空管辦公區無線網絡覆蓋設計與實現

王仕太

（中國民用航空西南地區空中交通管理局通信網絡中心，成都 610200）

目前，民航空管各單位已普遍建立起辦公內外網、OA系統等各類管理信息化系統，實現了無紙化辦公需求。隨著移動終端普及，空管可通過無線網絡實現移動辦公需求，實現多業務、多平臺資源共享，本文主要闡述某地區空管辦公區無線網絡覆蓋方案的設計與實現方式。

1 項目需求分析

空管原有辦公外網主要是使用臺式電腦終端，通過有線連接，實現業務辦公。隨著移動終端普及，空管員工可通過移動辦公實現資源共享。本次空管單位辦公區無線覆蓋項目，主要實現以下功能：

（1）能夠覆蓋所有空管非生產辦公區，部分老舊辦公區，保證空管員工和訪客使用無線網絡，但又不覆蓋生產辦公區。

（2）符合空管信息安全規范，包括對移動終端的上網行為審計、接入認證、網絡審批、防惡意攻擊等。

（3）實現一次登錄，均可在不同辦公區漫游，一定時間段內無需再次登錄。

2 無線網絡總體方案設計

圖1 無線網絡總體方案

本次無線網絡由以下四部分構成：即網絡入口區、網絡管理區、無線傳輸網絡、用戶接入區。

（1）網絡入口區：主要是用光纖和主要電信運營商網絡對接，由防火墻和流量控制器進行總入口安全防護和上網行為管理。

（2）無線傳輸網絡：由網絡核心層、網絡匯聚層、網絡接入層構成小中型傳輸網絡。

（3）網絡管理區：主要由依托數據中心增加相應軟件和組件，實現網絡監控、接入認證、身份認證、網絡管理等構成。

（4）用戶接入區：由AP點分布于各辦公點位，終端用戶通過AP鏈接熱點實現移動上網辦公。

3 無線網絡組網方案設計

空管辦公區無線網絡主要保證空管員工及訪客隨時隨地使用無線網絡辦公，并實現網絡統一部署、管理、服務、認證。

3.1 無線網絡核心層設計

核心層交換機是整個無線網絡的核心和網絡高速交換主干，連接網絡管理區數據中心服務器、認證系統、匯聚交換路由，以及局域網出口，承擔網絡認證請求、終端認證、大量服務群數據等轉發。本次依托空管現有外網核心交換機，采用主備兩臺千兆以太網交換機24個以太網端口和4個復用的千兆SFP端口，強大的包轉發率，實現高速數據流交換。

3.2 無線網絡匯聚層設計

匯聚層交換機用于無線網絡各辦公樓區域匯接，將網絡匯聚于核心網絡交換機。進行帶寬和業務匯聚、收斂以及分發，并進行用戶管理。本次依托空管現有外網匯聚交換機，千兆以太網交換機24個以太網端口和4個復用的千兆SFP端口，支持跨設備鏈路聚合技術的應用，簡化網絡運行、縮短收斂時間，提高運行效率。

3.3 無線網絡接入層設計

無線網絡的接入交換機用于連接AP終端，并與匯聚層連通。本次采用千兆以太網交換機24個以太網端口和4個復用的千兆SFP端口的POE供電交換機，支持標準AP的供電。

4 無線網絡覆蓋方案設計

由于空管辦公區較分散，因此本次無線覆蓋主要包括四大區域，分別為第一辦公區、第二辦公區、第三辦公區、第四辦公區室內。

4.1 辦公區的覆蓋方式

（1）第一辦公區和第三辦公區是辦公、會議室等最集中的地方，按照并發率100%設置，可將AP懸掛在室外過道天花板上，實現全面覆蓋。

（2）第二辦公區和第三辦公區辦公及會議室較為分散，同時含有在機房、監控室、管制室等工作區域，根據空管對生產環境的工作要求，可采取以下技術方法實現：

1）物理隔離：在機房，監控室、運行室、管制室等工作區域不安裝放置AP設備，保證在有效范圍內沒有AP熱點的接入。

2）策略控制：同時AP設備是以圓形方式向外發射信號，因此用專業設備檢測臨近機房、設備監控室、管制室等工作區域的信號強度值，對AP設置策略，使終端設備拒絕連入，從而實現隔離。

