大慶油田WiFi 網(wǎng)絡(luò)建設(shè)思路探討

宋春光

（大慶油田信息技術(shù)公司規(guī)劃設(shè)計(jì)所，黑龍江 大慶 163453）

隨著集團(tuán)公司和油田公司對(duì)辦公網(wǎng)安全防護(hù)的加強(qiáng)，根據(jù)集團(tuán)公司和油田公司的要求，嚴(yán)禁辦公網(wǎng)與其他網(wǎng)絡(luò)互聯(lián)互通。同時(shí)，油田各單位對(duì)寬帶互聯(lián)網(wǎng)的需求日益強(qiáng)烈，無(wú)線WiFi 系統(tǒng)成為油田各單位訪問(wèn)寬帶互聯(lián)網(wǎng)的有力補(bǔ)充。大慶油田在無(wú)線WiFi 系統(tǒng)的建設(shè)上，網(wǎng)絡(luò)安全成為建設(shè)重點(diǎn)，需要滿足身份認(rèn)證、設(shè)備管理、實(shí)時(shí)監(jiān)控、時(shí)段控制等要求，避免終端用戶的違規(guī)外聯(lián)，滿足油田公司的相關(guān)管理要求。

1 建設(shè)思路

信息技術(shù)公司無(wú)線WiFi 系統(tǒng)為獨(dú)立組網(wǎng)，與油田辦公網(wǎng)嚴(yán)格物理隔離，滿足集團(tuán)公司及油田公司在網(wǎng)絡(luò)安全方面的管理要求。系統(tǒng)采用集中認(rèn)證方式，可通過(guò)設(shè)置帳號(hào)、密碼，ip、mac 綁定，操作系統(tǒng)識(shí)別等安全管理手段，做到指定個(gè)人、指定終端的訪問(wèn)控制，杜絕辦公網(wǎng)終端的違規(guī)外聯(lián)；支持行為審計(jì)和溯源功能，滿足國(guó)家對(duì)非經(jīng)營(yíng)場(chǎng)所無(wú)線接入的管理要求。信息技術(shù)公司無(wú)線WiFi 系統(tǒng)包括無(wú)線WiFi 認(rèn)證云平臺(tái)和邊緣承載網(wǎng)絡(luò)兩部分。

1.1 認(rèn)證云平臺(tái)

與傳統(tǒng)架構(gòu)不同，油田WiFi 認(rèn)證采用云架構(gòu)部署，與用戶承載網(wǎng)絡(luò)邏輯隔離。各二級(jí)單位不用單獨(dú)部署認(rèn)證系統(tǒng)，共享油田統(tǒng)建云云認(rèn)證平臺(tái)資源，便于油田統(tǒng)一管理，安全接入，同時(shí)節(jié)省建設(shè)投資。

無(wú)線WiFi 云認(rèn)證平臺(tái)采用集中方式部署，建設(shè)在數(shù)據(jù)中心，能夠?yàn)橛吞锔鞫?jí)單位的無(wú)線WiFi 網(wǎng)絡(luò)提供統(tǒng)一的接入和認(rèn)證，實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一管理、統(tǒng)一運(yùn)維，提供安全、穩(wěn)定的無(wú)線WiFi 接入服務(wù)。

無(wú)線WiFi 云認(rèn)證平臺(tái)采用集中式部署方式，統(tǒng)一建設(shè)一套Portal 認(rèn)證設(shè)備，各單位分權(quán)分域管理，實(shí)現(xiàn)WiFi 接入用戶的統(tǒng)一認(rèn)證。

無(wú)線WiFi 云認(rèn)證平臺(tái)包括防火墻、交換機(jī)、平臺(tái)軟件等，建設(shè)在華為云數(shù)據(jù)中心，按照云化模式部署。云認(rèn)證平臺(tái)采用雙機(jī)熱備工作方式，主、備服務(wù)器間單獨(dú)連接網(wǎng)線。主服務(wù)器通過(guò)訪問(wèn)備份服務(wù)器的TFTP 軟件，將數(shù)據(jù)庫(kù)備份到備份服務(wù)器。主、備服務(wù)器在同一臺(tái)交換機(jī)下，主、備服務(wù)器采用相同IP 地址，并為主、備服務(wù)器配置不同的VLAN。當(dāng)主服務(wù)器出現(xiàn)宕機(jī)，備份服務(wù)器會(huì)自動(dòng)恢復(fù)本地備份的數(shù)據(jù)庫(kù)文件，在交換機(jī)上將主、備服務(wù)器的VLAN 對(duì)調(diào)，可在數(shù)毫秒內(nèi)實(shí)現(xiàn)主、備服務(wù)器切換，保證云認(rèn)證平臺(tái)穩(wěn)定、高效運(yùn)行。

1.2 承載網(wǎng)絡(luò)

