馮肖榮

（大唐巖灘水力發(fā)電有限責(zé)任公司，廣西 巖灘 530811）

0 前言

當(dāng)前，無線局域網(wǎng)技術(shù)在水電行業(yè)得到了一定的應(yīng)用，但由于受到轉(zhuǎn)發(fā)、覆蓋以及安全等性能的限制，導(dǎo)致無線局域網(wǎng)覆蓋效果不甚理想[1]。為此，創(chuàng)建一套高效、可行的無線局域網(wǎng)絡(luò)系統(tǒng)，滿足智能水電廠建設(shè)業(yè)務(wù)拓展性、移動辦公、生活娛樂等要求具有重要的現(xiàn)實意義。

1 系統(tǒng)結(jié)構(gòu)

一般來說，企業(yè)級建設(shè)無線局域網(wǎng)的方案主要包括兩種，一種是與原有有線網(wǎng)絡(luò)僅交換核心層的數(shù)據(jù)，線纜的敷設(shè)完全獨立；另外一種是把無線的接入點接入到原有3層網(wǎng)絡(luò)結(jié)構(gòu)的第3層（接入層），并把無線控制器接入到核心層中，以此便于管理客戶端（STA）以及AP?；谔岣哔Y源利用率原則，本文主要對第2種創(chuàng)建方案進(jìn)行研究[2]。

1.1 覆蓋范圍

為了滿足完全覆蓋要求，實現(xiàn)全局漫游，智能水電廠在各個區(qū)域（生活區(qū)域、辦公區(qū)域、生產(chǎn)區(qū)域）均進(jìn)行了無線局域的覆蓋，以此來確保上述區(qū)域內(nèi)的各個終端可快速的與廠內(nèi)的網(wǎng)絡(luò)連接，防止網(wǎng)絡(luò)傳輸?shù)闹袛?。同時，根據(jù)“內(nèi)外網(wǎng)分離”的要求，生產(chǎn)無線局域網(wǎng)是基于內(nèi)網(wǎng)建設(shè)，與外網(wǎng)進(jìn)行物理隔離，確保信息安全。

1.2 設(shè)備組成

一般來說，大型無線局域網(wǎng)的設(shè)備由多個設(shè)備來組成（3層交換結(jié)構(gòu)、無線AP、無線終端、無線控制器）。整個無線局域網(wǎng)中，3層交換結(jié)構(gòu)是運(yùn)行的基礎(chǔ)；無線AP作為終端通信以及整個無線局域網(wǎng)的主要載體，其在運(yùn)行的過程中有胖（Fat）和瘦（Fit）兩種模式；對于無線終端的業(yè)務(wù)數(shù)據(jù)來說，主要是通過3層交換結(jié)構(gòu)來進(jìn)行控制以及傳輸；無線控制器不但可對訪問進(jìn)行控制，驗證多種方式的接入，還可對無線終端以及無線AP進(jìn)行監(jiān)控管理；為了提高管理的方便性和配置，本次所研究的無線網(wǎng)絡(luò)中的SP主要在Fat模式當(dāng)中運(yùn)行；當(dāng)前，無線終端設(shè)備類型多樣，手機(jī)、平板電腦、臺式機(jī)等均為我們?nèi)粘Ｋ玫降?，正是由于多種多樣的終端設(shè)備，才會對無線局域網(wǎng)的性能（穩(wěn)定、高效、可靠）提出了更多的要求。為此，需要建立一套實用可靠的網(wǎng)絡(luò)架構(gòu)[3]。

1.3 網(wǎng)絡(luò)拓?fù)?/h3>

通過旁掛模式，在核心交換機(jī)中接入無線控制器，在接入層POE交換機(jī)上接入無線AP。為了進(jìn)一步滿足網(wǎng)絡(luò)業(yè)務(wù)權(quán)限劃分的要求，本次創(chuàng)建方案中根據(jù)實際的需求情況劃分3個服務(wù)集標(biāo)識（SPDDR、PDZC、Guest）與 VLAN201、VLAN202、VLAN203 分別進(jìn)行對應(yīng)。其中，Guest僅能允許對電信公網(wǎng)以及本地局域網(wǎng)進(jìn)行訪問。在原本的網(wǎng)絡(luò)結(jié)構(gòu)中，按照生活區(qū)域、辦公區(qū)劃分了不同的VLAN，當(dāng)加入新的VLAN之后，需要于3層交換機(jī)對應(yīng)端口上配置trunk模式，以此來達(dá)到其他交換機(jī)中的相同VLAN通過共享鏈路通信的目的，促使有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)實現(xiàn)相互傳輸，避免重復(fù)建設(shè)線路，防止資源浪費(fèi)現(xiàn)象。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2 系統(tǒng)功能