4.2 設置覆蓋熱點的技術標準

（1）AP數量的確定。可按照以下設計公式：AP數量＝用戶數×用戶并發率／單AP并發接入用戶數，用戶增多而考慮上下行網速。

AP并發用戶數據如下：

圖2 AP并發用戶數據

（2）無線信號的覆蓋范圍。此次AP具備雙頻覆蓋，以5G頻率優先。無線信號的覆蓋范圍取決于AP和終端之間的鏈路預算。鏈路預算計算公式如下：終端接收信號強度＝AP發射功率＋AP發射天線增益－空間傳輸距離衰減－障礙物損耗＋終端接收天線增益。根據自由空間電磁損耗公式：PL（d）=32.4+20lg（F）+20lg（D），F為頻率，單位MHz；D為距離，單位為km；可得出空間距離對信號的衰減如下：

圖3 空間距離對信號的衰減

為滿足移動辦公場景下多種類型終端的接入，一般在重點覆蓋區域終端接收信號電平應大于－65dBm，普通覆蓋區域終端接收信號電平應大于－75dBm。同時在AC支撐下可實現移動終端負載均衡功能，優化人員密集區域單個AP的負載。

5 無線網絡漫游設計

無線網絡的特點就是實現用戶終端移動使用，且業務不會中斷。因此需采用FITAP模式集中轉發，采用單一無線控制器（AC）管理所有AP，將AC控制器旁掛于核心交換機的組網，將認證、動態密鑰、漫游切換等功能集中到無線控制器。

本次配置無線控制器設備的幾個重要技術指標：

（1）單臺設備支持AP數大于1536個；（2）支持基于SSID的VLAN劃分，多SSID之間的隔離；（3）支持不同的安全策略、認證、加密方式等；（4）具備為接入用戶提供Portal認證、802.1x認證，可自定義Portal頁面，支持至少10000用戶的Portal并發認證；（5）支持對非WLAN信號的檢測和自動保護；（6）支持均衡負載。

6 無線網絡安全設計

無線網絡的安全管理關系到整個網絡系統和接入終端的安全，因此嚴密的安全防護是整個系統的關鍵。

（1）AP和AC配合：①可以檢測非法的用戶或AP，可以保護未經授權的設備訪問。②AC可以實現防無線泛洪攻擊、防假冒攻擊、靜態和動態黑名單等功能。

（2）認證系統：通過將Agile Control運行于現有數據中心，從現有AD域獲取內部員工信息數據，構建安全可信的認證管理。基于portal頁面認證，設置內外兩個SSID，且分別賦予不同權限，內部員工采取賬號登陸；外部員工驗證必要信息后，由內部員工二維碼審批登陸。

（3）前置防火墻：依托原有防火墻，實現網絡出口公私地址NAT轉換，支持漏洞、病毒檢測和防御，支持DoS/DDoS攻擊、ARP欺騙攻擊、TCP/UDP掃描攻擊等多種惡意攻擊，實時監控網絡并提供告警。

7 無線網絡行為審計

依托原有流量控制器，規范網絡訪問準入、上網行為；支持HTTP過濾、SMTP過濾、關鍵字過濾等多種控制功能，管控員工工作時間上網內容；記錄上網日志，為事后查證、追溯等提供可靠依據。

8 社會影響及經濟效益分析

8.1 降低空管成本

依托現有有線網絡融合無線網絡系統，建設資金投入少，對現有網絡改造少，部署快捷方便，降低空管投入成本。

8.2 安全便利效益高

基于多層次安全準入和檢測防護，有效的防止各種網絡應用層攻擊，防范黑客等攻擊，可以解決自建網絡或私拉亂接等安全隱患，可提供安全可靠的辦公網絡。

9 結束語

當前空管行業已提出建設“四強”空管，智慧空管就是之一，強化基礎研究和新技術應用，推動信息化技術在空管的應用。通過建設空管無線網絡覆蓋項目，不僅能解決空管移動信息化辦公問題，而且能有效帶動空管向智慧空管轉變。