曹 海

?

園區(qū)無線網(wǎng)絡(luò)覆蓋應(yīng)用分析

曹 海

福建省氣象信息中心

為在福建省氣象局大院實施WLAN覆蓋項目，實現(xiàn)“攜帶自己的設(shè)備辦公”(bring your own device，簡稱BYOD)，該文在確立網(wǎng)絡(luò)建設(shè)原則的基礎(chǔ)上，首先通過對原有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行梳理分析，確立建設(shè)目標(biāo)，并分析建設(shè)過程中存在的主要問題，針對大院WLAN覆蓋項目中出現(xiàn)的DHCP服務(wù)、用戶認(rèn)證管理、強(qiáng)制信號綁定、AP供電、網(wǎng)絡(luò)安全等問題逐一提出解決方案，指明了未來應(yīng)開展的實踐和研究工作。

BYOD WLAN DHCP 用戶認(rèn)證管理 網(wǎng)絡(luò)安全

隨著氣象現(xiàn)代化進(jìn)程的推進(jìn)，氣象業(yè)務(wù)對信息網(wǎng)絡(luò)的需求越來越大，要求越來越高[1-2]。與此同時，隨著無線應(yīng)用的安全技術(shù)不斷發(fā)展，移動計算技術(shù)的日益普及和BYOD(bring your own device)應(yīng)用需求的不斷增強(qiáng)，無線技術(shù)被市場所采納和接受[3-5]，無線網(wǎng)(Wireless Network)以其無需布線、多區(qū)域漫游、運(yùn)行費(fèi)用低廉等優(yōu)點，得到各級氣象部門青睞[6-7]。伴隨而來的DHCP服務(wù)、用戶認(rèn)證管理、強(qiáng)制信號綁定、AP供電、網(wǎng)絡(luò)安全等問題也尤為突出，針對這一情況，福建省氣象局在大院(下文簡稱“大院”)WLAN項目中，通過有線無線統(tǒng)一管理、用戶認(rèn)證與DHCP分設(shè)備管理、POE供電交換機(jī)接入、專用電源模塊供電、IMC智能管理平臺、AC無線接入控制器等措施進(jìn)行解決。

1 建設(shè)原則及網(wǎng)絡(luò)結(jié)構(gòu)

大院原有互聯(lián)外網(wǎng)在經(jīng)過“統(tǒng)一出口”改造后，所有用戶以IP與賬號綁定，有線與私搭無線混用。為對用戶進(jìn)行更有效管理，需將有線與無線分開管理，撤除所有私搭無線，盡可能維持原有網(wǎng)絡(luò)結(jié)構(gòu)，以最小工程量實現(xiàn)WLAN覆蓋。

1.1 網(wǎng)絡(luò)建設(shè)原則

基于整個項目的目標(biāo)定位和使用需求，有以下幾個原則：

（1）廣覆蓋性原則。此次無線網(wǎng)絡(luò)建設(shè)用到了65個AP來支撐起整個網(wǎng)絡(luò)的廣度，人員相對密集的區(qū)域，用智能型AP保證覆蓋范圍及信號強(qiáng)度，辦公室較多的區(qū)域，采用面板式AP保證每間辦公室都有足夠的信號，并且相互不干擾。

（2）高移動性原則。高移動性是一個無線網(wǎng)絡(luò)最基本的需求，目前建設(shè)的無線網(wǎng)絡(luò)范圍內(nèi)都可以隨意進(jìn)行漫游，走到任何一個覆蓋區(qū)域都能上網(wǎng)，不會出現(xiàn)網(wǎng)絡(luò)卡頓、重新認(rèn)證等情況。

（3）易組網(wǎng)性原則。FIT型的網(wǎng)絡(luò)架構(gòu)確保AC與眾多AP之間的通信效率，AC管理AP方便。整個拓?fù)淝逦?，易于擴(kuò)展，可以隨時通過增設(shè)AP來擴(kuò)展信號覆蓋范圍。

（4）高安全性原則。安全性是無線網(wǎng)絡(luò)最重要的環(huán)節(jié)，目前依靠用戶隔離，AP隔離和系統(tǒng)性的認(rèn)證，保證整個無線網(wǎng)絡(luò)的安全性能。

（5）安全便捷認(rèn)證原則。所有用戶的信息都保存在上網(wǎng)行為管理上，實時查看管理無線上網(wǎng)用戶狀態(tài)，認(rèn)證、流控管理、用戶認(rèn)證注銷等均與原本有線上網(wǎng)的管理方法一致，符合用戶習(xí)慣。

（6）低難度運(yùn)維原則。無線網(wǎng)絡(luò)的建設(shè)就是為了減少有線網(wǎng)絡(luò)帶來的各種工程運(yùn)維難度，不需要太多的材料，方便日后維護(hù)。

