曹 海

?

園區(qū)無線網(wǎng)絡覆蓋應用分析

曹 海

福建省氣象信息中心

為在福建省氣象局大院實施WLAN覆蓋項目，實現(xiàn)“攜帶自己的設備辦公”(bring your own device，簡稱BYOD)，該文在確立網(wǎng)絡建設原則的基礎上，首先通過對原有網(wǎng)絡結構進行梳理分析，確立建設目標，并分析建設過程中存在的主要問題，針對大院WLAN覆蓋項目中出現(xiàn)的DHCP服務、用戶認證管理、強制信號綁定、AP供電、網(wǎng)絡安全等問題逐一提出解決方案，指明了未來應開展的實踐和研究工作。

BYOD WLAN DHCP 用戶認證管理 網(wǎng)絡安全

隨著氣象現(xiàn)代化進程的推進，氣象業(yè)務對信息網(wǎng)絡的需求越來越大，要求越來越高[1-2]。與此同時，隨著無線應用的安全技術不斷發(fā)展，移動計算技術的日益普及和BYOD(bring your own device)應用需求的不斷增強，無線技術被市場所采納和接受[3-5]，無線網(wǎng)(Wireless Network)以其無需布線、多區(qū)域漫游、運行費用低廉等優(yōu)點，得到各級氣象部門青睞[6-7]。伴隨而來的DHCP服務、用戶認證管理、強制信號綁定、AP供電、網(wǎng)絡安全等問題也尤為突出，針對這一情況，福建省氣象局在大院(下文簡稱“大院”)WLAN項目中，通過有線無線統(tǒng)一管理、用戶認證與DHCP分設備管理、POE供電交換機接入、專用電源模塊供電、IMC智能管理平臺、AC無線接入控制器等措施進行解決。

1 建設原則及網(wǎng)絡結構

大院原有互聯(lián)外網(wǎng)在經(jīng)過“統(tǒng)一出口”改造后，所有用戶以IP與賬號綁定，有線與私搭無線混用。為對用戶進行更有效管理，需將有線與無線分開管理，撤除所有私搭無線，盡可能維持原有網(wǎng)絡結構，以最小工程量實現(xiàn)WLAN覆蓋。

1.1 網(wǎng)絡建設原則

基于整個項目的目標定位和使用需求，有以下幾個原則：

（1）廣覆蓋性原則。此次無線網(wǎng)絡建設用到了65個AP來支撐起整個網(wǎng)絡的廣度，人員相對密集的區(qū)域，用智能型AP保證覆蓋范圍及信號強度，辦公室較多的區(qū)域，采用面板式AP保證每間辦公室都有足夠的信號，并且相互不干擾。

（2）高移動性原則。高移動性是一個無線網(wǎng)絡最基本的需求，目前建設的無線網(wǎng)絡范圍內(nèi)都可以隨意進行漫游，走到任何一個覆蓋區(qū)域都能上網(wǎng)，不會出現(xiàn)網(wǎng)絡卡頓、重新認證等情況。

（3）易組網(wǎng)性原則。FIT型的網(wǎng)絡架構確保AC與眾多AP之間的通信效率，AC管理AP方便。整個拓撲清晰，易于擴展，可以隨時通過增設AP來擴展信號覆蓋范圍。

（4）高安全性原則。安全性是無線網(wǎng)絡最重要的環(huán)節(jié)，目前依靠用戶隔離，AP隔離和系統(tǒng)性的認證，保證整個無線網(wǎng)絡的安全性能。

（5）安全便捷認證原則。所有用戶的信息都保存在上網(wǎng)行為管理上，實時查看管理無線上網(wǎng)用戶狀態(tài)，認證、流控管理、用戶認證注銷等均與原本有線上網(wǎng)的管理方法一致，符合用戶習慣。

