李若明 王行愚 陳月軍

    隨著(zhù)人類(lèi)物質(zhì)文明與精神文明的迅速發(fā)展，計算機尤其是網(wǎng)絡(luò )的發(fā)展和應用已與人們的生活休戚相關(guān)。其中以局域網(wǎng)為代表，從共享式網(wǎng)絡(luò )到交換式網(wǎng)絡(luò )，從速度為1Mbps的以太網(wǎng)到現在的千兆甚至是萬(wàn)兆以太網(wǎng)，都僅僅是二十幾年的時(shí)間。伴隨著(zhù)網(wǎng)絡(luò )的發(fā)展，其安全可靠問(wèn)題也逐漸成為技術(shù)人員首先要解決的難題，虛擬局域網(wǎng)（VLAN）的開(kāi)發(fā)從一定程度上解決了局域網(wǎng)的安全可靠問(wèn)題，目前該技術(shù)已經(jīng)廣泛應用于全世界的以太網(wǎng)中，成為世界公認的標準。由于以太網(wǎng)的局限性，其開(kāi)始時(shí)多應用于企業(yè)公司的管理層中，特別是商務(wù)樓中，但隨著(zhù)其自身技術(shù)的不斷改進(jìn)，將其運用于安全可靠性要求更高的生產(chǎn)控制環(huán)節也越來(lái)越得到重視，VLAN技術(shù)與控制系統的結合使用已經(jīng)成為許多供應商和廠(chǎng)商必須要解決的問(wèn)題。

1  VLAN技術(shù)概述

1.1  VLAN定義

    虛擬局域網(wǎng)（VLAN）是把一個(gè)物理網(wǎng)絡(luò )劃分成為多個(gè)邏輯工作組的邏輯網(wǎng)段。它是一種先進(jìn)的網(wǎng)絡(luò )構造和組織方式。VLAN不是一個(gè)物理網(wǎng)絡(luò )，但存在于一個(gè)物理網(wǎng)絡(luò )上。使用VLAN技術(shù)可以將整個(gè)網(wǎng)絡(luò )劃分成若干個(gè)邏輯上的子網(wǎng)，除非進(jìn)行設置，否則這些子網(wǎng)之間是分離的，就像在同一個(gè)網(wǎng)絡(luò )上構造出若干個(gè)獨立的網(wǎng)絡(luò )，故稱(chēng)為虛擬網(wǎng)。屬于不同VLAN的設備不能相互訪(fǎng)問(wèn)，它們間的通信一般要依賴(lài)于路由。VLAN的所有幀流量都被限制在本VLAN中，從而提高了網(wǎng)絡(luò )的性能。

1.2  VLAN劃分方法

    (1)  基于交換端口的VLAN

    這種方式是把LAN交換機的某些端口的集合作為VLAN的成員。這些集合有時(shí)只在單個(gè)LAN交換機上，有時(shí)則跨越多臺LAN交換機虛擬局域網(wǎng)的管理應用程序，根據交換機端口的標識ID，將不同的端口分到對應的分組中，分配到一個(gè)

    VLAN的各個(gè)端口上的所有站點(diǎn)都在一個(gè)廣播域中，它們相互可以通訊不同的VLAN站點(diǎn)之間進(jìn)行通訊需經(jīng)過(guò)路由器來(lái)進(jìn)行。這種VLAN方式的優(yōu)點(diǎn)在于簡(jiǎn)單、容易實(shí)現。從一個(gè)端口發(fā)出的廣播，直接發(fā)送到該VLAN內的其它端口，也便于直接監控。它的缺點(diǎn)是自動(dòng)化程度低，靈活性不好。比如，不能在給定的端口上支持一個(gè)以上的VLAN；一個(gè)網(wǎng)絡(luò )站點(diǎn)從一個(gè)端口移動(dòng)到另一個(gè)新的端口時(shí)，如新端口與舊端口不屬于同一個(gè)VLAN，則用戶(hù)必須對該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò )地址配置。

