政府辦公區(qū)域無(wú)線網(wǎng)絡(luò)覆蓋的設(shè)計(jì)

余志勇

【摘 要】移動(dòng)終端智能化的普及滿足了政府部門辦公室人員移動(dòng)化辦公的迫切需求，WIFI覆蓋技術(shù)的成熟進(jìn)一步提高了移動(dòng)化辦公的效率。本文重點(diǎn)介紹了某區(qū)政府辦公區(qū)域進(jìn)行無(wú)線網(wǎng)絡(luò)的覆蓋項(xiàng)目的設(shè)計(jì)方案。

【關(guān)鍵詞】移動(dòng)終端；核心層；接入層；安全性

1 項(xiàng)目背景

隨著智能手機(jī)、平板電腦等移動(dòng)智能設(shè)備迅速普及使用，移動(dòng)智能終端逐漸成為了人們不可或缺的工具，如今很多公務(wù)員更傾向于使用智能設(shè)備，快速便捷開展工作，這使得移動(dòng)辦公業(yè)務(wù)趨勢(shì)進(jìn)一步發(fā)展。這一趨勢(shì)也推動(dòng)越來(lái)越多的政府機(jī)關(guān)開始允許公務(wù)員使用智能設(shè)備訪問政府內(nèi)部應(yīng)用，并在政府辦公領(lǐng)域支持BYOD策略。

2 網(wǎng)絡(luò)現(xiàn)狀分析及建設(shè)需求

本次區(qū)政府無(wú)線覆蓋網(wǎng)絡(luò)項(xiàng)目，是政府主體網(wǎng)絡(luò)（即電子政務(wù)外網(wǎng)）和無(wú)線。電子政務(wù)外網(wǎng)作為政府辦公人員對(duì)外提供辦公業(yè)務(wù)的網(wǎng)絡(luò)，原有的電子政務(wù)外網(wǎng)的辦公人員接入基本是PC終端通過(guò)有線的接入方式，實(shí)現(xiàn)業(yè)務(wù)辦公，隨著移動(dòng)終端的普及，公務(wù)員使用的智能終端越來(lái)越多，移動(dòng)政務(wù)將是公務(wù)員現(xiàn)在及將來(lái)的迫切需求。

本次新建的無(wú)線網(wǎng)絡(luò)需要實(shí)現(xiàn)以下功能：

1）新建一套無(wú)線網(wǎng)絡(luò)，對(duì)區(qū)政府辦公大樓及社管中心、便民服務(wù)中心，實(shí)現(xiàn)無(wú)線滿覆蓋，保證員工在單位能夠隨時(shí)隨地通過(guò)移動(dòng)終端接入到無(wú)線網(wǎng)絡(luò)中，實(shí)現(xiàn)無(wú)線上網(wǎng)。

2）新建的無(wú)線網(wǎng)絡(luò)不僅和internet互通，還需和區(qū)電子政務(wù)外網(wǎng)互通，使得單位員工既可以訪問外網(wǎng)也可以訪問電子政務(wù)外網(wǎng)進(jìn)行辦公。

3）對(duì)新建的無(wú)線網(wǎng)絡(luò)提供安全防護(hù)措施，包括訪問電子政務(wù)網(wǎng)的安全防護(hù)，以及無(wú)線終端用戶的接入安全、接入認(rèn)證，對(duì)終端接入設(shè)備的識(shí)別，無(wú)線網(wǎng)絡(luò)訪問的行為審計(jì)。

4）無(wú)線覆蓋需根據(jù)實(shí)際場(chǎng)景工勘，確定不同場(chǎng)景不同的無(wú)線覆蓋解決方案，并使得員工能夠在不同的無(wú)線覆蓋區(qū)域之間漫游[1]。

3 區(qū)政府無(wú)線網(wǎng)方案設(shè)計(jì)

