【正文】 以華三公司相關(guān)功能截圖為例： XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 57 / 57 用戶終端管理系統(tǒng)可擴展 通過部署 負(fù)載均衡技術(shù)，可擴展多臺服務(wù)器 并發(fā)工作 并實現(xiàn)動態(tài)遷移。同時 SSL VPN網(wǎng)關(guān)隔離了 APP 和 APP 服務(wù)器，保證了 APP服務(wù)器的安全。 對移動終端進(jìn)行 集團(tuán)化的管理 能夠 通過標(biāo)簽分組管理移動設(shè)備， 通過 標(biāo)簽分組可以 批量對 終端進(jìn)行 策略 下發(fā)和授權(quán) ，可以 實現(xiàn) 終端的 批量管理 工作 減少維護(hù)難度 ；XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 55 / 57 管理員通過標(biāo)簽分組還可分權(quán)管理移動設(shè)備，有效的保證管理的安全性。 以華三公司相關(guān)功能截圖為例： 鎖屏密碼策略檢查終端密碼的復(fù)雜度， iOS鎖屏密碼策略。 以華三公司相關(guān)功能截圖為例： 對移動終端進(jìn)行 嚴(yán)格的合規(guī)檢查 移動終端 訪問信息內(nèi)網(wǎng) 服務(wù)前，需通過嚴(yán)格的合規(guī)檢查。 在線實時合規(guī)檢查不符合要求時，終端脫離 系統(tǒng) 管理時，都可以針對性的采取控制手段 。安全檢查包括APP檢查、地理位置檢查、系統(tǒng)檢查、硬件 檢查、弱密碼檢查等等。 用戶終端 管理 用戶終端 管理組件提供了 對 移動設(shè)備管理功能。同一用戶也不再僅使用一類設(shè)備接入網(wǎng)絡(luò)的現(xiàn)實，需要 對 用戶在不同的接入場景和使用不同的終端提供不同的 網(wǎng)絡(luò)準(zhǔn)入控制策略進(jìn)行 控制和權(quán)限管理 。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 48 / 57 ? 當(dāng)前終端設(shè)備識別技術(shù) 主要通過 DHCP 指紋識別、 Http Agent識別和 MAC OUI識別 這 三種具有較高識別度和可靠性的終端設(shè)備類型識別方式。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 47 / 57 安 全 防 護(hù) 區(qū)安 全 準(zhǔn) 入網(wǎng) 關(guān)安 全 準(zhǔn) 入網(wǎng) 關(guān)I P S行 為 審 計信 息 內(nèi) 網(wǎng)防 火 墻 用戶終端安全 用戶 終端 準(zhǔn)入 終端設(shè)備識別功能 要保障用戶終端安全問題 就 需要能夠有效識別 終端設(shè)備。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 46 / 57 對于要接入網(wǎng)絡(luò)的用戶， 安全準(zhǔn)入系統(tǒng) 首先要對其進(jìn)行身份認(rèn)證，身份認(rèn)證包括用戶證書、用戶賬號等基礎(chǔ)信息，還有設(shè)備的 MAC 地址，移動設(shè)備的 IMEI 等設(shè)備唯一性信息驗證。 在地市側(cè)邊界路由器上新建 一個三層 VPN，實現(xiàn)地市 無線內(nèi)網(wǎng)的 CE 交換機、無線控制器與省公司 無線內(nèi)網(wǎng) 安全準(zhǔn)入 網(wǎng)關(guān)互通。 AP 設(shè)置好證書后，無須再對后臺的 AAA 服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴展，可滿足家庭、企業(yè)、運營商等多種應(yīng)用模式。同時本方案已由 ISO/IEC 授權(quán)的機構(gòu) IEEE Registration Authority 審查并獲得認(rèn)可。由于具 備這些功能， WEP 中此前倍受指責(zé)的缺點得以全部解決。然后與 WEP一樣將此密鑰用于 RC4 加密處理。目前為了提高安全性，建議采用 128位加密鑰匙。安全協(xié)商主要有以下幾種方式： 連線對等保密 (WEP) 在鏈路層采用 RC4 對稱加密技術(shù)，用戶的加密密鑰必須與AP 的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。 