一种智能变电站中安全接入方法

一种智能变电站中安全接入方法
【专利摘要】本发明涉及一种智能变电站中安全接入方法，所述方法包括（1）确定交换机A上连接的设备；（2）记录交换机A上设备的MAC地址；（3）交换机A上添加静态MAC地址；（4）关闭交换机A上设备的地址学习能力；（5）关闭交换机A未知报文的泛洪能力；（6）交换机B上port_b添加静态MAC。本发明采用添加静态MAC地址到交换机的地址表中，限定智能设备的接入端口，防止智能设备接错网络端口。采用关闭端口的学习能力及关闭未知报文的泛洪功能，防止非法装置的非法接入，确保网络不受入侵。采用对级联交换机的地址表添加静态MAC，确保整个网络的接入安全。该发明方案可以延伸到多台交换机级联的情况，保障整个变电站网络的接入安全。
【专利说明】 ー种智能变电站中安全接入方法
【技术领域】
[0001]本发明属于电カ通信系统，具体讲涉及ー种智能变电站中安全接入方法。
【背景技术】
[0002]以全站信息数字化、通信平台网络化为主要特点的智能变电站一般采用IEC61850提出的信息分层的方法将变电站自动化系统分为站控层、间隔层和过程层。过程层主要完成模拟量的采样、开关量输入输出、操作控制命令的发送等与一次设备相关的功能，间隔层汇总过程层的实时数据，接收站控层的命令并向过程层发送命令。
[0003]站控层是全站的监控管理中心，提供人机界面，实现对间隔层的管理控制，并通过电カ数据网与调度中心或集控中心通信。在智能变电站中，过程层网络或者站控层网络中智能设备一般都设计在固定的交換机端口上，例如在过程层网络中，合并单元或者智能终端在交換机如果接错端ロ，接到另外的VLAN内的话，可能会造成比较严重的后果，所以要确保装置接入的正确性。同时，为了防止其它非法装置的接入，以免对网络的非法入侵，要对交换机端ロ的使用要加以限制。在智能变电站中的通信网络中最重要的通信装置为以太网交换机，智能设备接入交換机后，交換机会通过设备发送的报文进行地址学习，并将设备的地址记录在交换机的MAC地址表中，通过动态学习得到的MAC地址表会随着老化或者设备连接端ロ的变化而变化，可以通过添加静态MAC地址将设备的MAC地址限定在某一端ロ上，使得设备只能通过此端ロ通信，如果进一歩关闭该端ロ的学习能力，关闭交換机上的未知报文的泛洪，其他装置即使接到该端口上也无法进行通信。

【发明内容】

[0004]针对现有技术的不足，本发明提出ー种智能变电站内智能设备安全接入网络的方法，采用限制智能变电站内智能设备接入以太网交換机端ロ的方式，限制网络报文在交換机内转发功能。通过对以太网交换机的MAC地址表中添加记录，记录静态的智能设备MAC地址与交換机端ロ的映射关系，同时，对连接智能设备的交換机端ロ的学习能力进行限制，这样设计之后，智能设备只能在限定的端口上通信，而其它设备在此端口上也无法进行通信。对于级联交换机的情况下，将此台交換机各个装置的MAC地址添加到远端级联的交換机的地址表中,对应端ロ为远端交换机的级联端ロ，同时限制该级联端ロ的学习能力，并关闭交换机上未知报文的泛洪。这样可以保障所有报文都从级联端ロ进入远端交換机，在装置接入错误的情况下可以快速定位。
[0005]本发明的目的是采用下述技术方案实现的:
[0006]ー种智能变电站中安全接入方法，其改进之处在于，所述方法包括:
[0007]( 1)确定交换机A上连接的设备；
[0008](2 )记录交换机A上设备的MAC地址；
[0009](3 )交换机A上添加静态MAC地址；
[0010](4)关闭交換机A上设备的地址学习能力；[0011](5)关闭交换机A未知报文的泛洪能力；
[0012](6)交换机B上port_b添加静态MAC。
