周寒英，丁嘉熹，左黎斌，董治洲，楊心一，李樹東

云南電網(wǎng)有限責任公司保山供電局，云南 保山 678000

0 引言

MSTP專線（基于SDH的多業(yè)務傳送平臺）通道基于MSTP技術的以太網(wǎng)專線，為用戶提供2M速率點對點或點對多點的數(shù)據(jù)專線業(yè)務。該通道是一種廣泛應用于電力行業(yè)調(diào)度自動化主站與變電站廠站遠動裝置之間遠動通信的通信方式，基于SDH傳輸技術，采用PPP封裝協(xié)議實現(xiàn)以太網(wǎng)的幀到SDH的VC通道的映射，為用戶提供數(shù)據(jù)傳送功能。

隨著通信技術的發(fā)展，電力調(diào)度通信業(yè)務主要包括繼電保護業(yè)務、穩(wěn)控系統(tǒng)業(yè)務、信息管理業(yè)務、調(diào)度自動化（SCADA/EMS）業(yè)務、相量測量（PMU）業(yè)務等[1]。其中，調(diào)度自動化業(yè)務系統(tǒng)數(shù)據(jù)傳輸通道經(jīng)過了模擬通道、數(shù)字透傳通道、網(wǎng)絡通道3個發(fā)展階段[2]。目前主要采用網(wǎng)絡通道的原因為，網(wǎng)絡通道具有傳輸通道涉及環(huán)節(jié)少、可靠性高、故障處理方便等優(yōu)點。保山地區(qū)調(diào)度自動化業(yè)務通常采用1路MSTP專線業(yè)務通道和1路調(diào)度數(shù)據(jù)網(wǎng)業(yè)務通道構(gòu)成雙網(wǎng)絡結(jié)構(gòu)。然而，調(diào)度數(shù)據(jù)網(wǎng)配置及維護相對復雜，用戶站、電廠一般無專職維護人員，通道調(diào)試或出現(xiàn)故障時較難處理，故雙路MSTP專線成了用戶變電站的主流通信方式。近年來，電力監(jiān)控系統(tǒng)必須滿足網(wǎng)絡安全防護“安全分區(qū)，網(wǎng)絡專用，橫向隔離，縱向認證”16字方針原則。主廠站MSTP通道連接關系拓撲圖如圖1所示。

圖1 主廠站MSTP通道連接關系拓撲圖

1 MSTP專線需求分析及地址規(guī)劃

1.1 保山電網(wǎng)對MSTP專線業(yè)務的需求分析

保山電網(wǎng)截至2020年底已建成500 kV變電站1座、220 kV變電站9座及用戶變電站6座。近年來，用戶變電站接入規(guī)模不斷擴大，當用戶變電站接入保山地調(diào)時，考慮到安防設備成本及維護的難易程度，通常采用MSTP專線通信方式接入，僅2019年1年便完成了5座用戶變電站的接入工作，MSTP通道接入工作也隨之大量增加，由此帶來的自動化專業(yè)人員所需關注處理的MSTP專線通道調(diào)試工作成倍增長。任何通道接入需通過站端自動化人員、通信人員和主站自動化人員三者配合進行，各專業(yè)配合不當往往會導致通道調(diào)試效率低，且缺乏有效的方法。通道調(diào)試中各個環(huán)節(jié)需要的時間與新建工程的緊迫性恰好相互排斥。因此，文章提出MSTP專線地址分配及一種通用的調(diào)試方法，對新建廠站接入主站調(diào)度自動化系統(tǒng)有重要意義[3-4]。

1.2 MSTP地址分配規(guī)則

隨著電網(wǎng)網(wǎng)架結(jié)構(gòu)的日趨復雜，通信網(wǎng)絡同步復雜，按照調(diào)度管轄范圍對MSTP專線業(yè)務地址規(guī)劃勢在必行[5-6]。保山地調(diào)負責110 kV電壓等級及以下廠站的MSTP地址規(guī)劃。

一般而言，對于不同主、廠站采用不同地址段的通信業(yè)務地址，每個主、廠站取16位業(yè)務地址為一個段可滿足各種安防、通信機設備的業(yè)務需求，同時實現(xiàn)地址預留。主廠站端采用30位的2M路由器互聯(lián)地址可滿足不同物理路由時隙的地址安排，通過該項原則可完成各廠站對調(diào)度主站MSTP專線業(yè)務的地址規(guī)劃，具體規(guī)劃如表1所示。

