张烨阳，韩旸，牟琳

(中国科学技术信息研究院，北京 100038)

0 引言

近年来，随着互联网和移动通信技术的发展，无线网络已成为读者获取图书馆服务的重要方式。为了方便国家工程技术图书馆读者及NSTL工作人员更加便捷地获取相关数字资源，国家工程技术图书馆于2012年开始建设原无线网络系统，其无线信号主要覆盖范围是国家工程技术图书馆、NSTL中心办公室、会议室及NSTL资源组、服务组、网络组的主要会议室及办公场所，AP与智能终端之间采用2.4 GHz频段，使用802.11a/b/g/n协议进行通信；安全方面使用有线等效保密(Wired Equivalent Privacy，WEP)协议作为加密手段，以基于RADIUS的Web认证作为主要认证方式。其主要网络结构如图1所示。

图1 原有无线网络结构

一方面，国家对网络安全的重视程度日益提高，在政策法规层面相继出台了《互联网安全保护技术措施规定》《中华人民共和国网络安全法》等网络安全相关的法律法规，对网络日志的留存时间、用户使用的公网地址和内网地址对应关系记录的保存都提出了要求，原无线系统已不能满足相关要求。另一方面，随着技术的发展，使用802.11a/b/g/n协议的无线系统在通信速率、抗干扰性上难以满足用户需求，认证方式单一，WEP作为较为老旧的加密算法也难以保证用户数据的安全。为此，要对现有无线系统进行改造。经过专家论证，2018年3月，国家工程技术图书馆无线系统改造工作开始实施，实施后的网络拓扑结构如图2所示。

图2 现有无线网络拓扑

1 国家工程技术图书馆无线网络系统改造的必要性

1.1 适应国家网络安全法律法规的需要

2006年3月1日起施行的《互联网安全保护技术措施规定》第七条第三款要求，互联网服务提供者落实记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；在第八条第二款中要求，使用内网地址与公网地址转换方式为用户提供接入服务的，能够记录并留存用户使用的公网地址和内网地址对应关系。2016年11月，我国第一部有关网络安全方面的法律《中华人民共和国网络安全法》发布，于2017年6月开始施行，对网络建设、运营方提出了要求，并对不履行相应义务的行为在法律责任上做出了界定。其中，第十条规定，建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第二十一条规定，网络运营方应采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月。

按照上述法规要求，国家工程技术图书馆无线系统必须在网络结构、边界防护、访问控制、日志记录、NAT转换记录等方面进行重新设计。

1.2 为用户提供良好网络环境的需要

原有无线系统使用WEP协议、短信认证两种方式进行认证，用户接入方式较为单一，同时，原有的无线系统采用2.4 GHz频段进行通信，在无线环境、数据传输速度、网速稳定性上难以令人满意。

1.3 应对网络威胁的需要

原有无线系统使用WEP数据加密方式，让无线局域网内的每个客户或计算机都使用了相同的保密字，在面对现在的网络攻击时，容易被网络攻击者通过窃听的方式获得密钥，并最终窃取用户数据。原有无线系统在无线局域网内未能利用无线控制器对用户数据进行牵引、隔离，最终可使网络攻击者以合法身份进入无线局域网后，对无线局域网内任意用户无线数据进行获取。

1.4 提升无线网络管理效率的需要

原无线网络系统缺乏集中管理平台，管理方式较为烦琐，需要人工干预的环节较多，缺乏对设备的统一管理，缺乏可视化界面，维护效率较低，难以适应大规模无线网络维护、管理的需求。

2 无线网络技术的发展和遵循的标准规范

2.1 无线网络技术的最新进展

在无线网络数据传输标准的应用方面，使用支持802.11ac wave1标准的设备已经大规模应用，802.11ac wave2已经在部分设备上开始应用。与原有国家工程技术图书馆无线系统所支持的802.11n协议相比，802.11ac协议主要引入了256-QAM调制模式、80/160 MHz频宽以及MU-MIMO技术，在单链路速度以及带宽利用率上有较大的提升。相比802.11n的64-QAM调制模式，256-QAM的调制模式可以使无线设备在每次的信号发射中附带更多的数据64-QAM与256-QAM的示意如图3—4所示。可以观察到，256-QAM的数据包密度相对更高，虽然随着QAM级别的提高，误码率也会随之提升，但802.11ac的标准理论速度还是高于802.11n。在频宽方面，802.11ac引入了80/160 MHz频宽，使其理论速率从802.11n的600 Mbps大幅提升至6 933 Mbps。在提升数据交换效率方面，802.11ac使用了MU-MIMO代替了SU-MIMO模式，使得多个用户可同时与无线设备进行数据传输，大幅提高了无线设备应对高密度用户应用场景的能力。

