張燁陽，韓旸，牟琳

(中國(guó)科學(xué)技術(shù)信息研究院，北京 100038)

0 引言

近年來，隨著互聯(lián)網(wǎng)和移動(dòng)通信技術(shù)的發(fā)展，無線網(wǎng)絡(luò)已成為讀者獲取圖書館服務(wù)的重要方式。為了方便國(guó)家工程技術(shù)圖書館讀者及NSTL工作人員更加便捷地獲取相關(guān)數(shù)字資源，國(guó)家工程技術(shù)圖書館于2012年開始建設(shè)原無線網(wǎng)絡(luò)系統(tǒng)，其無線信號(hào)主要覆蓋范圍是國(guó)家工程技術(shù)圖書館、NSTL中心辦公室、會(huì)議室及NSTL資源組、服務(wù)組、網(wǎng)絡(luò)組的主要會(huì)議室及辦公場(chǎng)所，AP與智能終端之間采用2.4 GHz頻段，使用802.11a/b/g/n協(xié)議進(jìn)行通信；安全方面使用有線等效保密(Wired Equivalent Privacy，WEP)協(xié)議作為加密手段，以基于RADIUS的Web認(rèn)證作為主要認(rèn)證方式。其主要網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 原有無線網(wǎng)絡(luò)結(jié)構(gòu)

一方面，國(guó)家對(duì)網(wǎng)絡(luò)安全的重視程度日益提高，在政策法規(guī)層面相繼出臺(tái)了《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，對(duì)網(wǎng)絡(luò)日志的留存時(shí)間、用戶使用的公網(wǎng)地址和內(nèi)網(wǎng)地址對(duì)應(yīng)關(guān)系記錄的保存都提出了要求，原無線系統(tǒng)已不能滿足相關(guān)要求。另一方面，隨著技術(shù)的發(fā)展，使用802.11a/b/g/n協(xié)議的無線系統(tǒng)在通信速率、抗干擾性上難以滿足用戶需求，認(rèn)證方式單一，WEP作為較為老舊的加密算法也難以保證用戶數(shù)據(jù)的安全。為此，要對(duì)現(xiàn)有無線系統(tǒng)進(jìn)行改造。經(jīng)過專家論證，2018年3月，國(guó)家工程技術(shù)圖書館無線系統(tǒng)改造工作開始實(shí)施，實(shí)施后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 現(xiàn)有無線網(wǎng)絡(luò)拓?fù)?/p>

1 國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)系統(tǒng)改造的必要性

1.1 適應(yīng)國(guó)家網(wǎng)絡(luò)安全法律法規(guī)的需要

2006年3月1日起施行的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》第七條第三款要求，互聯(lián)網(wǎng)服務(wù)提供者落實(shí)記錄并留存用戶登錄和退出時(shí)間、主叫號(hào)碼、賬號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施；在第八條第二款中要求，使用內(nèi)網(wǎng)地址與公網(wǎng)地址轉(zhuǎn)換方式為用戶提供接入服務(wù)的，能夠記錄并留存用戶使用的公網(wǎng)地址和內(nèi)網(wǎng)地址對(duì)應(yīng)關(guān)系。2016年11月，我國(guó)第一部有關(guān)網(wǎng)絡(luò)安全方面的法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》發(fā)布，于2017年6月開始施行，對(duì)網(wǎng)絡(luò)建設(shè)、運(yùn)營(yíng)方提出了要求，并對(duì)不履行相應(yīng)義務(wù)的行為在法律責(zé)任上做出了界定。其中，第十條規(guī)定，建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。第二十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)方應(yīng)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。

按照上述法規(guī)要求，國(guó)家工程技術(shù)圖書館無線系統(tǒng)必須在網(wǎng)絡(luò)結(jié)構(gòu)、邊界防護(hù)、訪問控制、日志記錄、NAT轉(zhuǎn)換記錄等方面進(jìn)行重新設(shè)計(jì)。

