无线局域网技术在智能水电厂建设中运用研究

冯肖荣

（大唐岩滩水力发电有限责任公司，广西 岩滩 530811）

0 前言

当前，无线局域网技术在水电行业得到了一定的应用，但由于受到转发、覆盖以及安全等性能的限制，导致无线局域网覆盖效果不甚理想[1]。为此，创建一套高效、可行的无线局域网络系统，满足智能水电厂建设业务拓展性、移动办公、生活娱乐等要求具有重要的现实意义。

1 系统结构

一般来说，企业级建设无线局域网的方案主要包括两种，一种是与原有有线网络仅交换核心层的数据，线缆的敷设完全独立；另外一种是把无线的接入点接入到原有3层网络结构的第3层（接入层），并把无线控制器接入到核心层中，以此便于管理客户端（STA）以及AP。基于提高资源利用率原则，本文主要对第2种创建方案进行研究[2]。

1.1 覆盖范围

为了满足完全覆盖要求，实现全局漫游，智能水电厂在各个区域（生活区域、办公区域、生产区域）均进行了无线局域的覆盖，以此来确保上述区域内的各个终端可快速的与厂内的网络连接，防止网络传输的中断。同时，根据“内外网分离”的要求，生产无线局域网是基于内网建设，与外网进行物理隔离，确保信息安全。

1.2 设备组成

一般来说，大型无线局域网的设备由多个设备来组成（3层交换结构、无线AP、无线终端、无线控制器）。整个无线局域网中，3层交换结构是运行的基础；无线AP作为终端通信以及整个无线局域网的主要载体，其在运行的过程中有胖（Fat）和瘦（Fit）两种模式；对于无线终端的业务数据来说，主要是通过3层交换结构来进行控制以及传输；无线控制器不但可对访问进行控制，验证多种方式的接入，还可对无线终端以及无线AP进行监控管理；为了提高管理的方便性和配置，本次所研究的无线网络中的SP主要在Fat模式当中运行；当前，无线终端设备类型多样，手机、平板电脑、台式机等均为我们日常所用到的，正是由于多种多样的终端设备，才会对无线局域网的性能（稳定、高效、可靠）提出了更多的要求。为此，需要建立一套实用可靠的网络架构[3]。

1.3 网络拓扑

通过旁挂模式，在核心交换机中接入无线控制器，在接入层POE交换机上接入无线AP。为了进一步满足网络业务权限划分的要求，本次创建方案中根据实际的需求情况划分3个服务集标识（SPDDR、PDZC、Guest）与 VLAN201、VLAN202、VLAN203 分别进行对应。其中，Guest仅能允许对电信公网以及本地局域网进行访问。在原本的网络结构中，按照生活区域、办公区划分了不同的VLAN，当加入新的VLAN之后，需要于3层交换机对应端口上配置trunk模式，以此来达到其他交换机中的相同VLAN通过共享链路通信的目的，促使有线网络、无线网络实现相互传输，避免重复建设线路，防止资源浪费现象。网络拓扑结构如图1所示。

图1 网络拓扑结构

2 系统功能

2.1 安全性能

信息网络总是存在不稳定的因素威胁到其安全性，如近期爆发的“永恒之蓝”勒索蠕虫对网络安全提出了更高的要求，对于开放的无线局域网来说，其网络的危险性会更高。为此，对于一套安全可靠的无线局域网系统来说，除了可为终端业务提供支持以外，还应该要保证接入以及行为安全的要求。

2.1.1 结构安全

水电行业具有一定的特殊性。为此，对生产控制大区网络、管理信息大区必须要采取物理隔离的措施。在本次所研究的网络结构中，对生产区域、管理信息大区隔离通过正向安全隔离装置实现，这样一来，电力生产控制网络的安全性得到了显著的提高。对于管理信息大区网络来说，其在与电信公网的连接主要通过上网行为管控设备以及硬件防火墙来实现。在管理信息大区的内部，对VLAN进行了划分，并绑定用户的Mac地址。通过防攻击措施以及对权限进行分配，一方面可实现对内部用户的审计和管控，另一方面可防御外部网络的攻击。

