宋柯，鄭懿，王智

無線局域網(wǎng)技術(shù)在智能水電廠建設(shè)中的應(yīng)用

宋柯，鄭懿，王智

（國電大渡河瀑布溝水力發(fā)電總廠，四川 雅安 625304）

介紹了無線局域網(wǎng)技術(shù)在瀑布溝智能水電廠建設(shè)中的實際應(yīng)用，通過用戶終端在覆蓋區(qū)域內(nèi)的實時漫游，為智能水電廠的生產(chǎn)管理提供智力支持，實現(xiàn)了較高的傳輸帶寬和承載能力，實際應(yīng)用證明無線局域網(wǎng)技術(shù)在智能水電廠建設(shè)中具有十分重要的實際意義。

無線局域網(wǎng)；Wifi；智能水電廠；安全性；業(yè)務(wù)承載

1　前言

伴隨著網(wǎng)絡(luò)、通信技術(shù)的高速發(fā)展，無線局域網(wǎng)技術(shù)（WirelessLan）在政府、企業(yè)和家庭中得到了廣泛的應(yīng)用。同樣，無線局域網(wǎng)技術(shù)在水電行業(yè)也有相應(yīng)的應(yīng)用，但受制于所用SOHO級無線路由器（接入點）的覆蓋性能、安全性能和轉(zhuǎn)發(fā)性能，大部分水電同行建設(shè)的無線局域網(wǎng)覆蓋效果往往并不理想，承擔(dān)的業(yè)務(wù)通常也僅限于日常辦公和生活娛樂。

近年來，隨著國電大渡河流域水電開發(fā)有限公司提出建設(shè)“智慧大渡河”的發(fā)展思路，瀑布溝水力發(fā)電總廠（以下簡稱“瀑電總廠”）的智能水電廠建設(shè)也加快進(jìn)程。智能水電廠的建設(shè)并不局限于生產(chǎn)設(shè)備的自動化、智能化升級和改造，承擔(dān)各項業(yè)務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)升級改造也迫在眉睫，將智能化電力生產(chǎn)與“互聯(lián)網(wǎng)+”通過無線局域網(wǎng)技術(shù)結(jié)合起來，成為了瀑電總廠建設(shè)智能水電廠的重要基礎(chǔ)項目。

建設(shè)一套安全、可靠、高速的無線局域網(wǎng)絡(luò)，首先要求現(xiàn)有業(yè)務(wù)能夠平滑過渡到新的網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中，同時要滿足智能水電廠建設(shè)中發(fā)展出來的新業(yè)務(wù)接入后的高擴(kuò)展性，用戶的實際體驗也是考量建設(shè)效果的重要標(biāo)準(zhǔn)之一。為了驗證無線局域網(wǎng)技術(shù)在智能水電廠建設(shè)中的可行性和可用性，瀑電總廠將無線局域網(wǎng)建設(shè)工程分期執(zhí)行，其中一期工程在管理信息大區(qū)（安全Ⅲ區(qū)）建設(shè)了一套無線局域網(wǎng)系統(tǒng)，為移動辦公、網(wǎng)絡(luò)話音業(yè)務(wù)以及生活娛樂等業(yè)務(wù)提供新的承載平臺。

2　系統(tǒng)結(jié)構(gòu)

企業(yè)級無線局域網(wǎng)的建設(shè)通常有兩種方案，①完全獨立敷設(shè)線纜，與原有有線網(wǎng)絡(luò)僅在核心層進(jìn)行數(shù)據(jù)交換；②在原有3層網(wǎng)絡(luò)結(jié)構(gòu)中的第3層——“接入層”上接入無線接入點（AP），并在核心層接入無線控制器，以實現(xiàn)對AP和STA（客戶端）的管理。本著充分利用現(xiàn)有資源的原則，瀑電總廠的無線局域網(wǎng)建設(shè)采用了以上第2種方案。

2.1覆蓋范圍

本著完全覆蓋、全局漫游的原則，瀑電總廠在辦公樓、宿舍樓等生產(chǎn)生活區(qū)域均作了完整的無線局域網(wǎng)覆蓋，以保證各類終端在以上各個區(qū)域均能快速地接入廠內(nèi)網(wǎng)絡(luò)，并且在移動過程中網(wǎng)絡(luò)業(yè)務(wù)不發(fā)生中斷。

