校園無線網路規劃與建置

TANet 2013教育部workshop演講 (2013/10/23於中興大學)

1 主持人，各位來賓大家好。我是安順國中黃文穗，1999~2011在台南市教育網路中心擔任網路組長12年，目前part time協助教育部資科司，推動網路電話及無線網路等相關技術工作。

2 今天要向大家報告的主題如簡報所示：

2.1 首先要說明的是無線網路佈署架構，將依照fat AP、thin AP及smart AP等順序，詳加說明。其中thin AP架構已經有一個明確定義的名稱，也就是controller based architecture，至於smart AP，到目前為止，尚未出現獲得共識的架構名稱，有人稱之為協同控制架構，也就是cooperative control architecture。不過名稱到底只是個名詞，其實並沒有那麼重要，比較重要的是，我們能不能從無線網路發展的趨勢中，找到當下最適合TANet校園無線網路長期發展的架構，這也是今天簡報的主要重點。

2.2 講完佈署架構之後，我們可以確定，就是建置校園無線網路，一定要配置無線網路管理系統，而無線網路管理系統的必要元件有那些？次要元件又有那些？這是簡報的第二個和第三個重點。

2.3 接著將列出幾個比較重要的無線網路規劃與建置的注意事項，提供大家做個參考。

2.4 最後列出二個有關無線網路使用時，可能會遇到的IPv6異常而導致網路無法正常使用的問題。

3 我們先來看使用fat AP的無線網路佈署架構。

3.1 這個架構很單純，主角是獨立運作的fat AP，其特色是底下的紅字：分散管理、分散存取。

3.2 這個架構非常適合在家庭或個人使用，但是應用到企業或校園環境，由於AP佈署數量變多，就會出現管理上的困擾，例如：

3.2.1 管理者不知道AP發生故障，必須自己定期巡視或是使用者回報，才到現場進行維修。

3.2.2 或是AP與AP之間的頻道衝突，管理者必須手動調整。

3.2.3 或是移動使用者(mobile user)沒辦法在跑NAT模式的AP之間無縫轉移，順利轉接至新的AP，並繼續剛剛尚未結束的session。

3.3 不過這些問題，對於幾乎在固定位置的使用者，其實也都不算嚴重。fat AP最大的麻煩是，跑bridge模式的fat AP無法同時提供802.1x及web portal login二種登入方式進行認證，於是必須搭配無線網路閘道器這樣的網路設備來共同運作，可是並不是所有的有線網路也必須納入管理，結果只好額外建vlan或另一套實體網路，讓無線網路閘道器及其底下所連接的fat AP，和有線網路做區隔，導致無線網路佈署的複雜度大幅增加。

3.4 即使後來也有廠商為了簡化管理，設計了fat AP監控系統，但是fat AP畢竟只是胖AP，本身功能不足，無法滿足大量佈署的管理需求。結論是：fat AP不適合應用在較大規模的校園無線網路佈署。

4 接著我們來看使用thin AP的無線網路佈署架構。

4.1 這個架構的設計的主要概念在於：既然fat AP功能不夠強大，不如就改用功能更少的簡易型基地台，也就是thin AP。thin AP只簡單地負責將天線的訊號，經由tunnel送往controller，讓所有的管理存取都集中到controller上，其特色是底下的紅字：集中管理、集中存取。

4.2 這個架構是非常棒的設計，它有效簡化了無線網路的AP佈署。請大家看一下這張架構圖，任何一個有線網路暢通的地方，不一定必須在同一個Layer2 vlan底下，即使是跨Layer3的環境，甚至在NAT底下，只要thin AP能與controller建立tunnel，這台thin AP就可以順利提供無線網路！

