朱遠 江蘇省廣播電視總臺

?

江蘇廣電荔枝無線網(wǎng)絡(luò)的設(shè)計與實現(xiàn)

朱遠 江蘇省廣播電視總臺

【摘 要】本文介紹了江蘇廣電荔枝無線網(wǎng)絡(luò)建設(shè)的背景、目標，網(wǎng)絡(luò)的總體架構(gòu)、方案設(shè)計、關(guān)鍵技術(shù)實現(xiàn)以及安全和用戶認證管理策略，并對未來業(yè)務(wù)應(yīng)用進行了展望。

【關(guān)鍵詞】荔枝無線 網(wǎng)絡(luò)設(shè)計 管理策略 無感知認證 IRF虛擬化 智能識別

一、引言

1.建設(shè)背景

隨著江蘇廣電網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)規(guī)模的不斷擴大，教育頻道等各外部辦公的業(yè)務(wù)單位網(wǎng)絡(luò)接入需求的增加，辦公網(wǎng)絡(luò)承載的業(yè)務(wù)越來越多；且隨著近年來信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)業(yè)務(wù)的極大豐富，各種移動業(yè)務(wù)、智能終端的不斷涌現(xiàn)，對辦公網(wǎng)的性能，特別是無線性能也提出了更高的要求?？偱_現(xiàn)有的辦公網(wǎng)絡(luò)資源已不能滿足臺內(nèi)日益增長的需求，因此對現(xiàn)有辦公網(wǎng)絡(luò)進行全面升級，建設(shè)新一代的荔枝無線網(wǎng)絡(luò)已刻不容緩。

2.建設(shè)目標

滿足現(xiàn)代廣電媒體數(shù)字化、網(wǎng)絡(luò)化多業(yè)務(wù)數(shù)據(jù)要求，適應(yīng)未來技術(shù)的發(fā)展，保證網(wǎng)絡(luò)系統(tǒng)工作的絕對安全可靠，體現(xiàn)廣電行業(yè)的理念和亮點。

（1）提高江蘇廣電數(shù)字化辦公基礎(chǔ)業(yè)務(wù)的核心競爭力，實現(xiàn)網(wǎng)絡(luò)從終端到業(yè)務(wù)的高效可控可管。

（2）提升荔枝無線網(wǎng)絡(luò)核心處理能力，為未來5-6年內(nèi)不斷發(fā)展的信息交互業(yè)務(wù)提供足夠的交換能力和安全可靠的技術(shù)支撐。

（3）提升荔枝無線網(wǎng)絡(luò)終端分發(fā)能力，為江蘇廣電城內(nèi)部無線用戶提供方便、靈活的接入網(wǎng)絡(luò)，實現(xiàn)穩(wěn)定的無線信號全覆蓋和無線網(wǎng)絡(luò)接入用戶統(tǒng)一認證。

（4）實現(xiàn)平板電腦、IPAD、手機等智能終端的訪問控制機制，提升用戶接入無線網(wǎng)絡(luò)的認證體驗；提供多種新型基于無線的應(yīng)用，為廣電城內(nèi)部辦公及訪問用戶提供個性化、便捷化服務(wù)，培養(yǎng)荔枝無線網(wǎng)絡(luò)用戶粘滯度。

3.建設(shè)原則

江蘇廣電荔枝無線網(wǎng)絡(luò)遵循“先進性、高效性、高可靠性、可擴展性、業(yè)務(wù)連續(xù)性”原則進行設(shè)計。在實施過程中，充分考慮了現(xiàn)有業(yè)務(wù)需求與未來業(yè)務(wù)增長的因素，既滿足短期內(nèi)網(wǎng)絡(luò)對帶寬需求和設(shè)備處理存儲能力的期望，有利于今后擴容，也應(yīng)對未來的網(wǎng)絡(luò)發(fā)展，預留了標準可擴展接口，保證現(xiàn)有業(yè)務(wù)的連續(xù)性以及與新增業(yè)務(wù)的平滑過渡。

二、網(wǎng)絡(luò)總體架構(gòu)設(shè)計

1.總體架構(gòu)

江蘇廣電城大樓信息網(wǎng)絡(luò)布線采用各樓層水平布線匯聚于本樓層弱電間，主樓和裙樓主干光纖均匯聚于信息網(wǎng)絡(luò)核心機房，辦公網(wǎng)絡(luò)采用核心路由交換+2層接入交換的架構(gòu)，各樓層網(wǎng)關(guān)設(shè)置在核心路由交換機上，核心交換機采用雙機冗余架構(gòu)，保障核心數(shù)據(jù)傳輸?shù)母呖煽啃?。江蘇廣電荔枝無線網(wǎng)絡(luò)總體拓撲結(jié)構(gòu)如圖1所示。

