冯燚超（1982－）

男，大学本科，学士学位，助理工程师，现为福建大唐国际宁德发电公司热工班专责工。

摘要：出于网络安全性的考虑，宁德电厂辅控网应用了VLAN技术。本文对宁德电厂辅控网的系统组成和结构作了简单描述。介绍了VLAN的特点和实现的主要途径，详细说明了宁德电厂辅控网VLAN的具体划分。VLAN这项网络技术可以将辅控网内各站点分到不同的虚拟局域网，有效防止计算机病毒的扩散。最后陈述了应用后的情况，并对VLAN有效性的原因以及目前的VLAN存在的不足作了分析。

关键词：VLAN；辅控网；计算机病毒；网络安全性；交换机

Abstract: Based on the security of the network, NingDe power plant introduces the technique of VLAN into its Balance of Process (BOP) control system. This article briefly describes the composition and structure of the BOP control system. In addition, the author introduces the characteristics of the VLAN and the main approaches of implementation. Moreover, the author defines the concrete division of the Ningde power plant auxiliary control. VLAN can assign the computers of the BOP control system to different virtual local area network to effectively prevent the spread of computer viruses. Finally, the author states the causes of VLAN validity and also analyzes the deficiency of the current VLAN.

Key words: VLAN；BOP ；computer virus；Network security；Switch

1  系统概述

    福建大唐宁德电厂一期（#3、4机组2X600MW）辅助车间采用全厂集中监控方式，通过辅控网，在#3、#4机集控室的辅控操作员站，实现对输煤系统，#3、#4机组除灰渣系统（包括电除尘系统）、#3、#4机组水处理系统（由净水系统、超滤系统、锅炉补给水系统、工业废水系统、生活污水系统、循环水加药系统、制氢站系统先期组成水处理系统网络）和#3、#4机组凝结水处理系统（包括#3、#4机组取样加药系统）的控制。

    辅控网中心节点设在#3号机组电子室。辅助车间的监控系统分两层，第一层为现场控制层，该层是生产控制的执行层，由各辅助车间控制子系统的施耐德QUANTUM  PLC和就地控制室的上位工控机组成。第二层为辅控网监控层，该层是全厂辅控网系统的核心层，由3台IBM服务器、2台操作员站、1台工程师站和2个赫斯曼MICE4218-5交换机组成。服务器根据功能和安装软件的不同，分为IAS1服务器，IAS2服务器和InSQL服务器，其中IAS1服务器是核心服务器，负责整个辅控网的数据采集和发布。交换机通过光纤、光纤收发器等网络交换设备将该层的服务器与现场控制层的QUANTUM  PLC相连。辅助车间控制系统网络采用冗余的工业星型以太网结构。以太网的通讯支持TCP/IP协议。

                        图1   福建大唐宁德电厂辅控网络图

2  VLAN的特点及实现的主要途径

2.1 VLAN的特点

    VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。虚拟局域网(VLAN)是指网络中的站点不拘泥于所处的物理位置，而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。在交换式以太网中，各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。基于交换式以太网的虚拟局域网在交换式以太网中，利用VLAN技术，可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说，一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点，即各虚拟网之间不能直接进行通讯。

2.2 VLAN实现的主要途径

    基于交换式的以太网要实现虚拟局域网主要有三种途径：基于端口的虚拟局域网、基于MAC地址(网卡的硬件地址)的虚拟局域网和基于IP地址的虚拟局域网。

2.2.1基于端口的虚拟局域网

    基于端口的虚拟局域网是最实用的虚拟局域网，它保持了最普通常用的虚拟局域网成员定义方法，配置也相当直观简单，就局域网中的站点具有相同的网络地址，不同的虚拟局域网之间进行通信需要通过路由器。采用这种方式的虚拟局域网其不足之处是灵活性不好。例如，当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个虚拟局域网，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。在基于端口的虚拟局域网中，每个交换端口可以属于一个或多个虚拟局域网组，比较适用于连接服务器。

2.2.2基于MAC地址的虚拟局域网

    在基于MAC地址的虚拟局域网中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个虚拟局域网，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。

2.2.3基于IP地址的虚拟局域网

    在基于IP地址的虚拟局域网中，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。在三种虚拟局域网的实现技术中，基于IP地址的虚拟局域网智能化程度最高，实现起来也最复杂。

3  辅控网主干交换机的VLAN划分

    宁德电厂辅控系统网络中多达12个子系统，配备的服务器、操作员站、工程师站共计15台。主干交换机采用Hirschmann MICE4218-5—模块化工业以太网交换机，配备HiVision网络管理软件。通过该软件可以管理Hirschmann 的网络代理和监视网络上的所有支持标准SNMP 的设备，可以提供整个网络的总体运行情况，自动识别网络设备，显示网络设备当前状态，进行网络性能综合分析，网络故障搜索和网络的控制。但该系统存在着各类计算机病毒侵害的不安全因素，一旦有工控机受到计算机病毒的侵害，可能导致辅网主服务器和各子系统上位机被传染，后果难以预料。针对这一问题，虽然可以采取安装杀毒软件，在BIAS禁用USB口，加强人员管理等措施，但都各有其不足之处。而采用VLAN划分是一项非常有效的措施。这是该厂考虑采用VLAN划分的初衷。

    利用HiVision网络管理软件就可以对辅控网进行VLAN的划分。由于基于MAC地址的虚拟局域网各站点的MAC地址（也叫硬件地址，是烧录在网卡里的）不会随着站点的IP地址或者端口的改变而改变，网络拓扑结构不容易被更改，因此在设计初期，首先考虑使用基于MAC地址的虚拟局域网，但是由于已配置的交换机硬件的限制，最终采用了基于端口的虚拟局域网。

