论文部分内容阅读
[摘 要 ]由于海上平台没有手机信号覆盖,为满足在平台工作的员工网络访问需求,文章提出一种基于光纤级微波的海上平台无线覆盖思路。根据海上平台这一特殊场景,详细阐述了该网络的设计思想和方法,包括WiFi覆盖、宽带优化和人员认证等内容。在此基础上,说明了该网络的部署方案和有关注意事项,最后归纳了基于光纤级微波的海上平台无线覆盖的实现效果。
[关键词]光纤级微波;无线覆盖;AP+AC
[中图分类号]U675.7 [文献标志码]A [文章编号]2095–6487(2021)06–0–02
[Abstract]Since there is no mobile phone signal coverage on offshore platforms, in order to meet the network access needs of employees working on the platform, this article proposes a wireless coverage idea for offshore platforms based on fiber-grade microwaves. According to the special scene of the offshore platform, the design ideas and methods of the network are elaborated, including wifi coverage, bandwidth optimization, and personnel authentication. On this basis, the network deployment plan and relevant precautions are explained. Finally, the realization effect of the wireless coverage of offshore platform based on fiber-grade microwave is summarized.
[Keywords]fiber-grade microwave;wireless coverage;AP+AC
在渤海地区分布着大量的海上平台,为满足生产办公要求,海上平台已经实现由KU卫星[1-2]、高容量微波[3]联合组建一个大宽带网络。由于海上平台是海洋石油的生产一线,平台上装有重要生产设备,一直在传输大量重要的生产数据。为了保障数据安全,平台未提供个人应用的网络资源,均为办公网络。为了保证网络安全,在办公网中使用了很多的管理措施和技术手段。
海上平台的网络资源属于办公网,是为了保障海上的办公以及满足应急的需求,原则上不允许个人应用占用网络资源。由于海上平台位于渤海海域,由于距离、人员密度原因,三大运营商未提供手机信号覆盖。在办公网络中,个人若需要访问互联网需要通过办公网回传至陆地、然后通过专线汇聚到集团公司的代理服务器,在完成认证后方可访问互联网。
目前几乎所有的平台都是个人应用与办公混杂使用,给网络安全带来一定的隐患,同时办公与个人应用互相抢占数据带宽也会相互影响使用体验。而且为了限制个人应用无限制扩散,绝大部分应用被代理服务器限制,平台个人上网只可以使用浏览器、QQ等个别软件。
1 海上应急无线通信系统设计
为实现海上平台员工的互联网访问需求,需要在平台生活楼部署一套无线覆盖系统,然后通过海陆间微波接入运营商提供的互联网出口。平台WiFi网络[4]按AP+AC的结构进行设计部署,AC(无线控制器)对AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式/集中式转发、漫游[5]等功能,操作和维护工作现在只需要在AC上进行。由于海上平台生活区均为钢结构,实现全平台生活区无线覆盖需要在每一层、每个房间内均需部署AP设备;为实现AP间的漫游,还需安装AC控制器,进行所有AP的统一管理。
1.1 带宽优化管理
为保证网络访问流畅稳定,基于OSI网络模型2~7层,通过IP、TCP报文特征、应用特征等多种识别机制进行网络应用流量自动识别,提供一些灵活的管理策略,主要包括限制P2P总体流量、限制P2P上下行流量、根据一天中其他应用的流量变化规律在不同的时间内进行不同的流量控制、一段時间内的流量定额等,如图1所示。
通过QOS技术,使用PQ、CQ、WFQ、CBWFQ、LLQ等队列技术,通过匹配特征流量把应用分成不同的队列,进行分类和区分服务,首先保障重要业务流量的优先传输,并给不同的业务分配不同的网络带宽和传输优先级。