由表1可知，主站端與廠站端地址規(guī)劃原則一致：規(guī)劃網(wǎng)段內(nèi)的起始8位可用地址供服務器、路由器等通信主機使用，最后1位可用地址通常分配為網(wǎng)關，接下來的倒數(shù)7位可用地址供加密裝置、防火墻等安防設備使用。主、廠站的通信通過兩端的2M專線路由器添加互訪靜態(tài)路由實現(xiàn)鏈路互通。一個廠站對多個主站、多個廠站對一個主站的業(yè)務地址規(guī)劃按表1的原則分配后，得到條理清晰的MSTP專線業(yè)務地址規(guī)劃圖，如圖2、圖3所示。

圖2 某縣調(diào)500 kV變電站接入四級調(diào)度MSTP專線通道地址分配圖

圖3 多個地調(diào)管轄廠站接入地調(diào)主站MSTP專線通道地址分配圖

表1 某地調(diào)MSTP專線業(yè)務地址規(guī)劃表

2 業(yè)務通道調(diào)試方法

MSTP專線業(yè)務通道調(diào)試一般采用主廠站端互調(diào)的方式開展，通信人員將MSTP物理通道調(diào)試成功后，通過華為、中興時隙對應表可確定主廠站所用時隙，開展主廠站通道配置。與此同時，采用如表1所示的地址規(guī)劃填寫相應廠站1，供主站端、廠站端調(diào)試使用。結(jié)合日常調(diào)試，筆者找出一種MSTP專線業(yè)務通道通用的調(diào)試方法。

（1）確認主站2M專線路由器的SDH、MSTP線端口配置、靜態(tài)路由配置。其中，MSTP的SDH配置通常分為成幀和非成幀2種模式，主廠站端保持一致即可。MSTP線接口配置采用封裝點對點協(xié)議（PPP協(xié)議），并配置相應接口的業(yè)務地址。靜態(tài)路由配置格式如下：采用ip route-static目標網(wǎng)段/掩碼下一跳地址。通常，依據(jù)圖1可知，下一跳地址均為廠站端2M專線路由器地址。

（2）配置主站MSTP縱向加密裝置。加密裝置配置的主要內(nèi)容為路由配置、導入廠站端加密證書并進行隧道配置、添加訪問規(guī)則。在路由配置時，需遵循配置到所需到達網(wǎng)段的IP地址的路由，即廠站遠動機網(wǎng)段地址1.1.1.0。隧道配置過程中導入對端廠站證書且兩端路由配置準確才可建立聯(lián)通的隧道。訪問策略添加過程中限制訪問地址及端口的最小化，通常遠動業(yè)務采用IEC-104規(guī)約，僅放行目的地址2404端口，實現(xiàn)安防策略最小化配置原則[7]。

（3）配置主站防火墻設備地址及策略。電力行業(yè)普遍以等同采用IEC 60870-5系列協(xié)議作為應用通信協(xié)議的首選，2404/TCP屬于IEC 60870-5-104的標準端口。在修改物理通道廠站1地址時，僅需修改目的業(yè)務地址即可，訪問控制策略一般采用單向訪問并固定到端口設置，確保網(wǎng)絡訪問的最小化。

（4）配置主站端前置機廠站地址及路由。若為廠站地址修改，在修改前置通道配置的廠站地址后，在前置機的路由配置文件rc.local中，修改相應路由策略為新地址策略。若為新接入廠站，則新增一條路由策略指向廠站遠動機地址段，新增該廠站一個前置通道。

（5）廠站自動化專業(yè)人員同步配置廠站端相關設備。依次配置廠站2M專線路由器、廠站縱向加密裝置、廠站遠動機。主站端與廠站端對應設備配置原則保持高度一致，即可確保MSTP專線業(yè)務調(diào)試高效可靠地完成[8-10]。

3 業(yè)務通道調(diào)試典型案例分析

以某個電廠遠動機更換時主站端配置更改為例，該遠動機更換涉及地址更改。將廠站1地址統(tǒng)一更換為表1所示地址，假設主站2M專線路由器所用時隙對應端口為Serial0/7/0/1:0口，主站前置、主廠站路由器、加密裝置地址為表1規(guī)劃地址，故該項工作主站端需依次做以下改動并測試通斷情況。

