新環境下圖書館無線系統的設計與實現

張燁陽，韓旸，牟琳

(中國科學技術信息研究院，北京 100038)

0 引言

近年來，隨著互聯網和移動通信技術的發展，無線網絡已成為讀者獲取圖書館服務的重要方式。為了方便國家工程技術圖書館讀者及NSTL工作人員更加便捷地獲取相關數字資源，國家工程技術圖書館于2012年開始建設原無線網絡系統，其無線信號主要覆蓋范圍是國家工程技術圖書館、NSTL中心辦公室、會議室及NSTL資源組、服務組、網絡組的主要會議室及辦公場所，AP與智能終端之間采用2.4 GHz頻段，使用802.11a/b/g/n協議進行通信；安全方面使用有線等效保密(Wired Equivalent Privacy，WEP)協議作為加密手段，以基于RADIUS的Web認證作為主要認證方式。其主要網絡結構如圖1所示。

圖1 原有無線網絡結構

一方面，國家對網絡安全的重視程度日益提高，在政策法規層面相繼出臺了《互聯網安全保護技術措施規定》《中華人民共和國網絡安全法》等網絡安全相關的法律法規，對網絡日志的留存時間、用戶使用的公網地址和內網地址對應關系記錄的保存都提出了要求，原無線系統已不能滿足相關要求。另一方面，隨著技術的發展，使用802.11a/b/g/n協議的無線系統在通信速率、抗干擾性上難以滿足用戶需求，認證方式單一，WEP作為較為老舊的加密算法也難以保證用戶數據的安全。為此，要對現有無線系統進行改造。經過專家論證，2018年3月，國家工程技術圖書館無線系統改造工作開始實施，實施后的網絡拓撲結構如圖2所示。

圖2 現有無線網絡拓撲

1 國家工程技術圖書館無線網絡系統改造的必要性

1.1 適應國家網絡安全法律法規的需要

2006年3月1日起施行的《互聯網安全保護技術措施規定》第七條第三款要求，互聯網服務提供者落實記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志的技術措施；在第八條第二款中要求，使用內網地址與公網地址轉換方式為用戶提供接入服務的，能夠記錄并留存用戶使用的公網地址和內網地址對應關系。2016年11月，我國第一部有關網絡安全方面的法律《中華人民共和國網絡安全法》發布，于2017年6月開始施行，對網絡建設、運營方提出了要求，并對不履行相應義務的行為在法律責任上做出了界定。其中，第十條規定，建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。第二十一條規定，網絡運營方應采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于6個月。

按照上述法規要求，國家工程技術圖書館無線系統必須在網絡結構、邊界防護、訪問控制、日志記錄、NAT轉換記錄等方面進行重新設計。

1.2 為用戶提供良好網絡環境的需要

原有無線系統使用WEP協議、短信認證兩種方式進行認證，用戶接入方式較為單一，同時，原有的無線系統采用2.4 GHz頻段進行通信，在無線環境、數據傳輸速度、網速穩定性上難以令人滿意。

1.3 應對網絡威脅的需要

原有無線系統使用WEP數據加密方式，讓無線局域網內的每個客戶或計算機都使用了相同的保密字，在面對現在的網絡攻擊時，容易被網絡攻擊者通過竊聽的方式獲得密鑰，并最終竊取用戶數據。原有無線系統在無線局域網內未能利用無線控制器對用戶數據進行牽引、隔離，最終可使網絡攻擊者以合法身份進入無線局域網后，對無線局域網內任意用戶無線數據進行獲取。

1.4 提升無線網絡管理效率的需要

原無線網絡系統缺乏集中管理平臺，管理方式較為煩瑣，需要人工干預的環節較多，缺乏對設備的統一管理，缺乏可視化界面，維護效率較低，難以適應大規模無線網絡維護、管理的需求。

2 無線網絡技術的發展和遵循的標準規范

2.1 無線網絡技術的最新進展

在無線網絡數據傳輸標準的應用方面，使用支持802.11ac wave1標準的設備已經大規模應用，802.11ac wave2已經在部分設備上開始應用。與原有國家工程技術圖書館無線系統所支持的802.11n協議相比，802.11ac協議主要引入了256-QAM調制模式、80/160 MHz頻寬以及MU-MIMO技術，在單鏈路速度以及帶寬利用率上有較大的提升。相比802.11n的64-QAM調制模式，256-QAM的調制模式可以使無線設備在每次的信號發射中附帶更多的數據64-QAM與256-QAM的示意如圖3—4所示?？梢杂^察到，256-QAM的數據包密度相對更高，雖然隨著QAM級別的提高，誤碼率也會隨之提升，但802.11ac的標準理論速度還是高于802.11n。在頻寬方面，802.11ac引入了80/160 MHz頻寬，使其理論速率從802.11n的600 Mbps大幅提升至6 933 Mbps。在提升數據交換效率方面，802.11ac使用了MU-MIMO代替了SU-MIMO模式，使得多個用戶可同時與無線設備進行數據傳輸，大幅提高了無線設備應對高密度用戶應用場景的能力。