4.3 2006年，當時我任職於台南市教育網路中心，那一年暑假，經由林守仁主任的行政支援、賴守全教授的技術指導及教育部電算中心劉金和副主任的全力協助，台南市順利在8月初成為全國第一個IPv6 enabled的縣市網。同一時間我們也正在評估要如何佈署集中管理式的無線網路？當時我預測，只要在中心端的wireless vlan長出IPv6 interface，即使controller和thin AP都只支援IPv4，但是因為邏輯上，無線終端設備透過tunnel已經被搬到wireless vlan這個Layer2 vlan，所以就可以巧妙地讓無線終端設備取得IPv6 address，並順利連上IPv6網路了！實驗結果證實：沒錯！即使中間的controller和thin AP都不支援IPv6，無線終端設備，如notebook，都可以非常容易取得dual stack環境，來進行各項IPv6實驗，比起安裝tunnel broker軟體來連接IPv6，實在好用太多了。

4.4 但是這個架構有什麼缺點？主要有二個問題：

4.4.1 第一個是單點失敗，萬一controller出狀況，底下的thin AP就全部都不能用了，遇到這個問題，廠商會說，OK，這個簡單，可以做HA，看是要選擇雙備援或是N+1備援都可以。當然OK，只是這麼做會需要增加不少經費。

4.4.2 第二個問題是集中存取。這本來是這個架構最大的好處，因為流量全部集中在controller，甚至可以在中心端就能進行許多使用者端的trouble shooting，問題是這也意謂著，使用者必須先連到中心，才能連回到學校的區域網路，如果使用者大量存取的只是學校的伺服器，卻會因此導致學校出口端的流量增加，甚至造成擁塞，這樣怎麼會是好的設計呢？而且未來的802.11ac，每個終端的頻寬可以達到1G以上，集中流量到中心端的controller真的撐得住嗎？遇到這個問題，廠商會說，OK，這個簡單，只要在每個學校都至少佈署一台controller，改用階層式controller架構，就沒問題了。

4.5 可是學校的controller也可能發生故障，一出狀況，學校的thin AP就全部都不能用了，請問除了再花錢做HA，有沒有什麼更好的方法？請大家看一下這張架構圖，如果controller下放到學校端時，居然和thin AP合而為一，那會怎麼樣？

5 是的，沒錯，controller與thin AP合而為一，就是我所謂的smart AP。到目前為止，這個架構尚未出現獲得共識的架構名稱，不過沒關係，反正我們的討論重點是這個架構的運作特色，也就是底下的紅字：集中管理、分散存取。

5.1 請再回想一下剛剛所報告的內容，剛剛是說：fat AP畢竟只是胖AP，本身功能不足，無法滿足大量佈署的管理需求，既然如此，不如就改用功能更少的thin AP，讓所有的管理存取都集中到controller上。

5.2 如果硬體效能改變了呢？如果AP的運算能力，可以滿足各項佈署需求，即使AP跑的是bridge模式，也能同時提供802.1x及web portal login二種不同的登入認證，甚至AP已經具備監控Layer2到Layer7的能力，可以當FW或IPS，那還需要把所有的管理存取都集中到controller嗎？

5.3 答案很明顯，要是smart AP具備controller的功能，那麼符合網路發展趨勢的設計，也就是集中管理、分散存取，就可以獲得實現。

5.4 請大家特別留意，我並不是說controller based architecture有什麼不好，以現況來說，控制器架構的運作非常穩定可靠，仍是很棒的選擇，但是當無線網路流量需求愈來愈大的時候，如果要進行新的無線網路規劃與建置，我們就得開始謹慎評估，最好能找到支援集中管理、分散存取的最佳解決方案。

6 講完佈署架構之後，我們可以確定一件事情，就是大規模佈署無線網路，一定要有無線網路管理系統，底下是無線網路管理系統的兩個必要的元件：

6.1 第一個必要元件是管理系統要支援集中化管理、設定、除錯機制。

6.1.1 這時候大家可能會提出的問題是，到底現在應該選擇controller還是manager？請大家不必太在意名稱，因為上面報告所提到的架構問題，原廠RD一定也都早就開始思考，相信各家廠商都會提出最佳的解決方案！基本上，未來的controller架構，預設AP跑tunnel mode，但是也可以同時支援bridge mode，而由manager管理的smart AP呢？預設跑bridge mode的smart AP，本來就設計可以同時支援tunnel mode。二者的發展將提供一致的功能：該bridge就bridge，該tunnel就tunnel！都會是很有彈性的設計。總之，請先考量貴單位現在及未來三年內的網路狀況，並記得規劃方向要儘量符合集中管理、分散存取的無線網路發展趨勢，應該就不會有太大問題了。

