（中国移动通信集团四川有限公司，成都 610041）

银行系统WLAN部署方案

胡晓飞

（中国移动通信集团四川有限公司，成都 610041）

本文对银行系统WLAN部署方案进行了深入研究，根据银行系统营业网点场景和业务特点，结合业务模型和计算公式，分析了该场景下的无线覆盖、业务承载、业务安全、认证及运营等方案，旨在指导银行系统WLAN部署实际工程规划和建设。

营业网点；WLAN；安全；认证；计费

伴随银行系统各类金融业务的快速发展，各商业银行竞争不断加剧，银行逐渐从“以账户为中心”转向“以客户为中心”，纷纷进行营业网点的转型，从改善网点环境布局、提升网点业务数据的处理能力等各方面着手，传统的交易型网点，转化为提升客户满意度的新型网点。

为了进一步提升各银行营业网点的服务质量，以及业务信息的广告宣传，无线宽带网络接入使用被引入进来。各商业银行希望在客户等待办理业务期间为他们提供便利的无线宽带上网（WLAN）服务，以提升客户感知，吸引更多客户到银行办理业务，通过更加丰富的渠道向客户介绍银行金融产品或相关信息，全方位提升银行在客户心目中的地位，展示现代化银行服务风采。

针对银行系统营业网点转型、服务提升、产品推广要求，以及结合银行营业网点分布广、数量多、影响力大等特点，有必要对银行系统WLAN部署方案进行探讨、分析研究。

注：银行系统是指有营业网点WLAN建设需求的商业银行，如建设银行、农业银行、工商银行等。

1 银行营业网点WALN覆盖研究

根据WLAN技术演进，银行系统WLAN部署采用最新802.11n标准，同时兼容802.11a/b/g标准。

1.1 AP组网分析

1．1．1 胖瘦AP构架中设备功能的划分

传统WLAN的AP功能被分散到AC和瘦AP两个独立的设备来完成，AC和瘦AP之间提供相应的控制协议完成无线功能，如图1所示。

1．1．2 胖瘦AP组网的选择

自治式组网：由胖AP构成，网络结构简单。在接入点少、用户量少、网络结构简单的情况下，宜采用自治式组网方式。

集中式组网：由瘦AP和AC构成。集中式组网架构的层次清晰，瘦AP通过AC进行统一配置和管理。

图1 胖瘦AP构架中设备功能的划分

由于银行营业网点属于大型WLAN组网应用，研究表明，为了满足AP集中管理、数据配置等，银行营业网点组网采用集中式组网方式，如图2所示。

1.2 目标覆盖区域

(1)小型银行营业网点：小型银行营业网点一般面积在100～200 m2，多临近社区，主要面向普通大众客户，是银行扩大渗透力，抢占未来中产阶级客户的主战场。

(2)中型银行营业网点：中型银行营业网点面积多在200～300 m2，多处于城市的主要街道区，面向广大中产阶级和公司客户，是银行重要的收入来源。

(3)大型银行营业网点：大型银行营业网点的面积多在300～500 m2，多处在城市的中心位置或者重要位置，为大量高端客户提供服务。

通过对以上银行各类型营业网点位置、面积、功能定位等的分析，银行营业网点目标覆盖区域为客户等候区、自助银行服务区、个人现金服务区、对公现金服务区、贵宾理财区、贵宾现金服务区、VIP理财多功能室等营业网点典型区域。

1.3 WLAN覆盖效果分析与计算

1．3．1 自由空间路径损耗L(dB)计算

L自由空间（dB）= 32.44+201gf (MHz)+201gd(km)

其中，d是收发信机之间的距离，f是发射波频率。

WLAN标准IEEE802.11b/g/n工作在2.4 GHz，代入上式得出在不同传播距离d的情况下，自由空间的传播损耗L值如表1所示。

1．3．2 室内AP覆盖能力模型

AP数覆盖=无线环境调整系数×CEILING[目标覆盖区域面积(m2)/单AP覆盖面积（m2)]

AP总数覆盖=∑AP数覆盖

注：无线环境调整系数是根据现场无线环境等，进行AP数量调整的修正因子。在银行营业网点WLAN实际网络建设中，应结合建筑物类型、现场无线环境和模拟测试情况做出适当的调整。

