車 輝，楊 波，邢慧芬，苗碧舟

（1.織里鎮(zhèn)公共事業(yè)服務中心，浙江 湖州 313000；2.中國移動通信集團山西有限公司太原分公司，山西 太原 030000；3.巢湖學院 信息工程學院，安徽 合肥 238000；4.湖州銀行股份有限公司，浙江 湖州 313000）

0 引 言

移動互聯(lián)網(wǎng)時代，大眾希望能夠通過無處不在的網(wǎng)絡(luò)自由且免費接入互聯(lián)網(wǎng)，享受本地存儲以及互聯(lián)網(wǎng)的信息服務資源，從而滿足人們的工作、生活、娛樂需求。而電信運營商居高不下的網(wǎng)絡(luò)通信資費則限制著人們網(wǎng)上沖浪的自由，因此WiFi成為現(xiàn)代人上網(wǎng)的主要方式之一。但由于WiFi工作在較高頻段，通常用在小面積區(qū)域的網(wǎng)絡(luò)通信，無法滿足人們在公共區(qū)域的上網(wǎng)需求。因此基于WiFi通信技術(shù)的無線城市建設(shè)成為了滿足人們公共區(qū)域上網(wǎng)的重要手段之一，也推動了新型智慧城市建設(shè)的發(fā)展。本文對基于WiFi技術(shù)的無線城市建設(shè)的網(wǎng)絡(luò)架構(gòu)、組網(wǎng)規(guī)劃和網(wǎng)絡(luò)安全進行了設(shè)計，并進行了詳細的闡述。

1 無線城市網(wǎng)絡(luò)架構(gòu)設(shè)計

1.1 無線城市網(wǎng)絡(luò)拓撲架構(gòu)

無線城市通過把不同區(qū)域如醫(yī)院、商場、公園、廣場等的無線網(wǎng)絡(luò)聯(lián)通，實現(xiàn)整個城市關(guān)鍵區(qū)域的無線全覆蓋，進而實現(xiàn)城市的無線統(tǒng)一管理，打造地區(qū)的無線城市。無線城市網(wǎng)絡(luò)架構(gòu)是由前端接入網(wǎng)絡(luò)、中間交換網(wǎng)絡(luò)和無線管理平臺等部分組成。前端接入網(wǎng)絡(luò)根據(jù)室內(nèi)和室外兩種場景分別選用符合特定場景的AP設(shè)備，確保信號覆蓋。電信運營商城域網(wǎng)提供VPN通道，集中部署DHCP Server，城域網(wǎng)設(shè)備部署DHCP Relay；無線管理認證平臺提供認證及管理功能，包括設(shè)備管理、終端認證、行為審計等功能；平臺通過應用控制網(wǎng)關(guān)ACG作為審計設(shè)備及安全出口，統(tǒng)一與公安非經(jīng)系統(tǒng)對接。某營運商無線城市網(wǎng)絡(luò)架構(gòu)如圖1所示。

圖1 無線城市網(wǎng)絡(luò)拓撲架構(gòu)

1.2 區(qū)域組網(wǎng)方案

通過把城市劃分成不同的區(qū)域進行組網(wǎng)，既降低了網(wǎng)絡(luò)管理的復雜性，也提高了無線網(wǎng)絡(luò)的帶寬和管理效率。區(qū)域組網(wǎng)是針對接入無線的城市不同區(qū)域進行組網(wǎng)，實現(xiàn)無線網(wǎng)絡(luò)的區(qū)域管理。區(qū)域無線組網(wǎng)可以整體采用三層網(wǎng)絡(luò)架構(gòu)，如圖2所示。

圖2 區(qū)域組網(wǎng)網(wǎng)絡(luò)拓撲架構(gòu)

區(qū)域組網(wǎng)采用三級組織架構(gòu)，匯聚交換機“V”型組織級聯(lián)核心交換機，兩臺核心交換機采用40GE鏈路通過IRF2技術(shù)虛擬化連接，以提升核心交換機的運行穩(wěn)定性；接入層交換機支持PoE+功能，接入兩路電源，提升配套設(shè)備的安全性，保證整體網(wǎng)絡(luò)架構(gòu)安全運行不宕機。

1.3 終端組網(wǎng)方案

無線城市終端采用瘦AP+AC的組網(wǎng)方案，其中終端由無線控制器和多臺無線AP組成，所有的無線AP皆由AC設(shè)備統(tǒng)一配置和管理。無線AP由PoE交換機反向供電，降低本地電源接入故障。