（6）低難度運維原則。無線網(wǎng)絡的建設就是為了減少有線網(wǎng)絡帶來的各種工程運維難度，不需要太多的材料，方便日后維護。

1.2 原網(wǎng)絡結構

經(jīng)過多年建設，大院互聯(lián)外網(wǎng)已經(jīng)形成核心、匯聚、接入三層架構，骨干網(wǎng)絡已達到千兆、部分萬兆，主要桌面與服務器接入均達到千兆水平，網(wǎng)絡安全方面也已經(jīng)在出口部署了防火墻、防病毒網(wǎng)關、入侵檢測、上網(wǎng)行為管理等設備，拓撲圖如圖1所示。

但隨著無線業(yè)務需要的增加，各單位私自搭設無線網(wǎng)絡，導致接入終端不可控，網(wǎng)絡安全隱患也遍布全網(wǎng)。因此只有保證接入終端合法性，以及終端與用戶綁定，保障合法用戶規(guī)范化管理，才能保障無線業(yè)務安全、穩(wěn)定、高效運行?；诖?，大院開展WLAN覆蓋，對原有“統(tǒng)一出口”網(wǎng)絡結構進行改造便勢在必行。

圖1 大院原網(wǎng)絡結構拓撲圖

2 建設目標及問題分析

2.1 WLAN覆蓋后目標網(wǎng)絡結構

為維持“統(tǒng)一出口”網(wǎng)絡結構，不影響原有外網(wǎng)業(yè)務和有線用戶接入，以及網(wǎng)絡安全規(guī)范要求，WLAN覆蓋對網(wǎng)絡結構的改造僅從上網(wǎng)行為管理器下聯(lián)的匯聚交換機開始，因此WLAN覆蓋后的網(wǎng)絡結構拓撲圖將其他安全設備統(tǒng)稱“安全設備”，以簡化結構。WLAN覆蓋后的目標網(wǎng)絡結構拓撲圖如圖2所示。

為實現(xiàn)對無線AP的集中管理及AP無配置擴展，在 匯聚交換機接入AC無線接入控制器，實現(xiàn)對AP的管理及DHCP。因各單位原有網(wǎng)關交換機都不帶POE供電功能，為解決AP供電問題，將網(wǎng)關交換機更換為帶POE供電功能的POE交換機。更換網(wǎng)關交換機后，有線用戶和無線用戶均下掛于新網(wǎng)關交換機。在新網(wǎng)關交換機接口不夠時，級聯(lián)原有網(wǎng)關交換機，有線用戶仍接入原有網(wǎng)關交換機，實現(xiàn)利舊。

圖2 大院WLAN覆蓋后目標網(wǎng)絡拓撲結構

2.2 問題分析

通過對原有網(wǎng)絡結構及接入設備情況的梳理，以及建設目標的明確，在建設過程中將可能出現(xiàn)下列問題。

2.2.1 DHCP服務

原有有線用戶均為IP綁定，考慮無線終端多樣性，IP綁定無法實現(xiàn)，如手機終端；同時長時間無活躍記錄終端占用IP，將導致IP地址用盡的情況。

2.2.2用戶認證管理

無線認證做到另外系統(tǒng)上將導致有線和無線用戶分設備管理，必然增加管理人員工作量；如何實現(xiàn)“一用戶，多終端”以滿足一人多終端接入需求。

2.2.3信號覆蓋及接入AP選擇

考慮到建筑結構復雜，如何實現(xiàn)信號無死角覆蓋；同時在信號疊加區(qū)域終端接入對AP的選擇，以保障更好的網(wǎng)絡體驗。

2.2.4 AP供電

WLAN覆蓋所部署的AP供電方式有遠程POE交換機供電及現(xiàn)場供電模塊兩種，如何規(guī)劃以保障供電性能、降低工程量及節(jié)約成本。

2.2.5網(wǎng)絡安全保證

WLAN覆蓋后，諸如接入終端合法性，終端流控，AP間攻擊，網(wǎng)絡攻擊等網(wǎng)絡安全問題突出，需要采取相關措施，保證網(wǎng)絡安全。

3 解決方案

針對大院原互聯(lián)外網(wǎng)結構情況，在WLAN覆蓋項目實施過程中遇到了DHCP服務配置、用戶認證管理、強制信號綁定、AP供電、網(wǎng)絡安全等幾個關鍵性問題，在項目實施過程中均逐一找到解決方法。

