论文部分内容阅读
[摘要] 变电站数量多、地理位置分散,变电站自动化系统维护是个耗时耗力、经常性的工作。若采用现场维护的方式,将耗尽大量人力物力。因此,必须考虑一个系统性、方便易用、涵盖范围广的远程维护系统。由此来解决现场维护的响应速度及处理时间,从而更有力地保障系统安全、稳定、高效的运行。
[关键词] 变电自动化系统 远程维护交换机
一、前言
当前,电力系统发展日新月异,电网建设发展迅速。对于维护部门来说,所管辖变电站数量多,变电站地理位置分散,或近或远。变电站日常维护或故障处理工作,有相当长的时间耗在交通上。同时,变电站的位置分散,对维护部门的故障响应时间、故障处理时间来讲,是一个严峻考验。
由此,我们必须对维护部门的工作方式进行革新,将日常变电站的维护、故障处理工作改由远方解决,这样才能减少单个变电站的维护时间,加快单个变电站的维护速度及响应速度。
远程维护网络,是利用单独的维护通道,通过远程登录的方式操作站端监控主机。因此,在安全分区上,远程维护网络、及远程维护主机属于安全I区的工作范畴。
二、实现方案
目前,计算机网络技术的应用,使得变电站远程维护成为现实。本方案在局端与各变电站之间组建独立的远程维护网络。在局端增加独立的远程维护主机,通过远程维护网络,远程登陆变电站端监控主机、或维护主机,完成对变电站端监控、及其它站控层、间隔层设备的维护、故障诊断工作。组网方案如图1所示。
与此同时,计算机网络技术在增进互联互通的同时,也给网络中各节点带来病毒扩散等隐患。因此,本项目远程维护方案的难点,是远程维护在保证便利性、功能性的同时,不对变电站运行造成安全隐患,不能违反电力系统的现有运行安全规定。
图1 远程维护网络结构图
1、组网方案考虑
考虑到维护涵盖范围广、需要进行图像等数据流的传输,对带宽有很高要求。因此本项目利用电力调度数据网,采用2M专用光纤通道接入。这和电力数据网分流的其他通道一样,安全度高。
各个变电站的维护终端和需维护的计算机,通过电力调度数据网,接入远程维护网络。各维护节点汇集到局端维护网交换机。维护网交换机利用VLAN、或端口隔离技术,使得各变电站之间不能通信。这样避免了一个网络节点在网络病毒、网络节点异常等故障发生时,不会扩散到维护网其他节点。这样也就从根本上解决维护网各节点之间的安全问题。
在变电站端,各需要维护的主机(监控后台、五防机等)需要增加独立网卡,形成独立的维护网络,实现远程维护接入。这样,可以隔离维护网与站内监控网。维护网与站内监控网独立。
2、远程登录实现方案考虑
维护主站通过远程桌面登陆的方式,登陆到当地监控登陆点计算机的桌面,进行维护。在图形桌面模式下,远程维护也十分方便,如同在当地操作一般。
远程维护,在考虑传输安全性的同时,也要满足电力系统的管理流程,通过身份验证等多种权限,对符合权限的登录,开发远程维护功能。而对于一般人员,则禁止其远程维护。
远程登陆方式是在RDP协议基础上,开发专用的远程维护工具。这样,我们可以充分考虑变电站运行需求,开发贴合变电站运行实际、满足变电站运行规程的远程维护工具。这样一种工具,开发协议私有,使用范围小,难于受到网络上有针对性的攻击、破解。而windows远程登录工具,以及pcanywhere等,由于属于公共产品,则不可避免的受到一些针对性的攻击。因此,开发专用工具,安全性更好,更贴合变电站运行实际。
三、工程实施方案
1、组建维护专网
在局端,我们使用一台H3C S3600交换机,与两台H3C S3610交换机级联。组成维护网络。H3C S3600及S3610交换机均为24口交换机。S3610交换机另有2个千兆自适应电口。我们将S3600交换机5~24口设置为隔离组端口(交换机内端口标示:ethernet1/0/5~ethernet1/0/24)。1~4口(交换机内端口标示:ethernet1/0/1~ethernet1/0/4)在隔离组外,留作局端维护主机使用。S3610交换机1-24口设置为隔离组普通端口(交换机内端口标示:ethernet1/0/1~ethernet1/0/24),27口(交换机内端口标示:Gigaethernet1/0/3)设置为隔离组uplink-port上联端口。分别接入S3600交换机的23、24两口(交换机内端口标示:ethernet1/0/23、ethernet1/0/24),如下图2所示:
