蔣肖鋒

( 上海鐵路局信息化處，上海 200071）

?

基于Wi-Fi技術(shù)的鐵路站場無線接入平臺建設(shè)

蔣肖鋒

( 上海鐵路局信息化處，上海 200071）

摘要：對鐵路站場作業(yè)移動信息化業(yè)務(wù)需求和移動通信應(yīng)用技術(shù)現(xiàn)狀進行分析，明確建設(shè)原則和建設(shè)思路，從系統(tǒng)結(jié)構(gòu)、頻率運用、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全等方面闡述合肥站站場無線接入平臺的建設(shè)試點情況。

關(guān)鍵詞：Wi-Fi；鐵路站場；無線接入平臺；建設(shè)

Abstract:The paper analyzes the demands of mobile information services and current situation of mobile communication application technologies in railway stations and yards, presents de fi nite principles and ideas of construction, and describes the pilot situation of wireless access platform construction in Hefei railway station from the system framework, frequency application, network management and network security.

Keywords:Wi-Fi; railway station and yard; wireless access platform; construction

1　概述

鐵路站場是鐵路運輸網(wǎng)絡(luò)的重要節(jié)點，擔(dān)負著大量的列車接發(fā)、編組、裝卸等業(yè)務(wù)，以及各工種對線路設(shè)備的日常維修作業(yè)。隨著鐵路營業(yè)里程的不斷增加和市場經(jīng)濟的日益發(fā)展，車流的變化越來越大，維修作業(yè)愈加頻繁，運輸生產(chǎn)組織及作業(yè)人員的勞動強度和安全風(fēng)險也越來越大，基于寬帶融合無線傳輸?shù)蔫F路站場無線接入系統(tǒng)將為實現(xiàn)移動信息服務(wù)、工作流程監(jiān)控、后臺大數(shù)據(jù)管理下的現(xiàn)場工作信息支持提供系統(tǒng)性保障。

為滿足鐵路站場生產(chǎn)系統(tǒng)移動接入的實際需求，中國鐵路總公司專門下發(fā)《鐵路站（場）局域網(wǎng)無線安全接入暫行技術(shù)要求》，對站場無線接入系統(tǒng)的總體架構(gòu)、功能和安全等提出規(guī)范性要求。在滿足上述要求的基礎(chǔ)上，結(jié)合客運、電務(wù)專業(yè)站場移動作業(yè)的需要，通過試點利用Wi-Fi技術(shù)在合肥站搭建了站場無線接入平臺，取得了良好效果。

2　現(xiàn)狀

目前，國內(nèi)鐵路主要使用以GSM-R數(shù)字移動通信系統(tǒng)和450 M模擬通信系統(tǒng)為主的移動通信應(yīng)用，由于GSM-R系統(tǒng)所能提供的數(shù)據(jù)傳輸帶寬有限，無法滿足站場各工種視頻圖像傳輸、后臺數(shù)據(jù)庫查詢等高帶寬業(yè)務(wù)需求。

另外，鐵路移動作業(yè)主要使用的400 MHz模擬對講系統(tǒng)，由于鐵路運輸業(yè)務(wù)種類多且各個業(yè)務(wù)系統(tǒng)單獨使用頻率資源搭建語音通信系統(tǒng)，部分地區(qū)已經(jīng)出現(xiàn)頻率資源匱乏、干擾嚴(yán)重的現(xiàn)象，模擬對講系統(tǒng)已經(jīng)不能滿足鐵路無線通信的需要。根據(jù)國家工信部《關(guān)于150 MHz、400 MHz頻段專用對講機頻率規(guī)劃和使用管理有關(guān)事宜的通知》規(guī)定，自2011年1月1日起，國家將停止對150 MHz、400 MHz頻段內(nèi)模擬對講機設(shè)備的型號核準(zhǔn)，全面推廣數(shù)字對講機。

合肥站現(xiàn)有的GSM-R數(shù)字移動通信系統(tǒng)和450 M模擬通信系統(tǒng)已不能滿足運輸生產(chǎn)組織和維修作業(yè)對移動通信各類信息傳遞日益增長的需求。