在上述模式下，無線控制器（AC）負責無線網(wǎng)絡(luò)數(shù)據(jù)下發(fā)、接入控制、流量統(tǒng)計、接入位置漫游管理、無線安全控制等功能；AP負責802.11報文解析、用戶接入、RF空口統(tǒng)計等功能。FIT AP集中管理，數(shù)據(jù)遠程接收，可實現(xiàn)智能化和自動化的技術(shù)應用，如AP信道、頻率等無線參數(shù)自動調(diào)整、非法無線用戶入侵檢測和網(wǎng)絡(luò)自愈等功能，可大幅降低人工參與程度，推動無線網(wǎng)絡(luò)應用的發(fā)展。同時為了滿足用戶對高帶寬的需求，所有無線設(shè)備均采用支持802.11ac Wave2的AP產(chǎn)品，提供高速的網(wǎng)絡(luò)訪問接入。

2 無線城市組網(wǎng)規(guī)劃設(shè)計

2.1 無線覆蓋頻率規(guī)劃

為保證信道之間互不干擾，要求兩個信道之間間隔5個信道以上。2.4 GHz頻段范圍內(nèi)有3組可同時工作的信道，分別為1/6/11、2/7/12、3/8/13；而5.8 GHz則支持5個不重疊的信道并行工作，分別是149、153、157、161、165。

蜂窩式無線覆蓋實現(xiàn)無交叉頻率重復使用，因此在AP點較多時，為避免同頻干擾，信道需按照蜂窩式部署，提高數(shù)據(jù)傳輸效率，避免大量數(shù)據(jù)包被丟棄。同時通過調(diào)節(jié)AP設(shè)備發(fā)射功率，解決空口的“遠近效應”問題。

（1）5.8 GHz頻段頻率規(guī)劃

通常情況下5.8 GHz頻段工作在149、153、157、161、165等五個信道，相比2.4 GHz頻段，5.8 GHz頻段具有容量大、干擾源少的優(yōu)點，適合部署在熱點區(qū)域。但由于5.8 GHz頻段頻率較高，因此也存在鏈路損耗大、覆蓋范圍小的問題。在實際的頻率規(guī)劃中，采用蜂窩覆蓋的頻率使用方案，相鄰小區(qū)使用不同的信道頻率來避免干擾，如圖3所示，其中1、2、3分別代表不同信道。

圖3 5.8 GHz頻率使用規(guī)劃示意圖

（2）2.4 GHz和5.8 GHz頻段混合式頻率規(guī)劃

在寬帶需求較高且較為空曠的區(qū)域，做頻段規(guī)劃時，為避免同頻干擾，提升空口利用率，可采用2.4 GHz和5.8 GHz混合式組網(wǎng)方案。該方案中AP同時配置兩種頻率，其中5.8 GHz可用寬帶較高，適合集中部署；2.4 GHz頻段覆蓋范圍較廣，適合分散部署。2.4 GHz和5.8 GHz頻段混合組網(wǎng)頻點配置如圖4所示。

圖4 2.4 GHz和5.8 GHz頻段混合組網(wǎng)頻點配置示意圖

2.2 系統(tǒng)吞吐量規(guī)劃

WLAN容量計算公式為：usp=（asp×）/（2×usernumber×）。其中：usp為每用戶帶寬；asp為AP最大連接速率（其中工作在802.11b、802.11g、802.11n模式下最大速率分別為11 Mb/s、54 Mb/s、300 Mb/s）；為傳輸效率，一般取0.5；usernumber為同時在線用戶數(shù)；為忙時用戶并發(fā)率。因考慮無線雙向傳輸，故計算公式中需除以2。通過計算，系統(tǒng)吞吐量設(shè)計要求如下：802.11b模式下不低于5 Mb/s，802.11g模式下不低于20 Mb/s，802.11n模式下不低于80 Mb/s。

2.3 系統(tǒng)并發(fā)用戶數(shù)規(guī)劃

規(guī)劃WLAN網(wǎng)絡(luò)并發(fā)用戶數(shù)時，需綜合考慮網(wǎng)絡(luò)設(shè)備性能、空口速率、ISP業(yè)務類型等。一般情況下建議工作在802.11b模式下并發(fā)用戶數(shù)不超過3個，802.11g模式下不超過5個，802.11n模式下不超過6個。

2.4 無縫漫游規(guī)劃

為了支持客戶端的移動漫游，無線城市在做網(wǎng)絡(luò)規(guī)劃時采用移動蜂窩狀信號覆蓋方式，且每臺AP設(shè)備設(shè)置相同的SSID和認證方式，AP設(shè)備可實現(xiàn)用戶無縫漫游功能。當用戶移動接入到不同的AP時，準入與認證切換時間為毫秒級，用戶幾乎感知不到，提高了用戶體驗。