圖1　荔枝無線網(wǎng)絡(luò)總體拓撲架構(gòu)

2.無線網(wǎng)絡(luò)管理架構(gòu)

江蘇廣電荔枝無線網(wǎng)絡(luò)采用的無線控制器在支持對傳統(tǒng)802.11A/B/G/N AP管理的同時，還可以與H3C基于802.11AC協(xié)議的AP配合組網(wǎng)，從而提供相當于傳統(tǒng)802.11A/B/G/N協(xié)議數(shù)倍的無線接入速率，使無線多媒體應(yīng)用成為現(xiàn)實。

H3C 802.11AC AP通過PoE交換機接入，經(jīng)過核心注冊到H3C 高性能無線AC插卡，為不同區(qū)域不同用戶提供接入服務(wù)。公共區(qū)域提供一鍵登錄portal無感知認證，實現(xiàn)方便安全接入互聯(lián)網(wǎng)。會議室及其他公共區(qū)域除提供一鍵登錄portal無感知認證外還提供無線EAD認證接入服務(wù)，通過安全檢查后可以訪問內(nèi)網(wǎng)資源。用戶根據(jù)需求選擇不同的服務(wù)。

傳統(tǒng)的無線控制器部署一般采用集中式轉(zhuǎn)發(fā)模式，AC可以對報文進行全面控制和安全監(jiān)管，但所有的無線業(yè)務(wù)流量需要到AC進行統(tǒng)一處理，核心鏈路帶寬和AC轉(zhuǎn)發(fā)能力容易成為瓶頸。特別是AP和AC通過廣域網(wǎng)方式進行連接時，AP作為數(shù)據(jù)接入設(shè)備部署在分支機構(gòu)，而AC部署在總部，所有用戶數(shù)據(jù)由AP發(fā)送到AC，再由AC進行集中轉(zhuǎn)發(fā)，導致轉(zhuǎn)發(fā)效率低下。

圖2　無線控制器+無線AP架構(gòu)圖

無線控制器可以支持集中式轉(zhuǎn)發(fā)和分布式轉(zhuǎn)發(fā)，用戶根據(jù)業(yè)務(wù)需要和網(wǎng)絡(luò)實際情況可以靈活設(shè)置轉(zhuǎn)發(fā)方式。

無線網(wǎng)絡(luò)架構(gòu)圖如圖2所示。

3.網(wǎng)絡(luò)安全規(guī)劃

（1）核心層

荔枝無線網(wǎng)絡(luò)采用S10512系列核心交換機，該設(shè)備是基于Comware V7 軟件平臺進行開發(fā)。通過CMW平臺的支持，H3C S10512能夠提供豐富的安全特性。

◆數(shù)據(jù)傳送層面的安全能力：地址掃描攻擊防護能力，DOS/DDOS攻擊防護能力，廣播/組播報文速率限制，MAC地址表容量攻擊防護能力，靜態(tài)MAC地址表項和ARP表項綁定能力，強大的ACL能力。

◆控制信令層面的安全能力：ARP協(xié)議攻擊防護能力，地址沖突檢測能力，TC/TCN攻擊防護能力，地址盜用防護能力，路由協(xié)議攻擊防護能力，OSPF明文及MD5認證。

◆設(shè)備管理層面的安全能力：管理用戶分級分權(quán)，提供安全的遠程管理，提供安全審計，安全接入控制，SFTP服務(wù)。

（2）接入層

荔枝無線網(wǎng)絡(luò)采用S3600系列接入交換機及S5120系列提供EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。

S3600支持跨交換機的遠程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機上，在核心上啟動網(wǎng)流分析（Netstream）功能，配合XLOG系統(tǒng)對監(jiān)控端口的業(yè)務(wù)和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。

新建的無線網(wǎng)絡(luò)能夠提供DHCP Snooping（偵聽）功能，通過建立和維護DHCP Snooping綁定表實現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解決了 DHCP用戶的IP和端口跟蹤定位問題。同時對不符合綁定表項的非法報文（ARP欺騙報文、擅自修改IP地址的報文）直接丟棄，保證DHCP環(huán)境的真實性和一致性。同時利用DHCP Snooping的信任端口特性可以保證DHCP Server的合法性。

