【正文】 定制的安全策略進(jìn)行安全檢查，根據(jù)檢查的結(jié)果， 安全準(zhǔn)入系統(tǒng) 對用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。 用戶接入安全 用戶通過接入無線網(wǎng)絡(luò)后為了 保障 無線內(nèi)網(wǎng) 的安全性，對 無線內(nèi)網(wǎng) 接入用戶進(jìn)行嚴(yán)格限制， 第一 是接入的人是合法的用戶 ，第二是 接入的終端是否符合電力公司安全規(guī)范的 。 WPA不僅是一種比 WEP 更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。 WiFi 保護(hù)接入 (WPA) XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 43 / 57 WPA(WiFi Protected Access)是繼承了 WEP 基本原理而又解決了 WEP 缺點(diǎn)的一種新技術(shù)。無線局域網(wǎng)由于帶寬相對較窄，而且同一個 AP 下XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 42 / 57 的所有用戶都共享帶寬，所以一旦 有用戶中 ARP 病毒，頻繁發(fā)送 ARP報文，對網(wǎng)絡(luò)的影響比有線更大。 WLAN 發(fā)展至今，在安全性上做了不少改進(jìn)。目前入侵檢測主要包括 Flood攻擊檢測、 AP Spoof 檢測以及 Weak IV 檢測，而且其中 Flood 攻擊檢測可以根據(jù)不同類型的報文進(jìn)行攻擊檢測。 以華三公司相關(guān)功能截圖為例： 無線業(yè)務(wù)報表列表 4 無線內(nèi)網(wǎng) 安全設(shè)計(jì) 無線網(wǎng)絡(luò)是開放式的環(huán)境，安全隱患較大，部署無線網(wǎng)絡(luò)時必須對無線安全進(jìn)行充分的考慮。 包括 信道利用率圖、信道利用率趨勢圖、信道質(zhì)量圖、信道質(zhì)量趨勢圖、干擾信號強(qiáng)度、 FFT 圖、 FFT Duty Cycle 和Swept Spectrogram 圖的監(jiān)控，還能查看實(shí)時圖保存的監(jiān)控歷史文件，支持 FFT、 FFT Duty Cycle、 Swept Spectrogram 歷史圖，以圖表相結(jié)合的方式展現(xiàn)，內(nèi)容清晰直觀。查詢 RF 覆蓋可以分別按照信號強(qiáng)度、速率、信道進(jìn)行，滿足用戶分析信號覆蓋情況的需要?？?實(shí)時故障定位或者故障定位移動終端在過去某一個時間段內(nèi)的接入狀況。在建筑物內(nèi)，距離對路徑損耗的影響將明顯大于自由空間。該 POE注入單元集成 2（ 1進(jìn) 1 出）個千兆以太網(wǎng)端口，最大輸出功率 25W，可以直接給 1 個 AP供電。智能負(fù)載均衡能夠減輕單個 AP 的負(fù)荷，從而降低這個 AP下各個 Client的沖突比例。當(dāng)發(fā)送失敗時，可以根據(jù)不同環(huán)境采用不同的速率調(diào)整算法。當(dāng)提高 CCA門限時，即使同信道的鄰居 AP 在發(fā)送 信號，只要信號強(qiáng)度不超過 CCA門限， AP 仍能夠發(fā)送自己的信號。 3. 信道復(fù)用 在高密度部署的環(huán)境中，如寬敞的會議大廳、學(xué)生宿舍、圖書館等， AP 部署密度比較高，常會導(dǎo)致同信道的 AP 之間可見，相互干擾嚴(yán)重。信道調(diào)整必須進(jìn)行整網(wǎng)考慮，并需要考慮對 Client 的影響XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 24 / 57 最小。當(dāng)空口信號能量超過一定值后，就進(jìn)行 FFT變換，并進(jìn)一步輸出給 WLAN接收機(jī)和各種識別器（ Classifier），前者判斷干擾是否為 WLAN 信號，并進(jìn)一 步分析 MAC 信息，后者判斷非 WLAN干擾源的類型。后兩者屬于頻譜分析的范圍。 3. 來自 WLAN網(wǎng)絡(luò)外部的干擾 來自 WLAN網(wǎng)絡(luò)外部的干擾也分為 WLAN 干擾和非 WLAN干擾。 2. 鄰頻干擾 根據(jù) ， RF 信號發(fā)送時其頻譜寬度有一定的要求。