图2 局端维护网交换机级联图
这样,由于S3600交换机内23、24口属于隔离组内端口,因此,级联其中的两台S3610之间相互隔离。由此三台交换机级联后,我们可以给变电站提供的隔离端口为66个,可以满足66个远端变电站接入需求。
本组网方案,在满足需求的同时,将新增设备与原有设备结合在一起。在满足需求的基础上,避免添置过多新增设备,减少了工程成本,使用端口隔离技术,隔离组内各端口之间报文屏蔽,可以避免各变电站之间的病毒扩散、网络节点异常扩散等,增强网络的安全性、稳定性、健壮性。
2、远程维护软件实现
远程维护工具的开发在实施上,我们应通过用户口令验证、远程维护工具账号及口令验证来避免非法访问;通过远程桌面连接实例唯一,同时只能维护一个远方变电站的限制,来满足操作安全性要求;通过登陆日志记录、历史日志查询等手段,使操作记录可询,增强操作的安全性。
远程维护工具分为变电站端远程维护接入模块(Server)和局端远程维护模块(Client)两部分。在变电站端,对于所需维护主机,安装远程维护接入模块。在局端的远程维护主机上安装远程维护管理工具。这里的Server/Client,是基于TCP概念上的。
3、变电站端远程维护接入模块
作为TCP服务端,等待局端维护工具连接。在通信中,将维护工具所传递鼠标、键盘事件、位置、区域信息映射到操作系统中,并将画面推送到局端维护工具中。
在工程实施时,各变电站远程维护密码按照厂站名+主机id的规则进行编码。而远程维护时,在局端登录变电站主机时,需要输入维护密码。密码的唯一性,可以避免维护人员维护错主机的情况。
同时,对局端维护模块的登录信息进行记录,以便有据可查,便于异常分析,以及责任划分。
四、技术亮点
1、使用交换机端口隔离技术
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。通过端口隔离技术,增强了远程维护网络的安全性。各个变电站维护工程师之间网络隔离,也从根本上避免了入侵者通过一个变电站,攻击其他变电站的可能性。
采用端口隔离特性,可以实现同一VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 使用端口隔离,不仅满足业务需求,且配置方便。且遇到问题,也好定位。
2、专用远程维护工具开发
本项目中,采取开发专用远程维护工具,而非利用商用远程维护工具的模式。这样,不仅保证传输协议的私有性,避免针对商用远程维护工具的专门攻击。同时,专用远程维护工具,由于是专门针对变电站维护需求开发,也更贴合我们的运行实际。特点如下:
(1)数据建模贴合实际
数据建模按照电压等级、变电站、主机的层次进行建模。这不仅方便维护人员检索,也便于使用。同时,对变电站模型信息中,留有备忘信息接口。维护人员可以方便的填写变电站概况信息、维护日志信息等,便于工作使用。
(2)用户名+密码的多种权限认证模式
远程维护工具通过多级权限,进行安全认证。对参数配置、远程访问均有权限控制。并且,登录远程维护主机时,同样有唯一性的口令限制,以避免维护时连错主机。
(3)连接限制功能
远程维护时,我们限定同一时间,在同一维护主机上只能维护一個变电站的一台主机,不能同时维护多台主机。这样,避免维护过程中的人为错误。
(4)日志功能
用户修改配置、登录、注销,对变电站维护,均有日志记录。日志不仅在局端维护工具有记录,每个变电站端的远程维护接入模块所在主机也对本机连接情况进行记录。这让我们对维护工作有据可查,从技术上保证维护工作的可追溯性。
五、结论
远程维护项目的实施,可以有效解决维护部门人员少与电网建设迅速之间的矛盾。这使得维护部门在人员精干的同时,仍能保质保量地完成对珠海地区众多地理分散的变电站的维护需求。同时,远程维护降低了现场维护的反应时间、处理时间,降低了交通安全对维护人员的影响,同时节省显著的费用。
