陜西省漢中市氣象局　李　天　吳詩(shī)懿　姜宗元

氣象業(yè)務(wù)無(wú)線網(wǎng)絡(luò)升級(jí)方案

陜西省漢中市氣象局李天吳詩(shī)懿姜宗元

無(wú)線網(wǎng)絡(luò)已成為人們?cè)诠ぷ鳌⑸钪械某Ｓ霉ぞ撸彩墙M網(wǎng)技術(shù)的重要組成部分。本文通過(guò)對(duì)市氣象局現(xiàn)有無(wú)線網(wǎng)絡(luò)進(jìn)行分析，著重針對(duì)暴露出來(lái)的隱患和問(wèn)題，運(yùn)用目前一些主流的網(wǎng)絡(luò)技術(shù)，規(guī)劃出行之有效升級(jí)方案。通過(guò)升級(jí)不僅解決了市氣象局網(wǎng)絡(luò)發(fā)展的瓶頸問(wèn)題，也為今后網(wǎng)絡(luò)規(guī)劃方面提出一些設(shè)計(jì)思想與參考。

無(wú)線；規(guī)劃；策略；安全

1.引言

無(wú)線網(wǎng)絡(luò)一直是我局通信網(wǎng)絡(luò)建設(shè)的重要組成部分，旨在為部門人員提供工作便利，并著重在信息化建設(shè)方面打造良好的對(duì)外形象。我局現(xiàn)有的無(wú)線網(wǎng)絡(luò)經(jīng)過(guò)三年的運(yùn)行，已無(wú)法滿足氣象事業(yè)現(xiàn)代化發(fā)展的步伐，特別是無(wú)線安全方面暴露出的重大隱患，成為整個(gè)網(wǎng)絡(luò)安全的短板。在此背景下，我局信息科提出的無(wú)線網(wǎng)絡(luò)升級(jí)方案得到局高層的批復(fù)，要求在有限的預(yù)算條件下實(shí)現(xiàn)最大優(yōu)化程度的升級(jí)。

2.現(xiàn)有無(wú)線網(wǎng)絡(luò)概況

我局現(xiàn)有無(wú)線網(wǎng)絡(luò)分為辦公區(qū)和家屬區(qū)兩個(gè)功能區(qū)域。局辦公大樓共有三層，選取某國(guó)產(chǎn)一線廠商的無(wú)線AP，按照1層樓2個(gè)AP的原則進(jìn)行部署，上行線路均從就近信息插座連接，基本實(shí)現(xiàn)了無(wú)線信號(hào)對(duì)整個(gè)辦公區(qū)域的覆蓋。家屬區(qū)選取同廠商功率更大的無(wú)線AP，因距離辦公樓較近，上行鏈路通過(guò)雙絞線直埋的方式與中心機(jī)房連接，因AP所處區(qū)域附近無(wú)電源插座，采用PoE方式進(jìn)行供電，家屬區(qū)普遍反應(yīng)無(wú)線信號(hào)較為穩(wěn)定。所有無(wú)線AP按編號(hào)廣播SSID，啟用WPA2加密方式，使用者搜尋到無(wú)線熱點(diǎn)輸入密碼即可連接。起初密碼僅對(duì)全局職工及家屬公開，后來(lái)因部門對(duì)外影響及業(yè)務(wù)方面的需求，外來(lái)辦事人員也可在征得同意的情況下獲取到無(wú)線密碼。

3.需求與通信分析

3.1需求分析

根據(jù)局高層的要求，做為部門人員辦公效率的重要保障，以及對(duì)外信息化服務(wù)的前沿陣地，目前在用的無(wú)線網(wǎng)絡(luò)使用起來(lái)便利性不夠、傳輸速率不穩(wěn)定，也無(wú)法針對(duì)特定人群定制功能模塊，不利于氣象事業(yè)現(xiàn)代化的發(fā)展。升級(jí)后的無(wú)線網(wǎng)絡(luò)不僅要在性能和功能上有大幅度的提升，并且要對(duì)安全性和可管理性兩個(gè)方面做重點(diǎn)部署，杜絕網(wǎng)絡(luò)安全因無(wú)線網(wǎng)絡(luò)的應(yīng)用出現(xiàn)木桶效應(yīng)。除此之外還要加入一些針對(duì)網(wǎng)絡(luò)使用行為的監(jiān)測(cè)和審計(jì)手段，使無(wú)線網(wǎng)絡(luò)在任何運(yùn)行狀況下都在信息科的可控范圍之內(nèi)。由于預(yù)算資金并不充裕，要求在最大限度提升現(xiàn)有設(shè)備利用率的前提下，謹(jǐn)慎添加新設(shè)備。

