基于Wi-Fi技術的鐵路站場無線接入平臺建設

蔣肖鋒

( 上海鐵路局信息化處，上海 200071）

?

基于Wi-Fi技術的鐵路站場無線接入平臺建設

蔣肖鋒

( 上海鐵路局信息化處，上海 200071）

摘要：對鐵路站場作業移動信息化業務需求和移動通信應用技術現狀進行分析，明確建設原則和建設思路，從系統結構、頻率運用、網絡管理、網絡安全等方面闡述合肥站站場無線接入平臺的建設試點情況。

關鍵詞：Wi-Fi；鐵路站場；無線接入平臺；建設

Abstract:The paper analyzes the demands of mobile information services and current situation of mobile communication application technologies in railway stations and yards, presents de fi nite principles and ideas of construction, and describes the pilot situation of wireless access platform construction in Hefei railway station from the system framework, frequency application, network management and network security.

Keywords:Wi-Fi; railway station and yard; wireless access platform; construction

1　概述

鐵路站場是鐵路運輸網絡的重要節點，擔負著大量的列車接發、編組、裝卸等業務，以及各工種對線路設備的日常維修作業。隨著鐵路營業里程的不斷增加和市場經濟的日益發展，車流的變化越來越大，維修作業愈加頻繁，運輸生產組織及作業人員的勞動強度和安全風險也越來越大，基于寬帶融合無線傳輸的鐵路站場無線接入系統將為實現移動信息服務、工作流程監控、后臺大數據管理下的現場工作信息支持提供系統性保障。

為滿足鐵路站場生產系統移動接入的實際需求，中國鐵路總公司專門下發《鐵路站（場）局域網無線安全接入暫行技術要求》，對站場無線接入系統的總體架構、功能和安全等提出規范性要求。在滿足上述要求的基礎上，結合客運、電務專業站場移動作業的需要，通過試點利用Wi-Fi技術在合肥站搭建了站場無線接入平臺，取得了良好效果。

2　現狀

目前，國內鐵路主要使用以GSM-R數字移動通信系統和450 M模擬通信系統為主的移動通信應用，由于GSM-R系統所能提供的數據傳輸帶寬有限，無法滿足站場各工種視頻圖像傳輸、后臺數據庫查詢等高帶寬業務需求。

另外，鐵路移動作業主要使用的400 MHz模擬對講系統，由于鐵路運輸業務種類多且各個業務系統單獨使用頻率資源搭建語音通信系統，部分地區已經出現頻率資源匱乏、干擾嚴重的現象，模擬對講系統已經不能滿足鐵路無線通信的需要。根據國家工信部《關于150 MHz、400 MHz頻段專用對講機頻率規劃和使用管理有關事宜的通知》規定，自2011年1月1日起，國家將停止對150 MHz、400 MHz頻段內模擬對講機設備的型號核準，全面推廣數字對講機。

合肥站現有的GSM-R數字移動通信系統和450 M模擬通信系統已不能滿足運輸生產組織和維修作業對移動通信各類信息傳遞日益增長的需求。

3　功能需求

根據鐵路站場生產作業的特點，鐵路各專業在日常設備維修和故障應急處置等過程中對移動通信主要有以下需求：

1）生產指揮。實現作業計劃的下達、作業流程管理及作業質量卡控等。

2）數據傳輸。實現作業過程中各類數據的記錄和上傳。

3）資料檢索。實現作業指導書等技術資料和相關規章制度的檢索和查詢。

4）應急處置。在設備故障應急處置過程中能將現場情況通過圖片或視頻圖像等方式上傳至指揮中心供管理人員決策，并指導現場處理。

5）視頻監控。將現場視頻信息通過無線方式實時傳輸至指揮中心。

6）語音通信。指揮中心與現場及現場工作人員之間的單呼、組呼等調度通信。

4　建設原則

1）實用性原則。系統與用戶及上級管理部門的需求和管理制度相適應，與建設規模的實際情況相吻合，需具有較高的實用價值。

2）安全性原則。應具有多級安全管理、操作人員權限控制、數據傳輸安全控制、數據存儲安全保障等安全把控手段。

3）可靠性原則。系統本身能夠長期穩定、安全可靠地運行，當發生故障時，應不影響其他系統的運行。

4）易用性原則。系統設計應界面友好，軟件設計人性化，易于普通用戶掌握、操作和使用。

5　建設方案

5.1建設思路

隨著Internet的蓬勃發展，信息的獲得更為便利。信息的及時交換與傳遞顯得非常重要，WLAN無線局域網技術以安全、方便、快捷、經濟等多項優點受到人們青睞，成為多點聯網的首選方案。利用WLAN技術，可以將現場終端與中央控制中心連接起來，且搭建迅速，在最短的時間內迅速建立起無線網絡鏈路。

基于WLAN的技術優勢采用Wi-Fi技術，在遵循《鐵路站（場）局域網無線安全接入暫行技術要求》的基礎上，按照“統一領導、統一規劃、統一標準、統一資源、統一管理”的原則試點建設合肥站站場無線接入平臺，綜合考慮車務、客運、貨運、機務、供電、車輛、工務、電務、公安等專業及救援搶險、應急管理等多種需求，采用先進、成熟、經濟、適用、安全、可靠的系統設備，實現合理布局、互聯互通、資源共享。