6.1.2 另一個要留意的是AP所扮演的角色。預測在不久的將來，校園無線網路佈署涵蓋範圍將會愈來愈大，以後大部份的學生，甚至有可能都不知道什麼叫做有線網路了，在這種狀況底下，AP將不再只是天線，不再只是有線網路的延伸，而是具備高階網管功能的交換器！如果設計得當，中心的網路管理者不必疲於奔命，可以待在辦公室，就能取得足夠的資訊進行異常除錯，甚至在使用者還沒有申告障礙之前，就已經發現故障AP並通知維護廠商去做更換。

6.1.3 當然啦，有人會糾正我說，應該要稱呼AP是集線器，因為AP不過只是半雙工設備而已。網路技術持續發展，新的技術讓有線網路從集線器(Hub)昇級到交換器(Switch)，沒道理無線網路必須永遠停留在半雙工技術，預測會有新的技術讓無線網路傳送更有效率，這也是我提早稱呼AP是交換器的原因。

6.2 第二個必要元件是管理系統要有AAA伺服器。其中：

6.2.1 Authentication認證伺服器是各單位一定要有的server。要特別提醒的是，如果貴單位還在使用radius轉pop3向mail server認證，請儘快做調整，因為這樣的運作方式將無法支援安全認證的無線漫遊。

6.2.2 Authorization授權伺服器可以進一步管理不同使用者的存取權限，企業界甚至會要求同一使用者的不同裝置，也要有不同的存取權限，不過在TANet，一般只是設計以SSID來區隔使用者，同一SSID登入者的網路存取權限幾乎都一樣，所以在Authorization這一部份，暫時只要能在管理系統群組設定中，可以做權限調整就夠了，但是如果想要針對異常行為的使用者執行限速、中斷連線，或是管理學生在教室可存取的應用服務，就必須落實授權管理機制。

6.2.3 Accounting一般是翻譯為計費伺服器，我認為比較貼切的翻譯是記錄伺服器，因為Accounting Server其實並不只是計費的功能而已。

6.2.3.1 基本上Accouting Server至少要能做好流量統計，並依照管理者的需求，by user或是by user’s device去做統計。

6.2.3.2 Accounting log是除錯的重要資訊來源，理想的無線網路管理系統最好能有非常便利管理者的機制，搭配NAT mapping log，即使使用者在NAT底下，也能讓管理者輸入public IP及存取時間，即可找出該使用者及其所使用的設備。

6.2.3.3 除了傳統的Accounting log，只要搭配的無線設備可以吐出L2～L7的相關資訊，未來的Accounting Server即可延伸為巨量log collector & analyzer，進而分析出更多有用的資訊。到目前為止，Accounting Server一直是被TANet忽略的伺服器，期待國內廠商能重視巨量分析network log的需求，在最近的未來，透過Hadoop平台、NoSQL資料庫、機器學習(machine learning)及資料探勘(data mining)，發展出屬於自己的關鍵技術。

7 再來看無線網路管理系統的次要元件：

7.1 和有線網路相比較，使用無線網路連接的設備可能會大幅增加，所以要找到IPv4不足的解決方案。為了不讓NAT設備成為阻斷IPv6的障礙，預測未來很有可能會出現支援SDN的edge switch，讓IPv6、private IPv4、public IPv4等三個不同的Layer3網段，可以在同一個實體Layer2網路混用，而且彼此幾乎不會互相干擾，不過這樣的產品尚未出現，現階段也只好繼續等待。

7.2 長遠來看，IPv4不足是必然的結果，未來可能有許多設備必然會使用pure IPv6來提供服務，因此有必要在規劃無線網路的時候，就把支援IPv6當成必要的設計。

