交換機的隔離技術及其在主配網融合組網中的應用

彭 安

（南京南瑞繼保電氣有限公司，江蘇 南京 211102）

0 引言

隨著智能變電站技術的發展，過程層網絡通信的優點得到了廣泛的檢驗和認可。配電行業借鑒智能變電站的實踐成果，將過程層的通信技術引入配電網，并將進行大量測試和實踐。由工業以太網交換機組成的配電通信網絡［1-3］，易于擴展，帶寬高，支持冗余鏈路功能；特別是報文傳輸時延小，能夠承載基于GOOSE［4-6］的保護功能，在配電的建設中日益得到重視［7］。

然而，配電網不同于變電站。首先，大量的環網柜終端、桿上配電終端等組成的配電網分布點多，覆蓋區域大，通信網絡頻繁分支和調整［8］。再次，配電通信網與變電站網絡功能有區別，變電站網絡管理一個變電站內的終端設備，通過遠動終端將自動化信息上傳到調度數據網；而配電通信網絡是終端到調度中心直通，將調度數據準確地傳送到眾多的配網終端，將配網終端的運行工況數據信息送回調度中心。配電網涵蓋的地域范圍廣，通信網絡易遭受惡意攻擊，因此，給通信的安全性和穩定性帶來了很大的考驗［8-10］。

分析配電網的通信網絡流量，主要包含調度通信協議IEC104 流量、支撐保護功能的過程層GOOSE 流量。因為上述協議偏向于實時性，無安全認證和加密功能，配電通信面臨著流量風暴攻擊、未認證接入、業務混雜傳輸和報文互相影響堵塞等風險。為增強配電通信網絡的安全性，尤其是主配網融合處通信安全性，應做好配電通信網絡的規劃設計［11-13］，使用具有隔離功能的專用交換機。本文將分析配電網有線通信網絡的安全需求，介紹交換機的隔離技術，提出其在主配網融合網絡中的實施方法，并展望應用前景。

1 配電通信網絡特性分析

1.1 配電物理網絡結構

配電通信網絡一般用于接入配電線路上的桿上配電終端，環網柜配電終端，以及配變終端的通信數據，將終端數據傳輸給臨近變電站的調度數據網。配電通信網絡拓撲一般依據供電優先級、穩定性、經濟性等要求構建，有環狀、星型、樹狀幾種。主配網融合網絡采用冗余環網拓撲，圖1 是典型的環狀主配融合網絡結構圖，通信網絡主要由工業以太網交換機組成，網絡內傳輸的主要流量業務有GOOSE、IEC104。

圖1 主配融合網絡結構Fig.1 Main distribution fusion network architecture

1.2 配電通信網絡現狀介紹

配電通信網絡由多個環網柜內的交換機互連組成星形網絡或者環網。在環網柜內，配電終端將自動化監控信息和保護跳閘信息接入交換機，交換機將信息遠傳［14-16］。因為傳輸路徑未隔離，多種類的業務流量混雜一起傳輸，對通信網絡內的終端造成極大的流量處理負荷和沖擊，不利于通信網絡的穩定運行。配電環網柜布點多，空間范圍廣，給安全監控帶來了挑戰，因而迫切需要研究安全接入控制和應用實踐。

另外，變電站網絡和配電網絡連接處，一般需要增加防火墻等安全設備，以隔離配電通信網可能引入的風險流量［17-19］。但是安全設備會增大報文的傳輸延時，影響GOOSE業務的實時性。當配網線路保護終端需與變電站內出線終端共享實時保護跳閘數據，又需要一個互通的低延時［20］通信網絡。因此，主配融合網絡需要解決低延時問題和安全隔離問題。

1.3 配電網流量類型分析

根據配網通信協議類型，可將網絡分為2 張邏輯子網，分別為調度信息IEC104 流量子網，用于給配網主站傳遞監控信息；面向對象變電站事件（GOOSE）子網，用于在各終端間傳輸變位、保護跳合閘控制以及其他關鍵信號量，實時性要求高。圖2 列出以太網幀格式和業務的類型。