    (2)  基于MAC地址的VLAN

    這種方式的VLAN，要求交換機對站點(diǎn)的MAC地址和交換機端口進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)，根據需要將其劃歸至某一個(gè)VLAN。不論該站點(diǎn)在網(wǎng)絡(luò )中怎樣移動(dòng)，由于其MAC地址保持不變，因此用戶(hù)不需對網(wǎng)絡(luò )地址重新配置。然而所有的用戶(hù)必須明確地分配給一個(gè)VLAN，在這種初始化工作完成后，對用戶(hù)的自動(dòng)跟蹤才成為可能。在一個(gè)大型網(wǎng)絡(luò )中，要求網(wǎng)絡(luò )管理人員將每個(gè)用戶(hù)一一劃分到某一個(gè)VLAN是十分繁瑣的。

    (3)  基于網(wǎng)絡(luò )層的VLAN

    也稱(chēng)為基于IP的VLAN，它是利用網(wǎng)絡(luò )層的業(yè)務(wù)屬性來(lái)自動(dòng)生成VLAN，把使用不同的路由協(xié)議的站點(diǎn)分在相對應的VLAN中。IP子網(wǎng)1為第一個(gè)VLAN，IP子網(wǎng)2為第二個(gè)VLAN，IPX子網(wǎng)1為第三個(gè)VLAN……以此類(lèi)推。通過(guò)檢查所有的廣播和多點(diǎn)廣播幀，交換機能自動(dòng)生成VLAN。這種方式構成的VLAN，在不同的LAN網(wǎng)段上的站點(diǎn)可以屬于同一VLAN，同一物理端口上的站點(diǎn)也可分屬于不同的VLAN。從而保證了用戶(hù)完全自由地進(jìn)行增加、移動(dòng)和修改等操作。這種根據網(wǎng)絡(luò )上應用的網(wǎng)絡(luò )協(xié)議和網(wǎng)絡(luò )地址劃分VLAN的方式，對于那些想針對具體應用和服務(wù)來(lái)組織用戶(hù)的網(wǎng)絡(luò )管理人員來(lái)說(shuō)是十分有效的。它減少了人工參與配置VLAN，使VLAN有更大靈活性，比基于MAC地址的VLAN更容易做到自動(dòng)化管理。

    除了以上的三種劃分手段外還有如基于組播的VLAN等，但是不管使用哪種方法，都有其自身的優(yōu)勢和缺點(diǎn)，要達到靈活性和快速性的矛盾統一是十分困難的事情，具體使用何種手段，還要視具體情況所定。

1.3  VLAN間通訊與路由選擇

    (1)  使用傳統路由實(shí)現VLAN間的通信

    無(wú)論用那一種方法劃分VLAN，VLAN成員只能是交換機端口。如果VLAN成員是同一交換機端口，解決VLAN成員間通信是輕而易舉的，從某一端口進(jìn)來(lái)的任何幀只能送往屬于同一VLAN的其它端口。如果VLAN成員是不同交換機端口，解決VLAN成員間通信就變得復雜。一種方法是有多少個(gè)VLAN，交換機間就有多少條鏈接。顯然，這種方法是不切實(shí)際的。另一種方法是不管有多少個(gè)VLAN，交換機間只有一條鏈接，隨之而來(lái)的問(wèn)題是無(wú)法確定從交換機間鏈接端口進(jìn)來(lái)的幀屬于那個(gè)VLAN。解決的方法是交換機從終端收到MAC幀后，根據其輸入端口確定其所屬的VLAN，在MAC幀上加上VLAN ID，再送到下一交換機，最后一級交換機自動(dòng)去掉VLAN ID，把MAC幀送給目的終端。鏈接交換機的這些端口構成虛擬網(wǎng)主干（VLT），這些端口被所有VLAN共享，而其它端口只能屬于一個(gè)VLAN，這也就是所謂的VLAN Trunking技術(shù)，它的使用可以提高鏈路的利用率、節省端口資源、簡(jiǎn)化管理，但是網(wǎng)絡(luò )中的交換機必須支持這種技術(shù)，還有由于轉發(fā)都要經(jīng)過(guò)路由器，當任務(wù)較多時(shí)，可能造成瓶頸的問(wèn)題。所以第三層交換技術(shù)的出現，解決了局域網(wǎng)中網(wǎng)段劃分問(wèn)題，網(wǎng)段中子網(wǎng)必須依賴(lài)路由器的局面被打破了，很好地處理了傳統路由器低速、復雜所造成的網(wǎng)絡(luò )瓶頸問(wèn)題。