2.1.2 WIDS（无线入侵检测）的应用

无线网络不仅仅受到网络外部的安全威胁，因为其自身具有开放性的特点，容易让入侵者攻击、破解无线网络。为此，建立WIDS（无线入侵检测）非常关键，具有重大的应用意义。WIDS可对无线网络中传输的数据进行检测和分析，以此来判断是否系统有入侵的发生以及系统是否遭受到破坏。除此之外，WIDS还可对用户的活动进行监视和分析，检测网络行为是否非法，判断入侵事件到底属于哪一种类型，对于异常的网络流量做出报警提示。

2.1.3 接入认证及访问控制

本次研究无线局域网系统中建立了VLAN以及SSID，以此来实现权限分级以及访问控制。一般来说，具体的措施如下所述：

Portal网页认证为SSID“SPDDR”对应的认证方式，用户的数据与一体化平台Ra-di us服务器对接。公司需要注册一个用户名和对应的密码才能登入本平台。正是公司一体化平台系统实现了无缝的对接，才使得用户的数据实现全面（无死角）覆盖，也在很大程度减轻了大量繁琐数据录入工作量。

Mac地址认证是SSID“PDZC”对应的认证方式，水电厂内部的所有员工均为使用的对象。由于员工生活、工作等都在本无线网覆盖范围内。为此，对于Portal网页认证的用户来说，他们的体验无法满足实际的需求。在无线控制器的STA白名单中导入终端Mac地址，即可实现Mac地址仅在白名单范围之内以及用户只需在网络覆盖范围内，即可实现自动连接并通过认证使用网络。

2.1.4 上网行为管理

为了进一步加强对入网用户的监控和管理，避免资源滥用以及利用网络途径泄密等违法事件的发生，促使网速提升，为办公应用提供足够的支持，需要在行为管控设备上制定各种预防管理措施，如控制网络应用、加强信息收发审计、对网页访问进行过滤、分析用户行为以及警告屏蔽不安全行为等等。

2.2 业务性能

只有不断优化网络承载业务的性能，提高无线传输能力，才能满足网络使用的过程中包含有多种类型的业务（移动办公、语音、视频）的要求。为了不断提升业务服务质量，促使连接成功率提高，实现位置切换无缝漫游，达到提升用户的体验等目的，需要不断优化无线网络业务性能。一般来说，可通过采取以下几个措施来进行优化：①把AP的负载均衡配置在无线控制器上，结合终端当前请求连接流量、数量的实际分布情况进行均衡调节。②对用户的信号强度进行检查并设置一个适当的门限值范围，若用户信号强度低于这个门限制的范围，则需要对其采取强制方式让其下线，以此确保AP与其他终端连接质量，提高AP运行的稳定性。③建立统一的服务集并配置对应的VLAN，实现无缝漫游，进一步提高信号强度。

2.3 承载业务

①移动办公的应用：水电厂员工可在覆盖区域使用终端进行移动办公，接入对应网络后即可查看数据、处理文件等等。②话音业务：可把无线网络视做GSM网络的一种补充，员工可使用终端在无线局域网覆盖范围内进行时时通话，提高通信网络中断的应急处理能力。③视频会议：无需面对面、无需召集所有人集合，只要在网络覆盖范围内，使用网络终端即可开会。

3 结束语

无线局域网在智能水电厂建设中具有极高的应用价值，加强后的无线传输加密技术安全可靠，可以顺利实现多个业务的承载。本次所研究的无线局域网络系统，创建了协同工作，实现了无死角网络覆盖，提高了无线传输能力，增强了用户访问的安全性抵御网络外部入侵的能力，使水电厂各个系统实现智能协同以及有效运行，为识别生产风险、决策管理提供了安全可靠的业务支持。

[1]丛冠杰.无线局域网技术的现况及发展趋势[J].网络安全技术与应用，2016，12(01)：331-334.

[2]薄磊.无线局域网技术在水电厂建设中的应用探究[J].电子制作，2015，17(08)：188-190.