馮燚超（1982－）

男，大學本科，學士學位，助理工程師，現為福建大唐國際寧德發電公司熱工班專責工。

摘要：出于網絡安全性的考慮，寧德電廠輔控網應用了VLAN技術。本文對寧德電廠輔控網的系統組成和結構作了簡單描述。介紹了VLAN的特點和實現的主要途徑，詳細說明了寧德電廠輔控網VLAN的具體劃分。VLAN這項網絡技術可以將輔控網內各站點分到不同的虛擬局域網，有效防止計算機病毒的擴散。最后陳述了應用后的情況，并對VLAN有效性的原因以及目前的VLAN存在的不足作了分析。

關鍵詞：VLAN；輔控網；計算機病毒；網絡安全性；交換機

Abstract: Based on the security of the network, NingDe power plant introduces the technique of VLAN into its Balance of Process (BOP) control system. This article briefly describes the composition and structure of the BOP control system. In addition, the author introduces the characteristics of the VLAN and the main approaches of implementation. Moreover, the author defines the concrete division of the Ningde power plant auxiliary control. VLAN can assign the computers of the BOP control system to different virtual local area network to effectively prevent the spread of computer viruses. Finally, the author states the causes of VLAN validity and also analyzes the deficiency of the current VLAN.

Key words: VLAN；BOP ；computer virus；Network security；Switch

1  系統概述

    福建大唐寧德電廠一期（#3、4機組2X600MW）輔助車間采用全廠集中監控方式，通過輔控網，在#3、#4機集控室的輔控操作員站，實現對輸煤系統，#3、#4機組除灰渣系統（包括電除塵系統）、#3、#4機組水處理系統（由凈水系統、超濾系統、鍋爐補給水系統、工業廢水系統、生活污水系統、循環水加藥系統、制氫站系統先期組成水處理系統網絡）和#3、#4機組凝結水處理系統（包括#3、#4機組取樣加藥系統）的控制。

    輔控網中心節點設在#3號機組電子室。輔助車間的監控系統分兩層，第一層為現場控制層，該層是生產控制的執行層，由各輔助車間控制子系統的施耐德QUANTUM  PLC和就地控制室的上位工控機組成。第二層為輔控網監控層，該層是全廠輔控網系統的核心層，由3臺IBM服務器、2臺操作員站、1臺工程師站和2個赫斯曼MICE4218-5交換機組成。服務器根據功能和安裝軟件的不同，分為IAS1服務器，IAS2服務器和InSQL服務器，其中IAS1服務器是核心服務器，負責整個輔控網的數據采集和發布。交換機通過光纖、光纖收發器等網絡交換設備將該層的服務器與現場控制層的QUANTUM  PLC相連。輔助車間控制系統網絡采用冗余的工業星型以太網結構。以太網的通訊支持TCP/IP協議。

                        圖1   福建大唐寧德電廠輔控網絡圖

2  VLAN的特點及實現的主要途徑

2.1 VLAN的特點

    VLAN是英文Virtual Local Area Network的縮寫，即虛擬局域網。虛擬局域網(VLAN)是指網絡中的站點不拘泥于所處的物理位置，而可以根據需要靈活地加入不同的邏輯子網中的一種網絡技術。在交換式以太網中，各站點可以分別屬于不同的虛擬局域網。構成虛擬局域網的站點既可以掛接在同一個交換機中，也可以掛接在不同的交換機中。基于交換式以太網的虛擬局域網在交換式以太網中，利用VLAN技術，可以將由交換機連接成的物理網絡劃分成多個邏輯子網。也就是說，一個虛擬局域網中的站點所發送的廣播數據包將僅轉發至屬于同一VLAN的站點，即各虛擬網之間不能直接進行通訊。

