交换机的隔离技术及其在主配网融合组网中的应用

彭 安

（南京南瑞继保电气有限公司，江苏 南京 211102）

0 引言

随着智能变电站技术的发展，过程层网络通信的优点得到了广泛的检验和认可。配电行业借鉴智能变电站的实践成果，将过程层的通信技术引入配电网，并将进行大量测试和实践。由工业以太网交换机组成的配电通信网络［1-3］，易于扩展，带宽高，支持冗余链路功能；特别是报文传输时延小，能够承载基于GOOSE［4-6］的保护功能，在配电的建设中日益得到重视［7］。

然而，配电网不同于变电站。首先，大量的环网柜终端、杆上配电终端等组成的配电网分布点多，覆盖区域大，通信网络频繁分支和调整［8］。再次，配电通信网与变电站网络功能有区别，变电站网络管理一个变电站内的终端设备，通过远动终端将自动化信息上传到调度数据网；而配电通信网络是终端到调度中心直通，将调度数据准确地传送到众多的配网终端，将配网终端的运行工况数据信息送回调度中心。配电网涵盖的地域范围广，通信网络易遭受恶意攻击，因此，给通信的安全性和稳定性带来了很大的考验［8-10］。

分析配电网的通信网络流量，主要包含调度通信协议IEC104 流量、支撑保护功能的过程层GOOSE 流量。因为上述协议偏向于实时性，无安全认证和加密功能，配电通信面临着流量风暴攻击、未认证接入、业务混杂传输和报文互相影响堵塞等风险。为增强配电通信网络的安全性，尤其是主配网融合处通信安全性，应做好配电通信网络的规划设计［11-13］，使用具有隔离功能的专用交换机。本文将分析配电网有线通信网络的安全需求，介绍交换机的隔离技术，提出其在主配网融合网络中的实施方法，并展望应用前景。

1 配电通信网络特性分析

1.1 配电物理网络结构

配电通信网络一般用于接入配电线路上的杆上配电终端，环网柜配电终端，以及配变终端的通信数据，将终端数据传输给临近变电站的调度数据网。配电通信网络拓扑一般依据供电优先级、稳定性、经济性等要求构建，有环状、星型、树状几种。主配网融合网络采用冗余环网拓扑，图1 是典型的环状主配融合网络结构图，通信网络主要由工业以太网交换机组成，网络内传输的主要流量业务有GOOSE、IEC104。

图1 主配融合网络结构Fig.1 Main distribution fusion network architecture

1.2 配电通信网络现状介绍

配电通信网络由多个环网柜内的交换机互连组成星形网络或者环网。在环网柜内，配电终端将自动化监控信息和保护跳闸信息接入交换机，交换机将信息远传［14-16］。因为传输路径未隔离，多种类的业务流量混杂一起传输，对通信网络内的终端造成极大的流量处理负荷和冲击，不利于通信网络的稳定运行。配电环网柜布点多，空间范围广，给安全监控带来了挑战，因而迫切需要研究安全接入控制和应用实践。

另外，变电站网络和配电网络连接处，一般需要增加防火墙等安全设备，以隔离配电通信网可能引入的风险流量［17-19］。但是安全设备会增大报文的传输延时，影响GOOSE业务的实时性。当配网线路保护终端需与变电站内出线终端共享实时保护跳闸数据，又需要一个互通的低延时［20］通信网络。因此，主配融合网络需要解决低延时问题和安全隔离问题。

1.3 配电网流量类型分析

根据配网通信协议类型，可将网络分为2 张逻辑子网，分别为调度信息IEC104 流量子网，用于给配网主站传递监控信息；面向对象变电站事件（GOOSE）子网，用于在各终端间传输变位、保护跳合闸控制以及其他关键信号量，实时性要求高。图2 列出以太网帧格式和业务的类型。