圖3 64-QAM示意

圖4 256-QAM示意

2.2 無線網絡建設及驗收標準

無線網絡系統的設計與建設主要參照《數字通信設備環境試驗方法》(GB/T13543)、《信息技術設備的無線電干擾極限值和測量方法》(GB9254-88)、《無線局域網工程設計規范》(YD 5214-2015)。在無線網絡系統驗收方面，主要參照《無線局域網工程驗收規范》(YD 5215-2015)標準進行。其中，《無線局域網工程設計規范》(YD 5214-2015)在無線接入網的覆蓋設計、頻率配置、干擾控制、網絡安全、設備安裝工藝、線纜布防工藝、電源供電等多個方面對無線網絡的設計及建設提出了要求。

3 國家工程技術圖書館無線網絡建設的技術路線和實施方案

3.1 建設國家工程技術圖書館無線網絡的目的和任務

根據《中華人民共和國網絡安全法》和公安部《互聯網安全保護技術措施規定》，在充分了解國家工程圖書館無線網絡業務需求，進一步明確主要問題的基礎上，結合國內外無線網絡技術發展趨勢，采用最新的無線網絡管理技術。本著基于標準、整體規劃的設計理念，在無線網絡規劃、日志記錄、網絡地址轉化記錄、網絡攻擊防范、用戶認證等多層次上，實現國家工程技術圖書館無線網絡安全、高效運行。

3.2 建設國家工程技術圖書館無線網絡的技術路線

加強國家工程技術圖書館無線網絡管理，實現無線網絡系統的高效和規范，必須建立層次化區域運行體系，實現集中管理，發揮設備應有功能。國家工程技術圖書館無線網絡的技術路線包括以下方面：

(1)通過日志記錄設備與無線安全業務網關的聯動，對網絡NAT日志、網絡訪問日志進行為期200天的記錄，達到了《互聯網安全保護技術措施規定》及《中華人民共和國網絡安全法》的要求。

(2)將無線網絡劃分為無線接入區、核心區、服務器區、出口安全區。無線接入區主要部署POE交換機和AP設備，核心區主要部署核心交換機和無線控制器、服務器區主要部署無線業務管理服務器、出口安全區主要部署防火墻和無線網絡安全網關。

(3)使用核心交換機實現區域之間的隔離，通過ACL禁止普通無線用戶對服務器區、核心區、出口安全區、無線接入區無線設備的訪問，只允許管理員對無線網絡管理設備發起訪問。

(4)使用無線控制器對AP的AP組歸屬、AP信號頻率、信號發射強度等配置進行管理，同時，AC使用CAPWAP隧道與AP進行業務數據傳送，以便在AC上對用戶數據進行二層隔離，使局域網內任一用戶設備不能訪問其他用戶設備，提升網絡安全性。

(5)使用無線網絡用戶認證平臺實現身份認證授權、用戶賬戶管理功能。無線安全管理平臺支持802.1x、Portal、VPN等多種認證接入方式，支持支持短信驗證碼/URL認證、二維碼授權認證、授權碼認證、二維碼名片認證、無感知認證多種認證方式。

(6)使用無線網絡管理平臺實現設備配置防災保護、設備系統文件統一管理和規劃、網絡信息整體俯瞰、設備精細化管理等功能。

(7)通過日志記錄設備與無線網絡用戶認證平臺無縫對接實現用戶認證上網信息和出口日志結合，實現用戶上網實名信息統計。按照《中華人民共和國網絡安全法》和公安部《互聯網安全保護技術措施規定》對NAT日志、URL日志、BBS日志、郵件日志進行為期200天的留存，以便追查不法行為。

(8)使用無線網絡安全網關可以實現應用層過濾、抗攻擊、防掃描、可對進出網絡的流量進行全方位控制，并可對內網用戶的上網行為進行精細化管理，屏蔽各種與工作無關的網站，營造良好工作氛圍，提高工作效率。