1.2 為用戶提供良好網(wǎng)絡(luò)環(huán)境的需要

原有無線系統(tǒng)使用WEP協(xié)議、短信認(rèn)證兩種方式進(jìn)行認(rèn)證，用戶接入方式較為單一，同時(shí)，原有的無線系統(tǒng)采用2.4 GHz頻段進(jìn)行通信，在無線環(huán)境、數(shù)據(jù)傳輸速度、網(wǎng)速穩(wěn)定性上難以令人滿意。

1.3 應(yīng)對(duì)網(wǎng)絡(luò)威脅的需要

原有無線系統(tǒng)使用WEP數(shù)據(jù)加密方式，讓無線局域網(wǎng)內(nèi)的每個(gè)客戶或計(jì)算機(jī)都使用了相同的保密字，在面對(duì)現(xiàn)在的網(wǎng)絡(luò)攻擊時(shí)，容易被網(wǎng)絡(luò)攻擊者通過竊聽的方式獲得密鑰，并最終竊取用戶數(shù)據(jù)。原有無線系統(tǒng)在無線局域網(wǎng)內(nèi)未能利用無線控制器對(duì)用戶數(shù)據(jù)進(jìn)行牽引、隔離，最終可使網(wǎng)絡(luò)攻擊者以合法身份進(jìn)入無線局域網(wǎng)后，對(duì)無線局域網(wǎng)內(nèi)任意用戶無線數(shù)據(jù)進(jìn)行獲取。

1.4 提升無線網(wǎng)絡(luò)管理效率的需要

原無線網(wǎng)絡(luò)系統(tǒng)缺乏集中管理平臺(tái)，管理方式較為煩瑣，需要人工干預(yù)的環(huán)節(jié)較多，缺乏對(duì)設(shè)備的統(tǒng)一管理，缺乏可視化界面，維護(hù)效率較低，難以適應(yīng)大規(guī)模無線網(wǎng)絡(luò)維護(hù)、管理的需求。

2 無線網(wǎng)絡(luò)技術(shù)的發(fā)展和遵循的標(biāo)準(zhǔn)規(guī)范

2.1 無線網(wǎng)絡(luò)技術(shù)的最新進(jìn)展

在無線網(wǎng)絡(luò)數(shù)據(jù)傳輸標(biāo)準(zhǔn)的應(yīng)用方面，使用支持802.11ac wave1標(biāo)準(zhǔn)的設(shè)備已經(jīng)大規(guī)模應(yīng)用，802.11ac wave2已經(jīng)在部分設(shè)備上開始應(yīng)用。與原有國(guó)家工程技術(shù)圖書館無線系統(tǒng)所支持的802.11n協(xié)議相比，802.11ac協(xié)議主要引入了256-QAM調(diào)制模式、80/160 MHz頻寬以及MU-MIMO技術(shù)，在單鏈路速度以及帶寬利用率上有較大的提升。相比802.11n的64-QAM調(diào)制模式，256-QAM的調(diào)制模式可以使無線設(shè)備在每次的信號(hào)發(fā)射中附帶更多的數(shù)據(jù)64-QAM與256-QAM的示意如圖3—4所示?？梢杂^察到，256-QAM的數(shù)據(jù)包密度相對(duì)更高，雖然隨著QAM級(jí)別的提高，誤碼率也會(huì)隨之提升，但802.11ac的標(biāo)準(zhǔn)理論速度還是高于802.11n。在頻寬方面，802.11ac引入了80/160 MHz頻寬，使其理論速率從802.11n的600 Mbps大幅提升至6 933 Mbps。在提升數(shù)據(jù)交換效率方面，802.11ac使用了MU-MIMO代替了SU-MIMO模式，使得多個(gè)用戶可同時(shí)與無線設(shè)備進(jìn)行數(shù)據(jù)傳輸，大幅提高了無線設(shè)備應(yīng)對(duì)高密度用戶應(yīng)用場(chǎng)景的能力。

圖3 64-QAM示意

圖4 256-QAM示意

2.2 無線網(wǎng)絡(luò)建設(shè)及驗(yàn)收標(biāo)準(zhǔn)