2.2設(shè)備組成

大型無線局域網(wǎng)的設(shè)備組成通常包括了3層交換結(jié)構(gòu)、無線控制器、無線AP、無線終端等設(shè)備。3層交換結(jié)構(gòu)是整個無線局域網(wǎng)運行的基礎(chǔ)，無線終端的業(yè)務(wù)數(shù)據(jù)通過3層交換網(wǎng)絡(luò)進(jìn)行傳輸和控制；無線控制器是實現(xiàn)對無線AP、無線終端實時監(jiān)控和管理的重要設(shè)備，同時也能實現(xiàn)多種方式的接入驗證和訪問控制；無線AP是整個無線局域網(wǎng)與終端通信的主要載體，運行方式有Fat（胖）和Fit（瘦）模式，為了便于配置和管理，本無線網(wǎng)絡(luò)中AP均運行在Fit模式；無線終端種類繁多，常見的有筆記本電腦、手機(jī)、平板電腦等，正因為終端設(shè)備的多樣性，才向無線網(wǎng)絡(luò)的穩(wěn)定性、可靠性和安全性提出了更高要求，因此，更需要一套可用、可靠的網(wǎng)絡(luò)架構(gòu)。

2.3網(wǎng)絡(luò)拓?fù)?/p>

如圖1所示，無線控制器通過旁掛模式接至核心交換機(jī)，無線AP從接入層POE交換機(jī)上接入。

圖1　網(wǎng)絡(luò)拓?fù)鋱D

為了滿足網(wǎng)絡(luò)業(yè)務(wù)的多種權(quán)限劃分，瀑電總廠根據(jù)實際需求劃分了SPDDR、PDZC、Guest3個SSID（服務(wù)集標(biāo)識），分別對應(yīng)VLAN201、VLAN202、VLAN203。其中SPDDR、PDZC通過核心交換機(jī)配置后可與國電大渡河公司內(nèi)網(wǎng)通訊，Guest只允許訪問本地局域網(wǎng)和電信公網(wǎng)。

由于原網(wǎng)絡(luò)結(jié)構(gòu)中，根據(jù)辦公樓、宿舍樓等區(qū)域劃分了不同的VLAN，新的VLAN加入后需要在3層交換機(jī)對應(yīng)端口上配置trunk（中繼、透傳）模式，從而實現(xiàn)不同VLAN通過共享鏈路與其他交換機(jī)中的相同VLAN通信。如此一來，便實現(xiàn)了無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的同線路傳輸，避免了線路重復(fù)建設(shè)導(dǎo)致的資源浪費。

3　系統(tǒng)功能

3.1安全性能

眾所周知，信息網(wǎng)絡(luò)中存在著各種各樣的安全威脅，開放的無線局域網(wǎng)絡(luò)面臨著更多的危險，一套安全可靠的無線局域網(wǎng)應(yīng)在為終端提供足夠業(yè)務(wù)支持能力的前提下，滿足接入安全、行為安全等要求。

3.1.1結(jié)構(gòu)安全

由于水電行業(yè)的特殊性，管理信息大區(qū)（安全Ⅲ區(qū)）的網(wǎng)絡(luò)必須與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)進(jìn)行物理隔離，在瀑電總廠的網(wǎng)絡(luò)結(jié)構(gòu)中，管理信息大區(qū)與生產(chǎn)控制大區(qū)之間的隔離通過正向安全隔離裝置實現(xiàn)，有效保證了電力生產(chǎn)控制網(wǎng)絡(luò)的安全性。

管理信息大區(qū)網(wǎng)絡(luò)通過硬件防火墻、上網(wǎng)行為管控設(shè)備與電信公網(wǎng)連接，內(nèi)部劃分VLAN，對用戶的Mac地址進(jìn)行綁定，通過精密的權(quán)限分配和有力的防攻擊措施，實現(xiàn)對外部網(wǎng)絡(luò)攻擊的防范以及對內(nèi)部用戶的行為管控和審計。

3.1.2無線入侵檢測（WIDS）系統(tǒng)的應(yīng)用

除了來自網(wǎng)絡(luò)內(nèi)部用戶可能發(fā)生的攻擊威脅以外，由于無線網(wǎng)絡(luò)自身存在一定的開放性，入侵者可能對無線網(wǎng)絡(luò)進(jìn)行破解和攻擊，因此，建立一套可靠的無線入侵檢測系統(tǒng)（WIDS）就顯得尤為必要。無線入侵檢測系統(tǒng)通過分析無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)來判斷破壞系統(tǒng)和入侵事件，并用來監(jiān)視分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進(jìn)行報警。