3.3 建立層次化國家工程技術圖書館無線網絡模型

按照功能區分的原則，國家工程技術圖書館無線網絡分為無線接入區、核心區、服務器區、出口安全區，區域之間通過核心交換機進行鏈接，并使用ACL進行區域之間的邏輯隔離。

無線接入區是指由POE交換機和AP無線接入點組成的無線設備接入區域，主要承擔無線信號的接收、發射、用戶數據的傳遞以及各種無線系統配置策略的執行。

服務器區由AP管理系統、用戶管理系統、日志系統3套系統組成，主要負責通過無線業務軟件對無線用戶、AP設備、日志進行管理。

核心區主要包含核心交換機、無線控制器，是無線系統最為核心的設備，控制著整套無線系統的數據流轉及訪問權限控制。

出口安全區由下一代防火墻和無線安全業務網關組成，負責對無線網絡系統的安全防護，通過下一代防火墻可實現對流量在網絡層、應用層進行過濾。無線安全業務網關可以結合日志系統對用戶的NAT轉換記錄進行管理，并對用戶上網行為進行控制。

3.4 國家工程技術圖書館無線系統網絡關鍵技術

(1)CAPWAP隧道技術。AP零配置啟動，通過DHCP獲取IP地址，同時，獲取AC的IP地址，建立CAPWAP隧道。AC通過建立的CAPWAP隧道向AP下發配置，AP獲取配置后廣播SSID，進行802.11數據幀和以太網數據幀的轉換。無線AP接入點與無線控制器以國際標準的CAPWAP加密隧道模式通信，確保了數據傳輸過程中的內容安全。

(2)虛擬無線分組技術。通過虛擬無線接入點(Virtual AP)技術，整機可提供多個SSID，支持多個802.1QVLAN，網管人員可以對使用相同SSID的子網或VLAN單獨實施加密和隔離，并可針對每個SSID配置單獨的認證方式、加密機制等[1]。

(3)射頻探測技術。AP可啟用射頻探針掃描機制，實時發現非法接入點、或其他射頻干擾源，并提供相應的告警，使網絡運維人員可隨時監控各個無線環境中的潛在威脅和使用狀況。

(4)無線控制器集群技術。在多臺無線控制器之間，可實時同步所有用戶在線連接信息和漫游記錄。當無線用戶漫游時，集群內對用戶的信息和授權信息的共享，使得用戶可以跨越整個無線網絡，并保持良好的移動性和安全性，保持IP地址與認證狀態不變，從而實現對快速漫游的支持[2]。

為支持重點覆蓋區域內的無縫漫游，無線系統支持L2漫游。無線數據流不需要通過無線控制器即可進行本地轉發。本地轉發技術徹底突破了無線控制器的流量瓶頸限制。根據網絡的SSID和用戶VLAN的規劃，決定數據是否需要全部經過無線控制器轉發，或直接進入有線網絡進行本地交換。本地轉發技術將延遲敏感、傳輸要求實時性高的數據分類通過有線網絡轉發，在802.11ac的大流量吞吐下，可以大大緩解無線控制器的流量壓力，更好地適應未來無線網絡更高流量傳輸的要求，諸如高清視頻點播、VoWLAN傳輸等。

3.5 國家工程技術圖書館無線系統認證技術

3.5.1 針對圖書館讀者的微信認證

當需為讀者提供無線上網服務時，傳統的無線網絡一般會在閱覽室、前臺、大廳等讀者接待區域啟用一個基于PSK認證的WLAN，并在可視區域貼放WLAN共享密碼，體驗較差，且密碼易擴散，網絡安全難以保障；網絡運維人員需定期更換WLAN密碼和對應的標識，增加了網絡運維難度。

本文針對圖書館讀者無線上網的需求采用微信認證的方式。微信自助注冊主要是讀者通過手機上的微信，掃描特定的二維碼進行自助注冊上網，給讀者帶來方便，極大地提高了用戶的體驗。根據使用場景從安全性和便捷性的不同，本文采用了兩種微信二維碼認證方案：

(1)內部員工微信二維碼認證。主要是要求每個接入無線網絡的讀者都由引領的內部員工來完成認證入網。先由讀者使用手機連接圖書館特定的SSID信號源，由內部員工掃描讀者手機登錄SSID后彈出的二維碼后，讀者即可上網。這種認證方式在安全性方面有更高的保障，但同一時段內大規模的讀者入網會造成比較大的工作量，并且要求為讀者完成認證的內部員工需要實時在線，因此，該方案適用于小規模讀者使用無線網絡的場景。