防 ARP 攻擊 ARP欺騙攻擊不僅會造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無法上網(wǎng)，或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故，而且利用 ARP 欺騙攻擊可進(jìn)一步實施中間人攻擊，以此非法獲取到系統(tǒng)的帳號和口令，對被攻擊者造成利益上的重大損失。例如，攻擊者可設(shè)置蜜罐 AP誘惑用戶連接、或通過泛洪（ FLOOD）各種 WLAN 協(xié)議報文使企業(yè)無線網(wǎng)絡(luò)無法使用。對于 WiFi 的傳送模式，物理層的頻譜安全防護(hù)（ L1）和鏈路層的無線攻擊防護(hù)（ L2），以及如何將 L1L7 實現(xiàn)有線無線的聯(lián)動，會成為移動安全重 要的關(guān)注點。其中白名單只能通過手動進(jìn)行配置；而黑名單同時支持手動配置方式和動態(tài)添加方式，入侵檢測系統(tǒng)和非法設(shè)備檢測模塊檢測到非法攻擊，可以動態(tài)地將該非法設(shè)備添加到黑名單中，后續(xù) 所有從該設(shè)備接收到的報文會被直接丟棄，從而保護(hù)了WLAN 網(wǎng)絡(luò)不再受到該非法設(shè)備的攻擊。根據(jù)入侵檢測的結(jié)果，XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 40 / 57 可以及時調(diào)整網(wǎng)絡(luò)的配置，去除 WLAN 網(wǎng)絡(luò)的不安全因 素，保證 WLAN網(wǎng)絡(luò)不再受到攻擊。 減少非法用戶接入到 無線內(nèi)網(wǎng) 的機率。 提供 無線統(tǒng)計報表查詢和定制功能，以幫助管理員對網(wǎng)絡(luò)進(jìn)行綜合而全面的管理。 以華三公司相關(guān)功能截圖為例： 射頻智能 管理 能夠 為無線設(shè)備制定節(jié)能策略，策略類型包括 AP 啟動停止、Radio 啟動停止、 Radio 功率調(diào)整、 SSID 啟動停止，以達(dá)到節(jié)約能源、減少輻射、改善環(huán)境的目的 ，并能夠在非工作時間關(guān)閉射頻減少被惡意攻擊的可能性 。支持干擾設(shè)備信息查詢，通過輸入查詢條件快速得到所有相關(guān)的干擾設(shè)備信息。增加 AP 計算器功能，通過設(shè)置要求的使用參數(shù)后，自動計算所需的 AP數(shù)量。通過障礙物的設(shè)置，用戶可以更加精確的查看由于遮擋對信號衰減的情況。根據(jù)評估結(jié)果及數(shù)據(jù)記錄，可采取有效措施進(jìn)行網(wǎng)絡(luò)優(yōu)化，改善網(wǎng)絡(luò)質(zhì)量。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 30 / 57 無線網(wǎng)絡(luò)故障定位 移動終端接入 WLAN失敗或接入 WLAN后鏈路不穩(wěn)定時， 能夠 通過對 無線鏈路 RF ping、有線鏈路 NQA 診斷及 AP 頻譜分析對接入過程或者鏈路狀況進(jìn)行診斷， 排查故障。 當(dāng) n 分別取值為 、 、 、 ；覆蓋距離為 69m、 33m、20m、 12m，結(jié)合模擬測試經(jīng)驗，一個室內(nèi)放裝型 AP 的覆蓋半徑根據(jù)環(huán)境的不一樣，在 10m 到 35m 之間。在自由空間中，路徑衰減 與距離的平方成正比，即衰減因子為 2。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 29 / 57 室內(nèi) AP 覆蓋的預(yù)估計算按照 AP 發(fā)射功率 20dBm 進(jìn)行，采用衰減因子模型計算：就電波空間傳播損耗來說， 頻段的電磁波有近似的路徑傳播損耗。 每 個 AP 配置 1 個 POE 適配器 ，采用單端口 POE 注入單元。所以高速率用戶的性能受到了低速率用戶的很大制約。 智能負(fù)載均衡技術(shù)不同于簡單的負(fù)載均衡技術(shù)，無線控制器會根據(jù) Client 的位置進(jìn)行判斷，只有處于兩個 AP重疊區(qū)域的 Client 才啟動均衡，讓其 Client 接入到負(fù)載輕的 AP 上。而只采用高速率重傳，即使多次發(fā)送不成功，也可以利用上層的重傳機制，最終不影響上層應(yīng)用的可用性。 H3C AP 能夠針對每個 Client每次發(fā)送報文或重傳報文時，都會考慮 Client 的信號強度、 歷史發(fā)送信息等，動態(tài)計算當(dāng)前報文合適的發(fā)送速率。