基于Wi-Fi技术的铁路站场无线接入平台建设
2016-04-01蒋肖锋
蒋肖锋
( 上海铁路局信息化处,上海 200071)
基于Wi-Fi技术的铁路站场无线接入平台建设
蒋肖锋
( 上海铁路局信息化处,上海 200071)
摘要:对铁路站场作业移动信息化业务需求和移动通信应用技术现状进行分析,明确建设原则和建设思路,从系统结构、频率运用、网络管理、网络安全等方面阐述合肥站站场无线接入平台的建设试点情况。
关键词:Wi-Fi;铁路站场;无线接入平台;建设
Abstract:The paper analyzes the demands of mobile information services and current situation of mobile communication application technologies in railway stations and yards, presents de fi nite principles and ideas of construction, and describes the pilot situation of wireless access platform construction in Hefei railway station from the system framework, frequency application, network management and network security.
Keywords:Wi-Fi; railway station and yard; wireless access platform; construction
1 概述
铁路站场是铁路运输网络的重要节点,担负着大量的列车接发、编组、装卸等业务,以及各工种对线路设备的日常维修作业。随着铁路营业里程的不断增加和市场经济的日益发展,车流的变化越来越大,维修作业愈加频繁,运输生产组织及作业人员的劳动强度和安全风险也越来越大,基于宽带融合无线传输的铁路站场无线接入系统将为实现移动信息服务、工作流程监控、后台大数据管理下的现场工作信息支持提供系统性保障。
为满足铁路站场生产系统移动接入的实际需求,中国铁路总公司专门下发《铁路站(场)局域网无线安全接入暂行技术要求》,对站场无线接入系统的总体架构、功能和安全等提出规范性要求。在满足上述要求的基础上,结合客运、电务专业站场移动作业的需要,通过试点利用Wi-Fi技术在合肥站搭建了站场无线接入平台,取得了良好效果。
2 现状
目前,国内铁路主要使用以GSM-R数字移动通信系统和450 M模拟通信系统为主的移动通信应用,由于GSM-R系统所能提供的数据传输带宽有限,无法满足站场各工种视频图像传输、后台数据库查询等高带宽业务需求。
另外,铁路移动作业主要使用的400 MHz模拟对讲系统,由于铁路运输业务种类多且各个业务系统单独使用频率资源搭建语音通信系统,部分地区已经出现频率资源匮乏、干扰严重的现象,模拟对讲系统已经不能满足铁路无线通信的需要。根据国家工信部《关于150 MHz、400 MHz频段专用对讲机频率规划和使用管理有关事宜的通知》规定,自2011年1月1日起,国家将停止对150 MHz、400 MHz频段内模拟对讲机设备的型号核准,全面推广数字对讲机。
合肥站现有的GSM-R数字移动通信系统和450 M模拟通信系统已不能满足运输生产组织和维修作业对移动通信各类信息传递日益增长的需求。
3 功能需求
根据铁路站场生产作业的特点,铁路各专业在日常设备维修和故障应急处置等过程中对移动通信主要有以下需求:
1)生产指挥。实现作业计划的下达、作业流程管理及作业质量卡控等。
2)数据传输。实现作业过程中各类数据的记录和上传。
3)资料检索。实现作业指导书等技术资料和相关规章制度的检索和查询。
4)应急处置。在设备故障应急处置过程中能将现场情况通过图片或视频图像等方式上传至指挥中心供管理人员决策,并指导现场处理。
5)视频监控。将现场视频信息通过无线方式实时传输至指挥中心。
6)语音通信。指挥中心与现场及现场工作人员之间的单呼、组呼等调度通信。
4 建设原则
1)实用性原则。系统与用户及上级管理部门的需求和管理制度相适应,与建设规模的实际情况相吻合,需具有较高的实用价值。
2)安全性原则。应具有多级安全管理、操作人员权限控制、数据传输安全控制、数据存储安全保障等安全把控手段。
3)可靠性原则。系统本身能够长期稳定、安全可靠地运行,当发生故障时,应不影响其他系统的运行。
4)易用性原则。系统设计应界面友好,软件设计人性化,易于普通用户掌握、操作和使用。
5 建设方案
5.1建设思路