通過試點階段的建設，該平臺已經實現了客運、電務專業生產人員手持專用終端在合肥站站臺、咽喉區等部分作業區域的移動信息接入，并預留了其他專業接入及VoIP語音通話等功能。

5.2主要技術

5.2.1Wi-Fi技術

Wi-Fi是Wireless-Fidelity的縮寫，遵循IEEE（電氣和電子工程師協會）所制定的802.11系列標準，根據制式的不同，Wi-Fi的工作頻段也有2.4 GHz和5GHz的差別。Wi-Fi可以將移動終端以無線方式互相連接，實現隨時隨地寬帶互聯網訪問和上網需求。

基于Wi-Fi技術的WLAN系統有FAT和FIT兩種架構：FAT架構由無線接入點（AP）單獨完成移動終端無線接入、認證加密等工作，所有無線網絡的配置信息都保存在AP上。如果有多個AP混合組網，需要對每個AP單獨配置。FIT架構由無線接入點（AP）和無線接入控制器（AC）組成，AP設備只負責移動終端的無線接入、加密工作，用戶認證、無線網絡配置等信息都保存在AC上，AP無需任何配置。

FIT架構與FAT架構相比，能很好地解決移動終端跨AP漫游不中斷的問題，且維護管理更簡單，在大規模無線組網中均采用FIT架構方案。合肥站的Wi-Fi網絡搭建采用了FIT組網方案。

5.2.2站場無線接入平臺整體架構

合肥站無線接入系統由用戶層、應用處理層、網絡接入層組成。應用處理層對上以WEB方式對PC終端、手持移動終端用戶提供應用訪問接口，應用處理層內部則實現了設備管理、網絡管理、故障管理、文件管理、數據庫管理、業務事件處理等全部功能，應用處理層的數據庫采用PostgreSQL，WEB服務采用TOMCAT/Javascript，開發語言為JAVA。網絡接入層通過高性能有線網絡、WLAN無線移動網絡實現應用層各類服務器及終端用戶的接入。站場無線接入平臺架構如圖1所示。

5.3網絡結構

鐵路站場WLAN無線網絡由AC和AP設備、安全設備及管理服務器組成，通過在站場內搭建WLAN無線系統，用以支撐站場生產系統大數據流的無線傳輸，實現信息及時交換與傳遞并保證信息安全。所有網絡設備、安全設備、服務器均通過千兆或萬兆以太網鏈路互聯，保證系統的高性能。鐵路站場無線接入平臺網絡結構如圖2所示。

由于站場無線接入平臺的完整組網方案涉及到很多安全設備和服務器，其部署成本和維護工作量都很大，在合肥站項目試點過程中，在保證信息安全和業務功能完整性的基礎上，選擇了最小功能集和設備選型方案。

合肥站無線接入平臺試點項目主要運用的設備有AC、AP、千兆以太網交換機、網管服務器、應用服務器、防火墻、內置身份認證/MAC地址綁定的移動終端，實現了只有特定的終端才能接入到無線網絡中，且無線網絡采用SSID隱藏、WPA2加密等方式避免無線信息被竊取。

5.4頻率配置及干擾控制

無線局域網可使用2.4 GHz或者5 GHz頻段。

其中2.4 GHz頻段劃分為13個子信道，信道配置如表1所示。

表1　 2.4 GHz頻段信道配置表 GHz

為控制信道間干擾，選用的2.4 GHz信道中心頻率間隔不低于25 MHz，相鄰區域頻率配置時選用1、6、11信道。

5 GHz頻段劃分為13個子信道，信道配置如表2所示。

表2　 5 GHz頻段信道配置表 GHz

針對無線系統的頻率干擾問題，通過對設備選型、天線方向、功率控制、無線信道選擇等方面綜合考慮站場的無線覆蓋，保證站場工作區域的無線信號強度在比較合理的水平。

因合肥站現有面向旅客的Wi-Fi服務提供商均采用2.4 G頻段和5 G頻段的149～165信道，所以站場無線接入平臺采用了最新開放的5 G頻段的36～40信道，這部分信道由于暫時很少被使用，干擾程度很低，保障了無線接入效果。

未來如果大規模部署站場無線接入系統，無線頻點必須要統一規劃才能取得良好效果，可將車站面向旅客的公網Wi-Fi和鐵路生產使用的專網Wi-Fi系統的頻段及信道進行隔離，其中公網Wi-Fi系統使用2.4 G頻段和5 G頻段的149～165信道，專網Wi-Fi系統使用5 G頻段的36～64信道，這樣既保證了公網Wi-Fi系統無線網絡能兼容所有的旅客終端，給予其最大的接入帶寬，又保證了專網Wi-Fi系統的抗干擾和穩定性。

5.5網絡管理

合肥站無線接入平臺配備了網絡管理系統，可通過設備掃描、定時查詢網絡設備工作狀態在網絡拓撲上直觀反映網絡設備狀態的變化，網絡管理通過網絡設備提供的網絡管理接口對網絡設備的參數進行查詢和配置。

