李若明 王行愚 陳月軍

    隨著人類物質(zhì)文明與精神文明的迅速發(fā)展，計算機(jī)尤其是網(wǎng)絡(luò)的發(fā)展和應(yīng)用已與人們的生活休戚相關(guān)。其中以局域網(wǎng)為代表，從共享式網(wǎng)絡(luò)到交換式網(wǎng)絡(luò)，從速度為1Mbps的以太網(wǎng)到現(xiàn)在的千兆甚至是萬兆以太網(wǎng)，都僅僅是二十幾年的時間。伴隨著網(wǎng)絡(luò)的發(fā)展，其安全可靠問題也逐漸成為技術(shù)人員首先要解決的難題，虛擬局域網(wǎng)（VLAN）的開發(fā)從一定程度上解決了局域網(wǎng)的安全可靠問題，目前該技術(shù)已經(jīng)廣泛應(yīng)用于全世界的以太網(wǎng)中，成為世界公認(rèn)的標(biāo)準(zhǔn)。由于以太網(wǎng)的局限性，其開始時多應(yīng)用于企業(yè)公司的管理層中，特別是商務(wù)樓中，但隨著其自身技術(shù)的不斷改進(jìn)，將其運(yùn)用于安全可靠性要求更高的生產(chǎn)控制環(huán)節(jié)也越來越得到重視，VLAN技術(shù)與控制系統(tǒng)的結(jié)合使用已經(jīng)成為許多供應(yīng)商和廠商必須要解決的問題。

1  VLAN技術(shù)概述

1.1  VLAN定義

    虛擬局域網(wǎng)（VLAN）是把一個物理網(wǎng)絡(luò)劃分成為多個邏輯工作組的邏輯網(wǎng)段。它是一種先進(jìn)的網(wǎng)絡(luò)構(gòu)造和組織方式。VLAN不是一個物理網(wǎng)絡(luò)，但存在于一個物理網(wǎng)絡(luò)上。使用VLAN技術(shù)可以將整個網(wǎng)絡(luò)劃分成若干個邏輯上的子網(wǎng)，除非進(jìn)行設(shè)置，否則這些子網(wǎng)之間是分離的，就像在同一個網(wǎng)絡(luò)上構(gòu)造出若干個獨(dú)立的網(wǎng)絡(luò)，故稱為虛擬網(wǎng)。屬于不同VLAN的設(shè)備不能相互訪問，它們間的通信一般要依賴于路由。VLAN的所有幀流量都被限制在本VLAN中，從而提高了網(wǎng)絡(luò)的性能。

1.2  VLAN劃分方法

    (1)  基于交換端口的VLAN

    這種方式是把LAN交換機(jī)的某些端口的集合作為VLAN的成員。這些集合有時只在單個LAN交換機(jī)上，有時則跨越多臺LAN交換機(jī)虛擬局域網(wǎng)的管理應(yīng)用程序，根據(jù)交換機(jī)端口的標(biāo)識ID，將不同的端口分到對應(yīng)的分組中，分配到一個

    VLAN的各個端口上的所有站點(diǎn)都在一個廣播域中，它們相互可以通訊不同的VLAN站點(diǎn)之間進(jìn)行通訊需經(jīng)過路由器來進(jìn)行。這種VLAN方式的優(yōu)點(diǎn)在于簡單、容易實(shí)現(xiàn)。從一個端口發(fā)出的廣播，直接發(fā)送到該VLAN內(nèi)的其它端口，也便于直接監(jiān)控。它的缺點(diǎn)是自動化程度低，靈活性不好。比如，不能在給定的端口上支持一個以上的VLAN；一個網(wǎng)絡(luò)站點(diǎn)從一個端口移動到另一個新的端口時，如新端口與舊端口不屬于同一個VLAN，則用戶必須對該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置。

