余志勇

【摘 要】移動終端智能化的普及滿足了政府部門辦公室人員移動化辦公的迫切需求，WIFI覆蓋技術的成熟進一步提高了移動化辦公的效率。本文重點介紹了某區(qū)政府辦公區(qū)域進行無線網(wǎng)絡的覆蓋項目的設計方案。

【關鍵詞】移動終端；核心層；接入層；安全性

1 項目背景

隨著智能手機、平板電腦等移動智能設備迅速普及使用，移動智能終端逐漸成為了人們不可或缺的工具，如今很多公務員更傾向于使用智能設備，快速便捷開展工作，這使得移動辦公業(yè)務趨勢進一步發(fā)展。這一趨勢也推動越來越多的政府機關開始允許公務員使用智能設備訪問政府內(nèi)部應用，并在政府辦公領域支持BYOD策略。

2 網(wǎng)絡現(xiàn)狀分析及建設需求

本次區(qū)政府無線覆蓋網(wǎng)絡項目，是政府主體網(wǎng)絡（即電子政務外網(wǎng)）和無線。電子政務外網(wǎng)作為政府辦公人員對外提供辦公業(yè)務的網(wǎng)絡，原有的電子政務外網(wǎng)的辦公人員接入基本是PC終端通過有線的接入方式，實現(xiàn)業(yè)務辦公，隨著移動終端的普及，公務員使用的智能終端越來越多，移動政務將是公務員現(xiàn)在及將來的迫切需求。

本次新建的無線網(wǎng)絡需要實現(xiàn)以下功能：

1）新建一套無線網(wǎng)絡，對區(qū)政府辦公大樓及社管中心、便民服務中心，實現(xiàn)無線滿覆蓋，保證員工在單位能夠隨時隨地通過移動終端接入到無線網(wǎng)絡中，實現(xiàn)無線上網(wǎng)。

2）新建的無線網(wǎng)絡不僅和internet互通，還需和區(qū)電子政務外網(wǎng)互通，使得單位員工既可以訪問外網(wǎng)也可以訪問電子政務外網(wǎng)進行辦公。

3）對新建的無線網(wǎng)絡提供安全防護措施，包括訪問電子政務網(wǎng)的安全防護，以及無線終端用戶的接入安全、接入認證，對終端接入設備的識別，無線網(wǎng)絡訪問的行為審計。

4）無線覆蓋需根據(jù)實際場景工勘，確定不同場景不同的無線覆蓋解決方案，并使得員工能夠在不同的無線覆蓋區(qū)域之間漫游[1]。

3 區(qū)政府無線網(wǎng)方案設計

區(qū)政府無線網(wǎng)主要承載政府辦公大樓公務員對外Internet服務的暢游，辦公人員對電子政務外網(wǎng)辦公等服務，為了提升政府的服務質(zhì)量，我們需要為政府辦公大樓提供一套穩(wěn)定可靠的無線服務網(wǎng)絡。同時，由于無線及對外服務的不安全性，導致很多終端容易被一些病毒攻擊，需要考慮在網(wǎng)絡中部署安全設備，實現(xiàn)安全過濾，保證單位員工通過在政府內(nèi)部對外實現(xiàn)Internet接入的安全性。本次在電子政務外網(wǎng)的網(wǎng)絡中部署無線網(wǎng)絡，實現(xiàn)辦公大樓及政府主要區(qū)域無線滿覆蓋，保證政府單位員工無時無刻都可以接入網(wǎng)絡，享受網(wǎng)絡暢游服務和電子政務外網(wǎng)辦公。同時，實現(xiàn)網(wǎng)絡統(tǒng)一管理，統(tǒng)一服務、統(tǒng)一認證。

3.1 無線網(wǎng)核心層設計

核心交換機作為整個無線網(wǎng)絡的心臟，網(wǎng)絡的的數(shù)據(jù)報文集中轉發(fā)處理設備，承載著整個無線網(wǎng)絡的服務交互，因此，對于核心交換機的處理性能，可靠性及穩(wěn)定性需要得到保障，保證無線網(wǎng)核心故障能夠不影響網(wǎng)絡的使用。核心交換機不僅是無線網(wǎng)轉發(fā)的業(yè)務核心，還承擔著無線認證請求的發(fā)送，移動終端的認證請求由核心交換機發(fā)送到IMC認證服務器上，所以核心交換機必須支持三層路由和PORTAL功能。

