基于VPN技术实现光伏远程集控系统方案探讨

方案，以实现光伏企业对所辖光伏电站的远方监视、控制、维护等生产管理。

关键词：VPN；IPSec；SSL；光伏集控

中图分类号：TM614 文献标识码：A 文章编号：1003-5168（2017）07-0021-03

Abstract： This paper introduced two kinds of popular VPN technologies： IPSec and SSL VPN. According to the advantages and disadvantages of each kind， give a systematic solution that combined the advantages of the two kinds， so as to ensure the photovoltaic enterprises to manage the photovoltaic power station， such as remote-monitoring， control， and maintenance.

Keywords： VPN；IPSec；SSL；photovoltaic centralized control

随着光伏行业的高速发展，光伏电站日益增多，但光伏电站分布地域广、位置偏僻，光伏电站的运行维护人员少、维护人员技术实力不平均、维护工作量大。部署融合了“互联网+”和“能源互联网”的光伏集控系统成了未来的发展趋势和光伏企业的迫切需求。光伏集控系统可以使光伏企业实时了解所有光伏电站的运行情况，实现光伏厂站远程集中监控，可以为现场的运维人员减轻负担并给予支持，达到降低运行成本、增强市场竞争力的效果。

光伏集控系统可以使用专网实现，也可以使用普通的公共网络实现。使用专网会导致成本增加，使用公共网络会造成泄密和黑客攻击。针对这两个问题，最好的解决方案是使用虚拟专用网络（Virtual Private Network，VPN），通过VPN实现在公共网络上建立一个临时的、安全的连接，将光伏电站的数据加密封装后进行传输，实现多个远程局域网的互通，防止数据泄露，极大地降低了组网费用。

1 VPN简介

VPN即“虚拟专用网络”，是一种充分利用隧道、认证、加密等技术手段，在公共网络上具备安全的专线连接的功能。现在被广泛采用的VPN技术有基于IPsec（Internet Protocol Security）协议的VPN和基于SSL（安全套接层协议）协议的VPN两种。基于IPsec协议的VPN也称IPSec VPN，由IPSec协议提供隧道安全保障的VPN技术。SSL协议的VPN也称SSL VPN，是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术。

IPSec协议是网絡层协议，它是把隧道、加密、认证等安全技术结合在一起形成一个较为完整的体系，为数据在通过公用网络在网络层进行传输时提供安全保障，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。IPSec VPN是在正式通信前，通过通信双方对操作模式、算法、密钥、密钥生成周期等要素和策略的协定来提供安全服务。

SSL是网景（Netscape）公司提出的基于Web应用的安全协议，SSL在传输层对网络连接进行加密。SSL VPN保障的是Web浏览器和Web服务器之间的安全，目前SSL协议被广泛用于各种浏览器中。建立SSL VPN会话的时候，通信双方使用SSL握手协议来验证彼此的身份，其后的数据传输阶段使用的密码规格，按照SSL记录协议规格的格式和程序对其进行检查和封装。每个SSL会话一次只服务一个应用程序，它提供的是应用程序的安全服务，而不是网络的安全服务，因此也被称为“应用程序层的VPN”[1]。

2 IPSec VPN、SSL VPN的比较

IPSec VPN是应用在两个网站之间通过互联网的安全连接，以及两台服务器之间的安全连接，其协议工作在网络层，不仅所有网络通道都是加密的，而且在用户访问所有企业资源时，就像采用专线方式与企业网络直接物理连接一样。

IPSec VPN在传输层之下，它是与应用无关的技术，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec VPN时，只需要对相应的硬件进行配置，无需更改用户或服务器系统中的软件设置，当网络硬件之间建立了IPSec VPN通道后，所在的局域网就建立了像采用专线方式与企业网络直接物理连接一样安全互联，在局域网中的所有设备也可以直接连接。如图1所示。

IPSec VPN最大的难点在于，由于IPSec VPN客户端的存在，限制了VPN组网的灵活性，在没有安装IPSec客户端的系统中，远程用户不能通过网络进行VPN连接。这就意味着对于办公地点经常变动的用户，当他们想从家里的计算机或者任何其他非本人的计算机上访问公司的资源时，将不能访问。

而SSL VPN，公认的好处就是SSL安装简单，它不需要配置，可以立即安装、立即生效。与复杂的IPSec VPN相比，SSL VPN不需要为每一台客户机安装客户端程序，任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，因此不需要专门的技术支持就可以随时随地从支持SSL协议的浏览器安全地访问应用程序，最大程度降低了系统部署成本，并且各个操作系统都能支持。如图2所示。

SSL的不足是必须依靠因特网进行访问，为了通过SSL VPN进行远程工作，当前必须与因特网保持连通性。因为，此时Web浏览器实质上是扮演客户服务器的角色，远程用户的Web浏览器依靠公司的服务器进行。正因如此，如果因特网没有连通，远程用户就不能与总部网络进行连接，只能单独工作。并且，大多数基于SSL的VPN都是基于Web浏览器工作的，远程用户不能在操作系统上进行非基于Web界面的应用。

3 SSL VPN和IPSec VPN在应用方面的互补

对于局域网间互相连接所需要的直接访问网络功能而言，IPSec VPN的优势无可比拟。然而，典型的SSL VPN却是最适合于远程访问基于Web的应用，对于更全面的、面向基于浏览器应用的访问，SSL VPN无疑是首选。

为了便于用户既能很好地实现网间互联又能便捷地使用移动办公，最好的方案是集IPSec VPN和SSL VPN之所长于一体的VPN。企业在集控中心和各个光伏电场之间通过IPSec VPN进行连接，这样可以把集控中心和各光伏电场包括在一个虚拟的局域网中，从而为移动办公人员提供SSL VPN的接入服务。充分利用IPSec VPN于与SSL VPN的互补性，使整个网络结构更加合理。