图3 64-QAM示意

图4 256-QAM示意

2.2 无线网络建设及验收标准

无线网络系统的设计与建设主要参照《数字通信设备环境试验方法》(GB/T13543)、《信息技术设备的无线电干扰极限值和测量方法》(GB9254-88)、《无线局域网工程设计规范》(YD 5214-2015)。在无线网络系统验收方面，主要参照《无线局域网工程验收规范》(YD 5215-2015)标准进行。其中，《无线局域网工程设计规范》(YD 5214-2015)在无线接入网的覆盖设计、频率配置、干扰控制、网络安全、设备安装工艺、线缆布防工艺、电源供电等多个方面对无线网络的设计及建设提出了要求。

3 国家工程技术图书馆无线网络建设的技术路线和实施方案

3.1 建设国家工程技术图书馆无线网络的目的和任务

根据《中华人民共和国网络安全法》和公安部《互联网安全保护技术措施规定》，在充分了解国家工程图书馆无线网络业务需求，进一步明确主要问题的基础上，结合国内外无线网络技术发展趋势，采用最新的无线网络管理技术。本着基于标准、整体规划的设计理念，在无线网络规划、日志记录、网络地址转化记录、网络攻击防范、用户认证等多层次上，实现国家工程技术图书馆无线网络安全、高效运行。

3.2 建设国家工程技术图书馆无线网络的技术路线

加强国家工程技术图书馆无线网络管理，实现无线网络系统的高效和规范，必须建立层次化区域运行体系，实现集中管理，发挥设备应有功能。国家工程技术图书馆无线网络的技术路线包括以下方面：

(1)通过日志记录设备与无线安全业务网关的联动，对网络NAT日志、网络访问日志进行为期200天的记录，达到了《互联网安全保护技术措施规定》及《中华人民共和国网络安全法》的要求。

(2)将无线网络划分为无线接入区、核心区、服务器区、出口安全区。无线接入区主要部署POE交换机和AP设备，核心区主要部署核心交换机和无线控制器、服务器区主要部署无线业务管理服务器、出口安全区主要部署防火墙和无线网络安全网关。

(3)使用核心交换机实现区域之间的隔离，通过ACL禁止普通无线用户对服务器区、核心区、出口安全区、无线接入区无线设备的访问，只允许管理员对无线网络管理设备发起访问。

(4)使用无线控制器对AP的AP组归属、AP信号频率、信号发射强度等配置进行管理，同时，AC使用CAPWAP隧道与AP进行业务数据传送，以便在AC上对用户数据进行二层隔离，使局域网内任一用户设备不能访问其他用户设备，提升网络安全性。

(5)使用无线网络用户认证平台实现身份认证授权、用户账户管理功能。无线安全管理平台支持802.1x、Portal、VPN等多种认证接入方式，支持支持短信验证码/URL认证、二维码授权认证、授权码认证、二维码名片认证、无感知认证多种认证方式。

(6)使用无线网络管理平台实现设备配置防灾保护、设备系统文件统一管理和规划、网络信息整体俯瞰、设备精细化管理等功能。

(7)通过日志记录设备与无线网络用户认证平台无缝对接实现用户认证上网信息和出口日志结合，实现用户上网实名信息统计。按照《中华人民共和国网络安全法》和公安部《互联网安全保护技术措施规定》对NAT日志、URL日志、BBS日志、邮件日志进行为期200天的留存，以便追查不法行为。

(8)使用无线网络安全网关可以实现应用层过滤、抗攻击、防扫描、可对进出网络的流量进行全方位控制，并可对内网用户的上网行为进行精细化管理，屏蔽各种与工作无关的网站，营造良好工作氛围，提高工作效率。