(2)微信二維碼名片認證。主要是將掃描二維碼的工作交由讀者自主完成，在便捷性方面有更好的體驗，可以由具備開通讀者上網權限的內部員工生成包含二維碼的名片，由讀者連接特定SSID后，使用微信自主掃描名片上的二維碼獲得上網權限，該方案不要求內部員工實時在線，適合于大規模讀者來訪和召集外來人員參加會議的上網場景。

3.5.2 Web認證

Web認證是無線系統為單位內部員工準備的一種認證方式。初次使用時，內部員工無線設備首先連接特定的內部SSID，而后瀏覽器會自動跳轉至定制開發的portal認證頁面，當員工輸入用戶名、密碼后，數據會通過RADIUS協議傳送至無線網絡用戶認證服務器進行認證。認證成功后，無線控制器將會對該無線設備授權，允許其接入無線網絡，并記錄其設備MAC地址。當設備離開無線系統信號覆蓋區域，并重新回到該區域時，無線系統可自動對已記錄的MAC地址列表進行查詢。若之前已對該設備進行授權，則系統不再對此系統進行認證，從而實現用戶的無感知認證。

3.6 國家工程技術圖書館無線系統管理技術

3.6.1 拓撲管理

國家工程技術圖書館無線網絡系統涉及眾多無線AP，Poe供電交換機、樓層接入和核心交換機，為了使其能夠長期穩定地運行、提高管理效率，需要對系統進行實時監控。部署無線網絡管理系統，可以通過其拓撲管理功能向運維人員直觀的展示全網設備運行的狀態、特定鏈路節點工作的狀態以及鏈路流量信息，降低了運維人員勞動強度[3]。

3.6.2 設備及配置管理

無線網絡管理系統還可對系統內的AP和AC進行可視化精細管理，通過對AP在線服務時間、關聯用戶數、閑置時間、流量、工作狀態的統計可以提升管理效率，為優化無線網絡部署提供數據支撐。

在AP配置管理方面，無線網絡管理系統還可根據運維人員需求在指定的時間對AP下發固件升級、重啟、策略配置等多種指令，最大限度地確保了無線網絡系統的在線服務效率。

3.6.3 精細化的用戶管理

網絡內不同用戶的身份角色不一樣、使用移動終端不一樣、使用的無線業務不一樣，為了能保證不同用戶都能有良好的無線上網體驗，無線系統本身可通過自定義用戶角色，根據用戶角色進行權限劃分，實現不同權限的用戶只能訪問受限資源、獲得特定帶寬、在不同地區訪問不同業務等。通過自動感知用戶的終端類型、業務應用等功能，在無線網絡管理系統中進行可視化的呈現、管理。

3.6.4 無線熱敏圖

通過無線網絡管理系統的可視化熱敏圖，網絡運維人員可以實時、直觀地了解整個無線網絡的實際覆蓋效果和運行情況。無線熱敏圖主要提供了以下功能：

(1)支持多種類型平面圖導入。

(2)支持障礙物類型及衰耗的推薦值和自定義。

(3)支持AP位置的自定義精準布放。

(4)支持無線信號強度的可視化區分。

(5)支持AP管理用戶數的可視化查看。

3.6.5 無線頻譜分析

對于無線網絡系統而言，同頻段的信號干擾往往是影響網絡性能及可靠性的重要因素，通過AP的頻譜分析功能可以對2.4 GHz 和5 GHz 頻段進行掃描，自動識別各種干擾信號源，并根據掃描結果及對網絡性能的影響，自動對工作頻率進行調整，以避開被嚴重干擾的頻率。

無線網絡管理系統通過讀取無線AP的數據，使用評判分析功能提供豐富的可視化頻譜分析數據和圖標供網管人員，對無線頻譜進行分析。這些圖表主要包括：(1)實時顯示當前無線網絡環境中各個頻率范圍內信號能量等級及其漸進過程的頻譜圖。(2)捕捉802.11信道上頻域信號能量等級的Real-Time FFT(頻域實時能量圖)。(3)反映信道頻率范圍內的繁忙程度的占空比圖等。

5 國家工程技術圖書館無線網絡建設后的效果

國家工程技術圖書館無線網絡建設項目的建設使其無線網絡滿足了《中華人民共和國網絡安全法》和公安部《互聯網安全保護技術措施規定》的要求，并在數據傳輸速度、數據安全性、系統的穩定性、管理的便利性、用戶使用的便捷性上都有了質的提升。初步建立起高速、可靠、安全的無線網絡，實現了智能檢測、集中有效的網絡管理中心，保障了國家工程技術圖書館無線網絡長期安全、穩定、高效的運行。