省电力公司变电站4G无线内网建设方案

XXX电力公司变电站无线内网建设方案20238月 XXX电力公司变电站无线内网建设方案 10/57名目\l“_TOC_250026“1概述 3\l“_TOC_250025“建设方案 5\l“_TOC_250024“设计原则 5\l“_TOC_250023“组网架构 6\l“_TOC_250022“无线内网网络建设 8\l“_TOC_250021“总体目标 8\l“_TOC_250020“技术需求 9\l“_TOC_250019“无线网络拓扑 11\l“_TOC_250018“无线网络牢靠性 12\l“_TOC_250017“无线掩盖类型 15\l“_TOC_250016“频率规划设计 17\l“_TOC_250015“无线干扰防护 18\l“_TOC_250014“无线供电设计 28\l“_TOC_250013“掩盖效果设计 28\l“_TOC_250012“无线网络的治理 29\l“_TOC_250011“无线内网安全设计 38\l“_TOC_250010“无线环境安全性 39\l“_TOC_250009“无线信号防泄39\l“_TOC_250008“无线入侵检39\l“_TOC_250007“无线入侵防范40\l“_TOC_250006“防ARP攻击 41\l“_TOC_250005“用户接入安全 42\l“_TOC_250004“链路协商安42\l“_TOC_250003“用户接入安44\l“_TOC_250002“用户终端安全 47\l“_TOC_250001“用户终端准47\l“_TOC_250000“用户终端治理49概述智能终端。通信技术向着“智能化”和“无线化”的方向进展，无线通信的进展在渐渐转变着生产模式和工作方式。21606.52G/3G/4G于接入方式多样化、安全防护措施不标准、运营模式不统一、运维力气终端治理等方面均存在提升的需求。XXXITIT到当前的工作中，以提升办公效率和体验。同时，更要满足安全性需性。同时，该方案的设计，要满足方案可平滑过度，同时满足后续业务扩展的需求。建设方案设计原则本方案设计遵循先进性、经济性、前瞻性、开放性、稳定性、安全性、可拓展性、可维护性；先进性：系统要求表达优化系统构造、完善系统功能、强的先进技术。硬件系统应选择先进、成熟、稳定、性价比高的设备。充分利用现有设备，节约投资。前瞻性：系统总体架构和软件体系构造要有前瞻性，要充支持；充分考虑业务量将来进展的需要，合理设计系统规模，适应将来的进展。API的业务系统对接，也具备将来与其他系统对接的力量；稳定性：具备完备的数据治理及进程调度系统，有保护进同时，具备系统级的牢靠性，支持双机热备和冷备，准时整个系统故障，也最小化的影响客户使用；安全性：从三方面保障，1〕准入安全，准确的终端识别力量，协作精准的授权：基于用户身份、终端类型、终端合规性，对用APPvAPP网络访问权限、网络效劳质量等内容；2〕数据安全：关键应用程序的数据保护，数据加密存储，数据远程擦除；3〕数据传输的保护：加密方式；可扩展性：模块化的设计，最大程度上满足系统可扩展性的需求，各个模块可独立扩展，同时也保障了系统的经济性；可维护性：模块化的设计，保障各模块相互耦合有独立工作，最大程度上保障系统的可维护性及可用性。组网架构移动APN 电信APN用户 联通APN用户 广电专网用户 用户心路由器R1