    (2)  第三層交換技術(shù)的應用

    采用第三層交換或稱(chēng)多層交換來(lái)構造VLAN的思想是不同端點(diǎn)之間無(wú)論是處于同一VLAN中，還是分布在不同VLAN中，它們之間的大部分通信都可以由交換機根據第三層協(xié)議完成，無(wú)需路由器的參與。通常情況下，第三層交換機采用VLAN號跟蹤跨越VLAN的信息，交換機收到數據包后，檢查IP地址以確定其所屬的VLAN，然后將VLAN號映射成相應的出端口。到同一地址的后續包則在第二層完成轉發(fā)。因此，事實(shí)上，第三層交換機只路由ARP或廣播的第一個(gè)包，一旦網(wǎng)絡(luò )地址到出端口的映射完成，就將地址轉換信息保存在第三層交換機的Cache中，傳送后續包時(shí)，只需在Cache中進(jìn)行查找，完成轉發(fā)。對于交換機不知該如何轉發(fā)的數據包，交換機將它發(fā)送給所有適當的VLAN端口和主干網(wǎng)接口，接收的工作站收到此包后，發(fā)送一點(diǎn)對點(diǎn)幀。交換機通過(guò)回送幀進(jìn)行路徑學(xué)習。

    由于第三層交換機本身所具有的協(xié)議依賴(lài)性，其中大多數仍然需要路由器來(lái)完成一些高端路由功能，如充當VLAN到WAN的網(wǎng)關(guān)及其他更復雜的路由要求，因此路由器和第三層交換機都要維持路由表，這顯然增加了網(wǎng)絡(luò )管理的負擔。

2  VLAN技術(shù)在控制系統中的應用

2.1  VLAN技術(shù)實(shí)施的必要性

    現場(chǎng)總線(xiàn)控制系統（FCS）的出現是順應智能現場(chǎng)儀表而發(fā)展起來(lái)的，在控制領(lǐng)域內引起了一場(chǎng)前所未有的革命。然而就在人們沸沸揚揚地對FCS進(jìn)行概念炒作的時(shí)候，卻沒(méi)有注意到它的發(fā)展在某些方面的不協(xié)調，其主要表現在迄今為止現場(chǎng)總線(xiàn)的通訊標準尚未統一，這使得各廠(chǎng)商的儀表設備難以在不同的FCS中兼容。此外，FCS的傳輸速率也不盡人意，此時(shí)人們便想到了已在商業(yè)領(lǐng)域成功運用的以太網(wǎng)技術(shù)。以太網(wǎng)具有傳輸速度高、低耗、易于安裝和兼容性好等方面的優(yōu)勢，由于它支持幾乎所有流行的網(wǎng)絡(luò )協(xié)議，所以統一標準十分簡(jiǎn)單，因此在商業(yè)系統中被廣泛采用。但是傳統以太網(wǎng)采用總線(xiàn)式拓樸結構和多路存取載波偵聽(tīng)碰撞檢測（CSMA／CD）通訊方式，在實(shí)時(shí)性要求較高的場(chǎng)合下，重要數據的傳輸過(guò)程會(huì )產(chǎn)生傳輸延滯，這被稱(chēng)為以太網(wǎng)的“不確定性”。同時(shí)在可靠安全方面也可能由于網(wǎng)絡(luò )傳輸的過(guò)載引起廣播風(fēng)暴等影響正常通訊的問(wèn)題，這是影響以太網(wǎng)長(cháng)期無(wú)法進(jìn)入過(guò)程控制領(lǐng)域的重要原因。隨著(zhù)對自身結構的不斷改善特別是交換技術(shù)的開(kāi)發(fā)很好地解決了實(shí)時(shí)性和安全可靠性的問(wèn)題，使以太網(wǎng)進(jìn)入工業(yè)控制領(lǐng)域成為可能，從而產(chǎn)生了一種新型以太網(wǎng)一工業(yè)以太網(wǎng)。

