王玄博

无线网络是现代城市信息化和现代化的一项基础设施，是提高城市信息化水平的重要手段，无线城市是未来城市信息化发展的重要方向，也是衡量城市运行效率、信息化程度以及竞争水平的重要标志[1]。

1 无线大厂项目说明

此次大厂无线城市共覆盖县城内人流量大、驻留时间长的部分重点区域，具体详见后附覆盖范围表，预计建设共需投资1 526.67万元。其中机房核心设备投资170.55万元；光缆线路建设投资663.47万元；终端设备投资692.65万元。在完成以上投资，实现重点区域的覆盖后，可进一步考虑覆盖县城的其他区域，最终实现县城的全区域覆盖。

2 无线大厂组网方案

2.1 无线大厂整体方案说明（如图1）

图1 无线大厂整体方案

规划方案说明：

依据大厂县城的规模，此次无线城市网络用户容量规划为支持最多3 000～5 000人同时使用，认证最多支持10 000个用户的账号。无线接入用互联网出口带宽规划为1 000兆，后期可视使用情况扩容。核心层架构采用高可靠性的双核心结构，2台核心万兆交换机采用虚拟技术统一管理，双机同时运行，单台故障不会中断业务。核心层为万兆链路，可为将来的功能应用提供良好的支持。无线AP（无线接入点）到核心交换机的传输层采用PON（无源光网络）设备，中途为全光纤链路，无需供电，整体可靠性高。PON网络的ONU（光网络终端）本地供电，采用POE技术通过网线向无线AP供电，简化了施工。本次建设不包含公共服务平台，待有成熟的公用服务业务需求时再进行建设。

2.2 无线网络管理系统说明

全网的AP都统一由核心的AC（无线控制器）进行控制，数据集中转发，所以无线控制器要求极高的可靠性，本方案通过总部出口部署2台高端无线控制器来提高可靠性，避免宕机的风险。通过接入层交换机以及汇聚层交换机，将所有的AP无线接入点连接起来，直连到核心交换机。核心交换机旁挂无线控制器组、IPS、WAF（Web应用防护系统）和服务器组，实现高可靠性以及数据的安全性。核心交换机上联AC和AF设备，实现对下联所有用户的上网行为管理、审计功能以及数据的安全性。

2.3 分权管理

无线网络的部署和营销功能的管理通常是不同部门的人员。也就是说，IT管理员负责网络部署，网络维护和其他任务。营销部门仅负责营销广告和营销推广规则。传统网络设备仅支持统一管理员身份状态。营销人员用管理员账号登陆后台更改网络设置后，可能会使网络将瘫痪。分权管理可以有效避免这样的错误产生。

2.4 可视化运维

自定义地图，管理员可以导入一个便于实时显示AP运行状态的背景图像，也可以显示当前在线用户和AP的实时流速。用户集中管理包含用户信息集中管理和用户集中授权，是实现“一站式登录”的基础。“一站式登录”简单说，就是用户通过一次性鉴别登录后，即可获得访问网络的授权，在此条件下，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制，实现集中的身份认证、授权管理，并针对账号的使用情况形成审计记录。

3 互联网接入方案

为了能够给市民提供畅通的网络享受，需要保证AP有足够的上行带宽，这对承载网络的整体带宽就提出了更高的要求，所以本方案采用运营级高性能AP，支持2.4G、5.8G双频无线接入，单台同时支持用户在100个以上，完全满足业务应用。

传输层采用PON光纤技术承载，提供高带宽承载，也具有较高的稳定性和安全性。沿街分散部署AP采用EPON承载。在设备安装地点部署ONU，通过OLT实现ONU的汇聚后，再通过统一的广电宽带出口链接INTERNET网络。

3.1 无线城市安全解决方案

全市使用统一的标示“i-langfang”和“i-大厂”作为“智慧大厂”的网络SSID，构建安全可靠的安全认证管理平台，增强无线网络可信度和政府形象展示。

1）微信认证。依托大厂县“智慧大厂”建设成果，结合现有的资源，对“智慧大厂”进行可持续运营，促进其长远发展。针对无线城市主要推荐微信认证方式。因腾讯微信平台的特征优势，微信认证是时下比较流行的一种认证方式，主要应用在商超、咖啡馆、电影院等公共区域场所的无线接入，通过免费的无线为入口，获得用户的关注，然后通过微信公众号向用户投放广告、发送促销消息等。用户关注相应微信公众号即可上网，并拥有多种认证方式，如关注后查看广告上网，微信网页授权上网等

2）上网行为管理。上网行为管理能帮助经营者控制和管理用户对互联网的使用，包括对网页访问过滤、网络应用控制等，上网行为管理对规范市民上网行为起着重要作用，符合公安部门对运营商的要求[2]。

上网行为管理设备能精确识别2 000余种网络应用，千万级的URL链接预分类库，如成年内容、宗教、色情、赌博、反动等预分类库。通过上网行为管理功能，可有效过滤反动、暴力、色情、毒赌、钓鱼恶意等非法和不良网站，为市民提供一个良好的上网环境，树立文明新风。

3）上网行为审计。在线行为监查可以记录用户在线行为，以满足公安部令82号的要求。对各种各样的用户（小组）能进行不同的动作的记录和审计，包含Web访问，Web投稿，电子邮件，文件传送，游戏行为，股票交易的行为，在线观察和收听视频及音频，P2P网络下载等的活动行为。近年来信息防泄密方案备受组织管理员关注，用户向论坛BBS发布不负责的言论、网络造谣等，将给组织带来法律风险。行为审计能记录用户通过BBS、Blog等发布的网络言论，全面记录用户上网行为，规避法律风险。

4）安全加固。最后，除了上述基本的安全措施外，还需要对无线城市的WLAN网络进行安全加固，防止黑客攻击、入侵或盗取用户资料信息确保用户的利益，维护运营公共设施的权威性。与有线网络相比，无线网络仅依赖于发射和接收的电波，入侵者可以通过非常敏感的接收设备破坏和入侵。因为入侵者不需要物理地连接窃听或者分析设备，这成为无线局域网面临的最大的威胁之一。开放式的无线网络环境中，数据包在空口传输是未加密的，攻击者可使用监听模式窃取无线中传输的数据包，造成数据信息的泄露等安全威胁。对无线空口进行安全加密，防止黑客监听窃取用户数据信息。

作为公共区域内的接入网络，全部的接入用户被分离（用户的分离，包含同样的AP下的用户间的分离，以及不同的AP下的网络用户间的分离）。隔离后，接入用户之间不能访问，数据相互隔离，提高安全性，保证用户数据安全。因为公共区域WLAN使用单向认证（非相互认证方式），访问点能确认用户的身份，不过用户不能确认访问点的身份。实际环境中，并不能有效的防止非法AP设备的放置，这就需要WLAN能够对周边的热点进行实时检测，检测到非法接入点后立即进行警告并对其进行反制。对钓鱼Wi-Fi进行屏蔽，防止用户接入到不安全的Wi-Fi，避免钱财、个人隐私被盗。

3.2 无线城市的部署实施

室外设备主要部署方式：利用城市的原有路灯设施进行安装布放；在无路灯环境下，新立杆进行布放；利用居民屋顶进行安装布放。

AP部署指导：根据覆盖区域选取合适的部署点位，同时要利于网线部署；合理选用全向天线和定向天线进行信号覆盖（全向覆盖半径100m～150m，定向覆盖范围300m～400m）；立抱杆，安装AP。