圖2 以太網II幀結構和類型Fig.2 Ethernet II frame structure and type

基于TCP/IP協議的IEC104流量，采用點對點單播方式傳輸，另外還有少量的輔助通信的ARP流量，ARP類型為0x0806。過程層的GOOSE報文采用組播報文傳輸，不同于普通的IP 報文類型0x0800，報文類型為0x88b8。goose 機應用于工程應用中，有如下特性：GOOSE狀態變位過程共發5幀數據，即以2 ms—2 ms—4 ms—8 ms的時間間隔重發GOOSE報文，連續發5幀后便以5 s時間間隔變成心跳報文。所以說5 s的心跳幀產生的流量小，而按照變位的周期2 ms，報文會增大很多。

1.4 配電通信網絡及主配網融合組網的問題解決

解決配電通信網絡的安全接入問題：在當前通訊協議無認證機制的條件下，配網專用交換機實現端口靜態MAC綁定功能。在此機制下，交換機能夠拒絕非認證的終端MAC接入。

解決一張物理網絡按照流量類型實現邏輯隔離的問題：首先使用交換機基于報文域字段匹配轉發功能，設置只允許轉發IEC104和GOOSE報文，其他流量輸入即丟棄，保證網絡內流量業務的純粹性。接著，使用交換機虛擬局域網VLAN 功能，將IEC104 流量限定在VLAN1上，而GOOSE流量限定在VLAN10上。避免了流量混合及突發沖擊網絡上的終端裝置，做到交換機內部流量各走各道，不同端口輸出不同流量。最后，通過專用交換機的絕對優先級功能，控制交換機級聯口按照優先級輸出流量，保證GOOSE的高實時可靠傳輸。

解決主配網融合組網問題：配網的電源站，一般為主網的變電站。主網的線路差動保護裝置，或者一些智能分布式DTU 終端，需要獲取線路節點的采樣值，不可避免需要從通信網絡獲取攜帶采樣值的GOOSE流量。由此引入了一個主網配網需要融合組網的情況。當前基于主配網的安全等級，需要增加防火墻進行隔離，保證信息傳輸的安全性。而防火墻設備報文轉發為軟轉發，其通過時延大，而交換機的硬轉發時延小滿足實時性要求。因此具備隔離功能的交換機特別適合該場景。

2 交換機隔離技術介紹和應用方案

2.1 配電專用交換機總體方案

基于配電通信網絡的現狀安全需求和交換芯片的應用原理，配電專用交換機需要實現接入控制功能、流量類型識別轉發功能、流量邏輯隔離和優先級傳輸功能、GOOSE 的訂閱及其流量限制功能、基于調度IEC104 協議運維功能。以下將詳述交換芯片的隔離功能，在此基礎上開發出滿足配網安全的應用功能。

2.2 交換機的控制終端接入功能

交換機的報文轉發是基于其二層地址轉發表，而轉發表的形成算法為，交換芯片實時記錄輸入端口報文的MAC 地址和VLAN ID，形成端口號、VLAN ID、MAC 地址三元素表項，在老化時間內按表項轉發，超時泛洪或者丟棄。為實現接入控制功能，配網專用交換機不自動學習獲得轉發表，而是固化一張靜態MAC地址轉發表。從而能夠有效解決大范圍分布的配網終端認證接入的問題。外來的任何網絡通訊設備，只要不加入靜態轉發表，不但無法獲取報文，強行輸入的干擾流量也會被丟棄。

配網專用交換機為實現靜態MAC配置，開發出兩種實現方案，手動固化方案和遠端動態控制轉發表方案。手動固化指的是，在工程現場調試前，調試人員開啟交換機自動學習功能，調試驗證后，開啟一鍵生成靜態轉發表功能，即可固化當前交換機的靜態轉發表。遠端動態控制轉發表指的是，一體運維主機，給交換機下發固化MAC 信息，交換機收到后，按照命令信息執行添加靜態MAC 操作。另外，交換機基于靜態MAC表實時監視輸入報文，未注冊報文嘗試接入即向運維主站告警。