1）設備運行狀態監控

無線接入平臺具有網絡監控的功能，可實時監測網絡設備的工作狀態，并在網絡拓撲圖上直觀呈現出來，網絡設備的工作狀態用紅、黃、綠來表示，分別對應嚴重告警、一般告警和正常工作狀態。網絡設備的告警事件同時實時顯示在告警列表中。

2）設備配置

無線接入平臺可以顯示當前設備（包括無線接入控制器AC和無線接入點AP）的系統參數，并根據需要對不同的參數進行配置。

3）無線資源配置

網管人員通過對無線AC的配置就可開通、管理、維護所有AP設備。無線接入平臺可以對無線資源如SSID、無線網絡協議、無線信道、發射功率等進行配置，滿足無線覆蓋和無線通信的需要。

4）應用系統數據指向管理

無線接入平臺作為無線管理系統的入口，可以將各專業數據指向到相應的應用平臺。

5）統計分析

可以統計系統使用的日志信息，包括當前接入的用戶數、用戶的活動、系統的流量等。

5.6網絡安全

合肥站站場無線接入平臺的網絡架構與安全架構設計遵循《鐵路站（場）局域網無線安全接入暫行技術要求》的相關規定，并為各種安全設備預留接口。

系統以防火墻為核心實現網絡接入區、網絡管理區、車站業務區的分區隔離。網絡接入區通過串接IPS入侵防御系統可抵御應用層的網絡攻擊行為，通過部署WIPS設備對無線網絡中的假冒AP和無線攻擊行為進行識別告警，并具備阻斷攻擊的能力。位于Wi-Fi管理區域的安全管理服務器負責對站場內的安全事件進行記錄、關聯分析并輸出安全統計報告；Wi-Fi接入認證服務器為移動終端的用戶身份進行識別；移動設備管理服務器與移動設備內的安全防護軟件相配合，對終端內的生產應用軟件和數據進行加密保護，防止信息泄露。網絡管理服務器負責對站場內的所有設備進行統一管理，包括配置管理、拓撲管理、故障管理、軟件版本升級維護等；運維審計服務器可對站場內軟硬件設備配置修改行為進行記錄和審計。

在合肥站的試點項目中，部署了網管服務器、Wi-Fi接入認證服務器。在無線網絡側，采用WPA2加密方式，并在AP設備開啟MAC地址白名單及隱藏SSID功能，只有提前錄入了MAC地址的合法移動終端，才能接入無線網絡，普通終端由于無法搜索到隱藏的SSID信息而避免了誤接入的問題。另外，本次選擇的無線AC、AP還可開啟WIPS功能，可對假冒的AP進行識別和攻擊，保證生產網的安全。

6　總結

6.1取得的成效

合肥站站場無線接入平臺建設試點項目，實現了客運和電務專業的業務接入，應用平臺可以通過手持終端進行現場作業流程的管理，從任務下發到

任務完成，整個流程都受到嚴格的規則卡控，通過人員到位信息的采集和操作任務與實際下發任務的比較，來嚴格防止由于現場安全意識不到位而發生的違章行為，服務器側對所有信息的標準化記錄，也使出現問題后有據可查。

另外，通過現場測試數據的實時記錄和服務器側的表格自動錄入及匯總統計功能，減輕了現場生產人員和管理人員的工作負擔，提高了工作效率。面對現場工作可能遇到的突發狀況，手持終端還可以在各項任務的實施時，掃描設備標簽來自動檢索調取服務器側對應的作業指導書、故障案例庫等信息，按需進行顯示，方便現場的巡視和檢修工作，提高工作效率，避免錯誤操作。

基于站場無線接入平臺的手持終端應用得到生產和管理人員的歡迎，使用效果良好，整個系統運行穩定。

6.2改進建議

1）目前，合肥站站場無線接入平臺還缺乏一些關鍵的安全組件，如安全審計服務器、移動設備管理服務器、有線網絡的IPS等，無法對網管人員的操作進行審計，移動終端一旦遺失，還存在信息泄密的可能，系統的整體安全保障能力仍有待提升。

2）無線網絡的頻點部署仍需統一規劃，現有2.4 G、5 G頻段的部分頻點已被其他Wi-Fi服務提供商占用，要通過合法、合理的方式進行回收和重新分配，如條件允許可對公網Wi-Fi系統無線網絡進行統一的規劃和建設。

3）后續還需擴大無線網絡的覆蓋范圍，實現無縫覆蓋，通過在移動終端上開啟VoIP業務，可直接取代現有的模擬對講機，使得工作人員只需一個終端就能解決所有問題，提高工作效率。

參考文獻

[1]嚴思廣.鐵路WLAN技術應用及發展趨勢探討[J].鐵路計算機應用 2013，22（1）：82-84

[2]鐵總運[2014]號.鐵路站（場）局域網無線安全接入暫行技術要求[S].

收稿日期：（2015-12-28）

DOI:10.3969/j.issn.1673-4440.2016.01.007