大庆油田WiFi 网络建设思路探讨

宋春光

（大庆油田信息技术公司规划设计所，黑龙江 大庆 163453）

随着集团公司和油田公司对办公网安全防护的加强，根据集团公司和油田公司的要求，严禁办公网与其他网络互联互通。同时，油田各单位对宽带互联网的需求日益强烈，无线WiFi 系统成为油田各单位访问宽带互联网的有力补充。大庆油田在无线WiFi 系统的建设上，网络安全成为建设重点，需要满足身份认证、设备管理、实时监控、时段控制等要求，避免终端用户的违规外联，满足油田公司的相关管理要求。

1 建设思路

信息技术公司无线WiFi 系统为独立组网，与油田办公网严格物理隔离，满足集团公司及油田公司在网络安全方面的管理要求。系统采用集中认证方式，可通过设置帐号、密码，ip、mac 绑定，操作系统识别等安全管理手段，做到指定个人、指定终端的访问控制，杜绝办公网终端的违规外联；支持行为审计和溯源功能，满足国家对非经营场所无线接入的管理要求。信息技术公司无线WiFi 系统包括无线WiFi 认证云平台和边缘承载网络两部分。

1.1 认证云平台

与传统架构不同，油田WiFi 认证采用云架构部署，与用户承载网络逻辑隔离。各二级单位不用单独部署认证系统，共享油田统建云云认证平台资源，便于油田统一管理，安全接入，同时节省建设投资。

无线WiFi 云认证平台采用集中方式部署，建设在数据中心，能够为油田各二级单位的无线WiFi 网络提供统一的接入和认证，实现统一认证、统一管理、统一运维，提供安全、稳定的无线WiFi 接入服务。

无线WiFi 云认证平台采用集中式部署方式，统一建设一套Portal 认证设备，各单位分权分域管理，实现WiFi 接入用户的统一认证。

无线WiFi 云认证平台包括防火墙、交换机、平台软件等，建设在华为云数据中心，按照云化模式部署。云认证平台采用双机热备工作方式，主、备服务器间单独连接网线。主服务器通过访问备份服务器的TFTP 软件，将数据库备份到备份服务器。主、备服务器在同一台交换机下，主、备服务器采用相同IP 地址，并为主、备服务器配置不同的VLAN。当主服务器出现宕机，备份服务器会自动恢复本地备份的数据库文件，在交换机上将主、备服务器的VLAN 对调，可在数毫秒内实现主、备服务器切换，保证云认证平台稳定、高效运行。

1.2 承载网络

（1）网络架构。承载网络采用分级部署方式。在用户侧部署核心交换机、POE 接入交换机、AP 等设备，构成接入层；在信息技术分公司所属分公司机房部署AC 控制器、应用控制网关、防火墙构成汇聚层网络。按照用户分布情况合理选择及部署汇聚节点，该汇聚节点下各单位共享控制层网络资源，各单位只需建设AP 等接入设备，从而进一步缩减建设成本。

承载网络主要包括AC 控制器、应用控制网关、防火墙、核心交换机、POE 接入交换机、AP 等设备，根据用户需求和建设规模可进行灵活组网。AC 控制器、应用控制网关、防火墙、核心交换机建设在信息技术分公司机房，实现应用管理、地址转换、安全防护、AP 控制等功能。POE 交换机和AP 设备建设在楼宇内，POE 交换机采用光缆直连方式上连至核心交换机；AP 采用吸顶方式安装，布放超五类非屏蔽双绞线，将AP 设备上连至POE 交换机。

以上设备功能如下：

认证设备：实现用户认证；

AC 控制器：实现AP 的管理，实现AP 流量的汇聚，AP 漫游，统一SSID 号发布；

防火墙：实现NAT 转换，将内网地址转换为公网地址，并配置安全策略，实现对内网的防护；

核心交换机：实现防火墙/路由器、认证设备、AC 控制器、POE 交换机的接入；

POE 接入交换机：实现AP 接入，并对AP 设备POE 供电；

AP 设备：实现无线终端的接入。

应用控制网关：实现用户行为审计功能。

为了更好地满足用户接入需求，提高用户体验，本系统均采用企业级接入设备，主要设备参数如下：

AC 设备。接口：支持不少于4 个千兆电接口和4 个千兆光接口；供电方式：支持220V 交流供电；最大管理AP 数512 个；漫游功能：支持同一或不同AC 间，不同AP 漫游，快速漫游；认证方式：支持802.1x 认证，MAC 地址认证，Portal 认证；安全防御：支持黑、白名单、非法AP 检测、防无线泛洪攻击；网络功能：支持VLAN、DHCP；射频：支持射频设置、速率设置、信道扫描、信道功率优化等。