2.1 安全性能

信息網(wǎng)絡(luò)總是存在不穩(wěn)定的因素威脅到其安全性，如近期爆發(fā)的“永恒之藍(lán)”勒索蠕蟲對網(wǎng)絡(luò)安全提出了更高的要求，對于開放的無線局域網(wǎng)來說，其網(wǎng)絡(luò)的危險性會更高。為此，對于一套安全可靠的無線局域網(wǎng)系統(tǒng)來說，除了可為終端業(yè)務(wù)提供支持以外，還應(yīng)該要保證接入以及行為安全的要求。

2.1.1 結(jié)構(gòu)安全

水電行業(yè)具有一定的特殊性。為此，對生產(chǎn)控制大區(qū)網(wǎng)絡(luò)、管理信息大區(qū)必須要采取物理隔離的措施。在本次所研究的網(wǎng)絡(luò)結(jié)構(gòu)中，對生產(chǎn)區(qū)域、管理信息大區(qū)隔離通過正向安全隔離裝置實現(xiàn)，這樣一來，電力生產(chǎn)控制網(wǎng)絡(luò)的安全性得到了顯著的提高。對于管理信息大區(qū)網(wǎng)絡(luò)來說，其在與電信公網(wǎng)的連接主要通過上網(wǎng)行為管控設(shè)備以及硬件防火墻來實現(xiàn)。在管理信息大區(qū)的內(nèi)部，對VLAN進(jìn)行了劃分，并綁定用戶的Mac地址。通過防攻擊措施以及對權(quán)限進(jìn)行分配，一方面可實現(xiàn)對內(nèi)部用戶的審計和管控，另一方面可防御外部網(wǎng)絡(luò)的攻擊。

2.1.2 WIDS（無線入侵檢測）的應(yīng)用

無線網(wǎng)絡(luò)不僅僅受到網(wǎng)絡(luò)外部的安全威脅，因為其自身具有開放性的特點，容易讓入侵者攻擊、破解無線網(wǎng)絡(luò)。為此，建立WIDS（無線入侵檢測）非常關(guān)鍵，具有重大的應(yīng)用意義。WIDS可對無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行檢測和分析，以此來判斷是否系統(tǒng)有入侵的發(fā)生以及系統(tǒng)是否遭受到破壞。除此之外，WIDS還可對用戶的活動進(jìn)行監(jiān)視和分析，檢測網(wǎng)絡(luò)行為是否非法，判斷入侵事件到底屬于哪一種類型，對于異常的網(wǎng)絡(luò)流量做出報警提示。

2.1.3 接入認(rèn)證及訪問控制

本次研究無線局域網(wǎng)系統(tǒng)中建立了VLAN以及SSID，以此來實現(xiàn)權(quán)限分級以及訪問控制。一般來說，具體的措施如下所述：

Portal網(wǎng)頁認(rèn)證為SSID“SPDDR”對應(yīng)的認(rèn)證方式，用戶的數(shù)據(jù)與一體化平臺Ra-di us服務(wù)器對接。公司需要注冊一個用戶名和對應(yīng)的密碼才能登入本平臺。正是公司一體化平臺系統(tǒng)實現(xiàn)了無縫的對接，才使得用戶的數(shù)據(jù)實現(xiàn)全面（無死角）覆蓋，也在很大程度減輕了大量繁瑣數(shù)據(jù)錄入工作量。

Mac地址認(rèn)證是SSID“PDZC”對應(yīng)的認(rèn)證方式，水電廠內(nèi)部的所有員工均為使用的對象。由于員工生活、工作等都在本無線網(wǎng)覆蓋范圍內(nèi)。為此，對于Portal網(wǎng)頁認(rèn)證的用戶來說，他們的體驗無法滿足實際的需求。在無線控制器的STA白名單中導(dǎo)入終端Mac地址，即可實現(xiàn)Mac地址僅在白名單范圍之內(nèi)以及用戶只需在網(wǎng)絡(luò)覆蓋范圍內(nèi)，即可實現(xiàn)自動連接并通過認(rèn)證使用網(wǎng)絡(luò)。

