馮燚超（1982－）

男，大學(xué)本科，學(xué)士學(xué)位，助理工程師，現(xiàn)為福建大唐國(guó)際寧德發(fā)電公司熱工班專責(zé)工。

摘要：出于網(wǎng)絡(luò)安全性的考慮，寧德電廠輔控網(wǎng)應(yīng)用了VLAN技術(shù)。本文對(duì)寧德電廠輔控網(wǎng)的系統(tǒng)組成和結(jié)構(gòu)作了簡(jiǎn)單描述。介紹了VLAN的特點(diǎn)和實(shí)現(xiàn)的主要途徑，詳細(xì)說(shuō)明了寧德電廠輔控網(wǎng)VLAN的具體劃分。VLAN這項(xiàng)網(wǎng)絡(luò)技術(shù)可以將輔控網(wǎng)內(nèi)各站點(diǎn)分到不同的虛擬局域網(wǎng)，有效防止計(jì)算機(jī)病毒的擴(kuò)散。最后陳述了應(yīng)用后的情況，并對(duì)VLAN有效性的原因以及目前的VLAN存在的不足作了分析。

關(guān)鍵詞：VLAN；輔控網(wǎng)；計(jì)算機(jī)病毒；網(wǎng)絡(luò)安全性；交換機(jī)

Abstract: Based on the security of the network, NingDe power plant introduces the technique of VLAN into its Balance of Process (BOP) control system. This article briefly describes the composition and structure of the BOP control system. In addition, the author introduces the characteristics of the VLAN and the main approaches of implementation. Moreover, the author defines the concrete division of the Ningde power plant auxiliary control. VLAN can assign the computers of the BOP control system to different virtual local area network to effectively prevent the spread of computer viruses. Finally, the author states the causes of VLAN validity and also analyzes the deficiency of the current VLAN.

Key words: VLAN；BOP ；computer virus；Network security；Switch

1  系統(tǒng)概述

    福建大唐寧德電廠一期（#3、4機(jī)組2X600MW）輔助車間采用全廠集中監(jiān)控方式，通過(guò)輔控網(wǎng)，在#3、#4機(jī)集控室的輔控操作員站，實(shí)現(xiàn)對(duì)輸煤系統(tǒng)，#3、#4機(jī)組除灰渣系統(tǒng)（包括電除塵系統(tǒng)）、#3、#4機(jī)組水處理系統(tǒng)（由凈水系統(tǒng)、超濾系統(tǒng)、鍋爐補(bǔ)給水系統(tǒng)、工業(yè)廢水系統(tǒng)、生活污水系統(tǒng)、循環(huán)水加藥系統(tǒng)、制氫站系統(tǒng)先期組成水處理系統(tǒng)網(wǎng)絡(luò)）和#3、#4機(jī)組凝結(jié)水處理系統(tǒng)（包括#3、#4機(jī)組取樣加藥系統(tǒng)）的控制。

    輔控網(wǎng)中心節(jié)點(diǎn)設(shè)在#3號(hào)機(jī)組電子室。輔助車間的監(jiān)控系統(tǒng)分兩層，第一層為現(xiàn)場(chǎng)控制層，該層是生產(chǎn)控制的執(zhí)行層，由各輔助車間控制子系統(tǒng)的施耐德QUANTUM  PLC和就地控制室的上位工控機(jī)組成。第二層為輔控網(wǎng)監(jiān)控層，該層是全廠輔控網(wǎng)系統(tǒng)的核心層，由3臺(tái)IBM服務(wù)器、2臺(tái)操作員站、1臺(tái)工程師站和2個(gè)赫斯曼MICE4218-5交換機(jī)組成。服務(wù)器根據(jù)功能和安裝軟件的不同，分為IAS1服務(wù)器，IAS2服務(wù)器和InSQL服務(wù)器，其中IAS1服務(wù)器是核心服務(wù)器，負(fù)責(zé)整個(gè)輔控網(wǎng)的數(shù)據(jù)采集和發(fā)布。交換機(jī)通過(guò)光纖、光纖收發(fā)器等網(wǎng)絡(luò)交換設(shè)備將該層的服務(wù)器與現(xiàn)場(chǎng)控制層的QUANTUM  PLC相連。輔助車間控制系統(tǒng)網(wǎng)絡(luò)采用冗余的工業(yè)星型以太網(wǎng)結(jié)構(gòu)。以太網(wǎng)的通訊支持TCP/IP協(xié)議。

