今日頭條
官方微信
官方抖音
案例頻道李若明 王行愚 陳月軍
隨著人類物質文明與精神文明的迅速發展,計算機尤其是網絡的發展和應用已與人們的生活休戚相關。其中以局域網為代表,從共享式網絡到交換式網絡,從速度為1Mbps的以太網到現在的千兆甚至是萬兆以太網,都僅僅是二十幾年的時間。伴隨著網絡的發展,其安全可靠問題也逐漸成為技術人員首先要解決的難題,虛擬局域網(VLAN)的開發從一定程度上解決了局域網的安全可靠問題,目前該技術已經廣泛應用于全世界的以太網中,成為世界公認的標準。由于以太網的局限性,其開始時多應用于企業公司的管理層中,特別是商務樓中,但隨著其自身技術的不斷改進,將其運用于安全可靠性要求更高的生產控制環節也越來越得到重視,VLAN技術與控制系統的結合使用已經成為許多供應商和廠商必須要解決的問題。
1 VLAN技術概述
1.1 VLAN定義
虛擬局域網(VLAN)是把一個物理網絡劃分成為多個邏輯工作組的邏輯網段。它是一種先進的網絡構造和組織方式。VLAN不是一個物理網絡,但存在于一個物理網絡上。使用VLAN技術可以將整個網絡劃分成若干個邏輯上的子網,除非進行設置,否則這些子網之間是分離的,就像在同一個網絡上構造出若干個獨立的網絡,故稱為虛擬網。屬于不同VLAN的設備不能相互訪問,它們間的通信一般要依賴于路由。VLAN的所有幀流量都被限制在本VLAN中,從而提高了網絡的性能。
1.2 VLAN劃分方法
(1) 基于交換端口的VLAN
這種方式是把LAN交換機的某些端口的集合作為VLAN的成員。這些集合有時只在單個LAN交換機上,有時則跨越多臺LAN交換機虛擬局域網的管理應用程序,根據交換機端口的標識ID,將不同的端口分到對應的分組中,分配到一個
VLAN的各個端口上的所有站點都在一個廣播域中,它們相互可以通訊不同的VLAN站點之間進行通訊需經過路由器來進行。這種VLAN方式的優點在于簡單、容易實現。從一個端口發出的廣播,直接發送到該VLAN內的其它端口,也便于直接監控。它的缺點是自動化程度低,靈活性不好。比如,不能在給定的端口上支持一個以上的VLAN;一個網絡站點從一個端口移動到另一個新的端口時,如新端口與舊端口不屬于同一個VLAN,則用戶必須對該站點重新進行網絡地址配置。
(2) 基于MAC地址的VLAN
這種方式的VLAN,要求交換機對站點的MAC地址和交換機端口進行跟蹤,在新站點入網時,根據需要將其劃歸至某一個VLAN。不論該站點在網絡中怎樣移動,由于其MAC地址保持不變,因此用戶不需對網絡地址重新配置。然而所有的用戶必須明確地分配給一個VLAN,在這種初始化工作完成后,對用戶的自動跟蹤才成為可能。在一個大型網絡中,要求網絡管理人員將每個用戶一一劃分到某一個VLAN是十分繁瑣的。
(3) 基于網絡層的VLAN
也稱為基于IP的VLAN,它是利用網絡層的業務屬性來自動生成VLAN,把使用不同的路由協議的站點分在相對應的VLAN中。IP子網1為第一個VLAN,IP子網2為第二個VLAN,IPX子網1為第三個VLAN……以此類推。通過檢查所有的廣播和多點廣播幀,交換機能自動生成VLAN。這種方式構成的VLAN,在不同的LAN網段上的站點可以屬于同一VLAN,同一物理端口上的站點也可分屬于不同的VLAN。從而保證了用戶完全自由地進行增加、移動和修改等操作。這種根據網絡上應用的網絡協議和網絡地址劃分VLAN的方式,對于那些想針對具體應用和服務來組織用戶的網絡管理人員來說是十分有效的。它減少了人工參與配置VLAN,使VLAN有更大靈活性,比基于MAC地址的VLAN更容易做到自動化管理。
除了以上的三種劃分手段外還有如基于組播的VLAN等,但是不管使用哪種方法,都有其自身的優勢和缺點,要達到靈活性和快速性的矛盾統一是十分困難的事情,具體使用何種手段,還要視具體情況所定。
1.3 VLAN間通訊與路由選擇
(1) 使用傳統路由實現VLAN間的通信
