李若明 王行愚 陈月军

    随着人类物质文明与精神文明的迅速发展，计算机尤其是网络的发展和应用已与人们的生活休戚相关。其中以局域网为代表，从共享式网络到交换式网络，从速度为1Mbps的以太网到现在的千兆甚至是万兆以太网，都仅仅是二十几年的时间。伴随着网络的发展，其安全可靠问题也逐渐成为技术人员首先要解决的难题，虚拟局域网（VLAN）的开发从一定程度上解决了局域网的安全可靠问题，目前该技术已经广泛应用于全世界的以太网中，成为世界公认的标准。由于以太网的局限性，其开始时多应用于企业公司的管理层中，特别是商务楼中，但随着其自身技术的不断改进，将其运用于安全可靠性要求更高的生产控制环节也越来越得到重视，VLAN技术与控制系统的结合使用已经成为许多供应商和厂商必须要解决的问题。

1  VLAN技术概述

1.1  VLAN定义

    虚拟局域网（VLAN）是把一个物理网络划分成为多个逻辑工作组的逻辑网段。它是一种先进的网络构造和组织方式。VLAN不是一个物理网络，但存在于一个物理网络上。使用VLAN技术可以将整个网络划分成若干个逻辑上的子网，除非进行设置，否则这些子网之间是分离的，就像在同一个网络上构造出若干个独立的网络，故称为虚拟网。属于不同VLAN的设备不能相互访问，它们间的通信一般要依赖于路由。VLAN的所有帧流量都被限制在本VLAN中，从而提高了网络的性能。

1.2  VLAN划分方法

    (1)  基于交换端口的VLAN

    这种方式是把LAN交换机的某些端口的集合作为VLAN的成员。这些集合有时只在单个LAN交换机上，有时则跨越多台LAN交换机虚拟局域网的管理应用程序，根据交换机端口的标识ID，将不同的端口分到对应的分组中，分配到一个

    VLAN的各个端口上的所有站点都在一个广播域中，它们相互可以通讯不同的VLAN站点之间进行通讯需经过路由器来进行。这种VLAN方式的优点在于简单、容易实现。从一个端口发出的广播，直接发送到该VLAN内的其它端口，也便于直接监控。它的缺点是自动化程度低，灵活性不好。比如，不能在给定的端口上支持一个以上的VLAN；一个网络站点从一个端口移动到另一个新的端口时，如新端口与旧端口不属于同一个VLAN，则用户必须对该站点重新进行网络地址配置。

    (2)  基于MAC地址的VLAN

    这种方式的VLAN，要求交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时，根据需要将其划归至某一个VLAN。不论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需对网络地址重新配置。然而所有的用户必须明确地分配给一个VLAN，在这种初始化工作完成后，对用户的自动跟踪才成为可能。在一个大型网络中，要求网络管理人员将每个用户一一划分到某一个VLAN是十分繁琐的。

    (3)  基于网络层的VLAN

    也称为基于IP的VLAN，它是利用网络层的业务属性来自动生成VLAN，把使用不同的路由协议的站点分在相对应的VLAN中。IP子网1为第一个VLAN，IP子网2为第二个VLAN，IPX子网1为第三个VLAN……以此类推。通过检查所有的广播和多点广播帧，交换机能自动生成VLAN。这种方式构成的VLAN，在不同的LAN网段上的站点可以属于同一VLAN，同一物理端口上的站点也可分属于不同的VLAN。从而保证了用户完全自由地进行增加、移动和修改等操作。这种根据网络上应用的网络协议和网络地址划分VLAN的方式，对于那些想针对具体应用和服务来组织用户的网络管理人员来说是十分有效的。它减少了人工参与配置VLAN，使VLAN有更大灵活性，比基于MAC地址的VLAN更容易做到自动化管理。

    除了以上的三种划分手段外还有如基于组播的VLAN等，但是不管使用哪种方法，都有其自身的优势和缺点，要达到灵活性和快速性的矛盾统一是十分困难的事情，具体使用何种手段，还要视具体情况所定。