4 光伏集控/远程监控系统简介

光伏远程集中控制系统所辖光伏电站地理分布广阔，是一个跨地区、多业务的大型自动化系统，采用分层分布的体系结构，整个自动化系统分为两层：厂站监控层和集中监控层。

4.1 设计目标和模块划分

厂站监控层设在各个光伏电站内，对光伏电站的所有设备进行监控，在各光伏电站配置通信网关机，用来采集光伏电站内所有设备的信息，包括逆变器、汇流箱、箱变测控、升压站电气设备、电能计量系统、功率预测系统等，并执行集中监控层对光伏电站设备的控制指令，以实现统一管理，实现全部光伏电站运行的监视、控制、管理、统计、分析等功能。

4.2 设计目标和模块划分

集中监控层设立在公司集控室，负责对所辖光伏电站进行集中监控、管理，运行人员在集中监控层上可实现对接入的光伏电站的远程集中监视和控制，并负责所有光伏电站的设备管理、运营优化、安排检修和维护工作，对于异常情况通过远程操作进行控制，进一步优化运行，使发电效率最大化。集中监控层系统同时还兼作光伏电站监控系统的上位机，负责对光伏电站的主要电气设备进行控制，并对所有电气设备的运行情况进行全面监视。集中监控层系统还具备公网接口，满足移动办公等需求。

5 系统整体方案设计

5.1 系统方案选择

光伏远程集中控制系统的设计综合采用SSL VPN及IPSec VPN方案。使用标准的SSL协议，使移动客户端在任何网络环境下都可以很便捷地接入VPN网络，避免网络兼容性带来的麻烦；同时，IPSec VPN提供完整的网络层连接功能，是实现多个专用网安全连接的最佳选择。

SSL VPN不需要安装客户端程序，远程用户可以随时随地从任何浏览器上安全地接入内部网络，降低维护客户端的成本，方便管理人员随时随地通过各种移动终端查看各个电站发电量等信息。

通过IPSEC VPN可以在远程集控中心和各光伏电站之间建立一个虚拟的加密隧道，利用该加密隧道，一方面可以实现光伏电站数据在互联网上的安全传输，另一方面可以将远程集控中心的计算机同光伏电站的计算机组建一个虚拟的局域网。

5.2 系统方案规划

远程集控中心和各光伏电站采用静态的公网IP地址（如VPN设备支持动态VPN可不要求静态IP）连接到Internet网，远程集控中心采用一台中心VPN设备，采用IPSec技术在VPN中心网关上建立与各个光伏电站相关的VPN隧道和访问规则，同时各个光伏电站的VPN设备上也建立相应的VPN隧道和相同的访问规则，这样远程集控中心和各个光伏电站之间就通过建立的VPN广域网网络实现了互联[1]。组网方式如下所述：①远程集控中心的Internet出口处作为VPN中心网关，通过控制软件、路由设置和安全访问设置来实现VPN隧道通信功能；②各个光伏电站VPN与远程集控中心的VPN中心网关建立隧道，上传遥信、遥测、遥脉等信息。

5.3 系统方案详细设计

系统的整体网络结构如图3所示。每个光伏电站配置数据转发装置、VPN设备、防火墙等设备。如防火墙已集成VPN功能可以不单独配置专用VPN设备。

每个光伏电站通过数据转发装置采集全站遥信、遥测、遥脉等数据，并提供转發功能，转出支持多种串口规约（IEC60870-5-101规约、CDT规约等）及以太网规约（IEC60870-5-104规约等），通常采用以太网规约转出方式（如采用串口方式，需增加数据服务器将串口规约转换为以太网方式）。

各光伏电站的数据转发装置直接通过网口与VPN设备或防火墙内网口LAN相连，防火墙外网口WAN直接接入Internet互联网。远程集控中心同样配置VPN设备或防火墙，该集控中心VPN设备需支持不少于光伏电站数目的客户分支（隧道数目），并满足未来扩展需要。部署的VPN或防火墙同样是外网口WAN直接接入Internet互联网，内网口下连交换机，通过配置VPN设备实现各局域网建立IPSec VPN隧道。如果光伏电站不能支持静态IP连接到公共网络，则采用支持动态VPN的设备，通过中心VPN设备利用动态寻址技术，在分支外网IP变化的情况下，建立动态IPSec VPN隧道。

通过集控中心VPN设备下连接的交换机，集控中心可以获取整个光伏电站全部数据，实现集控中心实时连接各分支光伏电站，进行实时观测生产数据、分析生产数据、控制光伏电站设备、查询实时及历史告警。同时，在集控中心部署Web服务器，把集控中心所采集到的数据及分析结果实时更新到Web服务器上，移动办公人员可以通过SSL VPN与集控中心的Web服务器进行安全会话，实时浏览生产数据。

6 结语

通过VPN技术实现光伏集控，最大程度地节约投资成本和运维成本。其中，IPSec VPN是目前构建VPN主要的成熟技术，IPSec VPN提供了站与站之间的安全连接。SSL VPN是最新的VPN技术，面向Web应用提供安全的访问方式。通过集IPSec VPN和SSL VPN的技术优势设计的系统，既满足了光伏企业远程监控的需求，又满足光伏企业移动办公的灵活性。

参考文献：

[1]刘洋.IPSec VPN和SSL VPN的分析比较[J].电脑知识与技术，2009（4）：825-827.

推荐访问:光伏 探讨 方案 系统 技术