对网络流量进行流量整形和流量监管[6],预防突发情况对网络传输的影响;通用流量整形可以对不规则或不符合预定流量特性的流量进行整形,以利于网络上下游之间的带宽匹配,从而限制非生产业务流量对网络资源的使用。
通过网络流量图表分析功能,掌握网络流量实时使用情况、各种应用对带宽占用情况,依据历史数据分析功能进行网络规划调整。
通过多种方式优化传输[7],保证优先传输优先级高的数据、限制不重要或不必要的网络应用,从而合理利用、分配网络带宽资源,避免网络带宽资源被不重要的网络应用严重侵占与浪费,提高整个网络的传输效率。
1.2 人员认证及安全管理
由于该网络主要用于海上平台工作人员访问互联网,认证方式采用用户认证方式。当需要添加新用户时,由网络管理员进行创建账号密码,指定账户级别,记录员工身份信息,增加基于用户的流控规则。新用户添加后,新的账户信息将自动同步至陆地认证服务器,实现单平台添加、全渤海认证,在同一个平台上实现了所有接入方式的认证、接入控制,完成安全性高、管理便捷的系统部署。 利用用户行为管理技术,实现基于应用的识别。当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
1.3 互联网与办公网隔离
目前海陆骨干微波型号不一,需要按照设备功能进行分类:若微波设备只支持单ODU,则需要新建一条骨干微波實现物理隔离;若微波设备支持多ODU,则通过办公网、互联网采用不同ODU、不同频率的隔离技术,实现物理隔离保障安全性,如图2所示。
微波传输链路网络隔离在射频端将IDU+ODU进行单独分立,传输中采用不同的频段,仅仅是共用一对天线,本质上是物理隔离的。在接收端,同样通过分离的一套室内室外设备进行接受,分别接入不同的光纤专线。
其次,为防止用户端同时接入两网而造成人为的网络互通,配合桌面准入机制,使得终端设备不能同时连接两网络,杜绝此类隐患。
若平台距离陆地较远,不能满足微波传输要求,则可以考虑采用KA卫星方式实现互联网接入。
2 整体部署方案
在海上平台生活区部署一套与办公网络完全物理隔离的互联网网络,并部署多个无线接入点[8],通过无线方式供平台上所有员工访问互联网资源,从而形成一套独立的互联网使用环境。在海上平台新建一条与办公网络物理隔离的至陆地的骨干微波链路,然后接入运营商提供的千兆带宽的互联网宽带,如图3所示。
在海上平台生活区各房间、走廊均安装AP设备实现无线覆盖,在平台设备间安装1台汇聚交换机、1台AC控制器、1台上网行为管理,所有设备均独立于平台办公生产网络,以实现互联网网络与办公网络的物理隔离。为了避免某个AP用户人数过多,AC控制器将智能实时的根据每个关联的AP上的用户数及数据流量调整分配到不同的AP上提供接入服务,平衡接入负载压力,提高用户的平均带宽和QOS,提高连接的高可用性。
为了提高无线网络整体安全性,平台员工在网络接入前,需向网络管理人员申请网络接入账号,由网络管理员在AC控制器中配置用户数据,通过多种认证方式,实现用户的本地认证。平台员工的手机、平板电脑等移动终端通过无线AP接入,获得AC控制器的认证后,访问数据由海陆间无线网桥设备连接到陆地机房的互联网出口,实现互联网访问。
上网行为管理设备部署在测试平台部署,在员工在访问互联网过程中,访问记录均被保存在上网行为管理器中。通过对用户上网记录分析,获得员工上网时间、上网内容、用户流量排行等内容,如图4所示。
3 结束语
海上平台办公网与互联网分离后,将办公网的个人流量剥离出去,可以避免大部分病毒、木马的网络入侵,保护企业内部核心信息不泄露,提高办公网安全性;办公网中互联网访问量大大降低,减少办公应用的响应时间,提高办公应用的用户体验。该方式不仅可以实现海上平台的互联网接入,偏远地区厂区、岛屿也可采用类似方式。
参考文献
[1] 胡红芬,白晓红.多波束天线的应用及发展[J].现代雷达,2002,24(4):69-75.
[2] 易克初,李怡,孙晨华,等.卫星通信的近期发展与前景展望[J].通信学报,2015,36(6):157-172.
[3] 张凌翔.探究数字微波通信技术的发展与展望[J].通信电源技术,2019(11):169-170.
[4] 沈劲桐.校园WLAN网络优化研究与应用[J].中国新通信,2020,22(13):109-110
[5] 李安邦.企业无线部署与安全设计[J].电脑知识与技术,2017,13(36):16-18.
[6] 张园园,郭裕顺.流量监管和流量整形技术的实现和应用[J].中国水运,2010,11(11):84-86.