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 19 / 57 因此，對一個大的 WLAN 網(wǎng)絡(luò)來說，尤其是高密度部署的網(wǎng)絡(luò)，同一信道常常需要被不同 AP使用。對于 頻段主要采用 11 三個信道交錯使用，對于 頻段主要采用 8五個信道交錯使用。 是本次建設(shè)的主要方式。在圖中第 9 步和第 12 步過程， Master AC 發(fā)送給 AP 的 CAPWAP 報文中會攜帶備份 AC 的 IPv4 或 IPv6 地址， AP 根據(jù)此 IP 地址再單播發(fā)現(xiàn) Slave AC，最終與兩臺 AC 同時關(guān)聯(lián)。當(dāng) AC 優(yōu)先級值設(shè)置為 0～ 6 時， AC 發(fā) 生熱備切換，原主 AC 恢復(fù)后， AP 不會再次切換回原 AC；當(dāng) AC 優(yōu)先級值設(shè)置為 7時，原主 AC 恢復(fù)后， AP會再次切換回原 AC。 在 各個電業(yè)局 部署 2 臺無線控制器 提供 1+1 熱備 ，對所有 變電站的 AP 設(shè)備進(jìn)行統(tǒng)一管理、配置下發(fā)、運(yùn)行監(jiān)控等；在各個 變電站 部署無線 AP 設(shè)備，提供無線接入。 ? 無線 AP 之間可根據(jù)相互通告來獲取對方連接的用戶數(shù)量及流量，從而實(shí)現(xiàn) AP 的負(fù)載均衡，并支持用戶在不同 AP 間平滑漫游。并與 關(guān)鍵系統(tǒng)如準(zhǔn)入控制、域控制系統(tǒng)的對接。用戶終端要訪問信息內(nèi)網(wǎng)的業(yè)務(wù)必須進(jìn)行安全準(zhǔn)入，首先檢查終端是否符合安全規(guī)范要求，如果不符合安全規(guī)范要求需要到安全隔離區(qū)進(jìn)行安全修復(fù)，達(dá)到安全規(guī)范要求后經(jīng)過身份認(rèn)證（采用證書 +賬號雙因子認(rèn)證），認(rèn)證通過后重新為用戶終端分配 IP 地址， 用戶通過安全防護(hù)區(qū)之后可以 訪問信息內(nèi)網(wǎng) 的業(yè)務(wù)服務(wù)器。 3. 前瞻性：系統(tǒng)總體架構(gòu)和軟件體系結(jié)構(gòu)要有前瞻性，要充分考慮未來業(yè)務(wù)發(fā)展和管理的變化，方便對新業(yè)務(wù)和新需求的擴(kuò)展和支持；充分考慮業(yè)務(wù)量未來發(fā)展的需要，合理設(shè)計(jì)系統(tǒng)規(guī)模，適應(yīng)未來的發(fā)展。移動 IT 的核心理念，是把智能終端的便攜性和易用性的優(yōu)勢，引入到當(dāng)前的工作中，以提升辦公效率和體驗(yàn)。通信技術(shù)向著“智能化”和“無線化”的方向發(fā)展，無線通信的發(fā)展在逐漸改變著生產(chǎn)模式和工作方式。同時，該方案的設(shè)計(jì)，要滿足方案可平滑過度，同時滿足后續(xù)業(yè)務(wù)擴(kuò)展的需求。 無線 內(nèi)網(wǎng)的 網(wǎng)絡(luò)，是在各個地市電業(yè)局 的變電站和電業(yè)局核心路由器上 創(chuàng)建 一個 二層 VPN， 用來實(shí)現(xiàn)無線內(nèi)網(wǎng)所有設(shè)備的互聯(lián)。 3 無線 內(nèi)網(wǎng) 網(wǎng)絡(luò)建設(shè) 總體目標(biāo) 本次電力公司無線網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是： ? 覆蓋各級別變電站室內(nèi)室外環(huán)境，為 移動辦公 業(yè)務(wù)提供切實(shí)可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境。 ? 為了滿足大容量并且以備擴(kuò)容和發(fā)展，室內(nèi)無線 AP 要求必須支持兩個射頻模塊，可以工作在 ，并具備頻譜XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 10 / 57 導(dǎo)航能力，主動引導(dǎo)用戶匹配 5G 頻段提供更高的帶寬和更少的干擾。 ? WLAN 系統(tǒng)支持 MAC 地址的綁定，包括普通終端綁定到單個用戶，以及部分員工公用 Pad綁定到多個用戶。 AC 建立主從關(guān)系后， AC 間不斷的發(fā)送保活報文，檢測主用 AC 是否正常。 AP 從主用 AC 上獲得所有的服務(wù)， Slave AC 不提供服務(wù)，只負(fù)責(zé)發(fā)送 Master AC down的信息。 