無線網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)與建設(shè)主要參照《數(shù)字通信設(shè)備環(huán)境試驗(yàn)方法》(GB/T13543)、《信息技術(shù)設(shè)備的無線電干擾極限值和測(cè)量方法》(GB9254-88)、《無線局域網(wǎng)工程設(shè)計(jì)規(guī)范》(YD 5214-2015)。在無線網(wǎng)絡(luò)系統(tǒng)驗(yàn)收方面，主要參照《無線局域網(wǎng)工程驗(yàn)收規(guī)范》(YD 5215-2015)標(biāo)準(zhǔn)進(jìn)行。其中，《無線局域網(wǎng)工程設(shè)計(jì)規(guī)范》(YD 5214-2015)在無線接入網(wǎng)的覆蓋設(shè)計(jì)、頻率配置、干擾控制、網(wǎng)絡(luò)安全、設(shè)備安裝工藝、線纜布防工藝、電源供電等多個(gè)方面對(duì)無線網(wǎng)絡(luò)的設(shè)計(jì)及建設(shè)提出了要求。

3 國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)建設(shè)的技術(shù)路線和實(shí)施方案

3.1 建設(shè)國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)的目的和任務(wù)

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和公安部《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，在充分了解國(guó)家工程圖書館無線網(wǎng)絡(luò)業(yè)務(wù)需求，進(jìn)一步明確主要問題的基礎(chǔ)上，結(jié)合國(guó)內(nèi)外無線網(wǎng)絡(luò)技術(shù)發(fā)展趨勢(shì)，采用最新的無線網(wǎng)絡(luò)管理技術(shù)。本著基于標(biāo)準(zhǔn)、整體規(guī)劃的設(shè)計(jì)理念，在無線網(wǎng)絡(luò)規(guī)劃、日志記錄、網(wǎng)絡(luò)地址轉(zhuǎn)化記錄、網(wǎng)絡(luò)攻擊防范、用戶認(rèn)證等多層次上，實(shí)現(xiàn)國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)安全、高效運(yùn)行。

3.2 建設(shè)國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)的技術(shù)路線

加強(qiáng)國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)管理，實(shí)現(xiàn)無線網(wǎng)絡(luò)系統(tǒng)的高效和規(guī)范，必須建立層次化區(qū)域運(yùn)行體系，實(shí)現(xiàn)集中管理，發(fā)揮設(shè)備應(yīng)有功能。國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)的技術(shù)路線包括以下方面：

(1)通過日志記錄設(shè)備與無線安全業(yè)務(wù)網(wǎng)關(guān)的聯(lián)動(dòng)，對(duì)網(wǎng)絡(luò)NAT日志、網(wǎng)絡(luò)訪問日志進(jìn)行為期200天的記錄，達(dá)到了《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》及《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的要求。

(2)將無線網(wǎng)絡(luò)劃分為無線接入?yún)^(qū)、核心區(qū)、服務(wù)器區(qū)、出口安全區(qū)。無線接入?yún)^(qū)主要部署POE交換機(jī)和AP設(shè)備，核心區(qū)主要部署核心交換機(jī)和無線控制器、服務(wù)器區(qū)主要部署無線業(yè)務(wù)管理服務(wù)器、出口安全區(qū)主要部署防火墻和無線網(wǎng)絡(luò)安全網(wǎng)關(guān)。

(3)使用核心交換機(jī)實(shí)現(xiàn)區(qū)域之間的隔離，通過ACL禁止普通無線用戶對(duì)服務(wù)器區(qū)、核心區(qū)、出口安全區(qū)、無線接入?yún)^(qū)無線設(shè)備的訪問，只允許管理員對(duì)無線網(wǎng)絡(luò)管理設(shè)備發(fā)起訪問。

(4)使用無線控制器對(duì)AP的AP組歸屬、AP信號(hào)頻率、信號(hào)發(fā)射強(qiáng)度等配置進(jìn)行管理，同時(shí)，AC使用CAPWAP隧道與AP進(jìn)行業(yè)務(wù)數(shù)據(jù)傳送，以便在AC上對(duì)用戶數(shù)據(jù)進(jìn)行二層隔離，使局域網(wǎng)內(nèi)任一用戶設(shè)備不能訪問其他用戶設(shè)備，提升網(wǎng)絡(luò)安全性。

