秦超

[摘 ? ?要 ]由于海上平臺沒有手機信號覆蓋，為滿足在平臺工作的員工網(wǎng)絡(luò)訪問需求，文章提出一種基于光纖級微波的海上平臺無線覆蓋思路。根據(jù)海上平臺這一特殊場景，詳細(xì)闡述了該網(wǎng)絡(luò)的設(shè)計思想和方法，包括WiFi覆蓋、寬帶優(yōu)化和人員認(rèn)證等內(nèi)容。在此基礎(chǔ)上，說明了該網(wǎng)絡(luò)的部署方案和有關(guān)注意事項，最后歸納了基于光纖級微波的海上平臺無線覆蓋的實現(xiàn)效果。

[關(guān)鍵詞]光纖級微波;無線覆蓋;AP+AC

[中圖分類號]U675.7 [文獻(xiàn)標(biāo)志碼]A [文章編號]2095–6487（2021）06–0–02

[Abstract]Since there is no mobile phone signal coverage on offshore platforms， in order to meet the network access needs of employees working on the platform， this article proposes a wireless coverage idea for offshore platforms based on fiber-grade microwaves. According to the special scene of the offshore platform， the design ideas and methods of the network are elaborated， including wifi coverage， bandwidth optimization， and personnel authentication. On this basis， the network deployment plan and relevant precautions are explained. Finally， the realization effect of the wireless coverage of offshore platform based on fiber-grade microwave is summarized.

[Keywords]fiber-grade microwave;wireless coverage;AP+AC

在渤海地區(qū)分布著大量的海上平臺，為滿足生產(chǎn)辦公要求，海上平臺已經(jīng)實現(xiàn)由KU衛(wèi)星[1-2]、高容量微波[3]聯(lián)合組建一個大寬帶網(wǎng)絡(luò)。由于海上平臺是海洋石油的生產(chǎn)一線，平臺上裝有重要生產(chǎn)設(shè)備，一直在傳輸大量重要的生產(chǎn)數(shù)據(jù)。為了保障數(shù)據(jù)安全，平臺未提供個人應(yīng)用的網(wǎng)絡(luò)資源，均為辦公網(wǎng)絡(luò)。為了保證網(wǎng)絡(luò)安全，在辦公網(wǎng)中使用了很多的管理措施和技術(shù)手段。

海上平臺的網(wǎng)絡(luò)資源屬于辦公網(wǎng)，是為了保障海上的辦公以及滿足應(yīng)急的需求，原則上不允許個人應(yīng)用占用網(wǎng)絡(luò)資源。由于海上平臺位于渤海海域，由于距離、人員密度原因，三大運營商未提供手機信號覆蓋。在辦公網(wǎng)絡(luò)中，個人若需要訪問互聯(lián)網(wǎng)需要通過辦公網(wǎng)回傳至陸地、然后通過專線匯聚到集團公司的代理服務(wù)器，在完成認(rèn)證后方可訪問互聯(lián)網(wǎng)。

目前幾乎所有的平臺都是個人應(yīng)用與辦公混雜使用，給網(wǎng)絡(luò)安全帶來一定的隱患，同時辦公與個人應(yīng)用互相搶占數(shù)據(jù)帶寬也會相互影響使用體驗。而且為了限制個人應(yīng)用無限制擴散，絕大部分應(yīng)用被代理服務(wù)器限制，平臺個人上網(wǎng)只可以使用瀏覽器、QQ等個別軟件。

1 海上應(yīng)急無線通信系統(tǒng)設(shè)計

為實現(xiàn)海上平臺員工的互聯(lián)網(wǎng)訪問需求，需要在平臺生活樓部署一套無線覆蓋系統(tǒng)，然后通過海陸間微波接入運營商提供的互聯(lián)網(wǎng)出口。平臺WiFi網(wǎng)絡(luò)[4]按AP+AC的結(jié)構(gòu)進(jìn)行設(shè)計部署，AC（無線控制器）對AP進(jìn)行集中管理、控制、配置下發(fā)，以及對接入終端的認(rèn)證、數(shù)據(jù)分布式/集中式轉(zhuǎn)發(fā)、漫游[5]等功能，操作和維護(hù)工作現(xiàn)在只需要在AC上進(jìn)行。由于海上平臺生活區(qū)均為鋼結(jié)構(gòu)，實現(xiàn)全平臺生活區(qū)無線覆蓋需要在每一層、每個房間內(nèi)均需部署AP設(shè)備;為實現(xiàn)AP間的漫游，還需安裝AC控制器，進(jìn)行所有AP的統(tǒng)一管理。

