电台无线网络覆盖系统建设的探讨

吴黎明

（国家新闻出版广电总局八三一台）

摘要：本文对电台无线网络覆盖系统建设提出探讨，通过网络架构、拓扑规划、IP规划、频率规划、覆盖点规划等方面进行了阐述，还对无线安全配置方面进行了详细的介绍。关键字：无线覆盖，AP，安全 一、无线网络覆盖系统概述1.1 无线覆盖业务描述随着电台信息化的发展，目前的有线网络已跟不上信息化建设的需求，为了加快电台信息化建设，提高工作效率，满足用户随时随地接入电台内部网络，进行数据传输通讯的需求。对电台内部分重点区域进行无线网络覆盖，在无线网络覆盖地区，用户通过笔记本电脑、平板电脑、手机等移动终端，在配备无线（WLAN）上网卡时以无线方式高速接入电台内网，获取信息、移动办公或者移动通讯，共享接入速率最高可达300Mbp/s。无线覆盖业务特征如下：（1）提供高速共享接入速率无线覆盖一般采用802.11B/G/N标准，可提供最高300Mbps的带宽，满足用户浏览电台内网、收发电台内部办公邮件、网上办公及内部通讯的需求。（2）成本低，设备安装简单无线网络覆盖可以大大降低组网的成本，网络覆盖到有线网络不能达到的地方。（3）灵活性、易扩展摆脱有线线缆的束缚，可以采用多种拓扑结构，方便今后业务扩容后对网络扩展的要求。1.2电台无线网络建设目标电台无线网络建设既要顾及当前网络的实际情况，又要跟上当前计算机网络的应用的发展趋势，建设一个技术先进、开放性能好、投资合理、并能长期稳定运行的无线网络。在物理架构上，电台无线网络必须是一个独立的网络系统，通过核心层与电台内网实现互联互通。在逻辑上，无线网络必须支持3个SSID 以上的系统，电台内部员工使用2个SSID，外部访客使用一个SSID。无线网络系统必须能提供文字、语音、动态、静态图像等信息的传输。实施以千兆为核心的网络交换平台，实现百兆无线带宽覆盖的计划。建立统一的网络管理系统，以便今后维护网络。无线网络系统应具有多层次的无线网络安全功能，能够提供从无线攻击和入侵防范到基于用户的无线状态防火墙等一系列安全特性，以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。1.3无线网络覆盖架构无线网络覆盖一般可化分为三层：接入层、汇聚层、骨干传输层。其中，在接入层使用AP作为无线客户端接入IP数据的桥梁；在汇聚层采用二层交换机或访问控制服务器，用来完成用户接入控制功能，同时可作为认证点来提供基于WEB短信认证；在骨干传输层中包括AAA Server、Portal Server二部分，这二部分作为WLAN的核心部分提供了认证、网络管理的重要功能、客户的合法性查询、客户使用WLAN网络的状况。二、无线网络覆盖系统整体规划2.1无线覆盖拓扑规划本次电台无线网络建设，主要对整个电台的重要场所进行覆盖，用于以无线办公为主的移动应用。无线管理模式采用有线无线一体化的管理模式，这种方式不仅可以降低运维成本，更可在故障时实现直观快速的定位和排查。无线网络建设采用WLAN AC+ Fit AP（瘦AP）组网方式，无线接入点AP均放置于各建筑楼层中，远程POE供电，经过无线控制器AC，接入核心交换设备。方案设计拓扑图如下：

图1 电台无线网络拓扑图

2.2 SSID 规划电台规划开设3个SSID：重要员工使用一个SSID，按员工的权限进行管理，基本上与现有的有线网络的使用权限相同；普通员工使用一个SSID，能访问电台内部开放的公共服务网段，员工的帐号和密码管理纳入数字化电台系统，由本次建设的电台无线网络接入认证管理系统完成；访客使用一个SSID，访客使用的网络不接入电台内网，也不作接入认证管理，主要是供非认证用户间的数据交换和传输，在访客网与电台内网之间通过IPSEC方式VPN进行互联，采用这种方式可以细分访客用户的网络使用权限，并对电台内的员工用户如果需要进行高安全性传输数据时，也能使用访客网络+VPN实现网络数据的安全传输。2.3 IP规划在无线网络覆盖里，由于电台无线网络不需要连接到公网，我们只需要规划二个不同的子网网段，要求设备管理地址和用户的使用地址区分开来，因而在做无线覆盖网络规划时给出2个地址段。无线网络覆盖架构IP规划图如下：10.101.71.0 ----用于分配给热点下的每个用户；10.100.71.0----用于管理热点下的每个设备，也用于网络资源接入设备和AP的通讯。在这种情况下，用户是只能看到分配给自己的10.101.71.0网段的IP地址，而看不到AP的地址，避免了对AP的直接攻击。而网管中心则可以实现通过10.100.71.0这段管理IP直接对交换机和AP实现管理和监控。2.4 频率规划在室内部署无线网络时，由于我们使用的2.4G频段只有三个互相无干扰的频点。而布置多个接入点才能构成一套微蜂窝系统，这与移动电话的微蜂窝系统十分相似。微蜂窝系统允许一个用户在不同的接入点覆盖区域内任意漫游，随着位置的变换，信号会由一个接入点自动切换到另外一个接入点。整个漫游过程对用户是透明的，虽然提供连接服务的接入点发生了切换，但对用户的服务却不会被中断。室内外覆盖效果预测，在覆盖区内的15米距离内，考虑AP天线增益为15dBi，则计算公式如下：