1．3．3 AP容量计算

决定AP容量的主要参数如下。

图2 胖瘦AP组网图

表1 自由空间的传播损耗L值表

并发用户数：根据AP设备CPU能力、带宽、稳定性等指标综合评估，一般AP最大接入用户数在15个左右较为合适。

吞吐量要求：在设计中应充分考虑各类银行业务的特点和带宽的需求，可结合并发用户数，并参考宽带用户平均速率进行计算。

频率干扰：在无法避免干扰的情况下，按50%的AP吞吐量进行容量计算。

目标覆盖区域：根据用户分布确定目标覆盖区域，调整所需AP数量。

表2 AP吞吐量取值表

每个目标覆盖区域的用户数及所需AP数量：

AP数吞吐量=目标覆盖区域调整系数×CEILING [用户体验系数×（用户数×每用户平均使用带宽）/吞吐量（工程取值)]。

AP数用户数=目标覆盖区域调整系数×CEILING（并发用户数/15)。

估算银行网点满足容量需求所需AP总数：

AP总数吞吐量=MAX（∑AP数吞吐量，∑AP数用户数）。

注：（1）∑AP数吞吐量，∑AP数用户数是营业网点内各目标覆盖区域所需AP数之和。

（2）目标覆盖区域调整系数是根据银行营业网点现场环境，进行AP数量调整的修正因子。

1.4 频段及干扰分析

IEEE802.11n工作频段范围2.4～2.483 5 GHz、 5.15～ 5.85 GHz， 共15个 非重叠信道数。2.4 GHz频段可供IEEE802.11b/g用户接入使用，5.8 GHz频段可供IEEE802.11n用户接入使用，保证银行高端用户高速业务体验。

WLAN信道干扰处理主要包括WLAN系统内的干扰、WLAN系统之间的干扰、其它系统间的干扰（PHS、CDMA、GSM等），通过自动信道分配、降低AP功率、双频双模AP、射频频谱防护技术、增加额外隔离器件等手段有效降低干扰，达到良好覆盖和使用效果。

1.5 WLAN其它指标

在设计目标覆盖区域内要求网络边缘接收电平不低于-70 dBm。满足室内无线信号泄露到室外10 m处的强度不高于-75 dB。

在设计目标覆盖区域内95%以上位置，接收到的信噪比（SNR）大于20dB。

要求WLAN覆盖边缘接收电平不低于-70 dBm，区域内的用户平均上网速率不低于2 048 kbit/s。

2695型高效液相色谱仪（包括2489UV，四元泵、真空脱气泵、自动进样器、柱温箱和Empower3液相工作站），美国Waters公司；Simplicity超纯水系统，密理博中国有限公司；Practum224－1CN分析天平，赛多利斯科学仪器（北京）有限公司；SHB－III循环水式多用真空泵，郑州长城科工贸有限公司；DHG－9203A型电热恒温鼓风干燥箱，上海齐欣科学仪器有限公司；TGL－16G高速台式离心机，上海安亭科学仪器厂；HWS－26电热恒温水浴锅，上海齐欣科学仪器有限公司；尼龙 66（Nylon）－22 μm 微孔滤膜，天津津腾。

为了防止多用户接入时，因带宽被部分用户抢占而影响其他用户接入，应在网络侧对用户进行限速。

1.6 AP供电与传输

PoE (Power over Ethernet)以太网供电在普通的5类双绞线中，4对线中有2对用来传输信号，剩下2对线用来传输电源，以节约工程引电成本。

1.7 AP部署位置

设计点位选择时避免产生强烈反射的环境（如金属吊顶、防盗门、护栏等）。

设计上通过天线分集减轻多径效应。

通过802.11n技术减轻多径效应。

类似内置天线无线接入点为屋顶水平安装。

为了遵守FCC射频管制标准，在AP运行时天线与使用者之间设计上保持20 cm的距离间隔。

在部署时避免AP部署在金属货架上方、金属管道周边以及横梁上方。

2 WLAN业务承载

2.1 业务承载方式

由于银行系统营业网点分布在各市州区县，位置较为分散，需要借助电信运营商的传输网络进行WLAN业务承载，实现WLAN业务服务。

通过电信运营商光缆实现银行营业网点的“最后一公里”接入，连接到电信运营商IP城域网，启用MPLS VPN承载银行各营业网点WLAN业务。

为了方便全省业务、设备统一管理，以及节约AC设备投资，在电信运营商网络出口处统一安装AC设备、安全设备，实现AP管理、数据统一配置和安全控制等功能。

2.2 管理通道

2．2．1 AP管理通道

AP管理通道是指AP与AC CAPWAP管理协议通信的管理通道，AC管理AP可采用二层方式，也可采用三层方式。

二层方式：AP和AC在同一个管理VLAN，也在同一个网段中，AP通过DHCP从AC地址池中获取IP，AP的网关为AC。AP自身不带tag上行，在PoE上为AP打上管理VLAN标签。

三层方式：此时AP与AC不在一个网段，跨三层通信，但AP的IP地址仍从AC的地址池中分配，AP的网关为BAS。该组网方式，需要BAS上配置Remote Ip-pool，即远端地址池或DHCP Relay功能使得AP向AC请求IP地址。同时AC在分配IP时，携带Option43属性，将AC的管理IP地址告知AP，通知AP注册。