Slave AC 將自己的角色轉(zhuǎn)換為 Master，通過 configuration XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 15 / 57 update request message 報文將 “peer down event” 告訴 AP，并開始為 AP 提供服務(wù)。 ? AP室內(nèi)穿越障礙覆蓋： 主要應(yīng)用于各辦公樓中間走廊兩邊房間結(jié)構(gòu)室內(nèi)區(qū)域，接入人數(shù)密度較低。對 WLAN干擾，可進(jìn)一步按照頻率范圍分為同頻干擾和鄰頻干擾。 同頻 AP 之間如果可見，以 為基礎(chǔ)的 WLAN，空 口是所有設(shè)備的公共傳輸媒介，兩個 AP之間將根據(jù) CSMA/CA 原則，進(jìn)行互相退避，這勢必會大大降低性能，兩個 AP 的總性能將不會超過一個信道的性能。如果兩個中心 頻率不同的 WLAN 設(shè)備之間的發(fā)射頻寬有重疊的部分，就會產(chǎn)生相互影響，形成了鄰頻干擾。非 WLAN 干擾源會干擾 WLAN信號，導(dǎo)致 WLAN信號無法被正確接收。這種專門的網(wǎng)絡(luò)，其設(shè)備一般是處于 Monitor 狀態(tài)的 AP，或者是專門的 Sensor。沒有良好的網(wǎng)絡(luò)部署，很難達(dá)到最佳的網(wǎng)絡(luò)性能。當(dāng)發(fā)現(xiàn)覆蓋黑洞時，將加大發(fā)射功率；當(dāng)發(fā)現(xiàn)同信道的鄰居 AP 的信號強(qiáng)度高于一定程度時，將降低發(fā)送功率，從而降低相互干擾。 CCA，即信道空閑評估，是指 WLAN 芯片在向空口發(fā)射信號前需要評估信道是否為空閑。除了上述方法外， H3C 公司還創(chuàng)新地實(shí)現(xiàn)了下述技術(shù)特點(diǎn)。而只采用高速率重傳，即使多次發(fā)送不成功，也可以利用上層的重傳機(jī)制，最終不影響上層應(yīng)用的可用性。所以高速率用戶的性能受到了低速率用戶的很大制約。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 29 / 57 室內(nèi) AP 覆蓋的預(yù)估計(jì)算按照 AP 發(fā)射功率 20dBm 進(jìn)行，采用衰減因子模型計(jì)算：就電波空間傳播損耗來說， 頻段的電磁波有近似的路徑傳播損耗。 當(dāng) n 分別取值為 、 、 、 ；覆蓋距離為 69m、 33m、20m、 12m，結(jié)合模擬測試經(jīng)驗(yàn)，一個室內(nèi)放裝型 AP 的覆蓋半徑根據(jù)環(huán)境的不一樣，在 10m 到 35m 之間。根據(jù)評估結(jié)果及數(shù)據(jù)記錄，可采取有效措施進(jìn)行網(wǎng)絡(luò)優(yōu)化，改善網(wǎng)絡(luò)質(zhì)量。增加 AP 計(jì)算器功能，通過設(shè)置要求的使用參數(shù)后，自動計(jì)算所需的 AP數(shù)量。 以華三公司相關(guān)功能截圖為例： 射頻智能 管理 能夠 為無線設(shè)備制定節(jié)能策略，策略類型包括 AP 啟動停止、Radio 啟動停止、 Radio 功率調(diào)整、 SSID 啟動停止，以達(dá)到節(jié)約能源、減少輻射、改善環(huán)境的目的 ，并能夠在非工作時間關(guān)閉射頻減少被惡意攻擊的可能性 。 減少非法用戶接入到 無線內(nèi)網(wǎng) 的機(jī)率。其中白名單只能通過手動進(jìn)行配置；而黑名單同時支持手動配置方式和動態(tài)添加方式，入侵檢測系統(tǒng)和非法設(shè)備檢測模塊檢測到非法攻擊，可以動態(tài)地將該非法設(shè)備添加到黑名單中，后續(xù) 所有從該設(shè)備接收到的報文會被直接丟棄，從而保護(hù)了WLAN 網(wǎng)絡(luò)不再受到該非法設(shè)備的攻擊。例如，攻擊者可設(shè)置蜜罐 AP誘惑用戶連接、或通過泛洪（ FLOOD）各種 WLAN 協(xié)議報文使企業(yè)無線網(wǎng)絡(luò)無法使用。安全協(xié)商主要有以下幾種方式： 連線對等保密 (WEP) 在鏈路層采用 RC4 對稱加密技術(shù)，用戶的加密密鑰必須與AP 的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。