余志勇

【摘 要】移动终端智能化的普及满足了政府部门办公室人员移动化办公的迫切需求，WIFI覆盖技术的成熟进一步提高了移动化办公的效率。本文重点介绍了某区政府办公区域进行无线网络的覆盖项目的设计方案。

【关键词】移动终端；核心层；接入层；安全性

1 项目背景

随着智能手机、平板电脑等移动智能设备迅速普及使用，移动智能终端逐渐成为了人们不可或缺的工具，如今很多公务员更倾向于使用智能设备，快速便捷开展工作，这使得移动办公业务趋势进一步发展。这一趋势也推动越来越多的政府机关开始允许公务员使用智能设备访问政府内部应用，并在政府办公领域支持BYOD策略。

2 网络现状分析及建设需求

本次区政府无线覆盖网络项目，是政府主体网络（即电子政务外网）和无线。电子政务外网作为政府办公人员对外提供办公业务的网络，原有的电子政务外网的办公人员接入基本是PC终端通过有线的接入方式，实现业务办公，随着移动终端的普及，公务员使用的智能终端越来越多，移动政务将是公务员现在及将来的迫切需求。

本次新建的无线网络需要实现以下功能：

1）新建一套无线网络，对区政府办公大楼及社管中心、便民服务中心，实现无线满覆盖，保证员工在单位能够随时随地通过移动终端接入到无线网络中，实现无线上网。

2）新建的无线网络不仅和internet互通，还需和区电子政务外网互通，使得单位员工既可以访问外网也可以访问电子政务外网进行办公。

3）对新建的无线网络提供安全防护措施，包括访问电子政务网的安全防护，以及无线终端用户的接入安全、接入认证，对终端接入设备的识别，无线网络访问的行为审计。

4）无线覆盖需根据实际场景工勘，确定不同场景不同的无线覆盖解决方案，并使得员工能够在不同的无线覆盖区域之间漫游[1]。

3 区政府无线网方案设计

区政府无线网主要承载政府办公大楼公务员对外Internet服务的畅游，办公人员对电子政务外网办公等服务，为了提升政府的服务质量，我们需要为政府办公大楼提供一套稳定可靠的无线服务网络。同时，由于无线及对外服务的不安全性，导致很多终端容易被一些病毒攻击，需要考虑在网络中部署安全设备，实现安全过滤，保证单位员工通过在政府内部对外实现Internet接入的安全性。本次在电子政务外网的网络中部署无线网络，实现办公大楼及政府主要区域无线满覆盖，保证政府单位员工无时无刻都可以接入网络，享受网络畅游服务和电子政务外网办公。同时，实现网络统一管理，统一服务、统一认证。

3.1 无线网核心层设计

核心交换机作为整个无线网络的心脏，网络的的数据报文集中转发处理设备，承载着整个无线网络的服务交互，因此，对于核心交换机的处理性能，可靠性及稳定性需要得到保障，保证无线网核心故障能够不影响网络的使用。核心交换机不仅是无线网转发的业务核心，还承担着无线认证请求的发送，移动终端的认证请求由核心交换机发送到IMC认证服务器上，所以核心交换机必须支持三层路由和PORTAL功能。

本次核心交换机配置了24个千兆光口，供下联到每个接入层交换机互联。配置8个千兆光电复用口供无线控制器及出口防火墙的互联。

3.2 无线网接入层设计

无线网的接入交换机主要的接入终端为AP设备，根据AP分布的点位不一，本次无线网的AP接入层交换机采用百兆24口的接入交换机。可供AP接入的端口有24个，两个千兆光口可通过光纤与核心交换机互联。

考虑到本次存在无线AP的接入供电，接入交换机支持标准的POE供电功能。接入交换机作为终端用户的接入源头，必须具备安全防御功能，接入层交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃[2]。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。此外还有强大硬件ACL能力，能深度识别报文，支持L2～L4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，以便交换机进行后续的处理。并且支持基于端口、VLAN、全局定义和下发ACL策略。

