王仕太

（中国民用航空西南地区空中交通管理局通信网络中心，成都 610200）

目前，民航空管各单位已普遍建立起办公内外网、OA系统等各类管理信息化系统，实现了无纸化办公需求。随着移动终端普及，空管可通过无线网络实现移动办公需求，实现多业务、多平台资源共享，本文主要阐述某地区空管办公区无线网络覆盖方案的设计与实现方式。

1 项目需求分析

空管原有办公外网主要是使用台式电脑终端，通过有线连接，实现业务办公。随着移动终端普及，空管员工可通过移动办公实现资源共享。本次空管单位办公区无线覆盖项目，主要实现以下功能：

（1）能够覆盖所有空管非生产办公区，部分老旧办公区，保证空管员工和访客使用无线网络，但又不覆盖生产办公区。

（2）符合空管信息安全规范，包括对移动终端的上网行为审计、接入认证、网络审批、防恶意攻击等。

（3）实现一次登录，均可在不同办公区漫游，一定时间段内无需再次登录。

2 无线网络总体方案设计

图1 无线网络总体方案

本次无线网络由以下四部分构成：即网络入口区、网络管理区、无线传输网络、用户接入区。

（1）网络入口区：主要是用光纤和主要电信运营商网络对接，由防火墙和流量控制器进行总入口安全防护和上网行为管理。

（2）无线传输网络：由网络核心层、网络汇聚层、网络接入层构成小中型传输网络。

（3）网络管理区：主要由依托数据中心增加相应软件和组件，实现网络监控、接入认证、身份认证、网络管理等构成。

（4）用户接入区：由AP点分布于各办公点位，终端用户通过AP链接热点实现移动上网办公。

3 无线网络组网方案设计

空管办公区无线网络主要保证空管员工及访客随时随地使用无线网络办公，并实现网络统一部署、管理、服务、认证。

3.1 无线网络核心层设计

核心层交换机是整个无线网络的核心和网络高速交换主干，连接网络管理区数据中心服务器、认证系统、汇聚交换路由，以及局域网出口，承担网络认证请求、终端认证、大量服务群数据等转发。本次依托空管现有外网核心交换机，采用主备两台千兆以太网交换机24个以太网端口和4个复用的千兆SFP端口，强大的包转发率，实现高速数据流交换。

3.2 无线网络汇聚层设计

汇聚层交换机用于无线网络各办公楼区域汇接，将网络汇聚于核心网络交换机。进行带宽和业务汇聚、收敛以及分发，并进行用户管理。本次依托空管现有外网汇聚交换机，千兆以太网交换机24个以太网端口和4个复用的千兆SFP端口，支持跨设备链路聚合技术的应用，简化网络运行、缩短收敛时间，提高运行效率。

3.3 无线网络接入层设计

无线网络的接入交换机用于连接AP终端，并与汇聚层连通。本次采用千兆以太网交换机24个以太网端口和4个复用的千兆SFP端口的POE供电交换机，支持标准AP的供电。

4 无线网络覆盖方案设计

由于空管办公区较分散，因此本次无线覆盖主要包括四大区域，分别为第一办公区、第二办公区、第三办公区、第四办公区室内。

4.1 办公区的覆盖方式

（1）第一办公区和第三办公区是办公、会议室等最集中的地方，按照并发率100%设置，可将AP悬挂在室外过道天花板上，实现全面覆盖。

（2）第二办公区和第三办公区办公及会议室较为分散，同时含有在机房、监控室、管制室等工作区域，根据空管对生产环境的工作要求，可采取以下技术方法实现：

1）物理隔离：在机房，监控室、运行室、管制室等工作区域不安装放置AP设备，保证在有效范围内没有AP热点的接入。

2）策略控制：同时AP设备是以圆形方式向外发射信号，因此用专业设备检测临近机房、设备监控室、管制室等工作区域的信号强度值，对AP设置策略，使终端设备拒绝连入，从而实现隔离。

4.2 设置覆盖热点的技术标准

（1）AP数量的确定。可按照以下设计公式：AP数量＝用户数×用户并发率／单AP并发接入用户数，用户增多而考虑上下行网速。

AP并发用户数据如下：

图2 AP并发用户数据

（2）无线信号的覆盖范围。此次AP具备双频覆盖，以5G频率优先。无线信号的覆盖范围取决于AP和终端之间的链路预算。链路预算计算公式如下：终端接收信号强度＝AP发射功率＋AP发射天线增益－空间传输距离衰减－障碍物损耗＋终端接收天线增益。根据自由空间电磁损耗公式：PL（d）=32.4+20lg（F）+20lg（D），F为频率，单位MHz；D为距离，单位为km；可得出空间距离对信号的衰减如下：

图3 空间距离对信号的衰减

为满足移动办公场景下多种类型终端的接入，一般在重点覆盖区域终端接收信号电平应大于－65dBm，普通覆盖区域终端接收信号电平应大于－75dBm。同时在AC支撑下可实现移动终端负载均衡功能，优化人员密集区域单个AP的负载。

5 无线网络漫游设计

无线网络的特点就是实现用户终端移动使用，且业务不会中断。因此需采用FITAP模式集中转发，采用单一无线控制器（AC）管理所有AP，将AC控制器旁挂于核心交换机的组网，将认证、动态密钥、漫游切换等功能集中到无线控制器。

本次配置无线控制器设备的几个重要技术指标：

（1）单台设备支持AP数大于1536个；（2）支持基于SSID的VLAN划分，多SSID之间的隔离；（3）支持不同的安全策略、认证、加密方式等；（4）具备为接入用户提供Portal认证、802.1x认证，可自定义Portal页面，支持至少10000用户的Portal并发认证；（5）支持对非WLAN信号的检测和自动保护；（6）支持均衡负载。

6 无线网络安全设计

无线网络的安全管理关系到整个网络系统和接入终端的安全，因此严密的安全防护是整个系统的关键。

（1）AP和AC配合：①可以检测非法的用户或AP，可以保护未经授权的设备访问。②AC可以实现防无线泛洪攻击、防假冒攻击、静态和动态黑名单等功能。

（2）认证系统：通过将Agile Control运行于现有数据中心，从现有AD域获取内部员工信息数据，构建安全可信的认证管理。基于portal页面认证，设置内外两个SSID，且分别赋予不同权限，内部员工采取账号登陆；外部员工验证必要信息后，由内部员工二维码审批登陆。

（3）前置防火墙：依托原有防火墙，实现网络出口公私地址NAT转换，支持漏洞、病毒检测和防御，支持DoS/DDoS攻击、ARP欺骗攻击、TCP/UDP扫描攻击等多种恶意攻击，实时监控网络并提供告警。

7 无线网络行为审计

依托原有流量控制器，规范网络访问准入、上网行为；支持HTTP过滤、SMTP过滤、关键字过滤等多种控制功能，管控员工工作时间上网内容；记录上网日志，为事后查证、追溯等提供可靠依据。

8 社会影响及经济效益分析

8.1 降低空管成本

依托现有有线网络融合无线网络系统，建设资金投入少，对现有网络改造少，部署快捷方便，降低空管投入成本。

8.2 安全便利效益高

基于多层次安全准入和检测防护，有效的防止各种网络应用层攻击，防范黑客等攻击，可以解决自建网络或私拉乱接等安全隐患，可提供安全可靠的办公网络。

9 结束语

当前空管行业已提出建设“四强”空管，智慧空管就是之一，强化基础研究和新技术应用，推动信息化技术在空管的应用。通过建设空管无线网络覆盖项目，不仅能解决空管移动信息化办公问题，而且能有效带动空管向智慧空管转变。