無線局域網技術在智能水電廠建設中的應用

宋柯，鄭懿，王智

無線局域網技術在智能水電廠建設中的應用

宋柯，鄭懿，王智

（國電大渡河瀑布溝水力發電總廠，四川 雅安 625304）

介紹了無線局域網技術在瀑布溝智能水電廠建設中的實際應用，通過用戶終端在覆蓋區域內的實時漫游，為智能水電廠的生產管理提供智力支持，實現了較高的傳輸帶寬和承載能力，實際應用證明無線局域網技術在智能水電廠建設中具有十分重要的實際意義。

無線局域網；Wifi；智能水電廠；安全性；業務承載

1　前言

伴隨著網絡、通信技術的高速發展，無線局域網技術（WirelessLan）在政府、企業和家庭中得到了廣泛的應用。同樣，無線局域網技術在水電行業也有相應的應用，但受制于所用SOHO級無線路由器（接入點）的覆蓋性能、安全性能和轉發性能，大部分水電同行建設的無線局域網覆蓋效果往往并不理想，承擔的業務通常也僅限于日常辦公和生活娛樂。

近年來，隨著國電大渡河流域水電開發有限公司提出建設“智慧大渡河”的發展思路，瀑布溝水力發電總廠（以下簡稱“瀑電總廠”）的智能水電廠建設也加快進程。智能水電廠的建設并不局限于生產設備的自動化、智能化升級和改造，承擔各項業務的網絡結構升級改造也迫在眉睫，將智能化電力生產與“互聯網+”通過無線局域網技術結合起來，成為了瀑電總廠建設智能水電廠的重要基礎項目。

建設一套安全、可靠、高速的無線局域網絡，首先要求現有業務能夠平滑過渡到新的網絡結構當中，同時要滿足智能水電廠建設中發展出來的新業務接入后的高擴展性，用戶的實際體驗也是考量建設效果的重要標準之一。為了驗證無線局域網技術在智能水電廠建設中的可行性和可用性，瀑電總廠將無線局域網建設工程分期執行，其中一期工程在管理信息大區（安全Ⅲ區）建設了一套無線局域網系統，為移動辦公、網絡話音業務以及生活娛樂等業務提供新的承載平臺。

2　系統結構

企業級無線局域網的建設通常有兩種方案，①完全獨立敷設線纜，與原有有線網絡僅在核心層進行數據交換；②在原有3層網絡結構中的第3層——“接入層”上接入無線接入點（AP），并在核心層接入無線控制器，以實現對AP和STA（客戶端）的管理。本著充分利用現有資源的原則，瀑電總廠的無線局域網建設采用了以上第2種方案。

2.1覆蓋范圍

本著完全覆蓋、全局漫游的原則，瀑電總廠在辦公樓、宿舍樓等生產生活區域均作了完整的無線局域網覆蓋，以保證各類終端在以上各個區域均能快速地接入廠內網絡，并且在移動過程中網絡業務不發生中斷。

2.2設備組成

大型無線局域網的設備組成通常包括了3層交換結構、無線控制器、無線AP、無線終端等設備。3層交換結構是整個無線局域網運行的基礎，無線終端的業務數據通過3層交換網絡進行傳輸和控制；無線控制器是實現對無線AP、無線終端實時監控和管理的重要設備，同時也能實現多種方式的接入驗證和訪問控制；無線AP是整個無線局域網與終端通信的主要載體，運行方式有Fat（胖）和Fit（瘦）模式，為了便于配置和管理，本無線網絡中AP均運行在Fit模式；無線終端種類繁多，常見的有筆記本電腦、手機、平板電腦等，正因為終端設備的多樣性，才向無線網絡的穩定性、可靠性和安全性提出了更高要求，因此，更需要一套可用、可靠的網絡架構。

2.3網絡拓撲

如圖1所示，無線控制器通過旁掛模式接至核心交換機，無線AP從接入層POE交換機上接入。

圖1　網絡拓撲圖

為了滿足網絡業務的多種權限劃分，瀑電總廠根據實際需求劃分了SPDDR、PDZC、Guest3個SSID（服務集標識），分別對應VLAN201、VLAN202、VLAN203。其中SPDDR、PDZC通過核心交換機配置后可與國電大渡河公司內網通訊，Guest只允許訪問本地局域網和電信公網。

由于原網絡結構中，根據辦公樓、宿舍樓等區域劃分了不同的VLAN，新的VLAN加入后需要在3層交換機對應端口上配置trunk（中繼、透傳）模式，從而實現不同VLAN通過共享鏈路與其他交換機中的相同VLAN通信。如此一來，便實現了無線網絡與有線網絡的同線路傳輸，避免了線路重復建設導致的資源浪費。

3　系統功能

3.1安全性能

眾所周知，信息網絡中存在著各種各樣的安全威脅，開放的無線局域網絡面臨著更多的危險，一套安全可靠的無線局域網應在為終端提供足夠業務支持能力的前提下，滿足接入安全、行為安全等要求。

