新型智慧城市背景下的无线城市设计

车 辉，杨 波，邢慧芬，苗碧舟

（1.织里镇公共事业服务中心，浙江 湖州 313000；2.中国移动通信集团山西有限公司太原分公司，山西 太原 030000；3.巢湖学院 信息工程学院，安徽 合肥 238000；4.湖州银行股份有限公司，浙江 湖州 313000）

0 引 言

移动互联网时代，大众希望能够通过无处不在的网络自由且免费接入互联网，享受本地存储以及互联网的信息服务资源，从而满足人们的工作、生活、娱乐需求。而电信运营商居高不下的网络通信资费则限制着人们网上冲浪的自由，因此WiFi成为现代人上网的主要方式之一。但由于WiFi工作在较高频段，通常用在小面积区域的网络通信，无法满足人们在公共区域的上网需求。因此基于WiFi通信技术的无线城市建设成为了满足人们公共区域上网的重要手段之一，也推动了新型智慧城市建设的发展。本文对基于WiFi技术的无线城市建设的网络架构、组网规划和网络安全进行了设计，并进行了详细的阐述。

1 无线城市网络架构设计

1.1 无线城市网络拓扑架构

无线城市通过把不同区域如医院、商场、公园、广场等的无线网络联通，实现整个城市关键区域的无线全覆盖，进而实现城市的无线统一管理，打造地区的无线城市。无线城市网络架构是由前端接入网络、中间交换网络和无线管理平台等部分组成。前端接入网络根据室内和室外两种场景分别选用符合特定场景的AP设备，确保信号覆盖。电信运营商城域网提供VPN通道，集中部署DHCP Server，城域网设备部署DHCP Relay；无线管理认证平台提供认证及管理功能，包括设备管理、终端认证、行为审计等功能；平台通过应用控制网关ACG作为审计设备及安全出口，统一与公安非经系统对接。某营运商无线城市网络架构如图1所示。

图1 无线城市网络拓扑架构

1.2 区域组网方案

通过把城市划分成不同的区域进行组网，既降低了网络管理的复杂性，也提高了无线网络的带宽和管理效率。区域组网是针对接入无线的城市不同区域进行组网，实现无线网络的区域管理。区域无线组网可以整体采用三层网络架构，如图2所示。

图2 区域组网网络拓扑架构

区域组网采用三级组织架构，汇聚交换机“V”型组织级联核心交换机，两台核心交换机采用40GE链路通过IRF2技术虚拟化连接，以提升核心交换机的运行稳定性；接入层交换机支持PoE+功能，接入两路电源，提升配套设备的安全性，保证整体网络架构安全运行不宕机。

1.3 终端组网方案

无线城市终端采用瘦AP+AC的组网方案，其中终端由无线控制器和多台无线AP组成，所有的无线AP皆由AC设备统一配置和管理。无线AP由PoE交换机反向供电，降低本地电源接入故障。

在上述模式下，无线控制器（AC）负责无线网络数据下发、接入控制、流量统计、接入位置漫游管理、无线安全控制等功能；AP负责802.11报文解析、用户接入、RF空口统计等功能。FIT AP集中管理，数据远程接收，可实现智能化和自动化的技术应用，如AP信道、频率等无线参数自动调整、非法无线用户入侵检测和网络自愈等功能，可大幅降低人工参与程度，推动无线网络应用的发展。同时为了满足用户对高带宽的需求，所有无线设备均采用支持802.11ac Wave2的AP产品，提供高速的网络访问接入。

2 无线城市组网规划设计

2.1 无线覆盖频率规划

为保证信道之间互不干扰，要求两个信道之间间隔5个信道以上。2.4 GHz频段范围内有3组可同时工作的信道，分别为1/6/11、2/7/12、3/8/13；而5.8 GHz则支持5个不重叠的信道并行工作，分别是149、153、157、161、165。

蜂窝式无线覆盖实现无交叉频率重复使用，因此在AP点较多时，为避免同频干扰，信道需按照蜂窝式部署，提高数据传输效率，避免大量数据包被丢弃。同时通过调节AP设备发射功率，解决空口的“远近效应”问题。

（1）5.8 GHz频段频率规划

通常情况下5.8 GHz频段工作在149、153、157、161、165等五个信道，相比2.4 GHz频段，5.8 GHz频段具有容量大、干扰源少的优点，适合部署在热点区域。但由于5.8 GHz频段频率较高，因此也存在链路损耗大、覆盖范围小的问题。在实际的频率规划中，采用蜂窝覆盖的频率使用方案，相邻小区使用不同的信道频率来避免干扰，如图3所示，其中1、2、3分别代表不同信道。

