陕西省汉中市气象局　李　天　吴诗懿　姜宗元

气象业务无线网络升级方案

陕西省汉中市气象局李天吴诗懿姜宗元

无线网络已成为人们在工作、生活中的常用工具，也是组网技术的重要组成部分。本文通过对市气象局现有无线网络进行分析，着重针对暴露出来的隐患和问题，运用目前一些主流的网络技术，规划出行之有效升级方案。通过升级不仅解决了市气象局网络发展的瓶颈问题，也为今后网络规划方面提出一些设计思想与参考。

无线；规划；策略；安全

1.引言

无线网络一直是我局通信网络建设的重要组成部分，旨在为部门人员提供工作便利，并着重在信息化建设方面打造良好的对外形象。我局现有的无线网络经过三年的运行，已无法满足气象事业现代化发展的步伐，特别是无线安全方面暴露出的重大隐患，成为整个网络安全的短板。在此背景下，我局信息科提出的无线网络升级方案得到局高层的批复，要求在有限的预算条件下实现最大优化程度的升级。

2.现有无线网络概况

我局现有无线网络分为办公区和家属区两个功能区域。局办公大楼共有三层，选取某国产一线厂商的无线AP，按照1层楼2个AP的原则进行部署，上行线路均从就近信息插座连接，基本实现了无线信号对整个办公区域的覆盖。家属区选取同厂商功率更大的无线AP，因距离办公楼较近，上行链路通过双绞线直埋的方式与中心机房连接，因AP所处区域附近无电源插座，采用PoE方式进行供电，家属区普遍反应无线信号较为稳定。所有无线AP按编号广播SSID，启用WPA2加密方式，使用者搜寻到无线热点输入密码即可连接。起初密码仅对全局职工及家属公开，后来因部门对外影响及业务方面的需求，外来办事人员也可在征得同意的情况下获取到无线密码。

3.需求与通信分析

3.1需求分析

根据局高层的要求，做为部门人员办公效率的重要保障，以及对外信息化服务的前沿阵地，目前在用的无线网络使用起来便利性不够、传输速率不稳定，也无法针对特定人群定制功能模块，不利于气象事业现代化的发展。升级后的无线网络不仅要在性能和功能上有大幅度的提升，并且要对安全性和可管理性两个方面做重点部署，杜绝网络安全因无线网络的应用出现木桶效应。除此之外还要加入一些针对网络使用行为的监测和审计手段，使无线网络在任何运行状况下都在信息科的可控范围之内。由于预算资金并不充裕，要求在最大限度提升现有设备利用率的前提下，谨慎添加新设备。

3.2通信分析

信息科通过对现有无线网络进行分析，发现存在以下主要问题。

（1）经测试三楼有1个无线AP丢包严重，需更换，二楼与三楼之间新改造后的业务大厅存在信号衰减现象，需增加一台AP或中继设备，解决信号覆盖的死角问题。

（2）无线AP广播SSID各自为政，使用者在不同AP的覆盖区域需手工进行切换，使用起来不够便利。

（3）密码是连接无线网络的唯一认证手段，且缺乏行之有效的认证策略，经测试密码已被某移动端WIFI联网APP破解，整个无线网络实际上处于半开放状态。

（4）未针对特定人群做相应的网络功能模块，其访问单位核心网络的流量也没有行之有效的阻断策略，内部网络暴露，网络信息安全存在很大隐患。

（5）目前单位仅租赁百兆电信外网，既是互联网访问的出口，又承载着单位对外服务、VPN等多项业务功能，带宽明显不足，忙时过载现象严重，已影响到对外业务的开展。

（6）未对互联网访问进行行为监测及流量控制，接入终端的使用行为不在控制范围之内。

4.设计方案

4.1拓扑结构

根据分析，现有网络拓扑结构基本能满足升级需求，多数网络设备可以继续使用，仅在个别区域需要做出调整。更换性能下降的无线AP，并在业务大厅信号较差的地方增加无线中继设备。增加一台BAS做为无线网络核心设备，将替换下的原上行交换机调配至网络其它节点使用，并在BAS上连接一台服务器用作认证及WEB服务使用。另租赁广电100M外网接入，与原有电信线路组成双出口。