1.3  VLAN间通讯与路由选择

    (1)  使用传统路由实现VLAN间的通信

    无论用那一种方法划分VLAN，VLAN成员只能是交换机端口。如果VLAN成员是同一交换机端口，解决VLAN成员间通信是轻而易举的，从某一端口进来的任何帧只能送往属于同一VLAN的其它端口。如果VLAN成员是不同交换机端口，解决VLAN成员间通信就变得复杂。一种方法是有多少个VLAN，交换机间就有多少条链接。显然，这种方法是不切实际的。另一种方法是不管有多少个VLAN，交换机间只有一条链接，随之而来的问题是无法确定从交换机间链接端口进来的帧属于那个VLAN。解决的方法是交换机从终端收到MAC帧后，根据其输入端口确定其所属的VLAN，在MAC帧上加上VLAN ID，再送到下一交换机，最后一级交换机自动去掉VLAN ID，把MAC帧送给目的终端。链接交换机的这些端口构成虚拟网主干（VLT），这些端口被所有VLAN共享，而其它端口只能属于一个VLAN，这也就是所谓的VLAN Trunking技术，它的使用可以提高链路的利用率、节省端口资源、简化管理，但是网络中的交换机必须支持这种技术，还有由于转发都要经过路由器，当任务较多时，可能造成瓶颈的问题。所以第三层交换技术的出现，解决了局域网中网段划分问题，网段中子网必须依赖路由器的局面被打破了，很好地处理了传统路由器低速、复杂所造成的网络瓶颈问题。

    (2)  第三层交换技术的应用

    采用第三层交换或称多层交换来构造VLAN的思想是不同端点之间无论是处于同一VLAN中，还是分布在不同VLAN中，它们之间的大部分通信都可以由交换机根据第三层协议完成，无需路由器的参与。通常情况下，第三层交换机采用VLAN号跟踪跨越VLAN的信息，交换机收到数据包后，检查IP地址以确定其所属的VLAN，然后将VLAN号映射成相应的出端口。到同一地址的后续包则在第二层完成转发。因此，事实上，第三层交换机只路由ARP或广播的第一个包，一旦网络地址到出端口的映射完成，就将地址转换信息保存在第三层交换机的Cache中，传送后续包时，只需在Cache中进行查找，完成转发。对于交换机不知该如何转发的数据包，交换机将它发送给所有适当的VLAN端口和主干网接口，接收的工作站收到此包后，发送一点对点帧。交换机通过回送帧进行路径学习。

    由于第三层交换机本身所具有的协议依赖性，其中大多数仍然需要路由器来完成一些高端路由功能，如充当VLAN到WAN的网关及其他更复杂的路由要求，因此路由器和第三层交换机都要维持路由表，这显然增加了网络管理的负担。

2  VLAN技术在控制系统中的应用

2.1  VLAN技术实施的必要性

    现场总线控制系统（FCS）的出现是顺应智能现场仪表而发展起来的，在控制领域内引起了一场前所未有的革命。然而就在人们沸沸扬扬地对FCS进行概念炒作的时候，却没有注意到它的发展在某些方面的不协调，其主要表现在迄今为止现场总线的通讯标准尚未统一，这使得各厂商的仪表设备难以在不同的FCS中兼容。此外，FCS的传输速率也不尽人意，此时人们便想到了已在商业领域成功运用的以太网技术。以太网具有传输速度高、低耗、易于安装和兼容性好等方面的优势，由于它支持几乎所有流行的网络协议，所以统一标准十分简单，因此在商业系统中被广泛采用。但是传统以太网采用总线式拓朴结构和多路存取载波侦听碰撞检测（CSMA／CD）通讯方式，在实时性要求较高的场合下，重要数据的传输过程会产生传输延滞，这被称为以太网的“不确定性”。同时在可靠安全方面也可能由于网络传输的过载引起广播风暴等影响正常通讯的问题，这是影响以太网长期无法进入过程控制领域的重要原因。随着对自身结构的不断改善特别是交换技术的开发很好地解决了实时性和安全可靠性的问题，使以太网进入工业控制领域成为可能，从而产生了一种新型以太网一工业以太网。