AP（类型一）。支持协议： 802.11ac、802.11n、802.11a、802.11b、802.g；接口：千兆以太网口 供电方式：支持POE 供电和本地供电；最大发射功率：≥20DB；天线：内置天线，最大天线增益≥5DB；接入用户数：支持最大128 终端接入，30 终端同时使用。

AP（类 型 二）。支 持 工 作 频 段：5G（802.11ac、802.11n、802.11a）。

防火墙：交流供电，千兆SFP 光接口能力不少于2 个、千兆电接口能力不少于4 个。支持路由模式、透明模式、混杂模式、可防御arp、端口扫描等多功恶意攻击；支持蠕虫、木马、DDos、IPS 逃逸等常见攻击的防御；支持对邮件、网页应用层的过滤；支持NAT、IPv6 功能。

应用控制网关：交流供电，吞吐量不低于1Gbps，千兆电接口不小于4 个。支持安全审计、应用控制、日志分析、用户上网行为分析与审计等功能。

核心交换机。交流供电，交换容量不低于250Gbps，包转发率不低于47Mpps，千兆SFP 光接口不少于16 个、千兆电接口能力不少于4 个。

POE 交换机（类型一）。交流供电，千兆电接口不少于24 个，千兆光接口不少于4 个，支持POE 供电。

POE 交换机（类型二）。交流供电，千兆电接口不少于8 个，千兆光接口不少于两个，支持POE 供电。

（2）AP 部署原则。①在办公室、走廊等用户稀疏区域部署AP（类型一），每台AP 支持30 用户同时使用；在会议室等用户高密区域部署AP（类型二），每台AP 支持100用户同时使用。②为了减少射频干扰，相邻AP 采用互相不干扰的信道来进行无线覆盖。例如，2.4G 频率可以使用1、6、11 信道覆盖。AP 开启双频功能，由AP 选择用户优选连接5.8G 频率，移动终端无须配置。③为了保证用户终端接收效果，覆盖区域场强设计为-70dBm 以上。在有砖墙阻隔区域，AP 覆盖最多穿2 面120mm 砖墙，半径10 米区域；在大厅、礼堂、监控室等空旷区域，AP 覆盖半径20 米区域。因此，在走廊布放AP 的最佳间隔距离为10 米，大厅礼堂布放AP 的最佳间隔距离为20 米，有效确保无线信号的强度。链路预算：AP 发射端全向辐射功率=AP 发射功率+天线增益≥25dBm；链路损耗余量=25-（-70）=95dbm。④为了保证更好的覆盖效果，AP 采用吸顶方式安装，安装位置在覆盖区域的中间位置上方。对于举架过高的房屋，可采用壁挂式安装方式，安装高度在2.5m 左右，便于施工以及后期维护。⑤AP 应避开干扰源部署，干扰源包括变压器、无线路由器、高功率电器、弱电机房等。

（3）IP 地址分配。Portal 认证服务器端：采用公网IP 地址30 个，1 个C 类私有地址段。Portal 平台服务器使用私网地址，通过出口防火墙做NAT 地址转换，在出口防火墙上针对各个分公司的公网IP 地址做针对性访问策略。接入侧：信息技术公司各分公司作为汇聚节点，各分公司分配k 个公网IP 地址，作为用户出口设备的NAT 地址池使用。每个分公司分配n 个B 类私网地址段，按顺序分配使用，前m个C 类地址段用作AC、AP 等设备的管理地址和接口地址，其他地址作为用户接入地址。其中，Portal 平台服务器、AC、交换机、应用控制网关采用固定IP 设置，AP 及用户采用DHCP 方式获得地址。

2 结语

随着各种多媒体的应用，未来数据流量的增长趋势呈现快速上扬，对油田WiFi 网络提出了更高的要求。本文提出的大庆油田WiFi 网络建设方案能够满足大庆油田各单位无线接入需求，满足集团公司和油田公司对网络安全的相关管理要求，具备身份认证、设备管理、实时监控、时段控制等功能，可有效避免终端用户的违规外联。通过建设大庆油田WIFI 网络，可有效承载移动办公平台、技术交流等多种信息化业务，提高办公效率。