4.無線信號規(guī)劃及場景設(shè)計

（1）無線信號規(guī)劃及網(wǎng)絡(luò)頻譜管理

為了保證信號覆蓋的質(zhì)量，必須部署相應(yīng)數(shù)量的AP，造成AP的覆蓋范圍出現(xiàn)重疊，AP之間互相可見。如果所有的AP都工作在相同信道，這些AP只能共享一個信道的頻率資源，造成整個WLAN網(wǎng)絡(luò)性能較低。WLAN協(xié)議本身提供了一些不重疊的物理信道，可以構(gòu)建多個虛擬獨立的WLAN網(wǎng)絡(luò)，各個網(wǎng)絡(luò)獨立使用一個信道的帶寬，例如使用2.4G頻段時可以使用1、6、11三個非重疊信道構(gòu)建WLAN網(wǎng)絡(luò)。網(wǎng)絡(luò)頻譜管理示意圖見圖3。

同時信道規(guī)劃考慮三維空間的信號覆蓋情況，無論是水平方向還是垂直方向都要做到無線的蜂窩式覆蓋，最大可能的避免同樓層和上下樓層間的同頻干擾。

由于荔枝無線網(wǎng)絡(luò)全網(wǎng)使用802.11 AC AP部署，因此頻段資源又多出5G頻段，共計有13個非重疊信道，同時按照2.4G頻段原則進行蜂窩式規(guī)劃部署，保證上下樓層及前后左右AP之間盡可能的使用互不重疊信道進行部署。

圖3　網(wǎng)絡(luò)頻譜管理示意圖

（2）無線場景設(shè)計

對整個廣電城大樓的實地勘測及走訪調(diào)研，根據(jù)不同場景對無線網(wǎng)絡(luò)場景進行了規(guī)劃設(shè)計，具體包括以下幾種不同應(yīng)用場景：

◆1F大廳，人員流動性較大并可能會不定期舉行相關(guān)活動，此時人員較為密集，因此使用高密接入型802.11AC AP進行部署，滿足較多用戶接入需求，又減少布線數(shù)量。

◆隔間較多，磚墻對信號阻隔較強且用戶密度一般的區(qū)域，采用一般802.11AC AP進行入室部署，實現(xiàn)信號較好覆蓋。

◆對于有會議室和普通辦公區(qū)域的樓層，采用高密接入型802.11AC AP和一般802.11AC AP混合部署，高密型AP部署在會議室人員較為密集區(qū)域，一般型AP部署在普通辦公區(qū)域。

◆覆蓋區(qū)域為大開間，或為玻璃隔斷或輕質(zhì)隔斷，人員并不太密集，采用一般性能802.11 AC AP進行部署。

◆對覆蓋區(qū)域開闊且人員又較為密集型的區(qū)域，采用高密接入型802.11 AC AP進行部署，滿足高并發(fā)在線用戶接入。

◆食堂等固定時段高密接入?yún)^(qū)域，使用高密接入型AP。

以上是江蘇廣電荔枝無線網(wǎng)絡(luò)幾個不同場景的AP部署方式，根據(jù)不同的環(huán)境，使用不同類型和不同數(shù)量的AP進行部署，以滿足信號覆蓋和用戶接入容量的要求。

三、網(wǎng)絡(luò)管理策略設(shè)計

1.網(wǎng)絡(luò)安全管理策略

（1）iMC智能管理平臺

江蘇廣電荔枝無線網(wǎng)絡(luò)在滿足功能、性能的同時，高度注重整個網(wǎng)絡(luò)的管理，網(wǎng)絡(luò)管理系統(tǒng)設(shè)計采用H3C iMC智能管理平臺進行策略管理。該平臺采用標準的SNMP協(xié)議對網(wǎng)絡(luò)上符合該協(xié)議的設(shè)備進行實時的監(jiān)控，對網(wǎng)絡(luò)中發(fā)生的故障進行報警，從而減少系統(tǒng)管理的難度和工作量。該平臺實現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，提供基本的網(wǎng)絡(luò)資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于B/S架構(gòu)，可以與H3C iMC 其他業(yè)務(wù)組件有效集成，形成多種解決方案。iMC智能管理平臺系統(tǒng)見圖4。

圖4　iMC智能管理平臺系統(tǒng)

無線業(yè)務(wù)管理組件（WSM）在iMC平臺的基礎(chǔ)上進行開發(fā)，不僅為管理員提供了靈活的組件選擇，同時符合業(yè)界主流的SOA架構(gòu)，具備良好的擴展性，能夠滿足網(wǎng)絡(luò)管理不斷發(fā)展的需求。基于Web的管理系統(tǒng)，為無線業(yè)務(wù)管理員提供了簡便、友好的管理平臺。