3.3 建立层次化国家工程技术图书馆无线网络模型

按照功能区分的原则，国家工程技术图书馆无线网络分为无线接入区、核心区、服务器区、出口安全区，区域之间通过核心交换机进行链接，并使用ACL进行区域之间的逻辑隔离。

无线接入区是指由POE交换机和AP无线接入点组成的无线设备接入区域，主要承担无线信号的接收、发射、用户数据的传递以及各种无线系统配置策略的执行。

服务器区由AP管理系统、用户管理系统、日志系统3套系统组成，主要负责通过无线业务软件对无线用户、AP设备、日志进行管理。

核心区主要包含核心交换机、无线控制器，是无线系统最为核心的设备，控制着整套无线系统的数据流转及访问权限控制。

出口安全区由下一代防火墙和无线安全业务网关组成，负责对无线网络系统的安全防护，通过下一代防火墙可实现对流量在网络层、应用层进行过滤。无线安全业务网关可以结合日志系统对用户的NAT转换记录进行管理，并对用户上网行为进行控制。

3.4 国家工程技术图书馆无线系统网络关键技术

(1)CAPWAP隧道技术。AP零配置启动，通过DHCP获取IP地址，同时，获取AC的IP地址，建立CAPWAP隧道。AC通过建立的CAPWAP隧道向AP下发配置，AP获取配置后广播SSID，进行802.11数据帧和以太网数据帧的转换。无线AP接入点与无线控制器以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容安全。

(2)虚拟无线分组技术。通过虚拟无线接入点(Virtual AP)技术，整机可提供多个SSID，支持多个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等[1]。

(3)射频探测技术。AP可启用射频探针扫描机制，实时发现非法接入点、或其他射频干扰源，并提供相应的告警，使网络运维人员可随时监控各个无线环境中的潜在威胁和使用状况。

(4)无线控制器集群技术。在多台无线控制器之间，可实时同步所有用户在线连接信息和漫游记录。当无线用户漫游时，集群内对用户的信息和授权信息的共享，使得用户可以跨越整个无线网络，并保持良好的移动性和安全性，保持IP地址与认证状态不变，从而实现对快速漫游的支持[2]。

为支持重点覆盖区域内的无缝漫游，无线系统支持L2漫游。无线数据流不需要通过无线控制器即可进行本地转发。本地转发技术彻底突破了无线控制器的流量瓶颈限制。根据网络的SSID和用户VLAN的规划，决定数据是否需要全部经过无线控制器转发，或直接进入有线网络进行本地交换。本地转发技术将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，在802.11ac的大流量吞吐下，可以大大缓解无线控制器的流量压力，更好地适应未来无线网络更高流量传输的要求，诸如高清视频点播、VoWLAN传输等。

3.5 国家工程技术图书馆无线系统认证技术

3.5.1 针对图书馆读者的微信认证

当需为读者提供无线上网服务时，传统的无线网络一般会在阅览室、前台、大厅等读者接待区域启用一个基于PSK认证的WLAN，并在可视区域贴放WLAN共享密码，体验较差，且密码易扩散，网络安全难以保障；网络运维人员需定期更换WLAN密码和对应的标识，增加了网络运维难度。

本文针对图书馆读者无线上网的需求采用微信认证的方式。微信自助注册主要是读者通过手机上的微信，扫描特定的二维码进行自助注册上网，给读者带来方便，极大地提高了用户的体验。根据使用场景从安全性和便捷性的不同，本文采用了两种微信二维码认证方案：

(1)内部员工微信二维码认证。主要是要求每个接入无线网络的读者都由引领的内部员工来完成认证入网。先由读者使用手机连接图书馆特定的SSID信号源，由内部员工扫描读者手机登录SSID后弹出的二维码后，读者即可上网。这种认证方式在安全性方面有更高的保障，但同一时段内大规模的读者入网会造成比较大的工作量，并且要求为读者完成认证的内部员工需要实时在线，因此，该方案适用于小规模读者使用无线网络的场景。

