隨著數字化改造的潮流，至今各行各業的網絡環境已經基本完成了無線全覆蓋，加快數字化改造的進程。以高校為例，無線網絡的搭建大致規劃如下所示：

1.無線網絡架構

 目前高校大多數采用的無線網架構為AC+FIT AP，同時采用隧道轉發。客戶通過無線訪問網絡時，AP先將用戶的無線流量封裝進capwap隧道，點到點轉發到無線控制器上，隨即又無線控制器對流量進行解封裝，然后再根據內部的IP報頭進行報文轉發。

2.無線認證架構

 當上網流量引流至AC，再從AC統一轉發至網絡出口，而為了給無線用戶進行統一認證管理，從AC到網絡出口的第一跳設備為校園網第三方認證網關設備。所以如果無線終端需要訪問外網，必須要經過認證網關進行認證，認證成功才能通過并訪問外網。這樣做的好處是可以讓無線網絡系統和認證系統完成解耦，無線和認證兩個系統各自的維護或升級操作不會影響到另外一個系統。

3. 同時由于高校體量較大，無線覆蓋工作需要分成若干期進行實施，所以可能會造成存在多廠商AC的情況。

隨著校園無線網絡規模的逐步擴大，一些問題也隨之出現。主要問題表現為師生在校園內漫游上網時，會突然彈出認證界面，讓終端再次進行認證，而終端是已經成功認證了，在無感知認證功能的前提下，不會讓終端再重新認證的。經過排查出現該問題的原因主要包括一下幾點：

(1)無線網絡三層為多網段規劃，終端在不同區域會獲取不同的IP地址

目前學校無線網在校園內的不同區域規劃了不同的VLAN接入，此規劃的目的是為了避免二層網絡過大造成不必要的流量泛洪和攻擊。但是這種方法會導致無線終端在學校的不同區域上網時，會獲取不同IP網段的地址，而對于校園網的認證網關來說，一個IP地址就代表了一個新終端，如果終端的IP更換之后，需要師生重新用自己的賬號進行認證登錄。

(2)無線網絡部署了多個SSID，導致終端使用隨機MAC獲取IP地址

隨機MAC地址功能起初是為了防范在一些無線環境中，有攻擊者利用WiFi探針技術獲取手機用戶個人信息，即獲取手機WLAN MAC地址，進而獲取手機IMEI號，然后就獲取用戶的手機號，這樣就為騷擾電話提供了來源。

目前手機系統為了應對該問題，都已經支持了MAC地址隨機化功能，MAC地址隨機化是指手機WiFi開啟后，每次在掃描周圍WiFi熱點時攜帶的MAC地址都是隨機生成的，連接不同的SSID就會生成不同的隨機MAC，就算被WiFi探針獲取也無法做正確的大數據匹配。

但是隨機MAC功能在校園無線中也帶來了一些問題。無線終端在通過DHCP獲取IP地址時，不同的終端使用自己的MAC進行區別，即在終端發送的DHCP Discover報文中，需要填充上自己的MAC地址，這樣DHCP服務器就可以區分出來是不同的終端發的請求報文，從而下發不同的IP地址。

DHCP報文格式如下所示：

所以隨機MAC功能導致的結果為終端在學校區域內連接不同的SSID時，會產生不同的MAC地址去請求IP，從而獲取到了不同的IP地址，此時在認證網關內部，依舊會認為是一個新的用戶接入，同樣需要用師生的賬號重新進行認證。

(3)認證網關系統對同一個賬號同時登錄多終端的數量限制

學校認證網關內部創建的賬號認證策略，可以使一個賬號同時登錄6個終端，即如果學生有六個不同的無線終端，可以同時使用自己的賬號進行登錄，而認證網關認為是不同終端的參考依據是終端獲取了不同的IP地址。

所以根據目前校園無線的規劃，同一個無線終端，在學校內漫游上網時，可能由于連接了不同的網段或者連接了不同的SSID，都可能會獲取到不同的IP地址，這樣在認證網關內部會認為是不同的終端，需要把該IP和賬號綁定，最多一個賬號可以綁定6個IP，而由于學校無線區域較大，已經規劃了多個不同的網段和不同的SSID，所以正常情況下，一個終端很可能獲取的IP地址數量就會超過6個，此時由于自己的賬號綁定的IP已經超出限制，所以需要讓終端重新進行認證，將之前綁定的賬號踢下去之后，才能重新認證上網。

1.針對該問題的整改策略

 目前產生該問題的主要原因就是校園無線的部署架構導致同一個終端獲取了多個不同的IP地址，解決該問題的思路就是讓同一終端在整個校園內獲取唯一的IP地址，一般每個學生使用的終端主要包括手機和筆記本，正常情況下每個學生的終端數是不會超過6臺的。這樣在認證網關內部，一個賬號綁定的終端數一般來說就不超過6個了。具體的解決方法如下：

 (1)將多個無線網段合并為一個無線網段

 之前的多網段部署，導致了學生在學校的不同區域會通過不同的VLAN接入，從而就會獲取到不同網段的IP地址。通過將整個無線網段合并為一個大網段，即所有的無線用戶都屬于同一個VLAN，這樣就解決了漫游時更換網段IP的問題。配置方法為將所有AP組調用的服務模板中，將業務接入VLAN都配置成相同的。

并且將無線用戶的網關設置在華為AC上，即在華為AC上配置VLAN4040的三層接口，無線流量傳至網關后，再負責將所有的無線流量上傳至核心交換機。同時華為AC也作為DHCP中繼，負責將終端的DHCP請求統一發送到校園網DHCP服務器，由DHCP服務器統一負責下發地址，保證地址下發的唯一性。

 VLAN4040三層接口配置：

無線流量轉發路徑示意圖如下所示：

 (2)全校部署一個SSID，保證終端使用一個MAC獲取IP地址

 在解決了學校多網段部署架構之后，還需要解決多SSID帶來的隨機MAC問題。雖然目前所有終端都處于同一網段，并且由同一個DHCP服務器統一下發地址，但如果無線終端使用不同的MAC地址去進行DHCP請求，DHCP服務器就會認為是不同終端發來的請求，最終結果還是會下發不同的IP地址。目前絕大部分手機上都默認開啟了隨機MAC功能，通過相應的設置也可以關閉。

但是通過修改終端配置來解決隨機MAC帶來的問題，顯然不現實。針對該問題，采用了統一SSID的方法，即將校園網內所有的SSID都配置成同一個。通過新增一個SSID模板，然后再讓所有的AP組都調用該模板，此時所有的AP就會下發同一個SSID信號。

2.更改后效果說明

 (1)通過合并網段以及合并SSID的操作，就可保證每個終端在校園區域內只能獲取同一個地址。因為在DHCP服務器內下發地址后會保存下發記錄，每次都會優先給終端下發之前使用過的地址。

 (2)雖然目前校園內有兩個品牌的無線AC，但是通過此操作之后，DHCP和認證都和無線AC解耦，測試無線AC只負責AP控制以及流量轉發，所以后期無線AC進行一些策略的修改，主要不涉及VLAN修改，都不會影響到目前的網絡架構。

 (3)目前的架構下，AP使用本地轉發或隧道轉發均可，因為對于無線網關來說，區別就在于是原始流量直接轉發到網關進行識別，還是隧道流量轉發到網關后，先解封裝再進行識別。