    辅网主干交换机VLAN的划分如图2所示。

                               图2   辅网主干交换机

    图2-1模块，4个电口（即能插4根网线），其端口在HIVISION软件中的命名为 \1\1 ～\1\4，分别表示模块1的4个端口。连接设备分别为:\1\1 工程师站；\1\2 操作员站1；\1\3 大屏幕；\1\4  操作员站2。

    图2-2模块， 4个光口（即能插4根光纤），其端口在HIVISION软件中的命名为  \2\1 ～\2\4 ， 分别表示模块2的4个端口。连接设备分别为:\2\1水网系统；\2\2 备用系统接口；\2\3 备用系统接口；\2\4 凝结水系统。

    图2-3模块，4个光口，在HIVISION中的命名为 \3\1～\3\4分别表示模块3的4个端口。连接设备分别为: \3\1 灰网系统；\3\2 备用系统接口；\3\3 煤网系统； \3\4 备用系统接口。

    图2-4模块，4个电口，在HIVISION中的命名为\4\1 ～\4\4分别表示模块4的4个端口。连接设备分别为: \4\1备用操作员站1；\4\2 IAS1服务器；\4\3备用操作员站2；\4\4 IAS2服务器；

    图2-5模块，4个电口，在HIVISION中的命名为\5\1～\5\4分别表示模块5的4个端口。连接设备分别为: \5\1SIS系统；\5\2SIS系统备用接口；\5\3INSQL服务器；\5\4备用服务器接口。

辅网VLAN划分示意图如图3所示。

    从图3可知IAS1服务器及IAS2服务器为整个架构中的核心，各个子系统均与其相关联。对于各子系统之间，通过VLAN划分后不能直接进行通讯。VLAN划分后每个端口有其特有的区域权限，故在维护的时候注意相应系统端口的位置。

    因为辅助车间控制系统网络采用冗余的工业星型以太网,所以另一个主干交换机也要作相同的设置。

用同样的方法，可以对水处理系统等子系统也进行VLAN划分。

4  应用的情况和分析

4.1 应用情况

    辅控网的监控层从2006年5月开始调试，8月后逐步投入运行至现在近两年，整体情况基本良好，在网络和通讯方面没有出现异常情况。

    在基建期间，各子系统的安装调试非同步完成。当辅控网的监控层尚在调试的时候，有些子系统已经投入运行。几个厂家交叉工作，管理不便，很容易出现问题。在辅控网还未作VLAN划分时，一个子系统厂家在工控机上使用移动硬盘，结果使得已经投运的水处理系统和精处理系统共5台操作员站感染病毒，造成操作员站反应缓慢甚至无法操作。还有，不同厂家之间通过工控机共享资源的事情也时有发生，给系统增加了一定的不安全性。由于工控机的杀毒软件病毒库不能随时更新，而新的病毒却是层出不穷，光靠杀毒软件很难控制病毒。VLAN的优点是直接限制了不同子系统之间的通讯，所以不管病毒怎么翻新都不能传播到本系统以外。虽然VLAN不能直接杀毒，但能非常有效地隔离病毒，保证了其他子系统的安全。辅控网应用VLAN后，未再发生类似事件。

4.2 PLC不会中毒

    PLC是就地控制室上位机和辅控网服务器都要连接的重要设备。VLAN的应用之所以有效有一个重要原因，即PLC不会中毒也不会传播病毒。从理论上讲，只要能运行程序的设备都有可能中毒。但是就目前来说，PLC采用的是不同于MS Windows、Linux、Macintoshi OS等的操作系统，并且各大厂商的PLC开发语言还没有兼容，对黑客来说研制此类病毒难度大且没有意义，所以基本上不存在针对PLC的病毒。

4.3 宁德电厂VLAN有待完善

    自投运至今,虽然辅控网应用VLAN运行情况良好，但还有进一步完善的必要。虽然在主干交换机上作了端口的划分，但此端口不是直接连到PLC的网卡，而是连到子系统的交换机。子系统的交换机上连着上位机，这样就使得辅网的服务器和子系统的上位机可以相互通讯。比如说，制氢站系统的上位机和输煤系统的上位机之间不能直接进行通讯，却都可以访问到辅网的服务器。这一问题本可以通过在子系统的交换机上也进行VLAN的划分来解决，但由于子系统的交换机都是低端产品，不支持VLAN。这种情况下，基于MAC地址的虚拟局域网和基于IP地址的虚拟局域网就比基于端口的虚拟局域网更加彻底，因为前者可以通过MAC地址或者IP地址直接追踪到PLC的网卡，将子系统上位机隔离在VLAN以外。当然，这需要支持前两种VLAN的主干交换机。

5  结语

整个辅网经过划分之后形成了多个逻辑子网，各子网之间不能直接进行通讯。若其中一个子系统的上位机感染病毒，其他子系统不会受其影响，即有效地控制了病毒的扩散。同时这也限制了人为的跨系统随意访问，方便了网络的管理。VLAN的应用不仅提高了网络的安全性，同时还提高了网络性能。因为通过划分虚拟局域网减少了整个网络范围内广播包的传输，广播信息不会跨过VLAN，可以把广播限制在各个虚拟网的范围内，缩小了广播域，提高了网络的传输效率。从这两年的运行情况来看，VLAN这项网络技术在宁德电厂辅控网的应用取得了成功。

[2] 赫斯曼网络管理软件HIVISION说明书.