徐寶海.WiFi網絡工程優化方法研究.電腦編程技巧 與維護 .