基于VPN技術(shù)實(shí)現(xiàn)光伏遠(yuǎn)程集控系統(tǒng)方案探討

趙 毅 張振華 馮利虎 陳干杰 梁 爽

（國(guó)家電網(wǎng)許繼集團(tuán)有限公司，河南 許昌 461000）

基于VPN技術(shù)實(shí)現(xiàn)光伏遠(yuǎn)程集控系統(tǒng)方案探討

趙 毅 張振華 馮利虎 陳干杰 梁 爽

（國(guó)家電網(wǎng)許繼集團(tuán)有限公司，河南 許昌 461000）

本文主要介紹目前流行的兩種VPN技術(shù)，即IPSec VPN與SSL VPN，并根據(jù)這兩種VPN的優(yōu)勢(shì)和不足，設(shè)計(jì)集兩種VPN技術(shù)優(yōu)勢(shì)于一體的系統(tǒng)方案，以實(shí)現(xiàn)光伏企業(yè)對(duì)所轄光伏電站的遠(yuǎn)方監(jiān)視、控制、維護(hù)等生產(chǎn)管理。

VPN；IPSec；SSL；光伏集控

隨著光伏行業(yè)的高速發(fā)展，光伏電站日益增多，但光伏電站分布地域廣、位置偏僻，光伏電站的運(yùn)行維護(hù)人員少、維護(hù)人員技術(shù)實(shí)力不平均、維護(hù)工作量大。部署融合了“互聯(lián)網(wǎng)+”和“能源互聯(lián)網(wǎng)”的光伏集控系統(tǒng)成了未來的發(fā)展趨勢(shì)和光伏企業(yè)的迫切需求。光伏集控系統(tǒng)可以使光伏企業(yè)實(shí)時(shí)了解所有光伏電站的運(yùn)行情況，實(shí)現(xiàn)光伏廠站遠(yuǎn)程集中監(jiān)控，可以為現(xiàn)場(chǎng)的運(yùn)維人員減輕負(fù)擔(dān)并給予支持，達(dá)到降低運(yùn)行成本、增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力的效果。

光伏集控系統(tǒng)可以使用專網(wǎng)實(shí)現(xiàn)，也可以使用普通的公共網(wǎng)絡(luò)實(shí)現(xiàn)。使用專網(wǎng)會(huì)導(dǎo)致成本增加，使用公共網(wǎng)絡(luò)會(huì)造成泄密和黑客攻擊。針對(duì)這兩個(gè)問題，最好的解決方案是使用虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN），通過VPN實(shí)現(xiàn)在公共網(wǎng)絡(luò)上建立一個(gè)臨時(shí)的、安全的連接，將光伏電站的數(shù)據(jù)加密封裝后進(jìn)行傳輸，實(shí)現(xiàn)多個(gè)遠(yuǎn)程局域網(wǎng)的互通，防止數(shù)據(jù)泄露，極大地降低了組網(wǎng)費(fèi)用。

1VPN簡(jiǎn)介

VPN即“虛擬專用網(wǎng)絡(luò)”，是一種充分利用隧道、認(rèn)證、加密等技術(shù)手段，在公共網(wǎng)絡(luò)上具備安全的專線連接的功能?，F(xiàn)在被廣泛采用的VPN技術(shù)有基于IPsec（Internet Protocol Security）協(xié)議的VPN和基于SSL（安全套接層協(xié)議）協(xié)議的VPN兩種?；贗Psec協(xié)議的VPN也稱IPSec VPN，由IPSec協(xié)議提供隧道安全保障的VPN技術(shù)。SSL協(xié)議的VPN也稱SSL VPN，是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP協(xié)議）為基礎(chǔ)的VPN技術(shù)。

IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議，它是把隧道、加密、認(rèn)證等安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，為數(shù)據(jù)在通過公用網(wǎng)絡(luò)在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊。IPSec VPN是在正式通信前，通過通信雙方對(duì)操作模式、算法、密鑰、密鑰生成周期等要素和策略的協(xié)定來提供安全服務(wù)。