3　功能需求

根據(jù)鐵路站場生產(chǎn)作業(yè)的特點，鐵路各專業(yè)在日常設(shè)備維修和故障應(yīng)急處置等過程中對移動通信主要有以下需求：

1）生產(chǎn)指揮。實現(xiàn)作業(yè)計劃的下達、作業(yè)流程管理及作業(yè)質(zhì)量卡控等。

2）數(shù)據(jù)傳輸。實現(xiàn)作業(yè)過程中各類數(shù)據(jù)的記錄和上傳。

3）資料檢索。實現(xiàn)作業(yè)指導(dǎo)書等技術(shù)資料和相關(guān)規(guī)章制度的檢索和查詢。

4）應(yīng)急處置。在設(shè)備故障應(yīng)急處置過程中能將現(xiàn)場情況通過圖片或視頻圖像等方式上傳至指揮中心供管理人員決策，并指導(dǎo)現(xiàn)場處理。

5）視頻監(jiān)控。將現(xiàn)場視頻信息通過無線方式實時傳輸至指揮中心。

6）語音通信。指揮中心與現(xiàn)場及現(xiàn)場工作人員之間的單呼、組呼等調(diào)度通信。

4　建設(shè)原則

1）實用性原則。系統(tǒng)與用戶及上級管理部門的需求和管理制度相適應(yīng)，與建設(shè)規(guī)模的實際情況相吻合，需具有較高的實用價值。

2）安全性原則。應(yīng)具有多級安全管理、操作人員權(quán)限控制、數(shù)據(jù)傳輸安全控制、數(shù)據(jù)存儲安全保障等安全把控手段。

3）可靠性原則。系統(tǒng)本身能夠長期穩(wěn)定、安全可靠地運行，當(dāng)發(fā)生故障時，應(yīng)不影響其他系統(tǒng)的運行。

4）易用性原則。系統(tǒng)設(shè)計應(yīng)界面友好，軟件設(shè)計人性化，易于普通用戶掌握、操作和使用。

5　建設(shè)方案

5.1建設(shè)思路

隨著Internet的蓬勃發(fā)展，信息的獲得更為便利。信息的及時交換與傳遞顯得非常重要，WLAN無線局域網(wǎng)技術(shù)以安全、方便、快捷、經(jīng)濟等多項優(yōu)點受到人們青睞，成為多點聯(lián)網(wǎng)的首選方案。利用WLAN技術(shù)，可以將現(xiàn)場終端與中央控制中心連接起來，且搭建迅速，在最短的時間內(nèi)迅速建立起無線網(wǎng)絡(luò)鏈路。

基于WLAN的技術(shù)優(yōu)勢采用Wi-Fi技術(shù)，在遵循《鐵路站（場）局域網(wǎng)無線安全接入暫行技術(shù)要求》的基礎(chǔ)上，按照“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一資源、統(tǒng)一管理”的原則試點建設(shè)合肥站站場無線接入平臺，綜合考慮車務(wù)、客運、貨運、機務(wù)、供電、車輛、工務(wù)、電務(wù)、公安等專業(yè)及救援搶險、應(yīng)急管理等多種需求，采用先進、成熟、經(jīng)濟、適用、安全、可靠的系統(tǒng)設(shè)備，實現(xiàn)合理布局、互聯(lián)互通、資源共享。

通過試點階段的建設(shè)，該平臺已經(jīng)實現(xiàn)了客運、電務(wù)專業(yè)生產(chǎn)人員手持專用終端在合肥站站臺、咽喉區(qū)等部分作業(yè)區(qū)域的移動信息接入，并預(yù)留了其他專業(yè)接入及VoIP語音通話等功能。

5.2主要技術(shù)

5.2.1Wi-Fi技術(shù)

Wi-Fi是Wireless-Fidelity的縮寫，遵循IEEE（電氣和電子工程師協(xié)會）所制定的802.11系列標(biāo)準(zhǔn)，根據(jù)制式的不同，Wi-Fi的工作頻段也有2.4 GHz和5GHz的差別。Wi-Fi可以將移動終端以無線方式互相連接，實現(xiàn)隨時隨地寬帶互聯(lián)網(wǎng)訪問和上網(wǎng)需求。

基于Wi-Fi技術(shù)的WLAN系統(tǒng)有FAT和FIT兩種架構(gòu)：FAT架構(gòu)由無線接入點（AP）單獨完成移動終端無線接入、認證加密等工作，所有無線網(wǎng)絡(luò)的配置信息都保存在AP上。如果有多個AP混合組網(wǎng)，需要對每個AP單獨配置。FIT架構(gòu)由無線接入點（AP）和無線接入控制器（AC）組成，AP設(shè)備只負責(zé)移動終端的無線接入、加密工作，用戶認證、無線網(wǎng)絡(luò)配置等信息都保存在AC上，AP無需任何配置。