    VLAN技術(shù)正是解決這兩個(gè)問(wèn)題的關(guān)鍵，它對網(wǎng)絡(luò )的邏輯劃分使每個(gè)生產(chǎn)部門(mén)，每道工序，甚至是每個(gè)現場(chǎng)的儀器可以成為一個(gè)獨立的網(wǎng)段，本網(wǎng)段的成員可以充分享有全部的帶寬，信息傳送的延時(shí)性大大減小了，對突然發(fā)生的故障可以有最快地響應，并能準確快速發(fā)現故障的位置加以隔離，完全能滿(mǎn)足工業(yè)中實(shí)時(shí)性的要求。在安全方面，每個(gè)不同的VLAN之間通信必須路由設備或第三層網(wǎng)絡(luò )協(xié)議，各個(gè)單位完全可以按照本企業(yè)的實(shí)際情況來(lái)設計安全策略如可以定一些安全級，管理級為最高，可以隨時(shí)更改和監視控制級和現場(chǎng)級的生產(chǎn)狀況，如出現重大故障可馬上更改參數或停車(chē)。而控制級則負責監視現場(chǎng)每個(gè)設備的運行，也可更改設備的控制參數，但是它的決定不能影響上一級的管理級，現場(chǎng)級級別最低，它只可以修改現場(chǎng)設備的設定參數，決不能影響控制級和管理級的控制策略，當然也不能得到控制級和管理級的重要數據，這就有效地解決了使用探嗅器等設備進(jìn)行網(wǎng)絡(luò )偵聽(tīng)和破壞的問(wèn)題。在企業(yè)間競爭如此激烈的今天，顯然信息已經(jīng)成為知識產(chǎn)權的一個(gè)重要部分，VLAN技術(shù)的使用提高了網(wǎng)絡(luò )的利用率，節省了網(wǎng)絡(luò )資源保障了企業(yè)的利益。

2.2  VLAN技術(shù)在工業(yè)中的應用實(shí)例

    一個(gè)規模較大的企業(yè)，包括眾多職能部門(mén)和二級機構，為保證對不同職能部門(mén)管理的方便性和安全性以及整體網(wǎng)絡(luò )運行的穩定性，通常采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò )劃分。在進(jìn)行VLAN劃分時(shí)應盡量遵循“80/20”原則，即80％的數據流量應在同一個(gè)廣播域中傳播，只有20％的流量才應該被轉發(fā)到網(wǎng)絡(luò )上。管理員要把帶寬需求高的用戶(hù)或經(jīng)?；ハ嗤ㄐ诺挠脩?hù)盡可能劃分到同一的VLAN中，以便把這些信息流量都限制在交換機內，節省出帶寬供其他用戶(hù)使用。   