无线覆盖区域及覆盖方式

本次区政府无线无线网络覆盖主要归结为两大区域覆盖，分别是：政府办公大楼区域以及便民服务中心室内。

办公大楼区域

对于政府办公大楼区域，考虑到无线部署的部署方式及美观，天花板材料，无线衰减较大、根据实际环境，为了施工简洁、无线的美化，建议部署室外AP，通过室外大功率AP对办公大楼进行无线信号覆盖，室外AP根据实际的工勘为准，针对不同的场景部署定向或者全向天线，保证无线覆盖效果。由于建筑物的风格差异化，采用室外AP对办公大楼等进行无线覆盖时，难免存在部分区域办公室有无线盲点区和死角区，针对这些盲点和死角区域办公室，再根据情形安装适量室内AP。

便民服务中心

对于便民服务中心，整栋大楼的覆盖，宜全部采用室内AP进行覆盖，根据楼层及每层人员数量配置相应数量AP。汇聚交换机宜放置在地下一层机房，分别在2楼及7楼每层放置2台POE交换机，接入每楼层AP。

本次区政府无线部署采用Fit AP的架构，由无线控制器统一管理终端所有AP，在核心交换机上旁挂一台无线控制器设备，无线控制器插卡默认支持64个AP的管理，最大可管理256个AP。所有的无线AP均是由无线控制器统一管理，统一配置，统一转发，建设网络管理人员对无线AP的维护工作量，同时，无线控制器也可以实现1+1和N+1的备份。

无线AP供电方式

在AP的实际部署中，一般AP是放在天花板内，很难实现本地去电，本次AP的供电采用POE供电的方式，通过网线对AP进行供电，在接入层交换机全部采用POE交换机。

通过POE供电可以实现终端用户的供电管理，包括供电功率的调节和关闭等等，灵活应用。

无线漫游设计

WLAN的用户存在一个天生的特点就是移动，当用户移动时，要求网络在保证安排的前提下不间断的向用户提供服务。

在FAT AP情况下，用户漫游后的VLAN信息发生变化，由于用户IP地址维持不变（IP地址如果变化则所有上层业务都会中断），导致用户无法上网，连接中断。只有重新获取地址，并再次认证才能访问网络。在AP大规模部署时，FAT AP以及FIT AP本地转发都无法实现三层漫游的功能。只有在FIT AP集中转发下，借助CAPWAP隧道协议，通过集中转发AC设备的特殊处理，使用户跨VLAN漫游时，保持业务不中断。

不同AC下AP之间的快速漫游：

不同AC下AP间漫游，采用IACTP技术实现。Inter Access Controller Tunneling Protocol （IACTP） 是H3C自主创新的协议，它提供了无线控制器（AC）间的一种通用的封装和传输机制。IACTP使用标准TCP办公人员端/服务器模型。

IACTP引入了漫游域的概念，漫游域是一个AC的集合，它定义了无线用户可进行快速漫游的AC集。

IACTP提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数据通道用于对数据报文进行AC间的传输。

本次政府无线采用Fit AP的组网架构，可以实现二三层漫游，保证用户在不同无线区域之间的无缝漫游切换，感受非凡的无线网络体验。用户在办公大楼房间内可以通过面板AP的无线接入网络，出了办公大楼可以漫游到室外AP的无线区域，到会议室可以漫游到其对应会议室的无线，最终实现政府满覆盖，住户走到政府的哪里都可以使用无线网络，实现移动办公，移动漫游，为政府用户带来非凡的服务感受。

智能负载分担

本次配置的AP均支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

无线接入认证设计

用户接入认证实现了对接入用户的身份认证，为网络服务提供了安全保护。本次的认证方式采用portal基于web页面的认证方式，单位员工通过PC或者移动终端连上无线以后，无论访问电子政务外网的应用还是浏览internet，均会强制弹出认证页面，要求输入用户名及密码进行认证。对于一个终端用户，有多个移动终端，如智能手机、PAD、PC等都需接入，可以根据设备的接入数，调整该用户的账号在线用户数。保证一个员工多个终端设备一个账号的接入，使得整个单位的员工对应一个账号，实现事后可查。