區(qū)政府無(wú)線網(wǎng)主要承載政府辦公大樓公務(wù)員對(duì)外Internet服務(wù)的暢游，辦公人員對(duì)電子政務(wù)外網(wǎng)辦公等服務(wù)，為了提升政府的服務(wù)質(zhì)量，我們需要為政府辦公大樓提供一套穩(wěn)定可靠的無(wú)線服務(wù)網(wǎng)絡(luò)。同時(shí)，由于無(wú)線及對(duì)外服務(wù)的不安全性，導(dǎo)致很多終端容易被一些病毒攻擊，需要考慮在網(wǎng)絡(luò)中部署安全設(shè)備，實(shí)現(xiàn)安全過(guò)濾，保證單位員工通過(guò)在政府內(nèi)部對(duì)外實(shí)現(xiàn)Internet接入的安全性。本次在電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)中部署無(wú)線網(wǎng)絡(luò)，實(shí)現(xiàn)辦公大樓及政府主要區(qū)域無(wú)線滿覆蓋，保證政府單位員工無(wú)時(shí)無(wú)刻都可以接入網(wǎng)絡(luò)，享受網(wǎng)絡(luò)暢游服務(wù)和電子政務(wù)外網(wǎng)辦公。同時(shí)，實(shí)現(xiàn)網(wǎng)絡(luò)統(tǒng)一管理，統(tǒng)一服務(wù)、統(tǒng)一認(rèn)證。

3.1 無(wú)線網(wǎng)核心層設(shè)計(jì)

核心交換機(jī)作為整個(gè)無(wú)線網(wǎng)絡(luò)的心臟，網(wǎng)絡(luò)的的數(shù)據(jù)報(bào)文集中轉(zhuǎn)發(fā)處理設(shè)備，承載著整個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)交互，因此，對(duì)于核心交換機(jī)的處理性能，可靠性及穩(wěn)定性需要得到保障，保證無(wú)線網(wǎng)核心故障能夠不影響網(wǎng)絡(luò)的使用。核心交換機(jī)不僅是無(wú)線網(wǎng)轉(zhuǎn)發(fā)的業(yè)務(wù)核心，還承擔(dān)著無(wú)線認(rèn)證請(qǐng)求的發(fā)送，移動(dòng)終端的認(rèn)證請(qǐng)求由核心交換機(jī)發(fā)送到IMC認(rèn)證服務(wù)器上，所以核心交換機(jī)必須支持三層路由和PORTAL功能。

本次核心交換機(jī)配置了24個(gè)千兆光口，供下聯(lián)到每個(gè)接入層交換機(jī)互聯(lián)。配置8個(gè)千兆光電復(fù)用口供無(wú)線控制器及出口防火墻的互聯(lián)。

3.2 無(wú)線網(wǎng)接入層設(shè)計(jì)

無(wú)線網(wǎng)的接入交換機(jī)主要的接入終端為AP設(shè)備，根據(jù)AP分布的點(diǎn)位不一，本次無(wú)線網(wǎng)的AP接入層交換機(jī)采用百兆24口的接入交換機(jī)。可供AP接入的端口有24個(gè)，兩個(gè)千兆光口可通過(guò)光纖與核心交換機(jī)互聯(lián)。

考慮到本次存在無(wú)線AP的接入供電，接入交換機(jī)支持標(biāo)準(zhǔn)的POE供電功能。接入交換機(jī)作為終端用戶的接入源頭，必須具備安全防御功能，接入層交換機(jī)支持特有的ARP入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施日趨盛行的“ARP欺騙攻擊”，對(duì)不符合DHCP Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄[2]。同時(shí)支持IP Source Check特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS攻擊。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實(shí)性和一致性。此外還有強(qiáng)大硬件ACL能力，能深度識(shí)別報(bào)文，支持L2～L4包過(guò)濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機(jī)進(jìn)行后續(xù)的處理。并且支持基于端口、VLAN、全局定義和下發(fā)ACL策略。