SSL是網(wǎng)景（Netscape）公司提出的基于Web應(yīng)用的安全協(xié)議，SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。SSL VPN保障的是Web瀏覽器和Web服務(wù)器之間的安全，目前SSL協(xié)議被廣泛用于各種瀏覽器中。建立SSL VPN會(huì)話的時(shí)候，通信雙方使用SSL握手協(xié)議來驗(yàn)證彼此的身份，其后的數(shù)據(jù)傳輸階段使用的密碼規(guī)格，按照SSL記錄協(xié)議規(guī)格的格式和程序?qū)ζ溥M(jìn)行檢查和封裝。每個(gè)SSL會(huì)話一次只服務(wù)一個(gè)應(yīng)用程序，它提供的是應(yīng)用程序的安全服務(wù)，而不是網(wǎng)絡(luò)的安全服務(wù)，因此也被稱為“應(yīng)用程序?qū)拥腣PN”［1］。

2 IPSec VPN、SSL VPN的比較

IPSec VPN是應(yīng)用在兩個(gè)網(wǎng)站之間通過互聯(lián)網(wǎng)的安全連接，以及兩臺(tái)服務(wù)器之間的安全連接，其協(xié)議工作在網(wǎng)絡(luò)層，不僅所有網(wǎng)絡(luò)通道都是加密的，而且在用戶訪問所有企業(yè)資源時(shí)，就像采用專線方式與企業(yè)網(wǎng)絡(luò)直接物理連接一樣。

IPSec VPN在傳輸層之下，它是與應(yīng)用無關(guān)的技術(shù)，對(duì)于應(yīng)用程序來說是透明的。當(dāng)在路由器或防火墻上安裝IPSec VPN時(shí)，只需要對(duì)相應(yīng)的硬件進(jìn)行配置，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置，當(dāng)網(wǎng)絡(luò)硬件之間建立了IPSec VPN通道后，所在的局域網(wǎng)就建立了像采用專線方式與企業(yè)網(wǎng)絡(luò)直接物理連接一樣安全互聯(lián)，在局域網(wǎng)中的所有設(shè)備也可以直接連接。如圖1所示。

圖1 IPSec VPN組網(wǎng)結(jié)構(gòu)示例圖

IPSec VPN最大的難點(diǎn)在于，由于IPSec VPN客戶端的存在，限制了VPN組網(wǎng)的靈活性，在沒有安裝IPSec客戶端的系統(tǒng)中，遠(yuǎn)程用戶不能通過網(wǎng)絡(luò)進(jìn)行VPN連接。這就意味著對(duì)于辦公地點(diǎn)經(jīng)常變動(dòng)的用戶，當(dāng)他們想從家里的計(jì)算機(jī)或者任何其他非本人的計(jì)算機(jī)上訪問公司的資源時(shí)，將不能訪問。

而SSL VPN，公認(rèn)的好處就是SSL安裝簡(jiǎn)單，它不需要配置，可以立即安裝、立即生效。與復(fù)雜的IPSec VPN相比，SSL VPN不需要為每一臺(tái)客戶機(jī)安裝客戶端程序，任何安裝瀏覽器的機(jī)器都可以使用SSL VPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，因此不需要專門的技術(shù)支持就可以隨時(shí)隨地從支持SSL協(xié)議的瀏覽器安全地訪問應(yīng)用程序，最大程度降低了系統(tǒng)部署成本，并且各個(gè)操作系統(tǒng)都能支持。如圖2所示。

SSL的不足是必須依靠因特網(wǎng)進(jìn)行訪問，為了通過SSL VPN進(jìn)行遠(yuǎn)程工作，當(dāng)前必須與因特網(wǎng)保持連通性。因?yàn)?，此時(shí)Web瀏覽器實(shí)質(zhì)上是扮演客戶服務(wù)器的角色，遠(yuǎn)程用戶的Web瀏覽器依靠公司的服務(wù)器進(jìn)行。正因如此，如果因特網(wǎng)沒有連通，遠(yuǎn)程用戶就不能與總部網(wǎng)絡(luò)進(jìn)行連接，只能單獨(dú)工作。并且，大多數(shù)基于SSL的VPN都是基于Web瀏覽器工作的，遠(yuǎn)程用戶不能在操作系統(tǒng)上進(jìn)行非基于Web界面的應(yīng)用。