3.2通信分析

信息科通過(guò)對(duì)現(xiàn)有無(wú)線網(wǎng)絡(luò)進(jìn)行分析，發(fā)現(xiàn)存在以下主要問(wèn)題。

（1）經(jīng)測(cè)試三樓有1個(gè)無(wú)線AP丟包嚴(yán)重，需更換，二樓與三樓之間新改造后的業(yè)務(wù)大廳存在信號(hào)衰減現(xiàn)象，需增加一臺(tái)AP或中繼設(shè)備，解決信號(hào)覆蓋的死角問(wèn)題。

（2）無(wú)線AP廣播SSID各自為政，使用者在不同AP的覆蓋區(qū)域需手工進(jìn)行切換，使用起來(lái)不夠便利。

（3）密碼是連接無(wú)線網(wǎng)絡(luò)的唯一認(rèn)證手段，且缺乏行之有效的認(rèn)證策略，經(jīng)測(cè)試密碼已被某移動(dòng)端WIFI聯(lián)網(wǎng)APP破解，整個(gè)無(wú)線網(wǎng)絡(luò)實(shí)際上處于半開放狀態(tài)。

（4）未針對(duì)特定人群做相應(yīng)的網(wǎng)絡(luò)功能模塊，其訪問(wèn)單位核心網(wǎng)絡(luò)的流量也沒有行之有效的阻斷策略，內(nèi)部網(wǎng)絡(luò)暴露，網(wǎng)絡(luò)信息安全存在很大隱患。

（5）目前單位僅租賃百兆電信外網(wǎng)，既是互聯(lián)網(wǎng)訪問(wèn)的出口，又承載著單位對(duì)外服務(wù)、VPN等多項(xiàng)業(yè)務(wù)功能，帶寬明顯不足，忙時(shí)過(guò)載現(xiàn)象嚴(yán)重，已影響到對(duì)外業(yè)務(wù)的開展。

（6）未對(duì)互聯(lián)網(wǎng)訪問(wèn)進(jìn)行行為監(jiān)測(cè)及流量控制，接入終端的使用行為不在控制范圍之內(nèi)。

4.設(shè)計(jì)方案

4.1拓?fù)浣Y(jié)構(gòu)

根據(jù)分析，現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)基本能滿足升級(jí)需求，多數(shù)網(wǎng)絡(luò)設(shè)備可以繼續(xù)使用，僅在個(gè)別區(qū)域需要做出調(diào)整。更換性能下降的無(wú)線AP，并在業(yè)務(wù)大廳信號(hào)較差的地方增加無(wú)線中繼設(shè)備。增加一臺(tái)BAS做為無(wú)線網(wǎng)絡(luò)核心設(shè)備，將替換下的原上行交換機(jī)調(diào)配至網(wǎng)絡(luò)其它節(jié)點(diǎn)使用，并在BAS上連接一臺(tái)服務(wù)器用作認(rèn)證及WEB服務(wù)使用。另租賃廣電100M外網(wǎng)接入，與原有電信線路組成雙出口。

4.2無(wú)線接入設(shè)計(jì)

所有無(wú)線AP轉(zhuǎn)為瘦AP工作模式，不再各自按編號(hào)廣播SSID，由BAS進(jìn)行統(tǒng)一管理，并根據(jù)移動(dòng)終端所處區(qū)域自動(dòng)切換連接AP，實(shí)現(xiàn)無(wú)縫漫游。單位工作人員使用無(wú)線網(wǎng)絡(luò)需先將移動(dòng)終端在信息科注冊(cè)，由信息科分配靜態(tài)IP地址并與移動(dòng)終端的MAC地址綁定，此類接入終端劃分至VLAN1中，將終端MAC地址加入后臺(tái)白名單中。家屬與外來(lái)辦事人員可自行搜索SSID連接，由BAS上的DHCP服務(wù)分配IP地址并做ACL控制，此IP地址段為單獨(dú)規(guī)劃，與內(nèi)網(wǎng)IP無(wú)關(guān)聯(lián)。后臺(tái)的PortalServer向用戶提供認(rèn)證頁(yè)面，用戶輸入手機(jī)號(hào)碼進(jìn)行驗(yàn)證，BAS將用戶驗(yàn)證信息進(jìn)行合法性檢查，認(rèn)證通過(guò)后此類終端劃分至VLAN2中，并解除初始的ACL控制策略。若有不合法的終端用戶，將終端MAC地址加入后臺(tái)黑名單中，限制其連接無(wú)線網(wǎng)絡(luò)。

4.3功能模塊設(shè)計(jì)