    (2)  基于MAC地址的VLAN

    這種方式的VLAN，要求交換機(jī)對站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時，根據(jù)需要將其劃歸至某一個VLAN。不論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動，由于其MAC地址保持不變，因此用戶不需對網(wǎng)絡(luò)地址重新配置。然而所有的用戶必須明確地分配給一個VLAN，在這種初始化工作完成后，對用戶的自動跟蹤才成為可能。在一個大型網(wǎng)絡(luò)中，要求網(wǎng)絡(luò)管理人員將每個用戶一一劃分到某一個VLAN是十分繁瑣的。

    (3)  基于網(wǎng)絡(luò)層的VLAN

    也稱為基于IP的VLAN，它是利用網(wǎng)絡(luò)層的業(yè)務(wù)屬性來自動生成VLAN，把使用不同的路由協(xié)議的站點(diǎn)分在相對應(yīng)的VLAN中。IP子網(wǎng)1為第一個VLAN，IP子網(wǎng)2為第二個VLAN，IPX子網(wǎng)1為第三個VLAN……以此類推。通過檢查所有的廣播和多點(diǎn)廣播幀，交換機(jī)能自動生成VLAN。這種方式構(gòu)成的VLAN，在不同的LAN網(wǎng)段上的站點(diǎn)可以屬于同一VLAN，同一物理端口上的站點(diǎn)也可分屬于不同的VLAN。從而保證了用戶完全自由地進(jìn)行增加、移動和修改等操作。這種根據(jù)網(wǎng)絡(luò)上應(yīng)用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)地址劃分VLAN的方式，對于那些想針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理人員來說是十分有效的。它減少了人工參與配置VLAN，使VLAN有更大靈活性，比基于MAC地址的VLAN更容易做到自動化管理。

    除了以上的三種劃分手段外還有如基于組播的VLAN等，但是不管使用哪種方法，都有其自身的優(yōu)勢和缺點(diǎn)，要達(dá)到靈活性和快速性的矛盾統(tǒng)一是十分困難的事情，具體使用何種手段，還要視具體情況所定。

1.3  VLAN間通訊與路由選擇

    (1)  使用傳統(tǒng)路由實(shí)現(xiàn)VLAN間的通信

    無論用那一種方法劃分VLAN，VLAN成員只能是交換機(jī)端口。如果VLAN成員是同一交換機(jī)端口，解決VLAN成員間通信是輕而易舉的，從某一端口進(jìn)來的任何幀只能送往屬于同一VLAN的其它端口。如果VLAN成員是不同交換機(jī)端口，解決VLAN成員間通信就變得復(fù)雜。一種方法是有多少個VLAN，交換機(jī)間就有多少條鏈接。顯然，這種方法是不切實(shí)際的。另一種方法是不管有多少個VLAN，交換機(jī)間只有一條鏈接，隨之而來的問題是無法確定從交換機(jī)間鏈接端口進(jìn)來的幀屬于那個VLAN。解決的方法是交換機(jī)從終端收到MAC幀后，根據(jù)其輸入端口確定其所屬的VLAN，在MAC幀上加上VLAN ID，再送到下一交換機(jī)，最后一級交換機(jī)自動去掉VLAN ID，把MAC幀送給目的終端。鏈接交換機(jī)的這些端口構(gòu)成虛擬網(wǎng)主干（VLT），這些端口被所有VLAN共享，而其它端口只能屬于一個VLAN，這也就是所謂的VLAN Trunking技術(shù)，它的使用可以提高鏈路的利用率、節(jié)省端口資源、簡化管理，但是網(wǎng)絡(luò)中的交換機(jī)必須支持這種技術(shù)，還有由于轉(zhuǎn)發(fā)都要經(jīng)過路由器，當(dāng)任務(wù)較多時，可能造成瓶頸的問題。所以第三層交換技術(shù)的出現(xiàn)，解決了局域網(wǎng)中網(wǎng)段劃分問題，網(wǎng)段中子網(wǎng)必須依賴路由器的局面被打破了，很好地處理了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。