[7] 张莉,刘建.Qos中流量监管与流量整形对TCP传输的影响研究[J].中国新通信,2019,21(20):55-58.
[8] 曹炳健,钟明东.基于城域网的瘦AP+AC的WLAN网络构建[J].数字技术与应用,2011(5):153-154.
[关键词]光纤级微波;无线覆盖;AP+AC
[中图分类号]U675.7 [文献标志码]A [文章编号]2095–6487(2021)06–0–02
[Abstract]Since there is no mobile phone signal coverage on offshore platforms, in order to meet the network access needs of employees working on the platform, this article proposes a wireless coverage idea for offshore platforms based on fiber-grade microwaves. According to the special scene of the offshore platform, the design ideas and methods of the network are elaborated, including wifi coverage, bandwidth optimization, and personnel authentication. On this basis, the network deployment plan and relevant precautions are explained. Finally, the realization effect of the wireless coverage of offshore platform based on fiber-grade microwave is summarized.
[Keywords]fiber-grade microwave;wireless coverage;AP+AC
在渤海地区分布着大量的海上平台,为满足生产办公要求,海上平台已经实现由KU卫星[1-2]、高容量微波[3]联合组建一个大宽带网络。由于海上平台是海洋石油的生产一线,平台上装有重要生产设备,一直在传输大量重要的生产数据。为了保障数据安全,平台未提供个人应用的网络资源,均为办公网络。为了保证网络安全,在办公网中使用了很多的管理措施和技术手段。
海上平台的网络资源属于办公网,是为了保障海上的办公以及满足应急的需求,原则上不允许个人应用占用网络资源。由于海上平台位于渤海海域,由于距离、人员密度原因,三大运营商未提供手机信号覆盖。在办公网络中,个人若需要访问互联网需要通过办公网回传至陆地、然后通过专线汇聚到集团公司的代理服务器,在完成认证后方可访问互联网。
目前几乎所有的平台都是个人应用与办公混杂使用,给网络安全带来一定的隐患,同时办公与个人应用互相抢占数据带宽也会相互影响使用体验。而且为了限制个人应用无限制扩散,绝大部分应用被代理服务器限制,平台个人上网只可以使用浏览器、QQ等个别软件。
1 海上应急无线通信系统设计
为实现海上平台员工的互联网访问需求,需要在平台生活楼部署一套无线覆盖系统,然后通过海陆间微波接入运营商提供的互联网出口。平台WiFi网络[4]按AP+AC的结构进行设计部署,AC(无线控制器)对AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式/集中式转发、漫游[5]等功能,操作和维护工作现在只需要在AC上进行。由于海上平台生活区均为钢结构,实现全平台生活区无线覆盖需要在每一层、每个房间内均需部署AP设备;为实现AP间的漫游,还需安装AC控制器,进行所有AP的统一管理。
1.1 带宽优化管理
为保证网络访问流畅稳定,基于OSI网络模型2~7层,通过IP、TCP报文特征、应用特征等多种识别机制进行网络应用流量自动识别,提供一些灵活的管理策略,主要包括限制P2P总体流量、限制P2P上下行流量、根据一天中其他应用的流量变化规律在不同的时间内进行不同的流量控制、一段時间内的流量定额等,如图1所示。
通过QOS技术,使用PQ、CQ、WFQ、CBWFQ、LLQ等队列技术,通过匹配特征流量把应用分成不同的队列,进行分类和区分服务,首先保障重要业务流量的优先传输,并给不同的业务分配不同的网络带宽和传输优先级。
对网络流量进行流量整形和流量监管[6],预防突发情况对网络传输的影响;通用流量整形可以对不规则或不符合预定流量特性的流量进行整形,以利于网络上下游之间的带宽匹配,从而限制非生产业务流量对网络资源的使用。
