山東廣播電視臺(tái)WiFi系統(tǒng)總體設(shè)計(jì)方案

摘 要：隨著媒體融合業(yè)務(wù)的不斷推進(jìn)，以及移動(dòng)互聯(lián)網(wǎng)和移動(dòng)終端技術(shù)的快速發(fā)展，廣播電視臺(tái)的節(jié)目?jī)?nèi)容生產(chǎn)機(jī)制、工作流程、傳播渠道和受眾收視習(xí)慣等都將發(fā)生根本的轉(zhuǎn)變，各個(gè)環(huán)節(jié)都將越來(lái)越多地使用移動(dòng)終端設(shè)備。為滿足多元化的需求，適應(yīng)生產(chǎn)流程再造，實(shí)現(xiàn)節(jié)目?jī)?nèi)容的一次性采集、多形態(tài)生成、多終端分發(fā)，全臺(tái)各部門(mén)對(duì)WiFi統(tǒng)一覆蓋的需求日益迫切。

1 系統(tǒng)設(shè)計(jì)原則

1.1 統(tǒng)一性

本次WiFi系統(tǒng)的設(shè)計(jì)必須遵循統(tǒng)一性的原則，從應(yīng)用層面上來(lái)說(shuō)，要實(shí)現(xiàn)員工無(wú)論在臺(tái)內(nèi)什么地方，無(wú)論使用什么樣的網(wǎng)絡(luò)終端，無(wú)論操作何種業(yè)務(wù)，都能夠登錄統(tǒng)一的無(wú)線網(wǎng)絡(luò)；從管理層面上來(lái)說(shuō)，要實(shí)現(xiàn)用戶接入統(tǒng)一認(rèn)證、IP地址統(tǒng)一規(guī)劃、網(wǎng)絡(luò)設(shè)備統(tǒng)一監(jiān)管和網(wǎng)絡(luò)出口統(tǒng)一分配的整體性網(wǎng)絡(luò)管理。

1.2 信息安全性

建成后的WiFi系統(tǒng)將運(yùn)行全臺(tái)辦公網(wǎng)和節(jié)目制作網(wǎng)的所有業(yè)務(wù)，不僅包括普通外網(wǎng)訪問(wèn)；還將包括行政公文處理、節(jié)目編審等各類(lèi)重要業(yè)務(wù)，所以，信息安全性的要求毋庸置疑。系統(tǒng)需要通過(guò)實(shí)時(shí)網(wǎng)管、身份認(rèn)證、權(quán)限分級(jí)等各項(xiàng)措施保證網(wǎng)絡(luò)的安全性。

1.3 靈活性

該WiFi系統(tǒng)需實(shí)現(xiàn)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)，以及各類(lèi)不同網(wǎng)絡(luò)終端之間的無(wú)縫連接，保證各類(lèi)業(yè)務(wù)在穩(wěn)定運(yùn)行前提下的靈活切換；同時(shí)，覆蓋范圍的調(diào)整也能夠靈活實(shí)現(xiàn)，滿足用戶數(shù)量臨時(shí)變動(dòng)的需求。

2 寬頻網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

2.1 現(xiàn)狀概述

山東廣電中心分為西院綜合業(yè)務(wù)樓和東院媒體產(chǎn)業(yè)大廈2個(gè)單體建筑，其基礎(chǔ)寬頻網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)時(shí)就考慮到了滿足全臺(tái)員工安全高效地訪問(wèn)Internet、辦公內(nèi)網(wǎng)和節(jié)目制作網(wǎng)的要求，并已經(jīng)預(yù)估到樓內(nèi)對(duì)無(wú)線網(wǎng)絡(luò)的潛在需求，采用了較高的設(shè)計(jì)標(biāo)準(zhǔn)。核心機(jī)房采用雙交換核心雙冗余鏈路方式、雙出口設(shè)置以及網(wǎng)絡(luò)安全管理設(shè)施；交換機(jī)按照核心層、匯聚層和接入層三層網(wǎng)絡(luò)配置，核心交換機(jī)為萬(wàn)兆級(jí)別，接入交換機(jī)為千兆級(jí)別；核心機(jī)房至每層弱電間均有多路千兆單模、多模光纜，可滿足千兆或百兆到桌面的應(yīng)用，并對(duì)今后的擴(kuò)容需求預(yù)留了一部分光纜。

2.2 存在的問(wèn)題

2.2.1 出口帶寬較小

山東廣電中心基礎(chǔ)寬頻網(wǎng)絡(luò)系統(tǒng)的出口使用電信和聯(lián)通的雙百兆出口，其中聯(lián)通百兆出口與齊魯頻道的內(nèi)網(wǎng)出口共用，故實(shí)際出口總帶寬約150 M，目前已承擔(dān)著約3000個(gè)信息點(diǎn)的有線網(wǎng)絡(luò)上網(wǎng)需求，如僅用此出口帶寬承擔(dān)新建WiFi系統(tǒng)的外網(wǎng)訪問(wèn)需求，網(wǎng)速將大大受限。解決此問(wèn)題只需將基礎(chǔ)寬頻網(wǎng)絡(luò)系統(tǒng)核心交換機(jī)與辦公內(nèi)網(wǎng)的核心交換機(jī)進(jìn)行鏈接，就可共享現(xiàn)有辦公內(nèi)網(wǎng)的600 M出口帶寬。