本套無線局域網(wǎng)中，所采用的無線AP和無線控制器均支持WIDS系統(tǒng)功能，通過在無線控制器上將所有無線AP均納入WIDS系統(tǒng)檢測范圍，并開啟以下攻擊檢測功能：泛洪攻擊、WPA2-PSK暴力破解攻擊、WPA-PSK暴力破解攻擊、WEP-SHARE-KEY暴力破解攻擊、WAPI-PSK暴力破解攻擊及欺騙攻擊WEAK-IV檢測。檢測到可疑攻擊后，無線控制器內(nèi)部自動生成檢測日志，并執(zhí)行相應(yīng)的反制措施，例如，針對檢測到的仿冒APSSID或者非法Adhoc進(jìn)行反制。

3.1.3接入認(rèn)證及訪問控制

如前文所述，為了實現(xiàn)權(quán)限分級和訪問控制，本套無線局域網(wǎng)系統(tǒng)建立了多套SSID及對應(yīng)的VLAN。具體實施情況如下：

SSID“SPDDR”對應(yīng)的認(rèn)證方式為Portal網(wǎng)頁認(rèn)證，用戶數(shù)據(jù)直接與國電大渡河流域水電開發(fā)有限公司在“智慧大渡河”工程中建設(shè)的一體化平臺Radius服務(wù)器對接，全公司員工在本無線網(wǎng)中通過該平臺用戶名和密碼直接登錄便可使用網(wǎng)絡(luò)。由于與公司一體化平臺系統(tǒng)無縫對接，用戶數(shù)據(jù)真正做到了全公司零死角覆蓋，也大量減少了數(shù)據(jù)重復(fù)錄入的工作量。根據(jù)用戶實際需求，此SSID對應(yīng)的VLAN和路由配置為可與總廠和公司內(nèi)網(wǎng)、電信公網(wǎng)通信的網(wǎng)段，并開啟用戶間數(shù)據(jù)隔離。

SSID“PDZC”對應(yīng)的認(rèn)證方式為Mac地址認(rèn)證，使用對象為瀑電總廠內(nèi)部員工。由于總廠員工長時間都工作、生活在本無線網(wǎng)覆蓋范圍內(nèi)，因此Portal網(wǎng)頁認(rèn)證的用戶體驗就不能達(dá)到實際需求。通過將原錄入至行為管控設(shè)備的終端Mac地址導(dǎo)入至無線控制器的STA白名單，便實現(xiàn)了用戶只需在網(wǎng)絡(luò)覆蓋范圍內(nèi)，并且終端Mac地址在白名單范圍內(nèi)，即可自動連接并通過認(rèn)證使用網(wǎng)絡(luò)。此SSID對應(yīng)的VLAN和路由配置與上一SSID配置相似。

SSID“Guest”對應(yīng)的認(rèn)證方式為WPA2-PSK密碼認(rèn)證。通過設(shè)置復(fù)雜密碼，并定期進(jìn)行更換，從而實現(xiàn)終端接入的可管理性。由于此SSID面向的對象僅為外部來賓，因此，其所對應(yīng)VLAN和路由配置為僅允許訪問公用網(wǎng)絡(luò)。

3.1.4上網(wǎng)行為管理

為了對入網(wǎng)后的用戶使用行為進(jìn)行管控和審計，防止通過網(wǎng)絡(luò)途徑發(fā)生泄密、違法等事件，避免發(fā)生帶寬資源濫用，保障OA、ERP等辦公應(yīng)用得到足夠帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公體驗，在行為管控設(shè)備上制定了詳細(xì)的管控措施，主要實現(xiàn)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析，對不安全行為進(jìn)行屏蔽和警告，并及時記錄以備查驗。

3.2業(yè)務(wù)性能

由于網(wǎng)絡(luò)中實際使用的業(yè)務(wù)種類繁多，涉及移動辦公、視頻（云）會議、話音業(yè)務(wù)等多種業(yè)務(wù)，需要更大的無線帶寬及更高的無線傳輸能力，因此對無線網(wǎng)絡(luò)承載業(yè)務(wù)的性能提出了更高的要求。同時，由于大量AP的放裝，相鄰或相近AP之間如果存在同頻干擾也會導(dǎo)致連接成功率的下降。為滿足員工對于業(yè)務(wù)服務(wù)質(zhì)量（QoS）的要求，對無線網(wǎng)絡(luò)的信道分配及業(yè)務(wù)性能進(jìn)行優(yōu)化。