FIT架構(gòu)與FAT架構(gòu)相比，能很好地解決移動終端跨AP漫游不中斷的問題，且維護管理更簡單，在大規(guī)模無線組網(wǎng)中均采用FIT架構(gòu)方案。合肥站的Wi-Fi網(wǎng)絡(luò)搭建采用了FIT組網(wǎng)方案。

5.2.2站場無線接入平臺整體架構(gòu)

合肥站無線接入系統(tǒng)由用戶層、應(yīng)用處理層、網(wǎng)絡(luò)接入層組成。應(yīng)用處理層對上以WEB方式對PC終端、手持移動終端用戶提供應(yīng)用訪問接口，應(yīng)用處理層內(nèi)部則實現(xiàn)了設(shè)備管理、網(wǎng)絡(luò)管理、故障管理、文件管理、數(shù)據(jù)庫管理、業(yè)務(wù)事件處理等全部功能，應(yīng)用處理層的數(shù)據(jù)庫采用PostgreSQL，WEB服務(wù)采用TOMCAT/Javascript，開發(fā)語言為JAVA。網(wǎng)絡(luò)接入層通過高性能有線網(wǎng)絡(luò)、WLAN無線移動網(wǎng)絡(luò)實現(xiàn)應(yīng)用層各類服務(wù)器及終端用戶的接入。站場無線接入平臺架構(gòu)如圖1所示。

5.3網(wǎng)絡(luò)結(jié)構(gòu)

鐵路站場WLAN無線網(wǎng)絡(luò)由AC和AP設(shè)備、安全設(shè)備及管理服務(wù)器組成，通過在站場內(nèi)搭建WLAN無線系統(tǒng)，用以支撐站場生產(chǎn)系統(tǒng)大數(shù)據(jù)流的無線傳輸，實現(xiàn)信息及時交換與傳遞并保證信息安全。所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器均通過千兆或萬兆以太網(wǎng)鏈路互聯(lián)，保證系統(tǒng)的高性能。鐵路站場無線接入平臺網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

由于站場無線接入平臺的完整組網(wǎng)方案涉及到很多安全設(shè)備和服務(wù)器，其部署成本和維護工作量都很大，在合肥站項目試點過程中，在保證信息安全和業(yè)務(wù)功能完整性的基礎(chǔ)上，選擇了最小功能集和設(shè)備選型方案。

合肥站無線接入平臺試點項目主要運用的設(shè)備有AC、AP、千兆以太網(wǎng)交換機、網(wǎng)管服務(wù)器、應(yīng)用服務(wù)器、防火墻、內(nèi)置身份認證/MAC地址綁定的移動終端，實現(xiàn)了只有特定的終端才能接入到無線網(wǎng)絡(luò)中，且無線網(wǎng)絡(luò)采用SSID隱藏、WPA2加密等方式避免無線信息被竊取。

5.4頻率配置及干擾控制

無線局域網(wǎng)可使用2.4 GHz或者5 GHz頻段。

其中2.4 GHz頻段劃分為13個子信道，信道配置如表1所示。

表1　 2.4 GHz頻段信道配置表 GHz

為控制信道間干擾，選用的2.4 GHz信道中心頻率間隔不低于25 MHz，相鄰區(qū)域頻率配置時選用1、6、11信道。

5 GHz頻段劃分為13個子信道，信道配置如表2所示。

表2　 5 GHz頻段信道配置表 GHz

針對無線系統(tǒng)的頻率干擾問題，通過對設(shè)備選型、天線方向、功率控制、無線信道選擇等方面綜合考慮站場的無線覆蓋，保證站場工作區(qū)域的無線信號強度在比較合理的水平。

因合肥站現(xiàn)有面向旅客的Wi-Fi服務(wù)提供商均采用2.4 G頻段和5 G頻段的149～165信道，所以站場無線接入平臺采用了最新開放的5 G頻段的36～40信道，這部分信道由于暫時很少被使用，干擾程度很低，保障了無線接入效果。