（2）無線網(wǎng)絡(luò)拓撲管理

iMC拓撲管理提供給用戶對整個網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓撲管理包括：

◆拓撲自動發(fā)現(xiàn)。通過對現(xiàn)有網(wǎng)絡(luò)拓撲進行掃描，自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲。

◆支持自定義拓撲，使網(wǎng)絡(luò)拓撲更有重點和層次感。

◆自動識別各種網(wǎng)絡(luò)設(shè)備和主機的類型。

◆設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示，與故障管理和性能管理緊密融合，使拓撲圖能夠清晰地看到總臺所有IT資源的狀態(tài)。

◆提供設(shè)備管理便捷入口，實現(xiàn)對設(shè)備的面板管理等各項功能配置。

（3）無線網(wǎng)絡(luò)告警管理

故障管理，即告警/事件管理，是iMC智能管理平臺及其他業(yè)務(wù)組件統(tǒng)一的告警中心。提供以下類型告警信息：

◆告警發(fā)現(xiàn)和上報：iMC告警中心可以接收各種告警源的告警事件，同時通過支持對設(shè)備定時輪詢，實現(xiàn)通斷告警、響應(yīng)時間告警等，以告警事件的方式上報給iMC告警中心。

◆告警深度關(guān)聯(lián)分析與統(tǒng)計：iMC對接收到的告警事件進行深度關(guān)聯(lián)分析，系統(tǒng)缺省支持重復事件閾值告警、閃斷事件閾值告警等，并能在故障恢復時自動確認相關(guān)告警；同時管理員可以根據(jù)自己的需要確定事件的告警規(guī)則，以適應(yīng)網(wǎng)絡(luò)管理需要。

◆實時告警：iMC提供多種方式將告警通知給管理員，按故障類別及等級實時告警，讓管理員通過告警板不但及時知道告警產(chǎn)生，同時可以了解產(chǎn)生告警的類別和等級：提供系統(tǒng)快照，實時報告網(wǎng)絡(luò)、下級網(wǎng)絡(luò)及設(shè)備的狀態(tài)；通過拓撲實現(xiàn)報告網(wǎng)絡(luò)及設(shè)備狀態(tài)。

◆故障解決：iMC對各種故障告警均提供“修復建議”，管理員可以參考修復建議對故障進行處理。在故障得到解決后，通過對告警的確認完成故障的恢復確認。

2.用戶認證管理策略

（1）SSID規(guī)劃

江蘇廣電荔枝無線網(wǎng)絡(luò)根據(jù)訪問權(quán)限、用戶類別對用戶SSID進行了統(tǒng)一規(guī)劃，具體如表1所示。

表1：SSID規(guī)劃表

◆LitchiNET

此SSID是用于內(nèi)部辦公員工連接內(nèi)部網(wǎng)絡(luò)專用，使用無線802.1X認證方式，并配有安全檢查，能夠?qū)K端設(shè)備進行防病毒軟件檢查，系統(tǒng)補丁檢查等。此SSID允許訪問Internet，訪問服務(wù)器。

◆JSTV

此SSID規(guī)劃是提供訪客用戶使用，用戶只需連接SSID后打開瀏覽器，瀏覽器會彈出相應(yīng)的portal認證頁面，此時用戶點擊一鍵登錄按鈕即可通過認證上網(wǎng)。此SSID僅允許訪問Internet，不可以訪問服務(wù)器，且限制帶寬。

（2）無線EAD用戶策略管理

無線EAD服務(wù)區(qū)別于JSTV服務(wù)，不同終端通過不同安全認證及安全檢查后接入網(wǎng)絡(luò)，可以訪問相應(yīng)內(nèi)部資源，具體用戶策略分類如表2所示。

表2：EAD用戶策略分類表

一般無線PC（Windows系統(tǒng)）必須安裝iNode客戶端進行認證并通過補丁和殺毒軟件檢查后才可以接入網(wǎng)絡(luò)，其他智能終端由于不支持補丁和殺毒軟件檢查，可使用自帶認證軟件進行登陸認證后接入網(wǎng)絡(luò)，不管進不進行安全檢查，用戶數(shù)據(jù)通過無線傳輸都是經(jīng)過加密的，也能保證數(shù)據(jù)在無線傳輸過程中的安全。