银行系统WLAN是通过通信运营商IP城域网进行业务承载，AP管理通道采用三层方式。

2．2．2 AC管理通道

为确保AC的后续维护以及网管功能，通常为AC配置公网IP管理地址，即AC至公网的管理通道。

2.3 业务通道

STA上网的业务通道含两种方式。

（1）本地转发：由AP对STA的业务信息打VLAN标签，业务数据经过交换机透传直至BAS，中间无需经过AC处理和转发。

（2）集中转发（也称隧道转发）：隧道转发的时候，AP与AC之间建立CAPWAP数据隧道。用户的所有报文都通过隧道进行封装，AP与AC负责完成隧道的封装与解封装。用户的报文不会被AP与AC之间的网络感知或修改。

银行系统WLAN是通过电信运营商IP城域网进行业务承载，业务通道采用隧道转发方式。

2.4 资源分配

2．4．1 VLAN分配

AP管理VLAN：AP管理VLAN用于AP和AC通信，每个市州银行区域划分配1个管理VLAN。

AC管理VLAN：AC管理VLAN用于外网远程登录AC，AC分配1个管理VLAN。

PoE管理VLAN：PoE管理VLAN用于PoE的远程登录，每台PoE交换机分配1个管理VLAN。

业务VLAN：每个SSID分别对应1组VLAN。

2．4．2 IP地址分配

AC管理IP：每台AC分配2个公网管理IP地址。AC中继IP：AC分配1个私网中继IP地址。

AP管理IP：每个AP分配1个私网管理IP地址，每台BAS分配1个网关私网IP地址。

PoE交换机管理IP：每台PoE交换机分配1个私网管理IP地址。

业务IP：每个WLAN用户分配1个公网业务IP地址。

2．4．3 MPLS-L3 VPN资源分配

由电信运营商全省统一分配MPLS VPN的VPNInstance、 RD、RT参数，实现VPN通道建立和业务承载。

3 网络安全

(1) 用户授权和认证：采用基于SIM卡或者用户名/密码方式的用户授权和认证防止非法用户侵入。

(2) 数据加密：无线空口采用WPA/WPA2/WAPI方式加密，禁止非法用户接入网络。

(3) 防止非法AP设备：要求防止非法AP设备的放置，加强物理设备的监测和管理。同时还需要WLAN用户终端和AP之间的双向身份认证，双向的身份验证和检测隔离虚假访问点。

(4) 用户隔离：银行系统WLAN与银行内部网络严格物理隔离，同一AP下所有用户的数据分组都指向AC的地址，禁止横向联络，从而实现了同一AP下用户之间的隔离。

(5) 定时开关AP：为了避免非工作时间，AP不必要的工作消耗，和杜绝非工作时间的网络风险，可采用在PoE交换机上部署定时断电和通电的策略来实现AP的自动关闭和启动。

(6) AC设备管理安全：AP支持无线控制器的备份，在主用AC宕机时可自动切换到备份AC，并可在主用AC恢复时自动回切。

(7) 出口安全：为了保证用户数据的安全及对整个网络系统的安全，在运营商省公司出口部署防火墙和上网行为管理设备，实现网络安全防护、上网行为控制和记录等功能。

(8) 上网日志查询：系统记录银行WLAN用户上网相关日志，并保存60日。在国家有关机关依法查询时，给出在该时间内使用该IP用户的手机号或账号。

4 业务认证及运营

4.1 运营模式

银行系统为了实现服务转型，达到产品宣传的目的，银行系统一般采用统一支付电信运营商业务使用费用方式，对银行客户认证和鉴权后，免费使用WLAN业务服务。

4.2 认证方案

采用AP与AC交互，AC与BAS交互，BAS与认证系统交互，由BAS完成Portal页面推送的Web认证方式对银行WLAN用户进行认证、鉴权。

（1）银行专用Portal认证页面：开发银行专用Portal认证页面。Portal认证页面可由银行管理部门进行广告投放，银行客户如果访问银行网银及银行业务相关，可免去身份认证过程，直接Portal页面链接访问。

（2）临时账号认证方案：通过银行系统专用认证Portal页面，银行客户登陆Portal页面，输入手机号码后，通过获取短信动态密码进行认证和鉴权。

（3）固定账号认证方案：通过银行系统专用Portal认证页面，银行客户登陆Portal页面，输入固定账号名称和密码对银行VIP客户、重点客户进行认证和鉴权。

（4）策略控制：对银行临时和固定账号进行上网时长、申请权限、带宽限速、非营业时间关闭认证功能等策略控制。

Research of the banking system WLAN deployment scheme

HU Xiao-fei
(China Mobile Group Sichuan Co., Ltd., Chengdu 610041, China)

The deployment scenario of banking system WLAN was in-depth researched in this paper. Based on outlets scenes and operational characteristics in the banking system, combined with the business model, calculation formula, the author analyzes the wireless coverage, bearer, business security, authentication and operation schemes, gives some advices on the actual plannings and constructions of banking system WLAN scenario.

outlets; WLAN; security; authentication; billing

TN929.5

A

1008-5599（2014）12-0057-05

2014-09-16