1.1 帶寬優(yōu)化管理

為保證網(wǎng)絡(luò)訪問流暢穩(wěn)定，基于OSI網(wǎng)絡(luò)模型2～7層，通過IP、TCP報文特征、應(yīng)用特征等多種識別機制進(jìn)行網(wǎng)絡(luò)應(yīng)用流量自動識別，提供一些靈活的管理策略，主要包括限制P2P總體流量、限制P2P上下行流量、根據(jù)一天中其他應(yīng)用的流量變化規(guī)律在不同的時間內(nèi)進(jìn)行不同的流量控制、一段時間內(nèi)的流量定額等，如圖1所示。

通過QOS技術(shù)，使用PQ、CQ、WFQ、CBWFQ、LLQ等隊列技術(shù)，通過匹配特征流量把應(yīng)用分成不同的隊列，進(jìn)行分類和區(qū)分服務(wù)，首先保障重要業(yè)務(wù)流量的優(yōu)先傳輸，并給不同的業(yè)務(wù)分配不同的網(wǎng)絡(luò)帶寬和傳輸優(yōu)先級。

對網(wǎng)絡(luò)流量進(jìn)行流量整形和流量監(jiān)管[6]，預(yù)防突發(fā)情況對網(wǎng)絡(luò)傳輸?shù)挠绊?通用流量整形可以對不規(guī)則或不符合預(yù)定流量特性的流量進(jìn)行整形，以利于網(wǎng)絡(luò)上下游之間的帶寬匹配，從而限制非生產(chǎn)業(yè)務(wù)流量對網(wǎng)絡(luò)資源的使用。

通過網(wǎng)絡(luò)流量圖表分析功能，掌握網(wǎng)絡(luò)流量實時使用情況、各種應(yīng)用對帶寬占用情況，依據(jù)歷史數(shù)據(jù)分析功能進(jìn)行網(wǎng)絡(luò)規(guī)劃調(diào)整。

通過多種方式優(yōu)化傳輸[7]，保證優(yōu)先傳輸優(yōu)先級高的數(shù)據(jù)、限制不重要或不必要的網(wǎng)絡(luò)應(yīng)用，從而合理利用、分配網(wǎng)絡(luò)帶寬資源，避免網(wǎng)絡(luò)帶寬資源被不重要的網(wǎng)絡(luò)應(yīng)用嚴(yán)重侵占與浪費，提高整個網(wǎng)絡(luò)的傳輸效率。

1.2 人員認(rèn)證及安全管理

由于該網(wǎng)絡(luò)主要用于海上平臺工作人員訪問互聯(lián)網(wǎng)，認(rèn)證方式采用用戶認(rèn)證方式。當(dāng)需要添加新用戶時，由網(wǎng)絡(luò)管理員進(jìn)行創(chuàng)建賬號密碼，指定賬戶級別，記錄員工身份信息，增加基于用戶的流控規(guī)則。新用戶添加后，新的賬戶信息將自動同步至陸地認(rèn)證服務(wù)器，實現(xiàn)單平臺添加、全渤海認(rèn)證，在同一個平臺上實現(xiàn)了所有接入方式的認(rèn)證、接入控制，完成安全性高、管理便捷的系統(tǒng)部署。

利用用戶行為管理技術(shù)，實現(xiàn)基于應(yīng)用的識別。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作。

1.3 互聯(lián)網(wǎng)與辦公網(wǎng)隔離

目前海陸骨干微波型號不一，需要按照設(shè)備功能進(jìn)行分類：若微波設(shè)備只支持單ODU，則需要新建一條骨干微波實現(xiàn)物理隔離;若微波設(shè)備支持多ODU，則通過辦公網(wǎng)、互聯(lián)網(wǎng)采用不同ODU、不同頻率的隔離技術(shù)，實現(xiàn)物理隔離保障安全性，如圖2所示。

微波傳輸鏈路網(wǎng)絡(luò)隔離在射頻端將IDU+ODU進(jìn)行單獨分立，傳輸中采用不同的頻段，僅僅是共用一對天線，本質(zhì)上是物理隔離的。在接收端，同樣通過分離的一套室內(nèi)室外設(shè)備進(jìn)行接受，分別接入不同的光纖專線。

其次，為防止用戶端同時接入兩網(wǎng)而造成人為的網(wǎng)絡(luò)互通，配合桌面準(zhǔn)入機制，使得終端設(shè)備不能同時連接兩網(wǎng)絡(luò)，杜絕此類隱患。

