陜西省漢中市氣象局　李　天　吳詩懿　姜宗元

氣象業(yè)務(wù)無線網(wǎng)絡(luò)升級方案

陜西省漢中市氣象局李天吳詩懿姜宗元

無線網(wǎng)絡(luò)已成為人們在工作、生活中的常用工具，也是組網(wǎng)技術(shù)的重要組成部分。本文通過對市氣象局現(xiàn)有無線網(wǎng)絡(luò)進行分析，著重針對暴露出來的隱患和問題，運用目前一些主流的網(wǎng)絡(luò)技術(shù)，規(guī)劃出行之有效升級方案。通過升級不僅解決了市氣象局網(wǎng)絡(luò)發(fā)展的瓶頸問題，也為今后網(wǎng)絡(luò)規(guī)劃方面提出一些設(shè)計思想與參考。

無線；規(guī)劃；策略；安全

1.引言

無線網(wǎng)絡(luò)一直是我局通信網(wǎng)絡(luò)建設(shè)的重要組成部分，旨在為部門人員提供工作便利，并著重在信息化建設(shè)方面打造良好的對外形象。我局現(xiàn)有的無線網(wǎng)絡(luò)經(jīng)過三年的運行，已無法滿足氣象事業(yè)現(xiàn)代化發(fā)展的步伐，特別是無線安全方面暴露出的重大隱患，成為整個網(wǎng)絡(luò)安全的短板。在此背景下，我局信息科提出的無線網(wǎng)絡(luò)升級方案得到局高層的批復(fù)，要求在有限的預(yù)算條件下實現(xiàn)最大優(yōu)化程度的升級。

2.現(xiàn)有無線網(wǎng)絡(luò)概況

我局現(xiàn)有無線網(wǎng)絡(luò)分為辦公區(qū)和家屬區(qū)兩個功能區(qū)域。局辦公大樓共有三層，選取某國產(chǎn)一線廠商的無線AP，按照1層樓2個AP的原則進行部署，上行線路均從就近信息插座連接，基本實現(xiàn)了無線信號對整個辦公區(qū)域的覆蓋。家屬區(qū)選取同廠商功率更大的無線AP，因距離辦公樓較近，上行鏈路通過雙絞線直埋的方式與中心機房連接，因AP所處區(qū)域附近無電源插座，采用PoE方式進行供電，家屬區(qū)普遍反應(yīng)無線信號較為穩(wěn)定。所有無線AP按編號廣播SSID，啟用WPA2加密方式，使用者搜尋到無線熱點輸入密碼即可連接。起初密碼僅對全局職工及家屬公開，后來因部門對外影響及業(yè)務(wù)方面的需求，外來辦事人員也可在征得同意的情況下獲取到無線密碼。

3.需求與通信分析

3.1需求分析

根據(jù)局高層的要求，做為部門人員辦公效率的重要保障，以及對外信息化服務(wù)的前沿陣地，目前在用的無線網(wǎng)絡(luò)使用起來便利性不夠、傳輸速率不穩(wěn)定，也無法針對特定人群定制功能模塊，不利于氣象事業(yè)現(xiàn)代化的發(fā)展。升級后的無線網(wǎng)絡(luò)不僅要在性能和功能上有大幅度的提升，并且要對安全性和可管理性兩個方面做重點部署，杜絕網(wǎng)絡(luò)安全因無線網(wǎng)絡(luò)的應(yīng)用出現(xiàn)木桶效應(yīng)。除此之外還要加入一些針對網(wǎng)絡(luò)使用行為的監(jiān)測和審計手段，使無線網(wǎng)絡(luò)在任何運行狀況下都在信息科的可控范圍之內(nèi)。由于預(yù)算資金并不充裕，要求在最大限度提升現(xiàn)有設(shè)備利用率的前提下，謹慎添加新設(shè)備。