本次核心交換機配置了24個千兆光口，供下聯(lián)到每個接入層交換機互聯(lián)。配置8個千兆光電復用口供無線控制器及出口防火墻的互聯(lián)。

3.2 無線網(wǎng)接入層設計

無線網(wǎng)的接入交換機主要的接入終端為AP設備，根據(jù)AP分布的點位不一，本次無線網(wǎng)的AP接入層交換機采用百兆24口的接入交換機?？晒〢P接入的端口有24個，兩個千兆光口可通過光纖與核心交換機互聯(lián)。

考慮到本次存在無線AP的接入供電，接入交換機支持標準的POE供電功能。接入交換機作為終端用戶的接入源頭，必須具備安全防御功能，接入層交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”，對不符合DHCP Snooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄[2]。同時支持IP Source Check特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕私設DHCP服務器，保證DHCP環(huán)境的真實性和一致性。此外還有強大硬件ACL能力，能深度識別報文，支持L2～L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機進行后續(xù)的處理。并且支持基于端口、VLAN、全局定義和下發(fā)ACL策略。

無線覆蓋區(qū)域及覆蓋方式

本次區(qū)政府無線無線網(wǎng)絡覆蓋主要歸結為兩大區(qū)域覆蓋，分別是：政府辦公大樓區(qū)域以及便民服務中心室內(nèi)。

辦公大樓區(qū)域

對于政府辦公大樓區(qū)域，考慮到無線部署的部署方式及美觀，天花板材料，無線衰減較大、根據(jù)實際環(huán)境，為了施工簡潔、無線的美化，建議部署室外AP，通過室外大功率AP對辦公大樓進行無線信號覆蓋，室外AP根據(jù)實際的工勘為準，針對不同的場景部署定向或者全向天線，保證無線覆蓋效果。由于建筑物的風格差異化，采用室外AP對辦公大樓等進行無線覆蓋時，難免存在部分區(qū)域辦公室有無線盲點區(qū)和死角區(qū)，針對這些盲點和死角區(qū)域辦公室，再根據(jù)情形安裝適量室內(nèi)AP。

便民服務中心

對于便民服務中心，整棟大樓的覆蓋，宜全部采用室內(nèi)AP進行覆蓋，根據(jù)樓層及每層人員數(shù)量配置相應數(shù)量AP。匯聚交換機宜放置在地下一層機房，分別在2樓及7樓每層放置2臺POE交換機，接入每樓層AP。

本次區(qū)政府無線部署采用Fit AP的架構，由無線控制器統(tǒng)一管理終端所有AP，在核心交換機上旁掛一臺無線控制器設備，無線控制器插卡默認支持64個AP的管理，最大可管理256個AP。所有的無線AP均是由無線控制器統(tǒng)一管理，統(tǒng)一配置，統(tǒng)一轉發(fā)，建設網(wǎng)絡管理人員對無線AP的維護工作量，同時，無線控制器也可以實現(xiàn)1+1和N+1的備份。

無線AP供電方式

在AP的實際部署中，一般AP是放在天花板內(nèi)，很難實現(xiàn)本地去電，本次AP的供電采用POE供電的方式，通過網(wǎng)線對AP進行供電，在接入層交換機全部采用POE交換機。

通過POE供電可以實現(xiàn)終端用戶的供電管理，包括供電功率的調(diào)節(jié)和關閉等等，靈活應用。

無線漫游設計

WLAN的用戶存在一個天生的特點就是移動，當用戶移動時，要求網(wǎng)絡在保證安排的前提下不間斷的向用戶提供服務。

在FAT AP情況下，用戶漫游后的VLAN信息發(fā)生變化，由于用戶IP地址維持不變（IP地址如果變化則所有上層業(yè)務都會中斷），導致用戶無法上網(wǎng)，連接中斷。只有重新獲取地址，并再次認證才能訪問網(wǎng)絡。在AP大規(guī)模部署時，F(xiàn)AT AP以及FIT AP本地轉發(fā)都無法實現(xiàn)三層漫游的功能。只有在FIT AP集中轉發(fā)下，借助CAPWAP隧道協(xié)議，通過集中轉發(fā)AC設備的特殊處理，使用戶跨VLAN漫游時，保持業(yè)務不中斷。