（3）無線EAD安全策略管理

對于外來訪客的SSID，可以在AC上設(shè)置訪問控制列表，來自AP所在的SSID需經(jīng)過Portal認證后才能訪問Internet，同時其訪問范圍又被限制在Internet區(qū)域，其它的訪問目的地址都會經(jīng)過AC上設(shè)置的訪問控制列表匹配，報文丟棄不予轉(zhuǎn)發(fā)。對于在會議室AP，必須通過PEAP認證后才能訪問網(wǎng)絡(luò)，AC上設(shè)置訪問控制列表，保證其只能臨時訪問部分服務(wù)器資源與Internet資源。對于在辦公區(qū)部署的無線AP，主要應(yīng)用于臺內(nèi)移動工作人員，需要通過EAD認證后，才能獲取相應(yīng)的資源。

SSID LitchiNET信號采用無線EAD（Endpoint Admission Defense，端點準入防御）解決方案。該方案在無線局域網(wǎng)環(huán)境下，配合無線AP和無線控制器進行完整的聯(lián)動方案，通過認證實現(xiàn)對無線接入用戶的端點準入控制，強制實施企業(yè)安全策略，從而加強網(wǎng)絡(luò)終端的主動防御能力，防止“危險”、“易感”終端接入網(wǎng)絡(luò)，控制病毒、蠕蟲的蔓延，有效滿足無線安全準入需求。

在無線EAD方案中，擁有合法身份的用戶除了被驗證用戶名、密碼等信息外，還被檢查是否滿足安全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統(tǒng)補丁等等。對于同時滿足了身份檢查和安全檢查的用戶，EAD會根據(jù)預定義的策略為其分配對應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，避免了非授權(quán)的網(wǎng)絡(luò)訪問現(xiàn)象，達到硬隔離的效果。

四、關(guān)鍵技術(shù)實現(xiàn)

1.IRF虛擬化

圖5　IRF虛擬化示意圖

江蘇廣電荔枝無線網(wǎng)絡(luò)采用IRF虛擬化技術(shù)，IRF是一種將多臺設(shè)備虛擬成一臺設(shè)備來管理和使用的技術(shù)，荔枝無線網(wǎng)絡(luò)采用兩臺高端路由交換機S10512作為核心交換機，運行IRF虛擬化來保證核心網(wǎng)絡(luò)的可靠。圖5 是IRF虛擬化示意圖。

使用IRF擴展系統(tǒng)處理能力如圖6所示。當中心的交換機轉(zhuǎn)發(fā)能力不能滿足需求時，可以增加新交換機與原交換機組成IRF系統(tǒng)來實現(xiàn)。若一臺交換機轉(zhuǎn)發(fā)能力為64M PPS，則通過增加一臺交換機進行擴展后，整個IRF設(shè)備的轉(zhuǎn)發(fā)能力為128M PPS。另外當邊緣交換機上行帶寬增加時，可以增加新交換機與原交換機組成IRF系統(tǒng)來實現(xiàn)。將成員設(shè)備的多條物理鏈路配置成一個聚合組，可以增加到中心交換機的帶寬。而對中心交換機而言，邊緣交換機的數(shù)量并沒有變化，物理上的兩臺交換機看起來就是一臺交換機，原有交換機會將當前的配置批量備份到新加入的交換機。因此，這種變化對網(wǎng)絡(luò)規(guī)劃和配置影響很小。

圖6　IRF擴展系統(tǒng)處理能力示意圖

圖7是使用MSTP、VRRP等協(xié)議來支持鏈路冗余、網(wǎng)關(guān)備份的示意圖。

圖7　鏈路冗余、網(wǎng)關(guān)備份示意圖

使用IRF后，匯聚層的多個設(shè)備成為了一個單一的邏輯設(shè)備，接入設(shè)備直接連接到虛擬設(shè)備。這個簡化后的組網(wǎng)不再需要使用MSTP、VRRP協(xié)議，簡化了網(wǎng)絡(luò)配置。同時依靠跨設(shè)備的鏈路聚合，在成員出現(xiàn)故障時不再依賴MSTP、VRRP等協(xié)議的收斂，提高了可靠性。

