技術領域

本發明屬于電力通信系統，具體講涉及一種智能變電站中安全接入方法。

背景技術

以全站信息數字化、通信平臺網絡化為主要特點的智能變電站一般采用IEC61850提出的信息分層的方法將變電站自動化系統分為站控層、間隔層和過程層。過程層主要完成模擬量的采樣、開關量輸入輸出、操作控制命令的發送等與一次設備相關的功能，間隔層匯總過程層的實時數據，接收站控層的命令并向過程層發送命令。

站控層是全站的監控管理中心，提供人機界面，實現對間隔層的管理控制，并通過電力數據網與調度中心或集控中心通信。在智能變電站中，過程層網絡或者站控層網絡中智能設備一般都設計在固定的交換機端口上，例如在過程層網絡中，合并單元或者智能終端在交換機如果接錯端口，接到另外的VLAN內的話，可能會造成比較嚴重的后果，所以要確保裝置接入的正確性。同時，為了防止其它非法裝置的接入，以免對網絡的非法入侵，要對交換機端口的使用要加以限制。在智能變電站中的通信網絡中最重要的通信裝置為以太網交換機，智能設備接入交換機后，交換機會通過設備發送的報文進行地址學習，并將設備的地址記錄在交換機的MAC地址表中，通過動態學習得到的MAC地址表會隨著老化或者設備連接端口的變化而變化，可以通過添加靜態MAC地址將設備的MAC地址限定在某一端口上，使得設備只能通過此端口通信，如果進一步關閉該端口的學習能力，關閉交換機上的未知報文的泛洪，其他裝置即使接到該端口上也無法進行通信。

發明內容

針對現有技術的不足，本發明提出一種智能變電站內智能設備安全接入網絡的方法，采用限制智能變電站內智能設備接入以太網交換機端口的方式，限制網絡報文在交換機內轉發功能。通過對以太網交換機的MAC地址表中添加記錄，記錄靜態的智能設備MAC地址與交換機端口的映射關系，同時，對連接智能設備的交換機端口的學習能力進行限制，這樣設計之后，智能設備只能在限定的端口上通信，而其它設備在此端口上也無法進行通信。對于級聯交換機的情況下，將此臺交換機各個裝置的MAC地址添加到遠端級聯的交換機的地址表中，對應端口為遠端交換機的級聯端口，同時限制該級聯端口的學習能力，并關閉交換機上未知報文的泛洪。這樣可以保障所有報文都從級聯端口進入遠端交換機，在裝置接入錯誤的情況下可以快速定位。

本發明的目的是采用下述技術方案實現的：

一種智能變電站中安全接入方法，其改進之處在于，所述方法包括：

（1）確定交換機A上連接的設備；

（2）記錄交換機A上設備的MAC地址；

（3）交換機A上添加靜態MAC地址；

（4）關閉交換機A上設備的地址學習能力；

（5）關閉交換機A未知報文的泛洪能力；

（6）交換機B上port_b添加靜態MAC。

優選的，所述步驟（2）包括通過網絡設計清單或者通過智能設備自身查找每個智能設備的MAC地址表，記錄下該智能設備所連接的交換機端口號，形成一張MAC地址與端口號的映射表。

優選的，所述步驟（6）包括將交換機A上設備的MAC地址添加到級聯的交換機B的MAC地址表中，對應端口為port_b。

優選的，所述方法包括兩臺級聯的交換機為A和B；

交換機為A端口為port_a，交換機為B端口為port_b。

優選的，所述方法包括將交換機B做相同設置，將交換機B上的智能設備的MAC地址添加到交換機A上，對應端口為port_a。

優選的，所述方法包括級聯多臺交換機，可以做類似配置。

與現有技術比，本發明的有益效果為：

1、采用添加靜態MAC地址到交換機的地址表中，這樣就不需要交換機學習終端裝置的MAC地址，而且MAC地址不會老化，終端裝置從固定的端口接收數據，從而限定智能設備的接入端口，防止智能設備接錯網絡交換機的端口。

2、采用關閉端口的學習能力及關閉未知報文的泛洪功能，防止非法裝置的非法接入，即使接入交換機也不會學習其地址，這樣地址表中不會存在其MAC，而且沒有報文的泛洪的情況下，該裝置不會與其他裝置通信，確保網絡不受入侵。

3、采用對級聯交換機的地址表添加靜態MAC，對級聯端的終端裝置的地址不需再學習，可以關閉級聯端口的學習能力，確保整個網絡的接入安全。

4、該發明方案可以延伸到多臺交換機級聯的情況，對整個網絡上的的所有交換機做類似的管理配置，添加靜態地址，關閉學習能力及泛洪能力，可以保障整個變電站網絡的接入安全。

附圖說明