2.2 VLAN實現的主要途徑

    基于交換式的以太網要實現虛擬局域網主要有三種途徑：基于端口的虛擬局域網、基于MAC地址(網卡的硬件地址)的虛擬局域網和基于IP地址的虛擬局域網。

2.2.1基于端口的虛擬局域網

    基于端口的虛擬局域網是最實用的虛擬局域網，它保持了最普通常用的虛擬局域網成員定義方法，配置也相當直觀簡單，就局域網中的站點具有相同的網絡地址，不同的虛擬局域網之間進行通信需要通過路由器。采用這種方式的虛擬局域網其不足之處是靈活性不好。例如，當一個網絡站點從一個端口移動到另外一個新的端口時，如果新端口與舊端口不屬于同一個虛擬局域網，則用戶必須對該站點重新進行網絡地址配置，否則，該站點將無法進行網絡通信。在基于端口的虛擬局域網中，每個交換端口可以屬于一個或多個虛擬局域網組，比較適用于連接服務器。

2.2.2基于MAC地址的虛擬局域網

    在基于MAC地址的虛擬局域網中，交換機對站點的MAC地址和交換機端口進行跟蹤，在新站點入網時根據需要將其劃歸至某一個虛擬局域網，而無論該站點在網絡中怎樣移動，由于其MAC地址保持不變，因此用戶不需要進行網絡地址的重新配置。

2.2.3基于IP地址的虛擬局域網

    在基于IP地址的虛擬局域網中，新站點在入網時無需進行太多配置，交換機則根據各站點網絡地址自動將其劃分成不同的虛擬局域網。在三種虛擬局域網的實現技術中，基于IP地址的虛擬局域網智能化程度最高，實現起來也最復雜。

3  輔控網主干交換機的VLAN劃分

    寧德電廠輔控系統網絡中多達12個子系統，配備的服務器、操作員站、工程師站共計15臺。主干交換機采用Hirschmann MICE4218-5—模塊化工業以太網交換機，配備HiVision網絡管理軟件。通過該軟件可以管理Hirschmann 的網絡代理和監視網絡上的所有支持標準SNMP 的設備，可以提供整個網絡的總體運行情況，自動識別網絡設備，顯示網絡設備當前狀態，進行網絡性能綜合分析，網絡故障搜索和網絡的控制。但該系統存在著各類計算機病毒侵害的不安全因素，一旦有工控機受到計算機病毒的侵害，可能導致輔網主服務器和各子系統上位機被傳染，后果難以預料。針對這一問題，雖然可以采取安裝殺毒軟件，在BIAS禁用USB口，加強人員管理等措施，但都各有其不足之處。而采用VLAN劃分是一項非常有效的措施。這是該廠考慮采用VLAN劃分的初衷。

    利用HiVision網絡管理軟件就可以對輔控網進行VLAN的劃分。由于基于MAC地址的虛擬局域網各站點的MAC地址（也叫硬件地址，是燒錄在網卡里的）不會隨著站點的IP地址或者端口的改變而改變，網絡拓撲結構不容易被更改，因此在設計初期，首先考慮使用基于MAC地址的虛擬局域網，但是由于已配置的交換機硬件的限制，最終采用了基于端口的虛擬局域網。

    輔網主干交換機VLAN的劃分如圖2所示。

                               圖2   輔網主干交換機

    圖2-1模塊，4個電口（即能插4根網線），其端口在HIVISION軟件中的命名為 \1\1 ～\1\4，分別表示模塊1的4個端口。連接設備分別為:\1\1 工程師站；\1\2 操作員站1；\1\3 大屏幕；\1\4  操作員站2。

    圖2-2模塊， 4個光口（即能插4根光纖），其端口在HIVISION軟件中的命名為  \2\1 ～\2\4 ， 分別表示模塊2的4個端口。連接設備分別為:\2\1水網系統；\2\2 備用系統接口；\2\3 備用系統接口；\2\4 凝結水系統。

    圖2-3模塊，4個光口，在HIVISION中的命名為 \3\1～\3\4分別表示模塊3的4個端口。連接設備分別為: \3\1 灰網系統；\3\2 備用系統接口；\3\3 煤網系統； \3\4 備用系統接口。

    圖2-4模塊，4個電口，在HIVISION中的命名為\4\1 ～\4\4分別表示模塊4的4個端口。連接設備分別為: \4\1備用操作員站1；\4\2 IAS1服務器；\4\3備用操作員站2；\4\4 IAS2服務器；

    圖2-5模塊，4個電口，在HIVISION中的命名為\5\1～\5\4分別表示模塊5的4個端口。連接設備分別為: \5\1SIS系統；\5\2SIS系統備用接口；\5\3INSQL服務器；\5\4備用服務器接口。

