秦超

[摘 ? ?要 ]由于海上平臺沒有手機信號覆蓋，為滿足在平臺工作的員工網絡訪問需求，文章提出一種基于光纖級微波的海上平臺無線覆蓋思路。根據(jù)海上平臺這一特殊場景，詳細闡述了該網絡的設計思想和方法，包括WiFi覆蓋、寬帶優(yōu)化和人員認證等內容。在此基礎上，說明了該網絡的部署方案和有關注意事項，最后歸納了基于光纖級微波的海上平臺無線覆蓋的實現(xiàn)效果。

[關鍵詞]光纖級微波;無線覆蓋;AP+AC

[中圖分類號]U675.7 [文獻標志碼]A [文章編號]2095–6487（2021）06–0–02

[Abstract]Since there is no mobile phone signal coverage on offshore platforms， in order to meet the network access needs of employees working on the platform， this article proposes a wireless coverage idea for offshore platforms based on fiber-grade microwaves. According to the special scene of the offshore platform， the design ideas and methods of the network are elaborated， including wifi coverage， bandwidth optimization， and personnel authentication. On this basis， the network deployment plan and relevant precautions are explained. Finally， the realization effect of the wireless coverage of offshore platform based on fiber-grade microwave is summarized.

[Keywords]fiber-grade microwave;wireless coverage;AP+AC

在渤海地區(qū)分布著大量的海上平臺，為滿足生產辦公要求，海上平臺已經實現(xiàn)由KU衛(wèi)星[1-2]、高容量微波[3]聯(lián)合組建一個大寬帶網絡。由于海上平臺是海洋石油的生產一線，平臺上裝有重要生產設備，一直在傳輸大量重要的生產數(shù)據(jù)。為了保障數(shù)據(jù)安全，平臺未提供個人應用的網絡資源，均為辦公網絡。為了保證網絡安全，在辦公網中使用了很多的管理措施和技術手段。

海上平臺的網絡資源屬于辦公網，是為了保障海上的辦公以及滿足應急的需求，原則上不允許個人應用占用網絡資源。由于海上平臺位于渤海海域，由于距離、人員密度原因，三大運營商未提供手機信號覆蓋。在辦公網絡中，個人若需要訪問互聯(lián)網需要通過辦公網回傳至陸地、然后通過專線匯聚到集團公司的代理服務器，在完成認證后方可訪問互聯(lián)網。

目前幾乎所有的平臺都是個人應用與辦公混雜使用，給網絡安全帶來一定的隱患，同時辦公與個人應用互相搶占數(shù)據(jù)帶寬也會相互影響使用體驗。而且為了限制個人應用無限制擴散，絕大部分應用被代理服務器限制，平臺個人上網只可以使用瀏覽器、QQ等個別軟件。

1 海上應急無線通信系統(tǒng)設計

為實現(xiàn)海上平臺員工的互聯(lián)網訪問需求，需要在平臺生活樓部署一套無線覆蓋系統(tǒng)，然后通過海陸間微波接入運營商提供的互聯(lián)網出口。平臺WiFi網絡[4]按AP+AC的結構進行設計部署，AC（無線控制器）對AP進行集中管理、控制、配置下發(fā)，以及對接入終端的認證、數(shù)據(jù)分布式/集中式轉發(fā)、漫游[5]等功能，操作和維護工作現(xiàn)在只需要在AC上進行。由于海上平臺生活區(qū)均為鋼結構，實現(xiàn)全平臺生活區(qū)無線覆蓋需要在每一層、每個房間內均需部署AP設備;為實現(xiàn)AP間的漫游，還需安裝AC控制器，進行所有AP的統(tǒng)一管理。

1.1 帶寬優(yōu)化管理

為保證網絡訪問流暢穩(wěn)定，基于OSI網絡模型2～7層，通過IP、TCP報文特征、應用特征等多種識別機制進行網絡應用流量自動識別，提供一些靈活的管理策略，主要包括限制P2P總體流量、限制P2P上下行流量、根據(jù)一天中其他應用的流量變化規(guī)律在不同的時間內進行不同的流量控制、一段時間內的流量定額等，如圖1所示。

通過QOS技術，使用PQ、CQ、WFQ、CBWFQ、LLQ等隊列技術，通過匹配特征流量把應用分成不同的隊列，進行分類和區(qū)分服務，首先保障重要業(yè)務流量的優(yōu)先傳輸，并給不同的業(yè)務分配不同的網絡帶寬和傳輸優(yōu)先級。

對網絡流量進行流量整形和流量監(jiān)管[6]，預防突發(fā)情況對網絡傳輸?shù)挠绊?通用流量整形可以對不規(guī)則或不符合預定流量特性的流量進行整形，以利于網絡上下游之間的帶寬匹配，從而限制非生產業(yè)務流量對網絡資源的使用。

通過網絡流量圖表分析功能，掌握網絡流量實時使用情況、各種應用對帶寬占用情況，依據(jù)歷史數(shù)據(jù)分析功能進行網絡規(guī)劃調整。

通過多種方式優(yōu)化傳輸[7]，保證優(yōu)先傳輸優(yōu)先級高的數(shù)據(jù)、限制不重要或不必要的網絡應用，從而合理利用、分配網絡帶寬資源，避免網絡帶寬資源被不重要的網絡應用嚴重侵占與浪費，提高整個網絡的傳輸效率。