本次在电子政务外网的IMC平台上，扩容增加EIA用户接入认证组件，配置了1000用户的授权许可，实现对无线网终端用户的安全接入认证。

无线终端设备识别

本次在电子政务外网的IMC网络管理平台上，扩容增加了500个并发用户无线接入终端的识别，EIP组件支持通过客户端、DHCP、HTTP、MAC地址等技术准确识别接入网络的终端厂商、终端类型和操作系统信息；支持根据终端接入区域、接入时间段、终端IP地址、终端MAC地址、终端厂商、终端操作系统和终端类型等对网络接入终端授予不同的访问权限；定制注册页面的属性，包括是否显示、是否作为必填项、配置缺省值（用户姓名、证件号码和密码支持随机生成，密码是6位数字，其它是32位大小写字母和数字组成的随机数）、调整显示顺序、修改属性的显示名称。

3.3 出口互联安全设计

无线网的终端用户最终需要连接internet网络，政府的地址是私网地址，在接入到公网的网络需要进行地址的转换，将政府内部的私网地址转换成出口公网地址，考虑政府用户较多，需要出口设备支持强大的NAT地址转换能力。同时，考虑到终端用户需要接入到外网，存在安全威胁，故本次建议在无线网出口上部署一台防火墙设备，实现内外网地址的转换和安全防护。

3.4 电子政务外网访问安全设计

本次无线网的移动终端接入用户，不仅需要访问外网internet，还需访问电子政务外网进行业务办公，本次将无线网的出口防火墙与电子政务外网的防火墙互联互通，使得移动终端用户可以访问电子政务外网的业务办公系统，电子政务外网不仅有防火墙，还在数据中心部署了入侵防御设备，实现了完整的网络L2-7层的安全防护，无线网的移动终端用户访问电子政务外网进行办公时，需要经过两台防火墙设备的过滤和入侵防御设备的应用层过滤，保证电子政务外网的安全访问。

3.5 无线网安全设计

无线网的终端接入，接入的终端设备不定，终端的安全防护不一，对于接入到网络中的用户而言存在一定的安全威胁。

首先，在无线AP上，集成了无线WIPS和WIDS功能，其次，针对同一区域可能存在多个无线覆盖信号，如运营商的无线信号，为了保证不会造成区域信号互相干扰，无线AP支持频谱防护功能，可以根据同一区域的AP信道，智能调节自身信道，确保无线不会被干扰。

其次，在AP硬件上，室外AP采用专业一体化室外型设计，具备IP66防水防尘等级和大范围宽温工作能力。

在无线安全接入认证上：本次配置了基于portal页面认证的方式，在IMC平台上配置了EIA组件，支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID、AD域、硬盘序列号等多种元素的绑定认证；支持第一次认证成功时的自学习绑定属性功能；可以在认证通过后下发用户的ACL、VLAN、QoS给接入设备，由设备动态控制用户的访问网络权限；支持用户同时在线数限制、最大闲置时长限制，支持黑名单限制接入、支持自动加入黑名单、限制接入客户端的类型和版本，支持限制用户修改终端MAC地址和使用代理等策略；支持帐号的增改查，账号可批量开户、导入导出和注销；支持将用户的分组管理，不同的用户分组可以由不同的管理员管理；支持终端账号的密码强度检测；可查询账号的接入明细日志和认证失败日志，日志可导出；支持账户失效提醒，过期账号自动销户；可以在线查看用户状态及其所连接的网络设备信息，对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作，也支持对离线用户下发消息；支持防止仿冒网关进行ARP攻击。

3.6 无线网行为审计设计

本次在无线网的出口防火墙上，旁挂一台已有的行为审计设备，针对无线网移动终端访问internet和电子政务外网进行行为审计，终端用户不论是访问外网还是电子政务外网，均需经过防火墙设备，将防火墙设备上的端口镜像到行为审计设备上，进行审计和日志保存。

【参考文献】

[1]叶小荣.无线局域网技术[M].电子工业出版社，2003.

[2]盛敏.李建东.史琰.IEEE802.11无线局域网络性能分析[J].电子学报，2004，12A：148，152.

[责任编辑：王海龙]