(2)微信二维码名片认证。主要是将扫描二维码的工作交由读者自主完成，在便捷性方面有更好的体验，可以由具备开通读者上网权限的内部员工生成包含二维码的名片，由读者连接特定SSID后，使用微信自主扫描名片上的二维码获得上网权限，该方案不要求内部员工实时在线，适合于大规模读者来访和召集外来人员参加会议的上网场景。

3.5.2 Web认证

Web认证是无线系统为单位内部员工准备的一种认证方式。初次使用时，内部员工无线设备首先连接特定的内部SSID，而后浏览器会自动跳转至定制开发的portal认证页面，当员工输入用户名、密码后，数据会通过RADIUS协议传送至无线网络用户认证服务器进行认证。认证成功后，无线控制器将会对该无线设备授权，允许其接入无线网络，并记录其设备MAC地址。当设备离开无线系统信号覆盖区域，并重新回到该区域时，无线系统可自动对已记录的MAC地址列表进行查询。若之前已对该设备进行授权，则系统不再对此系统进行认证，从而实现用户的无感知认证。

3.6 国家工程技术图书馆无线系统管理技术

3.6.1 拓扑管理

国家工程技术图书馆无线网络系统涉及众多无线AP，Poe供电交换机、楼层接入和核心交换机，为了使其能够长期稳定地运行、提高管理效率，需要对系统进行实时监控。部署无线网络管理系统，可以通过其拓扑管理功能向运维人员直观的展示全网设备运行的状态、特定链路节点工作的状态以及链路流量信息，降低了运维人员劳动强度[3]。

3.6.2 设备及配置管理

无线网络管理系统还可对系统内的AP和AC进行可视化精细管理，通过对AP在线服务时间、关联用户数、闲置时间、流量、工作状态的统计可以提升管理效率，为优化无线网络部署提供数据支撑。

在AP配置管理方面，无线网络管理系统还可根据运维人员需求在指定的时间对AP下发固件升级、重启、策略配置等多种指令，最大限度地确保了无线网络系统的在线服务效率。

3.6.3 精细化的用户管理

网络内不同用户的身份角色不一样、使用移动终端不一样、使用的无线业务不一样，为了能保证不同用户都能有良好的无线上网体验，无线系统本身可通过自定义用户角色，根据用户角色进行权限划分，实现不同权限的用户只能访问受限资源、获得特定带宽、在不同地区访问不同业务等。通过自动感知用户的终端类型、业务应用等功能，在无线网络管理系统中进行可视化的呈现、管理。

3.6.4 无线热敏图

通过无线网络管理系统的可视化热敏图，网络运维人员可以实时、直观地了解整个无线网络的实际覆盖效果和运行情况。无线热敏图主要提供了以下功能：

(1)支持多种类型平面图导入。

(2)支持障碍物类型及衰耗的推荐值和自定义。

(3)支持AP位置的自定义精准布放。

(4)支持无线信号强度的可视化区分。

(5)支持AP管理用户数的可视化查看。

3.6.5 无线频谱分析

对于无线网络系统而言，同频段的信号干扰往往是影响网络性能及可靠性的重要因素，通过AP的频谱分析功能可以对2.4 GHz 和5 GHz 频段进行扫描，自动识别各种干扰信号源，并根据扫描结果及对网络性能的影响，自动对工作频率进行调整，以避开被严重干扰的频率。

无线网络管理系统通过读取无线AP的数据，使用评判分析功能提供丰富的可视化频谱分析数据和图标供网管人员，对无线频谱进行分析。这些图表主要包括：(1)实时显示当前无线网络环境中各个频率范围内信号能量等级及其渐进过程的频谱图。(2)捕捉802.11信道上频域信号能量等级的Real-Time FFT(频域实时能量图)。(3)反映信道频率范围内的繁忙程度的占空比图等。

5 国家工程技术图书馆无线网络建设后的效果

国家工程技术图书馆无线网络建设项目的建设使其无线网络满足了《中华人民共和国网络安全法》和公安部《互联网安全保护技术措施规定》的要求，并在数据传输速度、数据安全性、系统的稳定性、管理的便利性、用户使用的便捷性上都有了质的提升。初步建立起高速、可靠、安全的无线网络，实现了智能检测、集中有效的网络管理中心，保障了国家工程技术图书馆无线网络长期安全、稳定、高效的运行。