智慧礦山中WLAN無(wú)感認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)

馮文超

（蘭州職業(yè)技術(shù)學(xué)院 電子與信息工程系，甘肅 蘭州 730070）

隨著時(shí)代的發(fā)展和技術(shù)的進(jìn)步，有關(guān)礦山未來(lái)發(fā)展方向和實(shí)現(xiàn)方式不斷被刷新。2020年“新冠”疫情的爆發(fā)穩(wěn)固了礦產(chǎn)開(kāi)發(fā)領(lǐng)域轉(zhuǎn)型的主要途徑—大數(shù)據(jù)，人工智能和云計(jì)算的應(yīng)用。智慧礦山[1]的出現(xiàn)正引領(lǐng)著礦山企業(yè)向著綠色，安全，智能，高效的方向加速發(fā)展。為解決工礦企業(yè)各自動(dòng)化設(shè)備在不同礦區(qū)WLAN之間出現(xiàn)的斷線重連，跨區(qū)掉線以及跨區(qū)無(wú)法認(rèn)證的問(wèn)題，提出了基于無(wú)縫漫游的WLAN無(wú)感知認(rèn)證方案。該方案對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行改造，在擴(kuò)大的二層網(wǎng)絡(luò)之上修改了DHCP地址租約策略，使得接入設(shè)備在跨區(qū)漫游過(guò)程中避免IP失效的問(wèn)題，從而避免接入設(shè)備在不同控制器之間漫游出現(xiàn)斷線情況，同時(shí)通過(guò)采用外部認(rèn)證服務(wù)器的方式，保證接入設(shè)備一次認(rèn)證跨區(qū)接入，最后使用無(wú)線網(wǎng)二層隔離和交換機(jī)端口隔離的方式避免可能出現(xiàn)的廣播風(fēng)暴問(wèn)題。

1 基于無(wú)縫漫游的無(wú)感認(rèn)證設(shè)計(jì)

1.1 WLAN漫游和WLAN無(wú)感認(rèn)證問(wèn)題

1.1.1 WLAN漫游問(wèn)題

802.11標(biāo)準(zhǔn)中定義了3種移動(dòng)類型：非移動(dòng)型，BSS移動(dòng)型[2]，ESS移動(dòng)型[3]。從行為特點(diǎn)上，BSS型移動(dòng)稱之為漫游，而ESS型移動(dòng)稱為切換。漫游又可以分為鏈路層漫游和網(wǎng)絡(luò)層漫游。礦區(qū)內(nèi)存在一個(gè)使用WDS技術(shù)[4]中繼的WLAN，當(dāng)一輛礦車(chē)從該WLAN的一個(gè)AP切換到另外一個(gè)AP連接時(shí)，由于IP地址不會(huì)發(fā)生改變，而網(wǎng)絡(luò)數(shù)據(jù)表實(shí)際轉(zhuǎn)發(fā)的路由器卻發(fā)生了改變，這種不切換網(wǎng)絡(luò)的地址的漫游稱之為鏈路層漫游。如果這個(gè)礦車(chē)從一個(gè)網(wǎng)絡(luò)切換到另外一個(gè)網(wǎng)絡(luò)，如果需要重新獲取IP地址，這種漫游稱之為網(wǎng)絡(luò)層漫游。

1.1.2 WLAN無(wú)感認(rèn)證問(wèn)題

為了保證礦山企業(yè)的數(shù)據(jù)完全，礦區(qū)內(nèi)所有的WLAN都需要對(duì)無(wú)線站點(diǎn)的接入進(jìn)行認(rèn)證和授權(quán)。然而當(dāng)無(wú)線終端在一個(gè)WLAN中認(rèn)證之后，該WLAN保存了用戶的認(rèn)證信息，如果無(wú)線終端在不同ESS之間漫游時(shí)，由于無(wú)法同步用戶的認(rèn)證導(dǎo)致網(wǎng)絡(luò)斷開(kāi)，需要重新認(rèn)證，這種情況是WLAN無(wú)感認(rèn)證必須解決的問(wèn)題。WLAN無(wú)感認(rèn)證需要滿足以下三個(gè)要素：①無(wú)線終端首次接入需要認(rèn)證，但在之后的使用過(guò)程中無(wú)需重新認(rèn)證；②系統(tǒng)必須提供無(wú)線終端的統(tǒng)一身份認(rèn)證方式；③當(dāng)無(wú)線終端發(fā)生漫游或者重連之后可以自動(dòng)認(rèn)證。

1.2 跨WLAN無(wú)感認(rèn)證設(shè)計(jì)方案

圖1 智慧礦山中新網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

在礦山無(wú)線網(wǎng)絡(luò)中，無(wú)縫漫游的用戶表現(xiàn)是終端的IP地址，MAC地址和身份ID信息在漫游過(guò)程中保持一致。由于MAC地址有網(wǎng)卡廠商統(tǒng)一分配，因此不會(huì)導(dǎo)致重復(fù)，身份ID是礦山企業(yè)為每個(gè)接入點(diǎn)分配的唯一身份認(rèn)證，因此也可以避免重復(fù)情況。因此要實(shí)現(xiàn)用戶在漫游過(guò)程中不更換IP地址，需要設(shè)計(jì)合理的組網(wǎng)方式，設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