不同AC下AP之間的快速漫游：

不同AC下AP間漫游，采用IACTP技術實現(xiàn)。Inter Access Controller Tunneling Protocol （IACTP） 是H3C自主創(chuàng)新的協(xié)議，它提供了無線控制器（AC）間的一種通用的封裝和傳輸機制。IACTP使用標準TCP辦公人員端/服務器模型。

IACTP引入了漫游域的概念，漫游域是一個AC的集合，它定義了無線用戶可進行快速漫游的AC集。

IACTP提供控制通道用于快速漫游時AC間共享/交換信息，同時也提供了數(shù)據(jù)通道用于對數(shù)據(jù)報文進行AC間的傳輸。

本次政府無線采用Fit AP的組網(wǎng)架構，可以實現(xiàn)二三層漫游，保證用戶在不同無線區(qū)域之間的無縫漫游切換，感受非凡的無線網(wǎng)絡體驗。用戶在辦公大樓房間內(nèi)可以通過面板AP的無線接入網(wǎng)絡，出了辦公大樓可以漫游到室外AP的無線區(qū)域，到會議室可以漫游到其對應會議室的無線，最終實現(xiàn)政府滿覆蓋，住戶走到政府的哪里都可以使用無線網(wǎng)絡，實現(xiàn)移動辦公，移動漫游，為政府用戶帶來非凡的服務感受。

智能負載分擔

本次配置的AP均支持按接入用戶數(shù)量和流量的復雜均衡方式，當無線控制器發(fā)現(xiàn)無線接入設備的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入，如果有則會拒絕用戶的關聯(lián)請求，用戶會轉而接入其他負載較輕的無線接入設備，但如果無線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負載均衡方式往往會導致連接不上網(wǎng)絡，造成誤均衡。H3C公司創(chuàng)新性的支持智能負載均衡技術，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡容量。

無線接入認證設計

用戶接入認證實現(xiàn)了對接入用戶的身份認證，為網(wǎng)絡服務提供了安全保護。本次的認證方式采用portal基于web頁面的認證方式，單位員工通過PC或者移動終端連上無線以后，無論訪問電子政務外網(wǎng)的應用還是瀏覽internet，均會強制彈出認證頁面，要求輸入用戶名及密碼進行認證。對于一個終端用戶，有多個移動終端，如智能手機、PAD、PC等都需接入，可以根據(jù)設備的接入數(shù)，調(diào)整該用戶的賬號在線用戶數(shù)。保證一個員工多個終端設備一個賬號的接入，使得整個單位的員工對應一個賬號，實現(xiàn)事后可查。

本次在電子政務外網(wǎng)的IMC平臺上，擴容增加EIA用戶接入認證組件，配置了1000用戶的授權許可，實現(xiàn)對無線網(wǎng)終端用戶的安全接入認證。

無線終端設備識別

本次在電子政務外網(wǎng)的IMC網(wǎng)絡管理平臺上，擴容增加了500個并發(fā)用戶無線接入終端的識別，EIP組件支持通過客戶端、DHCP、HTTP、MAC地址等技術準確識別接入網(wǎng)絡的終端廠商、終端類型和操作系統(tǒng)信息；支持根據(jù)終端接入?yún)^(qū)域、接入時間段、終端IP地址、終端MAC地址、終端廠商、終端操作系統(tǒng)和終端類型等對網(wǎng)絡接入終端授予不同的訪問權限；定制注冊頁面的屬性，包括是否顯示、是否作為必填項、配置缺省值（用戶姓名、證件號碼和密碼支持隨機生成，密碼是6位數(shù)字，其它是32位大小寫字母和數(shù)字組成的隨機數(shù)）、調(diào)整顯示順序、修改屬性的顯示名稱。