3.2.1信道優(yōu)化

根據(jù)802.11協(xié)議組標(biāo)準(zhǔn)，802.11b/g/n共支持13個信道，雖然中心頻率不同，但頻率范圍之間存在一些相互重疊的情況。相互之間完全不重疊的僅有3個信道——1/6/11信道，如圖2所示。

圖2　IEEE802.11bDSSS信道劃分（來自CISCO）

據(jù)圖2所示，為了降低同頻干擾的可能性，我們在相鄰AP上間隔配置1/6/113個信道。

3.2.2性能優(yōu)化

為提升用戶網(wǎng)絡(luò)體驗，提高網(wǎng)絡(luò)連接成功率，實現(xiàn)位置切換無縫漫游，主要采取以下措施：

（1）在無線控制器上配置AP的負(fù)載均衡，根據(jù)終端當(dāng)前請求連接的AP會話數(shù)量或流量分布，進(jìn)行動態(tài)負(fù)載均衡調(diào)節(jié)。

（2）開啟檢查用戶信號強(qiáng)度功能，設(shè)置適當(dāng)?shù)慕K端信號強(qiáng)度門限值，對低于該門限值的終端強(qiáng)制下線，從而保證相應(yīng)AP的運行穩(wěn)定性和其他終端的連接質(zhì)量。

（3）通過建立統(tǒng)一的服務(wù)集，配置相應(yīng)的VLAN，實現(xiàn)基于信號強(qiáng)度的無縫漫游。

3.3承載業(yè)務(wù)

3.3.1移動辦公的應(yīng)用

由于水電行業(yè)對于安全的特殊要求，瀑電總廠乃至國電大渡河公司許多辦公應(yīng)用均設(shè)置在內(nèi)部網(wǎng)絡(luò)內(nèi)，因此，員工對于移動辦公的需求往往難以得到滿足。隨著無線網(wǎng)絡(luò)覆蓋區(qū)域的全面完善，員工移動辦公的愿望逐漸得以實現(xiàn)。在覆蓋區(qū)域內(nèi)，員工通過終端瀏覽器或移動辦公應(yīng)用，即可即時接入相應(yīng)網(wǎng)絡(luò)，實時查看電力市場數(shù)據(jù)、總廠生產(chǎn)實況，隨時處理OA系統(tǒng)文件等。

3.3.2視頻會議（云會議）的應(yīng)用

通過在移動終端上部署視頻會議（云會議）APP，視頻會議參會人員在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)便可加入視頻會議，會議召集者無需專門召集參會人員到同一地點，即可召開會議。

3.3.3話音業(yè)務(wù)的應(yīng)用

由于水電廠往往地處山區(qū)，當(dāng)?shù)匾苿舆\營商網(wǎng)絡(luò)信號常因地質(zhì)災(zāi)害、線路故障、電源故障等原因?qū)е峦ㄐ判盘栔袛?。無線網(wǎng)絡(luò)的全面覆蓋，可視作對GSM網(wǎng)絡(luò)的補(bǔ)充和災(zāi)備。通過無線局域網(wǎng)，員工即可使用終端APP進(jìn)行即時通話，大大提高了對通信網(wǎng)絡(luò)中斷的應(yīng)急處理能力。

4　應(yīng)用展望

4.1在監(jiān)控系統(tǒng)中的應(yīng)用

在未來的智慧電廠全面建設(shè)當(dāng)中，監(jiān)控系統(tǒng)的智能化必然是重中之重，通過安全分區(qū)和數(shù)據(jù)隔離，部分?jǐn)?shù)據(jù)完全可以通過加強(qiáng)的無線網(wǎng)絡(luò)進(jìn)行傳輸，大大減少了線纜敷設(shè)的工作量。通過布置監(jiān)控系統(tǒng)專用移動終端，運行人員和生產(chǎn)管理人員無需隨時堅守生產(chǎn)現(xiàn)場，通過移動終端實時查看生產(chǎn)實況、判斷設(shè)備故障、發(fā)起缺陷處理需求。

4.2在巡檢工作中的應(yīng)用

4.2.1Wifi定位

水電廠的日常巡檢工作點多面廣，運行值班負(fù)責(zé)人對于巡檢人員的管理也較為不便。通過無線設(shè)備和電子地圖的交叉配置，可實現(xiàn)Wifi定位。巡檢人員手持帶Wifi功能的巡檢儀，運行值班負(fù)責(zé)人便可即時查看到巡檢人員所處位置，若需應(yīng)急處理便可直接聯(lián)系。