1.2 原網(wǎng)絡(luò)結(jié)構(gòu)

經(jīng)過多年建設(shè)，大院互聯(lián)外網(wǎng)已經(jīng)形成核心、匯聚、接入三層架構(gòu)，骨干網(wǎng)絡(luò)已達(dá)到千兆、部分萬兆，主要桌面與服務(wù)器接入均達(dá)到千兆水平，網(wǎng)絡(luò)安全方面也已經(jīng)在出口部署了防火墻、防病毒網(wǎng)關(guān)、入侵檢測、上網(wǎng)行為管理等設(shè)備，拓?fù)鋱D如圖1所示。

但隨著無線業(yè)務(wù)需要的增加，各單位私自搭設(shè)無線網(wǎng)絡(luò)，導(dǎo)致接入終端不可控，網(wǎng)絡(luò)安全隱患也遍布全網(wǎng)。因此只有保證接入終端合法性，以及終端與用戶綁定，保障合法用戶規(guī)范化管理，才能保障無線業(yè)務(wù)安全、穩(wěn)定、高效運(yùn)行?；诖?，大院開展WLAN覆蓋，對原有“統(tǒng)一出口”網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造便勢在必行。

圖1 大院原網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D

2 建設(shè)目標(biāo)及問題分析

2.1 WLAN覆蓋后目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)

為維持“統(tǒng)一出口”網(wǎng)絡(luò)結(jié)構(gòu)，不影響原有外網(wǎng)業(yè)務(wù)和有線用戶接入，以及網(wǎng)絡(luò)安全規(guī)范要求，WLAN覆蓋對網(wǎng)絡(luò)結(jié)構(gòu)的改造僅從上網(wǎng)行為管理器下聯(lián)的匯聚交換機(jī)開始，因此WLAN覆蓋后的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D將其他安全設(shè)備統(tǒng)稱“安全設(shè)備”，以簡化結(jié)構(gòu)。WLAN覆蓋后的目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖2所示。

為實現(xiàn)對無線AP的集中管理及AP無配置擴(kuò)展，在 匯聚交換機(jī)接入AC無線接入控制器，實現(xiàn)對AP的管理及DHCP。因各單位原有網(wǎng)關(guān)交換機(jī)都不帶POE供電功能，為解決AP供電問題，將網(wǎng)關(guān)交換機(jī)更換為帶POE供電功能的POE交換機(jī)。更換網(wǎng)關(guān)交換機(jī)后，有線用戶和無線用戶均下掛于新網(wǎng)關(guān)交換機(jī)。在新網(wǎng)關(guān)交換機(jī)接口不夠時，級聯(lián)原有網(wǎng)關(guān)交換機(jī)，有線用戶仍接入原有網(wǎng)關(guān)交換機(jī)，實現(xiàn)利舊。

圖2 大院WLAN覆蓋后目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.2 問題分析

通過對原有網(wǎng)絡(luò)結(jié)構(gòu)及接入設(shè)備情況的梳理，以及建設(shè)目標(biāo)的明確，在建設(shè)過程中將可能出現(xiàn)下列問題。

2.2.1 DHCP服務(wù)

原有有線用戶均為IP綁定，考慮無線終端多樣性，IP綁定無法實現(xiàn)，如手機(jī)終端；同時長時間無活躍記錄終端占用IP，將導(dǎo)致IP地址用盡的情況。

2.2.2用戶認(rèn)證管理

無線認(rèn)證做到另外系統(tǒng)上將導(dǎo)致有線和無線用戶分設(shè)備管理，必然增加管理人員工作量；如何實現(xiàn)“一用戶，多終端”以滿足一人多終端接入需求。

2.2.3信號覆蓋及接入AP選擇

考慮到建筑結(jié)構(gòu)復(fù)雜，如何實現(xiàn)信號無死角覆蓋；同時在信號疊加區(qū)域終端接入對AP的選擇，以保障更好的網(wǎng)絡(luò)體驗。

2.2.4 AP供電

WLAN覆蓋所部署的AP供電方式有遠(yuǎn)程POE交換機(jī)供電及現(xiàn)場供電模塊兩種，如何規(guī)劃以保障供電性能、降低工程量及節(jié)約成本。

2.2.5網(wǎng)絡(luò)安全保證

WLAN覆蓋后，諸如接入終端合法性，終端流控，AP間攻擊，網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全問題突出，需要采取相關(guān)措施，保證網(wǎng)絡(luò)安全。