無(wú)線覆蓋區(qū)域及覆蓋方式

本次區(qū)政府無(wú)線無(wú)線網(wǎng)絡(luò)覆蓋主要?dú)w結(jié)為兩大區(qū)域覆蓋，分別是：政府辦公大樓區(qū)域以及便民服務(wù)中心室內(nèi)。

辦公大樓區(qū)域

對(duì)于政府辦公大樓區(qū)域，考慮到無(wú)線部署的部署方式及美觀，天花板材料，無(wú)線衰減較大、根據(jù)實(shí)際環(huán)境，為了施工簡(jiǎn)潔、無(wú)線的美化，建議部署室外AP，通過(guò)室外大功率AP對(duì)辦公大樓進(jìn)行無(wú)線信號(hào)覆蓋，室外AP根據(jù)實(shí)際的工勘為準(zhǔn)，針對(duì)不同的場(chǎng)景部署定向或者全向天線，保證無(wú)線覆蓋效果。由于建筑物的風(fēng)格差異化，采用室外AP對(duì)辦公大樓等進(jìn)行無(wú)線覆蓋時(shí)，難免存在部分區(qū)域辦公室有無(wú)線盲點(diǎn)區(qū)和死角區(qū)，針對(duì)這些盲點(diǎn)和死角區(qū)域辦公室，再根據(jù)情形安裝適量室內(nèi)AP。

便民服務(wù)中心

對(duì)于便民服務(wù)中心，整棟大樓的覆蓋，宜全部采用室內(nèi)AP進(jìn)行覆蓋，根據(jù)樓層及每層人員數(shù)量配置相應(yīng)數(shù)量AP。匯聚交換機(jī)宜放置在地下一層機(jī)房，分別在2樓及7樓每層放置2臺(tái)POE交換機(jī)，接入每樓層AP。

本次區(qū)政府無(wú)線部署采用Fit AP的架構(gòu)，由無(wú)線控制器統(tǒng)一管理終端所有AP，在核心交換機(jī)上旁掛一臺(tái)無(wú)線控制器設(shè)備，無(wú)線控制器插卡默認(rèn)支持64個(gè)AP的管理，最大可管理256個(gè)AP。所有的無(wú)線AP均是由無(wú)線控制器統(tǒng)一管理，統(tǒng)一配置，統(tǒng)一轉(zhuǎn)發(fā)，建設(shè)網(wǎng)絡(luò)管理人員對(duì)無(wú)線AP的維護(hù)工作量，同時(shí)，無(wú)線控制器也可以實(shí)現(xiàn)1+1和N+1的備份。

無(wú)線AP供電方式

在AP的實(shí)際部署中，一般AP是放在天花板內(nèi)，很難實(shí)現(xiàn)本地去電，本次AP的供電采用POE供電的方式，通過(guò)網(wǎng)線對(duì)AP進(jìn)行供電，在接入層交換機(jī)全部采用POE交換機(jī)。

通過(guò)POE供電可以實(shí)現(xiàn)終端用戶的供電管理，包括供電功率的調(diào)節(jié)和關(guān)閉等等，靈活應(yīng)用。

無(wú)線漫游設(shè)計(jì)

WLAN的用戶存在一個(gè)天生的特點(diǎn)就是移動(dòng)，當(dāng)用戶移動(dòng)時(shí)，要求網(wǎng)絡(luò)在保證安排的前提下不間斷的向用戶提供服務(wù)。

在FAT AP情況下，用戶漫游后的VLAN信息發(fā)生變化，由于用戶IP地址維持不變（IP地址如果變化則所有上層業(yè)務(wù)都會(huì)中斷），導(dǎo)致用戶無(wú)法上網(wǎng)，連接中斷。只有重新獲取地址，并再次認(rèn)證才能訪問網(wǎng)絡(luò)。在AP大規(guī)模部署時(shí)，F(xiàn)AT AP以及FIT AP本地轉(zhuǎn)發(fā)都無(wú)法實(shí)現(xiàn)三層漫游的功能。只有在FIT AP集中轉(zhuǎn)發(fā)下，借助CAPWAP隧道協(xié)議，通過(guò)集中轉(zhuǎn)發(fā)AC設(shè)備的特殊處理，使用戶跨VLAN漫游時(shí)，保持業(yè)務(wù)不中斷。