    下面以某市電業(yè)局企業(yè)網(wǎng)為例具體分析VLAN技術(shù)的應用。電業(yè)局是一個(gè)大型現代化企業(yè)，包括調度、變電、配電等一線(xiàn)部門(mén)和政工、人力資源、財務(wù)等二線(xiàn)部門(mén)，以及眾多三產(chǎn)機構。它們分布在各個(gè)地方，有些部門(mén)還分散在不同的地方辦公。本系統的虛擬局域網(wǎng)是在ATM局域網(wǎng)仿真（LANE）技術(shù)基礎上實(shí)現的，把一個(gè)部門(mén)劃分成一個(gè)仿真局域網(wǎng)（ELAN），生成自己的LES/BUS和LEC，并在此基礎上建立VLAN。在劃分時(shí)考慮到有些部門(mén)人數較少，如果單獨建立VLAN會(huì )增加建設成本，加重路由器負擔，并且占用網(wǎng)絡(luò )帶寬，所以將沒(méi)有特殊需求、人數較少的一些部門(mén)合并成幾個(gè)VLAN，把普通服務(wù)器集中在一個(gè)VLAN中，另外把安全要求更高的核心服務(wù)器單獨劃分成一個(gè)更小的VLAN，從而保證網(wǎng)絡(luò )流量異常時(shí)不會(huì )影響核心服務(wù)器的運行。圖1是本系統的電力通信網(wǎng)的網(wǎng)絡(luò )拓撲圖。

圖1  網(wǎng)絡(luò )拓樸結構圖

    交換機分主要為三個(gè)級別。核心交換機采用BAY5000BH，二層交換機采用Centillion100，三層交換機是接人機交換機。核心交換機與二層交換機之間是ATM通道，在Centillion100上創(chuàng )建所需VLAN的服務(wù)虛端口LEC，并把物理端口劃分給不同的VLAN。其中在變電工區中，還可以通過(guò)現場(chǎng)的交換機將現場(chǎng)的設備儀表進(jìn)行VLAN的劃分，從而可以實(shí)現故障定位和隔離的重要作用?？梢?jiàn)在使用VLAN進(jìn)行劃分后，整個(gè)企業(yè)的管理實(shí)現了全面的網(wǎng)絡(luò )化，不同部門(mén)之間的協(xié)作得到了很好的發(fā)揮，實(shí)現了工業(yè)單位中管理與生產(chǎn)互相協(xié)調，優(yōu)勢互補的重要作用。

3  VLAN技術(shù)的實(shí)際價(jià)值及發(fā)展趨勢

    VLAN具有降低移動(dòng)與變更的管理成本，比路由器更具成本效益的廣播控制，支持多媒體應用程序與高效組播控制，增強的安全性，網(wǎng)絡(luò )監督與管理的自動(dòng)化，減少路由需要和更為有效的網(wǎng)絡(luò )監控等作用。VLAN技術(shù)為交換式網(wǎng)絡(luò )提供了良好的控制能力，而交換式網(wǎng)絡(luò )又為VLAN的實(shí)現提供了基礎。所以說(shuō)，交換是基礎，虛擬是靈魂。路由技術(shù)直接影響VLAN的效率。減少路由節點(diǎn)，提高路由速度是VLAN技術(shù)發(fā)展的要求。方便、靈活的配置手段為用戶(hù)定義，使用VLAN提供良好的界面和環(huán)境。在網(wǎng)絡(luò )中合理定義VLAN是提高網(wǎng)絡(luò )使用效益最有效的方法。

4  結束語(yǔ)

    在信息產(chǎn)業(yè)飛速發(fā)展的今天，控制系統當然也要趕上時(shí)代的步伐，以太網(wǎng)的應用已經(jīng)成為企業(yè)發(fā)展和增強競爭力的必然趨勢，基于以太網(wǎng)的VLAN技術(shù)的應用很好地完成了控制生產(chǎn)中實(shí)時(shí)性與安全可靠性要求的有機統一，體現自動(dòng)控制中所追求的目標。當然，它還是一個(gè)新的技術(shù)在許多方面還存在著(zhù)漏洞，現在許多工廠(chǎng)企業(yè)中所使用的較舊的設備也無(wú)法支持這種技術(shù)。但是作為一種新的突破，筆者認為其前途似錦，其必將在今后控制系統的發(fā)展中占據重要的地位。