图2 以太网II帧结构和类型Fig.2 Ethernet II frame structure and type

基于TCP/IP协议的IEC104流量，采用点对点单播方式传输，另外还有少量的辅助通信的ARP流量，ARP类型为0x0806。过程层的GOOSE报文采用组播报文传输，不同于普通的IP 报文类型0x0800，报文类型为0x88b8。goose 机应用于工程应用中，有如下特性：GOOSE状态变位过程共发5帧数据，即以2 ms—2 ms—4 ms—8 ms的时间间隔重发GOOSE报文，连续发5帧后便以5 s时间间隔变成心跳报文。所以说5 s的心跳帧产生的流量小，而按照变位的周期2 ms，报文会增大很多。

1.4 配电通信网络及主配网融合组网的问题解决

解决配电通信网络的安全接入问题：在当前通讯协议无认证机制的条件下，配网专用交换机实现端口静态MAC绑定功能。在此机制下，交换机能够拒绝非认证的终端MAC接入。

解决一张物理网络按照流量类型实现逻辑隔离的问题：首先使用交换机基于报文域字段匹配转发功能，设置只允许转发IEC104和GOOSE报文，其他流量输入即丢弃，保证网络内流量业务的纯粹性。接着，使用交换机虚拟局域网VLAN 功能，将IEC104 流量限定在VLAN1上，而GOOSE流量限定在VLAN10上。避免了流量混合及突发冲击网络上的终端装置，做到交换机内部流量各走各道，不同端口输出不同流量。最后，通过专用交换机的绝对优先级功能，控制交换机级联口按照优先级输出流量，保证GOOSE的高实时可靠传输。

解决主配网融合组网问题：配网的电源站，一般为主网的变电站。主网的线路差动保护装置，或者一些智能分布式DTU 终端，需要获取线路节点的采样值，不可避免需要从通信网络获取携带采样值的GOOSE流量。由此引入了一个主网配网需要融合组网的情况。当前基于主配网的安全等级，需要增加防火墙进行隔离，保证信息传输的安全性。而防火墙设备报文转发为软转发，其通过时延大，而交换机的硬转发时延小满足实时性要求。因此具备隔离功能的交换机特别适合该场景。

2 交换机隔离技术介绍和应用方案

2.1 配电专用交换机总体方案

基于配电通信网络的现状安全需求和交换芯片的应用原理，配电专用交换机需要实现接入控制功能、流量类型识别转发功能、流量逻辑隔离和优先级传输功能、GOOSE 的订阅及其流量限制功能、基于调度IEC104 协议运维功能。以下将详述交换芯片的隔离功能，在此基础上开发出满足配网安全的应用功能。

2.2 交换机的控制终端接入功能

交换机的报文转发是基于其二层地址转发表，而转发表的形成算法为，交换芯片实时记录输入端口报文的MAC 地址和VLAN ID，形成端口号、VLAN ID、MAC 地址三元素表项，在老化时间内按表项转发，超时泛洪或者丢弃。为实现接入控制功能，配网专用交换机不自动学习获得转发表，而是固化一张静态MAC地址转发表。从而能够有效解决大范围分布的配网终端认证接入的问题。外来的任何网络通讯设备，只要不加入静态转发表，不但无法获取报文，强行输入的干扰流量也会被丢弃。

配网专用交换机为实现静态MAC配置，开发出两种实现方案，手动固化方案和远端动态控制转发表方案。手动固化指的是，在工程现场调试前，调试人员开启交换机自动学习功能，调试验证后，开启一键生成静态转发表功能，即可固化当前交换机的静态转发表。远端动态控制转发表指的是，一体运维主机，给交换机下发固化MAC 信息，交换机收到后，按照命令信息执行添加静态MAC 操作。另外，交换机基于静态MAC表实时监视输入报文，未注册报文尝试接入即向运维主站告警。

2.3 交换机的报文类型识别转发功能

分析配网网络流量类型，主要是IP 类型0x0800，辅助通信ARP 类型0x0806，以及GOOSE 帧类型0x88B8。使用交换机内基于报文域字段硬件匹配功能，编订交换机允许传输报文类型匹配规则，精确匹配上述3个类型，交换机进行转发，而类型不匹配的报文均丢弃。在交换机的报文处理流程中，域字段识别规则为全局配置，报文进入交换机端口后，首先被域字段解析器执行筛选，不占用交换机交换容量，也不会增大报文处理时间。