作者简介:
古晓欢:女,就职于:珠海供电局,职称:助理工程师。
“本文中所涉及到的图表、公式、注解等请以PDF格式阅读”
[关键词] 变电自动化系统 远程维护交换机
一、前言
当前,电力系统发展日新月异,电网建设发展迅速。对于维护部门来说,所管辖变电站数量多,变电站地理位置分散,或近或远。变电站日常维护或故障处理工作,有相当长的时间耗在交通上。同时,变电站的位置分散,对维护部门的故障响应时间、故障处理时间来讲,是一个严峻考验。
由此,我们必须对维护部门的工作方式进行革新,将日常变电站的维护、故障处理工作改由远方解决,这样才能减少单个变电站的维护时间,加快单个变电站的维护速度及响应速度。
远程维护网络,是利用单独的维护通道,通过远程登录的方式操作站端监控主机。因此,在安全分区上,远程维护网络、及远程维护主机属于安全I区的工作范畴。
二、实现方案
目前,计算机网络技术的应用,使得变电站远程维护成为现实。本方案在局端与各变电站之间组建独立的远程维护网络。在局端增加独立的远程维护主机,通过远程维护网络,远程登陆变电站端监控主机、或维护主机,完成对变电站端监控、及其它站控层、间隔层设备的维护、故障诊断工作。组网方案如图1所示。
与此同时,计算机网络技术在增进互联互通的同时,也给网络中各节点带来病毒扩散等隐患。因此,本项目远程维护方案的难点,是远程维护在保证便利性、功能性的同时,不对变电站运行造成安全隐患,不能违反电力系统的现有运行安全规定。
图1 远程维护网络结构图
1、组网方案考虑
考虑到维护涵盖范围广、需要进行图像等数据流的传输,对带宽有很高要求。因此本项目利用电力调度数据网,采用2M专用光纤通道接入。这和电力数据网分流的其他通道一样,安全度高。
各个变电站的维护终端和需维护的计算机,通过电力调度数据网,接入远程维护网络。各维护节点汇集到局端维护网交换机。维护网交换机利用VLAN、或端口隔离技术,使得各变电站之间不能通信。这样避免了一个网络节点在网络病毒、网络节点异常等故障发生时,不会扩散到维护网其他节点。这样也就从根本上解决维护网各节点之间的安全问题。
在变电站端,各需要维护的主机(监控后台、五防机等)需要增加独立网卡,形成独立的维护网络,实现远程维护接入。这样,可以隔离维护网与站内监控网。维护网与站内监控网独立。
2、远程登录实现方案考虑
维护主站通过远程桌面登陆的方式,登陆到当地监控登陆点计算机的桌面,进行维护。在图形桌面模式下,远程维护也十分方便,如同在当地操作一般。
远程维护,在考虑传输安全性的同时,也要满足电力系统的管理流程,通过身份验证等多种权限,对符合权限的登录,开发远程维护功能。而对于一般人员,则禁止其远程维护。
远程登陆方式是在RDP协议基础上,开发专用的远程维护工具。这样,我们可以充分考虑变电站运行需求,开发贴合变电站运行实际、满足变电站运行规程的远程维护工具。这样一种工具,开发协议私有,使用范围小,难于受到网络上有针对性的攻击、破解。而windows远程登录工具,以及pcanywhere等,由于属于公共产品,则不可避免的受到一些针对性的攻击。因此,开发专用工具,安全性更好,更贴合变电站运行实际。
三、工程实施方案
1、组建维护专网
在局端,我们使用一台H3C S3600交换机,与两台H3C S3610交换机级联。组成维护网络。H3C S3600及S3610交换机均为24口交换机。S3610交换机另有2个千兆自适应电口。我们将S3600交换机5~24口设置为隔离组端口(交换机内端口标示:ethernet1/0/5~ethernet1/0/24)。1~4口(交换机内端口标示:ethernet1/0/1~ethernet1/0/4)在隔离组外,留作局端维护主机使用。S3610交换机1-24口设置为隔离组普通端口(交换机内端口标示:ethernet1/0/1~ethernet1/0/24),27口(交换机内端口标示:Gigaethernet1/0/3)设置为隔离组uplink-port上联端口。分别接入S3600交换机的23、24两口(交换机内端口标示:ethernet1/0/23、ethernet1/0/24),如下图2所示:
图2 局端维护网交换机级联图
这样,由于S3600交换机内23、24口属于隔离组内端口,因此,级联其中的两台S3610之间相互隔离。由此三台交换机级联后,我们可以给变电站提供的隔离端口为66个,可以满足66个远端变电站接入需求。
本组网方案,在满足需求的同时,将新增设备与原有设备结合在一起。在满足需求的基础上,避免添置过多新增设备,减少了工程成本,使用端口隔离技术,隔离组内各端口之间报文屏蔽,可以避免各变电站之间的病毒扩散、网络节点异常扩散等,增强网络的安全性、稳定性、健壮性。
2、远程维护软件实现
远程维护工具的开发在实施上,我们应通过用户口令验证、远程维护工具账号及口令验证来避免非法访问;通过远程桌面连接实例唯一,同时只能维护一个远方变电站的限制,来满足操作安全性要求;通过登陆日志记录、历史日志查询等手段,使操作记录可询,增强操作的安全性。
远程维护工具分为变电站端远程维护接入模块(Server)和局端远程维护模块(Client)两部分。在变电站端,对于所需维护主机,安装远程维护接入模块。在局端的远程维护主机上安装远程维护管理工具。这里的Server/Client,是基于TCP概念上的。
3、变电站端远程维护接入模块
作为TCP服务端,等待局端维护工具连接。在通信中,将维护工具所传递鼠标、键盘事件、位置、区域信息映射到操作系统中,并将画面推送到局端维护工具中。
在工程实施时,各变电站远程维护密码按照厂站名+主机id的规则进行编码。而远程维护时,在局端登录变电站主机时,需要输入维护密码。密码的唯一性,可以避免维护人员维护错主机的情况。
同时,对局端维护模块的登录信息进行记录,以便有据可查,便于异常分析,以及责任划分。
四、技术亮点
1、使用交换机端口隔离技术
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。通过端口隔离技术,增强了远程维护网络的安全性。各个变电站维护工程师之间网络隔离,也从根本上避免了入侵者通过一个变电站,攻击其他变电站的可能性。
采用端口隔离特性,可以实现同一VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 使用端口隔离,不仅满足业务需求,且配置方便。且遇到问题,也好定位。
2、专用远程维护工具开发
本项目中,采取开发专用远程维护工具,而非利用商用远程维护工具的模式。这样,不仅保证传输协议的私有性,避免针对商用远程维护工具的专门攻击。同时,专用远程维护工具,由于是专门针对变电站维护需求开发,也更贴合我们的运行实际。特点如下:
(1)数据建模贴合实际
数据建模按照电压等级、变电站、主机的层次进行建模。这不仅方便维护人员检索,也便于使用。同时,对变电站模型信息中,留有备忘信息接口。维护人员可以方便的填写变电站概况信息、维护日志信息等,便于工作使用。
(2)用户名+密码的多种权限认证模式
远程维护工具通过多级权限,进行安全认证。对参数配置、远程访问均有权限控制。并且,登录远程维护主机时,同样有唯一性的口令限制,以避免维护时连错主机。
(3)连接限制功能
远程维护时,我们限定同一时间,在同一维护主机上只能维护一個变电站的一台主机,不能同时维护多台主机。这样,避免维护过程中的人为错误。
(4)日志功能
用户修改配置、登录、注销,对变电站维护,均有日志记录。日志不仅在局端维护工具有记录,每个变电站端的远程维护接入模块所在主机也对本机连接情况进行记录。这让我们对维护工作有据可查,从技术上保证维护工作的可追溯性。
五、结论
远程维护项目的实施,可以有效解决维护部门人员少与电网建设迅速之间的矛盾。这使得维护部门在人员精干的同时,仍能保质保量地完成对珠海地区众多地理分散的变电站的维护需求。同时,远程维护降低了现场维护的反应时间、处理时间,降低了交通安全对维护人员的影响,同时节省显著的费用。
作者简介:
古晓欢:女,就职于:珠海供电局,职称:助理工程师。
“本文中所涉及到的图表、公式、注解等请以PDF格式阅读”