2.3 交換機的報文類型識別轉發功能

分析配網網絡流量類型，主要是IP 類型0x0800，輔助通信ARP 類型0x0806，以及GOOSE 幀類型0x88B8。使用交換機內基于報文域字段硬件匹配功能，編訂交換機允許傳輸報文類型匹配規則，精確匹配上述3個類型，交換機進行轉發，而類型不匹配的報文均丟棄。在交換機的報文處理流程中，域字段識別規則為全局配置，報文進入交換機端口后，首先被域字段解析器執行篩選，不占用交換機交換容量，也不會增大報文處理時間。

配網專用交換機基于配網特征和交換芯片功能，開發出配網業務流量特征識別功能。該功能使得配網通信網絡選擇性轉發流量，有效抵御各種類型報文攻擊。

2.4 流量的邏輯隔離和優先級輸出

使用交換機的VLAN 功能，對接入的終端設備流量從邏輯上進行分隔，避免不同類型的流量混合。交換機內按照VLAN 劃分的邏輯子網，能夠將數據流量限定在邏輯子網內，從而限制了廣播域的范圍和轉發的路徑，避免了不同類型報文的混雜傳輸，節約了交換帶寬，提高網絡的安全性。

根據虛擬橋接局域網協議規定，在以太網幀中增加一個Tag域，標識VLAN幀。Tag域包含4個字節；前兩個字節為TPID，固定值為0x8100；后兩個字節為TCI，其中的高3位為PRI 域，標識報文傳輸的優先級，低12位為VLAN ID，標識數據幀所屬的VLAN域。

配網專用交換機根據傳輸的報文域特征，如源MAC地址，IP地址、端口號特征，將輸入交換機無標簽報文轉化為帶標簽的報文，交換機將按照報文標簽在各自的VLAN 域轉發，能夠避免多個業務混雜浪費終端裝置的處理能力。另外，因為標簽攜帶了報文的優先級，流量通過交換機間級聯口時，按照優先級傳輸，避免了大流量擁塞丟失重要報文的問題。

2.5 組播訂閱輸出及流量限制

配網終端間保護功能正確動作依賴過程層GOOSE組播報文，該報文在整個VLAN域有廣播的特性。為充分利用組播的一發多收特性，而又不全網廣播，造成配網終端的處理網絡負荷大的問題，需要開發交換機組播的注冊訂閱功能。另外，為進一步控制配網終端輸入通信網絡的流量，需開發基于端口或者組播地址的流量限速，避免配網終端工作異常時，大量不受控的正常類型流量進入通信網絡造成保護功能異常。

配網專用交換機支持GOOSE組播的訂閱設置，未注冊組播將丟棄處理。注冊組播配置采用2種方式實現：靜態注冊配置，使用當前智能變電站組播注冊方法，CSD 文件配置方法；動態注冊配置，該方法要求配網終端和交換機支持多播管理協議GMRP 或者IGMP snooping。開啟該協議動態實現動態訂閱組播功能。

配網專用交換機需開發基于端口或者組播地址的流量限制功能，開放流量抑制參數和突發流量參數供一體運維主站配置。

2.6 配電通信網絡交換機運維

為實現配電主站的一體運維通信網絡系統，需要專用交換機支持主流的調度協議，如IEC104。使用IEC104 的設點功能，將功能參數下發到交換機，同時收集遙信遙測等信息，從而配點通信網絡內所有終端設備都與調度端建立了通信，為調度端一體運維提供基本條件。

3 仿真測試及工程應用

3.1 仿真測試

配電工程中，為了便于信息的匯聚，一般調度通信數據網設備放置在變電站內，配電線路上的信息匯聚到該變電站，而變電站對于通信網絡的安全尤其重視。因此，配網專用交換機更多被用在主配融合的通信網絡，既解決防火墻的延時問題，又滿足網絡安全需求。

針對主配網融合組網的應用需求，搭建網絡測試平臺，如圖3所示。

圖3 主配網融合組網測試環境Fig.3 Test environment for fusion networking of main distribution net

測試平臺中，包含1 個模擬配網運維主站，4 臺配電終端，1 臺變電站內光差保護裝置，以及5 臺配電專用交換機。5 臺交換機組成手拉手環網，每臺配電終端通過IEC104通訊口和GOOSE 通訊口將對應的業務流量輸入配電專用交換機的2 個通訊口上，配電終端和光差保護裝置之間通過GOOSE交互保護采樣值。