不同AC下AP之間的快速漫游：

不同AC下AP間漫游，采用IACTP技術(shù)實(shí)現(xiàn)。Inter Access Controller Tunneling Protocol （IACTP） 是H3C自主創(chuàng)新的協(xié)議，它提供了無(wú)線控制器（AC）間的一種通用的封裝和傳輸機(jī)制。IACTP使用標(biāo)準(zhǔn)TCP辦公人員端/服務(wù)器模型。

IACTP引入了漫游域的概念，漫游域是一個(gè)AC的集合，它定義了無(wú)線用戶可進(jìn)行快速漫游的AC集。

IACTP提供控制通道用于快速漫游時(shí)AC間共享/交換信息，同時(shí)也提供了數(shù)據(jù)通道用于對(duì)數(shù)據(jù)報(bào)文進(jìn)行AC間的傳輸。

本次政府無(wú)線采用Fit AP的組網(wǎng)架構(gòu)，可以實(shí)現(xiàn)二三層漫游，保證用戶在不同無(wú)線區(qū)域之間的無(wú)縫漫游切換，感受非凡的無(wú)線網(wǎng)絡(luò)體驗(yàn)。用戶在辦公大樓房間內(nèi)可以通過(guò)面板AP的無(wú)線接入網(wǎng)絡(luò)，出了辦公大樓可以漫游到室外AP的無(wú)線區(qū)域，到會(huì)議室可以漫游到其對(duì)應(yīng)會(huì)議室的無(wú)線，最終實(shí)現(xiàn)政府滿覆蓋，住戶走到政府的哪里都可以使用無(wú)線網(wǎng)絡(luò)，實(shí)現(xiàn)移動(dòng)辦公，移動(dòng)漫游，為政府用戶帶來(lái)非凡的服務(wù)感受。

智能負(fù)載分擔(dān)

本次配置的AP均支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，當(dāng)無(wú)線控制器發(fā)現(xiàn)無(wú)線接入設(shè)備的負(fù)載超過(guò)設(shè)定的門限值以后，對(duì)于新接入的用戶無(wú)線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的無(wú)線接入設(shè)備可供用戶接入，如果有則會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的無(wú)線接入設(shè)備，但如果無(wú)線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負(fù)載均衡方式往往會(huì)導(dǎo)致連接不上網(wǎng)絡(luò)，造成誤均衡。H3C公司創(chuàng)新性的支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于覆蓋重疊區(qū)的無(wú)線用戶才啟動(dòng)負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無(wú)線網(wǎng)絡(luò)容量。

無(wú)線接入認(rèn)證設(shè)計(jì)

用戶接入認(rèn)證實(shí)現(xiàn)了對(duì)接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供了安全保護(hù)。本次的認(rèn)證方式采用portal基于web頁(yè)面的認(rèn)證方式，單位員工通過(guò)PC或者移動(dòng)終端連上無(wú)線以后，無(wú)論訪問電子政務(wù)外網(wǎng)的應(yīng)用還是瀏覽internet，均會(huì)強(qiáng)制彈出認(rèn)證頁(yè)面，要求輸入用戶名及密碼進(jìn)行認(rèn)證。對(duì)于一個(gè)終端用戶，有多個(gè)移動(dòng)終端，如智能手機(jī)、PAD、PC等都需接入，可以根據(jù)設(shè)備的接入數(shù)，調(diào)整該用戶的賬號(hào)在線用戶數(shù)。保證一個(gè)員工多個(gè)終端設(shè)備一個(gè)賬號(hào)的接入，使得整個(gè)單位的員工對(duì)應(yīng)一個(gè)賬號(hào)，實(shí)現(xiàn)事后可查。