通过网络流量图表分析功能,掌握网络流量实时使用情况、各种应用对带宽占用情况,依据历史数据分析功能进行网络规划调整。
通过多种方式优化传输[7],保证优先传输优先级高的数据、限制不重要或不必要的网络应用,从而合理利用、分配网络带宽资源,避免网络带宽资源被不重要的网络应用严重侵占与浪费,提高整个网络的传输效率。
1.2 人员认证及安全管理
由于该网络主要用于海上平台工作人员访问互联网,认证方式采用用户认证方式。当需要添加新用户时,由网络管理员进行创建账号密码,指定账户级别,记录员工身份信息,增加基于用户的流控规则。新用户添加后,新的账户信息将自动同步至陆地认证服务器,实现单平台添加、全渤海认证,在同一个平台上实现了所有接入方式的认证、接入控制,完成安全性高、管理便捷的系统部署。 利用用户行为管理技术,实现基于应用的识别。当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
1.3 互联网与办公网隔离
目前海陆骨干微波型号不一,需要按照设备功能进行分类:若微波设备只支持单ODU,则需要新建一条骨干微波實现物理隔离;若微波设备支持多ODU,则通过办公网、互联网采用不同ODU、不同频率的隔离技术,实现物理隔离保障安全性,如图2所示。
微波传输链路网络隔离在射频端将IDU+ODU进行单独分立,传输中采用不同的频段,仅仅是共用一对天线,本质上是物理隔离的。在接收端,同样通过分离的一套室内室外设备进行接受,分别接入不同的光纤专线。
其次,为防止用户端同时接入两网而造成人为的网络互通,配合桌面准入机制,使得终端设备不能同时连接两网络,杜绝此类隐患。
若平台距离陆地较远,不能满足微波传输要求,则可以考虑采用KA卫星方式实现互联网接入。
2 整体部署方案
在海上平台生活区部署一套与办公网络完全物理隔离的互联网网络,并部署多个无线接入点[8],通过无线方式供平台上所有员工访问互联网资源,从而形成一套独立的互联网使用环境。在海上平台新建一条与办公网络物理隔离的至陆地的骨干微波链路,然后接入运营商提供的千兆带宽的互联网宽带,如图3所示。
在海上平台生活区各房间、走廊均安装AP设备实现无线覆盖,在平台设备间安装1台汇聚交换机、1台AC控制器、1台上网行为管理,所有设备均独立于平台办公生产网络,以实现互联网网络与办公网络的物理隔离。为了避免某个AP用户人数过多,AC控制器将智能实时的根据每个关联的AP上的用户数及数据流量调整分配到不同的AP上提供接入服务,平衡接入负载压力,提高用户的平均带宽和QOS,提高连接的高可用性。
为了提高无线网络整体安全性,平台员工在网络接入前,需向网络管理人员申请网络接入账号,由网络管理员在AC控制器中配置用户数据,通过多种认证方式,实现用户的本地认证。平台员工的手机、平板电脑等移动终端通过无线AP接入,获得AC控制器的认证后,访问数据由海陆间无线网桥设备连接到陆地机房的互联网出口,实现互联网访问。
上网行为管理设备部署在测试平台部署,在员工在访问互联网过程中,访问记录均被保存在上网行为管理器中。通过对用户上网记录分析,获得员工上网时间、上网内容、用户流量排行等内容,如图4所示。
3 结束语
海上平台办公网与互联网分离后,将办公网的个人流量剥离出去,可以避免大部分病毒、木马的网络入侵,保护企业内部核心信息不泄露,提高办公网安全性;办公网中互联网访问量大大降低,减少办公应用的响应时间,提高办公应用的用户体验。该方式不仅可以实现海上平台的互联网接入,偏远地区厂区、岛屿也可采用类似方式。
参考文献
[1] 胡红芬,白晓红.多波束天线的应用及发展[J].现代雷达,2002,24(4):69-75.
[2] 易克初,李怡,孙晨华,等.卫星通信的近期发展与前景展望[J].通信学报,2015,36(6):157-172.
[3] 张凌翔.探究数字微波通信技术的发展与展望[J].通信电源技术,2019(11):169-170.
[4] 沈劲桐.校园WLAN网络优化研究与应用[J].中国新通信,2020,22(13):109-110
[5] 李安邦.企业无线部署与安全设计[J].电脑知识与技术,2017,13(36):16-18.
[6] 张园园,郭裕顺.流量监管和流量整形技术的实现和应用[J].中国水运,2010,11(11):84-86.
[7] 张莉,刘建.Qos中流量监管与流量整形对TCP传输的影响研究[J].中国新通信,2019,21(20):55-58.
[8] 曹炳健,钟明东.基于城域网的瘦AP+AC的WLAN网络构建[J].数字技术与应用,2011(5):153-154.