P=Pt+ Gt -PL-Pa；PL=32.45+20lgD+20lgf

Pt表示无线宽带接入基站天线口发射功率；PL：空间损耗；Pa：墙壁等障碍物的穿透损耗，此处为20dB；Gt：天线增益A: 无线网卡到AP的RX口之功率 PL=78dB,P=20-76-20+(-5)+15=-66dBm结论：可满足802.11g 54Mbps OFDM之灵敏度要求。B: AP到无线网卡的RX口之功率 PL=78dB,P=27-78-20+(-5)+15=-61dBm结论：可满足802.11g 54Mbps OFDM之灵敏度要求。2.5无线覆盖布点规划无线覆盖布点方案建设思路：采用Fit AP + 无线控制器的方法部署，通过POE远程供电，对园区进行覆盖，上层使用网络管理系统进行网络管理，实现有线无线融合管理，通过WPA2的无线加密保证无线网络安全接入。网络设备选型设计：无线核心部分采用H3C公司交换机一体化设备5800+AC器插卡方式，无线放装AP推荐采用H3C公司的支持802.11n技术的WA2620i 瘦AP；无线室分采用H3C公司的1208E 瘦AP，室外AP 采用H3C 推荐的WX2610X室外大功率单频接入点。目前配置管理32个无线AP管理，可扩展至128个无线AP，非常方便未来无线网络的扩展。各部分AP经过前期勘探，实现精细化布放。三、无线网络安全配置进行无线网络安全配置考虑到它的整体性，要遵照国家规定的安全标准，还要重视分层实施安全策略。因此，在这里我们建议采用分层的安全体系架构，将无线网络中单一的物理层安全延伸到设备安全、用户接入安全、网络层安全、管理安全等多个层面上，使用户在使用无线网络时能够像使用有线网络一样安全可靠。（1）设备安全厂商所提供的无线产品应该能够通过以下手段来保证设备的安全可靠性：AP零配置，传统的FAT AP承担了认证终结、漫游切换、动态密钥等复杂的功能，一旦设备丢失，AP的配置信息就可能泄漏，形成安全漏洞。FIT AP采用集中式管理，这样可以有效避免设备丢失造成安全隐患。AP身份认证，无线控制器＋FIT AP组网时，可以对整网无线射频环境进行监控，防止非法FIT AP入侵和非法客户端。（2）网络安全端点准入防御，应该能够从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强了网络用户终端的主动防御能力，保护网络安全。其无线产品、端点客户端配合认证服务器，可以为用户提供一体化的整体安全解决方案。无线入侵检测系统，无线网络本身提供无线入侵检测/防御(WIPS/WIDS)，可以控制每台AP动态扫描其所处的环境，并将扫描到的设备信息送交网管平台，使网络管理人员可以实时发现非法无线接入点的信息，并在必要的情况下开启自动保护机制，对非法的无线接入点进行攻击，使其不能提供无线网络服务。（3）SSID设置安全SSID之间不能互访,保证各自的独立性。通过SSID可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。另外，无线网络的二层隔离功能可以保证每个AP下的用户隔离，相互之间无法访问和传输数据。（4）核心设备配置安全可在核心设备上部署防火墙、IPS等安全模块，对整个网络做到L2-L7的防护，并可逐步引入其他安全设备及安全机制，从而建立多层次、立体化的安全防御体系，加强对网络系统的安全防护，解决电台网络安全问题。（5）频谱分析防护通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。4 总结电台无线网络覆盖的建设，对今后电台业务的融合，对电台智能化、高效化和综合化管理模式起到了重要的作用，对电台未来的信息化发展开拓一个崭新的道路。 参考文献[1]刘丹，《试述无线局域网中802.1x协议的安全和应用》，云南大学学报：自然科学版,2008年。[2]沈伟富，《无线网络在医疗信息化中应用、问题及对策探究》，科技与生活，2011年。[3]H3C入侵防护手册，智能管理中心手册。 编辑：中国新闻技术工作者联合会