宋柯,郑懿,王智
无线局域网技术在智能水电厂建设中的应用
宋柯,郑懿,王智
(国电大渡河瀑布沟水力发电总厂,四川 雅安 625304)
介绍了无线局域网技术在瀑布沟智能水电厂建设中的实际应用,通过用户终端在覆盖区域内的实时漫游,为智能水电厂的生产管理提供智力支持,实现了较高的传输带宽和承载能力,实际应用证明无线局域网技术在智能水电厂建设中具有十分重要的实际意义。
无线局域网;Wifi;智能水电厂;安全性;业务承载
伴随着网络、通信技术的高速发展,无线局域网技术(WirelessLan)在政府、企业和家庭中得到了广泛的应用。同样,无线局域网技术在水电行业也有相应的应用,但受制于所用SOHO级无线路由器(接入点)的覆盖性能、安全性能和转发性能,大部分水电同行建设的无线局域网覆盖效果往往并不理想,承担的业务通常也仅限于日常办公和生活娱乐。
近年来,随着国电大渡河流域水电开发有限公司提出建设“智慧大渡河”的发展思路,瀑布沟水力发电总厂(以下简称“瀑电总厂”)的智能水电厂建设也加快进程。智能水电厂的建设并不局限于生产设备的自动化、智能化升级和改造,承担各项业务的网络结构升级改造也迫在眉睫,将智能化电力生产与“互联网+”通过无线局域网技术结合起来,成为了瀑电总厂建设智能水电厂的重要基础项目。
建设一套安全、可靠、高速的无线局域网络,首先要求现有业务能够平滑过渡到新的网络结构当中,同时要满足智能水电厂建设中发展出来的新业务接入后的高扩展性,用户的实际体验也是考量建设效果的重要标准之一。为了验证无线局域网技术在智能水电厂建设中的可行性和可用性,瀑电总厂将无线局域网建设工程分期执行,其中一期工程在管理信息大区(安全Ⅲ区)建设了一套无线局域网系统,为移动办公、网络话音业务以及生活娱乐等业务提供新的承载平台。
企业级无线局域网的建设通常有两种方案,①完全独立敷设线缆,与原有有线网络仅在核心层进行数据交换;②在原有3层网络结构中的第3层——“接入层”上接入无线接入点(AP),并在核心层接入无线控制器,以实现对AP和STA(客户端)的管理。本着充分利用现有资源的原则,瀑电总厂的无线局域网建设采用了以上第2种方案。
2.1覆盖范围
本着完全覆盖、全局漫游的原则,瀑电总厂在办公楼、宿舍楼等生产生活区域均作了完整的无线局域网覆盖,以保证各类终端在以上各个区域均能快速地接入厂内网络,并且在移动过程中网络业务不发生中断。
2.2设备组成
大型无线局域网的设备组成通常包括了3层交换结构、无线控制器、无线AP、无线终端等设备。3层交换结构是整个无线局域网运行的基础,无线终端的业务数据通过3层交换网络进行传输和控制;无线控制器是实现对无线AP、无线终端实时监控和管理的重要设备,同时也能实现多种方式的接入验证和访问控制;无线AP是整个无线局域网与终端通信的主要载体,运行方式有Fat(胖)和Fit(瘦)模式,为了便于配置和管理,本无线网络中AP均运行在Fit模式;无线终端种类繁多,常见的有笔记本电脑、手机、平板电脑等,正因为终端设备的多样性,才向无线网络的稳定性、可靠性和安全性提出了更高要求,因此,更需要一套可用、可靠的网络架构。
2.3网络拓扑
如图1所示,无线控制器通过旁挂模式接至核心交换机,无线AP从接入层POE交换机上接入。
图1 网络拓扑图
为了满足网络业务的多种权限划分,瀑电总厂根据实际需求划分了SPDDR、PDZC、Guest3个SSID(服务集标识),分别对应VLAN201、VLAN202、VLAN203。其中SPDDR、PDZC通过核心交换机配置后可与国电大渡河公司内网通讯,Guest只允许访问本地局域网和电信公网。
由于原网络结构中,根据办公楼、宿舍楼等区域划分了不同的VLAN,新的VLAN加入后需要在3层交换机对应端口上配置trunk(中继、透传)模式,从而实现不同VLAN通过共享链路与其他交换机中的相同VLAN通信。如此一来,便实现了无线网络与有线网络的同线路传输,避免了线路重复建设导致的资源浪费。
3.1安全性能
众所周知,信息网络中存在着各种各样的安全威胁,开放的无线局域网络面临着更多的危险,一套安全可靠的无线局域网应在为终端提供足够业务支持能力的前提下,满足接入安全、行为安全等要求。
3.1.1结构安全
由于水电行业的特殊性,管理信息大区(安全Ⅲ区)的网络必须与生产控制大区网络进行物理隔离,在瀑电总厂的网络结构中,管理信息大区与生产控制大区之间的隔离通过正向安全隔离装置实现,有效保证了电力生产控制网络的安全性。