根據(jù)不同的功能需求，通過(guò)ACL對(duì)VLAN1和VLAN2中的用戶給予相對(duì)應(yīng)的功能權(quán)限。VLAN1中的用戶主要使用需求為單位內(nèi)網(wǎng)資源調(diào)閱、OA辦公及訪問(wèn)互聯(lián)網(wǎng)，允許其同時(shí)有訪問(wèn)內(nèi)外網(wǎng)的權(quán)限，常規(guī)情況下不做ACL控制。VLAN2中的用戶在訪問(wèn)互聯(lián)網(wǎng)的同時(shí)，也對(duì)氣象資訊及數(shù)據(jù)有一定程度的需求，這也是氣象服務(wù)面向公眾的重要組成部分。出于安全考慮通過(guò)ACL阻斷其目標(biāo)地址為單位內(nèi)網(wǎng)的流量，將此類數(shù)據(jù)的提供終端與內(nèi)網(wǎng)分隔，用戶認(rèn)證通過(guò)后在終端上以B/S模式顯示氣象數(shù)據(jù)及資訊獲取平臺(tái)。通過(guò)友好的UI設(shè)計(jì)，用戶只需要簡(jiǎn)單的操作即可獲取到自己想要的信息，此類信息的后臺(tái)數(shù)據(jù)庫(kù)也獨(dú)立于單位內(nèi)網(wǎng)之外。在平臺(tái)上同時(shí)集成了漢中氣象微博、微信公眾號(hào)的二維碼，方便用戶關(guān)注。

4.4流量控制與安全策略

訪問(wèn)互聯(lián)網(wǎng)流量一直是單位信息流量的大戶，對(duì)網(wǎng)絡(luò)整體影響較大且難于管理，信息科在VLAN與ACL設(shè)計(jì)的基礎(chǔ)上引入策略路

由，對(duì)兩個(gè)VLAN訪問(wèn)互聯(lián)網(wǎng)的流量進(jìn)行規(guī)劃，VLAN1用戶的出接口設(shè)置為電信線路，VLAN2用戶的出接口設(shè)置為廣電線路，優(yōu)先保證部門人員對(duì)網(wǎng)絡(luò)的使用，實(shí)現(xiàn)流量區(qū)分和負(fù)載分擔(dān)，也進(jìn)一步保證互聯(lián)網(wǎng)訪問(wèn)的安全。除此之外還對(duì)連接終端進(jìn)行流量限制策略，按工作時(shí)間分為忙時(shí)和閑時(shí)，保證正常業(yè)務(wù)的開展不受其它終端行為的影響，進(jìn)一步達(dá)到流量精確控制的目的。

移動(dòng)終端因其流動(dòng)性大的特點(diǎn)難于控制，除了通過(guò)黑白名單對(duì)接入終端進(jìn)行認(rèn)證，必要的監(jiān)審手段也是網(wǎng)絡(luò)安全的重要保障手段。將原先僅針對(duì)內(nèi)網(wǎng)用戶的IDS監(jiān)控范圍擴(kuò)大至無(wú)線接入終端，一旦發(fā)現(xiàn)有不良行為立即向網(wǎng)管報(bào)警，信息科審查無(wú)誤后將涉及終端的MAC地址加入黑名單中，不允許其再接入本局無(wú)線網(wǎng)絡(luò)。依托于IDS收集到的監(jiān)審信息，也可在后期進(jìn)一步發(fā)掘網(wǎng)絡(luò)中存在的漏洞及安全隱患，方便信息科做全面的審查分析。

5.結(jié)語(yǔ)

此次升級(jí)在預(yù)算并不充裕的條件下對(duì)無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)了最大程度的優(yōu)化。其中所采用的WEBportal認(rèn)證、VLAN、ACL以及策略路由等技術(shù)，都是目前網(wǎng)絡(luò)規(guī)劃中比較主流和穩(wěn)定的解決方案。通過(guò)此次升級(jí)，本局無(wú)線網(wǎng)絡(luò)不僅在預(yù)算范圍內(nèi)實(shí)現(xiàn)了功能和性能方面的剛性需求，也大大加強(qiáng)了安全性和可管理性，為無(wú)線網(wǎng)絡(luò)的規(guī)劃提供一些設(shè)計(jì)參考。

［1］黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程［M］.清華大學(xué)出版社，2013，11.

［2］廣州杰賽通信規(guī)劃設(shè)計(jì)院.無(wú)線局域網(wǎng)設(shè)計(jì)與優(yōu)化［M］.人民郵電出版社，2015，1.

［3］朱小平.網(wǎng)絡(luò)工程師的5天修煉［M］.中國(guó)水利水電出版社，2012，4.

［4］白國(guó)強(qiáng).網(wǎng)絡(luò)安全基礎(chǔ)-應(yīng)用與標(biāo)準(zhǔn)［M］.清華大學(xué)出版社，2014，5.

李天（1986—），男，陜西漢中人，計(jì)算機(jī)網(wǎng)絡(luò)工程師，現(xiàn)供職于漢中市氣象局信息技術(shù)保障中心，從事網(wǎng)絡(luò)運(yùn)行維護(hù)工作。