3.1 主站端路由器配置更改

（1）SDH模式配置為成幀模式。

Control Cpos0/7/0//進入路由器物理連接的接口板7中；

e1 1 channel-set 0 timeslot-list 1-31//設置第1個時隙為成幀模式。

（2）Serial0/7/0/1:0//端口配置，MSTP專線通信采用增加其相關PPP協(xié)議封裝，配置表1中規(guī)劃的業(yè)務地址及描述。

interface Serial0/7/0/1:0//進入路由器時隙7-0-1中；

link-protocol ppp//添加PPP協(xié)議封裝，確保數(shù)據(jù)鏈路層的通信；

ip address 1.1.1.1 255.255.255.240//添加端口地址為目的地址；

description To ChangZhan1_tongdao1//添加端口描述。

（3）增加新的靜態(tài)路由。

ip route-static 1.1.1.0 255.255.255.240 5.5.5.2 description To ChangZhan1 //ip route-static 目標網(wǎng)段/掩碼 下一跳地址，其中下一跳地址為廠站端2M路由器地。

（4）查看配置端口狀態(tài)無誤后，用Ping命令測試主、廠站間2M專線路由器的網(wǎng)絡是否連通。

3.2 主站端加密裝置配置更改

由于更改路由器地址，并未修改主廠站兩端加密證書，但更換了加密裝置地址，故需建立新的隧道，對加密裝置的路由及訪問規(guī)則進行修改配置。

（1）修改路由配置，即修改訪問目的地址。目的地址及網(wǎng)關設置為廠站對端網(wǎng)絡地址，即為1.1.1.0，網(wǎng)關設為該網(wǎng)段內(nèi)最后一位可用地址1.1.1.14。

（2）隧道配置修改時，即修改加密裝置之間的連接關系。每一條隧道對應隧道本端地址和隧道對端地址。其中，隧道本端地址為本端（即主站端）加密裝置的地址10.10.10.3；隧道對端地址為廠站端加密裝置的地址1.1.1.3。通過隧道的相互配置及證書導入建立兩側(cè)加密裝置的聯(lián)建關系。

（3）訪問規(guī)則修改，即修改兩側(cè)終端的訪問限值策略。內(nèi)網(wǎng)指本端加密裝置所在區(qū)域主站前置機地址，外網(wǎng)指廠站對端加密裝置所在區(qū)域遠動機地址。通過該規(guī)則將訪問控制限值在主站前置機2404端口與廠站遠動機之間，某主站加密裝置的配置如表2所示。

表2 主站2M加密訪問規(guī)則配置表

（4）通過查看隧道顯示及Ping測試主站2M加密至廠站2M加密的網(wǎng)絡是否連通，若連通則說明主廠站2M加密配置不存在問題。

3.3 主站防火墻設備策略更改

設置更改目的為廠站1遠動機地址1.1.1.1和1.1.1.2，即可實現(xiàn)主站對廠站1的遠動機的訪問。訪問策略保持2404端口的訪問控制。測試主站2M防火墻至廠站2M加密裝置的網(wǎng)絡是否單向連通，若單向連通則說明主站防火墻策略配置不存在問題，若雙向連通，說明防火墻策略配置為雙向，不滿足安防要求，具體配置如表3所示。

表3 主站防火墻遠動業(yè)務配置表

3.4 主站前置機配置更改

修改前置機通道配置中的對端廠站地址為遠動機地址1.1.1.1和1.1.1.2。同時，新增或修改前置機的路由配置文件rc.local中存在的路由為route add -net 1.1.1.0 255.255.255.240 gw 1.1.1.14，確保前置機的路由指向廠站遠動機所在網(wǎng)段。測試主站前置機至廠站遠動機的網(wǎng)絡是否連通，若連通則說明MSTP專線業(yè)務通道調(diào)試完成，不存在問題[11]。

3.5 修改廠站端對應設備配置

廠站端各環(huán)節(jié)設備的修改與主站端設備保持一致原則，并同步開展，才能確保各環(huán)節(jié)業(yè)務測試正常，網(wǎng)絡保持連通。

4 結(jié)束語

文章提出了一種MSTP專線業(yè)務地址規(guī)劃規(guī)則及MSTP專線通道通用調(diào)試方法，可規(guī)范MSTP專線業(yè)務地址的配置原則，加速地調(diào)電網(wǎng)與各廠站端遠動業(yè)務的調(diào)試，防止MSTP通道不滿足電力監(jiān)控系統(tǒng)二次安全防護技術的要求。保山地調(diào)采用所提方法進行2M地址分配、MSTP專線業(yè)務調(diào)試后，遠動業(yè)務通道調(diào)試速率穩(wěn)步增長，地調(diào)自動化系統(tǒng)新增MSTP通道運行穩(wěn)定可靠。該MSTP專線通道通用調(diào)試方法及業(yè)務地址配置原則為未來調(diào)控一體化模式的通道業(yè)務調(diào)試能力的提升和“大運行”模式的實現(xiàn)奠定了技術基礎。