2.1.4 上網(wǎng)行為管理

為了進(jìn)一步加強(qiáng)對入網(wǎng)用戶的監(jiān)控和管理，避免資源濫用以及利用網(wǎng)絡(luò)途徑泄密等違法事件的發(fā)生，促使網(wǎng)速提升，為辦公應(yīng)用提供足夠的支持，需要在行為管控設(shè)備上制定各種預(yù)防管理措施，如控制網(wǎng)絡(luò)應(yīng)用、加強(qiáng)信息收發(fā)審計、對網(wǎng)頁訪問進(jìn)行過濾、分析用戶行為以及警告屏蔽不安全行為等等。

2.2 業(yè)務(wù)性能

只有不斷優(yōu)化網(wǎng)絡(luò)承載業(yè)務(wù)的性能，提高無線傳輸能力，才能滿足網(wǎng)絡(luò)使用的過程中包含有多種類型的業(yè)務(wù)（移動辦公、語音、視頻）的要求。為了不斷提升業(yè)務(wù)服務(wù)質(zhì)量，促使連接成功率提高，實現(xiàn)位置切換無縫漫游，達(dá)到提升用戶的體驗等目的，需要不斷優(yōu)化無線網(wǎng)絡(luò)業(yè)務(wù)性能。一般來說，可通過采取以下幾個措施來進(jìn)行優(yōu)化：①把AP的負(fù)載均衡配置在無線控制器上，結(jié)合終端當(dāng)前請求連接流量、數(shù)量的實際分布情況進(jìn)行均衡調(diào)節(jié)。②對用戶的信號強(qiáng)度進(jìn)行檢查并設(shè)置一個適當(dāng)?shù)拈T限值范圍，若用戶信號強(qiáng)度低于這個門限制的范圍，則需要對其采取強(qiáng)制方式讓其下線，以此確保AP與其他終端連接質(zhì)量，提高AP運(yùn)行的穩(wěn)定性。③建立統(tǒng)一的服務(wù)集并配置對應(yīng)的VLAN，實現(xiàn)無縫漫游，進(jìn)一步提高信號強(qiáng)度。

2.3 承載業(yè)務(wù)

①移動辦公的應(yīng)用：水電廠員工可在覆蓋區(qū)域使用終端進(jìn)行移動辦公，接入對應(yīng)網(wǎng)絡(luò)后即可查看數(shù)據(jù)、處理文件等等。②話音業(yè)務(wù)：可把無線網(wǎng)絡(luò)視做GSM網(wǎng)絡(luò)的一種補(bǔ)充，員工可使用終端在無線局域網(wǎng)覆蓋范圍內(nèi)進(jìn)行時時通話，提高通信網(wǎng)絡(luò)中斷的應(yīng)急處理能力。③視頻會議：無需面對面、無需召集所有人集合，只要在網(wǎng)絡(luò)覆蓋范圍內(nèi)，使用網(wǎng)絡(luò)終端即可開會。

3 結(jié)束語

無線局域網(wǎng)在智能水電廠建設(shè)中具有極高的應(yīng)用價值，加強(qiáng)后的無線傳輸加密技術(shù)安全可靠，可以順利實現(xiàn)多個業(yè)務(wù)的承載。本次所研究的無線局域網(wǎng)絡(luò)系統(tǒng)，創(chuàng)建了協(xié)同工作，實現(xiàn)了無死角網(wǎng)絡(luò)覆蓋，提高了無線傳輸能力，增強(qiáng)了用戶訪問的安全性抵御網(wǎng)絡(luò)外部入侵的能力，使水電廠各個系統(tǒng)實現(xiàn)智能協(xié)同以及有效運(yùn)行，為識別生產(chǎn)風(fēng)險、決策管理提供了安全可靠的業(yè)務(wù)支持。

[1]叢冠杰.無線局域網(wǎng)技術(shù)的現(xiàn)況及發(fā)展趨勢[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，12(01)：331-334.

[2]薄磊.無線局域網(wǎng)技術(shù)在水電廠建設(shè)中的應(yīng)用探究[J].電子制作，2015，17(08)：188-190.