3.3 出口互聯(lián)安全設計

無線網(wǎng)的終端用戶最終需要連接internet網(wǎng)絡，政府的地址是私網(wǎng)地址，在接入到公網(wǎng)的網(wǎng)絡需要進行地址的轉換，將政府內(nèi)部的私網(wǎng)地址轉換成出口公網(wǎng)地址，考慮政府用戶較多，需要出口設備支持強大的NAT地址轉換能力。同時，考慮到終端用戶需要接入到外網(wǎng)，存在安全威脅，故本次建議在無線網(wǎng)出口上部署一臺防火墻設備，實現(xiàn)內(nèi)外網(wǎng)地址的轉換和安全防護。

3.4 電子政務外網(wǎng)訪問安全設計

本次無線網(wǎng)的移動終端接入用戶，不僅需要訪問外網(wǎng)internet，還需訪問電子政務外網(wǎng)進行業(yè)務辦公，本次將無線網(wǎng)的出口防火墻與電子政務外網(wǎng)的防火墻互聯(lián)互通，使得移動終端用戶可以訪問電子政務外網(wǎng)的業(yè)務辦公系統(tǒng)，電子政務外網(wǎng)不僅有防火墻，還在數(shù)據(jù)中心部署了入侵防御設備，實現(xiàn)了完整的網(wǎng)絡L2-7層的安全防護，無線網(wǎng)的移動終端用戶訪問電子政務外網(wǎng)進行辦公時，需要經(jīng)過兩臺防火墻設備的過濾和入侵防御設備的應用層過濾，保證電子政務外網(wǎng)的安全訪問。

3.5 無線網(wǎng)安全設計

無線網(wǎng)的終端接入，接入的終端設備不定，終端的安全防護不一，對于接入到網(wǎng)絡中的用戶而言存在一定的安全威脅。

首先，在無線AP上，集成了無線WIPS和WIDS功能，其次，針對同一區(qū)域可能存在多個無線覆蓋信號，如運營商的無線信號，為了保證不會造成區(qū)域信號互相干擾，無線AP支持頻譜防護功能，可以根據(jù)同一區(qū)域的AP信道，智能調(diào)節(jié)自身信道，確保無線不會被干擾。

其次，在AP硬件上，室外AP采用專業(yè)一體化室外型設計，具備IP66防水防塵等級和大范圍寬溫工作能力。

在無線安全接入認證上：本次配置了基于portal頁面認證的方式，在IMC平臺上配置了EIA組件，支持用戶名、密碼與用戶IP、MAC、VLAN、設備IP、設備端口、主機名、域用戶、SSID、AD域、硬盤序列號等多種元素的綁定認證；支持第一次認證成功時的自學習綁定屬性功能；可以在認證通過后下發(fā)用戶的ACL、VLAN、QoS給接入設備，由設備動態(tài)控制用戶的訪問網(wǎng)絡權限；支持用戶同時在線數(shù)限制、最大閑置時長限制，支持黑名單限制接入、支持自動加入黑名單、限制接入客戶端的類型和版本，支持限制用戶修改終端MAC地址和使用代理等策略；支持帳號的增改查，賬號可批量開戶、導入導出和注銷；支持將用戶的分組管理，不同的用戶分組可以由不同的管理員管理；支持終端賬號的密碼強度檢測；可查詢賬號的接入明細日志和認證失敗日志，日志可導出；支持賬戶失效提醒，過期賬號自動銷戶；可以在線查看用戶狀態(tài)及其所連接的網(wǎng)絡設備信息，對非法用戶可以執(zhí)行發(fā)送消息、在線檢查、強制下線、關閉端口等操作，也支持對離線用戶下發(fā)消息；支持防止仿冒網(wǎng)關進行ARP攻擊。

3.6 無線網(wǎng)行為審計設計

本次在無線網(wǎng)的出口防火墻上，旁掛一臺已有的行為審計設備，針對無線網(wǎng)移動終端訪問internet和電子政務外網(wǎng)進行行為審計，終端用戶不論是訪問外網(wǎng)還是電子政務外網(wǎng)，均需經(jīng)過防火墻設備，將防火墻設備上的端口鏡像到行為審計設備上，進行審計和日志保存。

【參考文獻】

[1]葉小榮.無線局域網(wǎng)技術[M].電子工業(yè)出版社，2003.

[2]盛敏.李建東.史琰.IEEE802.11無線局域網(wǎng)絡性能分析[J].電子學報，2004，12A：148，152.

[責任編輯：王海龍]