基于变电站无线WAPI光纤环网方式的研究

清远电力规划设计院有限公司 冯基伟 潘世成 戴争干 陈少敏

随着智能电网的迅速普及发展，变电站需求接入业务的日益多样化。如面向大带宽的业务（机器人巡检、视频监控、物联网等）、面向大连接的业务（一次设备状态信息采集、电力设备现场检修和协同调试、分布式在线监测等）、面向移动通信的业务（变电站移动巡检、无人机应用、移动作业等），这些业务总体呈现出大带宽、大连接、移动性的特点，当前变电站内传统有线通信方式无法满足，因此中国南方电网在积极推动变电厂站无线局域网建设落地，采用了更优于Wi-Fi的WAPI协议解决方案，但在具体实施当中，变电站的固有特性对“最后一公里”的落地存在着很大的影响因素。

1 变电站无线WAPI采用光纤环网的意义

1.1 防外力破坏意义十分明显

首先，WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构）是一种安全协议，同时也是中国无线局域网安全强制性最新标准。2003年5月发布为中国国家标准GB 15629.11-2003，2010年核心技术发布为国际标准ISO/IEC 9798-3/Amd.1，有区别于美国早期制定的Wi-Fi（Wireless Fidelity，无线保真）协议，具备3个先天性优点：采用三元对等安全架构，接入点（AP）具有独立身份，用户端和AP直接双向鉴别；采用中国国产密码算法SM4；采用证书认证方式。

以上3点使WAPI自身具备更高的安全性，但处于变电站的常规环境中，由于外部环境因素非常恶劣，如户外温湿度变化大、大电流强电磁场干扰、小动物鼠患等外力破坏等，使得设备容易受损，无线局域网整体安全性下降，本论文通过研究具体的应对措施如选型设备、匹配参数等，使得WAPI无线局域网在抵御温湿度变化、避免电磁场干扰、防小动物等外力破坏方面具备更高的效能，内外兼修，整体的安全性更高。

1.2 提高通道可靠性意义十分明显

WAPI无线局域网中，无线AP接入层组网方式往往采用星型或链条性方式，当单一设备或单一链路出现故障时会导致整个传输链条发生中断，通道可靠性不高，本论文通过研究优化组网方式，以具体成功实施的案例做分析，应用工业以太网交换机组建光纤自愈环网，满足WAPI无线局域网高可靠性的严格要求。

2 现有技术存在的缺点及应对措施

2.1 变电站户外环境因素恶劣

WAPI无线局域网中的设备如无线AP接入点、无线终端等安装于变电站的户外场所，通过数据线、电源线在一次场地互相联通，而变电站户外环境因素非常恶劣，主要影响因素为户外温湿度变化大、大电流强电磁场干扰、小动物鼠患破坏这3种。

应对于户外温湿度变化大情况，在设备选型方面，无线AP接入点、无线终端、户外综合配线箱产品外壳的防护等级（防尘防水等级）优先选择为“IP54”，即防尘为5级、防水等级为4级；应对于变电站大电流强电磁场干扰情况，一是传输介质优选光缆，信号传递不受电磁干扰。二是电源线采用RVVP电缆，为带屏蔽的聚氯乙烯绝缘-聚氯乙烯护套软电线，由于采用了铜丝编织屏蔽具有更佳的电磁兼容特性，特别适用于电磁恶劣环境。三是室外无线AP安装高度控制在场地标高的2.2～2.5米范围内，避开大电流高压导线的电磁场强力影响范围；应对于小动物鼠患破坏情况，光缆选型GYFTZY63,能起到防蚂蚁、老鼠咬的作用，外套直径32mm HDPE软管保护，安全性更高。

2.2 WAPI无线局域网组网方式可靠性不高

WAPI采用的是三元结构，整个系统由STA（Station，终端）、AP（Access Point，无线接入点）和AS（Authentication Service Unit，认证服务单元）组成。WAPI三元独立身份对等双向鉴别，在三者认证方面安全性高，但存在的弊端主要在于通道传输过程的可靠性不高：一是AS与AP间通道可靠性低，由于无线局域网组网采用星型或链条型结构，如有存在单一设备（电源、交换机）或单一链路（光口、电口）故障情况下，均会导致最终全程的通道中断；二是STA与AP间通道可靠性低，业务终端STA在实际应用场景，如机器人在移动中自动巡防需在多个AP间进行切换，如切换时间不及时出现通道卡顿，最终会导致全程的通道中断。针对以上两点应对措施如下。

一是提高AS与AP间传输通道可靠性，通过选用工业以太网交换机组成光纤自愈环网，配置快速环网保护协议采用EAPS（Ethernet Automatic Protection Switching，以太网链路自动保护协议）或ERPS（Ethernet Ring Protection Switching，以太网多环保护技术）之一，在环网拓扑完整的情况下阻塞一条链路，防止出现数据环路形成广播风暴。当出现设备故障或链路中断的情况下，协议迅速恢复之前阻断的链路，使环网各节点之间恢复通信，从而避免单一设备单一链路故障导致传输中断。