3 解決方案

針對大院原互聯(lián)外網(wǎng)結(jié)構(gòu)情況，在WLAN覆蓋項目實施過程中遇到了DHCP服務(wù)配置、用戶認(rèn)證管理、強(qiáng)制信號綁定、AP供電、網(wǎng)絡(luò)安全等幾個關(guān)鍵性問題，在項目實施過程中均逐一找到解決方法。

3.1 DHCP服務(wù)

為滿足大院WLAN覆蓋業(yè)務(wù)及配置需求，對VLAN類型及規(guī)劃原則如表1所示。與此同時，在本項目中設(shè)計IP及IP池規(guī)劃原則如表2所示。

表1 VLAN規(guī)劃

表2 IP地址規(guī)劃

為保證IP池內(nèi)IP地址活躍性，同時剔除長時間未有活躍的用戶，在AC上配置DHCP周期為20d，如圖3所示，同時在上網(wǎng)行為管理器上配置自動注銷無流量的已認(rèn)證用戶的時間為20d，兩設(shè)備時間匹配后方能達(dá)到在指定時間內(nèi)無活躍記錄的終端釋放IP，同時保證了規(guī)劃的IP池的可用性。

圖3 DHCP服務(wù)配置界面

為實現(xiàn)用戶無需綁定IP、只需輸入用戶名和密碼即可獲得IP地址接入網(wǎng)絡(luò)，WLAN覆蓋項目規(guī)劃的IP為DHCP動態(tài)分配，即只要在上網(wǎng)行為管理器端認(rèn)證通過的終端，AC將自動為其分配一個IP地址。

3.2 用戶認(rèn)證管理

考慮到將無線用戶認(rèn)證做在AC端，必然導(dǎo)致有線用戶與無線用戶分設(shè)備管理，在增加管理人員工作量的同時，必然需要大面積改造網(wǎng)絡(luò)結(jié)構(gòu)。因此，無線用戶認(rèn)證管理仍然采用上網(wǎng)行為管理器實現(xiàn)（如圖4所示），形成了與原有的有線用戶進(jìn)行統(tǒng)一管理，在利用舊設(shè)備的同時，最大限度保持原有網(wǎng)絡(luò)結(jié)構(gòu)。

圖4 上網(wǎng)行為管理器

原有網(wǎng)絡(luò)中所有用戶，包括業(yè)務(wù)服務(wù)器、有線用戶及私搭無線用戶均采用“一賬號，一IP”的模式，在認(rèn)證策略中獨立添加新注冊用戶IP。為實現(xiàn)無線用戶無需綁定IP、只需驗證用戶名和密碼，即可由AC端DHCP自動分配IP地址，在上網(wǎng)行為管理器端認(rèn)證策略中相應(yīng)添加IP資源池的認(rèn)證策略。

用戶的認(rèn)證管理為AC無線接入控制器與上網(wǎng)行為管理器協(xié)同合作完成，既保證了系統(tǒng)的穩(wěn)定性，同時也最大限度維持了原有網(wǎng)絡(luò)結(jié)構(gòu)及認(rèn)證方式，減輕了維護(hù)人員的工作量。

3.3 強(qiáng)制信號綁定

為避免由于AP發(fā)射信號過大引起的不必要干擾以及鄰居AP發(fā)生宕機(jī)信號無法有效覆蓋的問題，本W(wǎng)LAN項目AC采用無線功率自動調(diào)整算法（TPC）實現(xiàn)無線AP發(fā)射功率的自動調(diào)整，從而解決無線信號無法智能高效覆蓋的問題。同時，采用蜂窩式部署，保證AP之間互不干擾。智能AP開啟雙射頻，2.4GHZ跟5.8GHZ同時工作，讓用戶上網(wǎng)更流暢，網(wǎng)路暢通。AP跟其序列號綁定，才能上線，不允許外有AP私自接入網(wǎng)絡(luò)。關(guān)鍵配置代碼如下：

3.4 AP供電

在原有“統(tǒng)一出口”項目中，雖然為各單位配備網(wǎng)管交換機(jī)，保證各單位用戶直連至網(wǎng)關(guān)，通過網(wǎng)關(guān)到達(dá)信息中心匯聚交換機(jī)，實現(xiàn)了快速上網(wǎng)。但原有的網(wǎng)管交換機(jī)不帶POE供電功能，因此在AP部署時AP的供電問題不能解決，同時考慮到增加供電模塊的成本過大，尤其是局機(jī)關(guān)外網(wǎng)結(jié)構(gòu)相對簡單，均為網(wǎng)管交換機(jī)直連至用戶，綜合以上原因，將局機(jī)關(guān)原有交換機(jī)替換為POE供電交換機(jī)解決。