本次在電子政務(wù)外網(wǎng)的IMC平臺(tái)上，擴(kuò)容增加EIA用戶接入認(rèn)證組件，配置了1000用戶的授權(quán)許可，實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)終端用戶的安全接入認(rèn)證。

無(wú)線終端設(shè)備識(shí)別

本次在電子政務(wù)外網(wǎng)的IMC網(wǎng)絡(luò)管理平臺(tái)上，擴(kuò)容增加了500個(gè)并發(fā)用戶無(wú)線接入終端的識(shí)別，EIP組件支持通過(guò)客戶端、DHCP、HTTP、MAC地址等技術(shù)準(zhǔn)確識(shí)別接入網(wǎng)絡(luò)的終端廠商、終端類型和操作系統(tǒng)信息；支持根據(jù)終端接入?yún)^(qū)域、接入時(shí)間段、終端IP地址、終端MAC地址、終端廠商、終端操作系統(tǒng)和終端類型等對(duì)網(wǎng)絡(luò)接入終端授予不同的訪問權(quán)限；定制注冊(cè)頁(yè)面的屬性，包括是否顯示、是否作為必填項(xiàng)、配置缺省值（用戶姓名、證件號(hào)碼和密碼支持隨機(jī)生成，密碼是6位數(shù)字，其它是32位大小寫字母和數(shù)字組成的隨機(jī)數(shù)）、調(diào)整顯示順序、修改屬性的顯示名稱。

3.3 出口互聯(lián)安全設(shè)計(jì)

無(wú)線網(wǎng)的終端用戶最終需要連接internet網(wǎng)絡(luò)，政府的地址是私網(wǎng)地址，在接入到公網(wǎng)的網(wǎng)絡(luò)需要進(jìn)行地址的轉(zhuǎn)換，將政府內(nèi)部的私網(wǎng)地址轉(zhuǎn)換成出口公網(wǎng)地址，考慮政府用戶較多，需要出口設(shè)備支持強(qiáng)大的NAT地址轉(zhuǎn)換能力。同時(shí)，考慮到終端用戶需要接入到外網(wǎng)，存在安全威脅，故本次建議在無(wú)線網(wǎng)出口上部署一臺(tái)防火墻設(shè)備，實(shí)現(xiàn)內(nèi)外網(wǎng)地址的轉(zhuǎn)換和安全防護(hù)。

3.4 電子政務(wù)外網(wǎng)訪問安全設(shè)計(jì)

本次無(wú)線網(wǎng)的移動(dòng)終端接入用戶，不僅需要訪問外網(wǎng)internet，還需訪問電子政務(wù)外網(wǎng)進(jìn)行業(yè)務(wù)辦公，本次將無(wú)線網(wǎng)的出口防火墻與電子政務(wù)外網(wǎng)的防火墻互聯(lián)互通，使得移動(dòng)終端用戶可以訪問電子政務(wù)外網(wǎng)的業(yè)務(wù)辦公系統(tǒng)，電子政務(wù)外網(wǎng)不僅有防火墻，還在數(shù)據(jù)中心部署了入侵防御設(shè)備，實(shí)現(xiàn)了完整的網(wǎng)絡(luò)L2-7層的安全防護(hù)，無(wú)線網(wǎng)的移動(dòng)終端用戶訪問電子政務(wù)外網(wǎng)進(jìn)行辦公時(shí)，需要經(jīng)過(guò)兩臺(tái)防火墻設(shè)備的過(guò)濾和入侵防御設(shè)備的應(yīng)用層過(guò)濾，保證電子政務(wù)外網(wǎng)的安全訪問。

3.5 無(wú)線網(wǎng)安全設(shè)計(jì)