輔網VLAN劃分示意圖如圖3所示。

    從圖3可知IAS1服務器及IAS2服務器為整個架構中的核心，各個子系統均與其相關聯。對于各子系統之間，通過VLAN劃分后不能直接進行通訊。VLAN劃分后每個端口有其特有的區域權限，故在維護的時候注意相應系統端口的位置。

    因為輔助車間控制系統網絡采用冗余的工業星型以太網,所以另一個主干交換機也要作相同的設置。

用同樣的方法，可以對水處理系統等子系統也進行VLAN劃分。

4  應用的情況和分析

4.1 應用情況

    輔控網的監控層從2006年5月開始調試，8月后逐步投入運行至現在近兩年，整體情況基本良好，在網絡和通訊方面沒有出現異常情況。

    在基建期間，各子系統的安裝調試非同步完成。當輔控網的監控層尚在調試的時候，有些子系統已經投入運行。幾個廠家交叉工作，管理不便，很容易出現問題。在輔控網還未作VLAN劃分時，一個子系統廠家在工控機上使用移動硬盤，結果使得已經投運的水處理系統和精處理系統共5臺操作員站感染病毒，造成操作員站反應緩慢甚至無法操作。還有，不同廠家之間通過工控機共享資源的事情也時有發生，給系統增加了一定的不安全性。由于工控機的殺毒軟件病毒庫不能隨時更新，而新的病毒卻是層出不窮，光靠殺毒軟件很難控制病毒。VLAN的優點是直接限制了不同子系統之間的通訊，所以不管病毒怎么翻新都不能傳播到本系統以外。雖然VLAN不能直接殺毒，但能非常有效地隔離病毒，保證了其他子系統的安全。輔控網應用VLAN后，未再發生類似事件。

4.2 PLC不會中毒

    PLC是就地控制室上位機和輔控網服務器都要連接的重要設備。VLAN的應用之所以有效有一個重要原因，即PLC不會中毒也不會傳播病毒。從理論上講，只要能運行程序的設備都有可能中毒。但是就目前來說，PLC采用的是不同于MS Windows、Linux、Macintoshi OS等的操作系統，并且各大廠商的PLC開發語言還沒有兼容，對黑客來說研制此類病毒難度大且沒有意義，所以基本上不存在針對PLC的病毒。

4.3 寧德電廠VLAN有待完善

    自投運至今,雖然輔控網應用VLAN運行情況良好，但還有進一步完善的必要。雖然在主干交換機上作了端口的劃分，但此端口不是直接連到PLC的網卡，而是連到子系統的交換機。子系統的交換機上連著上位機，這樣就使得輔網的服務器和子系統的上位機可以相互通訊。比如說，制氫站系統的上位機和輸煤系統的上位機之間不能直接進行通訊，卻都可以訪問到輔網的服務器。這一問題本可以通過在子系統的交換機上也進行VLAN的劃分來解決，但由于子系統的交換機都是低端產品，不支持VLAN。這種情況下，基于MAC地址的虛擬局域網和基于IP地址的虛擬局域網就比基于端口的虛擬局域網更加徹底，因為前者可以通過MAC地址或者IP地址直接追蹤到PLC的網卡，將子系統上位機隔離在VLAN以外。當然，這需要支持前兩種VLAN的主干交換機。

5  結語

整個輔網經過劃分之后形成了多個邏輯子網，各子網之間不能直接進行通訊。若其中一個子系統的上位機感染病毒，其他子系統不會受其影響，即有效地控制了病毒的擴散。同時這也限制了人為的跨系統隨意訪問，方便了網絡的管理。VLAN的應用不僅提高了網絡的安全性，同時還提高了網絡性能。因為通過劃分虛擬局域網減少了整個網絡范圍內廣播包的傳輸，廣播信息不會跨過VLAN，可以把廣播限制在各個虛擬網的范圍內，縮小了廣播域，提高了網絡的傳輸效率。從這兩年的運行情況來看，VLAN這項網絡技術在寧德電廠輔控網的應用取得了成功。

[2] 赫斯曼網絡管理軟件HIVISION說明書.