4.2无线接入设计

所有无线AP转为瘦AP工作模式，不再各自按编号广播SSID，由BAS进行统一管理，并根据移动终端所处区域自动切换连接AP，实现无缝漫游。单位工作人员使用无线网络需先将移动终端在信息科注册，由信息科分配静态IP地址并与移动终端的MAC地址绑定，此类接入终端划分至VLAN1中，将终端MAC地址加入后台白名单中。家属与外来办事人员可自行搜索SSID连接，由BAS上的DHCP服务分配IP地址并做ACL控制，此IP地址段为单独规划，与内网IP无关联。后台的PortalServer向用户提供认证页面，用户输入手机号码进行验证，BAS将用户验证信息进行合法性检查，认证通过后此类终端划分至VLAN2中，并解除初始的ACL控制策略。若有不合法的终端用户，将终端MAC地址加入后台黑名单中，限制其连接无线网络。

4.3功能模块设计

根据不同的功能需求，通过ACL对VLAN1和VLAN2中的用户给予相对应的功能权限。VLAN1中的用户主要使用需求为单位内网资源调阅、OA办公及访问互联网，允许其同时有访问内外网的权限，常规情况下不做ACL控制。VLAN2中的用户在访问互联网的同时，也对气象资讯及数据有一定程度的需求，这也是气象服务面向公众的重要组成部分。出于安全考虑通过ACL阻断其目标地址为单位内网的流量，将此类数据的提供终端与内网分隔，用户认证通过后在终端上以B/S模式显示气象数据及资讯获取平台。通过友好的UI设计，用户只需要简单的操作即可获取到自己想要的信息，此类信息的后台数据库也独立于单位内网之外。在平台上同时集成了汉中气象微博、微信公众号的二维码，方便用户关注。

4.4流量控制与安全策略

访问互联网流量一直是单位信息流量的大户，对网络整体影响较大且难于管理，信息科在VLAN与ACL设计的基础上引入策略路

由，对两个VLAN访问互联网的流量进行规划，VLAN1用户的出接口设置为电信线路，VLAN2用户的出接口设置为广电线路，优先保证部门人员对网络的使用，实现流量区分和负载分担，也进一步保证互联网访问的安全。除此之外还对连接终端进行流量限制策略，按工作时间分为忙时和闲时，保证正常业务的开展不受其它终端行为的影响，进一步达到流量精确控制的目的。

移动终端因其流动性大的特点难于控制，除了通过黑白名单对接入终端进行认证，必要的监审手段也是网络安全的重要保障手段。将原先仅针对内网用户的IDS监控范围扩大至无线接入终端，一旦发现有不良行为立即向网管报警，信息科审查无误后将涉及终端的MAC地址加入黑名单中，不允许其再接入本局无线网络。依托于IDS收集到的监审信息，也可在后期进一步发掘网络中存在的漏洞及安全隐患，方便信息科做全面的审查分析。

5.结语

此次升级在预算并不充裕的条件下对无线网络实现了最大程度的优化。其中所采用的WEBportal认证、VLAN、ACL以及策略路由等技术，都是目前网络规划中比较主流和稳定的解决方案。通过此次升级，本局无线网络不仅在预算范围内实现了功能和性能方面的刚性需求，也大大加强了安全性和可管理性，为无线网络的规划提供一些设计参考。

［1］黄传河.网络规划设计师教程［M］.清华大学出版社，2013，11.

［2］广州杰赛通信规划设计院.无线局域网设计与优化［M］.人民邮电出版社，2015，1.

［3］朱小平.网络工程师的5天修炼［M］.中国水利水电出版社，2012，4.

［4］白国强.网络安全基础-应用与标准［M］.清华大学出版社，2014，5.

李天（1986—），男，陕西汉中人，计算机网络工程师，现供职于汉中市气象局信息技术保障中心，从事网络运行维护工作。