3.1.1結構安全

由于水電行業的特殊性，管理信息大區（安全Ⅲ區）的網絡必須與生產控制大區網絡進行物理隔離，在瀑電總廠的網絡結構中，管理信息大區與生產控制大區之間的隔離通過正向安全隔離裝置實現，有效保證了電力生產控制網絡的安全性。

管理信息大區網絡通過硬件防火墻、上網行為管控設備與電信公網連接，內部劃分VLAN，對用戶的Mac地址進行綁定，通過精密的權限分配和有力的防攻擊措施，實現對外部網絡攻擊的防范以及對內部用戶的行為管控和審計。

3.1.2無線入侵檢測（WIDS）系統的應用

除了來自網絡內部用戶可能發生的攻擊威脅以外，由于無線網絡自身存在一定的開放性，入侵者可能對無線網絡進行破解和攻擊，因此，建立一套可靠的無線入侵檢測系統（WIDS）就顯得尤為必要。無線入侵檢測系統通過分析無線網絡中傳輸的數據來判斷破壞系統和入侵事件，并用來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。

本套無線局域網中，所采用的無線AP和無線控制器均支持WIDS系統功能，通過在無線控制器上將所有無線AP均納入WIDS系統檢測范圍，并開啟以下攻擊檢測功能：泛洪攻擊、WPA2-PSK暴力破解攻擊、WPA-PSK暴力破解攻擊、WEP-SHARE-KEY暴力破解攻擊、WAPI-PSK暴力破解攻擊及欺騙攻擊WEAK-IV檢測。檢測到可疑攻擊后，無線控制器內部自動生成檢測日志，并執行相應的反制措施，例如，針對檢測到的仿冒APSSID或者非法Adhoc進行反制。

3.1.3接入認證及訪問控制

如前文所述，為了實現權限分級和訪問控制，本套無線局域網系統建立了多套SSID及對應的VLAN。具體實施情況如下：

SSID“SPDDR”對應的認證方式為Portal網頁認證，用戶數據直接與國電大渡河流域水電開發有限公司在“智慧大渡河”工程中建設的一體化平臺Radius服務器對接，全公司員工在本無線網中通過該平臺用戶名和密碼直接登錄便可使用網絡。由于與公司一體化平臺系統無縫對接，用戶數據真正做到了全公司零死角覆蓋，也大量減少了數據重復錄入的工作量。根據用戶實際需求，此SSID對應的VLAN和路由配置為可與總廠和公司內網、電信公網通信的網段，并開啟用戶間數據隔離。

SSID“PDZC”對應的認證方式為Mac地址認證，使用對象為瀑電總廠內部員工。由于總廠員工長時間都工作、生活在本無線網覆蓋范圍內，因此Portal網頁認證的用戶體驗就不能達到實際需求。通過將原錄入至行為管控設備的終端Mac地址導入至無線控制器的STA白名單，便實現了用戶只需在網絡覆蓋范圍內，并且終端Mac地址在白名單范圍內，即可自動連接并通過認證使用網絡。此SSID對應的VLAN和路由配置與上一SSID配置相似。

SSID“Guest”對應的認證方式為WPA2-PSK密碼認證。通過設置復雜密碼，并定期進行更換，從而實現終端接入的可管理性。由于此SSID面向的對象僅為外部來賓，因此，其所對應VLAN和路由配置為僅允許訪問公用網絡。

3.1.4上網行為管理

為了對入網后的用戶使用行為進行管控和審計，防止通過網絡途徑發生泄密、違法等事件，避免發生帶寬資源濫用，保障OA、ERP等辦公應用得到足夠帶寬支持，提升上網速度和網絡辦公體驗，在行為管控設備上制定了詳細的管控措施，主要實現網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析，對不安全行為進行屏蔽和警告，并及時記錄以備查驗。

3.2業務性能

由于網絡中實際使用的業務種類繁多，涉及移動辦公、視頻（云）會議、話音業務等多種業務，需要更大的無線帶寬及更高的無線傳輸能力，因此對無線網絡承載業務的性能提出了更高的要求。同時，由于大量AP的放裝，相鄰或相近AP之間如果存在同頻干擾也會導致連接成功率的下降。為滿足員工對于業務服務質量（QoS）的要求，對無線網絡的信道分配及業務性能進行優化。

3.2.1信道優化

根據802.11協議組標準，802.11b/g/n共支持13個信道，雖然中心頻率不同，但頻率范圍之間存在一些相互重疊的情況。相互之間完全不重疊的僅有3個信道——1/6/11信道，如圖2所示。

圖2　IEEE802.11bDSSS信道劃分（來自CISCO）

據圖2所示，為了降低同頻干擾的可能性，我們在相鄰AP上間隔配置1/6/113個信道。

3.2.2性能優化

為提升用戶網絡體驗，提高網絡連接成功率，實現位置切換無縫漫游，主要采取以下措施：

（1）在無線控制器上配置AP的負載均衡，根據終端當前請求連接的AP會話數量或流量分布，進行動態負載均衡調節。

（2）開啟檢查用戶信號強度功能，設置適當的終端信號強度門限值，對低于該門限值的終端強制下線，從而保證相應AP的運行穩定性和其他終端的連接質量。

（3）通過建立統一的服務集，配置相應的VLAN，實現基于信號強度的無縫漫游。

3.3承載業務

3.3.1移動辦公的應用

由于水電行業對于安全的特殊要求，瀑電總廠乃至國電大渡河公司許多辦公應用均設置在內部網絡內，因此，員工對于移動辦公的需求往往難以得到滿足。隨著無線網絡覆蓋區域的全面完善，員工移動辦公的愿望逐漸得以實現。在覆蓋區域內，員工通過終端瀏覽器或移動辦公應用，即可即時接入相應網絡，實時查看電力市場數據、總廠生產實況，隨時處理OA系統文件等。