    VLAN技术正是解决这两个问题的关键，它对网络的逻辑划分使每个生产部门，每道工序，甚至是每个现场的仪器可以成为一个独立的网段，本网段的成员可以充分享有全部的带宽，信息传送的延时性大大减小了，对突然发生的故障可以有最快地响应，并能准确快速发现故障的位置加以隔离，完全能满足工业中实时性的要求。在安全方面，每个不同的VLAN之间通信必须路由设备或第三层网络协议，各个单位完全可以按照本企业的实际情况来设计安全策略如可以定一些安全级，管理级为最高，可以随时更改和监视控制级和现场级的生产状况，如出现重大故障可马上更改参数或停车。而控制级则负责监视现场每个设备的运行，也可更改设备的控制参数，但是它的决定不能影响上一级的管理级，现场级级别最低，它只可以修改现场设备的设定参数，决不能影响控制级和管理级的控制策略，当然也不能得到控制级和管理级的重要数据，这就有效地解决了使用探嗅器等设备进行网络侦听和破坏的问题。在企业间竞争如此激烈的今天，显然信息已经成为知识产权的一个重要部分，VLAN技术的使用提高了网络的利用率，节省了网络资源保障了企业的利益。

2.2  VLAN技术在工业中的应用实例

    一个规模较大的企业，包括众多职能部门和二级机构，为保证对不同职能部门管理的方便性和安全性以及整体网络运行的稳定性，通常采用VLAN技术进行虚拟网络划分。在进行VLAN划分时应尽量遵循“80/20”原则，即80％的数据流量应在同一个广播域中传播，只有20％的流量才应该被转发到网络上。管理员要把带宽需求高的用户或经常互相通信的用户尽可能划分到同一的VLAN中，以便把这些信息流量都限制在交换机内，节省出带宽供其他用户使用。   

    下面以某市电业局企业网为例具体分析VLAN技术的应用。电业局是一个大型现代化企业，包括调度、变电、配电等一线部门和政工、人力资源、财务等二线部门，以及众多三产机构。它们分布在各个地方，有些部门还分散在不同的地方办公。本系统的虚拟局域网是在ATM局域网仿真（LANE）技术基础上实现的，把一个部门划分成一个仿真局域网（ELAN），生成自己的LES/BUS和LEC，并在此基础上建立VLAN。在划分时考虑到有些部门人数较少，如果单独建立VLAN会增加建设成本，加重路由器负担，并且占用网络带宽，所以将没有特殊需求、人数较少的一些部门合并成几个VLAN，把普通服务器集中在一个VLAN中，另外把安全要求更高的核心服务器单独划分成一个更小的VLAN，从而保证网络流量异常时不会影响核心服务器的运行。图1是本系统的电力通信网的网络拓扑图。

图1  网络拓朴结构图

    交换机分主要为三个级别。核心交换机采用BAY5000BH，二层交换机采用Centillion100，三层交换机是接人机交换机。核心交换机与二层交换机之间是ATM通道，在Centillion100上创建所需VLAN的服务虚端口LEC，并把物理端口划分给不同的VLAN。其中在变电工区中，还可以通过现场的交换机将现场的设备仪表进行VLAN的划分，从而可以实现故障定位和隔离的重要作用。可见在使用VLAN进行划分后，整个企业的管理实现了全面的网络化，不同部门之间的协作得到了很好的发挥，实现了工业单位中管理与生产互相协调，优势互补的重要作用。

3  VLAN技术的实际价值及发展趋势

    VLAN具有降低移动与变更的管理成本，比路由器更具成本效益的广播控制，支持多媒体应用程序与高效组播控制，增强的安全性，网络监督与管理的自动化，减少路由需要和更为有效的网络监控等作用。VLAN技术为交换式网络提供了良好的控制能力，而交换式网络又为VLAN的实现提供了基础。所以说，交换是基础，虚拟是灵魂。路由技术直接影响VLAN的效率。减少路由节点，提高路由速度是VLAN技术发展的要求。方便、灵活的配置手段为用户定义，使用VLAN提供良好的界面和环境。在网络中合理定义VLAN是提高网络使用效益最有效的方法。

4  结束语

    在信息产业飞速发展的今天，控制系统当然也要赶上时代的步伐，以太网的应用已经成为企业发展和增强竞争力的必然趋势，基于以太网的VLAN技术的应用很好地完成了控制生产中实时性与安全可靠性要求的有机统一，体现自动控制中所追求的目标。当然，它还是一个新的技术在许多方面还存在着漏洞，现在许多工厂企业中所使用的较旧的设备也无法支持这种技术。但是作为一种新的突破，笔者认为其前途似锦，其必将在今后控制系统的发展中占据重要的地位。