信息中心網(wǎng)絡(luò)相對較為復(fù)雜，從中心交換機(jī)下來通過樓層交換機(jī)才能到達(dá)用戶，因此在替換原有網(wǎng)關(guān)交換機(jī)為POE交換機(jī)的同時，對某些無法實現(xiàn)供電的AP增加供電模塊，實現(xiàn)現(xiàn)場供電。

3.5 網(wǎng)絡(luò)安全設(shè)計

（1）加密算法設(shè)計。按照WLAN網(wǎng)絡(luò)數(shù)據(jù)加密相關(guān)規(guī)范要求，結(jié)合WPA2+AES高級加密算法強(qiáng)加密、高安全的算法特點，本項目WLAN數(shù)據(jù)加密和完整性標(biāo)準(zhǔn)基于802.11i安全體系，加密算法為WPA2+AES算法，保證WLAN網(wǎng)絡(luò)的安全性。

（2）IP地址分配。利用AC無線控制器的DHCP功能進(jìn)行IP地址分配，DHCP周期為30d，所分配IP地址30d無活動記錄則收回注銷，賬號再次登錄時DHCP重新分配IP地址。

（3）賬號管理。采用上網(wǎng)行為管理注冊用戶賬號，并對無線賬號密碼進(jìn)行身份認(rèn)證，流控管理等。

（4）無線終端隔離設(shè)計。為避免無線網(wǎng)絡(luò)中用戶間進(jìn)行大量數(shù)據(jù)傳輸，過多占用無線帶寬資源，從而導(dǎo)致其他用戶無法正常使用無線網(wǎng)絡(luò)，本項目對無線進(jìn)行用戶隔離配置部署，無線終端間禁止相互訪問，只能訪問互聯(lián)外網(wǎng)。

（5）非法AP控制。在AC無線控制器端，采用白名單管理AP的方式，對接入的AP進(jìn)行統(tǒng)一管理。在后續(xù)擴(kuò)展AP的時候，應(yīng)首先在AC端添加新增AP的MAC地址，防止非法AP隨意接入網(wǎng)絡(luò)。

（6）防惡意攻擊。在AC設(shè)備上配置防ARP欺騙功能，可以防止接入用戶發(fā)起惡意ARP欺騙攻擊，確保WLAN接入用戶的使用安全。

4 結(jié)論與展望

福建省氣象局大院WLAN覆蓋項目實現(xiàn)了真正的BYOD，本文在介紹原有網(wǎng)絡(luò)結(jié)構(gòu)及改造后網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，詳盡分析了項目中的關(guān)鍵設(shè)備，并針對項目實踐過程中遇到的幾個主要問題給出相對優(yōu)化的解決方案。針對現(xiàn)有項目現(xiàn)狀，未來的實踐和研究將主要集中在以下幾個方面：

（1）多認(rèn)證方式結(jié)合。本項目中采用的是Portal認(rèn)證，在未來的實踐和研究中將考慮Portal認(rèn)證與短信、二維碼、微信等驗證方式相結(jié)合的驗證方式，以方便用戶認(rèn)證。

（2）IMC平臺自動預(yù)警。IMC平臺暫只有監(jiān)控功能，可考慮增加AP掉線、非法AP接入等突發(fā)情況給管理員推送短信、微信等消息進(jìn)行預(yù)警，以實現(xiàn)無人值守功能。

（3）精簡管理設(shè)備。項目中網(wǎng)絡(luò)管理設(shè)備有上網(wǎng)行為管理器、AC、IMC，若能將此三個網(wǎng)絡(luò)管理設(shè)備功能進(jìn)行優(yōu)化組合，在一臺設(shè)備上實現(xiàn)，不僅能節(jié)省項目成本，同時能大大減輕網(wǎng)絡(luò)管理人員的工作量。

[1] 陳莉莉.寬帶無線接入技術(shù)比較以及應(yīng)用分析[J].科技資訊,2009(10): 27.

[2] 趙彩霞.淺議無線通信技術(shù)的發(fā)展及應(yīng)用[J].科技信息,2009(20): 203.

[3] 劉丹譜,郝建軍,樂光新.WiMAX寬帶無線接入技術(shù)及其應(yīng)用[J].中興通訊技術(shù),2008, 14(1): 59-62.

[4] 易龍.從中國無線技術(shù)與應(yīng)用大會看當(dāng)前六大熱點無線技術(shù)[J].中國無線電,2009(9): 14-16.

[5] 程廣.無線技術(shù)應(yīng)用新亮點[J].中國無線電,2009(8): 17-18.

[6] 張恩寶.無線寬帶技術(shù)及其行業(yè)應(yīng)用研究[J].上海電力,2009(5): 412-415.

[7] 蘇斌,王玫.談企業(yè)網(wǎng)絡(luò)信息管理的發(fā)展前景[J].機(jī)械管理開發(fā),2000(2): 19-20.