3.3.2視頻會議（云會議）的應用

通過在移動終端上部署視頻會議（云會議）APP，視頻會議參會人員在無線網絡覆蓋范圍內便可加入視頻會議，會議召集者無需專門召集參會人員到同一地點，即可召開會議。

3.3.3話音業務的應用

由于水電廠往往地處山區，當地移動運營商網絡信號常因地質災害、線路故障、電源故障等原因導致通信信號中斷。無線網絡的全面覆蓋，可視作對GSM網絡的補充和災備。通過無線局域網，員工即可使用終端APP進行即時通話，大大提高了對通信網絡中斷的應急處理能力。

4　應用展望

4.1在監控系統中的應用

在未來的智慧電廠全面建設當中，監控系統的智能化必然是重中之重，通過安全分區和數據隔離，部分數據完全可以通過加強的無線網絡進行傳輸，大大減少了線纜敷設的工作量。通過布置監控系統專用移動終端，運行人員和生產管理人員無需隨時堅守生產現場，通過移動終端實時查看生產實況、判斷設備故障、發起缺陷處理需求。

4.2在巡檢工作中的應用

4.2.1Wifi定位

水電廠的日常巡檢工作點多面廣，運行值班負責人對于巡檢人員的管理也較為不便。通過無線設備和電子地圖的交叉配置，可實現Wifi定位。巡檢人員手持帶Wifi功能的巡檢儀，運行值班負責人便可即時查看到巡檢人員所處位置，若需應急處理便可直接聯系。

4.2.2實時數據傳輸

巡檢過程中，巡檢人員發現缺陷或對設備運行參數有疑問，可直接通過巡檢設備拍照、輸入數據后直接通過無線網絡傳輸給運行值班負責人和技術管理人員，實現在線的技術監督和管理，也便于即時處理設備障礙，避免因處理不及時導致的故障擴大。

4.3在現場作業中的應用

4.3.1現場辦公

作業現場往往并未布置有線網絡通訊接口，作業人員如需在現場查詢技術參數和圖紙資料，通常需要往返于辦公室和作業現場之間。通過無線網絡全面覆蓋，作業人員便可直接查詢設備資料，節約作業時間、提高作業效率。

4.3.2現場通信信號的補充

由于部分作業區域移動通信信號較差，通過無線網絡亦可對GSM信號進行補充，給作業人員提供了應急通訊的另一種途徑。

4.3.3現場作業實時反饋

借助于無線網絡的高帶寬和高速率，作業人員可通過終端APP及時向技術管理人員匯報作業進展，針對作業途中的細節問題也可通過此途徑進行及時交流和溝通。

4.4無線圖傳

無線圖傳技術在航空航天領域已經得到廣泛應用，在水電行業中，亦可以通過無線局域網技術進行實時圖像的無線傳輸，借以補充工業電視網絡布線中的死角，為相關人員實時查看設備工況提供更為完善的可視化參考。

5　結語

無線局域網在智能水電廠建設中的應用空間非常廣闊，通過加強的無線加密技術和傳輸技術，可實現多業務同時承載，并具有較高的穩定性、可靠性、安全性。本方案已在瀑電總廠得到了成功應用，創建了全體員工的協同工作、數據實時交換和信息實時處理，使總廠各系統達到有效運行、智能協同，通過運用大數據分析技術和各種智能分析模型，為安全生產實現風險識別自動化和決策管理智能化提供了可靠的業務支持。

[1]趙利杰.基于WiFi網絡的電廠引風機的實時監控系統的研究與設計[D].焦作：河南理工大學，2011.

[2]高宜文.基于Wi-Fi的智能無線網絡視頻監控系統視頻采集與處理平臺的設計[D].天津：天津大學，2011.

[3]王德寬，張毅，劉曉波，等.智能水電廠自動化系統總體構想初探[J].水電站機電技術，2011，34（3）：1-4.

[4]田亞釗，韓敬祖.WIFI定位技術及其在電廠中的應用研究[C]//第二屆全國輸配電技術協作網年會暨2013中國國際輸配電技術創新與應用交流會，2013.

[5]馬岳雷,葉燕,陳西偉.無線入侵檢測系統（WIDS）的研究[J].甘肅科技,2013，29（22）：23-26.

TV736

B

1672-5387（2016）08-0040-04

10.13599/j.cnki.11-5130.2016.08.012

2016-06-29

宋柯（1969-），男，高級工程師，從事信息化技術在水電廠的應用和推廣工作。