氣象業務無線網絡升級方案

陜西省漢中市氣象局　李　天　吳詩懿　姜宗元

氣象業務無線網絡升級方案

陜西省漢中市氣象局李天吳詩懿姜宗元

無線網絡已成為人們在工作、生活中的常用工具，也是組網技術的重要組成部分。本文通過對市氣象局現有無線網絡進行分析，著重針對暴露出來的隱患和問題，運用目前一些主流的網絡技術，規劃出行之有效升級方案。通過升級不僅解決了市氣象局網絡發展的瓶頸問題，也為今后網絡規劃方面提出一些設計思想與參考。

無線；規劃；策略；安全

1.引言

無線網絡一直是我局通信網絡建設的重要組成部分，旨在為部門人員提供工作便利，并著重在信息化建設方面打造良好的對外形象。我局現有的無線網絡經過三年的運行，已無法滿足氣象事業現代化發展的步伐，特別是無線安全方面暴露出的重大隱患，成為整個網絡安全的短板。在此背景下，我局信息科提出的無線網絡升級方案得到局高層的批復，要求在有限的預算條件下實現最大優化程度的升級。

2.現有無線網絡概況

我局現有無線網絡分為辦公區和家屬區兩個功能區域。局辦公大樓共有三層，選取某國產一線廠商的無線AP，按照1層樓2個AP的原則進行部署，上行線路均從就近信息插座連接，基本實現了無線信號對整個辦公區域的覆蓋。家屬區選取同廠商功率更大的無線AP，因距離辦公樓較近，上行鏈路通過雙絞線直埋的方式與中心機房連接，因AP所處區域附近無電源插座，采用PoE方式進行供電，家屬區普遍反應無線信號較為穩定。所有無線AP按編號廣播SSID，啟用WPA2加密方式，使用者搜尋到無線熱點輸入密碼即可連接。起初密碼僅對全局職工及家屬公開，后來因部門對外影響及業務方面的需求，外來辦事人員也可在征得同意的情況下獲取到無線密碼。

3.需求與通信分析

3.1需求分析

根據局高層的要求，做為部門人員辦公效率的重要保障，以及對外信息化服務的前沿陣地，目前在用的無線網絡使用起來便利性不夠、傳輸速率不穩定，也無法針對特定人群定制功能模塊，不利于氣象事業現代化的發展。升級后的無線網絡不僅要在性能和功能上有大幅度的提升，并且要對安全性和可管理性兩個方面做重點部署，杜絕網絡安全因無線網絡的應用出現木桶效應。除此之外還要加入一些針對網絡使用行為的監測和審計手段，使無線網絡在任何運行狀況下都在信息科的可控范圍之內。由于預算資金并不充裕，要求在最大限度提升現有設備利用率的前提下，謹慎添加新設備。

3.2通信分析

信息科通過對現有無線網絡進行分析，發現存在以下主要問題。

（1）經測試三樓有1個無線AP丟包嚴重，需更換，二樓與三樓之間新改造后的業務大廳存在信號衰減現象，需增加一臺AP或中繼設備，解決信號覆蓋的死角問題。

（2）無線AP廣播SSID各自為政，使用者在不同AP的覆蓋區域需手工進行切換，使用起來不夠便利。

（3）密碼是連接無線網絡的唯一認證手段，且缺乏行之有效的認證策略，經測試密碼已被某移動端WIFI聯網APP破解，整個無線網絡實際上處于半開放狀態。

（4）未針對特定人群做相應的網絡功能模塊，其訪問單位核心網絡的流量也沒有行之有效的阻斷策略，內部網絡暴露，網絡信息安全存在很大隱患。

（5）目前單位僅租賃百兆電信外網，既是互聯網訪問的出口，又承載著單位對外服務、VPN等多項業務功能，帶寬明顯不足，忙時過載現象嚴重，已影響到對外業務的開展。

（6）未對互聯網訪問進行行為監測及流量控制，接入終端的使用行為不在控制范圍之內。

4.設計方案

4.1拓撲結構

根據分析，現有網絡拓撲結構基本能滿足升級需求，多數網絡設備可以繼續使用，僅在個別區域需要做出調整。更換性能下降的無線AP，并在業務大廳信號較差的地方增加無線中繼設備。增加一臺BAS做為無線網絡核心設備，將替換下的原上行交換機調配至網絡其它節點使用，并在BAS上連接一臺服務器用作認證及WEB服務使用。另租賃廣電100M外網接入，與原有電信線路組成雙出口。