無論用那一種方法劃分VLAN,VLAN成員只能是交換機端口。如果VLAN成員是同一交換機端口,解決VLAN成員間通信是輕而易舉的,從某一端口進來的任何幀只能送往屬于同一VLAN的其它端口。如果VLAN成員是不同交換機端口,解決VLAN成員間通信就變得復雜。一種方法是有多少個VLAN,交換機間就有多少條鏈接。顯然,這種方法是不切實際的。另一種方法是不管有多少個VLAN,交換機間只有一條鏈接,隨之而來的問題是無法確定從交換機間鏈接端口進來的幀屬于那個VLAN。解決的方法是交換機從終端收到MAC幀后,根據其輸入端口確定其所屬的VLAN,在MAC幀上加上VLAN ID,再送到下一交換機,最后一級交換機自動去掉VLAN ID,把MAC幀送給目的終端。鏈接交換機的這些端口構成虛擬網主干(VLT),這些端口被所有VLAN共享,而其它端口只能屬于一個VLAN,這也就是所謂的VLAN Trunking技術,它的使用可以提高鏈路的利用率、節省端口資源、簡化管理,但是網絡中的交換機必須支持這種技術,還有由于轉發都要經過路由器,當任務較多時,可能造成瓶頸的問題。所以第三層交換技術的出現,解決了局域網中網段劃分問題,網段中子網必須依賴路由器的局面被打破了,很好地處理了傳統路由器低速、復雜所造成的網絡瓶頸問題。
(2) 第三層交換技術的應用
采用第三層交換或稱多層交換來構造VLAN的思想是不同端點之間無論是處于同一VLAN中,還是分布在不同VLAN中,它們之間的大部分通信都可以由交換機根據第三層協議完成,無需路由器的參與。通常情況下,第三層交換機采用VLAN號跟蹤跨越VLAN的信息,交換機收到數據包后,檢查IP地址以確定其所屬的VLAN,然后將VLAN號映射成相應的出端口。到同一地址的后續包則在第二層完成轉發。因此,事實上,第三層交換機只路由ARP或廣播的第一個包,一旦網絡地址到出端口的映射完成,就將地址轉換信息保存在第三層交換機的Cache中,傳送后續包時,只需在Cache中進行查找,完成轉發。對于交換機不知該如何轉發的數據包,交換機將它發送給所有適當的VLAN端口和主干網接口,接收的工作站收到此包后,發送一點對點幀。交換機通過回送幀進行路徑學習。
由于第三層交換機本身所具有的協議依賴性,其中大多數仍然需要路由器來完成一些高端路由功能,如充當VLAN到WAN的網關及其他更復雜的路由要求,因此路由器和第三層交換機都要維持路由表,這顯然增加了網絡管理的負擔。
2 VLAN技術在控制系統中的應用
2.1 VLAN技術實施的必要性
現場總線控制系統(FCS)的出現是順應智能現場儀表而發展起來的,在控制領域內引起了一場前所未有的革命。然而就在人們沸沸揚揚地對FCS進行概念炒作的時候,卻沒有注意到它的發展在某些方面的不協調,其主要表現在迄今為止現場總線的通訊標準尚未統一,這使得各廠商的儀表設備難以在不同的FCS中兼容。此外,FCS的傳輸速率也不盡人意,此時人們便想到了已在商業領域成功運用的以太網技術。以太網具有傳輸速度高、低耗、易于安裝和兼容性好等方面的優勢,由于它支持幾乎所有流行的網絡協議,所以統一標準十分簡單,因此在商業系統中被廣泛采用。但是傳統以太網采用總線式拓樸結構和多路存取載波偵聽碰撞檢測(CSMA/CD)通訊方式,在實時性要求較高的場合下,重要數據的傳輸過程會產生傳輸延滯,這被稱為以太網的“不確定性”。同時在可靠安全方面也可能由于網絡傳輸的過載引起廣播風暴等影響正常通訊的問題,這是影響以太網長期無法進入過程控制領域的重要原因。隨著對自身結構的不斷改善特別是交換技術的開發很好地解決了實時性和安全可靠性的問題,使以太網進入工業控制領域成為可能,從而產生了一種新型以太網一工業以太網。