在上述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，如果無(wú)線終端進(jìn)行BSS漫游，則可以采用802.11協(xié)議中的IAPP協(xié)議[5]。在實(shí)現(xiàn)漫游的基礎(chǔ)上，由于web portal認(rèn)證服務(wù)器處于AP控制器的上層，因此無(wú)論終端是否進(jìn)行漫游，其認(rèn)證信息都存在于web portal服務(wù)器之中，且在整個(gè)漫游過(guò)程中不會(huì)出現(xiàn)IP地址的切換，因此無(wú)需重新認(rèn)證。為了避免網(wǎng)絡(luò)規(guī)模的擴(kuò)大導(dǎo)致的網(wǎng)絡(luò)沖突，進(jìn)而使得WLAN的網(wǎng)絡(luò)利用率大幅降低。

由于網(wǎng)絡(luò)規(guī)模的擴(kuò)大，每個(gè)終端節(jié)點(diǎn)在發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包都需要發(fā)送廣播報(bào)文獲取信道參數(shù)，這種廣播大量堆積會(huì)導(dǎo)致廣播風(fēng)暴[6]。為了避免這種情況的發(fā)生，本系統(tǒng)采用終端隔離，具體來(lái)說(shuō)，在無(wú)線網(wǎng)中采用二層隔離的方式，在有線網(wǎng)中采用端口隔離的方式。

2 基于無(wú)縫漫游的無(wú)感認(rèn)證的實(shí)現(xiàn)

2.1 無(wú)縫漫游的實(shí)現(xiàn)

在智慧礦山探索建設(shè)階段，該礦區(qū)提供無(wú)線網(wǎng)絡(luò)的主要設(shè)備為華為無(wú)線設(shè)備，在整個(gè)礦區(qū)部署約4320個(gè)AP，4臺(tái)AC，兩臺(tái)web Portal服務(wù)器和一臺(tái)RADIUS服務(wù)器。如圖2所示，在通過(guò)部署兩臺(tái)AC為礦區(qū)的無(wú)線終端提供兩個(gè)無(wú)線網(wǎng)絡(luò)服務(wù)。

圖2 無(wú)縫漫游組網(wǎng)方式

圖3 漫游響應(yīng)時(shí)間對(duì)比

通過(guò)上述操作，可以實(shí)現(xiàn)無(wú)線終端在兩個(gè)AC之間實(shí)現(xiàn)漫游，通過(guò)驗(yàn)證無(wú)線終端在兩個(gè)AC之間漫游斷開(kāi)的時(shí)間，可以驗(yàn)證本方案的正確性。測(cè)試結(jié)果如圖3所示。

2.2 無(wú)感認(rèn)證的實(shí)現(xiàn)

基于無(wú)縫漫游的無(wú)感認(rèn)證實(shí)在無(wú)線漫游組網(wǎng)方式的基礎(chǔ)上，采用串聯(lián)web portal認(rèn)證服務(wù)器的部署方式。

無(wú)感認(rèn)證的模式需要滿足：①在web portal服務(wù)器開(kāi)啟無(wú)感認(rèn)證模塊；②設(shè)置統(tǒng)一的認(rèn)證界面；③web portal獲取匯聚交換機(jī)的ARP表，將無(wú)線終端的IP和MAC地址進(jìn)行綁定。通過(guò)給交換機(jī)的前4個(gè)端口開(kāi)啟隔離組，隔離著4個(gè)端口的廣播包。無(wú)感認(rèn)證的有線網(wǎng)絡(luò)的端口配置過(guò)程如圖4所示。

圖4 有線網(wǎng)絡(luò)的端口配置過(guò)程

通過(guò)上述所述的步驟，WLAN的無(wú)感知認(rèn)證配置完成，無(wú)線終端通過(guò)訪問(wèn)頁(yè)面進(jìn)行準(zhǔn)入身份登記，web portal服務(wù)器會(huì)根據(jù)登錄時(shí)間記錄登錄終端的IP和MAC地址以及身份信息等，信息綁定之后，無(wú)線終端無(wú)論是在不同AC之間漫游還是斷開(kāi)重連，都可以實(shí)現(xiàn)無(wú)感認(rèn)證。該設(shè)計(jì)測(cè)試并初步應(yīng)用，通過(guò)無(wú)感認(rèn)證的方式，較為明顯的提高了無(wú)線終端接入效率。

3 結(jié)束語(yǔ)

文章提出了基于無(wú)縫漫游的WLAN無(wú)感認(rèn)證方案。該方案在擴(kuò)大的二層網(wǎng)絡(luò)之上修改了DHCP地址租約策略，避免接入設(shè)備在不同控制器之間漫游出現(xiàn)斷線情況，同時(shí)通過(guò)采用外部認(rèn)證服務(wù)器的方式，保證接入設(shè)備一次認(rèn)證跨區(qū)接入，最后使用無(wú)線網(wǎng)二層隔離和交換機(jī)端口隔離的方式避免可能出現(xiàn)的廣播風(fēng)暴問(wèn)題。