【正文】 安 全 準(zhǔn) 入網(wǎng) 關(guān)I P S行 為 審 計(jì)信 息 內(nèi) 網(wǎng)防 火 墻 用戶終端安全 用戶 終端 準(zhǔn)入 終端設(shè)備識(shí)別功能 要保障用戶終端安全問題 就 需要能夠有效識(shí)別 終端設(shè)備。同時(shí)本方案已由 ISO/IEC 授權(quán)的機(jī)構(gòu) IEEE Registration Authority 審查并獲得認(rèn)可。安全協(xié)商主要有以下幾種方式： 連線對(duì)等保密 (WEP) 在鏈路層采用 RC4 對(duì)稱加密技術(shù)，用戶的加密密鑰必須與AP 的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。其中白名單只能通過手動(dòng)進(jìn)行配置；而黑名單同時(shí)支持手動(dòng)配置方式和動(dòng)態(tài)添加方式，入侵檢測(cè)系統(tǒng)和非法設(shè)備檢測(cè)模塊檢測(cè)到非法攻擊，可以動(dòng)態(tài)地將該非法設(shè)備添加到黑名單中，后續(xù) 所有從該設(shè)備接收到的報(bào)文會(huì)被直接丟棄，從而保護(hù)了WLAN 網(wǎng)絡(luò)不再受到該非法設(shè)備的攻擊。 以華三公司相關(guān)功能截圖為例： 射頻智能 管理 能夠 為無線設(shè)備制定節(jié)能策略，策略類型包括 AP 啟動(dòng)停止、Radio 啟動(dòng)停止、 Radio 功率調(diào)整、 SSID 啟動(dòng)停止，以達(dá)到節(jié)約能源、減少輻射、改善環(huán)境的目的 ，并能夠在非工作時(shí)間關(guān)閉射頻減少被惡意攻擊的可能性 。根據(jù)評(píng)估結(jié)果及數(shù)據(jù)記錄，可采取有效措施進(jìn)行網(wǎng)絡(luò)優(yōu)化，改善網(wǎng)絡(luò)質(zhì)量。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 29 / 57 室內(nèi) AP 覆蓋的預(yù)估計(jì)算按照 AP 發(fā)射功率 20dBm 進(jìn)行，采用衰減因子模型計(jì)算：就電波空間傳播損耗來說， 頻段的電磁波有近似的路徑傳播損耗。而只采用高速率重傳，即使多次發(fā)送不成功，也可以利用上層的重傳機(jī)制，最終不影響上層應(yīng)用的可用性。 CCA，即信道空閑評(píng)估，是指 WLAN 芯片在向空口發(fā)射信號(hào)前需要評(píng)估信道是否為空閑。沒有良好的網(wǎng)絡(luò)部署，很難達(dá)到最佳的網(wǎng)絡(luò)性能。非 WLAN 干擾源會(huì)干擾 WLAN信號(hào)，導(dǎo)致 WLAN信號(hào)無法被正確接收。 同頻 AP 之間如果可見，以 為基礎(chǔ)的 WLAN，空 口是所有設(shè)備的公共傳輸媒介，兩個(gè) AP之間將根據(jù) CSMA/CA 原則，進(jìn)行互相退避，這勢(shì)必會(huì)大大降低性能，兩個(gè) AP 的總性能將不會(huì)超過一個(gè)信道的性能。 ? AP室內(nèi)穿越障礙覆蓋： 主要應(yīng)用于各辦公樓中間走廊兩邊房間結(jié)構(gòu)室內(nèi)區(qū)域，接入人數(shù)密度較低。 AP 從主用 AC 上獲得所有的服務(wù)， Slave AC 不提供服務(wù)，只負(fù)責(zé)發(fā)送 Master AC down的信息。 ? WLAN 系統(tǒng)支持 MAC 地址的綁定，包括普通終端綁定到單個(gè)用戶，以及部分員工公用 Pad綁定到多個(gè)用戶。 3 無線 內(nèi)網(wǎng) 網(wǎng)絡(luò)建設(shè) 總體目標(biāo) 本次電力公司無線網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是： ? 覆蓋各級(jí)別變電站室內(nèi)室外環(huán)境，為 移動(dòng)辦公 業(yè)務(wù)提供切實(shí)可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境。同時(shí)，該方案的設(shè)計(jì)，要滿足方案可平滑過度，同時(shí)滿足后續(xù)業(yè)務(wù)擴(kuò)展的需求。移動(dòng) IT 的核心理念，是把智能終端的便攜性和易用性的優(yōu)勢(shì)，引入到當(dāng)前的工作中，以提升辦公效率和體驗(yàn)。