VLAN技術正是解決這兩個問題的關鍵,它對網絡的邏輯劃分使每個生產部門,每道工序,甚至是每個現場的儀器可以成為一個獨立的網段,本網段的成員可以充分享有全部的帶寬,信息傳送的延時性大大減小了,對突然發生的故障可以有最快地響應,并能準確快速發現故障的位置加以隔離,完全能滿足工業中實時性的要求。在安全方面,每個不同的VLAN之間通信必須路由設備或第三層網絡協議,各個單位完全可以按照本企業的實際情況來設計安全策略如可以定一些安全級,管理級為最高,可以隨時更改和監視控制級和現場級的生產狀況,如出現重大故障可馬上更改參數或停車。而控制級則負責監視現場每個設備的運行,也可更改設備的控制參數,但是它的決定不能影響上一級的管理級,現場級級別最低,它只可以修改現場設備的設定參數,決不能影響控制級和管理級的控制策略,當然也不能得到控制級和管理級的重要數據,這就有效地解決了使用探嗅器等設備進行網絡偵聽和破壞的問題。在企業間競爭如此激烈的今天,顯然信息已經成為知識產權的一個重要部分,VLAN技術的使用提高了網絡的利用率,節省了網絡資源保障了企業的利益。
2.2 VLAN技術在工業中的應用實例
一個規模較大的企業,包括眾多職能部門和二級機構,為保證對不同職能部門管理的方便性和安全性以及整體網絡運行的穩定性,通常采用VLAN技術進行虛擬網絡劃分。在進行VLAN劃分時應盡量遵循“80/20”原則,即80%的數據流量應在同一個廣播域中傳播,只有20%的流量才應該被轉發到網絡上。管理員要把帶寬需求高的用戶或經常互相通信的用戶盡可能劃分到同一的VLAN中,以便把這些信息流量都限制在交換機內,節省出帶寬供其他用戶使用。
下面以某市電業局企業網為例具體分析VLAN技術的應用。電業局是一個大型現代化企業,包括調度、變電、配電等一線部門和政工、人力資源、財務等二線部門,以及眾多三產機構。它們分布在各個地方,有些部門還分散在不同的地方辦公。本系統的虛擬局域網是在ATM局域網仿真(LANE)技術基礎上實現的,把一個部門劃分成一個仿真局域網(ELAN),生成自己的LES/BUS和LEC,并在此基礎上建立VLAN。在劃分時考慮到有些部門人數較少,如果單獨建立VLAN會增加建設成本,加重路由器負擔,并且占用網絡帶寬,所以將沒有特殊需求、人數較少的一些部門合并成幾個VLAN,把普通服務器集中在一個VLAN中,另外把安全要求更高的核心服務器單獨劃分成一個更小的VLAN,從而保證網絡流量異常時不會影響核心服務器的運行。圖1是本系統的電力通信網的網絡拓撲圖。
圖1 網絡拓樸結構圖
交換機分主要為三個級別。核心交換機采用BAY5000BH,二層交換機采用Centillion100,三層交換機是接人機交換機。核心交換機與二層交換機之間是ATM通道,在Centillion100上創建所需VLAN的服務虛端口LEC,并把物理端口劃分給不同的VLAN。其中在變電工區中,還可以通過現場的交換機將現場的設備儀表進行VLAN的劃分,從而可以實現故障定位和隔離的重要作用。可見在使用VLAN進行劃分后,整個企業的管理實現了全面的網絡化,不同部門之間的協作得到了很好的發揮,實現了工業單位中管理與生產互相協調,優勢互補的重要作用。
3 VLAN技術的實際價值及發展趨勢
VLAN具有降低移動與變更的管理成本,比路由器更具成本效益的廣播控制,支持多媒體應用程序與高效組播控制,增強的安全性,網絡監督與管理的自動化,減少路由需要和更為有效的網絡監控等作用。VLAN技術為交換式網絡提供了良好的控制能力,而交換式網絡又為VLAN的實現提供了基礎。所以說,交換是基礎,虛擬是靈魂。路由技術直接影響VLAN的效率。減少路由節點,提高路由速度是VLAN技術發展的要求。方便、靈活的配置手段為用戶定義,使用VLAN提供良好的界面和環境。在網絡中合理定義VLAN是提高網絡使用效益最有效的方法。
4 結束語
在信息產業飛速發展的今天,控制系統當然也要趕上時代的步伐,以太網的應用已經成為企業發展和增強競爭力的必然趨勢,基于以太網的VLAN技術的應用很好地完成了控制生產中實時性與安全可靠性要求的有機統一,體現自動控制中所追求的目標。當然,它還是一個新的技術在許多方面還存在著漏洞,現在許多工廠企業中所使用的較舊的設備也無法支持這種技術。但是作為一種新的突破,筆者認為其前途似錦,其必將在今后控制系統的發展中占據重要的地位。
北京市公安局海淀分局備案號:11010802023656號