未來如果大規(guī)模部署站場無線接入系統(tǒng)，無線頻點必須要統(tǒng)一規(guī)劃才能取得良好效果，可將車站面向旅客的公網(wǎng)Wi-Fi和鐵路生產(chǎn)使用的專網(wǎng)Wi-Fi系統(tǒng)的頻段及信道進行隔離，其中公網(wǎng)Wi-Fi系統(tǒng)使用2.4 G頻段和5 G頻段的149～165信道，專網(wǎng)Wi-Fi系統(tǒng)使用5 G頻段的36～64信道，這樣既保證了公網(wǎng)Wi-Fi系統(tǒng)無線網(wǎng)絡(luò)能兼容所有的旅客終端，給予其最大的接入帶寬，又保證了專網(wǎng)Wi-Fi系統(tǒng)的抗干擾和穩(wěn)定性。

5.5網(wǎng)絡(luò)管理

合肥站無線接入平臺配備了網(wǎng)絡(luò)管理系統(tǒng)，可通過設(shè)備掃描、定時查詢網(wǎng)絡(luò)設(shè)備工作狀態(tài)在網(wǎng)絡(luò)拓撲上直觀反映網(wǎng)絡(luò)設(shè)備狀態(tài)的變化，網(wǎng)絡(luò)管理通過網(wǎng)絡(luò)設(shè)備提供的網(wǎng)絡(luò)管理接口對網(wǎng)絡(luò)設(shè)備的參數(shù)進行查詢和配置。

1）設(shè)備運行狀態(tài)監(jiān)控

無線接入平臺具有網(wǎng)絡(luò)監(jiān)控的功能，可實時監(jiān)測網(wǎng)絡(luò)設(shè)備的工作狀態(tài)，并在網(wǎng)絡(luò)拓撲圖上直觀呈現(xiàn)出來，網(wǎng)絡(luò)設(shè)備的工作狀態(tài)用紅、黃、綠來表示，分別對應(yīng)嚴(yán)重告警、一般告警和正常工作狀態(tài)。網(wǎng)絡(luò)設(shè)備的告警事件同時實時顯示在告警列表中。

2）設(shè)備配置

無線接入平臺可以顯示當(dāng)前設(shè)備（包括無線接入控制器AC和無線接入點AP）的系統(tǒng)參數(shù)，并根據(jù)需要對不同的參數(shù)進行配置。

3）無線資源配置

網(wǎng)管人員通過對無線AC的配置就可開通、管理、維護所有AP設(shè)備。無線接入平臺可以對無線資源如SSID、無線網(wǎng)絡(luò)協(xié)議、無線信道、發(fā)射功率等進行配置，滿足無線覆蓋和無線通信的需要。

4）應(yīng)用系統(tǒng)數(shù)據(jù)指向管理

無線接入平臺作為無線管理系統(tǒng)的入口，可以將各專業(yè)數(shù)據(jù)指向到相應(yīng)的應(yīng)用平臺。

5）統(tǒng)計分析

可以統(tǒng)計系統(tǒng)使用的日志信息，包括當(dāng)前接入的用戶數(shù)、用戶的活動、系統(tǒng)的流量等。

5.6網(wǎng)絡(luò)安全

合肥站站場無線接入平臺的網(wǎng)絡(luò)架構(gòu)與安全架構(gòu)設(shè)計遵循《鐵路站（場）局域網(wǎng)無線安全接入暫行技術(shù)要求》的相關(guān)規(guī)定，并為各種安全設(shè)備預(yù)留接口。

系統(tǒng)以防火墻為核心實現(xiàn)網(wǎng)絡(luò)接入?yún)^(qū)、網(wǎng)絡(luò)管理區(qū)、車站業(yè)務(wù)區(qū)的分區(qū)隔離。網(wǎng)絡(luò)接入?yún)^(qū)通過串接IPS入侵防御系統(tǒng)可抵御應(yīng)用層的網(wǎng)絡(luò)攻擊行為，通過部署WIPS設(shè)備對無線網(wǎng)絡(luò)中的假冒AP和無線攻擊行為進行識別告警，并具備阻斷攻擊的能力。位于Wi-Fi管理區(qū)域的安全管理服務(wù)器負責(zé)對站場內(nèi)的安全事件進行記錄、關(guān)聯(lián)分析并輸出安全統(tǒng)計報告；Wi-Fi接入認證服務(wù)器為移動終端的用戶身份進行識別；移動設(shè)備管理服務(wù)器與移動設(shè)備內(nèi)的安全防護軟件相配合，對終端內(nèi)的生產(chǎn)應(yīng)用軟件和數(shù)據(jù)進行加密保護，防止信息泄露。網(wǎng)絡(luò)管理服務(wù)器負責(zé)對站場內(nèi)的所有設(shè)備進行統(tǒng)一管理，包括配置管理、拓撲管理、故障管理、軟件版本升級維護等；運維審計服務(wù)器可對站場內(nèi)軟硬件設(shè)備配置修改行為進行記錄和審計。