無(wú)線網(wǎng)的終端接入，接入的終端設(shè)備不定，終端的安全防護(hù)不一，對(duì)于接入到網(wǎng)絡(luò)中的用戶而言存在一定的安全威脅。

首先，在無(wú)線AP上，集成了無(wú)線WIPS和WIDS功能，其次，針對(duì)同一區(qū)域可能存在多個(gè)無(wú)線覆蓋信號(hào)，如運(yùn)營(yíng)商的無(wú)線信號(hào)，為了保證不會(huì)造成區(qū)域信號(hào)互相干擾，無(wú)線AP支持頻譜防護(hù)功能，可以根據(jù)同一區(qū)域的AP信道，智能調(diào)節(jié)自身信道，確保無(wú)線不會(huì)被干擾。

其次，在AP硬件上，室外AP采用專業(yè)一體化室外型設(shè)計(jì)，具備IP66防水防塵等級(jí)和大范圍寬溫工作能力。

在無(wú)線安全接入認(rèn)證上：本次配置了基于portal頁(yè)面認(rèn)證的方式，在IMC平臺(tái)上配置了EIA組件，支持用戶名、密碼與用戶IP、MAC、VLAN、設(shè)備IP、設(shè)備端口、主機(jī)名、域用戶、SSID、AD域、硬盤序列號(hào)等多種元素的綁定認(rèn)證；支持第一次認(rèn)證成功時(shí)的自學(xué)習(xí)綁定屬性功能；可以在認(rèn)證通過(guò)后下發(fā)用戶的ACL、VLAN、QoS給接入設(shè)備，由設(shè)備動(dòng)態(tài)控制用戶的訪問網(wǎng)絡(luò)權(quán)限；支持用戶同時(shí)在線數(shù)限制、最大閑置時(shí)長(zhǎng)限制，支持黑名單限制接入、支持自動(dòng)加入黑名單、限制接入客戶端的類型和版本，支持限制用戶修改終端MAC地址和使用代理等策略；支持帳號(hào)的增改查，賬號(hào)可批量開戶、導(dǎo)入導(dǎo)出和注銷；支持將用戶的分組管理，不同的用戶分組可以由不同的管理員管理；支持終端賬號(hào)的密碼強(qiáng)度檢測(cè)；可查詢賬號(hào)的接入明細(xì)日志和認(rèn)證失敗日志，日志可導(dǎo)出；支持賬戶失效提醒，過(guò)期賬號(hào)自動(dòng)銷戶；可以在線查看用戶狀態(tài)及其所連接的網(wǎng)絡(luò)設(shè)備信息，對(duì)非法用戶可以執(zhí)行發(fā)送消息、在線檢查、強(qiáng)制下線、關(guān)閉端口等操作，也支持對(duì)離線用戶下發(fā)消息；支持防止仿冒網(wǎng)關(guān)進(jìn)行ARP攻擊。

3.6 無(wú)線網(wǎng)行為審計(jì)設(shè)計(jì)

本次在無(wú)線網(wǎng)的出口防火墻上，旁掛一臺(tái)已有的行為審計(jì)設(shè)備，針對(duì)無(wú)線網(wǎng)移動(dòng)終端訪問internet和電子政務(wù)外網(wǎng)進(jìn)行行為審計(jì)，終端用戶不論是訪問外網(wǎng)還是電子政務(wù)外網(wǎng)，均需經(jīng)過(guò)防火墻設(shè)備，將防火墻設(shè)備上的端口鏡像到行為審計(jì)設(shè)備上，進(jìn)行審計(jì)和日志保存。

【參考文獻(xiàn)】

[1]葉小榮.無(wú)線局域網(wǎng)技術(shù)[M].電子工業(yè)出版社，2003.

[2]盛敏.李建東.史琰.IEEE802.11無(wú)線局域網(wǎng)絡(luò)性能分析[J].電子學(xué)報(bào)，2004，12A：148，152.

[責(zé)任編輯：王海龍]