[0013]优选的，所述步骤(2)包括通过网络设计清单或者通过智能设备自身查找每个智能设备的MAC地址表，记录下该智能设备所连接的交換机端口号，形成ー张MAC地址与端ロ号的映射表。
[0014]优选的，所述步骤(6)包括将交换机A上设备的MAC地址添加到级联的交换机B的MAC地址表中，对应端ロ为port_b。
[0015]优选的，所述方法包括两台级联的交换机为A和B ；
[0016]交换机为A端ロ为port_a,交换机为B端ロ为port_b。
[0017]优选的，所述方法包括将交换机B做相同设置，将交换机B上的智能设备的MAC地址添加到交换机A上，对应端ロ为port_a。
[0018]优选的，所述方法包括级联多台交換机，可以做类似配置。
[0019]与现有技术比，本发明的有益效果为:
[0020]1、采用添加静态MAC地址到交換机的地址表中，这样就不需要交換机学习终端装置的MAC地址，而且MAC地址不会老化，終端装置从固定的端ロ接收数据，从而限定智能设备的接入端ロ，防止智能设备接错网络交换机的端ロ。
[0021]2、采用关闭端ロ的学习能力及关闭未知报文的泛洪功能，防止非法装置的非法接入，即使接入交換机也不会学习其地址，这样地址表中不会存在其MAC，而且没有报文的泛洪的情况下，该装置不会与其他装置通信，确保网络不受入侵。
[0022]3、采用对级联交換机的地址表添加静态MAC，对级联端的終端装置的地址不需再学习，可以关闭级联端ロ的学习能力，确保整个网络的接入安全。
[0023]4、该发明方案可以延伸到多台交換机级联的情况，对整个网络上的的所有交換机做类似的管理配置，添加静态地址，关闭学习能力及泛洪能力，可以保障整个变电站网络的接入安全。
【专利附图】

【附图说明】
[0024]图1为本发明提供的ー种智能变电站中安全接入方法交换机的连接方式。
[0025]图2为本发明提供的ー种智能变电站中安全接入方法流程图。
【具体实施方式】
[0026]下面结合附图对本发明的【具体实施方式】作进ー步的详细说明。
[0027]设定智能变电站中两台级联的交换机为A和B，级联端ロ分别为port_a和port_b。以交换机A上设备安全接入为例介绍方案。
[0028]1、根据网络设计，考虑数据流量大小，VLAN划分等，确定交換机A上各个端ロ与各个智能设备的连接关系，然后通过网线或者光纤将这些智能设备连接到交換机上。
[0029]2、记录下交換机A上各个端ロ连接的智能设备的MAC地址，通过网络设计清单或者通过智能设备自身查找每个智能设备的MAC地址表，同时记录下该智能设备所连接的交换机端口号，记录下所有的智能设备的这种对应关系，形成ー张MAC地址与端口号的映射表。[0030]3、在交换机A上添加步骤2中记录下的MAC地址与端口号的映射表，通过交换机A管理软件，添加静态MAC地址，输入映射表中的ー个MAC，然后选择相应的端ロ，添加后查看交换机的MAC地址表，添加成功后再添加依次添加其他MAC地址。查看最終的MAC地址表，无误后保存配置。
[0031]4、通过交换机的管理软件，配置当前交換机A的各个智能设备连接端ロ的地址学习能力，使得这些端ロ不再学习新的MAC地址，当其它智能设备连接到该端口上吋，即使发出报文，交換机也不会记录下该报文的源地址并写入MAC地址表。
[0032]5、通过交换机的管理软件，配置交换机A的对未知报文的泛洪能力，使交换机对未知目的地址的报文不再向同一 VLAN内的其它所有端ロ进行转发，当ー个报文进入交換机后，交換机解析该报文的目的地址，如果在交換机的MAC地址表中查找不到该地址，则将该报文丢弃。
[0033]6、通过交换机B的管理软件，将步骤2中记录下的MAC地址与端口号的映射表，添加到交换机B的MAC地址表中，通过添加静态MAC地址功能，输入MAC地址，并指定相应端ロ为级联端ロ port_b,添加完成后查询交换机B的MAC地址表,确认无误后保存配置。
