苏州市西塘河引水工程监控系统网络设计
1.工程概况
西塘河引水工程是为改善苏州环城河水质服务的专项引水工程,全长18公里,沿线建有一座泵站、7座套闸、11座节制闸和4座自动水质监测站。工程建立了计算机监控系统,用来对闸站进行控制和监视,实现水质自动在线监测,建立信息数据库,为苏州市的水利计算机信息化提供基础信息。系统由计算机集控及信息管理中心、计算机现地监控、视频安保、水位及水质测量、光纤快速网络等几个子系统。
系统采集整个工程的各种信息,形成数据库,包括泵站、套闸、节制闸的实时信息,监控对象的各种历史数据,视频安保系统的报警信息,水位及水质的各种数据,工程概貌以及管理的各种行政信息等等;对各现地闸门进行远方监视及控制,根据视频图像可以验证操作的正确性;根据历史数据和水位信息可对工程的运行工况进行优化和综合调度;根据水质信息,可及时掌握水质的变化规律,以便采取措施保证水质的优良率;根据视频安保信息可以及时了解管理范围内现场的实际情况,在有人闯入时及时提醒值班人员。
2.网络设计原则与要求
2.1网络设计原则
网络设计从系统的先进性、实用性、开放性、扩展性和经济性等原则出发,做到既能满足现实应用,又考虑发展能保护投资。网络应能挂接各种类型的计算机,现有的与将来要添置的大中小型主机、微机、服务器、工作站都能进网,网络应能独立于所连接的计算机等设备,结构、类型与连接的计算机无关。
2.2 网络总体要求
可靠:网络应采用层次式星形结构或环网结构,不会因为一个节点的故障而使整个网络瘫痪。网络设备的平均无故障时间MTBF需要达到10万至100万小时。
方便:网络设备外部的使用接口应是即插即用。网络应有虚拟网络功能,即用户不用改变网络的物理结构,就可随意改变网络的逻辑拓扑结构,调整实际配置,重新安排网络上的信息流交通。
速度:随着网络的扩展,节点数不断增加,网络上的交通负载会加重,因此在建网时需要考虑提高网络的速度,采用高速度的网络规程和品质优良的交换机(switch),采用网络分流减轻网络负载。把一个大网划分成既独立又互联的若干个网络段,使网络上的交通合理分流。在一个网络段中,局部的交通只在本段内流动,只有发给其它网络段的信息才发送给其它网络段。
3.网络结构设计
3.1 网络拓扑结构
西塘河引水工程的监控点分布在狭长河道的两岸,采用光纤干线环型网络可实现网络的冗余,即任意一个环网交换机都有两个连接主干网络的线路。在网络环上的任何一个接点断开,不会影响网络的正常工作,可靠性较高。信息中心及各分站使用环网式交换机,环网交换机具有干线网络光纤进出接口,可以用光缆联成一个封闭的网络环,环网络交换机本身具有24个10/100M的自适应接口,用以接入现地设备或网络,即现地网络为星型拓扑结构。
3.2 网络系统选型
目前各种流行的网络协议中,可以作为高速率主干网的技术有:光纤分布式环网(FDDI)、快速以太网&千兆以太网和异步传输模式(ATM)。快速以太网是近年来出现的高速网技术,它是以以太网技术为基础升级发展而来的。由于快速以太网采用与现有以太网同样的传输协议和数据帧格式,同时在结构化布线方面又支持同样的标准,因此通过对西塘河引水工程网络需求和应用的分析,西塘河引水工程网络系统采用快速以太网技术和有关设备,一方面以满足目前网络应用的需求,另一方面将来能平滑地升级更高速的网络主干。
3.3网络连接
3.3.1环网连接
以裴家圩为中心,分南北2个环网。在裴家圩中心,选用思科公司生产的WS-C3750G-24T-S以太网交换机主机(24个10/100/1000M),建成以千兆以太主干网。在各分站,环网交换机选用思科公司生产的WS-C2950G-24-EI以太网交换机主机(24个10/100M,2个GBIC槽)配上2块WS-G5486千兆单模光接口模块。
考虑到计算机网络的速度向千兆以太网发展,布线系统的信息节点全部为光节点,可升级和扩展,各网络终端出口采用国际标准的RJ45插座,以统一的线路规格和设备接口,使任意信息点都能插接不同类型的终端设备。