    (2)  第三層交換技術(shù)的應(yīng)用

    采用第三層交換或稱多層交換來構(gòu)造VLAN的思想是不同端點(diǎn)之間無論是處于同一VLAN中，還是分布在不同VLAN中，它們之間的大部分通信都可以由交換機(jī)根據(jù)第三層協(xié)議完成，無需路由器的參與。通常情況下，第三層交換機(jī)采用VLAN號跟蹤跨越VLAN的信息，交換機(jī)收到數(shù)據(jù)包后，檢查IP地址以確定其所屬的VLAN，然后將VLAN號映射成相應(yīng)的出端口。到同一地址的后續(xù)包則在第二層完成轉(zhuǎn)發(fā)。因此，事實(shí)上，第三層交換機(jī)只路由ARP或廣播的第一個包，一旦網(wǎng)絡(luò)地址到出端口的映射完成，就將地址轉(zhuǎn)換信息保存在第三層交換機(jī)的Cache中，傳送后續(xù)包時，只需在Cache中進(jìn)行查找，完成轉(zhuǎn)發(fā)。對于交換機(jī)不知該如何轉(zhuǎn)發(fā)的數(shù)據(jù)包，交換機(jī)將它發(fā)送給所有適當(dāng)?shù)?/SPAN>VLAN端口和主干網(wǎng)接口，接收的工作站收到此包后，發(fā)送一點(diǎn)對點(diǎn)幀。交換機(jī)通過回送幀進(jìn)行路徑學(xué)習(xí)。

    由于第三層交換機(jī)本身所具有的協(xié)議依賴性，其中大多數(shù)仍然需要路由器來完成一些高端路由功能，如充當(dāng)VLAN到WAN的網(wǎng)關(guān)及其他更復(fù)雜的路由要求，因此路由器和第三層交換機(jī)都要維持路由表，這顯然增加了網(wǎng)絡(luò)管理的負(fù)擔(dān)。

2  VLAN技術(shù)在控制系統(tǒng)中的應(yīng)用

2.1  VLAN技術(shù)實(shí)施的必要性

    現(xiàn)場總線控制系統(tǒng)（FCS）的出現(xiàn)是順應(yīng)智能現(xiàn)場儀表而發(fā)展起來的，在控制領(lǐng)域內(nèi)引起了一場前所未有的革命。然而就在人們沸沸揚(yáng)揚(yáng)地對FCS進(jìn)行概念炒作的時候，卻沒有注意到它的發(fā)展在某些方面的不協(xié)調(diào)，其主要表現(xiàn)在迄今為止現(xiàn)場總線的通訊標(biāo)準(zhǔn)尚未統(tǒng)一，這使得各廠商的儀表設(shè)備難以在不同的FCS中兼容。此外，FCS的傳輸速率也不盡人意，此時人們便想到了已在商業(yè)領(lǐng)域成功運(yùn)用的以太網(wǎng)技術(shù)。以太網(wǎng)具有傳輸速度高、低耗、易于安裝和兼容性好等方面的優(yōu)勢，由于它支持幾乎所有流行的網(wǎng)絡(luò)協(xié)議，所以統(tǒng)一標(biāo)準(zhǔn)十分簡單，因此在商業(yè)系統(tǒng)中被廣泛采用。但是傳統(tǒng)以太網(wǎng)采用總線式拓樸結(jié)構(gòu)和多路存取載波偵聽碰撞檢測（CSMA／CD）通訊方式，在實(shí)時性要求較高的場合下，重要數(shù)據(jù)的傳輸過程會產(chǎn)生傳輸延滯，這被稱為以太網(wǎng)的“不確定性”。同時在可靠安全方面也可能由于網(wǎng)絡(luò)傳輸?shù)倪^載引起廣播風(fēng)暴等影響正常通訊的問題，這是影響以太網(wǎng)長期無法進(jìn)入過程控制領(lǐng)域的重要原因。隨著對自身結(jié)構(gòu)的不斷改善特別是交換技術(shù)的開發(fā)很好地解決了實(shí)時性和安全可靠性的問題，使以太網(wǎng)進(jìn)入工業(yè)控制領(lǐng)域成為可能，從而產(chǎn)生了一種新型以太網(wǎng)一工業(yè)以太網(wǎng)。