                        圖1   福建大唐寧德電廠輔控網(wǎng)絡(luò)圖

2  VLAN的特點(diǎn)及實(shí)現(xiàn)的主要途徑

2.1 VLAN的特點(diǎn)

    VLAN是英文Virtual Local Area Network的縮寫，即虛擬局域網(wǎng)。虛擬局域網(wǎng)(VLAN)是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置，而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。在交換式以太網(wǎng)中，各站點(diǎn)可以分別屬于不同的虛擬局域網(wǎng)。構(gòu)成虛擬局域網(wǎng)的站點(diǎn)既可以掛接在同一個(gè)交換機(jī)中，也可以掛接在不同的交換機(jī)中?；诮粨Q式以太網(wǎng)的虛擬局域網(wǎng)在交換式以太網(wǎng)中，利用VLAN技術(shù)，可以將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個(gè)邏輯子網(wǎng)。也就是說(shuō)，一個(gè)虛擬局域網(wǎng)中的站點(diǎn)所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的站點(diǎn)，即各虛擬網(wǎng)之間不能直接進(jìn)行通訊。

2.2 VLAN實(shí)現(xiàn)的主要途徑

    基于交換式的以太網(wǎng)要實(shí)現(xiàn)虛擬局域網(wǎng)主要有三種途徑：基于端口的虛擬局域網(wǎng)、基于MAC地址(網(wǎng)卡的硬件地址)的虛擬局域網(wǎng)和基于IP地址的虛擬局域網(wǎng)。

2.2.1基于端口的虛擬局域網(wǎng)

    基于端口的虛擬局域網(wǎng)是最實(shí)用的虛擬局域網(wǎng)，它保持了最普通常用的虛擬局域網(wǎng)成員定義方法，配置也相當(dāng)直觀簡(jiǎn)單，就局域網(wǎng)中的站點(diǎn)具有相同的網(wǎng)絡(luò)地址，不同的虛擬局域網(wǎng)之間進(jìn)行通信需要通過(guò)路由器。采用這種方式的虛擬局域網(wǎng)其不足之處是靈活性不好。例如，當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí)，如果新端口與舊端口不屬于同一個(gè)虛擬局域網(wǎng)，則用戶必須對(duì)該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置，否則，該站點(diǎn)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。在基于端口的虛擬局域網(wǎng)中，每個(gè)交換端口可以屬于一個(gè)或多個(gè)虛擬局域網(wǎng)組，比較適用于連接服務(wù)器。

2.2.2基于MAC地址的虛擬局域網(wǎng)

    在基于MAC地址的虛擬局域網(wǎng)中，交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)虛擬局域網(wǎng)，而無(wú)論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng)，由于其MAC地址保持不變，因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。

2.2.3基于IP地址的虛擬局域網(wǎng)

    在基于IP地址的虛擬局域網(wǎng)中，新站點(diǎn)在入網(wǎng)時(shí)無(wú)需進(jìn)行太多配置，交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的虛擬局域網(wǎng)。在三種虛擬局域網(wǎng)的實(shí)現(xiàn)技術(shù)中，基于IP地址的虛擬局域網(wǎng)智能化程度最高，實(shí)現(xiàn)起來(lái)也最復(fù)雜。

3  輔控網(wǎng)主干交換機(jī)的VLAN劃分

    寧德電廠輔控系統(tǒng)網(wǎng)絡(luò)中多達(dá)12個(gè)子系統(tǒng)，配備的服務(wù)器、操作員站、工程師站共計(jì)15臺(tái)。主干交換機(jī)采用Hirschmann MICE4218-5—模塊化工業(yè)以太網(wǎng)交換機(jī)，配備HiVision網(wǎng)絡(luò)管理軟件。通過(guò)該軟件可以管理Hirschmann 的網(wǎng)絡(luò)代理和監(jiān)視網(wǎng)絡(luò)上的所有支持標(biāo)準(zhǔn)SNMP 的設(shè)備，可以提供整個(gè)網(wǎng)絡(luò)的總體運(yùn)行情況，自動(dòng)識(shí)別網(wǎng)絡(luò)設(shè)備，顯示網(wǎng)絡(luò)設(shè)備當(dāng)前狀態(tài)，進(jìn)行網(wǎng)絡(luò)性能綜合分析，網(wǎng)絡(luò)故障搜索和網(wǎng)絡(luò)的控制。但該系統(tǒng)存在著各類計(jì)算機(jī)病毒侵害的不安全因素，一旦有工控機(jī)受到計(jì)算機(jī)病毒的侵害，可能導(dǎo)致輔網(wǎng)主服務(wù)器和各子系統(tǒng)上位機(jī)被傳染，后果難以預(yù)料。針對(duì)這一問(wèn)題，雖然可以采取安裝殺毒軟件，在BIAS禁用USB口，加強(qiáng)人員管理等措施，但都各有其不足之處。而采用VLAN劃分是一項(xiàng)非常有效的措施。這是該廠考慮采用VLAN劃分的初衷。