三层VPN心路由器R2

三层VPN

台防火墙

省级数据通信网

网关

网关

机SW1

机SW1由器R1器R1

三层VPNEBGP跨域 域二层VPNVPLS

由器R2三层VPNVPNVPLS器R2

无线掌握器1无线掌握器2 IPS行为审计安全防护区行为审计防火墙

安全接入平台地市数据通信网由器VPLS

路由器VPLS

信息内网

认证，用户授权等无线用户 无线用户总体说明是无线内网的安全设计。由器上创立一个二层VPN，用来实现无线内网全部设备的互联。无线IP侵数据通信网。VPNVPN，无线内网数据通过该隧道穿越省级数据通信网，到达安全准入离区进展安全修复，到达安全标准要求后经过身份认证〔承受证书+账号双因子认证IP过安全防护区之后可以访问信息内网的业务效劳器。以通过APNAPN标准检测，终端合规后进展身份认证。实现效果是合法的用户在使用的终端符合安全标准的状况下才能够通过无线内网或者APN无线内网网络建设总体目标本次电力公司无线网络建设的总体目标是：掩盖各级别变电站室内室外环境，为移动办公业务供给切实可用的、稳定的无线网络环境。802.11802.11a802.11g802.11n802.11ac标准的联网支持，供给可供实际应用的稳定网络通讯效劳。实现室内无线网络的合理分布，考虑室内实现无线网络的不同状况和特点以及目前用户移动终端数量日益增多的状况，应实行合理的组网技术满足现在以及将来进展的需要。考虑整个系统的高牢靠性、高性能、安全性和统一治理，在设备选型时承受高牢靠、高性能设备，关键部件承受冗余部署。无线局域网与有线网络能够无缝融合，在现有的综合数据网上通过规律隧道进展分隔，确保业务安全性。并与关键系统如准入掌握、域掌握系统的对接。技术需求无线网络重点技术需求如下：为保证信号掩盖效果，室内无线AP20dbm，重点区域〔变电站作业现场〕信号强度掌握在-50~-60dbm，其他区域〔包括走廊、楼梯等-60dbm~-75db。考虑到工程实施的简单度，无线接入点供电方式需承受IEEE802.3afPOE/802.3atPOE+远程供电。AP2.4GHz5.8GHz5G扰。无线接入点〔AP〕必需至少支持IEEE802.11a、IEEE802.11g、IEEE802.11n、IEEE802.11ac线接入的同时对老旧无线网卡的支持。无线AP必需支持WLAN用户间的信息泄露。无线APMultiSSIDSSIDWLAN用户接入有线网络或互联网络供给不同身份认证策略的功能。无线AP环境的变化，自动进展频道最优化设置，以到达最优化掩盖的目的。无线AP从而实现APAP无线AP(RF)802.11iWPA2/WAPIAESWLAN策略，实现终端的易用和安全性。WLANMAC以及局部员工公用PadWLAN网元信息查询、运行状态和性能监控、告警治理、配置治理、报无线网络拓扑AC+FitAP对无线网络的敏捷治理配置，提高网络维护效率。具体的规律组网图如以下图所示：由器R1

三层VPN

由器R2三层VPN

无线掌握器1无线掌握器2EBGP跨域 EBGP跨域器R1

二层VPNVPLS

二层VPNVPLS器R2地市数据通信网由器二层VPNVPLS

路由器二层VPNVPLS无线用户 无线用户VPLSVPN，既在每个变电站的接入路由器和地市核心路由器上配置二层VPN参数并VPNAP治理通道和数据传输通道，与现有的数据通信网业务是严格隔离的，VPNIP破解无线网络接入到电力无线内网中，也无法访问到数据通信网。21+1AP署无线AP无线网络牢靠性21+1ACACAPCAPWAPACAC否正常。保活报文的交互是基于毫秒〔ms〕级的。通过AC上APAC对AP围。APACAC级值范围是07AC优先级值设置为06ACACAPAC；AC7时，原主ACAPAC。ACAP下接入station带来的影响格外小。AC热备根底组网APCAPWAPACAPAC获得全部的效劳，SlaveACMasterACdownACSlaveACMasterAC，同时APMasterACAPstation不会受到任何影响。AC关联过程APACAPCAPWAPAC。912MasterACAPCAPWAPACIPv4IPv6APIPSlaveAC，最终与两台AC主备切换过程AC0x8918SlaveACMasterACMasterAC故障。SlaveACMaster，configurationupdaterequestmessage报文将“peerdownevent”告知AP，并开头为APAPCAPWAPconfigurationupdaterequestmessage报文，知道“peerdownevent”后，将SlaveACMasterAC,并向MasterACAPCAPWAPdiscovery程，依据MasterACIPSlaveAC无线掩盖类型AP室内无障碍掩盖、AP室内穿越障碍掩盖，下面则对这三类掩盖分别进展描述：室外开阔空间掩盖：APAPAP络的建筑物的楼顶或是侧壁上通过室外定向天线对室外开阔空间进展掩盖。是本次建设的主要方式。AP室内无障碍掩盖：越墙壁、地板等障碍物对隔壁空间的掩盖；考虑施工简洁和运维治理建议承受无线APAP室内穿越障碍掩盖：密度较低。由于无线信号穿越墙壁、地板等障碍物会存在衰减，但在墙壁之后信号效果较好。因此这样的构造适合在走廊中布置AP，来承受吸顶天线的方式进展部署还是内置天线部署。常见的室外掩盖方式：AP放在楼顶掩盖AP部署在楼层中间频率规划设计本次设计中，AP2.4GHz5.8GHzSSID2.4GHz35.8GHz5道，但由于网络用户具有肯定的不确定性，故网络掩盖时所需要的WLAN2.4GHz5.8GHz2.4GHz5.8GHz2.4GHZ的频率的信号衰减模型主要承受如下：PathLoss(dB)=46+10*n*LoGHzm，而对于5.8GHZPathLoss(dB)32.4+20*lGHzf[MHz]+20*lGHzd[KM]+a*d[KM]，以上述信号衰2.4GHz1、6、115.8GHz1、3、5、7、8具体的掩盖规律示意图如下：无线干扰防护无线干扰的分类和来源WLANWLANWLANRF802.11WLANWLANWLAN干扰WLANWLANWLAN工作Scienceand2.4G5G2.4G2.4G1611WLAN同一信道常常需要被不同APAP2APAP之间的同信道APAP802.11WLAN，空口是全部APCSMA/CAAP道的性能。AP的Client左图：AP1给client同时也发送数据，导致在AP1client