2.無感知認證

無線網(wǎng)絡(luò)無感知認證流程見圖8。

圖8　無線網(wǎng)絡(luò)無感知認證流程

采用Portal認證時，用戶每次接入WLAN網(wǎng)絡(luò)時都需要在Portal頁面中輸入用戶賬號/密碼信息，操作較為不便。特別是當前使用WiFi網(wǎng)絡(luò)的Pad、智能手機等終端設(shè)備越來越多，而此類終端受到屏幕、瀏覽器等資源限制，在Portal頁面中輸入用戶名/密碼等信息時極為不便，使得用戶上網(wǎng)體驗大打折扣。江蘇廣電荔枝無線網(wǎng)絡(luò)訪問用戶采用無感知認證接入方式，用戶一次無線輸入用戶名密碼，即可完成一鍵登錄接入網(wǎng)絡(luò)，一次登陸可保一周（時間可調(diào)整）不再進行重復登陸操作，方便用戶使用，安全可控。

3.智能終端識別

iMC系統(tǒng)，在綜合分析了當前終端設(shè)備識別技術(shù)的基礎(chǔ)上，使用DHCP指紋識別、Http Agent識別和MAC OUI識別三種具有較高識別度和可靠性的終端設(shè)備類型識別方式，并針對各種識別方式的優(yōu)缺點，取長補短，綜合使用，提供了完備的設(shè)備終端識別功能。

◆終端設(shè)備接入網(wǎng)絡(luò)，首先發(fā)起身份認證。身份認證過程中，設(shè)備的MAC地址攜帶在Radius請求的Calling Station ID屬性中。EIA解決該屬性，并判斷設(shè)備的供應(yīng)商信息。由于MAC地址易于修改，因此在iMC系統(tǒng)中，MAC OUI的優(yōu)先級最低。

◆iMC 系統(tǒng)判斷設(shè)備是否已注冊，對于未注冊的設(shè)備，將其放入隔離區(qū)。

◆終端設(shè)備在隔離區(qū)發(fā)起DHCP請求，接入設(shè)備將DHCP請求Relay至安裝了DHCP插件的DHCP Server。

◆DHCP插件截獲DHCP請求報文，并解析DHCP報文屬性，將終端設(shè)備的MAC地址和Option 55信息上傳至iMC服務(wù)器。

◆iMC服務(wù)器根據(jù)MAC地址查詢設(shè)備注冊信息，對于未注冊的設(shè)備，iMC設(shè)備根據(jù)Option 55提供的設(shè)備指紋，確認設(shè)備的類型，供應(yīng)商和操作系統(tǒng)類型等信息。同時在回應(yīng)DHCP插件的報文中，攜帶DNS Jail Server 的IP地址，告知DHCP插件修改DHCP ACK報文中的DNS信息。由于DHCP識別具有較高的準確性，EIA系統(tǒng)將DHCP識別的優(yōu)先級設(shè)為最高。

◆終端用戶訪問Web站點，發(fā)出Http請求。用戶終端的DNS客戶端發(fā)起DNS查詢，該查詢被發(fā)現(xiàn)DNS Jail查詢所在的地址。DNS Jail插件返回EIA Server的地址。

◆用戶Http請求被發(fā)往iMC Server，iMC server解析Http請求中的User Agent信息，提取操作系統(tǒng)、終端類型和制造商等信息。如果DHCP解析過程中已識別出終端類型、操作系統(tǒng)類型和供應(yīng)商等信息，User Agent識別出的終端設(shè)備信息不會被記錄。

采用智能無線終端識別技術(shù)，使用DHCP指紋識別、Http Agent識別和MAC OUI識別三種具有較高識別度和可靠性的終端設(shè)備類型識別方式，根據(jù)智能終端類型（如PAD 、智能手機、windows筆記本、MAC筆記本）等設(shè)置不同的網(wǎng)絡(luò)安全訪問策略。

五、結(jié)束語

江蘇廣電荔枝無線網(wǎng)絡(luò)的建設(shè)實現(xiàn)了江蘇廣電城辦公網(wǎng)絡(luò)出口帶寬的擴容，總帶寬提升了4倍，達到800Mbps；采用IRF虛擬化技術(shù)，實現(xiàn)了廣電城核心網(wǎng)絡(luò)系統(tǒng)的升級；完成了廣電城荔枝無線網(wǎng)絡(luò)的整體更新改造，實現(xiàn)了廣電城內(nèi)網(wǎng)絡(luò)全覆蓋，改善了無線接入體驗，提高了無線網(wǎng)絡(luò)速度，滿足了員工的無線應(yīng)用需求。未來，荔枝無線網(wǎng)絡(luò)還可利用無線定位模式提供高精度室內(nèi)導航（車庫停車定位），利用無線登陸頁面進行頻道廣告推送，為總臺日常運營管理提供必要的網(wǎng)絡(luò)和業(yè)務(wù)增值服務(wù)。