    利用HiVision網(wǎng)絡(luò)管理軟件就可以對(duì)輔控網(wǎng)進(jìn)行VLAN的劃分。由于基于MAC地址的虛擬局域網(wǎng)各站點(diǎn)的MAC地址（也叫硬件地址，是燒錄在網(wǎng)卡里的）不會(huì)隨著站點(diǎn)的IP地址或者端口的改變而改變，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不容易被更改，因此在設(shè)計(jì)初期，首先考慮使用基于MAC地址的虛擬局域網(wǎng)，但是由于已配置的交換機(jī)硬件的限制，最終采用了基于端口的虛擬局域網(wǎng)。

    輔網(wǎng)主干交換機(jī)VLAN的劃分如圖2所示。

                               圖2   輔網(wǎng)主干交換機(jī)

    圖2-1模塊，4個(gè)電口（即能插4根網(wǎng)線），其端口在HIVISION軟件中的命名為 \1\1 ～\1\4，分別表示模塊1的4個(gè)端口。連接設(shè)備分別為:\1\1 工程師站；\1\2 操作員站1；\1\3 大屏幕；\1\4  操作員站2。

    圖2-2模塊， 4個(gè)光口（即能插4根光纖），其端口在HIVISION軟件中的命名為  \2\1 ～\2\4 ， 分別表示模塊2的4個(gè)端口。連接設(shè)備分別為:\2\1水網(wǎng)系統(tǒng)；\2\2 備用系統(tǒng)接口；\2\3 備用系統(tǒng)接口；\2\4 凝結(jié)水系統(tǒng)。

    圖2-3模塊，4個(gè)光口，在HIVISION中的命名為 \3\1～\3\4分別表示模塊3的4個(gè)端口。連接設(shè)備分別為: \3\1 灰網(wǎng)系統(tǒng)；\3\2 備用系統(tǒng)接口；\3\3 煤網(wǎng)系統(tǒng)； \3\4 備用系統(tǒng)接口。

    圖2-4模塊，4個(gè)電口，在HIVISION中的命名為\4\1 ～\4\4分別表示模塊4的4個(gè)端口。連接設(shè)備分別為: \4\1備用操作員站1；\4\2 IAS1服務(wù)器；\4\3備用操作員站2；\4\4 IAS2服務(wù)器；

    圖2-5模塊，4個(gè)電口，在HIVISION中的命名為\5\1～\5\4分別表示模塊5的4個(gè)端口。連接設(shè)備分別為: \5\1SIS系統(tǒng)；\5\2SIS系統(tǒng)備用接口；\5\3INSQL服務(wù)器；\5\4備用服務(wù)器接口。

輔網(wǎng)VLAN劃分示意圖如圖3所示。

    從圖3可知IAS1服務(wù)器及IAS2服務(wù)器為整個(gè)架構(gòu)中的核心，各個(gè)子系統(tǒng)均與其相關(guān)聯(lián)。對(duì)于各子系統(tǒng)之間，通過(guò)VLAN劃分后不能直接進(jìn)行通訊。VLAN劃分后每個(gè)端口有其特有的區(qū)域權(quán)限，故在維護(hù)的時(shí)候注意相應(yīng)系統(tǒng)端口的位置。

    因?yàn)檩o助車間控制系統(tǒng)網(wǎng)絡(luò)采用冗余的工業(yè)星型以太網(wǎng),所以另一個(gè)主干交換機(jī)也要作相同的設(shè)置。

用同樣的方法，可以對(duì)水處理系統(tǒng)等子系統(tǒng)也進(jìn)行VLAN劃分。

4  應(yīng)用的情況和分析

4.1 應(yīng)用情況

    輔控網(wǎng)的監(jiān)控層從2006年5月開始調(diào)試，8月后逐步投入運(yùn)行至現(xiàn)在近兩年，整體情況基本良好，在網(wǎng)絡(luò)和通訊方面沒(méi)有出現(xiàn)異常情況。