右图：AP1的client送，从而退避不能发送。AP口时长，冲突几率加大，引起更多的重传。邻频干扰802.11RFG22MHz11MHz30dB。对任何WLAN0WLAN扰。即使对不重叠的相邻信道〔2.4G1、611a161、162信道，假设两个设备之间距离过近且发送功率比较大，也会产生影响。WLAN居网络的邻频干扰。WLAN网络应首先避开自身的邻频干扰，全部设5G的干扰。来自WLAN来自WLANWLANWLANWLAN干扰主要包括RogueWLANAdhocWLAN作在ISMWLANWLAN无线玩耍掌握器、Zigbee、WiMaxWLANWLANWLANISM备会在ISMWLAN3GWLAN者共用室内馈路系统时。WLAN面来考虑：网络自身的干扰自身的同频干扰自身的邻频干扰来自外部的干扰WLAN干扰非WLAN干扰无线干扰的检测大型的WLANAPAPRFRFMonitorAP，或者是特地的Sensor进展分析、保存和处理。AP的网络来说，具有能够统一治理、充分利用接入网络的资源、检测和定位便利等特点。FFTWLAN种识别器Classifie，前者推断干扰是否为WLAN分析MACWLAN无线干扰的避开和消减5APAP安装位置、选择适宜的放射天线等。没有良好的网络部署，很难到达最正确的网络性能。RRM〔射频资源治理AP进展功率优化和信道优化；频谱分析；信道复用；5G2.4G上的5G上的非WLAN设备要相对少得多，信道数量多，能够获得格外好的性能。RRMRRMWLANWLANAPClientAPClient6AP，116RRM和它们接近的AP信道自动调整示意图另一方面，RRMAPClient的RFAPAP高于肯定程度时，将降低发送功率，从而降低相互干扰。发送功率调整后，两个同频AP频谱分析WLAN当频谱分析检测到的干扰时，将会发出告警，并显示干扰的类型、干扰的信道、干扰强度、占空比等信息，并可以进一步定位干扰所在并适时发出告警。频谱分析和RRM下，准时躲避干扰信道，从而保证网络的可用性。信道复用在高密度部署的环境中，如宽阔的会议大厅、学生宿舍、图书馆等，APAPAP弥相互干扰，提高信道重用程度。APCCACCA，WLANWLANRFRF于接收灵敏度时，WLANAP同信道的邻居APCCAAPCCA门限，APClient够满足SNR〔信噪比〕要求，仍能被Client承受信道复用后，AP的掩盖效果以及不同距离内的吞吐性能对比其他无线干扰避开和消减措施WLAN802.11WLANWLAN络性能也有很好的效果。这些技术特点包括：报文发送速率调整；逐包功率掌握；智能负载均衡技术；降低低质量用户的影响。报文发送速率调整就是动态计算每个报文发送速率。H3CAP能够针对每个ClientClient信号强度、历史发送信息等，动态计算当前报文适宜的发送速率。当发送失败时，可以依据不同环境承受不同的速率调整算法。例如，高空口时长变长，影响的范围更大，从而导致更大可能的冲突，引起其AP最终不影响上层应用的可用性。RRMAPAPH3CAPClientRF状态调整当前报文的发送功率。逐包功率掌握能够最大程度减小信号发送影响的范围，还能同时保证APClientAPClientClientAP轻单个APAPClient因用户所使用网卡的差异〔或者所处位置等其他差异，同一APAP口时间，降低其对空口的影响，从而提高整个网络的吞吐性能。无线供电设计目前主流的三种供电方式有三类：POEPOE设备强电取电本次工程AP必需承受POEPOEAPAPPOE交换机的性价比不高，因此推举承受POE每个AP1个POEPOEPOE1AP掩盖效果设计WLANAP设备接收灵敏度，以-75dBm2.4GHzAPAP20dBm承受衰减因子模型计算：就电波空间传播损耗来说，2.4GHz频段的PathLoss[dB]=46+10×n×logd[m]。