1）計算單臺終端的業務流量如下。

設置GOOSE 的目的MAC 地址為01：0c：cd：01：00：0a，長度為300字節。無變位時心跳報文按照周期5 s 每幀，實際每條GOOSE 流量為480 bit/s，當發生突發事件按照2 ms每幀，每條峰值流量為1.2 Mbit/s。實測模擬主站與單臺終端之間通信流量，流量包含ARP和IEC104，平均流量不大于20 Kbit/s，因此整個網絡內，主站通信流量不大于100 Kbit/s，突發的GOOSE 峰值流量約6 Mbit/s。

2）檢查仿真網絡隔離功能情況如下。

使用1臺網絡分析裝置抓包，1臺網絡流量儀往仿真網絡輸入隨機干擾報文。抓取交換機SW5 上報文分析，網絡流量儀加入的干擾報文未被抓到，而只有在級聯口的鏡像端口抓到了帶有不同VLAN ID 的IEC104 流量和GOOSE 流量，驗證了靜態MAC 轉發表控制接入生效，未使用的交換機端口上不能獲取任何報文，也不轉發報文。

使用1臺網絡流量儀模擬1臺準入的配電終端，在其兩個通訊口模擬配電終端的業務輸出，分別為60 Mbit/s 的IEC104 流 量 和60 Mbit/s 的GOOSE 流 量。用網絡分析裝置從級聯口上抓包觀察，可以看到優先級高的流量速率為60 Mbit/s，優先級低的速率為40 Mbit/s，級聯口的優先級控制得到了驗證。進一步開啟交換機的流量控制功能后，單條GOOSE的流量限制不超過2 Mbit/s，每臺終端的IEC104 流量控制為不超過1 Mbit/s。

通過抓取GOOSE報文，檢查GOOSE的訂閱功能。每臺終端的GOOSE 通訊口的鏡像口接收到了訂閱組播，未接收到其它的組播。

另外，模擬主站通過IEC104協議與配網專用交換機通信，配置交換機的允許接入配電終端參數、流量隔離和優先級、組播注冊、流量控制等功能，驗證了一體化運維的方案可行性。

通過仿真試驗測試證明，專用交換機仿真網絡，通過交換機的隔離技術，實現了配電終端基于MAC地址許可轉發功能、基于流量域類型的選擇轉發丟棄干擾流量的功能、交換機流量邏輯子網隔離互不影響的功能、交換機內GOOSE組播訂閱限速功能。

3.2 工程應用

2020年，與南方電網公司合作的科技項目得到了試點運行，8 個環網柜內分別配置1 臺專用交換機，環網柜交換機與出線交換機組成環網。變電站內電源線保護裝置與線路上的配網終端通過環網網絡使用GOOSE報文互通光差保護信號量，一體運維主站通過IEC104協議與環網內的交換機通信，并下發控制接入參數和組播的訂閱、流量限制參數。環網柜內的配網終端由運維主站控制接入，離線和在線均通過遠程配置交換機的參數。現場模擬了非法終端接入觸發告警，模擬正常的業務突發大流量被限制不影響其他業務等驗證了專用交換機組成的通信網絡具有的安全性。不僅如此，環網柜內的通信調試由就地變為線上，有效減少了建設時間，以及降低了運維復雜度。

為驗證網絡的延時特性，滿足GOOSE業務的時延要求，進行了現場時延測試。使用思博倫流量測試儀對網絡進行測試，當流量負載為90%端口線速，測試時間60 s，獲得直通延時數據如表1。相對于用防火墻裝置隔離變電站網絡和配網網絡，用專用交換機的網絡，平均延時小，相同幀長度延時離散度小。基于隔離交換機的主配網融合組網方案，使得GOOSE保護能夠用于配網領域，豐富了配網保護的種類，意義重大。

表1 直通延時對比數據Table 1 Straight-through delay comparison data

4 結語

交換機的硬件隔離技術相比一般的防火墻技術，在延時上，優勢明顯，能夠支撐基于GOOSE的保護在配網領域廣泛應用；同時也能實現安全隔離功能。因此，隔離交換機網絡應用于配網網絡，尤其是變電站網絡和配網連接處，可以很好地滿足電力網絡安全的要求。