圖2 SSL VPN組網(wǎng)結(jié)構(gòu)示例圖

3 SSL VPN和IPSec VPN在應(yīng)用方面的互補(bǔ)

對(duì)于局域網(wǎng)間互相連接所需要的直接訪問網(wǎng)絡(luò)功能而言，IPSec VPN的優(yōu)勢(shì)無可比擬。然而，典型的SSL VPN卻是最適合于遠(yuǎn)程訪問基于Web的應(yīng)用，對(duì)于更全面的、面向基于瀏覽器應(yīng)用的訪問，SSL VPN無疑是首選。

為了便于用戶既能很好地實(shí)現(xiàn)網(wǎng)間互聯(lián)又能便捷地使用移動(dòng)辦公，最好的方案是集IPSec VPN和SSL VPN之所長(zhǎng)于一體的VPN。企業(yè)在集控中心和各個(gè)光伏電場(chǎng)之間通過IPSec VPN進(jìn)行連接，這樣可以把集控中心和各光伏電場(chǎng)包括在一個(gè)虛擬的局域網(wǎng)中，從而為移動(dòng)辦公人員提供SSL VPN的接入服務(wù)。充分利用IPSec VPN于與SSL VPN的互補(bǔ)性，使整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)更加合理。

4 光伏集控/遠(yuǎn)程監(jiān)控系統(tǒng)簡(jiǎn)介

光伏遠(yuǎn)程集中控制系統(tǒng)所轄光伏電站地理分布廣闊，是一個(gè)跨地區(qū)、多業(yè)務(wù)的大型自動(dòng)化系統(tǒng)，采用分層分布的體系結(jié)構(gòu)，整個(gè)自動(dòng)化系統(tǒng)分為兩層：廠站監(jiān)控層和集中監(jiān)控層。

4.1 設(shè)計(jì)目標(biāo)和模塊劃分

廠站監(jiān)控層設(shè)在各個(gè)光伏電站內(nèi)，對(duì)光伏電站的所有設(shè)備進(jìn)行監(jiān)控，在各光伏電站配置通信網(wǎng)關(guān)機(jī)，用來采集光伏電站內(nèi)所有設(shè)備的信息，包括逆變器、匯流箱、箱變測(cè)控、升壓站電氣設(shè)備、電能計(jì)量系統(tǒng)、功率預(yù)測(cè)系統(tǒng)等，并執(zhí)行集中監(jiān)控層對(duì)光伏電站設(shè)備的控制指令，以實(shí)現(xiàn)統(tǒng)一管理，實(shí)現(xiàn)全部光伏電站運(yùn)行的監(jiān)視、控制、管理、統(tǒng)計(jì)、分析等功能。

4.2 設(shè)計(jì)目標(biāo)和模塊劃分

集中監(jiān)控層設(shè)立在公司集控室，負(fù)責(zé)對(duì)所轄光伏電站進(jìn)行集中監(jiān)控、管理，運(yùn)行人員在集中監(jiān)控層上可實(shí)現(xiàn)對(duì)接入的光伏電站的遠(yuǎn)程集中監(jiān)視和控制，并負(fù)責(zé)所有光伏電站的設(shè)備管理、運(yùn)營(yíng)優(yōu)化、安排檢修和維護(hù)工作，對(duì)于異常情況通過遠(yuǎn)程操作進(jìn)行控制，進(jìn)一步優(yōu)化運(yùn)行，使發(fā)電效率最大化。集中監(jiān)控層系統(tǒng)同時(shí)還兼作光伏電站監(jiān)控系統(tǒng)的上位機(jī)，負(fù)責(zé)對(duì)光伏電站的主要電氣設(shè)備進(jìn)行控制，并對(duì)所有電氣設(shè)備的運(yùn)行情況進(jìn)行全面監(jiān)視。集中監(jiān)控層系統(tǒng)還具備公網(wǎng)接口，滿足移動(dòng)辦公等需求。

5 系統(tǒng)整體方案設(shè)計(jì)