3.2通信分析

信息科通過對現(xiàn)有無線網(wǎng)絡(luò)進行分析，發(fā)現(xiàn)存在以下主要問題。

（1）經(jīng)測試三樓有1個無線AP丟包嚴(yán)重，需更換，二樓與三樓之間新改造后的業(yè)務(wù)大廳存在信號衰減現(xiàn)象，需增加一臺AP或中繼設(shè)備，解決信號覆蓋的死角問題。

（2）無線AP廣播SSID各自為政，使用者在不同AP的覆蓋區(qū)域需手工進行切換，使用起來不夠便利。

（3）密碼是連接無線網(wǎng)絡(luò)的唯一認證手段，且缺乏行之有效的認證策略，經(jīng)測試密碼已被某移動端WIFI聯(lián)網(wǎng)APP破解，整個無線網(wǎng)絡(luò)實際上處于半開放狀態(tài)。

（4）未針對特定人群做相應(yīng)的網(wǎng)絡(luò)功能模塊，其訪問單位核心網(wǎng)絡(luò)的流量也沒有行之有效的阻斷策略，內(nèi)部網(wǎng)絡(luò)暴露，網(wǎng)絡(luò)信息安全存在很大隱患。

（5）目前單位僅租賃百兆電信外網(wǎng)，既是互聯(lián)網(wǎng)訪問的出口，又承載著單位對外服務(wù)、VPN等多項業(yè)務(wù)功能，帶寬明顯不足，忙時過載現(xiàn)象嚴(yán)重，已影響到對外業(yè)務(wù)的開展。

（6）未對互聯(lián)網(wǎng)訪問進行行為監(jiān)測及流量控制，接入終端的使用行為不在控制范圍之內(nèi)。

4.設(shè)計方案

4.1拓撲結(jié)構(gòu)

根據(jù)分析，現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)基本能滿足升級需求，多數(shù)網(wǎng)絡(luò)設(shè)備可以繼續(xù)使用，僅在個別區(qū)域需要做出調(diào)整。更換性能下降的無線AP，并在業(yè)務(wù)大廳信號較差的地方增加無線中繼設(shè)備。增加一臺BAS做為無線網(wǎng)絡(luò)核心設(shè)備，將替換下的原上行交換機調(diào)配至網(wǎng)絡(luò)其它節(jié)點使用，并在BAS上連接一臺服務(wù)器用作認證及WEB服務(wù)使用。另租賃廣電100M外網(wǎng)接入，與原有電信線路組成雙出口。

4.2無線接入設(shè)計

所有無線AP轉(zhuǎn)為瘦AP工作模式，不再各自按編號廣播SSID，由BAS進行統(tǒng)一管理，并根據(jù)移動終端所處區(qū)域自動切換連接AP，實現(xiàn)無縫漫游。單位工作人員使用無線網(wǎng)絡(luò)需先將移動終端在信息科注冊，由信息科分配靜態(tài)IP地址并與移動終端的MAC地址綁定，此類接入終端劃分至VLAN1中，將終端MAC地址加入后臺白名單中。家屬與外來辦事人員可自行搜索SSID連接，由BAS上的DHCP服務(wù)分配IP地址并做ACL控制，此IP地址段為單獨規(guī)劃，與內(nèi)網(wǎng)IP無關(guān)聯(lián)。后臺的PortalServer向用戶提供認證頁面，用戶輸入手機號碼進行驗證，BAS將用戶驗證信息進行合法性檢查，認證通過后此類終端劃分至VLAN2中，并解除初始的ACL控制策略。若有不合法的終端用戶，將終端MAC地址加入后臺黑名單中，限制其連接無線網(wǎng)絡(luò)。