1.2 人員認證及安全管理

由于該網絡主要用于海上平臺工作人員訪問互聯(lián)網，認證方式采用用戶認證方式。當需要添加新用戶時，由網絡管理員進行創(chuàng)建賬號密碼，指定賬戶級別，記錄員工身份信息，增加基于用戶的流控規(guī)則。新用戶添加后，新的賬戶信息將自動同步至陸地認證服務器，實現(xiàn)單平臺添加、全渤海認證，在同一個平臺上實現(xiàn)了所有接入方式的認證、接入控制，完成安全性高、管理便捷的系統(tǒng)部署。

利用用戶行為管理技術，實現(xiàn)基于應用的識別。當IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內容來對OSI7層協(xié)議中的應用層信息進行重組，從而得到整個應用程序的內容，然后按照系統(tǒng)定義的管理策略對流量進行整形操作。

1.3 互聯(lián)網與辦公網隔離

目前海陸骨干微波型號不一，需要按照設備功能進行分類：若微波設備只支持單ODU，則需要新建一條骨干微波實現(xiàn)物理隔離;若微波設備支持多ODU，則通過辦公網、互聯(lián)網采用不同ODU、不同頻率的隔離技術，實現(xiàn)物理隔離保障安全性，如圖2所示。

微波傳輸鏈路網絡隔離在射頻端將IDU+ODU進行單獨分立，傳輸中采用不同的頻段，僅僅是共用一對天線，本質上是物理隔離的。在接收端，同樣通過分離的一套室內室外設備進行接受，分別接入不同的光纖專線。

其次，為防止用戶端同時接入兩網而造成人為的網絡互通，配合桌面準入機制，使得終端設備不能同時連接兩網絡，杜絕此類隱患。

若平臺距離陸地較遠，不能滿足微波傳輸要求，則可以考慮采用KA衛(wèi)星方式實現(xiàn)互聯(lián)網接入。

2 整體部署方案

在海上平臺生活區(qū)部署一套與辦公網絡完全物理隔離的互聯(lián)網網絡，并部署多個無線接入點[8]，通過無線方式供平臺上所有員工訪問互聯(lián)網資源，從而形成一套獨立的互聯(lián)網使用環(huán)境。在海上平臺新建一條與辦公網絡物理隔離的至陸地的骨干微波鏈路，然后接入運營商提供的千兆帶寬的互聯(lián)網寬帶，如圖3所示。

在海上平臺生活區(qū)各房間、走廊均安裝AP設備實現(xiàn)無線覆蓋，在平臺設備間安裝1臺匯聚交換機、1臺AC控制器、1臺上網行為管理，所有設備均獨立于平臺辦公生產網絡，以實現(xiàn)互聯(lián)網網絡與辦公網絡的物理隔離。為了避免某個AP用戶人數(shù)過多，AC控制器將智能實時的根據(jù)每個關聯(lián)的AP上的用戶數(shù)及數(shù)據(jù)流量調整分配到不同的AP上提供接入服務，平衡接入負載壓力，提高用戶的平均帶寬和QOS，提高連接的高可用性。

為了提高無線網絡整體安全性，平臺員工在網絡接入前，需向網絡管理人員申請網絡接入賬號，由網絡管理員在AC控制器中配置用戶數(shù)據(jù)，通過多種認證方式，實現(xiàn)用戶的本地認證。平臺員工的手機、平板電腦等移動終端通過無線AP接入，獲得AC控制器的認證后，訪問數(shù)據(jù)由海陸間無線網橋設備連接到陸地機房的互聯(lián)網出口，實現(xiàn)互聯(lián)網訪問。

上網行為管理設備部署在測試平臺部署，在員工在訪問互聯(lián)網過程中，訪問記錄均被保存在上網行為管理器中。通過對用戶上網記錄分析，獲得員工上網時間、上網內容、用戶流量排行等內容，如圖4所示。

3 結束語

海上平臺辦公網與互聯(lián)網分離后，將辦公網的個人流量剝離出去，可以避免大部分病毒、木馬的網絡入侵，保護企業(yè)內部核心信息不泄露，提高辦公網安全性;辦公網中互聯(lián)網訪問量大大降低，減少辦公應用的響應時間，提高辦公應用的用戶體驗。該方式不僅可以實現(xiàn)海上平臺的互聯(lián)網接入，偏遠地區(qū)廠區(qū)、島嶼也可采用類似方式。

參考文獻

[1] 胡紅芬，白曉紅.多波束天線的應用及發(fā)展[J].現(xiàn)代雷達，2002，24（4）：69-75.

[2] 易克初，李怡，孫晨華，等.衛(wèi)星通信的近期發(fā)展與前景展望[J].通信學報，2015，36（6）：157-172.

[3] 張凌翔.探究數(shù)字微波通信技術的發(fā)展與展望[J].通信電源技術，2019（11）：169-170.

[4] 沈勁桐.校園WLAN網絡優(yōu)化研究與應用[J].中國新通信，2020，22（13）：109-110

[5] 李安邦.企業(yè)無線部署與安全設計[J].電腦知識與技術，2017，13（36）：16-18.

[6] 張園園，郭裕順.流量監(jiān)管和流量整形技術的實現(xiàn)和應用[J].中國水運，2010，11（11）：84-86.

[7] 張莉，劉建.Qos中流量監(jiān)管與流量整形對TCP傳輸?shù)挠绊懷芯縖J].中國新通信，2019，21（20）：55-58.

[8] 曹炳健，鐘明東.基于城域網的瘦AP+AC的WLAN網絡構建[J].數(shù)字技術與應用，2011（5）：153-154.