[发明专利]一种智能变电站中安全接入方法

说明书

技术领域

本发明属于电力通信系统，具体讲涉及一种智能变电站中安全接入方法。

背景技术

以全站信息数字化、通信平台网络化为主要特点的智能变电站一般采用IEC61850提出的信息分层的方法将变电站自动化系统分为站控层、间隔层和过程层。过程层主要完成模拟量的采样、开关量输入输出、操作控制命令的发送等与一次设备相关的功能，间隔层汇总过程层的实时数据，接收站控层的命令并向过程层发送命令。

站控层是全站的监控管理中心，提供人机界面，实现对间隔层的管理控制，并通过电力数据网与调度中心或集控中心通信。在智能变电站中，过程层网络或者站控层网络中智能设备一般都设计在固定的交换机端口上，例如在过程层网络中，合并单元或者智能终端在交换机如果接错端口，接到另外的VLAN内的话，可能会造成比较严重的后果，所以要确保装置接入的正确性。同时，为了防止其它非法装置的接入，以免对网络的非法入侵，要对交换机端口的使用要加以限制。在智能变电站中的通信网络中最重要的通信装置为以太网交换机，智能设备接入交换机后，交换机会通过设备发送的报文进行地址学习，并将设备的地址记录在交换机的MAC地址表中，通过动态学习得到的MAC地址表会随着老化或者设备连接端口的变化而变化，可以通过添加静态MAC地址将设备的MAC地址限定在某一端口上，使得设备只能通过此端口通信，如果进一步关闭该端口的学习能力，关闭交换机上的未知报文的泛洪，其他装置即使接到该端口上也无法进行通信。

发明内容

针对现有技术的不足，本发明提出一种智能变电站内智能设备安全接入网络的方法，采用限制智能变电站内智能设备接入以太网交换机端口的方式，限制网络报文在交换机内转发功能。通过对以太网交换机的MAC地址表中添加记录，记录静态的智能设备MAC地址与交换机端口的映射关系，同时，对连接智能设备的交换机端口的学习能力进行限制，这样设计之后，智能设备只能在限定的端口上通信，而其它设备在此端口上也无法进行通信。对于级联交换机的情况下，将此台交换机各个装置的MAC地址添加到远端级联的交换机的地址表中，对应端口为远端交换机的级联端口，同时限制该级联端口的学习能力，并关闭交换机上未知报文的泛洪。这样可以保障所有报文都从级联端口进入远端交换机，在装置接入错误的情况下可以快速定位。

本发明的目的是采用下述技术方案实现的：

一种智能变电站中安全接入方法，其改进之处在于，所述方法包括：

（1）确定交换机A上连接的设备；

（2）记录交换机A上设备的MAC地址；

（3）交换机A上添加静态MAC地址；

（4）关闭交换机A上设备的地址学习能力；

（5）关闭交换机A未知报文的泛洪能力；

（6）交换机B上port_b添加静态MAC。

优选的，所述步骤（2）包括通过网络设计清单或者通过智能设备自身查找每个智能设备的MAC地址表，记录下该智能设备所连接的交换机端口号，形成一张MAC地址与端口号的映射表。

优选的，所述步骤（6）包括将交换机A上设备的MAC地址添加到级联的交换机B的MAC地址表中，对应端口为port_b。

优选的，所述方法包括两台级联的交换机为A和B；

交换机为A端口为port_a，交换机为B端口为port_b。

优选的，所述方法包括将交换机B做相同设置，将交换机B上的智能设备的MAC地址添加到交换机A上，对应端口为port_a。

优选的，所述方法包括级联多台交换机，可以做类似配置。

与现有技术比，本发明的有益效果为：

1、采用添加静态MAC地址到交换机的地址表中，这样就不需要交换机学习终端装置的MAC地址，而且MAC地址不会老化，终端装置从固定的端口接收数据，从而限定智能设备的接入端口，防止智能设备接错网络交换机的端口。

2、采用关闭端口的学习能力及关闭未知报文的泛洪功能，防止非法装置的非法接入，即使接入交换机也不会学习其地址，这样地址表中不会存在其MAC，而且没有报文的泛洪的情况下，该装置不会与其他装置通信，确保网络不受入侵。

3、采用对级联交换机的地址表添加静态MAC，对级联端的终端装置的地址不需再学习，可以关闭级联端口的学习能力，确保整个网络的接入安全。

4、该发明方案可以延伸到多台交换机级联的情况，对整个网络上的的所有交换机做类似的管理配置，添加静态地址，关闭学习能力及泛洪能力，可以保障整个变电站网络的接入安全。

附图说明