4.3功能模塊設(shè)計

根據(jù)不同的功能需求，通過ACL對VLAN1和VLAN2中的用戶給予相對應(yīng)的功能權(quán)限。VLAN1中的用戶主要使用需求為單位內(nèi)網(wǎng)資源調(diào)閱、OA辦公及訪問互聯(lián)網(wǎng)，允許其同時有訪問內(nèi)外網(wǎng)的權(quán)限，常規(guī)情況下不做ACL控制。VLAN2中的用戶在訪問互聯(lián)網(wǎng)的同時，也對氣象資訊及數(shù)據(jù)有一定程度的需求，這也是氣象服務(wù)面向公眾的重要組成部分。出于安全考慮通過ACL阻斷其目標(biāo)地址為單位內(nèi)網(wǎng)的流量，將此類數(shù)據(jù)的提供終端與內(nèi)網(wǎng)分隔，用戶認證通過后在終端上以B/S模式顯示氣象數(shù)據(jù)及資訊獲取平臺。通過友好的UI設(shè)計，用戶只需要簡單的操作即可獲取到自己想要的信息，此類信息的后臺數(shù)據(jù)庫也獨立于單位內(nèi)網(wǎng)之外。在平臺上同時集成了漢中氣象微博、微信公眾號的二維碼，方便用戶關(guān)注。

4.4流量控制與安全策略

訪問互聯(lián)網(wǎng)流量一直是單位信息流量的大戶，對網(wǎng)絡(luò)整體影響較大且難于管理，信息科在VLAN與ACL設(shè)計的基礎(chǔ)上引入策略路

由，對兩個VLAN訪問互聯(lián)網(wǎng)的流量進行規(guī)劃，VLAN1用戶的出接口設(shè)置為電信線路，VLAN2用戶的出接口設(shè)置為廣電線路，優(yōu)先保證部門人員對網(wǎng)絡(luò)的使用，實現(xiàn)流量區(qū)分和負載分擔(dān)，也進一步保證互聯(lián)網(wǎng)訪問的安全。除此之外還對連接終端進行流量限制策略，按工作時間分為忙時和閑時，保證正常業(yè)務(wù)的開展不受其它終端行為的影響，進一步達到流量精確控制的目的。

移動終端因其流動性大的特點難于控制，除了通過黑白名單對接入終端進行認證，必要的監(jiān)審手段也是網(wǎng)絡(luò)安全的重要保障手段。將原先僅針對內(nèi)網(wǎng)用戶的IDS監(jiān)控范圍擴大至無線接入終端，一旦發(fā)現(xiàn)有不良行為立即向網(wǎng)管報警，信息科審查無誤后將涉及終端的MAC地址加入黑名單中，不允許其再接入本局無線網(wǎng)絡(luò)。依托于IDS收集到的監(jiān)審信息，也可在后期進一步發(fā)掘網(wǎng)絡(luò)中存在的漏洞及安全隱患，方便信息科做全面的審查分析。

5.結(jié)語

此次升級在預(yù)算并不充裕的條件下對無線網(wǎng)絡(luò)實現(xiàn)了最大程度的優(yōu)化。其中所采用的WEBportal認證、VLAN、ACL以及策略路由等技術(shù)，都是目前網(wǎng)絡(luò)規(guī)劃中比較主流和穩(wěn)定的解決方案。通過此次升級，本局無線網(wǎng)絡(luò)不僅在預(yù)算范圍內(nèi)實現(xiàn)了功能和性能方面的剛性需求，也大大加強了安全性和可管理性，為無線網(wǎng)絡(luò)的規(guī)劃提供一些設(shè)計參考。

［1］黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計師教程［M］.清華大學(xué)出版社，2013，11.

［2］廣州杰賽通信規(guī)劃設(shè)計院.無線局域網(wǎng)設(shè)計與優(yōu)化［M］.人民郵電出版社，2015，1.

［3］朱小平.網(wǎng)絡(luò)工程師的5天修煉［M］.中國水利水電出版社，2012，4.

［4］白國強.網(wǎng)絡(luò)安全基礎(chǔ)-應(yīng)用與標(biāo)準(zhǔn)［M］.清華大學(xué)出版社，2014，5.

李天（1986—），男，陜西漢中人，計算機網(wǎng)絡(luò)工程師，現(xiàn)供職于漢中市氣象局信息技術(shù)保障中心，從事網(wǎng)絡(luò)運行維護工作。