用戶終端要訪問信息內(nèi)網(wǎng)的業(yè)務(wù)必須進(jìn)行安全準(zhǔn)入，首先檢查終端是否符合安全規(guī)范要求，如果不符合安全規(guī)范要求需要到安全隔離區(qū)進(jìn)行安全修復(fù)，達(dá)到安全規(guī)范要求后經(jīng)過身份認(rèn)證（采用證書 +賬號(hào)雙因子認(rèn)證），認(rèn)證通過后重新為用戶終端分配 IP 地址， 用戶通過安全防護(hù)區(qū)之后可以 訪問信息內(nèi)網(wǎng) 的業(yè)務(wù)服務(wù)器。 ? 無線 AP 之間可根據(jù)相互通告來獲取對(duì)方連接的用戶數(shù)量及流量，從而實(shí)現(xiàn) AP 的負(fù)載均衡，并支持用戶在不同 AP 間平滑漫游。當(dāng) AC 優(yōu)先級(jí)值設(shè)置為 0～ 6 時(shí)， AC 發(fā) 生熱備切換，原主 AC 恢復(fù)后， AP 不會(huì)再次切換回原 AC；當(dāng) AC 優(yōu)先級(jí)值設(shè)置為 7時(shí)，原主 AC 恢復(fù)后， AP會(huì)再次切換回原 AC。 是本次建設(shè)的主要方式。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 19 / 57 因此，對(duì)一個(gè)大的 WLAN 網(wǎng)絡(luò)來說，尤其是高密度部署的網(wǎng)絡(luò)，同一信道常常需要被不同 AP使用。 3. 來自 WLAN網(wǎng)絡(luò)外部的干擾 來自 WLAN網(wǎng)絡(luò)外部的干擾也分為 WLAN 干擾和非 WLAN干擾。當(dāng)空口信號(hào)能量超過一定值后，就進(jìn)行 FFT變換，并進(jìn)一步輸出給 WLAN接收機(jī)和各種識(shí)別器（ Classifier），前者判斷干擾是否為 WLAN 信號(hào)，并進(jìn)一 步分析 MAC 信息，后者判斷非 WLAN干擾源的類型。 3. 信道復(fù)用 在高密度部署的環(huán)境中，如寬敞的會(huì)議大廳、學(xué)生宿舍、圖書館等， AP 部署密度比較高，常會(huì)導(dǎo)致同信道的 AP 之間可見，相互干擾嚴(yán)重。當(dāng)發(fā)送失敗時(shí)，可以根據(jù)不同環(huán)境采用不同的速率調(diào)整算法。該 POE注入單元集成 2（ 1進(jìn) 1 出）個(gè)千兆以太網(wǎng)端口，最大輸出功率 25W，可以直接給 1 個(gè) AP供電?？?實(shí)時(shí)故障定位或者故障定位移動(dòng)終端在過去某一個(gè)時(shí)間段內(nèi)的接入狀況。 包括 信道利用率圖、信道利用率趨勢(shì)圖、信道質(zhì)量圖、信道質(zhì)量趨勢(shì)圖、干擾信號(hào)強(qiáng)度、 FFT 圖、 FFT Duty Cycle 和Swept Spectrogram 圖的監(jiān)控，還能查看實(shí)時(shí)圖保存的監(jiān)控歷史文件，支持 FFT、 FFT Duty Cycle、 Swept Spectrogram 歷史圖，以圖表相結(jié)合的方式展現(xiàn)，內(nèi)容清晰直觀。目前入侵檢測(cè)主要包括 Flood攻擊檢測(cè)、 AP Spoof 檢測(cè)以及 Weak IV 檢測(cè)，而且其中 Flood 攻擊檢測(cè)可以根據(jù)不同類型的報(bào)文進(jìn)行攻擊檢測(cè)。無線局域網(wǎng)由于帶寬相對(duì)較窄，而且同一個(gè) AP 下XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 42 / 57 的所有用戶都共享帶寬，所以一旦 有用戶中 ARP 病毒，頻繁發(fā)送 ARP報(bào)文，對(duì)網(wǎng)絡(luò)的影響比有線更大。 WPA不僅是一種比 WEP 更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。 通過身份認(rèn)證的用戶進(jìn)行終端的安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行安全檢查，根據(jù)檢查的結(jié)果， 安全準(zhǔn)入系統(tǒng) 對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。網(wǎng)絡(luò)架構(gòu)如下圖。 