协议网关的跨网段的隔离实践应用

王祎

摘 要： 本文以需要实现两个不同独立的跨网段SCADA系统之间，利用网关协议转换器通过ModbusTPC协议来实现数据转发，同时满足跨网段物理隔离功能的要求，充分体现了协议转换器选型的在SCADA项目实施中的重要性。作者在担任项目经理期间，积极分析问题，寻找解决方案。通过新技术在项目集成中的有效应用，减少了项目实施周期，节约了项目资源和成本。

关键词： 跨网段隔离;协议网关;ModbusRTU/TCP

【中图分类号】TP393.08     【文献标识码】A     【文章编号】1674-3733（2020）01-0177-02

1 概述

2019年4月，我公司承揽了某天然气管道公司A的SCADA系统数据采集项目。

需求描述：A公司需要采集到B公司的SCADA系统部分实时数据，同时要求数据在A公司场站和调控中心同时显示。为了保障A/B两家公司的SCADA系统内部网络安全，要求在数据采集链路中，保证两个公司的内网实现物理隔离，不可以互相访问。

现状描述：A公司场站和B公司某场站的SCADA系统相互独立且不同，PLC系统和组态系统均不相同，且A公司和B公司的生产网络独立，SCADA系统均支持ModbusTCP协议。A公司场站与A公司调控中心SCADA平台在独立的生产办公内网，可以互通且运行正常。A公司场站与B公司场站相距离10公里左右。经过测试，B公司要求传输的数据的Modbus地址不连续。

2 技术方案

B公司场站和A公司场站距离在10公里左右，由于两地均处在山丘地带，经测试手机网络信号均无法满足数据传输要求，无法保稳定性。根据现状，B公司场站到A公司某场站宜铺设光缆，利用光缆作为传输介质。

如果采用路由器设备进行网络调试，增加了路由跨网段功能，为两家公司内部网路互通提供了可能性。为了规避网络通过路由器互访的风险，采用具备可以独立隔离配置IP地址，且具备协议转发功能的协议网关。

由于B公司所提供的数据源的Modbus地址不连续，为了保证A公司的系统程序修改操作性强，需利用协议转换器对需要采集的数据地址进行重新定义，便于A公司场站的PLC程序读取数据。

根据以上分析，技术解决方案的拓扑图如下图：

其中红色虚线部分为新增加的设备，其余的为原有系统。

3 实施步骤

①在B公司中心机房内添加网关协议隔离转换器，将B公司PLC数据进行转换处理转发，实现不同网段的隔离转换及数据转发。

②此网关协议转换具备两个网口，可以不同网段的访问，同时具备ModbusTCP输入和ModbusTCP输出的功能。两个网口的IP地址分别由B公司调控中心和A公司提供。A公司和B公司域网只能访问到自己IP地址。

③在B公司调控中心和A公司的该天然气场站，铺设光缆，同时熔接光缆熔接盒;分别添加光电转换设备，实现两地的光纤通信。

④A公司场站PLC程序调试：A公司场站PLC通过交换机以太网访问新增光电转转换器网口，读取到B公司站控系PLC数据，并添加再A公司的站控组态画面系统。

⑤A公司调度中心数据接入：A公司调度指挥中心通过其内部以太网访问A公司场站PLC，最终读取到B公司PLC系统数据。

4 调试记录

1）数据模拟测试：

测试目的：通过协议转换器，实现ModbusTCP/IP跨网段转发数据。

软件：Modsim从站和Modscan主站软件;

硬件：2台笔记本A、B，带网口;

协议：ModTCP/IP

测试过程：环境搭建——仿真数据——光电转换——PLC程序编写

2）測试环境搭建

①网线连接笔记本B和协议转换器NET1口，网线连接笔记本A和协议转换器NET2口，给协议转换器供电，运行正常;

②笔记本B作为从站，IP地址配置成为：192.168.100.45;运行Modsim软件;

③笔记本A作为主站，IP地址配置成为：172.16.75.42;运行Modscan软件;

3）数据仿真测试

①通过Modsim软件在笔记本B上运行后，在笔记本A上运行Modscan软件进行测试，测试成功，通过网关配置，实现了ModbusTCP/IP协议的跨网段转发。注意模拟从站数据的数据格式，与现场仪表从站的数据格式保持一致，数据高低字节的转换。

②经过查看对比寄存器数据范围，现场调研的数据地址的寄存器范围在协议转换器的配置的范围之内，满足要求。

4）光电转换测试

①网线连接协议笔记本B网口与光电转换器1网口;

②尾纤联系光电转换器1光口与光电转换器2光口;

③网线连接光电转换器2网口与笔记本A网口 ;

④光电转换器上电，笔记本A进行PING测试笔记本B的IP地址，可以测试通;

⑤笔记本A运行Modscan软件，测试笔记本B的

Modsim数据，测试正常;

注意：尾纤光口在插拔的过程中，接头不要直视眼睛;注意尾

纤的弯曲半径大于2CM。

5）PLC程序编写

通过编写PLC程序，采用ModbusCTP读取到协议转换器转发后的数据。

5 方案优势分析

通过该协议转换器，实现了两个不同公司之间的SCADA系统跨网段数据读取，减少了网络路由设备的采购与调试工作，避免将路由设备接入不同公司之间的内网。同时，该方案具备施工简单，室内安装方便，与自动化专业结合程度高，方便后期维护，成本低的优点。

结束语：工业自动化现场，厂家种类多样，协议类型多样。在自动化行业领域，系统集成商需要充分分析实际需求，通过不断的技术积累，将技术经验转换为项目实践应用成果，通过技术手段提高系统集成的可靠性和稳定性，减少现场工作量，节约施工成本。

参考文献

[1] 《工业控制系统及应用：SCADA系统篇》-王华忠、陈冬青2017年电子工业出版社.

[2] 《工业以太网中的安全问题》-陈东茹、谢东光-2006年9月.