(5)使用無線網(wǎng)絡(luò)用戶認(rèn)證平臺(tái)實(shí)現(xiàn)身份認(rèn)證授權(quán)、用戶賬戶管理功能。無線安全管理平臺(tái)支持802.1x、Portal、VPN等多種認(rèn)證接入方式，支持支持短信驗(yàn)證碼/URL認(rèn)證、二維碼授權(quán)認(rèn)證、授權(quán)碼認(rèn)證、二維碼名片認(rèn)證、無感知認(rèn)證多種認(rèn)證方式。

(6)使用無線網(wǎng)絡(luò)管理平臺(tái)實(shí)現(xiàn)設(shè)備配置防災(zāi)保護(hù)、設(shè)備系統(tǒng)文件統(tǒng)一管理和規(guī)劃、網(wǎng)絡(luò)信息整體俯瞰、設(shè)備精細(xì)化管理等功能。

(7)通過日志記錄設(shè)備與無線網(wǎng)絡(luò)用戶認(rèn)證平臺(tái)無縫對(duì)接實(shí)現(xiàn)用戶認(rèn)證上網(wǎng)信息和出口日志結(jié)合，實(shí)現(xiàn)用戶上網(wǎng)實(shí)名信息統(tǒng)計(jì)。按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和公安部《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》對(duì)NAT日志、URL日志、BBS日志、郵件日志進(jìn)行為期200天的留存，以便追查不法行為。

(8)使用無線網(wǎng)絡(luò)安全網(wǎng)關(guān)可以實(shí)現(xiàn)應(yīng)用層過濾、抗攻擊、防掃描、可對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行全方位控制，并可對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行精細(xì)化管理，屏蔽各種與工作無關(guān)的網(wǎng)站，營(yíng)造良好工作氛圍，提高工作效率。

3.3 建立層次化國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)模型

按照功能區(qū)分的原則，國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)分為無線接入?yún)^(qū)、核心區(qū)、服務(wù)器區(qū)、出口安全區(qū)，區(qū)域之間通過核心交換機(jī)進(jìn)行鏈接，并使用ACL進(jìn)行區(qū)域之間的邏輯隔離。

無線接入?yún)^(qū)是指由POE交換機(jī)和AP無線接入點(diǎn)組成的無線設(shè)備接入?yún)^(qū)域，主要承擔(dān)無線信號(hào)的接收、發(fā)射、用戶數(shù)據(jù)的傳遞以及各種無線系統(tǒng)配置策略的執(zhí)行。

服務(wù)器區(qū)由AP管理系統(tǒng)、用戶管理系統(tǒng)、日志系統(tǒng)3套系統(tǒng)組成，主要負(fù)責(zé)通過無線業(yè)務(wù)軟件對(duì)無線用戶、AP設(shè)備、日志進(jìn)行管理。

核心區(qū)主要包含核心交換機(jī)、無線控制器，是無線系統(tǒng)最為核心的設(shè)備，控制著整套無線系統(tǒng)的數(shù)據(jù)流轉(zhuǎn)及訪問權(quán)限控制。

出口安全區(qū)由下一代防火墻和無線安全業(yè)務(wù)網(wǎng)關(guān)組成，負(fù)責(zé)對(duì)無線網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，通過下一代防火墻可實(shí)現(xiàn)對(duì)流量在網(wǎng)絡(luò)層、應(yīng)用層進(jìn)行過濾。無線安全業(yè)務(wù)網(wǎng)關(guān)可以結(jié)合日志系統(tǒng)對(duì)用戶的NAT轉(zhuǎn)換記錄進(jìn)行管理，并對(duì)用戶上網(wǎng)行為進(jìn)行控制。

3.4 國(guó)家工程技術(shù)圖書館無線系統(tǒng)網(wǎng)絡(luò)關(guān)鍵技術(shù)

(1)CAPWAP隧道技術(shù)。AP零配置啟動(dòng)，通過DHCP獲取IP地址，同時(shí)，獲取AC的IP地址，建立CAPWAP隧道。AC通過建立的CAPWAP隧道向AP下發(fā)配置，AP獲取配置后廣播SSID，進(jìn)行802.11數(shù)據(jù)幀和以太網(wǎng)數(shù)據(jù)幀的轉(zhuǎn)換。無線AP接入點(diǎn)與無線控制器以國(guó)際標(biāo)準(zhǔn)的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)傳輸過程中的內(nèi)容安全。