設(shè)備限制策略限制了設(shè)備自身的一些特性， iOS限制策略。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 56 / 57 對(duì)移動(dòng)終端提供 審計(jì)和跟蹤手段 對(duì)移動(dòng) 用戶和終端的行為日志跟蹤（如：用戶登錄登出，終端注冊(cè)注銷等）和統(tǒng)計(jì)報(bào)表等，實(shí)時(shí)了解用戶和終端的行為，挖掘潛在的風(fēng)險(xiǎn)，掌控全網(wǎng)終端的整體 運(yùn)行 狀況。 及時(shí)獲取各個(gè)移動(dòng)終端的基本信息、運(yùn)行狀態(tài)等、遠(yuǎn)程控制等 。 接入場(chǎng)景的準(zhǔn)入 終端的流動(dòng)性、網(wǎng)絡(luò)的移動(dòng)性徹底改變了固定地點(diǎn)、固定設(shè)備接入網(wǎng)絡(luò)的傳統(tǒng)模式。 （ 1） 獨(dú)立的 無線內(nèi)網(wǎng) 設(shè)備 VPN 在地市電業(yè)局的綜合數(shù)據(jù)網(wǎng)上創(chuàng)建二層 VPN（在變電站路由器和地市電業(yè)局核心路由器上配置二層 VPN 并綁定連接無線內(nèi)網(wǎng)的接口） ，實(shí)現(xiàn)無線控制器和無線 AP 互聯(lián)，采用二層 VPN 使得 無線內(nèi)網(wǎng) 中設(shè)備的 IP 地址不會(huì)出現(xiàn)在綜合數(shù)據(jù)網(wǎng)業(yè)務(wù)的 PE 路由器上，也不參與綜合數(shù)據(jù)網(wǎng)路由計(jì)算， 綜合數(shù)據(jù)網(wǎng)相當(dāng)于為 無線內(nèi)網(wǎng) 提供的是一個(gè)透明的傳輸通道，而且該 VPN是只負(fù)責(zé)無線設(shè)備之間的通信， 是設(shè)備獨(dú)立的專用 VPN。其原理為根據(jù)通用密鑰，配合表示電腦 MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。但是，使用 仍然無法完全保護(hù)企業(yè)無線網(wǎng)絡(luò)不受惡意攻擊。 默認(rèn)情況下 SSID 是采用廣播方式，導(dǎo)致所有的無線終端在無線信號(hào)區(qū)域內(nèi)都能夠掃描到 無線內(nèi)網(wǎng) 的 SSID，可以在設(shè)置時(shí)選擇不廣播 SSID，在允許接入到 無線內(nèi)網(wǎng) 的終端上手工設(shè)置接入的 SSID。如果信號(hào)覆蓋情況與預(yù)期效果不同，可根據(jù)需要調(diào)整虛擬 AP 的位置、 Radio 和天線配置，直到達(dá)到預(yù)期效果。接收電平估算公式如下： Pr[dB]=Pt[dB]+Gt[dB]PL[dB]+Gr[dB]。如果某 AP 下存在一個(gè)高速率用戶，一個(gè)低速率用戶，則由于兩個(gè)人搶到的空口機(jī)會(huì)差不多相等，導(dǎo)致高速率每次快速發(fā)完自己的數(shù)據(jù)后都要等待低速用戶慢騰騰地發(fā)完它的數(shù)據(jù)。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 26 / 57 采用信道復(fù)用后， AP 的覆蓋效果以及不同距離內(nèi)的吞吐性能對(duì)比 其他無線干擾避免和消減措施 上述幾種技術(shù)給 WLAN 網(wǎng)絡(luò)性能能夠帶來非常大的性能改善，業(yè)界普遍都實(shí)現(xiàn)了這些技術(shù)特性。 信 道自動(dòng)調(diào)整示意圖 另一方面， RRM 能夠監(jiān)控本網(wǎng)絡(luò)中各個(gè) AP 的鄰居信息、 Client的 RF 信息等，并根據(jù)這些信息動(dòng)態(tài)調(diào)整每個(gè) AP 的發(fā)送功率。而大的網(wǎng)絡(luò)，一般需要部署專門的網(wǎng)絡(luò)來監(jiān)控。對(duì)任何 WLAN 發(fā)射機(jī)來說，在發(fā)射頻寬之外，信號(hào)也不可能馬上降低為 0，而是逐漸衰減。 WLAN 干擾是指干擾源發(fā)送的 RF 信號(hào)也符合 標(biāo)準(zhǔn)，除此之外都是非WLAN 干擾。當(dāng) Slave AC 檢測(cè)不到 Master AC 的心跳報(bào)文時(shí)，就認(rèn)為 Master AC故障。 