5.1 系統(tǒng)方案選擇

光伏遠(yuǎn)程集中控制系統(tǒng)的設(shè)計(jì)綜合采用SSL VPN及IPSec VPN方案。使用標(biāo)準(zhǔn)的SSL協(xié)議，使移動(dòng)客戶端在任何網(wǎng)絡(luò)環(huán)境下都可以很便捷地接入VPN網(wǎng)絡(luò)，避免網(wǎng)絡(luò)兼容性帶來的麻煩；同時(shí)，IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，是實(shí)現(xiàn)多個(gè)專用網(wǎng)安全連接的最佳選擇。

SSL VPN不需要安裝客戶端程序，遠(yuǎn)程用戶可以隨時(shí)隨地從任何瀏覽器上安全地接入內(nèi)部網(wǎng)絡(luò)，降低維護(hù)客戶端的成本，方便管理人員隨時(shí)隨地通過各種移動(dòng)終端查看各個(gè)電站發(fā)電量等信息。

通過IPSEC VPN可以在遠(yuǎn)程集控中心和各光伏電站之間建立一個(gè)虛擬的加密隧道，利用該加密隧道，一方面可以實(shí)現(xiàn)光伏電站數(shù)據(jù)在互聯(lián)網(wǎng)上的安全傳輸，另一方面可以將遠(yuǎn)程集控中心的計(jì)算機(jī)同光伏電站的計(jì)算機(jī)組建一個(gè)虛擬的局域網(wǎng)。

5.2 系統(tǒng)方案規(guī)劃

遠(yuǎn)程集控中心和各光伏電站采用靜態(tài)的公網(wǎng)IP地址（如VPN設(shè)備支持動(dòng)態(tài)VPN可不要求靜態(tài)IP）連接到Internet網(wǎng)，遠(yuǎn)程集控中心采用一臺(tái)中心VPN設(shè)備，采用IPSec技術(shù)在VPN中心網(wǎng)關(guān)上建立與各個(gè)光伏電站相關(guān)的VPN隧道和訪問規(guī)則，同時(shí)各個(gè)光伏電站的VPN設(shè)備上也建立相應(yīng)的VPN隧道和相同的訪問規(guī)則，這樣遠(yuǎn)程集控中心和各個(gè)光伏電站之間就通過建立的VPN廣域網(wǎng)網(wǎng)絡(luò)實(shí)現(xiàn)了互聯(lián)［1］。組網(wǎng)方式如下所述：①遠(yuǎn)程集控中心的Internet出口處作為VPN中心網(wǎng)關(guān)，通過控制軟件、路由設(shè)置和安全訪問設(shè)置來實(shí)現(xiàn)VPN隧道通信功能；②各個(gè)光伏電站VPN與遠(yuǎn)程集控中心的VPN中心網(wǎng)關(guān)建立隧道，上傳遙信、遙測(cè)、遙脈等信息。

5.3 系統(tǒng)方案詳細(xì)設(shè)計(jì)

系統(tǒng)的整體網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。每個(gè)光伏電站配置數(shù)據(jù)轉(zhuǎn)發(fā)裝置、VPN設(shè)備、防火墻等設(shè)備。如防火墻已集成VPN功能可以不單獨(dú)配置專用VPN設(shè)備。

每個(gè)光伏電站通過數(shù)據(jù)轉(zhuǎn)發(fā)裝置采集全站遙信、遙測(cè)、遙脈等數(shù)據(jù)，并提供轉(zhuǎn)發(fā)功能，轉(zhuǎn)出支持多種串口規(guī)約（IEC60870-5-101規(guī)約、CDT規(guī)約等）及以太網(wǎng)規(guī)約（IEC60870-5-104規(guī)約等），通常采用以太網(wǎng)規(guī)約轉(zhuǎn)出方式（如采用串口方式，需增加數(shù)據(jù)服務(wù)器將串口規(guī)約轉(zhuǎn)換為以太網(wǎng)方式）。