图3 5.8 GHz频率使用规划示意图

（2）2.4 GHz和5.8 GHz频段混合式频率规划

在宽带需求较高且较为空旷的区域，做频段规划时，为避免同频干扰，提升空口利用率，可采用2.4 GHz和5.8 GHz混合式组网方案。该方案中AP同时配置两种频率，其中5.8 GHz可用宽带较高，适合集中部署；2.4 GHz频段覆盖范围较广，适合分散部署。2.4 GHz和5.8 GHz频段混合组网频点配置如图4所示。

图4 2.4 GHz和5.8 GHz频段混合组网频点配置示意图

2.2 系统吞吐量规划

WLAN容量计算公式为：usp=（asp×）/（2×usernumber×）。其中：usp为每用户带宽；asp为AP最大连接速率（其中工作在802.11b、802.11g、802.11n模式下最大速率分别为11 Mb/s、54 Mb/s、300 Mb/s）；为传输效率，一般取0.5；usernumber为同时在线用户数；为忙时用户并发率。因考虑无线双向传输，故计算公式中需除以2。通过计算，系统吞吐量设计要求如下：802.11b模式下不低于5 Mb/s，802.11g模式下不低于20 Mb/s，802.11n模式下不低于80 Mb/s。

2.3 系统并发用户数规划

规划WLAN网络并发用户数时，需综合考虑网络设备性能、空口速率、ISP业务类型等。一般情况下建议工作在802.11b模式下并发用户数不超过3个，802.11g模式下不超过5个，802.11n模式下不超过6个。

2.4 无缝漫游规划

为了支持客户端的移动漫游，无线城市在做网络规划时采用移动蜂窝状信号覆盖方式，且每台AP设备设置相同的SSID和认证方式，AP设备可实现用户无缝漫游功能。当用户移动接入到不同的AP时，准入与认证切换时间为毫秒级，用户几乎感知不到，提高了用户体验。

3 无线城市网络安全设计

无线城市网络是属于公众型网络，因此网络安全是建设无线城市的基础。无线城市网络安全主要侧重用户安全、网络安全。用户安全主要包括信息终端安全及用户的账户、密码安全，而网络安全则重点考虑网络的空口信息的安全机制和与无线相关的有线网络安全问题。

3.1 接入认证

针对无线网络接入认证可以采取802.1x、MAC、Portal等身份认证方式，以保障无线网络上网合法合规。其中，Portal认证方式通过向用户强制推送Web认证页面，实现用户身份认证功能。Portal认证方式可实现跨平台、跨终端认证。此外，Portal认证方式还可支持个性化认证方式，并可防止窗口过滤，为管理者提供方便的管理功能。

3.2 访问控制

系统具备较完善的检测功能，可实现无线攻击检测、处置策略调取、网络入侵防范等功能，具体如下：

（1）非法AP检测：WLAN网络可自动对AP设备进行授权管理，并将管理情况上报AC设备。若为非授权AP设备上线，则下发阻塞数据，强制该AP设备无法转发用户数据，保护无线网络安全。

（2）黑白名单功能：AP设备内置黑白名单功能，可由管理员配置启用白名单或者黑名单。

（3）无线协议攻击防御：当WLAN网络检测到攻击时，如DDOS、Flood等，可调取防范策略，切断攻击源，并产生告警和日志，提醒网络安全员及时处置，同时留存日志供安全审计员进行安全审计。

3.3 物理层安全

通过选取合适的加密方式，可以有效保证无线空口传输的数据安全，防止出现无线传输数据泄密的情况。加密方式如下：

（1）WEP加密：是以IEEE802.11协议定义的加密方式。若 AP设备预配置密钥与接入端输入密钥匹配，则认证通过，安全级别较低。

（2）TKIP加密：是WEP加密协议的升级版本，以WPA协议定义的加密方式。该加密方式不仅可对数据进行加密，还提供MIC、Countermeasure等功能，用于对WLAN、网络的安全保护。

（3）CCMP加密：是以IEEE802.11i协议定义的加密方式。该加密方式报文采用AES算法，具备较高强度的数据报文保护功能。

（4）WAPI加密：该加密方式采用椭圆曲线密码算法和分组密码算法，为WLAN网络提供数字证书签名、证书鉴别、密钥协商、传输数据加解密等功能，保障整体网络安全性。

3.4 行为审计记录

针对无线用户的上网行为审计，留存包括Web类、视频、网游、金融、邮件等应用服务日志以及设备登录和敏感数据操作日志，确保行为审计记录完整。

4 结 语

随着移动终端和通信技术的快速发展，移动互联网对社会产生了深远的影响，推动了移动互联网经济的发展。在移动互联网时代，人们希望通过无处不在的免费网络自由地在网上冲浪，享受网络给人们工作、生活带来的便利。但电信运营商较高的流量资费限制了人们接入网络的自由。为了推动移动互联网经济的发展，各大城市纷纷进行无线城市建设，WiFi技术已成为了无线城市建设的技术之一。本文对基于WiFi技术的无线城市的网络架构、组网规划和网络安全进行了详细设计，从而为政府无线城市建设提供了详细的设计方案，具有一定的参考和实践应用价值。