除了上述方法外， H3C 公司還創(chuàng)新地實現(xiàn)了下述技術(shù)特點。 當(dāng)接收靈敏度降低時，將會縮小 AP 的覆蓋范圍，但同時能夠忽略同信道的鄰居 AP 信號，從而不影響各自范圍內(nèi)的接收。 CCA，即信道空閑評估，是指 WLAN 芯片在向空口發(fā)射信號前需要評估信道是否為空閑。 頻譜分析和 RRM結(jié)合，能夠使得整個網(wǎng)絡(luò)在無需人工介入的情況下，及時規(guī)避干擾信道，從而保證網(wǎng)絡(luò)的可用性。當(dāng)發(fā)現(xiàn)覆蓋黑洞時，將加大發(fā)射功率；當(dāng)發(fā)現(xiàn)同信道的鄰居 AP 的信號強度高于一定程度時，將降低發(fā)送功率，從而降低相互干擾。 1. RRM RRM 是 WLAN 網(wǎng)絡(luò)的頻譜資源管理模塊，負(fù)責(zé)空口噪聲、網(wǎng)絡(luò)外的 WLAN 干擾、空口利用率，以及 AP 和 Client 的流量交互等信息的監(jiān)控和分析，并根據(jù)這些信息動態(tài)調(diào)整 AP 的信道，選擇最佳信道進(jìn)行傳輸。沒有良好的網(wǎng)絡(luò)部署，很難達(dá)到最佳的網(wǎng)絡(luò)性能。 無線干擾的檢測實際就是持續(xù)地監(jiān)視空口信號。這種專門的網(wǎng)絡(luò)，其設(shè)備一般是處于 Monitor 狀態(tài)的 AP，或者是專門的 Sensor。對無線干擾的檢測和消減既可以利用提供接入服務(wù)的 AP 來掃描，也可以通過專門的設(shè)備組成的網(wǎng)絡(luò)來進(jìn)行，甚至還可以配合專門的手持 RF 設(shè)備來進(jìn)行干擾定位。非 WLAN 干擾源會干擾 WLAN信號，導(dǎo)致 WLAN信號無法被正確接收。對 5G 來說，相鄰設(shè)備最好部署為不相鄰的信道，完全避免相鄰信道之間可能產(chǎn)生的干擾。如果兩個中心 頻率不同的 WLAN 設(shè)備之間的發(fā)射頻寬有重疊的部分，就會產(chǎn)生相互影響，形成了鄰頻干擾。 隱藏節(jié)點和暴露節(jié)點會產(chǎn)生兩個方面的問題，其一是報文發(fā)送時需要退避或不斷重傳；其二是由于報文重傳時會降低報文發(fā)送的物理速率，導(dǎo)致同一 AP 的影響范圍擴大，也使得報文發(fā)送占用更多的空口時長，沖突幾率加大，引起更多的重傳。 同頻 AP 之間如果可見，以 為基礎(chǔ)的 WLAN，空 口是所有設(shè)備的公共傳輸媒介，兩個 AP之間將根據(jù) CSMA/CA 原則，進(jìn)行互相退避，這勢必會大大降低性能，兩個 AP 的總性能將不會超過一個信道的性能。在 頻段上，互不干擾的頻段十分有限，通常只有 11 信道。對 WLAN干擾，可進(jìn)一步按照頻率范圍分為同頻干擾和鄰頻干擾。其中 3具不重疊的信道，針對 5個不重疊信道，但由于網(wǎng)絡(luò)用戶具有一定的不確定性，故網(wǎng)絡(luò)覆蓋時所需要的WLAN 網(wǎng)絡(luò)空間都要進(jìn)行 與 的頻率覆蓋，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，主要考慮 二個頻段的覆蓋設(shè)計，針對 的頻率的信號衰減模型主要采用如下： PathLoss(dB) = 46 +10* n*LoGHz D（ m），而對于 ： PathLoss(dB) = +20*lGHz f[MHz]+ 20*lGHzd[KM] +a * d[KM]，以上述信號衰減模型進(jìn)行網(wǎng)絡(luò)的設(shè)計，到具體網(wǎng)絡(luò)實施時要進(jìn)行工勘與優(yōu)化。 ? AP室內(nèi)穿越障礙覆蓋： 主要應(yīng)用于各辦公樓中間走廊兩邊房間結(jié)構(gòu)室內(nèi)區(qū)域，接入人數(shù)密度較低。考慮到 AP 的有線端需要接入到有線網(wǎng)絡(luò)，這就存在兩種方式：在附近具備有線網(wǎng)絡(luò)建筑物的情況，往往考慮通過將 AP 安裝在具備有線網(wǎng)絡(luò)的建筑物的樓頂或是側(cè)壁上通過室外定向天線對室外開闊空間進(jìn)行覆蓋。 Slave AC 將自己的角色轉(zhuǎn)換為 Master，通過 configuration XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 15 / 57 update request message 報文將 “peer down event” 告訴 AP，并開始為 AP 提供服務(wù)。 