二是提高STA与AP间传输通道可靠性，通过控制交换机MAC地址表的老化，来保证拓扑变化时数据报文可以被发送到正确的链路。一般情况下MAC地址在地址表中的老化时间是300秒,环网保护协议可控制交换机MAC地址表在极短时间内老化。在网络状况良好情况下，环网保护协议恢复网络通信的时间可小于50毫秒，从而使得通道快速切换自愈，大幅提高了STA与AP间传输通道可靠性；三是提升AP的布点覆盖密度，户外AP按照覆盖半径50米预估、室内AP按照覆盖半径15米预估，核心区域全覆盖，通过提升AP布点覆盖密度，加快WAPI漫游的切换时间，同时也可减少单一AP设备故障对终端STA的影响。

3 无线WAPI工业以太网光纤自愈环网具体配置方案

3.1 相关配置

在通信机房配置2套三层交换机（F、G），与北向主调备调侧设备采用双光链路相连。变电站侧配置：变电站内主控室、通信室、继保室、配电室及围墙内侧墙身安装配置4千光4千电工业二层以太网交换机（A、B、C、D、E）组成接入环网，可组成单一环网（主控室、通信室、继保室、配电室及围墙工业以太网交换机同一环网），工业以太网交换机总数量≥3；或组成双环网（主控室、通信室、继保室、配电室工业以太网交换机组成1个环网，围墙工业以太网交换机组成另1个环网），工业以太网交换机总数量≥6；二层接入环网与三层交换机（F、G）采用双设备双链路冗余连接方式。

保护协议配置：二层接入环网（A-B-C-D-E）配置环网倒换协议，构造光纤自愈环网功能，环网倒换协议采用EAPS或ERPS之一；连接处（C、D、G、F），可在三层交换机处G、F配置VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议），减低单一路由器故障，单点失效造成的通道中断风险，或者C与F重合为1台三层交换机,D与G重合为1台三层交换机，可配置OSPF路由协议（Open Shortest Path First，开放式最短路径优先），加快路由变化收敛速度。

3.2 自愈环网作用示例说明

室内AP及室外AP接入工业以太网光纤自愈环网，机器人或物联网无线WAPI业务通道在正常情况下，可按设变链路路径A-B-C-F与主调备调进行数据双向交流，在以下故障情况下，如：工业以太网交换机B故障、工业以太网交换机C故障、三层交换机F故障、光链路A-B段故障、光链路B-C段故障、光链路C-F段故障，均可导致通道出现中断的情况，无线WAPI业务通道在自愈环网作用下，皆可快速切换故障通道至备用通道路径A-E-D-G，恢复业务的正常交流，在故障消除后业务通道可恢复至原来设变的链路路径A-B-C-F，故障切换时间≤50毫秒,满足无线WAPI业务通道可靠性的运行要求。

3.3 EAPS协议具体配置示例

下面以EAPS为例做具体配置，如图1主节点S1和传输节点S2的配置如下，其它节点的传输节点配置与S2基本相同。在主交换机（主节点S1）的网络中会存在备用端口（F0/3次端口），所谓备用端口就是在紧急情况下可进行网络修复[1]。

图1 EAPS以太环网保护配置示例图

3.3.1 配置交换机S1

关闭生成树协议并配置环网传输节点：S1_config# no spanning-tree；S1_config# etherring 1；S1_config_ring1# control-vlan 2；S1_config_ring1# master-node。配置时间参数：S1_config_ring1# hello-time 2；S1_config_ring1#fail-time 6。退出节点配置模式：S1_config_ring1#exit。配置主端口和次端口：S1_config# interface；astEthernet 0/1；S1_config_f0/1# ether-ring 1 primary-port；S1_config_f0/1# exit；S1_config#interface fastEthernet 0/3；S1_config_f0/3#ether-ring 1 secondary-port；S1_config_f0/3#exit。创建控制VLAN：S1_config# vlan 2；S1_config_vlan2# exit；S1_config# interface range f0/1,3；S1_config_if_range# switchport mode trunk；S1_config_if_range# exit。

3.3.2 配置交换机S2

S1_config# no spanning-tree；S1_config#ether-ring 1；S1_config_ring1# control-vlan 2；S1_config_ring1# transit-node；S1_config_ring1# pre-forward-time 8；S1_config_ring1#exit；S1_config# interface fastEthernet 0/1；S1_config_f0/1# ether-ring 1 transit-port；S1_config_f0/1# exit；S1_config# interface fastEthernet 0/3；S1_config_f0/3# ether-ring 1 transit-port；S1_config_f0/3# exit；S1_config#vlan 2；S1_config_vlan2# exit；S1_config#interface range fastEthernet 0/1,3；S1_config_if_range# switchport mode trunk；S1_config_if_range# exit。

综上所述，与现有技术比较本研究有两点重大意义：一是通过选型设备、匹配参数等，使得WAPI无线局域网在抵御变电站温湿度变化、避免电磁场干扰、防小动物等外力破坏方面具备更高的安全性；二是通过以工业以太网交换机组成光纤环网的方式，通过配置快速以太环网保护协议实现通道快速自愈倒换，通道可靠性更高，为中国标准的WAPI在南方电网变电站内的落地实施起到了保驾护航、锦上添花的保障作用。