管理信息大区网络通过硬件防火墙、上网行为管控设备与电信公网连接,内部划分VLAN,对用户的Mac地址进行绑定,通过精密的权限分配和有力的防攻击措施,实现对外部网络攻击的防范以及对内部用户的行为管控和审计。
3.1.2无线入侵检测(WIDS)系统的应用
除了来自网络内部用户可能发生的攻击威胁以外,由于无线网络自身存在一定的开放性,入侵者可能对无线网络进行破解和攻击,因此,建立一套可靠的无线入侵检测系统(WIDS)就显得尤为必要。无线入侵检测系统通过分析无线网络中传输的数据来判断破坏系统和入侵事件,并用来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。
本套无线局域网中,所采用的无线AP和无线控制器均支持WIDS系统功能,通过在无线控制器上将所有无线AP均纳入WIDS系统检测范围,并开启以下攻击检测功能:泛洪攻击、WPA2-PSK暴力破解攻击、WPA-PSK暴力破解攻击、WEP-SHARE-KEY暴力破解攻击、WAPI-PSK暴力破解攻击及欺骗攻击WEAK-IV检测。检测到可疑攻击后,无线控制器内部自动生成检测日志,并执行相应的反制措施,例如,针对检测到的仿冒APSSID或者非法Adhoc进行反制。
3.1.3接入认证及访问控制
如前文所述,为了实现权限分级和访问控制,本套无线局域网系统建立了多套SSID及对应的VLAN。具体实施情况如下:
SSID“SPDDR”对应的认证方式为Portal网页认证,用户数据直接与国电大渡河流域水电开发有限公司在“智慧大渡河”工程中建设的一体化平台Radius服务器对接,全公司员工在本无线网中通过该平台用户名和密码直接登录便可使用网络。由于与公司一体化平台系统无缝对接,用户数据真正做到了全公司零死角覆盖,也大量减少了数据重复录入的工作量。根据用户实际需求,此SSID对应的VLAN和路由配置为可与总厂和公司内网、电信公网通信的网段,并开启用户间数据隔离。
SSID“PDZC”对应的认证方式为Mac地址认证,使用对象为瀑电总厂内部员工。由于总厂员工长时间都工作、生活在本无线网覆盖范围内,因此Portal网页认证的用户体验就不能达到实际需求。通过将原录入至行为管控设备的终端Mac地址导入至无线控制器的STA白名单,便实现了用户只需在网络覆盖范围内,并且终端Mac地址在白名单范围内,即可自动连接并通过认证使用网络。此SSID对应的VLAN和路由配置与上一SSID配置相似。
SSID“Guest”对应的认证方式为WPA2-PSK密码认证。通过设置复杂密码,并定期进行更换,从而实现终端接入的可管理性。由于此SSID面向的对象仅为外部来宾,因此,其所对应VLAN和路由配置为仅允许访问公用网络。
3.1.4上网行为管理
为了对入网后的用户使用行为进行管控和审计,防止通过网络途径发生泄密、违法等事件,避免发生带宽资源滥用,保障OA、ERP等办公应用得到足够带宽支持,提升上网速度和网络办公体验,在行为管控设备上制定了详细的管控措施,主要实现网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析,对不安全行为进行屏蔽和警告,并及时记录以备查验。
3.2业务性能
由于网络中实际使用的业务种类繁多,涉及移动办公、视频(云)会议、话音业务等多种业务,需要更大的无线带宽及更高的无线传输能力,因此对无线网络承载业务的性能提出了更高的要求。同时,由于大量AP的放装,相邻或相近AP之间如果存在同频干扰也会导致连接成功率的下降。为满足员工对于业务服务质量(QoS)的要求,对无线网络的信道分配及业务性能进行优化。
3.2.1信道优化
根据802.11协议组标准,802.11b/g/n共支持13个信道,虽然中心频率不同,但频率范围之间存在一些相互重叠的情况。相互之间完全不重叠的仅有3个信道——1/6/11信道,如图2所示。
图2 IEEE802.11bDSSS信道划分(来自CISCO)
据图2所示,为了降低同频干扰的可能性,我们在相邻AP上间隔配置1/6/113个信道。
3.2.2性能优化
为提升用户网络体验,提高网络连接成功率,实现位置切换无缝漫游,主要采取以下措施:
(1)在无线控制器上配置AP的负载均衡,根据终端当前请求连接的AP会话数量或流量分布,进行动态负载均衡调节。
(2)开启检查用户信号强度功能,设置适当的终端信号强度门限值,对低于该门限值的终端强制下线,从而保证相应AP的运行稳定性和其他终端的连接质量。
