园区无线网络覆盖应用分析

2017-04-03曹海

海峡科学 2017年12期

曹海

园区无线网络覆盖应用分析

曹海

福建省气象信息中心

为在福建省气象局大院实施WLAN覆盖项目，实现“携带自己的设备办公”(bring your own device，简称BYOD)，该文在确立网络建设原则的基础上，首先通过对原有网络结构进行梳理分析，确立建设目标，并分析建设过程中存在的主要问题，针对大院WLAN覆盖项目中出现的DHCP服务、用户认证管理、强制信号绑定、AP供电、网络安全等问题逐一提出解决方案，指明了未来应开展的实践和研究工作。

BYOD WLAN DHCP 用户认证管理网络安全

随着气象现代化进程的推进，气象业务对信息网络的需求越来越大，要求越来越高[1-2]。与此同时，随着无线应用的安全技术不断发展，移动计算技术的日益普及和BYOD(bring your own device)应用需求的不断增强，无线技术被市场所采纳和接受[3-5]，无线网(Wireless Network)以其无需布线、多区域漫游、运行费用低廉等优点，得到各级气象部门青睐[6-7]。伴随而来的DHCP服务、用户认证管理、强制信号绑定、AP供电、网络安全等问题也尤为突出，针对这一情况，福建省气象局在大院(下文简称“大院”)WLAN项目中，通过有线无线统一管理、用户认证与DHCP分设备管理、POE供电交换机接入、专用电源模块供电、IMC智能管理平台、AC无线接入控制器等措施进行解决。

1 建设原则及网络结构

大院原有互联外网在经过“统一出口”改造后，所有用户以IP与账号绑定，有线与私搭无线混用。为对用户进行更有效管理，需将有线与无线分开管理，撤除所有私搭无线，尽可能维持原有网络结构，以最小工程量实现WLAN覆盖。

1.1 网络建设原则

基于整个项目的目标定位和使用需求，有以下几个原则：

（1）广覆盖性原则。此次无线网络建设用到了65个AP来支撑起整个网络的广度，人员相对密集的区域，用智能型AP保证覆盖范围及信号强度，办公室较多的区域，采用面板式AP保证每间办公室都有足够的信号，并且相互不干扰。

（2）高移动性原则。高移动性是一个无线网络最基本的需求，目前建设的无线网络范围内都可以随意进行漫游，走到任何一个覆盖区域都能上网，不会出现网络卡顿、重新认证等情况。

（3）易组网性原则。FIT型的网络架构确保AC与众多AP之间的通信效率，AC管理AP方便。整个拓扑清晰，易于扩展，可以随时通过增设AP来扩展信号覆盖范围。

（4）高安全性原则。安全性是无线网络最重要的环节，目前依靠用户隔离，AP隔离和系统性的认证，保证整个无线网络的安全性能。

（5）安全便捷认证原则。所有用户的信息都保存在上网行为管理上，实时查看管理无线上网用户状态，认证、流控管理、用户认证注销等均与原本有线上网的管理方法一致，符合用户习惯。

（6）低难度运维原则。无线网络的建设就是为了减少有线网络带来的各种工程运维难度，不需要太多的材料，方便日后维护。

1.2 原网络结构

经过多年建设，大院互联外网已经形成核心、汇聚、接入三层架构，骨干网络已达到千兆、部分万兆，主要桌面与服务器接入均达到千兆水平，网络安全方面也已经在出口部署了防火墙、防病毒网关、入侵检测、上网行为管理等设备，拓扑图如图1所示。

但随着无线业务需要的增加，各单位私自搭设无线网络，导致接入终端不可控，网络安全隐患也遍布全网。因此只有保证接入终端合法性，以及终端与用户绑定，保障合法用户规范化管理，才能保障无线业务安全、稳定、高效运行。基于此，大院开展WLAN覆盖，对原有“统一出口”网络结构进行改造便势在必行。

图1 大院原网络结构拓扑图

2 建设目标及问题分析

2.1 WLAN覆盖后目标网络结构

为维持“统一出口”网络结构，不影响原有外网业务和有线用户接入，以及网络安全规范要求，WLAN覆盖对网络结构的改造仅从上网行为管理器下联的汇聚交换机开始，因此WLAN覆盖后的网络结构拓扑图将其他安全设备统称“安全设备”，以简化结构。WLAN覆盖后的目标网络结构拓扑图如图2所示。

为实现对无线AP的集中管理及AP无配置扩展，在汇聚交换机接入AC无线接入控制器，实现对AP的管理及DHCP。因各单位原有网关交换机都不带POE供电功能，为解决AP供电问题，将网关交换机更换为带POE供电功能的POE交换机。更换网关交换机后，有线用户和无线用户均下挂于新网关交换机。在新网关交换机接口不够时，级联原有网关交换机，有线用户仍接入原有网关交换机，实现利旧。