各光伏電站的數(shù)據(jù)轉(zhuǎn)發(fā)裝置直接通過網(wǎng)口與VPN設(shè)備或防火墻內(nèi)網(wǎng)口LAN相連，防火墻外網(wǎng)口WAN直接接入Internet互聯(lián)網(wǎng)。遠(yuǎn)程集控中心同樣配置VPN設(shè)備或防火墻，該集控中心VPN設(shè)備需支持不少于光伏電站數(shù)目的客戶分支（隧道數(shù)目），并滿足未來擴(kuò)展需要。部署的VPN或防火墻同樣是外網(wǎng)口WAN直接接入Internet互聯(lián)網(wǎng)，內(nèi)網(wǎng)口下連交換機(jī)，通過配置VPN設(shè)備實(shí)現(xiàn)各局域網(wǎng)建立IPSec VPN隧道。如果光伏電站不能支持靜態(tài)IP連接到公共網(wǎng)絡(luò)，則采用支持動(dòng)態(tài)VPN的設(shè)備，通過中心VPN設(shè)備利用動(dòng)態(tài)尋址技術(shù)，在分支外網(wǎng)IP變化的情況下，建立動(dòng)態(tài)IPSec VPN隧道。

圖3 系統(tǒng)整體網(wǎng)絡(luò)結(jié)構(gòu)圖

通過集控中心VPN設(shè)備下連接的交換機(jī)，集控中心可以獲取整個(gè)光伏電站全部數(shù)據(jù)，實(shí)現(xiàn)集控中心實(shí)時(shí)連接各分支光伏電站，進(jìn)行實(shí)時(shí)觀測(cè)生產(chǎn)數(shù)據(jù)、分析生產(chǎn)數(shù)據(jù)、控制光伏電站設(shè)備、查詢實(shí)時(shí)及歷史告警。同時(shí)，在集控中心部署Web服務(wù)器，把集控中心所采集到的數(shù)據(jù)及分析結(jié)果實(shí)時(shí)更新到Web服務(wù)器上，移動(dòng)辦公人員可以通過SSL VPN與集控中心的Web服務(wù)器進(jìn)行安全會(huì)話，實(shí)時(shí)瀏覽生產(chǎn)數(shù)據(jù)。

6 結(jié)語

通過VPN技術(shù)實(shí)現(xiàn)光伏集控，最大程度地節(jié)約投資成本和運(yùn)維成本。其中，IPSec VPN是目前構(gòu)建VPN主要的成熟技術(shù)，IPSec VPN提供了站與站之間的安全連接。SSL VPN是最新的VPN技術(shù)，面向Web應(yīng)用提供安全的訪問方式。通過集IPSec VPN和SSL VPN的技術(shù)優(yōu)勢(shì)設(shè)計(jì)的系統(tǒng)，既滿足了光伏企業(yè)遠(yuǎn)程監(jiān)控的需求，又滿足光伏企業(yè)移動(dòng)辦公的靈活性。

［1］劉洋.IPSec VPN和SSL VPN的分析比較［J］.電腦知識(shí)與技術(shù)，2009（4）：825-827.

Based on VPN to Realize RemoteMonitoring andControl System of Solar

Zhao YiZhang Zhenhua Feng Lihu Chen Ganjie Liang Shuang
（State Grid Xuji Group Corporation，Xuchang Henan 461000）

This paper introduced two kinds of popular VPN technologies:IPSec and SSL VPN.According to the advantages and disadvantages of each kind,give a systematic solution that combined the advantages of the two kinds,so as to ensure the photovoltaic enterprises to manage the photovoltaic power station,such as remote-monitoring,control,and maintenance.

VPN；IPSec；SSL；photovoltaic centralized control

TM614

A

1003-5168（2017）07-0021-03

2017-06-02

國(guó)家電網(wǎng)公司科技項(xiàng)目【2016】。

趙毅（1989-），男，本科，助理工程師，研究方向：繼電保護(hù)及自動(dòng)化產(chǎn)品的設(shè)計(jì)及研發(fā)；張振華（1967-），男，碩士，高級(jí)工程師，研究方向：電力系統(tǒng)自動(dòng)化、繼電保護(hù)等；馮利虎（1982-），男，碩士，工程師，研究方向：電力系統(tǒng)通信、電力系統(tǒng)規(guī)約和電力系統(tǒng)軟件；陳干杰（1980-），男，碩士，工程師，研究方向：電力系統(tǒng)自動(dòng)化、繼電保護(hù)等。