[0034]按照上述步骤1?5，在交換机B上，做相同配置，并将交換机B上的智能设备的MAC地址添加到交换机A上，对应端ロ为port_a。
[0035]上述方案是两台交換机级联，若级联多台交換机，则将所级联网络上的所有智能设备的添加到每台交換机上，井根据级联方向选择对应的级联端ロ，同时关闭该交换机上连接智能设备的端ロ的学习能力和未知报文的泛洪能力。
[0036]实施例
[0037]交换机A上连接测控A和保护A，对应的MAC地址为OO-OO-OO-OO-OO-aa和00-00-00-00-00-ab,对应端ロ为fel和fe2，级联端ロ为fe_a交换机B上连接测控B和保护 B，应的 MAC 地址为 00-00-00-00-00-ba 和 OO-OO-OO-OO-OO-bb，对应端ロ为 fe3 和fe4,级联端 ロ 为 fe_b。将 MAC 地址 OO-OO-OO-OO-OO-aa 和 OO-OO-OO-OO-OO-ab 添加至交换机A中，对应端ロ为fel和fe2，同时关闭fel和fe2的学习能力和泛洪能力。将MAC地址00-00-00-00-00-ba和00-00-00-00-00-bb添加至交换机A中，对应端ロ为fe_a。将MAC 地址 00-00-00-00-00-ba 和 00-00-00-00-00-bb 添加至交换机 B 中，对应端 ロ 为 fe3和fe4，同时关闭fe3和fe4的学习能力和泛洪能力。将MAC地址00-00-00-00-00-aa和00-00-00-00-00-ab添加至交换机B中，对应端ロ为fe_b。
[0038]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，尽管參照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.ー种智能变电站中安全接入方法，其特征在于，所述方法包括: (1)确定交換机A上连接的设备； (2)记录交换机A上设备的MAC地址； (3)交换机A上添加静态MAC地址； (4)关闭交換机A上设备的地址学习能力； (5)关闭交换机A未知报文的泛洪能力； (6)交换机B上port_b添加静态MAC。
2.如权利要求1所述的ー种智能变电站中安全接入方法，其特征在于，所述步骤(2)包括通过网络设计清单或者通过智能设备自身查找每个智能设备的MAC地址表，记录下该智能设备所连接的交換机端口号，形成ー张MAC地址与端口号的映射表。
3.如权利要求1所述的ー种智能变电站中安全接入方法，其特征在于，所述步骤(6)包括将交换机A上设备的MAC地址添加到级联的交换机B的MAC地址表中，对应端ロ为port_b。
4.如权利要求1所述的ー种智能变电站中安全接入方法，其特征在于，所述方法包括两台级联的交换机为A和B ; 交换机为A端ロ为port_a，交换机为B端ロ为port_b。
5.如权利要求1所述的ー种智能变电站中安全接入方法，其特征在于，所述方法包括将交换机B做相同设置，将交换机B上的智能设备的MAC地址添加到交换机A上，对应端ロ为 port_a。
6.如权利要求1所述的ー种智能变电站中安全接入方法，其特征在于，所述方法包括级联多台交換机，可以做类似设置。
【文档编号】H04L29/06GK103457882SQ201310384361
【公开日】2013年12月18日 申请日期:2013年8月29日 优先权日:2013年8月29日
【发明者】王向群, 李春龙, 黄治, 孙晓艳, 王鹤, 张增华, 吴军民, 张刚, 黄辉, 黄在朝, 于海, 虞跃, 姚启桂, 喻强, 任杰, 陈伟, 于鹏飞, 邓辉, 吴鹏, 王玮, 沈文, 侯功, 陶静, 刘川, 陈磊 申请人:国家电网公司, 中国电力科学研究院