（1）網(wǎng)絡(luò)架構(gòu)。承載網(wǎng)絡(luò)采用分級(jí)部署方式。在用戶側(cè)部署核心交換機(jī)、POE 接入交換機(jī)、AP 等設(shè)備，構(gòu)成接入層；在信息技術(shù)分公司所屬分公司機(jī)房部署AC 控制器、應(yīng)用控制網(wǎng)關(guān)、防火墻構(gòu)成匯聚層網(wǎng)絡(luò)。按照用戶分布情況合理選擇及部署匯聚節(jié)點(diǎn)，該匯聚節(jié)點(diǎn)下各單位共享控制層網(wǎng)絡(luò)資源，各單位只需建設(shè)AP 等接入設(shè)備，從而進(jìn)一步縮減建設(shè)成本。

承載網(wǎng)絡(luò)主要包括AC 控制器、應(yīng)用控制網(wǎng)關(guān)、防火墻、核心交換機(jī)、POE 接入交換機(jī)、AP 等設(shè)備，根據(jù)用戶需求和建設(shè)規(guī)模可進(jìn)行靈活組網(wǎng)。AC 控制器、應(yīng)用控制網(wǎng)關(guān)、防火墻、核心交換機(jī)建設(shè)在信息技術(shù)分公司機(jī)房，實(shí)現(xiàn)應(yīng)用管理、地址轉(zhuǎn)換、安全防護(hù)、AP 控制等功能。POE 交換機(jī)和AP 設(shè)備建設(shè)在樓宇內(nèi)，POE 交換機(jī)采用光纜直連方式上連至核心交換機(jī)；AP 采用吸頂方式安裝，布放超五類非屏蔽雙絞線，將AP 設(shè)備上連至POE 交換機(jī)。

以上設(shè)備功能如下：

認(rèn)證設(shè)備：實(shí)現(xiàn)用戶認(rèn)證；

AC 控制器：實(shí)現(xiàn)AP 的管理，實(shí)現(xiàn)AP 流量的匯聚，AP 漫游，統(tǒng)一SSID 號(hào)發(fā)布；

防火墻：實(shí)現(xiàn)NAT 轉(zhuǎn)換，將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，并配置安全策略，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的防護(hù)；

核心交換機(jī)：實(shí)現(xiàn)防火墻/路由器、認(rèn)證設(shè)備、AC 控制器、POE 交換機(jī)的接入；

POE 接入交換機(jī)：實(shí)現(xiàn)AP 接入，并對(duì)AP 設(shè)備POE 供電；

AP 設(shè)備：實(shí)現(xiàn)無(wú)線終端的接入。

應(yīng)用控制網(wǎng)關(guān)：實(shí)現(xiàn)用戶行為審計(jì)功能。

為了更好地滿足用戶接入需求，提高用戶體驗(yàn)，本系統(tǒng)均采用企業(yè)級(jí)接入設(shè)備，主要設(shè)備參數(shù)如下：

AC 設(shè)備。接口：支持不少于4 個(gè)千兆電接口和4 個(gè)千兆光接口；供電方式：支持220V 交流供電；最大管理AP 數(shù)512 個(gè)；漫游功能：支持同一或不同AC 間，不同AP 漫游，快速漫游；認(rèn)證方式：支持802.1x 認(rèn)證，MAC 地址認(rèn)證，Portal 認(rèn)證；安全防御：支持黑、白名單、非法AP 檢測(cè)、防無(wú)線泛洪攻擊；網(wǎng)絡(luò)功能：支持VLAN、DHCP；射頻：支持射頻設(shè)置、速率設(shè)置、信道掃描、信道功率優(yōu)化等。

AP（類型一）。支持協(xié)議： 802.11ac、802.11n、802.11a、802.11b、802.g；接口：千兆以太網(wǎng)口 供電方式：支持POE 供電和本地供電；最大發(fā)射功率：≥20DB；天線：內(nèi)置天線，最大天線增益≥5DB；接入用戶數(shù)：支持最大128 終端接入，30 終端同時(shí)使用。

AP（類 型 二）。支 持 工 作 頻 段：5G（802.11ac、802.11n、802.11a）。

防火墻：交流供電，千兆SFP 光接口能力不少于2 個(gè)、千兆電接口能力不少于4 個(gè)。支持路由模式、透明模式、混雜模式、可防御arp、端口掃描等多功惡意攻擊；支持蠕蟲、木馬、DDos、IPS 逃逸等常見(jiàn)攻擊的防御；支持對(duì)郵件、網(wǎng)頁(yè)應(yīng)用層的過(guò)濾；支持NAT、IPv6 功能。

應(yīng)用控制網(wǎng)關(guān)：交流供電，吞吐量不低于1Gbps，千兆電接口不小于4 個(gè)。支持安全審計(jì)、應(yīng)用控制、日志分析、用戶上網(wǎng)行為分析與審計(jì)等功能。