(2)虛擬無線分組技術(shù)。通過虛擬無線接入點(diǎn)(Virtual AP)技術(shù)，整機(jī)可提供多個(gè)SSID，支持多個(gè)802.1QVLAN，網(wǎng)管人員可以對(duì)使用相同SSID的子網(wǎng)或VLAN單獨(dú)實(shí)施加密和隔離，并可針對(duì)每個(gè)SSID配置單獨(dú)的認(rèn)證方式、加密機(jī)制等[1]。

(3)射頻探測(cè)技術(shù)。AP可啟用射頻探針掃描機(jī)制，實(shí)時(shí)發(fā)現(xiàn)非法接入點(diǎn)、或其他射頻干擾源，并提供相應(yīng)的告警，使網(wǎng)絡(luò)運(yùn)維人員可隨時(shí)監(jiān)控各個(gè)無線環(huán)境中的潛在威脅和使用狀況。

(4)無線控制器集群技術(shù)。在多臺(tái)無線控制器之間，可實(shí)時(shí)同步所有用戶在線連接信息和漫游記錄。當(dāng)無線用戶漫游時(shí)，集群內(nèi)對(duì)用戶的信息和授權(quán)信息的共享，使得用戶可以跨越整個(gè)無線網(wǎng)絡(luò)，并保持良好的移動(dòng)性和安全性，保持IP地址與認(rèn)證狀態(tài)不變，從而實(shí)現(xiàn)對(duì)快速漫游的支持[2]。

為支持重點(diǎn)覆蓋區(qū)域內(nèi)的無縫漫游，無線系統(tǒng)支持L2漫游。無線數(shù)據(jù)流不需要通過無線控制器即可進(jìn)行本地轉(zhuǎn)發(fā)。本地轉(zhuǎn)發(fā)技術(shù)徹底突破了無線控制器的流量瓶頸限制。根據(jù)網(wǎng)絡(luò)的SSID和用戶VLAN的規(guī)劃，決定數(shù)據(jù)是否需要全部經(jīng)過無線控制器轉(zhuǎn)發(fā)，或直接進(jìn)入有線網(wǎng)絡(luò)進(jìn)行本地交換。本地轉(zhuǎn)發(fā)技術(shù)將延遲敏感、傳輸要求實(shí)時(shí)性高的數(shù)據(jù)分類通過有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)，在802.11ac的大流量吞吐下，可以大大緩解無線控制器的流量壓力，更好地適應(yīng)未來無線網(wǎng)絡(luò)更高流量傳輸?shù)囊?，諸如高清視頻點(diǎn)播、VoWLAN傳輸?shù)取?/p>

3.5 國(guó)家工程技術(shù)圖書館無線系統(tǒng)認(rèn)證技術(shù)

3.5.1 針對(duì)圖書館讀者的微信認(rèn)證

當(dāng)需為讀者提供無線上網(wǎng)服務(wù)時(shí)，傳統(tǒng)的無線網(wǎng)絡(luò)一般會(huì)在閱覽室、前臺(tái)、大廳等讀者接待區(qū)域啟用一個(gè)基于PSK認(rèn)證的WLAN，并在可視區(qū)域貼放WLAN共享密碼，體驗(yàn)較差，且密碼易擴(kuò)散，網(wǎng)絡(luò)安全難以保障；網(wǎng)絡(luò)運(yùn)維人員需定期更換WLAN密碼和對(duì)應(yīng)的標(biāo)識(shí)，增加了網(wǎng)絡(luò)運(yùn)維難度。

本文針對(duì)圖書館讀者無線上網(wǎng)的需求采用微信認(rèn)證的方式。微信自助注冊(cè)主要是讀者通過手機(jī)上的微信，掃描特定的二維碼進(jìn)行自助注冊(cè)上網(wǎng)，給讀者帶來方便，極大地提高了用戶的體驗(yàn)。根據(jù)使用場(chǎng)景從安全性和便捷性的不同，本文采用了兩種微信二維碼認(rèn)證方案：