4.2.2實時數(shù)據(jù)傳輸

巡檢過程中，巡檢人員發(fā)現(xiàn)缺陷或?qū)υO(shè)備運行參數(shù)有疑問，可直接通過巡檢設(shè)備拍照、輸入數(shù)據(jù)后直接通過無線網(wǎng)絡(luò)傳輸給運行值班負(fù)責(zé)人和技術(shù)管理人員，實現(xiàn)在線的技術(shù)監(jiān)督和管理，也便于即時處理設(shè)備障礙，避免因處理不及時導(dǎo)致的故障擴(kuò)大。

4.3在現(xiàn)場作業(yè)中的應(yīng)用

4.3.1現(xiàn)場辦公

作業(yè)現(xiàn)場往往并未布置有線網(wǎng)絡(luò)通訊接口，作業(yè)人員如需在現(xiàn)場查詢技術(shù)參數(shù)和圖紙資料，通常需要往返于辦公室和作業(yè)現(xiàn)場之間。通過無線網(wǎng)絡(luò)全面覆蓋，作業(yè)人員便可直接查詢設(shè)備資料，節(jié)約作業(yè)時間、提高作業(yè)效率。

4.3.2現(xiàn)場通信信號的補(bǔ)充

由于部分作業(yè)區(qū)域移動通信信號較差，通過無線網(wǎng)絡(luò)亦可對GSM信號進(jìn)行補(bǔ)充，給作業(yè)人員提供了應(yīng)急通訊的另一種途徑。

4.3.3現(xiàn)場作業(yè)實時反饋

借助于無線網(wǎng)絡(luò)的高帶寬和高速率，作業(yè)人員可通過終端APP及時向技術(shù)管理人員匯報作業(yè)進(jìn)展，針對作業(yè)途中的細(xì)節(jié)問題也可通過此途徑進(jìn)行及時交流和溝通。

4.4無線圖傳

無線圖傳技術(shù)在航空航天領(lǐng)域已經(jīng)得到廣泛應(yīng)用，在水電行業(yè)中，亦可以通過無線局域網(wǎng)技術(shù)進(jìn)行實時圖像的無線傳輸，借以補(bǔ)充工業(yè)電視網(wǎng)絡(luò)布線中的死角，為相關(guān)人員實時查看設(shè)備工況提供更為完善的可視化參考。

5　結(jié)語

無線局域網(wǎng)在智能水電廠建設(shè)中的應(yīng)用空間非常廣闊，通過加強(qiáng)的無線加密技術(shù)和傳輸技術(shù)，可實現(xiàn)多業(yè)務(wù)同時承載，并具有較高的穩(wěn)定性、可靠性、安全性。本方案已在瀑電總廠得到了成功應(yīng)用，創(chuàng)建了全體員工的協(xié)同工作、數(shù)據(jù)實時交換和信息實時處理，使總廠各系統(tǒng)達(dá)到有效運行、智能協(xié)同，通過運用大數(shù)據(jù)分析技術(shù)和各種智能分析模型，為安全生產(chǎn)實現(xiàn)風(fēng)險識別自動化和決策管理智能化提供了可靠的業(yè)務(wù)支持。

[1]趙利杰.基于WiFi網(wǎng)絡(luò)的電廠引風(fēng)機(jī)的實時監(jiān)控系統(tǒng)的研究與設(shè)計[D].焦作：河南理工大學(xué)，2011.

[2]高宜文.基于Wi-Fi的智能無線網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)視頻采集與處理平臺的設(shè)計[D].天津：天津大學(xué)，2011.

[3]王德寬，張毅，劉曉波，等.智能水電廠自動化系統(tǒng)總體構(gòu)想初探[J].水電站機(jī)電技術(shù)，2011，34（3）：1-4.

[4]田亞釗，韓敬祖.WIFI定位技術(shù)及其在電廠中的應(yīng)用研究[C]//第二屆全國輸配電技術(shù)協(xié)作網(wǎng)年會暨2013中國國際輸配電技術(shù)創(chuàng)新與應(yīng)用交流會，2013.

[5]馬岳雷,葉燕,陳西偉.無線入侵檢測系統(tǒng)（WIDS）的研究[J].甘肅科技,2013，29（22）：23-26.

TV736

B

1672-5387（2016）08-0040-04

10.13599/j.cnki.11-5130.2016.08.012

2016-06-29

宋柯（1969-），男，高級工程師，從事信息化技術(shù)在水電廠的應(yīng)用和推廣工作。