配网专用交换机基于配网特征和交换芯片功能，开发出配网业务流量特征识别功能。该功能使得配网通信网络选择性转发流量，有效抵御各种类型报文攻击。

2.4 流量的逻辑隔离和优先级输出

使用交换机的VLAN 功能，对接入的终端设备流量从逻辑上进行分隔，避免不同类型的流量混合。交换机内按照VLAN 划分的逻辑子网，能够将数据流量限定在逻辑子网内，从而限制了广播域的范围和转发的路径，避免了不同类型报文的混杂传输，节约了交换带宽，提高网络的安全性。

根据虚拟桥接局域网协议规定，在以太网帧中增加一个Tag域，标识VLAN帧。Tag域包含4个字节；前两个字节为TPID，固定值为0x8100；后两个字节为TCI，其中的高3位为PRI 域，标识报文传输的优先级，低12位为VLAN ID，标识数据帧所属的VLAN域。

配网专用交换机根据传输的报文域特征，如源MAC地址，IP地址、端口号特征，将输入交换机无标签报文转化为带标签的报文，交换机将按照报文标签在各自的VLAN 域转发，能够避免多个业务混杂浪费终端装置的处理能力。另外，因为标签携带了报文的优先级，流量通过交换机间级联口时，按照优先级传输，避免了大流量拥塞丢失重要报文的问题。

2.5 组播订阅输出及流量限制

配网终端间保护功能正确动作依赖过程层GOOSE组播报文，该报文在整个VLAN域有广播的特性。为充分利用组播的一发多收特性，而又不全网广播，造成配网终端的处理网络负荷大的问题，需要开发交换机组播的注册订阅功能。另外，为进一步控制配网终端输入通信网络的流量，需开发基于端口或者组播地址的流量限速，避免配网终端工作异常时，大量不受控的正常类型流量进入通信网络造成保护功能异常。

配网专用交换机支持GOOSE组播的订阅设置，未注册组播将丢弃处理。注册组播配置采用2种方式实现：静态注册配置，使用当前智能变电站组播注册方法，CSD 文件配置方法；动态注册配置，该方法要求配网终端和交换机支持多播管理协议GMRP 或者IGMP snooping。开启该协议动态实现动态订阅组播功能。

配网专用交换机需开发基于端口或者组播地址的流量限制功能，开放流量抑制参数和突发流量参数供一体运维主站配置。

2.6 配电通信网络交换机运维

为实现配电主站的一体运维通信网络系统，需要专用交换机支持主流的调度协议，如IEC104。使用IEC104 的设点功能，将功能参数下发到交换机，同时收集遥信遥测等信息，从而配点通信网络内所有终端设备都与调度端建立了通信，为调度端一体运维提供基本条件。

3 仿真测试及工程应用

3.1 仿真测试

配电工程中，为了便于信息的汇聚，一般调度通信数据网设备放置在变电站内，配电线路上的信息汇聚到该变电站，而变电站对于通信网络的安全尤其重视。因此，配网专用交换机更多被用在主配融合的通信网络，既解决防火墙的延时问题，又满足网络安全需求。

针对主配网融合组网的应用需求，搭建网络测试平台，如图3所示。

图3 主配网融合组网测试环境Fig.3 Test environment for fusion networking of main distribution net

测试平台中，包含1 个模拟配网运维主站，4 台配电终端，1 台变电站内光差保护装置，以及5 台配电专用交换机。5 台交换机组成手拉手环网，每台配电终端通过IEC104通讯口和GOOSE 通讯口将对应的业务流量输入配电专用交换机的2 个通讯口上，配电终端和光差保护装置之间通过GOOSE交互保护采样值。

