大慶油田WiFi 網絡建設思路探討

宋春光

（大慶油田信息技術公司規劃設計所，黑龍江 大慶 163453）

隨著集團公司和油田公司對辦公網安全防護的加強，根據集團公司和油田公司的要求，嚴禁辦公網與其他網絡互聯互通。同時，油田各單位對寬帶互聯網的需求日益強烈，無線WiFi 系統成為油田各單位訪問寬帶互聯網的有力補充。大慶油田在無線WiFi 系統的建設上，網絡安全成為建設重點，需要滿足身份認證、設備管理、實時監控、時段控制等要求，避免終端用戶的違規外聯，滿足油田公司的相關管理要求。

1 建設思路

信息技術公司無線WiFi 系統為獨立組網，與油田辦公網嚴格物理隔離，滿足集團公司及油田公司在網絡安全方面的管理要求。系統采用集中認證方式，可通過設置帳號、密碼，ip、mac 綁定，操作系統識別等安全管理手段，做到指定個人、指定終端的訪問控制，杜絕辦公網終端的違規外聯；支持行為審計和溯源功能，滿足國家對非經營場所無線接入的管理要求。信息技術公司無線WiFi 系統包括無線WiFi 認證云平臺和邊緣承載網絡兩部分。

1.1 認證云平臺

與傳統架構不同，油田WiFi 認證采用云架構部署，與用戶承載網絡邏輯隔離。各二級單位不用單獨部署認證系統，共享油田統建云云認證平臺資源，便于油田統一管理，安全接入，同時節省建設投資。

無線WiFi 云認證平臺采用集中方式部署，建設在數據中心，能夠為油田各二級單位的無線WiFi 網絡提供統一的接入和認證，實現統一認證、統一管理、統一運維，提供安全、穩定的無線WiFi 接入服務。

無線WiFi 云認證平臺采用集中式部署方式，統一建設一套Portal 認證設備，各單位分權分域管理，實現WiFi 接入用戶的統一認證。

無線WiFi 云認證平臺包括防火墻、交換機、平臺軟件等，建設在華為云數據中心，按照云化模式部署。云認證平臺采用雙機熱備工作方式，主、備服務器間單獨連接網線。主服務器通過訪問備份服務器的TFTP 軟件，將數據庫備份到備份服務器。主、備服務器在同一臺交換機下，主、備服務器采用相同IP 地址，并為主、備服務器配置不同的VLAN。當主服務器出現宕機，備份服務器會自動恢復本地備份的數據庫文件，在交換機上將主、備服務器的VLAN 對調，可在數毫秒內實現主、備服務器切換，保證云認證平臺穩定、高效運行。

1.2 承載網絡

（1）網絡架構。承載網絡采用分級部署方式。在用戶側部署核心交換機、POE 接入交換機、AP 等設備，構成接入層；在信息技術分公司所屬分公司機房部署AC 控制器、應用控制網關、防火墻構成匯聚層網絡。按照用戶分布情況合理選擇及部署匯聚節點，該匯聚節點下各單位共享控制層網絡資源，各單位只需建設AP 等接入設備，從而進一步縮減建設成本。

承載網絡主要包括AC 控制器、應用控制網關、防火墻、核心交換機、POE 接入交換機、AP 等設備，根據用戶需求和建設規模可進行靈活組網。AC 控制器、應用控制網關、防火墻、核心交換機建設在信息技術分公司機房，實現應用管理、地址轉換、安全防護、AP 控制等功能。POE 交換機和AP 設備建設在樓宇內，POE 交換機采用光纜直連方式上連至核心交換機；AP 采用吸頂方式安裝，布放超五類非屏蔽雙絞線，將AP 設備上連至POE 交換機。

以上設備功能如下：

認證設備：實現用戶認證；

AC 控制器：實現AP 的管理，實現AP 流量的匯聚，AP 漫游，統一SSID 號發布；

防火墻：實現NAT 轉換，將內網地址轉換為公網地址，并配置安全策略，實現對內網的防護；

核心交換機：實現防火墻/路由器、認證設備、AC 控制器、POE 交換機的接入；

POE 接入交換機：實現AP 接入，并對AP 設備POE 供電；

AP 設備：實現無線終端的接入。

應用控制網關：實現用戶行為審計功能。

為了更好地滿足用戶接入需求，提高用戶體驗，本系統均采用企業級接入設備，主要設備參數如下：

AC 設備。接口：支持不少于4 個千兆電接口和4 個千兆光接口；供電方式：支持220V 交流供電；最大管理AP 數512 個；漫游功能：支持同一或不同AC 間，不同AP 漫游，快速漫游；認證方式：支持802.1x 認證，MAC 地址認證，Portal 認證；安全防御：支持黑、白名單、非法AP 檢測、防無線泛洪攻擊；網絡功能：支持VLAN、DHCP；射頻：支持射頻設置、速率設置、信道掃描、信道功率優化等。