(3)通过建立统一的服务集,配置相应的VLAN,实现基于信号强度的无缝漫游。
3.3承载业务
3.3.1移动办公的应用
由于水电行业对于安全的特殊要求,瀑电总厂乃至国电大渡河公司许多办公应用均设置在内部网络内,因此,员工对于移动办公的需求往往难以得到满足。随着无线网络覆盖区域的全面完善,员工移动办公的愿望逐渐得以实现。在覆盖区域内,员工通过终端浏览器或移动办公应用,即可即时接入相应网络,实时查看电力市场数据、总厂生产实况,随时处理OA系统文件等。
3.3.2视频会议(云会议)的应用
通过在移动终端上部署视频会议(云会议)APP,视频会议参会人员在无线网络覆盖范围内便可加入视频会议,会议召集者无需专门召集参会人员到同一地点,即可召开会议。
3.3.3话音业务的应用
由于水电厂往往地处山区,当地移动运营商网络信号常因地质灾害、线路故障、电源故障等原因导致通信信号中断。无线网络的全面覆盖,可视作对GSM网络的补充和灾备。通过无线局域网,员工即可使用终端APP进行即时通话,大大提高了对通信网络中断的应急处理能力。
4.1在监控系统中的应用
在未来的智慧电厂全面建设当中,监控系统的智能化必然是重中之重,通过安全分区和数据隔离,部分数据完全可以通过加强的无线网络进行传输,大大减少了线缆敷设的工作量。通过布置监控系统专用移动终端,运行人员和生产管理人员无需随时坚守生产现场,通过移动终端实时查看生产实况、判断设备故障、发起缺陷处理需求。
4.2在巡检工作中的应用
4.2.1Wifi定位
水电厂的日常巡检工作点多面广,运行值班负责人对于巡检人员的管理也较为不便。通过无线设备和电子地图的交叉配置,可实现Wifi定位。巡检人员手持带Wifi功能的巡检仪,运行值班负责人便可即时查看到巡检人员所处位置,若需应急处理便可直接联系。
4.2.2实时数据传输
巡检过程中,巡检人员发现缺陷或对设备运行参数有疑问,可直接通过巡检设备拍照、输入数据后直接通过无线网络传输给运行值班负责人和技术管理人员,实现在线的技术监督和管理,也便于即时处理设备障碍,避免因处理不及时导致的故障扩大。
4.3在现场作业中的应用
4.3.1现场办公
作业现场往往并未布置有线网络通讯接口,作业人员如需在现场查询技术参数和图纸资料,通常需要往返于办公室和作业现场之间。通过无线网络全面覆盖,作业人员便可直接查询设备资料,节约作业时间、提高作业效率。
4.3.2现场通信信号的补充
由于部分作业区域移动通信信号较差,通过无线网络亦可对GSM信号进行补充,给作业人员提供了应急通讯的另一种途径。
4.3.3现场作业实时反馈
借助于无线网络的高带宽和高速率,作业人员可通过终端APP及时向技术管理人员汇报作业进展,针对作业途中的细节问题也可通过此途径进行及时交流和沟通。
4.4无线图传
无线图传技术在航空航天领域已经得到广泛应用,在水电行业中,亦可以通过无线局域网技术进行实时图像的无线传输,借以补充工业电视网络布线中的死角,为相关人员实时查看设备工况提供更为完善的可视化参考。
无线局域网在智能水电厂建设中的应用空间非常广阔,通过加强的无线加密技术和传输技术,可实现多业务同时承载,并具有较高的稳定性、可靠性、安全性。本方案已在瀑电总厂得到了成功应用,创建了全体员工的协同工作、数据实时交换和信息实时处理,使总厂各系统达到有效运行、智能协同,通过运用大数据分析技术和各种智能分析模型,为安全生产实现风险识别自动化和决策管理智能化提供了可靠的业务支持。
[1]赵利杰.基于WiFi网络的电厂引风机的实时监控系统的研究与设计[D].焦作:河南理工大学,2011.
[2]高宜文.基于Wi-Fi的智能无线网络视频监控系统视频采集与处理平台的设计[D].天津:天津大学,2011.
[3]王德宽,张毅,刘晓波,等.智能水电厂自动化系统总体构想初探[J].水电站机电技术,2011,34(3):1-4.
[4]田亚钊,韩敬祖.WIFI定位技术及其在电厂中的应用研究[C]//第二届全国输配电技术协作网年会暨2013中国国际输配电技术创新与应用交流会,2013.
[5]马岳雷,叶燕,陈西伟.无线入侵检测系统(WIDS)的研究[J].甘肃科技,2013,29(22):23-26.
TV736
B
1672-5387(2016)08-0040-04
10.13599/j.cnki.11-5130.2016.08.012
2016-06-29
宋柯(1969-),男,高级工程师,从事信息化技术在水电厂的应用和推广工作。