3.3.2 计算机监控及图像监控的网络连接
信息中心的服务器、工作站经五类线与信息中心的环网交换机相连,各分站视频现地处理器和具有以太网接口的PLC,经五类线引至现地环网交换机。对闸首与闸尾之间距离超过100米的潘阳、黄花泾船闸采用光纤连接,闸首闸尾配置1对光电转换器,闸尾配置1台8口集线器。这样,所有设备均挂接在快速以太网上。
3.3.3 泵站测量系统网络连接
裴家圩泵站装有5台高压电机,包括一座10KV户内变电所,电量及温度数据采集量较大,如果采用PLC模块来采集,设备的成本较高。设计时温度采用3台巡检仪进行测量,电量测量采用测量与保护一体化的继电保护装置,二者均为RS-485/232通信标准。为保证数据通信的速度与可靠性,温度巡检仪与保护单元不直接与工作站串口相连,而是通过2只NPort 5230 通用2串口设备联网服务器(485/ET转换器)与交换机相连。3台温度巡检仪与7套保护单元分别以485/ET转换器为中心组成一个485网络。
3.3.4 局域网与广域网的连接
西塘河的局域网系统通过思科的pix515E防火墙和2620xm路由器与广域网(internet)相连,这样既保证了网络连接的高速性又保证了内部网络的安全性,工作人员从外网可通过防火墙的vpn功能能访问本系统的工作站或服务器,广域网接入点为信息中心的3750交换机。
4. 网络系统安全措施
4.1网络系统安全
(1)西塘河信息管理系统基本安全主要包括网络的正常运行、网络管理、数据库资料不被窃取、对用户帐号和口令进行集中管理、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效安全的内外通讯服务等。
(2)控制查询系统是西塘河信息管理系统网络应用的核心,应该具有最高的网络安全措施,主要包括:访问控制,确保系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;入侵检测,对于试图破坏系统的恶意行为能够及时发现、记录和跟踪;系统服务器、客户机以及电子邮件系统的综合防病毒措施等。
4.2网络安全措施
网络安全是网络方案一个非常重要的内容,主要控制用户在网络的TCP/IP及以下层次上与系统中允许访问的节点,在指定的TCP或UDP端口上进行通信。西塘河信息管理系统,通过网络设备安全、网络数据流控制和网络防病毒安全三个方面来实现网络系统的安全。
4.2.1网络设备安全
西塘河信息管理系统中有防火墙、交换机、路由器、访问服务器和外部设备等,设备安全措施包括console端口和Telnet访问限制、SNMP访问与CDP设备发现限制、配置文件保护等,具体实施内容包括:
在设备上设定用户和口令,控制非特权方式和特权方式的访问权,并且通过设定口令的加密钥和网络设备的单向加密机制,使用权口令在配置中以加密方式出现,保证口令的安全性;
设定访问空间时限,如果管理员在设定的一段时间不向设备发送指令,路由器等设备将自动终止访问连接;
在设备上配置访问控制表,内部网络上只有维护工作站和网管工作站可以登录网络设备,同时限制所有来自Internet的用户对设备本身的访问;在内部网络上只有网管工作站可以使用SNMP访问;
除了Telnet服务外,在设备上取消全部IP服务器功能;
利用访问控制表的LOG功能,定期检查是否有人试图攻击路由器和防火墙等;在与外部网络连接的广域网端口上,不运行CDP协议。
4.2.2网络数据流的控制
通过控制电话的主叫号码\数据流的源和目的IP地址、数据流对应的TCP端口,实现网络数据流的控制,具体措施包括:
在路由器上,采用CHAP、PAP协议验证对方路由器,设定扩展的IP访问控制表,实现IP层、传输层的安全控制;对访问服务器的拔号设备和移动用户的访问,通过设置限制拔号的主叫号码,只有合法的ISDN或PSTN号码可以拔入到服务器上;