WLAN环境，衰减因子n2。在建筑物内，距离对路径损耗的影响将明显大于自由空间。一般来说，对于全开放环境下n的取值为2.0～2.5n2.5～3.0；对于较封闭环境下n3.0～3.5n4.2算公式如下：Pr[dB]=Pt[dB]+Gt[dB]-PL[dB]+Gr[dB]。n2.5、3.0、3.5、4.269m、33m、20m、12mAP10m35mAP503.10无线网络的治理无线有线一体化治理无线业务治理核心是对于网络中的AC、FATAP、FITAP、移动态一目了然。网络资源通过多种视图进展查看，视图内分组治理，将规模巨大的无线接入设备有效组织，便于治理员维护。无线网络故障定位移动终端接入WLAN失败或接入WLANRFpingNQAAP位报告。以华三公司无线故障定位功能截图为例：无线网络质量评估AP估结果及数据记录，可实行有效措施进展网络优化，改善网络质量。AP任务阈值设置的APAPAP用状况。以华三公司无线网络质量评估功能截图为例：射频掩盖及无线网络规划RFRFRF强度、速率、信道进展，满足用户分析信号掩盖状况的需要。以华三公司相关功能截图为例：RF掩盖状况APWLANAPAPAPRadioAP使用参数后，自动计算所需的AP以华三公司相关功能截图为例：无线终端查看和漫游记录审计MAC信号强度、在线时长、流量、放射速率集、协商速率、RSSI、SSID、使用信道、所在ACAP迹进展审计。以华三公司相关功能截图为例：移动用户在线历史无线频谱防护能够查看无线网络中的当前干扰设备，历史干扰设备，AP量和AP信道质量报表，对APAP过对AC以及AP干扰设备信息。包括信道利用率图、信道利用率趋势图、信道质量图、信道质量趋势图、干扰信号强度、FFTFFTDutyCycleSweptSpectrogramFFT、FFTDutyCycle、SweptSpectrogram的方式呈现，内容清楚直观。以华三公司相关功能截图为例：当前干扰设备无线定位与GIS治理功能通过无线定位系统，实现对在线STA、非法STA、以及非法AP设备的物理位置，第一时间解决问题。以华三公司相关功能截图为例：移动用户列表无线定位业务展现基于物理位置的无线终端准入掌握终端准入掌握。以华三公司相关功能截图为例：射频智能治理能够为无线设备制定节能策略，策略类型包括AP启动停顿、RadioRadioSSID意攻击的可能性。以华三公司相关功能截图为例：节能策略治理无线入侵检测和防护802.11攻击检测策略治理等功能。以华三公司相关功能截图为例：WIPS配置虚拟安全域无线统计报表治理员对网络进展综合而全面的治理。以华三公司相关功能截图为例：无线业务报表列表无线内网安全设计是用户接入安全性；第三个是用户终端的安全性；无线环境安全性无线信号防泄漏AP无线信号泄露到工作场所以外的区域。SSID信号区域内都能够扫描到无线内网的SSID，可以在设置时选择不播送SSID，在允许接入到无线内网的终端上手工设置接入的SSID。削减非法用户接入到无线内网的机率。无线入侵检测无线入侵检测目前主要包括下面三个方面：非法设备检测；入侵检测；无线用户接入掌握〔黑名单和白名单；通过在WLANWLANWLAN例如非法AP，非法无线终端，非法无线网桥等等。WLAN通过记录信息或者日志方式通知网络治理者。依据入侵检测的结果，可以准时调整网络的配置，去除WLANWLAN802.11Flood检测、APSpoofWeakIVFlood可以依据不同类型的报文进展攻击检测。