若平臺距離陸地較遠(yuǎn)，不能滿足微波傳輸要求，則可以考慮采用KA衛(wèi)星方式實現(xiàn)互聯(lián)網(wǎng)接入。

2 整體部署方案

在海上平臺生活區(qū)部署一套與辦公網(wǎng)絡(luò)完全物理隔離的互聯(lián)網(wǎng)網(wǎng)絡(luò)，并部署多個無線接入點[8]，通過無線方式供平臺上所有員工訪問互聯(lián)網(wǎng)資源，從而形成一套獨立的互聯(lián)網(wǎng)使用環(huán)境。在海上平臺新建一條與辦公網(wǎng)絡(luò)物理隔離的至陸地的骨干微波鏈路，然后接入運營商提供的千兆帶寬的互聯(lián)網(wǎng)寬帶，如圖3所示。

在海上平臺生活區(qū)各房間、走廊均安裝AP設(shè)備實現(xiàn)無線覆蓋，在平臺設(shè)備間安裝1臺匯聚交換機、1臺AC控制器、1臺上網(wǎng)行為管理，所有設(shè)備均獨立于平臺辦公生產(chǎn)網(wǎng)絡(luò)，以實現(xiàn)互聯(lián)網(wǎng)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的物理隔離。為了避免某個AP用戶人數(shù)過多，AC控制器將智能實時的根據(jù)每個關(guān)聯(lián)的AP上的用戶數(shù)及數(shù)據(jù)流量調(diào)整分配到不同的AP上提供接入服務(wù)，平衡接入負(fù)載壓力，提高用戶的平均帶寬和QOS，提高連接的高可用性。

為了提高無線網(wǎng)絡(luò)整體安全性，平臺員工在網(wǎng)絡(luò)接入前，需向網(wǎng)絡(luò)管理人員申請網(wǎng)絡(luò)接入賬號，由網(wǎng)絡(luò)管理員在AC控制器中配置用戶數(shù)據(jù)，通過多種認(rèn)證方式，實現(xiàn)用戶的本地認(rèn)證。平臺員工的手機、平板電腦等移動終端通過無線AP接入，獲得AC控制器的認(rèn)證后，訪問數(shù)據(jù)由海陸間無線網(wǎng)橋設(shè)備連接到陸地機房的互聯(lián)網(wǎng)出口，實現(xiàn)互聯(lián)網(wǎng)訪問。

上網(wǎng)行為管理設(shè)備部署在測試平臺部署，在員工在訪問互聯(lián)網(wǎng)過程中，訪問記錄均被保存在上網(wǎng)行為管理器中。通過對用戶上網(wǎng)記錄分析，獲得員工上網(wǎng)時間、上網(wǎng)內(nèi)容、用戶流量排行等內(nèi)容，如圖4所示。

3 結(jié)束語

海上平臺辦公網(wǎng)與互聯(lián)網(wǎng)分離后，將辦公網(wǎng)的個人流量剝離出去，可以避免大部分病毒、木馬的網(wǎng)絡(luò)入侵，保護(hù)企業(yè)內(nèi)部核心信息不泄露，提高辦公網(wǎng)安全性;辦公網(wǎng)中互聯(lián)網(wǎng)訪問量大大降低，減少辦公應(yīng)用的響應(yīng)時間，提高辦公應(yīng)用的用戶體驗。該方式不僅可以實現(xiàn)海上平臺的互聯(lián)網(wǎng)接入，偏遠(yuǎn)地區(qū)廠區(qū)、島嶼也可采用類似方式。

參考文獻(xiàn)

[1] 胡紅芬，白曉紅.多波束天線的應(yīng)用及發(fā)展[J].現(xiàn)代雷達(dá)，2002，24（4）：69-75.

[2] 易克初，李怡，孫晨華，等.衛(wèi)星通信的近期發(fā)展與前景展望[J].通信學(xué)報，2015，36（6）：157-172.

[3] 張凌翔.探究數(shù)字微波通信技術(shù)的發(fā)展與展望[J].通信電源技術(shù)，2019（11）：169-170.

[4] 沈勁桐.校園WLAN網(wǎng)絡(luò)優(yōu)化研究與應(yīng)用[J].中國新通信，2020，22（13）：109-110

[5] 李安邦.企業(yè)無線部署與安全設(shè)計[J].電腦知識與技術(shù)，2017，13（36）：16-18.

[6] 張園園，郭裕順.流量監(jiān)管和流量整形技術(shù)的實現(xiàn)和應(yīng)用[J].中國水運，2010，11（11）：84-86.

[7] 張莉，劉建.Qos中流量監(jiān)管與流量整形對TCP傳輸?shù)挠绊懷芯縖J].中國新通信，2019，21（20）：55-58.

[8] 曹炳健，鐘明東.基于城域網(wǎng)的瘦AP+AC的WLAN網(wǎng)絡(luò)構(gòu)建[J].數(shù)字技術(shù)與應(yīng)用，2011（5）：153-154.