7.3 每個單位免不了都會有訪客需要使用無網路的需求，最好可以有訪客管理讓管理者可以便利使用。

7.4 中小學生在教室使用平板電腦或其他教學載具進行教學，最好能提供一套教室管理，白名單或是黑名單都好，讓任課老師可以對學生做必要的網站存取管制，以免干擾教學進行。

7.5 之前在推動VoIP時，我們要求IP phone必須支援自動佈署，引用同樣的概念，也希望AP也能支援自動佈署。只要網路暢通，AP就可以連到自動佈署伺服器，更新firmware及設定檔，有效減輕管理者的負擔。

7.6 緊急SSID指的是當AP發生無法正常連接認證服務時，自動送出平常不會出現的SSID，如119，可以由管理者訂定其緊急登入方式，以便在緊急狀況下仍能臨時使用無線網路。

8 接著來談規劃與建置的幾個注意事項：

8.1 可以預期的是校園無線網路將是教學活動的重要基礎建設，值得大家充滿熱情地投入心力！隨著被動式無線偵測器(passive wireless sensor)的發展，教學應用、科學研究、氣象觀測、緊急防災等各式各樣的用途，也將陸續出現，未來的校園無線網路將不再只是無線網路而已。

8.2 再次提醒大家，校園無線網路一定要有無線網路管理系統，而且至少要有網路中心超級管理者、學校管理者、教室管理者等三種不同等級的管理群組，才能滿足基本的管理需求。

8.3 Captive portal login是很不安全的無線網路登入方式，尤其應用在TANet跨單位漫遊，一來容易被假造的web server擷取登入帳密，二來認證成功之後的無線傳輸並未加密，非常容易被周遭的有心人士竊聽，因此實在不宜鼓勵使用者繼續使用。更何況全世界通用的學術網路漫遊eduroam，早就明確地在advisories 001告知不要使用web logins來進行認證，那麼為何TANet許多單位還是大張旗鼓地採用呢？請大家在規劃不安全網頁認證的同時，也要提供符合802.1x安全認證的無線服務，甚至主動引導使用者改用安全認證，提昇無線網路安全等級。

8.4 最近802.11ac產品開始出現，有很多伙伴詢問是不是不要再買802.11n了？關於這個問題，我的回答是「當季水果又便宜又好吃」。佈署架構的選擇比無線訊號的傳輸頻寬來得重要多了！能買得到符合佈署架構的802.11ac產品，那當然很好，不過千萬不要只是因為AP已經支援802.11ac而下決定。

8.5 單一台AP的功能強大當然是件好事，但是多台AP協同合作的整體服務能力，兼具備援及負載平衡的優點，更值得深入評估。

8.6 教室隔間的屏蔽效應本來是挺大的麻煩，但是善加利用，卻是很大的好處。實際佈署經驗告訴我們，如果將AP佈署在走廊，讓好幾間教室共用一台AP，比較容易出現使用者載具連結到其他樓層訊號不良的AP，有時甚至必須重新開機才能正確連結而正常使用無線網路；如果將AP直接佈署在教室，使用者載具幾乎不會錯誤連結訊號不良的AP，而且教室內AP可以使用較弱的電磁波，即可提供良好的無線網路環境。更何況未來教室的行動載具會愈來愈多，將AP直接佈署到教室，才是正確的選擇。

9 以上簡要說明，希望對大家在規劃校園無線網路時，會稍微有所幫助；如果發現謬誤之處，還請各位來賓不吝指正，謝謝！

[後記]

講稿發佈之後，獲得最多回饋的是6.1.3有關AP是Hub或Switch的看法。基本上大家認為802.11ac已經讓AP以接近Switch交換的模式來運作，所以當然可以把AP當成Switch來看待！可是我內心認為，如果無線繼續使用無法有效抗干擾的通訊底層Fourier Transform，恐怕不太可能保證達成有線網路交換層級的網路傳輸效率，也許要等到使用新的通訊底層，例如不受干擾影響的Hilbert-Huang Transform才能達成。但是這種想法的變動非常巨大，未來真的會有這類產品嗎？