2.2.2 自行加裝無(wú)線AP混亂

目前，樓內(nèi)用戶利用基礎(chǔ)寬頻網(wǎng)絡(luò)系統(tǒng)私自加裝無(wú)線路由器、隨身WiFi的情況非常普遍，雖然在很大程度上方便了員工移動(dòng)終端的使用，但由于未集中管理，存在網(wǎng)絡(luò)安全性差、不穩(wěn)定、無(wú)法漫游、相互之間存在干擾等諸多問(wèn)題。

3 WiFi系統(tǒng)組網(wǎng)方案

鑒于基礎(chǔ)寬頻網(wǎng)絡(luò)的覆蓋現(xiàn)狀，在進(jìn)行WiFi組網(wǎng)時(shí)可利用現(xiàn)有三層網(wǎng)絡(luò)進(jìn)行部署，最大限度地避免網(wǎng)絡(luò)重復(fù)建設(shè)。

基礎(chǔ)寬頻網(wǎng)絡(luò)系統(tǒng)核心交換機(jī)與臺(tái)內(nèi)網(wǎng)核心交換機(jī)互聯(lián)，實(shí)現(xiàn)出口帶寬共享。核心交換機(jī)旁掛兩臺(tái)無(wú)線控制器（AC），雙活部署，負(fù)載分擔(dān)，如果一臺(tái)無(wú)線控制器發(fā)生故障，另一臺(tái)可自動(dòng)接管故障無(wú)線控制器上的AP；無(wú)線客戶端接入SSID時(shí)，首先與AC建立私有通道，通過(guò)管理平臺(tái)認(rèn)證；無(wú)線客戶端獲取IP通過(guò)DMZ區(qū)的DHCP服務(wù)器下發(fā)；首次認(rèn)證通過(guò)后，無(wú)線客戶端上網(wǎng)業(yè)務(wù)實(shí)現(xiàn)本地轉(zhuǎn)發(fā)，從而減輕無(wú)線控制器壓力。

在樓層弱電間新增POE交換機(jī)，交換機(jī)數(shù)量根據(jù)AP數(shù)量準(zhǔn)確核算，按照山東廣電中心實(shí)際情況，可按平均每層4 個(gè)AP設(shè)置，同時(shí)考慮網(wǎng)線傳輸距離的限制，平均每3層可共用一臺(tái)24口POE交換機(jī)，以實(shí)現(xiàn)最大程度降低投資。利用原預(yù)留光纖資源跳接POE交換機(jī)，實(shí)現(xiàn)與核心交換機(jī)互聯(lián)。

4 WiFi系統(tǒng)網(wǎng)絡(luò)管理方案

在無(wú)線WiFi網(wǎng)絡(luò)管理中可利用臺(tái)內(nèi)現(xiàn)有網(wǎng)絡(luò)管理方法：（1）目前的防火墻設(shè)備可滿足用戶的安全防護(hù)，保障用戶的安全訪問(wèn)，提高無(wú)線網(wǎng)絡(luò)的等保要求；（2）自主搭建的端口速率及設(shè)備狀態(tài)檢測(cè)平臺(tái)，可以實(shí)時(shí)檢測(cè)每條鏈路的使用情況，以及每個(gè)網(wǎng)絡(luò)設(shè)備的狀態(tài)；（3）自主搭建的端口鏡像分析平臺(tái)，可以時(shí)時(shí)分析主干鏈路的安全狀態(tài)，部署在無(wú)線出口，即可時(shí)時(shí)分析無(wú)線鏈路狀態(tài)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)點(diǎn)；（4）統(tǒng)一的IP地址規(guī)劃，目前臺(tái)辦公網(wǎng)使用10.0.0.0/8段內(nèi)網(wǎng)地址，每個(gè)部門(mén)一個(gè)子網(wǎng)，訪問(wèn)的資源可按部門(mén)需求隨時(shí)調(diào)整。只要某個(gè)用戶認(rèn)證后成功登錄無(wú)線網(wǎng)絡(luò)，便可隨時(shí)隨地訪問(wèn)該部門(mén)的資源。

地址分配采用DHCP實(shí)現(xiàn)動(dòng)態(tài)管理，并采用技術(shù)手段防止DHCP服務(wù)器私設(shè)，保證網(wǎng)絡(luò)安全。DHCP方式相對(duì)靜態(tài)分配加MAC綁定方式可有效提高管理效率。

出口鏈路負(fù)載均衡，不但保障了互聯(lián)網(wǎng)出口的安全，而且還可以隨時(shí)按照用戶的需求訪問(wèn)互聯(lián)網(wǎng)資源，如A員工需要走聯(lián)通出口，B員工需要走電信出口。