3.1 DHCP服務

為滿足大院WLAN覆蓋業(yè)務及配置需求，對VLAN類型及規(guī)劃原則如表1所示。與此同時，在本項目中設計IP及IP池規(guī)劃原則如表2所示。

表1 VLAN規(guī)劃

表2 IP地址規(guī)劃

為保證IP池內(nèi)IP地址活躍性，同時剔除長時間未有活躍的用戶，在AC上配置DHCP周期為20d，如圖3所示，同時在上網(wǎng)行為管理器上配置自動注銷無流量的已認證用戶的時間為20d，兩設備時間匹配后方能達到在指定時間內(nèi)無活躍記錄的終端釋放IP，同時保證了規(guī)劃的IP池的可用性。

圖3 DHCP服務配置界面

為實現(xiàn)用戶無需綁定IP、只需輸入用戶名和密碼即可獲得IP地址接入網(wǎng)絡，WLAN覆蓋項目規(guī)劃的IP為DHCP動態(tài)分配，即只要在上網(wǎng)行為管理器端認證通過的終端，AC將自動為其分配一個IP地址。

3.2 用戶認證管理

考慮到將無線用戶認證做在AC端，必然導致有線用戶與無線用戶分設備管理，在增加管理人員工作量的同時，必然需要大面積改造網(wǎng)絡結構。因此，無線用戶認證管理仍然采用上網(wǎng)行為管理器實現(xiàn)（如圖4所示），形成了與原有的有線用戶進行統(tǒng)一管理，在利用舊設備的同時，最大限度保持原有網(wǎng)絡結構。

圖4 上網(wǎng)行為管理器

原有網(wǎng)絡中所有用戶，包括業(yè)務服務器、有線用戶及私搭無線用戶均采用“一賬號，一IP”的模式，在認證策略中獨立添加新注冊用戶IP。為實現(xiàn)無線用戶無需綁定IP、只需驗證用戶名和密碼，即可由AC端DHCP自動分配IP地址，在上網(wǎng)行為管理器端認證策略中相應添加IP資源池的認證策略。

用戶的認證管理為AC無線接入控制器與上網(wǎng)行為管理器協(xié)同合作完成，既保證了系統(tǒng)的穩(wěn)定性，同時也最大限度維持了原有網(wǎng)絡結構及認證方式，減輕了維護人員的工作量。

3.3 強制信號綁定

為避免由于AP發(fā)射信號過大引起的不必要干擾以及鄰居AP發(fā)生宕機信號無法有效覆蓋的問題，本W(wǎng)LAN項目AC采用無線功率自動調(diào)整算法（TPC）實現(xiàn)無線AP發(fā)射功率的自動調(diào)整，從而解決無線信號無法智能高效覆蓋的問題。同時，采用蜂窩式部署，保證AP之間互不干擾。智能AP開啟雙射頻，2.4GHZ跟5.8GHZ同時工作，讓用戶上網(wǎng)更流暢，網(wǎng)路暢通。AP跟其序列號綁定，才能上線，不允許外有AP私自接入網(wǎng)絡。關鍵配置代碼如下：

3.4 AP供電

在原有“統(tǒng)一出口”項目中，雖然為各單位配備網(wǎng)管交換機，保證各單位用戶直連至網(wǎng)關，通過網(wǎng)關到達信息中心匯聚交換機，實現(xiàn)了快速上網(wǎng)。但原有的網(wǎng)管交換機不帶POE供電功能，因此在AP部署時AP的供電問題不能解決，同時考慮到增加供電模塊的成本過大，尤其是局機關外網(wǎng)結構相對簡單，均為網(wǎng)管交換機直連至用戶，綜合以上原因，將局機關原有交換機替換為POE供電交換機解決。