一臺(tái) AC 主用處理各種業(yè)務(wù)，另一臺(tái) AC 備用，只負(fù)責(zé)與AP 間 CAPWAP?；顖?bào)文的處理，在 主 AC 故障時(shí)改變自身角色，成為新的 主 AC 處理各種業(yè)務(wù)。 ? 考慮到工程實(shí)施的復(fù)雜度，無線接入點(diǎn)供電方式需采用 POE/ POE+遠(yuǎn)程供電。 組網(wǎng)架構(gòu) XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 7 / 57 安全防護(hù)區(qū)地市數(shù)據(jù)通信網(wǎng)省級(jí)數(shù)據(jù)通信網(wǎng)地市側(cè)邊界路由器R1地市側(cè)邊界路由器R2省公司本部核心路由器R1省公司本部核心路由器R2三層VPN三層VPNEBGP跨域EBGP跨域無線控制器1無線控制器2地市核心路由器R1地市核心路由器R2變電站邊界路由器供電公司邊界路由器二層VPNLS二層VPNLS二層VPNLS二層VPNLS無線用戶無線用戶三層VPN三層VPN安全準(zhǔn)入網(wǎng)關(guān)安全準(zhǔn)入網(wǎng)關(guān)IPS行為審計(jì)信息內(nèi)網(wǎng)防火墻防病毒、安全加固等安全檢查，SL VPN認(rèn)證，用戶授權(quán)等移動(dòng)APN電信APN 聯(lián)通APN廣電專網(wǎng)安全接入平臺(tái)用戶用戶用戶用戶安全接入平臺(tái)路由器R1安全接入平臺(tái)路由器R2安全接入平臺(tái)防火墻安全接入平臺(tái)入侵檢測(cè)安全接入平臺(tái)核心交換機(jī)SW1安全接入平臺(tái)核心交換機(jī)SW1 ? 總體說明 整個(gè)方案分成兩大部分，第一部分是無線 內(nèi)網(wǎng) 網(wǎng)絡(luò)構(gòu)建，第二部分是 無線 內(nèi)網(wǎng) 的安全設(shè)計(jì) 。 XXX 電力公司 變電站無線內(nèi)網(wǎng) 建設(shè)方案 2020 年 8 月 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 2 / 57 目 錄 1 概述 ............................................................................................................................................................3 2 建設(shè)方案 ......................................................................................................................................................5 設(shè)計(jì)原則 ...............................................................................................................................................5 組網(wǎng)架構(gòu) ...............................................................................................................................................6 3 無線內(nèi)網(wǎng)網(wǎng)絡(luò)建設(shè) ....................................................................................................................................8 總體目標(biāo) ...............................................................................................................................................8 技術(shù)需求 ...................................................................................