核心交換機(jī)。交流供電，交換容量不低于250Gbps，包轉(zhuǎn)發(fā)率不低于47Mpps，千兆SFP 光接口不少于16 個(gè)、千兆電接口能力不少于4 個(gè)。

POE 交換機(jī)（類型一）。交流供電，千兆電接口不少于24 個(gè)，千兆光接口不少于4 個(gè)，支持POE 供電。

POE 交換機(jī)（類型二）。交流供電，千兆電接口不少于8 個(gè)，千兆光接口不少于兩個(gè)，支持POE 供電。

（2）AP 部署原則。①在辦公室、走廊等用戶稀疏區(qū)域部署AP（類型一），每臺(tái)AP 支持30 用戶同時(shí)使用；在會(huì)議室等用戶高密區(qū)域部署AP（類型二），每臺(tái)AP 支持100用戶同時(shí)使用。②為了減少射頻干擾，相鄰AP 采用互相不干擾的信道來(lái)進(jìn)行無(wú)線覆蓋。例如，2.4G 頻率可以使用1、6、11 信道覆蓋。AP 開(kāi)啟雙頻功能，由AP 選擇用戶優(yōu)選連接5.8G 頻率，移動(dòng)終端無(wú)須配置。③為了保證用戶終端接收效果，覆蓋區(qū)域場(chǎng)強(qiáng)設(shè)計(jì)為-70dBm 以上。在有磚墻阻隔區(qū)域，AP 覆蓋最多穿2 面120mm 磚墻，半徑10 米區(qū)域；在大廳、禮堂、監(jiān)控室等空曠區(qū)域，AP 覆蓋半徑20 米區(qū)域。因此，在走廊布放AP 的最佳間隔距離為10 米，大廳禮堂布放AP 的最佳間隔距離為20 米，有效確保無(wú)線信號(hào)的強(qiáng)度。鏈路預(yù)算：AP 發(fā)射端全向輻射功率=AP 發(fā)射功率+天線增益≥25dBm；鏈路損耗余量=25-（-70）=95dbm。④為了保證更好的覆蓋效果，AP 采用吸頂方式安裝，安裝位置在覆蓋區(qū)域的中間位置上方。對(duì)于舉架過(guò)高的房屋，可采用壁掛式安裝方式，安裝高度在2.5m 左右，便于施工以及后期維護(hù)。⑤AP 應(yīng)避開(kāi)干擾源部署，干擾源包括變壓器、無(wú)線路由器、高功率電器、弱電機(jī)房等。

（3）IP 地址分配。Portal 認(rèn)證服務(wù)器端：采用公網(wǎng)IP 地址30 個(gè)，1 個(gè)C 類私有地址段。Portal 平臺(tái)服務(wù)器使用私網(wǎng)地址，通過(guò)出口防火墻做NAT 地址轉(zhuǎn)換，在出口防火墻上針對(duì)各個(gè)分公司的公網(wǎng)IP 地址做針對(duì)性訪問(wèn)策略。接入側(cè)：信息技術(shù)公司各分公司作為匯聚節(jié)點(diǎn)，各分公司分配k 個(gè)公網(wǎng)IP 地址，作為用戶出口設(shè)備的NAT 地址池使用。每個(gè)分公司分配n 個(gè)B 類私網(wǎng)地址段，按順序分配使用，前m個(gè)C 類地址段用作AC、AP 等設(shè)備的管理地址和接口地址，其他地址作為用戶接入地址。其中，Portal 平臺(tái)服務(wù)器、AC、交換機(jī)、應(yīng)用控制網(wǎng)關(guān)采用固定IP 設(shè)置，AP 及用戶采用DHCP 方式獲得地址。

2 結(jié)語(yǔ)

隨著各種多媒體的應(yīng)用，未來(lái)數(shù)據(jù)流量的增長(zhǎng)趨勢(shì)呈現(xiàn)快速上揚(yáng)，對(duì)油田WiFi 網(wǎng)絡(luò)提出了更高的要求。本文提出的大慶油田WiFi 網(wǎng)絡(luò)建設(shè)方案能夠滿足大慶油田各單位無(wú)線接入需求，滿足集團(tuán)公司和油田公司對(duì)網(wǎng)絡(luò)安全的相關(guān)管理要求，具備身份認(rèn)證、設(shè)備管理、實(shí)時(shí)監(jiān)控、時(shí)段控制等功能，可有效避免終端用戶的違規(guī)外聯(lián)。通過(guò)建設(shè)大慶油田WIFI 網(wǎng)絡(luò)，可有效承載移動(dòng)辦公平臺(tái)、技術(shù)交流等多種信息化業(yè)務(wù)，提高辦公效率。