图2 大院WLAN覆盖后目标网络拓扑结构

2.2 问题分析

通过对原有网络结构及接入设备情况的梳理，以及建设目标的明确，在建设过程中将可能出现下列问题。

2.2.1 DHCP服务

原有有线用户均为IP绑定，考虑无线终端多样性，IP绑定无法实现，如手机终端；同时长时间无活跃记录终端占用IP，将导致IP地址用尽的情况。

2.2.2用户认证管理

无线认证做到另外系统上将导致有线和无线用户分设备管理，必然增加管理人员工作量；如何实现“一用户，多终端”以满足一人多终端接入需求。

2.2.3信号覆盖及接入AP选择

考虑到建筑结构复杂，如何实现信号无死角覆盖；同时在信号叠加区域终端接入对AP的选择，以保障更好的网络体验。

2.2.4 AP供电

WLAN覆盖所部署的AP供电方式有远程POE交换机供电及现场供电模块两种，如何规划以保障供电性能、降低工程量及节约成本。

2.2.5网络安全保证

WLAN覆盖后，诸如接入终端合法性，终端流控，AP间攻击，网络攻击等网络安全问题突出，需要采取相关措施，保证网络安全。

3 解决方案

针对大院原互联外网结构情况，在WLAN覆盖项目实施过程中遇到了DHCP服务配置、用户认证管理、强制信号绑定、AP供电、网络安全等几个关键性问题，在项目实施过程中均逐一找到解决方法。

3.1 DHCP服务

为满足大院WLAN覆盖业务及配置需求，对VLAN类型及规划原则如表1所示。与此同时，在本项目中设计IP及IP池规划原则如表2所示。

表1 VLAN规划

表2 IP地址规划

为保证IP池内IP地址活跃性，同时剔除长时间未有活跃的用户，在AC上配置DHCP周期为20d，如图3所示，同时在上网行为管理器上配置自动注销无流量的已认证用户的时间为20d，两设备时间匹配后方能达到在指定时间内无活跃记录的终端释放IP，同时保证了规划的IP池的可用性。

图3 DHCP服务配置界面

为实现用户无需绑定IP、只需输入用户名和密码即可获得IP地址接入网络，WLAN覆盖项目规划的IP为DHCP动态分配，即只要在上网行为管理器端认证通过的终端，AC将自动为其分配一个IP地址。

3.2 用户认证管理

考虑到将无线用户认证做在AC端，必然导致有线用户与无线用户分设备管理，在增加管理人员工作量的同时，必然需要大面积改造网络结构。因此，无线用户认证管理仍然采用上网行为管理器实现（如图4所示），形成了与原有的有线用户进行统一管理，在利用旧设备的同时，最大限度保持原有网络结构。

图4 上网行为管理器

原有网络中所有用户，包括业务服务器、有线用户及私搭无线用户均采用“一账号，一IP”的模式，在认证策略中独立添加新注册用户IP。为实现无线用户无需绑定IP、只需验证用户名和密码，即可由AC端DHCP自动分配IP地址，在上网行为管理器端认证策略中相应添加IP资源池的认证策略。

用户的认证管理为AC无线接入控制器与上网行为管理器协同合作完成，既保证了系统的稳定性，同时也最大限度维持了原有网络结构及认证方式，减轻了维护人员的工作量。

3.3 强制信号绑定

为避免由于AP发射信号过大引起的不必要干扰以及邻居AP发生宕机信号无法有效覆盖的问题，本WLAN项目AC采用无线功率自动调整算法（TPC）实现无线AP发射功率的自动调整，从而解决无线信号无法智能高效覆盖的问题。同时，采用蜂窝式部署，保证AP之间互不干扰。智能AP开启双射频，2.4GHZ跟5.8GHZ同时工作，让用户上网更流畅，网路畅通。AP跟其序列号绑定，才能上线，不允许外有AP私自接入网络。关键配置代码如下：

3.4 AP供电

在原有“统一出口”项目中，虽然为各单位配备网管交换机，保证各单位用户直连至网关，通过网关到达信息中心汇聚交换机，实现了快速上网。但原有的网管交换机不带POE供电功能，因此在AP部署时AP的供电问题不能解决，同时考虑到增加供电模块的成本过大，尤其是局机关外网结构相对简单，均为网管交换机直连至用户，综合以上原因，将局机关原有交换机替换为POE供电交换机解决。

信息中心网络相对较为复杂，从中心交换机下来通过楼层交换机才能到达用户，因此在替换原有网关交换机为POE交换机的同时，对某些无法实现供电的AP增加供电模块，实现现场供电。