采用防火墙将内部网络和外部网络完全分隔开来,严格控制外部的黑客侵犯内部网络;在路由器上设置限制服务器名字、路由表的广播;在内部网的路由器上取消代理ARP、移动IP主机等功能;在端口上设定数据流过滤,防止内部的IP地址欺骗;
对使服务失效的(Denial of Serve)拒绝服务攻击,在路由器、访问服务器上设置TCP拦截,防止恶意的攻击;
严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备;
通过按功能子系统和网络结构划分虚拟网络,通过路由器的访问控制表来控制对某个特定网络和主机的访问;
通过数据流的控制,使数据流沿着系统功能预定的方式流动,限制非法数据的流动。
4.2.3网络防病毒安全
西塘河信息管理系统是一个有多个网络入口的连接点的网络,病毒可以由软盘、U盘、光盘等传统介质进入,也可能由电子邮件、网络服务器等进入,还有可能从外部网络中通过文件传输等方式进入。所以在不仅在单机上要防毒,更要加强网络的整体防毒措施。西塘河信息管理系统选用国内知名的安全产品瑞星杀毒软件网络版,可实现远程化管理、自动化管理和智能化管理。
5.网络系统软件
5.1 网络软件
5.1.1 网络操作系统
网络操作系统是网络系统软件的核心,也是各个全局性应用系统的工作平台。数据服务器的操作系统选择符合开放系统标准,具有多任务优先处理能力,安全达到C2级标准的网络操作系统,并且保证各类控制器操作系统能够方便进行现场设备控制及数据采集的微机操作系统。根据西塘河网络及计算机系统的特点,本系统选用基于NT架构的Windows 2003标准中文版作为网络操作系统。
5.1.2 数据库
数据库系统的选择主要考虑数据库性能,对Client/Server结构和Browser/Server结构支持;数据库开放性,对异种数据库互访的支持;对异质网络和异质操作系统的支持;对移动计算和网络计算的支持;易安装与易维护。
数据库是整个系统的资料集中存储处,鉴于系统应用的实际情况,为了方便统一管理,整个系统选用SQL server 2000作为西塘河工程的数据库。
5.2 应用软件
西塘河信息管理系统应用软件主要由闸站监控子系统单元、视频监视子系统单元、WEB查询子系统单元和内部管理信息子系统单元构成。负责前端信息采集控制,如闸门监控、视频监视、水质监测;信息存贮、处理,如数据库管理、视频信息管理;网络服务,如网络查询、网络调度等。
水质站、闸门和泵站控制统一于组态软件Intouch,通过Intouch完成数据的采集、整理和入库;同时实施水质采集和闸站控制功能。WEB查询系统在监控子系统提供的工情、水情、水质信息的基础上完成信息的发布;视频监视子系统相对独立,但可通过视频控件,为闸门控制提供视频服务,实现WEB查询与视频监控系统的集成;达到数据、图像一体化显示的目的。
5.3 系统冗余备份
西塘河信息管理系统的计算机集控和视频监视均采用双工作站,Intouch控制软件具有双机热冗余功能。视频监视软件可以在多台计算机上同时运行,调看现场图像。
系统两台服务器采用SteelEye 公司的LifeKeeper软件对数据库实行双机热备份。LifeKeeper 是一种支持多种软、硬件平台的高性能容错软件,使服务器、操作系统、数据库系统以及关键的数据及应用程序保持连续不间断,适应各种机型、网络结构、软件平台及应用系统。运行时占用系统资源极少,不增加网络负荷,不影响其它应用系统的操作。采用纯软件方式实现双机容错,不用增加任何额外硬件投资,对备机无硬件配置要求。
5.4 内部管理网站
在上述网络环境基础上,利用WEB技术、基于Brower/Server结构,结合JAVA、数据库、网页制作、Flash、3D、多媒体等技术,建立一个网站,将工程介绍、公告信息、公文信息、通讯资料、工程行政管理信息等收集起来并合理分类,按系统或按工作流程进行系统开发,以服务于工程内部的信息管理。
