新型智慧城市背景下的無線城市設計

車 輝，楊 波，邢慧芬，苗碧舟

（1.織里鎮公共事業服務中心，浙江 湖州 313000；2.中國移動通信集團山西有限公司太原分公司，山西 太原 030000；3.巢湖學院 信息工程學院，安徽 合肥 238000；4.湖州銀行股份有限公司，浙江 湖州 313000）

0 引 言

移動互聯網時代，大眾希望能夠通過無處不在的網絡自由且免費接入互聯網，享受本地存儲以及互聯網的信息服務資源，從而滿足人們的工作、生活、娛樂需求。而電信運營商居高不下的網絡通信資費則限制著人們網上沖浪的自由，因此WiFi成為現代人上網的主要方式之一。但由于WiFi工作在較高頻段，通常用在小面積區域的網絡通信，無法滿足人們在公共區域的上網需求。因此基于WiFi通信技術的無線城市建設成為了滿足人們公共區域上網的重要手段之一，也推動了新型智慧城市建設的發展。本文對基于WiFi技術的無線城市建設的網絡架構、組網規劃和網絡安全進行了設計，并進行了詳細的闡述。

1 無線城市網絡架構設計

1.1 無線城市網絡拓撲架構

無線城市通過把不同區域如醫院、商場、公園、廣場等的無線網絡聯通，實現整個城市關鍵區域的無線全覆蓋，進而實現城市的無線統一管理，打造地區的無線城市。無線城市網絡架構是由前端接入網絡、中間交換網絡和無線管理平臺等部分組成。前端接入網絡根據室內和室外兩種場景分別選用符合特定場景的AP設備，確保信號覆蓋。電信運營商城域網提供VPN通道，集中部署DHCP Server，城域網設備部署DHCP Relay；無線管理認證平臺提供認證及管理功能，包括設備管理、終端認證、行為審計等功能；平臺通過應用控制網關ACG作為審計設備及安全出口，統一與公安非經系統對接。某營運商無線城市網絡架構如圖1所示。

圖1 無線城市網絡拓撲架構

1.2 區域組網方案

通過把城市劃分成不同的區域進行組網，既降低了網絡管理的復雜性，也提高了無線網絡的帶寬和管理效率。區域組網是針對接入無線的城市不同區域進行組網，實現無線網絡的區域管理。區域無線組網可以整體采用三層網絡架構，如圖2所示。

圖2 區域組網網絡拓撲架構

區域組網采用三級組織架構，匯聚交換機“V”型組織級聯核心交換機，兩臺核心交換機采用40GE鏈路通過IRF2技術虛擬化連接，以提升核心交換機的運行穩定性；接入層交換機支持PoE+功能，接入兩路電源，提升配套設備的安全性，保證整體網絡架構安全運行不宕機。

1.3 終端組網方案

無線城市終端采用瘦AP+AC的組網方案，其中終端由無線控制器和多臺無線AP組成，所有的無線AP皆由AC設備統一配置和管理。無線AP由PoE交換機反向供電，降低本地電源接入故障。

在上述模式下，無線控制器（AC）負責無線網絡數據下發、接入控制、流量統計、接入位置漫游管理、無線安全控制等功能；AP負責802.11報文解析、用戶接入、RF空口統計等功能。FIT AP集中管理，數據遠程接收，可實現智能化和自動化的技術應用，如AP信道、頻率等無線參數自動調整、非法無線用戶入侵檢測和網絡自愈等功能，可大幅降低人工參與程度，推動無線網絡應用的發展。同時為了滿足用戶對高帶寬的需求，所有無線設備均采用支持802.11ac Wave2的AP產品，提供高速的網絡訪問接入。

2 無線城市組網規劃設計

2.1 無線覆蓋頻率規劃

為保證信道之間互不干擾，要求兩個信道之間間隔5個信道以上。2.4 GHz頻段范圍內有3組可同時工作的信道，分別為1/6/11、2/7/12、3/8/13；而5.8 GHz則支持5個不重疊的信道并行工作，分別是149、153、157、161、165。

蜂窩式無線覆蓋實現無交叉頻率重復使用，因此在AP點較多時，為避免同頻干擾，信道需按照蜂窩式部署，提高數據傳輸效率，避免大量數據包被丟棄。同時通過調節AP設備發射功率，解決空口的“遠近效應”問題。

（1）5.8 GHz頻段頻率規劃

通常情況下5.8 GHz頻段工作在149、153、157、161、165等五個信道，相比2.4 GHz頻段，5.8 GHz頻段具有容量大、干擾源少的優點，適合部署在熱點區域。但由于5.8 GHz頻段頻率較高，因此也存在鏈路損耗大、覆蓋范圍小的問題。在實際的頻率規劃中，采用蜂窩覆蓋的頻率使用方案，相鄰小區使用不同的信道頻率來避免干擾，如圖3所示，其中1、2、3分別代表不同信道。

圖3 5.8 GHz頻率使用規劃示意圖

（2）2.4 GHz和5.8 GHz頻段混合式頻率規劃

在寬帶需求較高且較為空曠的區域，做頻段規劃時，為避免同頻干擾，提升空口利用率，可采用2.4 GHz和5.8 GHz混合式組網方案。該方案中AP同時配置兩種頻率，其中5.8 GHz可用寬帶較高，適合集中部署；2.4 GHz頻段覆蓋范圍較廣，適合分散部署。2.4 GHz和5.8 GHz頻段混合組網頻點配置如圖4所示。