    VLAN技術(shù)正是解決這兩個問題的關(guān)鍵，它對網(wǎng)絡(luò)的邏輯劃分使每個生產(chǎn)部門，每道工序，甚至是每個現(xiàn)場的儀器可以成為一個獨(dú)立的網(wǎng)段，本網(wǎng)段的成員可以充分享有全部的帶寬，信息傳送的延時性大大減小了，對突然發(fā)生的故障可以有最快地響應(yīng)，并能準(zhǔn)確快速發(fā)現(xiàn)故障的位置加以隔離，完全能滿足工業(yè)中實(shí)時性的要求。在安全方面，每個不同的VLAN之間通信必須路由設(shè)備或第三層網(wǎng)絡(luò)協(xié)議，各個單位完全可以按照本企業(yè)的實(shí)際情況來設(shè)計安全策略如可以定一些安全級，管理級為最高，可以隨時更改和監(jiān)視控制級和現(xiàn)場級的生產(chǎn)狀況，如出現(xiàn)重大故障可馬上更改參數(shù)或停車。而控制級則負(fù)責(zé)監(jiān)視現(xiàn)場每個設(shè)備的運(yùn)行，也可更改設(shè)備的控制參數(shù)，但是它的決定不能影響上一級的管理級，現(xiàn)場級級別最低，它只可以修改現(xiàn)場設(shè)備的設(shè)定參數(shù)，決不能影響控制級和管理級的控制策略，當(dāng)然也不能得到控制級和管理級的重要數(shù)據(jù)，這就有效地解決了使用探嗅器等設(shè)備進(jìn)行網(wǎng)絡(luò)偵聽和破壞的問題。在企業(yè)間競爭如此激烈的今天，顯然信息已經(jīng)成為知識產(chǎn)權(quán)的一個重要部分，VLAN技術(shù)的使用提高了網(wǎng)絡(luò)的利用率，節(jié)省了網(wǎng)絡(luò)資源保障了企業(yè)的利益。

2.2  VLAN技術(shù)在工業(yè)中的應(yīng)用實(shí)例

    一個規(guī)模較大的企業(yè)，包括眾多職能部門和二級機(jī)構(gòu)，為保證對不同職能部門管理的方便性和安全性以及整體網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，通常采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。在進(jìn)行VLAN劃分時應(yīng)盡量遵循“80/20”原則，即80％的數(shù)據(jù)流量應(yīng)在同一個廣播域中傳播，只有20％的流量才應(yīng)該被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上。管理員要把帶寬需求高的用戶或經(jīng)常互相通信的用戶盡可能劃分到同一的VLAN中，以便把這些信息流量都限制在交換機(jī)內(nèi)，節(jié)省出帶寬供其他用戶使用。   

    下面以某市電業(yè)局企業(yè)網(wǎng)為例具體分析VLAN技術(shù)的應(yīng)用。電業(yè)局是一個大型現(xiàn)代化企業(yè)，包括調(diào)度、變電、配電等一線部門和政工、人力資源、財務(wù)等二線部門，以及眾多三產(chǎn)機(jī)構(gòu)。它們分布在各個地方，有些部門還分散在不同的地方辦公。本系統(tǒng)的虛擬局域網(wǎng)是在ATM局域網(wǎng)仿真（LANE）技術(shù)基礎(chǔ)上實(shí)現(xiàn)的，把一個部門劃分成一個仿真局域網(wǎng)（ELAN），生成自己的LES/BUS和LEC，并在此基礎(chǔ)上建立VLAN。在劃分時考慮到有些部門人數(shù)較少，如果單獨(dú)建立VLAN會增加建設(shè)成本，加重路由器負(fù)擔(dān)，并且占用網(wǎng)絡(luò)帶寬，所以將沒有特殊需求、人數(shù)較少的一些部門合并成幾個VLAN，把普通服務(wù)器集中在一個VLAN中，另外把安全要求更高的核心服務(wù)器單獨(dú)劃分成一個更小的VLAN，從而保證網(wǎng)絡(luò)流量異常時不會影響核心服務(wù)器的運(yùn)行。圖1是本系統(tǒng)的電力通信網(wǎng)的網(wǎng)絡(luò)拓?fù)鋱D。