WLANMACWLAN无线入侵防范ITWi-Fi802.11并进展相应的调制解调为电磁波，在大气中进展“看不见、摸不着”Wi-Fi〔L1〕和链路层的无线攻击防护L2，以及如何将L1-L7实现有线无线的联动，会成为移动安全重要的关注点。WLAN802.1XCCMP击者监听到了这些报文，他还是无法复原出原始数据。但是，使用802.11iAP〔FLOOD〕WLAN议报文使企业无线网络无法使用。WLAN扫描企业内部WLANAC功能：检测并禁用非法设备；检测并躲避DOS检测并躲避表项攻击；检测并反制仿冒攻击；基于patternSignatur匹配，并执行预定义的动作；WLANWLANWLANARP攻击ARPARPAP的全部用户都共享带宽，所以一旦有用户中ARPARP报文，对网络的影响比有线更大。WLANARP同一个APSSID的ARP络环境和业务需求进展定制。用户接入安全链路协商安全够建立网络连接。安全协商主要有以下几种方式：连线对等保密(WEP)在链路层承受RC4对称加密技术，用户的加密密钥必需与AP的密钥一样时才能获准存取网络的资源，从而防止非授权用户的监听WEP4064128位长40128Wi-Fi(WPA)WPA(Wi-FiProtectedAccessWEP解决了WEPMACWEP用于RC4WPAWPA不仅是一种比WEP，而且有更为丰富的内涵。作为802.11iWPA国家标准(WAPI)WAPI(WLANAuthenticationandPrivacyInfrastructure)，即无线局域网鉴别与保密根底构造，它是针对IEEE802.11WEPGB15629.11WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEERegistrationAuthority审查并获得认可。它的主要特点是承受基(MT)与无线接入点(APWLAN区漫游，便利用户使用。与现有计费技术兼容的效劳，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA家庭、企业、运营商等多种应用模式。用户接入安全全准入网关认证的用户访问到信息内网里面。独立的无线内网设备VPN在地市电业局的综合数据网上创立二层VPN〔在变电站路由器和地市电业局核心路由器上配置二层VPN并绑定连接无线内网的接口APVPN的IPPEVPN用VPN。在地市侧边界路由器上建一个三层VPNCEAP无法访问到后台的业务效劳器，保证信息内网业务的安全性。防病毒、安全加固等安全检查，安全接入平防病毒、安全加固等安全检查，安全接入平台路由器R1三层VPN三层VPN省公司本部核心路由器R1省公司本部核心路由器R2省级数据通信网网关无线掌握器1无线掌握器2由器R1由器R2三层VPN三层VPNEBGP跨域EBGP跨域二层VPNVPLS器R1二层VPNVPLS器R2地市数据通信网由器路由器二层VPNVPLS二层VPNVPLS网关无线用户 无线用户严格的用户准入机制无线内网的网络层面是为无线用户供给了一个由变电站到省公到无线内网后仅能够访问无线内网的设备和省公司的无线内网准入准入系统。MACIMEIIP地址，用户可以正常访问信息内网业务效劳器，与此同时，安全准入系统可以对用户终端运行状况和网络使用状况进展审计和监控。部署防火墙、入侵防范、行为审计设备，对用户数据2-7层过滤和分析，屏蔽掉对业务效劳器的安全攻击，并对用户进展行为审计，便于事后追查。安全准入网关

安全准入网关IPS安全防护区 行为审计防火墙信息内网用户终端安全用户终端准入终端设备识别功能