西塘河引水工程是为改善苏州环城河水质服务的专项引水工程,全长18公里,沿线建有一座泵站、7座套闸、11座节制闸和4座自动水质监测站。工程建立了计算机监控系统,用来对闸站进行控制和监视,实现水质自动在线监测,建立信息数据库,为苏州市的水利计算机信息化提供基础信息。系统由计算机集控及信息管理中心、计算机现地监控、视频安保、水位及水质测量、光纤快速网络等几个子系统。
系统采集整个工程的各种信息,形成数据库,包括泵站、套闸、节制闸的实时信息,监控对象的各种历史数据,视频安保系统的报警信息,水位及水质的各种数据,工程概貌以及管理的各种行政信息等等;对各现地闸门进行远方监视及控制,根据视频图像可以验证操作的正确性;根据历史数据和水位信息可对工程的运行工况进行优化和综合调度;根据水质信息,可及时掌握水质的变化规律,以便采取措施保证水质的优良率;根据视频安保信息可以及时了解管理范围内现场的实际情况,在有人闯入时及时提醒值班人员。
2.网络设计原则与要求
2.1网络设计原则
网络设计从系统的先进性、实用性、开放性、扩展性和经济性等原则出发,做到既能满足现实应用,又考虑发展能保护投资。网络应能挂接各种类型的计算机,现有的与将来要添置的大中小型主机、微机、服务器、工作站都能进网,网络应能独立于所连接的计算机等设备,结构、类型与连接的计算机无关。
2.2 网络总体要求
可靠:网络应采用层次式星形结构或环网结构,不会因为一个节点的故障而使整个网络瘫痪。网络设备的平均无故障时间MTBF需要达到10万至100万小时。
方便:网络设备外部的使用接口应是即插即用。网络应有虚拟网络功能,即用户不用改变网络的物理结构,就可随意改变网络的逻辑拓扑结构,调整实际配置,重新安排网络上的信息流交通。
速度:随着网络的扩展,节点数不断增加,网络上的交通负载会加重,因此在建网时需要考虑提高网络的速度,采用高速度的网络规程和品质优良的交换机(switch),采用网络分流减轻网络负载。把一个大网划分成既独立又互联的若干个网络段,使网络上的交通合理分流。在一个网络段中,局部的交通只在本段内流动,只有发给其它网络段的信息才发送给其它网络段。
3.网络结构设计
3.1 网络拓扑结构
西塘河引水工程的监控点分布在狭长河道的两岸,采用光纤干线环型网络可实现网络的冗余,即任意一个环网交换机都有两个连接主干网络的线路。在网络环上的任何一个接点断开,不会影响网络的正常工作,可靠性较高。信息中心及各分站使用环网式交换机,环网交换机具有干线网络光纤进出接口,可以用光缆联成一个封闭的网络环,环网络交换机本身具有24个10/100M的自适应接口,用以接入现地设备或网络,即现地网络为星型拓扑结构。
3.2 网络系统选型
目前各种流行的网络协议中,可以作为高速率主干网的技术有:光纤分布式环网(FDDI)、快速以太网&千兆以太网和异步传输模式(ATM)。快速以太网是近年来出现的高速网技术,它是以以太网技术为基础升级发展而来的。由于快速以太网采用与现有以太网同样的传输协议和数据帧格式,同时在结构化布线方面又支持同样的标准,因此通过对西塘河引水工程网络需求和应用的分析,西塘河引水工程网络系统采用快速以太网技术和有关设备,一方面以满足目前网络应用的需求,另一方面将来能平滑地升级更高速的网络主干。
3.3网络连接
3.3.1环网连接
以裴家圩为中心,分南北2个环网。在裴家圩中心,选用思科公司生产的WS-C3750G-24T-S以太网交换机主机(24个10/100/1000M),建成以千兆以太主干网。在各分站,环网交换机选用思科公司生产的WS-C2950G-24-EI以太网交换机主机(24个10/100M,2个GBIC槽)配上2块WS-G5486千兆单模光接口模块。
考虑到计算机网络的速度向千兆以太网发展,布线系统的信息节点全部为光节点,可升级和扩展,各网络终端出口采用国际标准的RJ45插座,以统一的线路规格和设备接口,使任意信息点都能插接不同类型的终端设备。