在合肥站的試點項目中，部署了網(wǎng)管服務(wù)器、Wi-Fi接入認證服務(wù)器。在無線網(wǎng)絡(luò)側(cè)，采用WPA2加密方式，并在AP設(shè)備開啟MAC地址白名單及隱藏SSID功能，只有提前錄入了MAC地址的合法移動終端，才能接入無線網(wǎng)絡(luò)，普通終端由于無法搜索到隱藏的SSID信息而避免了誤接入的問題。另外，本次選擇的無線AC、AP還可開啟WIPS功能，可對假冒的AP進行識別和攻擊，保證生產(chǎn)網(wǎng)的安全。

6　總結(jié)

6.1取得的成效

合肥站站場無線接入平臺建設(shè)試點項目，實現(xiàn)了客運和電務(wù)專業(yè)的業(yè)務(wù)接入，應(yīng)用平臺可以通過手持終端進行現(xiàn)場作業(yè)流程的管理，從任務(wù)下發(fā)到

任務(wù)完成，整個流程都受到嚴(yán)格的規(guī)則卡控，通過人員到位信息的采集和操作任務(wù)與實際下發(fā)任務(wù)的比較，來嚴(yán)格防止由于現(xiàn)場安全意識不到位而發(fā)生的違章行為，服務(wù)器側(cè)對所有信息的標(biāo)準(zhǔn)化記錄，也使出現(xiàn)問題后有據(jù)可查。

另外，通過現(xiàn)場測試數(shù)據(jù)的實時記錄和服務(wù)器側(cè)的表格自動錄入及匯總統(tǒng)計功能，減輕了現(xiàn)場生產(chǎn)人員和管理人員的工作負擔(dān)，提高了工作效率。面對現(xiàn)場工作可能遇到的突發(fā)狀況，手持終端還可以在各項任務(wù)的實施時，掃描設(shè)備標(biāo)簽來自動檢索調(diào)取服務(wù)器側(cè)對應(yīng)的作業(yè)指導(dǎo)書、故障案例庫等信息，按需進行顯示，方便現(xiàn)場的巡視和檢修工作，提高工作效率，避免錯誤操作。

基于站場無線接入平臺的手持終端應(yīng)用得到生產(chǎn)和管理人員的歡迎，使用效果良好，整個系統(tǒng)運行穩(wěn)定。

6.2改進建議

1）目前，合肥站站場無線接入平臺還缺乏一些關(guān)鍵的安全組件，如安全審計服務(wù)器、移動設(shè)備管理服務(wù)器、有線網(wǎng)絡(luò)的IPS等，無法對網(wǎng)管人員的操作進行審計，移動終端一旦遺失，還存在信息泄密的可能，系統(tǒng)的整體安全保障能力仍有待提升。

2）無線網(wǎng)絡(luò)的頻點部署仍需統(tǒng)一規(guī)劃，現(xiàn)有2.4 G、5 G頻段的部分頻點已被其他Wi-Fi服務(wù)提供商占用，要通過合法、合理的方式進行回收和重新分配，如條件允許可對公網(wǎng)Wi-Fi系統(tǒng)無線網(wǎng)絡(luò)進行統(tǒng)一的規(guī)劃和建設(shè)。

3）后續(xù)還需擴大無線網(wǎng)絡(luò)的覆蓋范圍，實現(xiàn)無縫覆蓋，通過在移動終端上開啟VoIP業(yè)務(wù)，可直接取代現(xiàn)有的模擬對講機，使得工作人員只需一個終端就能解決所有問題，提高工作效率。

參考文獻

[1]嚴(yán)思廣.鐵路WLAN技術(shù)應(yīng)用及發(fā)展趨勢探討[J].鐵路計算機應(yīng)用 2013，22（1）：82-84

[2]鐵總運[2014]號.鐵路站（場）局域網(wǎng)無線安全接入暫行技術(shù)要求[S].

收稿日期：（2015-12-28）

DOI:10.3969/j.issn.1673-4440.2016.01.007