随着Internet的蓬勃发展,信息的获得更为便利。信息的及时交换与传递显得非常重要,WLAN无线局域网技术以安全、方便、快捷、经济等多项优点受到人们青睐,成为多点联网的首选方案。利用WLAN技术,可以将现场终端与中央控制中心连接起来,且搭建迅速,在最短的时间内迅速建立起无线网络链路。
基于WLAN的技术优势采用Wi-Fi技术,在遵循《铁路站(场)局域网无线安全接入暂行技术要求》的基础上,按照“统一领导、统一规划、统一标准、统一资源、统一管理”的原则试点建设合肥站站场无线接入平台,综合考虑车务、客运、货运、机务、供电、车辆、工务、电务、公安等专业及救援抢险、应急管理等多种需求,采用先进、成熟、经济、适用、安全、可靠的系统设备,实现合理布局、互联互通、资源共享。
通过试点阶段的建设,该平台已经实现了客运、电务专业生产人员手持专用终端在合肥站站台、咽喉区等部分作业区域的移动信息接入,并预留了其他专业接入及VoIP语音通话等功能。
5.2主要技术
5.2.1Wi-Fi技术
Wi-Fi是Wireless-Fidelity的缩写,遵循IEEE(电气和电子工程师协会)所制定的802.11系列标准,根据制式的不同,Wi-Fi的工作频段也有2.4 GHz和5GHz的差别。Wi-Fi可以将移动终端以无线方式互相连接,实现随时随地宽带互联网访问和上网需求。
基于Wi-Fi技术的WLAN系统有FAT和FIT两种架构:FAT架构由无线接入点(AP)单独完成移动终端无线接入、认证加密等工作,所有无线网络的配置信息都保存在AP上。如果有多个AP混合组网,需要对每个AP单独配置。FIT架构由无线接入点(AP)和无线接入控制器(AC)组成,AP设备只负责移动终端的无线接入、加密工作,用户认证、无线网络配置等信息都保存在AC上,AP无需任何配置。
FIT架构与FAT架构相比,能很好地解决移动终端跨AP漫游不中断的问题,且维护管理更简单,在大规模无线组网中均采用FIT架构方案。合肥站的Wi-Fi网络搭建采用了FIT组网方案。
5.2.2站场无线接入平台整体架构
合肥站无线接入系统由用户层、应用处理层、网络接入层组成。应用处理层对上以WEB方式对PC终端、手持移动终端用户提供应用访问接口,应用处理层内部则实现了设备管理、网络管理、故障管理、文件管理、数据库管理、业务事件处理等全部功能,应用处理层的数据库采用PostgreSQL,WEB服务采用TOMCAT/Javascript,开发语言为JAVA。网络接入层通过高性能有线网络、WLAN无线移动网络实现应用层各类服务器及终端用户的接入。站场无线接入平台架构如图1所示。
5.3网络结构
铁路站场WLAN无线网络由AC和AP设备、安全设备及管理服务器组成,通过在站场内搭建WLAN无线系统,用以支撑站场生产系统大数据流的无线传输,实现信息及时交换与传递并保证信息安全。所有网络设备、安全设备、服务器均通过千兆或万兆以太网链路互联,保证系统的高性能。铁路站场无线接入平台网络结构如图2所示。
由于站场无线接入平台的完整组网方案涉及到很多安全设备和服务器,其部署成本和维护工作量都很大,在合肥站项目试点过程中,在保证信息安全和业务功能完整性的基础上,选择了最小功能集和设备选型方案。
合肥站无线接入平台试点项目主要运用的设备有AC、AP、千兆以太网交换机、网管服务器、应用服务器、防火墙、内置身份认证/MAC地址绑定的移动终端,实现了只有特定的终端才能接入到无线网络中,且无线网络采用SSID隐藏、WPA2加密等方式避免无线信息被窃取。
5.4频率配置及干扰控制
无线局域网可使用2.4 GHz或者5 GHz频段。
其中2.4 GHz频段划分为13个子信道,信道配置如表1所示。
表1 2.4 GHz频段信道配置表 GHz
为控制信道间干扰,选用的2.4 GHz信道中心频率间隔不低于25 MHz,相邻区域频率配置时选用1、6、11信道。
5 GHz频段划分为13个子信道,信道配置如表2所示。
表2 5 GHz频段信道配置表 GHz
针对无线系统的频率干扰问题,通过对设备选型、天线方向、功率控制、无线信道选择等方面综合考虑站场的无线覆盖,保证站场工作区域的无线信号强度在比较合理的水平。
因合肥站现有面向旅客的Wi-Fi服务提供商均采用2.4 G频段和5 G频段的149~165信道,所以站场无线接入平台采用了最新开放的5 G频段的36~40信道,这部分信道由于暂时很少被使用,干扰程度很低,保障了无线接入效果。
未来如果大规模部署站场无线接入系统,无线频点必须要统一规划才能取得良好效果,可将车站面向旅客的公网Wi-Fi和铁路生产使用的专网Wi-Fi系统的频段及信道进行隔离,其中公网Wi-Fi系统使用2.4 G频段和5 G频段的149~165信道,专网Wi-Fi系统使用5 G频段的36~64信道,这样既保证了公网Wi-Fi系统无线网络能兼容所有的旅客终端,给予其最大的接入带宽,又保证了专网Wi-Fi系统的抗干扰和稳定性。