信息中心網(wǎng)絡相對較為復雜，從中心交換機下來通過樓層交換機才能到達用戶，因此在替換原有網(wǎng)關交換機為POE交換機的同時，對某些無法實現(xiàn)供電的AP增加供電模塊，實現(xiàn)現(xiàn)場供電。

3.5 網(wǎng)絡安全設計

（1）加密算法設計。按照WLAN網(wǎng)絡數(shù)據(jù)加密相關規(guī)范要求，結合WPA2+AES高級加密算法強加密、高安全的算法特點，本項目WLAN數(shù)據(jù)加密和完整性標準基于802.11i安全體系，加密算法為WPA2+AES算法，保證WLAN網(wǎng)絡的安全性。

（2）IP地址分配。利用AC無線控制器的DHCP功能進行IP地址分配，DHCP周期為30d，所分配IP地址30d無活動記錄則收回注銷，賬號再次登錄時DHCP重新分配IP地址。

（3）賬號管理。采用上網(wǎng)行為管理注冊用戶賬號，并對無線賬號密碼進行身份認證，流控管理等。

（4）無線終端隔離設計。為避免無線網(wǎng)絡中用戶間進行大量數(shù)據(jù)傳輸，過多占用無線帶寬資源，從而導致其他用戶無法正常使用無線網(wǎng)絡，本項目對無線進行用戶隔離配置部署，無線終端間禁止相互訪問，只能訪問互聯(lián)外網(wǎng)。

（5）非法AP控制。在AC無線控制器端，采用白名單管理AP的方式，對接入的AP進行統(tǒng)一管理。在后續(xù)擴展AP的時候，應首先在AC端添加新增AP的MAC地址，防止非法AP隨意接入網(wǎng)絡。

（6）防惡意攻擊。在AC設備上配置防ARP欺騙功能，可以防止接入用戶發(fā)起惡意ARP欺騙攻擊，確保WLAN接入用戶的使用安全。

4 結論與展望

福建省氣象局大院WLAN覆蓋項目實現(xiàn)了真正的BYOD，本文在介紹原有網(wǎng)絡結構及改造后網(wǎng)絡結構的基礎上，詳盡分析了項目中的關鍵設備，并針對項目實踐過程中遇到的幾個主要問題給出相對優(yōu)化的解決方案。針對現(xiàn)有項目現(xiàn)狀，未來的實踐和研究將主要集中在以下幾個方面：

（1）多認證方式結合。本項目中采用的是Portal認證，在未來的實踐和研究中將考慮Portal認證與短信、二維碼、微信等驗證方式相結合的驗證方式，以方便用戶認證。

（2）IMC平臺自動預警。IMC平臺暫只有監(jiān)控功能，可考慮增加AP掉線、非法AP接入等突發(fā)情況給管理員推送短信、微信等消息進行預警，以實現(xiàn)無人值守功能。

（3）精簡管理設備。項目中網(wǎng)絡管理設備有上網(wǎng)行為管理器、AC、IMC，若能將此三個網(wǎng)絡管理設備功能進行優(yōu)化組合，在一臺設備上實現(xiàn)，不僅能節(jié)省項目成本，同時能大大減輕網(wǎng)絡管理人員的工作量。

[1] 陳莉莉.寬帶無線接入技術比較以及應用分析[J].科技資訊,2009(10): 27.

[2] 趙彩霞.淺議無線通信技術的發(fā)展及應用[J].科技信息,2009(20): 203.

[3] 劉丹譜,郝建軍,樂光新.WiMAX寬帶無線接入技術及其應用[J].中興通訊技術,2008, 14(1): 59-62.

[4] 易龍.從中國無線技術與應用大會看當前六大熱點無線技術[J].中國無線電,2009(9): 14-16.

[5] 程廣.無線技術應用新亮點[J].中國無線電,2009(8): 17-18.

[6] 張恩寶.無線寬帶技術及其行業(yè)應用研究[J].上海電力,2009(5): 412-415.

[7] 蘇斌,王玫.談企業(yè)網(wǎng)絡信息管理的發(fā)展前景[J].機械管理開發(fā),2000(2): 19-20.