(1)內(nèi)部員工微信二維碼認(rèn)證。主要是要求每個(gè)接入無線網(wǎng)絡(luò)的讀者都由引領(lǐng)的內(nèi)部員工來完成認(rèn)證入網(wǎng)。先由讀者使用手機(jī)連接圖書館特定的SSID信號(hào)源，由內(nèi)部員工掃描讀者手機(jī)登錄SSID后彈出的二維碼后，讀者即可上網(wǎng)。這種認(rèn)證方式在安全性方面有更高的保障，但同一時(shí)段內(nèi)大規(guī)模的讀者入網(wǎng)會(huì)造成比較大的工作量，并且要求為讀者完成認(rèn)證的內(nèi)部員工需要實(shí)時(shí)在線，因此，該方案適用于小規(guī)模讀者使用無線網(wǎng)絡(luò)的場(chǎng)景。

(2)微信二維碼名片認(rèn)證。主要是將掃描二維碼的工作交由讀者自主完成，在便捷性方面有更好的體驗(yàn)，可以由具備開通讀者上網(wǎng)權(quán)限的內(nèi)部員工生成包含二維碼的名片，由讀者連接特定SSID后，使用微信自主掃描名片上的二維碼獲得上網(wǎng)權(quán)限，該方案不要求內(nèi)部員工實(shí)時(shí)在線，適合于大規(guī)模讀者來訪和召集外來人員參加會(huì)議的上網(wǎng)場(chǎng)景。

3.5.2 Web認(rèn)證

Web認(rèn)證是無線系統(tǒng)為單位內(nèi)部員工準(zhǔn)備的一種認(rèn)證方式。初次使用時(shí)，內(nèi)部員工無線設(shè)備首先連接特定的內(nèi)部SSID，而后瀏覽器會(huì)自動(dòng)跳轉(zhuǎn)至定制開發(fā)的portal認(rèn)證頁面，當(dāng)員工輸入用戶名、密碼后，數(shù)據(jù)會(huì)通過RADIUS協(xié)議傳送至無線網(wǎng)絡(luò)用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證。認(rèn)證成功后，無線控制器將會(huì)對(duì)該無線設(shè)備授權(quán)，允許其接入無線網(wǎng)絡(luò)，并記錄其設(shè)備MAC地址。當(dāng)設(shè)備離開無線系統(tǒng)信號(hào)覆蓋區(qū)域，并重新回到該區(qū)域時(shí)，無線系統(tǒng)可自動(dòng)對(duì)已記錄的MAC地址列表進(jìn)行查詢。若之前已對(duì)該設(shè)備進(jìn)行授權(quán)，則系統(tǒng)不再對(duì)此系統(tǒng)進(jìn)行認(rèn)證，從而實(shí)現(xiàn)用戶的無感知認(rèn)證。

3.6 國(guó)家工程技術(shù)圖書館無線系統(tǒng)管理技術(shù)

3.6.1 拓?fù)涔芾?/p>

國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)系統(tǒng)涉及眾多無線AP，Poe供電交換機(jī)、樓層接入和核心交換機(jī)，為了使其能夠長(zhǎng)期穩(wěn)定地運(yùn)行、提高管理效率，需要對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。部署無線網(wǎng)絡(luò)管理系統(tǒng)，可以通過其拓?fù)涔芾砉δ芟蜻\(yùn)維人員直觀的展示全網(wǎng)設(shè)備運(yùn)行的狀態(tài)、特定鏈路節(jié)點(diǎn)工作的狀態(tài)以及鏈路流量信息，降低了運(yùn)維人員勞動(dòng)強(qiáng)度[3]。

3.6.2 設(shè)備及配置管理

無線網(wǎng)絡(luò)管理系統(tǒng)還可對(duì)系統(tǒng)內(nèi)的AP和AC進(jìn)行可視化精細(xì)管理，通過對(duì)AP在線服務(wù)時(shí)間、關(guān)聯(lián)用戶數(shù)、閑置時(shí)間、流量、工作狀態(tài)的統(tǒng)計(jì)可以提升管理效率，為優(yōu)化無線網(wǎng)絡(luò)部署提供數(shù)據(jù)支撐。