AP（類型一）。支持協議： 802.11ac、802.11n、802.11a、802.11b、802.g；接口：千兆以太網口 供電方式：支持POE 供電和本地供電；最大發射功率：≥20DB；天線：內置天線，最大天線增益≥5DB；接入用戶數：支持最大128 終端接入，30 終端同時使用。

AP（類 型 二）。支 持 工 作 頻 段：5G（802.11ac、802.11n、802.11a）。

防火墻：交流供電，千兆SFP 光接口能力不少于2 個、千兆電接口能力不少于4 個。支持路由模式、透明模式、混雜模式、可防御arp、端口掃描等多功惡意攻擊；支持蠕蟲、木馬、DDos、IPS 逃逸等常見攻擊的防御；支持對郵件、網頁應用層的過濾；支持NAT、IPv6 功能。

應用控制網關：交流供電，吞吐量不低于1Gbps，千兆電接口不小于4 個。支持安全審計、應用控制、日志分析、用戶上網行為分析與審計等功能。

核心交換機。交流供電，交換容量不低于250Gbps，包轉發率不低于47Mpps，千兆SFP 光接口不少于16 個、千兆電接口能力不少于4 個。

POE 交換機（類型一）。交流供電，千兆電接口不少于24 個，千兆光接口不少于4 個，支持POE 供電。

POE 交換機（類型二）。交流供電，千兆電接口不少于8 個，千兆光接口不少于兩個，支持POE 供電。

（2）AP 部署原則。①在辦公室、走廊等用戶稀疏區域部署AP（類型一），每臺AP 支持30 用戶同時使用；在會議室等用戶高密區域部署AP（類型二），每臺AP 支持100用戶同時使用。②為了減少射頻干擾，相鄰AP 采用互相不干擾的信道來進行無線覆蓋。例如，2.4G 頻率可以使用1、6、11 信道覆蓋。AP 開啟雙頻功能，由AP 選擇用戶優選連接5.8G 頻率，移動終端無須配置。③為了保證用戶終端接收效果，覆蓋區域場強設計為-70dBm 以上。在有磚墻阻隔區域，AP 覆蓋最多穿2 面120mm 磚墻，半徑10 米區域；在大廳、禮堂、監控室等空曠區域，AP 覆蓋半徑20 米區域。因此，在走廊布放AP 的最佳間隔距離為10 米，大廳禮堂布放AP 的最佳間隔距離為20 米，有效確保無線信號的強度。鏈路預算：AP 發射端全向輻射功率=AP 發射功率+天線增益≥25dBm；鏈路損耗余量=25-（-70）=95dbm。④為了保證更好的覆蓋效果，AP 采用吸頂方式安裝，安裝位置在覆蓋區域的中間位置上方。對于舉架過高的房屋，可采用壁掛式安裝方式，安裝高度在2.5m 左右，便于施工以及后期維護。⑤AP 應避開干擾源部署，干擾源包括變壓器、無線路由器、高功率電器、弱電機房等。

（3）IP 地址分配。Portal 認證服務器端：采用公網IP 地址30 個，1 個C 類私有地址段。Portal 平臺服務器使用私網地址，通過出口防火墻做NAT 地址轉換，在出口防火墻上針對各個分公司的公網IP 地址做針對性訪問策略。接入側：信息技術公司各分公司作為匯聚節點，各分公司分配k 個公網IP 地址，作為用戶出口設備的NAT 地址池使用。每個分公司分配n 個B 類私網地址段，按順序分配使用，前m個C 類地址段用作AC、AP 等設備的管理地址和接口地址，其他地址作為用戶接入地址。其中，Portal 平臺服務器、AC、交換機、應用控制網關采用固定IP 設置，AP 及用戶采用DHCP 方式獲得地址。

2 結語

隨著各種多媒體的應用，未來數據流量的增長趨勢呈現快速上揚，對油田WiFi 網絡提出了更高的要求。本文提出的大慶油田WiFi 網絡建設方案能夠滿足大慶油田各單位無線接入需求，滿足集團公司和油田公司對網絡安全的相關管理要求，具備身份認證、設備管理、實時監控、時段控制等功能，可有效避免終端用戶的違規外聯。通過建設大慶油田WIFI 網絡，可有效承載移動辦公平臺、技術交流等多種信息化業務，提高辦公效率。