然后與 WEP一樣將此密鑰用于 RC4 加密處理。同時本方案已由 ISO/IEC 授權(quán)的機(jī)構(gòu) IEEE Registration Authority 審查并獲得認(rèn)可。 在地市側(cè)邊界路由器上新建 一個三層 VPN，實(shí)現(xiàn)地市 無線內(nèi)網(wǎng)的 CE 交換機(jī)、無線控制器與省公司 無線內(nèi)網(wǎng) 安全準(zhǔn)入 網(wǎng)關(guān)互通。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 47 / 57 安 全 防 護(hù) 區(qū)安 全 準(zhǔn) 入網(wǎng) 關(guān)安 全 準(zhǔn) 入網(wǎng) 關(guān)I P S行 為 審 計(jì)信 息 內(nèi) 網(wǎng)防 火 墻 用戶終端安全 用戶 終端 準(zhǔn)入 終端設(shè)備識別功能 要保障用戶終端安全問題 就 需要能夠有效識別 終端設(shè)備。同一用戶也不再僅使用一類設(shè)備接入網(wǎng)絡(luò)的現(xiàn)實(shí)，需要 對 用戶在不同的接入場景和使用不同的終端提供不同的 網(wǎng)絡(luò)準(zhǔn)入控制策略進(jìn)行 控制和權(quán)限管理 。安全檢查包括APP檢查、地理位置檢查、系統(tǒng)檢查、硬件 檢查、弱密碼檢查等等。 以華三公司相關(guān)功能截圖為例： 對移動終端進(jìn)行 嚴(yán)格的合規(guī)檢查 移動終端 訪問信息內(nèi)網(wǎng) 服務(wù)前，需通過嚴(yán)格的合規(guī)檢查。 對移動終端進(jìn)行 集團(tuán)化的管理 能夠 通過標(biāo)簽分組管理移動設(shè)備， 通過 標(biāo)簽分組可以 批量對 終端進(jìn)行 策略 下發(fā)和授權(quán) ，可以 實(shí)現(xiàn) 終端的 批量管理 工作 減少維護(hù)難度 ；XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 55 / 57 管理員通過標(biāo)簽分組還可分權(quán)管理移動設(shè)備，有效的保證管理的安全性。 以華三公司相關(guān)功能截圖為例： XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 57 / 57 用戶終端管理系統(tǒng)可擴(kuò)展 通過部署 負(fù)載均衡技術(shù)，可擴(kuò)展多臺服務(wù)器 并發(fā)工作 并實(shí)現(xiàn)動態(tài)遷移。同時 SSL VPN網(wǎng)關(guān)隔離了 APP 和 APP 服務(wù)器，保證了 APP服務(wù)器的安全。 以華三公司相關(guān)功能截圖為例： 鎖屏密碼策略檢查終端密碼的復(fù)雜度， iOS鎖屏密碼策略。 在線實(shí)時合規(guī)檢查不符合要求時，終端脫離 系統(tǒng) 管理時，都可以針對性的采取控制手段 。 用戶終端 管理 用戶終端 管理組件提供了 對 移動設(shè)備管理功能。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 48 / 57 ? 當(dāng)前終端設(shè)備識別技術(shù) 主要通過 DHCP 指紋識別、 Http Agent識別和 MAC OUI識別 這 三種具有較高識別度和可靠性的終端設(shè)備類型識別方式。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 46 / 57 對于要接入網(wǎng)絡(luò)的用戶， 安全準(zhǔn)入系統(tǒng) 首先要對其進(jìn)行身份認(rèn)證，身份認(rèn)證包括用戶證書、用戶賬號等基礎(chǔ)信息，還有設(shè)備的 MAC 地址，移動設(shè)備的 IMEI 等設(shè)備唯一性信息驗(yàn)證。 AP 設(shè)置好證書后，無須再對后臺的 AAA 服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展，可滿足家庭、企業(yè)、運(yùn)營商等多種應(yīng)用模式。由于具 備這些功能， WEP 中此前倍受指責(zé)的缺點(diǎn)得以全部解決。目前為了提高安全性，建議采用 128位加密鑰匙。 防 ARP 攻擊 ARP欺騙攻擊不僅會造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無法上網(wǎng)，或者