4.2無線接入設計

所有無線AP轉為瘦AP工作模式，不再各自按編號廣播SSID，由BAS進行統一管理，并根據移動終端所處區域自動切換連接AP，實現無縫漫游。單位工作人員使用無線網絡需先將移動終端在信息科注冊，由信息科分配靜態IP地址并與移動終端的MAC地址綁定，此類接入終端劃分至VLAN1中，將終端MAC地址加入后臺白名單中。家屬與外來辦事人員可自行搜索SSID連接，由BAS上的DHCP服務分配IP地址并做ACL控制，此IP地址段為單獨規劃，與內網IP無關聯。后臺的PortalServer向用戶提供認證頁面，用戶輸入手機號碼進行驗證，BAS將用戶驗證信息進行合法性檢查，認證通過后此類終端劃分至VLAN2中，并解除初始的ACL控制策略。若有不合法的終端用戶，將終端MAC地址加入后臺黑名單中，限制其連接無線網絡。

4.3功能模塊設計

根據不同的功能需求，通過ACL對VLAN1和VLAN2中的用戶給予相對應的功能權限。VLAN1中的用戶主要使用需求為單位內網資源調閱、OA辦公及訪問互聯網，允許其同時有訪問內外網的權限，常規情況下不做ACL控制。VLAN2中的用戶在訪問互聯網的同時，也對氣象資訊及數據有一定程度的需求，這也是氣象服務面向公眾的重要組成部分。出于安全考慮通過ACL阻斷其目標地址為單位內網的流量，將此類數據的提供終端與內網分隔，用戶認證通過后在終端上以B/S模式顯示氣象數據及資訊獲取平臺。通過友好的UI設計，用戶只需要簡單的操作即可獲取到自己想要的信息，此類信息的后臺數據庫也獨立于單位內網之外。在平臺上同時集成了漢中氣象微博、微信公眾號的二維碼，方便用戶關注。

4.4流量控制與安全策略

訪問互聯網流量一直是單位信息流量的大戶，對網絡整體影響較大且難于管理，信息科在VLAN與ACL設計的基礎上引入策略路

由，對兩個VLAN訪問互聯網的流量進行規劃，VLAN1用戶的出接口設置為電信線路，VLAN2用戶的出接口設置為廣電線路，優先保證部門人員對網絡的使用，實現流量區分和負載分擔，也進一步保證互聯網訪問的安全。除此之外還對連接終端進行流量限制策略，按工作時間分為忙時和閑時，保證正常業務的開展不受其它終端行為的影響，進一步達到流量精確控制的目的。

移動終端因其流動性大的特點難于控制，除了通過黑白名單對接入終端進行認證，必要的監審手段也是網絡安全的重要保障手段。將原先僅針對內網用戶的IDS監控范圍擴大至無線接入終端，一旦發現有不良行為立即向網管報警，信息科審查無誤后將涉及終端的MAC地址加入黑名單中，不允許其再接入本局無線網絡。依托于IDS收集到的監審信息，也可在后期進一步發掘網絡中存在的漏洞及安全隱患，方便信息科做全面的審查分析。

5.結語

此次升級在預算并不充裕的條件下對無線網絡實現了最大程度的優化。其中所采用的WEBportal認證、VLAN、ACL以及策略路由等技術，都是目前網絡規劃中比較主流和穩定的解決方案。通過此次升級，本局無線網絡不僅在預算范圍內實現了功能和性能方面的剛性需求，也大大加強了安全性和可管理性，為無線網絡的規劃提供一些設計參考。

［1］黃傳河.網絡規劃設計師教程［M］.清華大學出版社，2013，11.

［2］廣州杰賽通信規劃設計院.無線局域網設計與優化［M］.人民郵電出版社，2015，1.

［3］朱小平.網絡工程師的5天修煉［M］.中國水利水電出版社，2012，4.

［4］白國強.網絡安全基礎-應用與標準［M］.清華大學出版社，2014，5.

李天（1986—），男，陜西漢中人，計算機網絡工程師，現供職于漢中市氣象局信息技術保障中心，從事網絡運行維護工作。