3.3.2 计算机监控及图像监控的网络连接
信息中心的服务器、工作站经五类线与信息中心的环网交换机相连,各分站视频现地处理器和具有以太网接口的PLC,经五类线引至现地环网交换机。对闸首与闸尾之间距离超过100米的潘阳、黄花泾船闸采用光纤连接,闸首闸尾配置1对光电转换器,闸尾配置1台8口集线器。这样,所有设备均挂接在快速以太网上。
3.3.3 泵站测量系统网络连接
裴家圩泵站装有5台高压电机,包括一座10KV户内变电所,电量及温度数据采集量较大,如果采用PLC模块来采集,设备的成本较高。设计时温度采用3台巡检仪进行测量,电量测量采用测量与保护一体化的继电保护装置,二者均为RS-485/232通信标准。为保证数据通信的速度与可靠性,温度巡检仪与保护单元不直接与工作站串口相连,而是通过2只NPort 5230 通用2串口设备联网服务器(485/ET转换器)与交换机相连。3台温度巡检仪与7套保护单元分别以485/ET转换器为中心组成一个485网络。
3.3.4 局域网与广域网的连接
西塘河的局域网系统通过思科的pix515E防火墙和2620xm路由器与广域网(internet)相连,这样既保证了网络连接的高速性又保证了内部网络的安全性,工作人员从外网可通过防火墙的vpn功能能访问本系统的工作站或服务器,广域网接入点为信息中心的3750交换机。
4. 网络系统安全措施
4.1网络系统安全
(1)西塘河信息管理系统基本安全主要包括网络的正常运行、网络管理、数据库资料不被窃取、对用户帐号和口令进行集中管理、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效安全的内外通讯服务等。
(2)控制查询系统是西塘河信息管理系统网络应用的核心,应该具有最高的网络安全措施,主要包括:访问控制,确保系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;入侵检测,对于试图破坏系统的恶意行为能够及时发现、记录和跟踪;系统服务器、客户机以及电子邮件系统的综合防病毒措施等。
4.2网络安全措施
网络安全是网络方案一个非常重要的内容,主要控制用户在网络的TCP/IP及以下层次上与系统中允许访问的节点,在指定的TCP或UDP端口上进行通信。西塘河信息管理系统,通过网络设备安全、网络数据流控制和网络防病毒安全三个方面来实现网络系统的安全。
4.2.1网络设备安全
西塘河信息管理系统中有防火墙、交换机、路由器、访问服务器和外部设备等,设备安全措施包括console端口和Telnet访问限制、SNMP访问与CDP设备发现限制、配置文件保护等,具体实施内容包括:
在设备上设定用户和口令,控制非特权方式和特权方式的访问权,并且通过设定口令的加密钥和网络设备的单向加密机制,使用权口令在配置中以加密方式出现,保证口令的安全性;
设定访问空间时限,如果管理员在设定的一段时间不向设备发送指令,路由器等设备将自动终止访问连接;
在设备上配置访问控制表,内部网络上只有维护工作站和网管工作站可以登录网络设备,同时限制所有来自Internet的用户对设备本身的访问;在内部网络上只有网管工作站可以使用SNMP访问;
除了Telnet服务外,在设备上取消全部IP服务器功能;
利用访问控制表的LOG功能,定期检查是否有人试图攻击路由器和防火墙等;在与外部网络连接的广域网端口上,不运行CDP协议。
4.2.2网络数据流的控制
通过控制电话的主叫号码\数据流的源和目的IP地址、数据流对应的TCP端口,实现网络数据流的控制,具体措施包括:
在路由器上,采用CHAP、PAP协议验证对方路由器,设定扩展的IP访问控制表,实现IP层、传输层的安全控制;对访问服务器的拔号设备和移动用户的访问,通过设置限制拔号的主叫号码,只有合法的ISDN或PSTN号码可以拔入到服务器上;