5.5网络管理
合肥站无线接入平台配备了网络管理系统,可通过设备扫描、定时查询网络设备工作状态在网络拓扑上直观反映网络设备状态的变化,网络管理通过网络设备提供的网络管理接口对网络设备的参数进行查询和配置。
1)设备运行状态监控
无线接入平台具有网络监控的功能,可实时监测网络设备的工作状态,并在网络拓扑图上直观呈现出来,网络设备的工作状态用红、黄、绿来表示,分别对应严重告警、一般告警和正常工作状态。网络设备的告警事件同时实时显示在告警列表中。
2)设备配置
无线接入平台可以显示当前设备(包括无线接入控制器AC和无线接入点AP)的系统参数,并根据需要对不同的参数进行配置。
3)无线资源配置
网管人员通过对无线AC的配置就可开通、管理、维护所有AP设备。无线接入平台可以对无线资源如SSID、无线网络协议、无线信道、发射功率等进行配置,满足无线覆盖和无线通信的需要。
4)应用系统数据指向管理
无线接入平台作为无线管理系统的入口,可以将各专业数据指向到相应的应用平台。
5)统计分析
可以统计系统使用的日志信息,包括当前接入的用户数、用户的活动、系统的流量等。
5.6网络安全
合肥站站场无线接入平台的网络架构与安全架构设计遵循《铁路站(场)局域网无线安全接入暂行技术要求》的相关规定,并为各种安全设备预留接口。
系统以防火墙为核心实现网络接入区、网络管理区、车站业务区的分区隔离。网络接入区通过串接IPS入侵防御系统可抵御应用层的网络攻击行为,通过部署WIPS设备对无线网络中的假冒AP和无线攻击行为进行识别告警,并具备阻断攻击的能力。位于Wi-Fi管理区域的安全管理服务器负责对站场内的安全事件进行记录、关联分析并输出安全统计报告;Wi-Fi接入认证服务器为移动终端的用户身份进行识别;移动设备管理服务器与移动设备内的安全防护软件相配合,对终端内的生产应用软件和数据进行加密保护,防止信息泄露。网络管理服务器负责对站场内的所有设备进行统一管理,包括配置管理、拓扑管理、故障管理、软件版本升级维护等;运维审计服务器可对站场内软硬件设备配置修改行为进行记录和审计。
在合肥站的试点项目中,部署了网管服务器、Wi-Fi接入认证服务器。在无线网络侧,采用WPA2加密方式,并在AP设备开启MAC地址白名单及隐藏SSID功能,只有提前录入了MAC地址的合法移动终端,才能接入无线网络,普通终端由于无法搜索到隐藏的SSID信息而避免了误接入的问题。另外,本次选择的无线AC、AP还可开启WIPS功能,可对假冒的AP进行识别和攻击,保证生产网的安全。
6 总结
6.1取得的成效
合肥站站场无线接入平台建设试点项目,实现了客运和电务专业的业务接入,应用平台可以通过手持终端进行现场作业流程的管理,从任务下发到
任务完成,整个流程都受到严格的规则卡控,通过人员到位信息的采集和操作任务与实际下发任务的比较,来严格防止由于现场安全意识不到位而发生的违章行为,服务器侧对所有信息的标准化记录,也使出现问题后有据可查。
另外,通过现场测试数据的实时记录和服务器侧的表格自动录入及汇总统计功能,减轻了现场生产人员和管理人员的工作负担,提高了工作效率。面对现场工作可能遇到的突发状况,手持终端还可以在各项任务的实施时,扫描设备标签来自动检索调取服务器侧对应的作业指导书、故障案例库等信息,按需进行显示,方便现场的巡视和检修工作,提高工作效率,避免错误操作。
基于站场无线接入平台的手持终端应用得到生产和管理人员的欢迎,使用效果良好,整个系统运行稳定。
6.2改进建议
1)目前,合肥站站场无线接入平台还缺乏一些关键的安全组件,如安全审计服务器、移动设备管理服务器、有线网络的IPS等,无法对网管人员的操作进行审计,移动终端一旦遗失,还存在信息泄密的可能,系统的整体安全保障能力仍有待提升。
2)无线网络的频点部署仍需统一规划,现有2.4 G、5 G频段的部分频点已被其他Wi-Fi服务提供商占用,要通过合法、合理的方式进行回收和重新分配,如条件允许可对公网Wi-Fi系统无线网络进行统一的规划和建设。
3)后续还需扩大无线网络的覆盖范围,实现无缝覆盖,通过在移动终端上开启VoIP业务,可直接取代现有的模拟对讲机,使得工作人员只需一个终端就能解决所有问题,提高工作效率。
参考文献
[1]严思广.铁路WLAN技术应用及发展趋势探讨[J].铁路计算机应用 2013,22(1):82-84
[2]铁总运[2014]号.铁路站(场)局域网无线安全接入暂行技术要求[S].
收稿日期:(2015-12-28)
DOI:10.3969/j.issn.1673-4440.2016.01.007