在AP配置管理方面，無線網(wǎng)絡(luò)管理系統(tǒng)還可根據(jù)運(yùn)維人員需求在指定的時(shí)間對(duì)AP下發(fā)固件升級(jí)、重啟、策略配置等多種指令，最大限度地確保了無線網(wǎng)絡(luò)系統(tǒng)的在線服務(wù)效率。

3.6.3 精細(xì)化的用戶管理

網(wǎng)絡(luò)內(nèi)不同用戶的身份角色不一樣、使用移動(dòng)終端不一樣、使用的無線業(yè)務(wù)不一樣，為了能保證不同用戶都能有良好的無線上網(wǎng)體驗(yàn)，無線系統(tǒng)本身可通過自定義用戶角色，根據(jù)用戶角色進(jìn)行權(quán)限劃分，實(shí)現(xiàn)不同權(quán)限的用戶只能訪問受限資源、獲得特定帶寬、在不同地區(qū)訪問不同業(yè)務(wù)等。通過自動(dòng)感知用戶的終端類型、業(yè)務(wù)應(yīng)用等功能，在無線網(wǎng)絡(luò)管理系統(tǒng)中進(jìn)行可視化的呈現(xiàn)、管理。

3.6.4 無線熱敏圖

通過無線網(wǎng)絡(luò)管理系統(tǒng)的可視化熱敏圖，網(wǎng)絡(luò)運(yùn)維人員可以實(shí)時(shí)、直觀地了解整個(gè)無線網(wǎng)絡(luò)的實(shí)際覆蓋效果和運(yùn)行情況。無線熱敏圖主要提供了以下功能：

(1)支持多種類型平面圖導(dǎo)入。

(2)支持障礙物類型及衰耗的推薦值和自定義。

(3)支持AP位置的自定義精準(zhǔn)布放。

(4)支持無線信號(hào)強(qiáng)度的可視化區(qū)分。

(5)支持AP管理用戶數(shù)的可視化查看。

3.6.5 無線頻譜分析

對(duì)于無線網(wǎng)絡(luò)系統(tǒng)而言，同頻段的信號(hào)干擾往往是影響網(wǎng)絡(luò)性能及可靠性的重要因素，通過AP的頻譜分析功能可以對(duì)2.4 GHz 和5 GHz 頻段進(jìn)行掃描，自動(dòng)識(shí)別各種干擾信號(hào)源，并根據(jù)掃描結(jié)果及對(duì)網(wǎng)絡(luò)性能的影響，自動(dòng)對(duì)工作頻率進(jìn)行調(diào)整，以避開被嚴(yán)重干擾的頻率。

無線網(wǎng)絡(luò)管理系統(tǒng)通過讀取無線AP的數(shù)據(jù)，使用評(píng)判分析功能提供豐富的可視化頻譜分析數(shù)據(jù)和圖標(biāo)供網(wǎng)管人員，對(duì)無線頻譜進(jìn)行分析。這些圖表主要包括：(1)實(shí)時(shí)顯示當(dāng)前無線網(wǎng)絡(luò)環(huán)境中各個(gè)頻率范圍內(nèi)信號(hào)能量等級(jí)及其漸進(jìn)過程的頻譜圖。(2)捕捉802.11信道上頻域信號(hào)能量等級(jí)的Real-Time FFT(頻域?qū)崟r(shí)能量圖)。(3)反映信道頻率范圍內(nèi)的繁忙程度的占空比圖等。

5 國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)建設(shè)后的效果

國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)建設(shè)項(xiàng)目的建設(shè)使其無線網(wǎng)絡(luò)滿足了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和公安部《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》的要求，并在數(shù)據(jù)傳輸速度、數(shù)據(jù)安全性、系統(tǒng)的穩(wěn)定性、管理的便利性、用戶使用的便捷性上都有了質(zhì)的提升。初步建立起高速、可靠、安全的無線網(wǎng)絡(luò)，實(shí)現(xiàn)了智能檢測(cè)、集中有效的網(wǎng)絡(luò)管理中心，保障了國(guó)家工程技術(shù)圖書館無線網(wǎng)絡(luò)長(zhǎng)期安全、穩(wěn)定、高效的運(yùn)行。