1）计算单台终端的业务流量如下。

设置GOOSE 的目的MAC 地址为01：0c：cd：01：00：0a，长度为300字节。无变位时心跳报文按照周期5 s 每帧，实际每条GOOSE 流量为480 bit/s，当发生突发事件按照2 ms每帧，每条峰值流量为1.2 Mbit/s。实测模拟主站与单台终端之间通信流量，流量包含ARP和IEC104，平均流量不大于20 Kbit/s，因此整个网络内，主站通信流量不大于100 Kbit/s，突发的GOOSE 峰值流量约6 Mbit/s。

2）检查仿真网络隔离功能情况如下。

使用1台网络分析装置抓包，1台网络流量仪往仿真网络输入随机干扰报文。抓取交换机SW5 上报文分析，网络流量仪加入的干扰报文未被抓到，而只有在级联口的镜像端口抓到了带有不同VLAN ID 的IEC104 流量和GOOSE 流量，验证了静态MAC 转发表控制接入生效，未使用的交换机端口上不能获取任何报文，也不转发报文。

使用1台网络流量仪模拟1台准入的配电终端，在其两个通讯口模拟配电终端的业务输出，分别为60 Mbit/s 的IEC104 流 量 和60 Mbit/s 的GOOSE 流 量。用网络分析装置从级联口上抓包观察，可以看到优先级高的流量速率为60 Mbit/s，优先级低的速率为40 Mbit/s，级联口的优先级控制得到了验证。进一步开启交换机的流量控制功能后，单条GOOSE的流量限制不超过2 Mbit/s，每台终端的IEC104 流量控制为不超过1 Mbit/s。

通过抓取GOOSE报文，检查GOOSE的订阅功能。每台终端的GOOSE 通讯口的镜像口接收到了订阅组播，未接收到其它的组播。

另外，模拟主站通过IEC104协议与配网专用交换机通信，配置交换机的允许接入配电终端参数、流量隔离和优先级、组播注册、流量控制等功能，验证了一体化运维的方案可行性。

通过仿真试验测试证明，专用交换机仿真网络，通过交换机的隔离技术，实现了配电终端基于MAC地址许可转发功能、基于流量域类型的选择转发丢弃干扰流量的功能、交换机流量逻辑子网隔离互不影响的功能、交换机内GOOSE组播订阅限速功能。

3.2 工程应用

2020年，与南方电网公司合作的科技项目得到了试点运行，8 个环网柜内分别配置1 台专用交换机，环网柜交换机与出线交换机组成环网。变电站内电源线保护装置与线路上的配网终端通过环网网络使用GOOSE报文互通光差保护信号量，一体运维主站通过IEC104协议与环网内的交换机通信，并下发控制接入参数和组播的订阅、流量限制参数。环网柜内的配网终端由运维主站控制接入，离线和在线均通过远程配置交换机的参数。现场模拟了非法终端接入触发告警，模拟正常的业务突发大流量被限制不影响其他业务等验证了专用交换机组成的通信网络具有的安全性。不仅如此，环网柜内的通信调试由就地变为线上，有效减少了建设时间，以及降低了运维复杂度。

为验证网络的延时特性，满足GOOSE业务的时延要求，进行了现场时延测试。使用思博伦流量测试仪对网络进行测试，当流量负载为90%端口线速，测试时间60 s，获得直通延时数据如表1。相对于用防火墙装置隔离变电站网络和配网网络，用专用交换机的网络，平均延时小，相同帧长度延时离散度小。基于隔离交换机的主配网融合组网方案，使得GOOSE保护能够用于配网领域，丰富了配网保护的种类，意义重大。

表1 直通延时对比数据Table 1 Straight-through delay comparison data

4 结语

交换机的硬件隔离技术相比一般的防火墙技术，在延时上，优势明显，能够支撑基于GOOSE的保护在配网领域广泛应用；同时也能实现安全隔离功能。因此，隔离交换机网络应用于配网网络，尤其是变电站网络和配网连接处，可以很好地满足电力网络安全的要求。