AP通過 CAPWAP協(xié)議發(fā)現(xiàn)主 AC。 AP 從主用 AC 上獲得所有的服務(wù)， Slave AC 不提供服務(wù)，只負(fù)責(zé)發(fā)送 Master AC down的信息。優(yōu)先級值范圍是 0～ 7。 AC 建立主從關(guān)系后， AC 間不斷的發(fā)送?；顖笪模瑱z測主用 AC 是否正常。這樣 即使惡意用戶破解無線網(wǎng)絡(luò)接入到電力 無線內(nèi)網(wǎng) 中，也無法訪問到數(shù)據(jù)通信網(wǎng)。 ? WLAN 系統(tǒng)支持 MAC 地址的綁定，包括普通終端綁定到單個用戶，以及部分員工公用 Pad綁定到多個用戶。 ? 無線 AP 自身應(yīng)具備智能的、無需要輔助設(shè)備就可根據(jù)周圍電磁波環(huán)境的變化，自動進(jìn)行頻道最優(yōu)化設(shè)置，以達(dá)到最優(yōu)化覆蓋的目的。 ? 為了滿足大容量并且以備擴容和發(fā)展，室內(nèi)無線 AP 要求必須支持兩個射頻模塊，可以工作在 ，并具備頻譜XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 10 / 57 導(dǎo)航能力，主動引導(dǎo)用戶匹配 5G 頻段提供更高的帶寬和更少的干擾。 ? 無線局域網(wǎng)與有線網(wǎng)絡(luò)能夠無縫融合， 在現(xiàn)有的綜合數(shù)據(jù)網(wǎng)上通過邏輯隧道進(jìn)行分隔，確保業(yè)務(wù)安全性。 3 無線 內(nèi)網(wǎng) 網(wǎng)絡(luò)建設(shè) 總體目標(biāo) 本次電力公司無線網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是： ? 覆蓋各級別變電站室內(nèi)室外環(huán)境，為 移動辦公 業(yè)務(wù)提供切實可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境。在地市側(cè)邊界路由器和安全接入平臺路由器上 創(chuàng)建 一個三層VPN， 無線內(nèi)網(wǎng)數(shù)據(jù)通過該隧道穿越省級數(shù)據(jù)通信網(wǎng)，到達(dá)安全準(zhǔn)入網(wǎng)關(guān)。 無線 內(nèi)網(wǎng)的 網(wǎng)絡(luò)，是在各個地市電業(yè)局 的變電站和電業(yè)局核心路由器上 創(chuàng)建 一個 二層 VPN， 用來實現(xiàn)無線內(nèi)網(wǎng)所有設(shè)備的互聯(lián)。 2. 經(jīng)濟(jì)性：秉持經(jīng)濟(jì)實用的原則，在滿足有關(guān)要求的前提下，充分利用現(xiàn)有設(shè)備，節(jié)省投資。同時，該方案的設(shè)計，要滿足方案可平滑過度，同時滿足后續(xù)業(yè)務(wù)擴展的需求。對于 移動辦公業(yè)務(wù) 有時需要及時回傳數(shù)據(jù)，有時需要與遠(yuǎn)程進(jìn)行故障會診等需要作業(yè)現(xiàn)場具有高帶寬的網(wǎng)絡(luò)環(huán)境 ，因為作業(yè)現(xiàn)場地點不固定并且有些地點是 在 室外 ，部署有線網(wǎng)絡(luò)并不現(xiàn)實，必須采用無線網(wǎng)絡(luò)提供移動 IT 環(huán)境 。通信技術(shù)向著“智能化”和“無線化”的方向發(fā)展，無線通信的發(fā)展在逐漸改變著生產(chǎn)模式和工作方式。 目前，國網(wǎng)公司物資、營銷、運檢、基建等環(huán)節(jié)已開展了 21 類無線公網(wǎng)業(yè)務(wù)應(yīng)用，覆蓋終端 ，在無線辦公方面具備了較多的時間 。移動 IT 的核心理念，是把智能終端的便攜性和易用性的優(yōu)勢，引入到當(dāng)前的工作中，以提升辦公效率和體驗。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 5 / 57 2 建設(shè)方案 設(shè)計原則 本方案設(shè)計遵循 先進(jìn)性、經(jīng)濟(jì)性、前瞻性、開放性、穩(wěn)定性、安全性、可拓展性、可維護(hù)性； 1. 先進(jìn)性： 系統(tǒng)要求體現(xiàn)優(yōu)化系統(tǒng)結(jié)