圖1  網(wǎng)絡(luò)拓樸結(jié)構(gòu)圖

    交換機(jī)分主要為三個級別。核心交換機(jī)采用BAY5000BH，二層交換機(jī)采用Centillion100，三層交換機(jī)是接人機(jī)交換機(jī)。核心交換機(jī)與二層交換機(jī)之間是ATM通道，在Centillion100上創(chuàng)建所需VLAN的服務(wù)虛端口LEC，并把物理端口劃分給不同的VLAN。其中在變電工區(qū)中，還可以通過現(xiàn)場的交換機(jī)將現(xiàn)場的設(shè)備儀表進(jìn)行VLAN的劃分，從而可以實(shí)現(xiàn)故障定位和隔離的重要作用。可見在使用VLAN進(jìn)行劃分后，整個企業(yè)的管理實(shí)現(xiàn)了全面的網(wǎng)絡(luò)化，不同部門之間的協(xié)作得到了很好的發(fā)揮，實(shí)現(xiàn)了工業(yè)單位中管理與生產(chǎn)互相協(xié)調(diào)，優(yōu)勢互補(bǔ)的重要作用。

3  VLAN技術(shù)的實(shí)際價值及發(fā)展趨勢

    VLAN具有降低移動與變更的管理成本，比路由器更具成本效益的廣播控制，支持多媒體應(yīng)用程序與高效組播控制，增強(qiáng)的安全性，網(wǎng)絡(luò)監(jiān)督與管理的自動化，減少路由需要和更為有效的網(wǎng)絡(luò)監(jiān)控等作用。VLAN技術(shù)為交換式網(wǎng)絡(luò)提供了良好的控制能力，而交換式網(wǎng)絡(luò)又為VLAN的實(shí)現(xiàn)提供了基礎(chǔ)。所以說，交換是基礎(chǔ)，虛擬是靈魂。路由技術(shù)直接影響VLAN的效率。減少路由節(jié)點(diǎn)，提高路由速度是VLAN技術(shù)發(fā)展的要求。方便、靈活的配置手段為用戶定義，使用VLAN提供良好的界面和環(huán)境。在網(wǎng)絡(luò)中合理定義VLAN是提高網(wǎng)絡(luò)使用效益最有效的方法。

4  結(jié)束語

    在信息產(chǎn)業(yè)飛速發(fā)展的今天，控制系統(tǒng)當(dāng)然也要趕上時代的步伐，以太網(wǎng)的應(yīng)用已經(jīng)成為企業(yè)發(fā)展和增強(qiáng)競爭力的必然趨勢，基于以太網(wǎng)的VLAN技術(shù)的應(yīng)用很好地完成了控制生產(chǎn)中實(shí)時性與安全可靠性要求的有機(jī)統(tǒng)一，體現(xiàn)自動控制中所追求的目標(biāo)。當(dāng)然，它還是一個新的技術(shù)在許多方面還存在著漏洞，現(xiàn)在許多工廠企業(yè)中所使用的較舊的設(shè)備也無法支持這種技術(shù)。但是作為一種新的突破，筆者認(rèn)為其前途似錦，其必將在今后控制系統(tǒng)的發(fā)展中占據(jù)重要的地位。