采用防火墙将内部网络和外部网络完全分隔开来,严格控制外部的黑客侵犯内部网络;在路由器上设置限制服务器名字、路由表的广播;在内部网的路由器上取消代理ARP、移动IP主机等功能;在端口上设定数据流过滤,防止内部的IP地址欺骗;
对使服务失效的(Denial of Serve)拒绝服务攻击,在路由器、访问服务器上设置TCP拦截,防止恶意的攻击;
严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备;
通过按功能子系统和网络结构划分虚拟网络,通过路由器的访问控制表来控制对某个特定网络和主机的访问;
通过数据流的控制,使数据流沿着系统功能预定的方式流动,限制非法数据的流动。
4.2.3网络防病毒安全
西塘河信息管理系统是一个有多个网络入口的连接点的网络,病毒可以由软盘、U盘、光盘等传统介质进入,也可能由电子邮件、网络服务器等进入,还有可能从外部网络中通过文件传输等方式进入。所以在不仅在单机上要防毒,更要加强网络的整体防毒措施。西塘河信息管理系统选用国内知名的安全产品瑞星杀毒软件网络版,可实现远程化管理、自动化管理和智能化管理。
5.网络系统软件
5.1 网络软件
5.1.1 网络操作系统
网络操作系统是网络系统软件的核心,也是各个全局性应用系统的工作平台。数据服务器的操作系统选择符合开放系统标准,具有多任务优先处理能力,安全达到C2级标准的网络操作系统,并且保证各类控制器操作系统能够方便进行现场设备控制及数据采集的微机操作系统。根据西塘河网络及计算机系统的特点,本系统选用基于NT架构的Windows 2003标准中文版作为网络操作系统。
5.1.2 数据库
数据库系统的选择主要考虑数据库性能,对Client/Server结构和Browser/Server结构支持;数据库开放性,对异种数据库互访的支持;对异质网络和异质操作系统的支持;对移动计算和网络计算的支持;易安装与易维护。
数据库是整个系统的资料集中存储处,鉴于系统应用的实际情况,为了方便统一管理,整个系统选用SQL server 2000作为西塘河工程的数据库。
5.2 应用软件
西塘河信息管理系统应用软件主要由闸站监控子系统单元、视频监视子系统单元、WEB查询子系统单元和内部管理信息子系统单元构成。负责前端信息采集控制,如闸门监控、视频监视、水质监测;信息存贮、处理,如数据库管理、视频信息管理;网络服务,如网络查询、网络调度等。
水质站、闸门和泵站控制统一于组态软件Intouch,通过Intouch完成数据的采集、整理和入库;同时实施水质采集和闸站控制功能。WEB查询系统在监控子系统提供的工情、水情、水质信息的基础上完成信息的发布;视频监视子系统相对独立,但可通过视频控件,为闸门控制提供视频服务,实现WEB查询与视频监控系统的集成;达到数据、图像一体化显示的目的。
5.3 系统冗余备份
西塘河信息管理系统的计算机集控和视频监视均采用双工作站,Intouch控制软件具有双机热冗余功能。视频监视软件可以在多台计算机上同时运行,调看现场图像。
系统两台服务器采用SteelEye 公司的LifeKeeper软件对数据库实行双机热备份。LifeKeeper 是一种支持多种软、硬件平台的高性能容错软件,使服务器、操作系统、数据库系统以及关键的数据及应用程序保持连续不间断,适应各种机型、网络结构、软件平台及应用系统。运行时占用系统资源极少,不增加网络负荷,不影响其它应用系统的操作。采用纯软件方式实现双机容错,不用增加任何额外硬件投资,对备机无硬件配置要求。
5.4 内部管理网站
在上述网络环境基础上,利用WEB技术、基于Brower/Server结构,结合JAVA、数据库、网页制作、Flash、3D、多媒体等技术,建立一个网站,将工程介绍、公告信息、公文信息、通讯资料、工程行政管理信息等收集起来并合理分类,按系统或按工作流程进行系统开发,以服务于工程内部的信息管理。
文章版权归西部工控xbgk所有,未经许可不得转载。