3 無線城市網(wǎng)絡(luò)安全設(shè)計

無線城市網(wǎng)絡(luò)是屬于公眾型網(wǎng)絡(luò)，因此網(wǎng)絡(luò)安全是建設(shè)無線城市的基礎(chǔ)。無線城市網(wǎng)絡(luò)安全主要側(cè)重用戶安全、網(wǎng)絡(luò)安全。用戶安全主要包括信息終端安全及用戶的賬戶、密碼安全，而網(wǎng)絡(luò)安全則重點考慮網(wǎng)絡(luò)的空口信息的安全機制和與無線相關(guān)的有線網(wǎng)絡(luò)安全問題。

3.1 接入認證

針對無線網(wǎng)絡(luò)接入認證可以采取802.1x、MAC、Portal等身份認證方式，以保障無線網(wǎng)絡(luò)上網(wǎng)合法合規(guī)。其中，Portal認證方式通過向用戶強制推送Web認證頁面，實現(xiàn)用戶身份認證功能。Portal認證方式可實現(xiàn)跨平臺、跨終端認證。此外，Portal認證方式還可支持個性化認證方式，并可防止窗口過濾，為管理者提供方便的管理功能。

3.2 訪問控制

系統(tǒng)具備較完善的檢測功能，可實現(xiàn)無線攻擊檢測、處置策略調(diào)取、網(wǎng)絡(luò)入侵防范等功能，具體如下：

（1）非法AP檢測：WLAN網(wǎng)絡(luò)可自動對AP設(shè)備進行授權(quán)管理，并將管理情況上報AC設(shè)備。若為非授權(quán)AP設(shè)備上線，則下發(fā)阻塞數(shù)據(jù)，強制該AP設(shè)備無法轉(zhuǎn)發(fā)用戶數(shù)據(jù)，保護無線網(wǎng)絡(luò)安全。

（2）黑白名單功能：AP設(shè)備內(nèi)置黑白名單功能，可由管理員配置啟用白名單或者黑名單。

（3）無線協(xié)議攻擊防御：當WLAN網(wǎng)絡(luò)檢測到攻擊時，如DDOS、Flood等，可調(diào)取防范策略，切斷攻擊源，并產(chǎn)生告警和日志，提醒網(wǎng)絡(luò)安全員及時處置，同時留存日志供安全審計員進行安全審計。

3.3 物理層安全

通過選取合適的加密方式，可以有效保證無線空口傳輸?shù)臄?shù)據(jù)安全，防止出現(xiàn)無線傳輸數(shù)據(jù)泄密的情況。加密方式如下：

（1）WEP加密：是以IEEE802.11協(xié)議定義的加密方式。若 AP設(shè)備預配置密鑰與接入端輸入密鑰匹配，則認證通過，安全級別較低。

（2）TKIP加密：是WEP加密協(xié)議的升級版本，以WPA協(xié)議定義的加密方式。該加密方式不僅可對數(shù)據(jù)進行加密，還提供MIC、Countermeasure等功能，用于對WLAN、網(wǎng)絡(luò)的安全保護。

（3）CCMP加密：是以IEEE802.11i協(xié)議定義的加密方式。該加密方式報文采用AES算法，具備較高強度的數(shù)據(jù)報文保護功能。

（4）WAPI加密：該加密方式采用橢圓曲線密碼算法和分組密碼算法，為WLAN網(wǎng)絡(luò)提供數(shù)字證書簽名、證書鑒別、密鑰協(xié)商、傳輸數(shù)據(jù)加解密等功能，保障整體網(wǎng)絡(luò)安全性。

3.4 行為審計記錄

針對無線用戶的上網(wǎng)行為審計，留存包括Web類、視頻、網(wǎng)游、金融、郵件等應用服務日志以及設(shè)備登錄和敏感數(shù)據(jù)操作日志，確保行為審計記錄完整。

4 結(jié) 語

隨著移動終端和通信技術(shù)的快速發(fā)展，移動互聯(lián)網(wǎng)對社會產(chǎn)生了深遠的影響，推動了移動互聯(lián)網(wǎng)經(jīng)濟的發(fā)展。在移動互聯(lián)網(wǎng)時代，人們希望通過無處不在的免費網(wǎng)絡(luò)自由地在網(wǎng)上沖浪，享受網(wǎng)絡(luò)給人們工作、生活帶來的便利。但電信運營商較高的流量資費限制了人們接入網(wǎng)絡(luò)的自由。為了推動移動互聯(lián)網(wǎng)經(jīng)濟的發(fā)展，各大城市紛紛進行無線城市建設(shè)，WiFi技術(shù)已成為了無線城市建設(shè)的技術(shù)之一。本文對基于WiFi技術(shù)的無線城市的網(wǎng)絡(luò)架構(gòu)、組網(wǎng)規(guī)劃和網(wǎng)絡(luò)安全進行了詳細設(shè)計，從而為政府無線城市建設(shè)提供了詳細的設(shè)計方案，具有一定的參考和實踐應用價值。