    在基建期間，各子系統(tǒng)的安裝調(diào)試非同步完成。當(dāng)輔控網(wǎng)的監(jiān)控層尚在調(diào)試的時(shí)候，有些子系統(tǒng)已經(jīng)投入運(yùn)行。幾個(gè)廠家交叉工作，管理不便，很容易出現(xiàn)問(wèn)題。在輔控網(wǎng)還未作VLAN劃分時(shí)，一個(gè)子系統(tǒng)廠家在工控機(jī)上使用移動(dòng)硬盤，結(jié)果使得已經(jīng)投運(yùn)的水處理系統(tǒng)和精處理系統(tǒng)共5臺(tái)操作員站感染病毒，造成操作員站反應(yīng)緩慢甚至無(wú)法操作。還有，不同廠家之間通過(guò)工控機(jī)共享資源的事情也時(shí)有發(fā)生，給系統(tǒng)增加了一定的不安全性。由于工控機(jī)的殺毒軟件病毒庫(kù)不能隨時(shí)更新，而新的病毒卻是層出不窮，光靠殺毒軟件很難控制病毒。VLAN的優(yōu)點(diǎn)是直接限制了不同子系統(tǒng)之間的通訊，所以不管病毒怎么翻新都不能傳播到本系統(tǒng)以外。雖然VLAN不能直接殺毒，但能非常有效地隔離病毒，保證了其他子系統(tǒng)的安全。輔控網(wǎng)應(yīng)用VLAN后，未再發(fā)生類似事件。

4.2 PLC不會(huì)中毒

    PLC是就地控制室上位機(jī)和輔控網(wǎng)服務(wù)器都要連接的重要設(shè)備。VLAN的應(yīng)用之所以有效有一個(gè)重要原因，即PLC不會(huì)中毒也不會(huì)傳播病毒。從理論上講，只要能運(yùn)行程序的設(shè)備都有可能中毒。但是就目前來(lái)說(shuō)，PLC采用的是不同于MS Windows、Linux、Macintoshi OS等的操作系統(tǒng)，并且各大廠商的PLC開發(fā)語(yǔ)言還沒(méi)有兼容，對(duì)黑客來(lái)說(shuō)研制此類病毒難度大且沒(méi)有意義，所以基本上不存在針對(duì)PLC的病毒。

4.3 寧德電廠VLAN有待完善

    自投運(yùn)至今,雖然輔控網(wǎng)應(yīng)用VLAN運(yùn)行情況良好，但還有進(jìn)一步完善的必要。雖然在主干交換機(jī)上作了端口的劃分，但此端口不是直接連到PLC的網(wǎng)卡，而是連到子系統(tǒng)的交換機(jī)。子系統(tǒng)的交換機(jī)上連著上位機(jī)，這樣就使得輔網(wǎng)的服務(wù)器和子系統(tǒng)的上位機(jī)可以相互通訊。比如說(shuō)，制氫站系統(tǒng)的上位機(jī)和輸煤系統(tǒng)的上位機(jī)之間不能直接進(jìn)行通訊，卻都可以訪問(wèn)到輔網(wǎng)的服務(wù)器。這一問(wèn)題本可以通過(guò)在子系統(tǒng)的交換機(jī)上也進(jìn)行VLAN的劃分來(lái)解決，但由于子系統(tǒng)的交換機(jī)都是低端產(chǎn)品，不支持VLAN。這種情況下，基于MAC地址的虛擬局域網(wǎng)和基于IP地址的虛擬局域網(wǎng)就比基于端口的虛擬局域網(wǎng)更加徹底，因?yàn)榍罢呖梢酝ㄟ^(guò)MAC地址或者IP地址直接追蹤到PLC的網(wǎng)卡，將子系統(tǒng)上位機(jī)隔離在VLAN以外。當(dāng)然，這需要支持前兩種VLAN的主干交換機(jī)。

5  結(jié)語(yǔ)

整個(gè)輔網(wǎng)經(jīng)過(guò)劃分之后形成了多個(gè)邏輯子網(wǎng)，各子網(wǎng)之間不能直接進(jìn)行通訊。若其中一個(gè)子系統(tǒng)的上位機(jī)感染病毒，其他子系統(tǒng)不會(huì)受其影響，即有效地控制了病毒的擴(kuò)散。同時(shí)這也限制了人為的跨系統(tǒng)隨意訪問(wèn)，方便了網(wǎng)絡(luò)的管理。VLAN的應(yīng)用不僅提高了網(wǎng)絡(luò)的安全性，同時(shí)還提高了網(wǎng)絡(luò)性能。因?yàn)橥ㄟ^(guò)劃分虛擬局域網(wǎng)減少了整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，廣播信息不會(huì)跨過(guò)VLAN，可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi)，縮小了廣播域，提高了網(wǎng)絡(luò)的傳輸效率。從這兩年的運(yùn)行情況來(lái)看，VLAN這項(xiàng)網(wǎng)絡(luò)技術(shù)在寧德電廠輔控網(wǎng)的應(yīng)用取得了成功。

[2] 赫斯曼網(wǎng)絡(luò)管理軟件HIVISION說(shuō)明書.