圖4 2.4 GHz和5.8 GHz頻段混合組網頻點配置示意圖

2.2 系統吞吐量規劃

WLAN容量計算公式為：usp=（asp×）/（2×usernumber×）。其中：usp為每用戶帶寬；asp為AP最大連接速率（其中工作在802.11b、802.11g、802.11n模式下最大速率分別為11 Mb/s、54 Mb/s、300 Mb/s）；為傳輸效率，一般取0.5；usernumber為同時在線用戶數；為忙時用戶并發率。因考慮無線雙向傳輸，故計算公式中需除以2。通過計算，系統吞吐量設計要求如下：802.11b模式下不低于5 Mb/s，802.11g模式下不低于20 Mb/s，802.11n模式下不低于80 Mb/s。

2.3 系統并發用戶數規劃

規劃WLAN網絡并發用戶數時，需綜合考慮網絡設備性能、空口速率、ISP業務類型等。一般情況下建議工作在802.11b模式下并發用戶數不超過3個，802.11g模式下不超過5個，802.11n模式下不超過6個。

2.4 無縫漫游規劃

為了支持客戶端的移動漫游，無線城市在做網絡規劃時采用移動蜂窩狀信號覆蓋方式，且每臺AP設備設置相同的SSID和認證方式，AP設備可實現用戶無縫漫游功能。當用戶移動接入到不同的AP時，準入與認證切換時間為毫秒級，用戶幾乎感知不到，提高了用戶體驗。

3 無線城市網絡安全設計

無線城市網絡是屬于公眾型網絡，因此網絡安全是建設無線城市的基礎。無線城市網絡安全主要側重用戶安全、網絡安全。用戶安全主要包括信息終端安全及用戶的賬戶、密碼安全，而網絡安全則重點考慮網絡的空口信息的安全機制和與無線相關的有線網絡安全問題。

3.1 接入認證

針對無線網絡接入認證可以采取802.1x、MAC、Portal等身份認證方式，以保障無線網絡上網合法合規。其中，Portal認證方式通過向用戶強制推送Web認證頁面，實現用戶身份認證功能。Portal認證方式可實現跨平臺、跨終端認證。此外，Portal認證方式還可支持個性化認證方式，并可防止窗口過濾，為管理者提供方便的管理功能。

3.2 訪問控制

系統具備較完善的檢測功能，可實現無線攻擊檢測、處置策略調取、網絡入侵防范等功能，具體如下：

（1）非法AP檢測：WLAN網絡可自動對AP設備進行授權管理，并將管理情況上報AC設備。若為非授權AP設備上線，則下發阻塞數據，強制該AP設備無法轉發用戶數據，保護無線網絡安全。

（2）黑白名單功能：AP設備內置黑白名單功能，可由管理員配置啟用白名單或者黑名單。

（3）無線協議攻擊防御：當WLAN網絡檢測到攻擊時，如DDOS、Flood等，可調取防范策略，切斷攻擊源，并產生告警和日志，提醒網絡安全員及時處置，同時留存日志供安全審計員進行安全審計。

3.3 物理層安全

通過選取合適的加密方式，可以有效保證無線空口傳輸的數據安全，防止出現無線傳輸數據泄密的情況。加密方式如下：

（1）WEP加密：是以IEEE802.11協議定義的加密方式。若 AP設備預配置密鑰與接入端輸入密鑰匹配，則認證通過，安全級別較低。

（2）TKIP加密：是WEP加密協議的升級版本，以WPA協議定義的加密方式。該加密方式不僅可對數據進行加密，還提供MIC、Countermeasure等功能，用于對WLAN、網絡的安全保護。

（3）CCMP加密：是以IEEE802.11i協議定義的加密方式。該加密方式報文采用AES算法，具備較高強度的數據報文保護功能。

（4）WAPI加密：該加密方式采用橢圓曲線密碼算法和分組密碼算法，為WLAN網絡提供數字證書簽名、證書鑒別、密鑰協商、傳輸數據加解密等功能，保障整體網絡安全性。

3.4 行為審計記錄

針對無線用戶的上網行為審計，留存包括Web類、視頻、網游、金融、郵件等應用服務日志以及設備登錄和敏感數據操作日志，確保行為審計記錄完整。

4 結 語

隨著移動終端和通信技術的快速發展，移動互聯網對社會產生了深遠的影響，推動了移動互聯網經濟的發展。在移動互聯網時代，人們希望通過無處不在的免費網絡自由地在網上沖浪，享受網絡給人們工作、生活帶來的便利。但電信運營商較高的流量資費限制了人們接入網絡的自由。為了推動移動互聯網經濟的發展，各大城市紛紛進行無線城市建設，WiFi技術已成為了無線城市建設的技術之一。本文對基于WiFi技術的無線城市的網絡架構、組網規劃和網絡安全進行了詳細設計，從而為政府無線城市建設提供了詳細的設計方案，具有一定的參考和實踐應用價值。