大兴新凤河智慧水务控制系统网络分析

张火锋，肖 晶，林 栋，李天森

（北京北华中清环境工程技术有限公司，北京 100176）

0 引言

新凤河位于北京市大兴区北部，河道全长28.8 km，主要承担丰台区西南部、大兴区北部及亦庄新城部分地区的排水任务[1-2]。

新凤河流域综合治理工程中智慧水务部分，以水文及水质自动监测、视频监控、语音广播、智慧照明、监控中心、会商平台等功能建设为基础，通过数据传输整合，综合信息展示及管理，全面建立新凤河智慧水务管理平台，完成河道水文、水质、水利、视频图像等信息在线管理，提供全新的流域综合管理模式，为新凤河流域管理与水环境综合治理提供便利。

新凤河流域综合治理工程中网络系统为新建内容，承载智慧水务控制、视频监控、IP 语音广播、智慧照明、视频会议、显示控制、智慧水务信息等系统及信息中心办公的业务内容。

目前，新凤河流域综合治理工程智慧水务控制系统网络（以下简称新凤河水务网络）建设已全面完工，设备和系统已进入试运行交付和运营阶段。为掌握新凤河水务网络实际情况，为类似河道水务网络提供参考，结合设计及施工、运营情况，对新凤河水务网络进行总结。

1 网络系统分析

1.1 业务规模分析

1.1.1 网络总体结构

新凤河水务网络包含现场设备侧河道自建、信息中心侧数据机房 2 个网络，2 个网络的数据汇聚至信息中心网络核心交换机，接入信息中心侧网络内的服务器进行处理，网络总体结构如图1 所示。信息中心侧数据机房网络包括办公显控服务器、智慧水务平台服务器、DMZ 区服务器、安全设备等内容。

图1 网络总体结构图

信息中心核心交换机 1 和 2 为堆叠交换机，作为核心层，接入信息中心内各服务器；网络核心交换机 1 和 2 为堆叠交换机，接入办公会议系统、信息中心显控系统、自建网络及互联网等网络各节点信息；DMZ 区域交换机，通过防火墙与网络、信息中心 2 类核心交换机按照预定的安全策略进行数据交换。

河道网络节点，承载自动控制、视频监控、IP 语音广播、智慧照明等河道现场设备侧的业务内容，经过交换机设备与信息中心侧视频会议、显控、水务控制、智慧水务平台等系统进行数据交互。DMZ 区服务器为直接对外提供服务的微信公共平台和 Web 服务器。

1.1.2 河道网络节点

河道网络节点分为以下 2 类网络节点：

1）河道自建局域网。包括自建无线网桥和有线网络。

2）互联网网络节点。包含 4G 无线 RTU、4G 无线 VPN、宽带有线 VPN。电信运营商有线资源难以达到的位置，布署互联网无线节点，数据接入信息中心的通信方式分别为 4G 无线 RTU 和 VPN；在能够利用电信运营商有线资源的位置布署互联网有线节点，以宽带有线 VPN 方式将数据接入信息中心。

综合考虑支持业务、视频监控摄像机位置、水务监测传感器分布、节点传输线路资源、机房条件、现场地理环境及网络需求等因素，河道网络节点如图2 所示。

图2 河道网络节点

河道网络节点设置详细情况分析如下：

1）河道自建局域网汇聚节点。将 7 个节点设置为河道自建局域网汇聚节点，分别位于 2，3，5 和 6# 水质站，新西凤、安南湿地，以及老凤河机房。传输的信号包括设备自控系统、视频摄像头及网络广播的数据。

2）4G 无线 VPN 节点。设置 4G 无线 VPN 节点的设备包含：新建污水站，1，7，8 和 9# 水质站，三间房村、老凤河桥污水泵站，凉凤灌渠的再生水泵站、北侧闸门、景观箱，以及滨河公园。传输的信号包括设备自控系统、视频摄像头的数据。

3）宽带有线 VPN 节点。将扩建的污水厂设置为有线 VPN 节点，传输的信号包括设备自控系统、视频摄像头的数据。

4）4G 无线 RTU 节点。设置 4G 无线 RTU 节点的设备包括河道排口管控及水文站监测 2 类设备。这 2 类设备分布在河道左右两岸及跨河桥梁底下，其中：排口管控设备可采集流量、液位、浊度、化学需氧量、氨氮等参数，每个排口根据测量参数的需求配置不同类型仪表；河道水文站通过雷达波测量仪器监测河道水位、流速、流量等信息。为解决仪表因安装位置偏僻特殊导致的供电及有线通信不便等问题，仪表设备采用 4G 无线通信实现仪表和信息中心的数据传输，并由太阳能电池板供电。河道排口管控设备 RTU 的 RS-485 接口以 Modbus 读取仪表数据，并由 RTU 通过 4G 无线传输至信息中心服务器端。

河道网络节点中所有的业务数据最终将汇集到信息中心数据机房。

1.2 网络设备分析

网络设备分析如下：

1）核心交换机。网络核心交换机为三层交换机，选用 S7700 系列交换机，交换容量为 19.84/86.4 Tbit/s，采用紧凑机箱、前后及左后风道设计，布线能力大幅上升，节省机房空间，降低了能耗[3]，满足容量及处理能力的要求。主控、电源、监控板、风扇框（前后及左右风道）具备冗余功能，具有完善的 QoS，VLAN，以及组播、安全、网管等能力。

2）汇聚层交换机。主要有虚拟化、服务器、DMZ 区域、办公汇聚、显控汇聚等交换机，选用的S5720-SI 系列交换机是全新的三层千兆以太网交换机，提供灵活的全千兆接入及高性价比的固定千兆和万兆上行端口，4 个 10GE 光口上联，48 个千兆电口，1 个交流电源[4]。

3）接入层交换机。自建网络汇聚交换机主要负责汇聚自建网络各区域的流量，选用 S5720-LI 系列交换机，有 4 个 GE 光口（单模 40 km）上联，24 个10/100 Mbit/s 电口。

4）无线网桥。老凤河郊野段沿线长，郊野段中间段无通信的需求。为优化网络，节省投资，在老凤河 10# 水质站与新凤河 3# 水质站自建的有线网络之间建设无线网桥传输数据，替代原计划租用公网链路或自建有线网络的方式。

农民处置土地的权利是指农民将土地视为土地占有者的权利，土地占有者的财产权在法律规定的范围内，其主要包括抛弃、出租、入股、转让和抵押等。但是，农民的土地处分权是受到限制、不完整的，如农民的土地不可以进行买卖[2]。

经现场踏勘，10# 与 3# 水质站直线之间有高层建筑，易对无线信号造成阻挡衰减。为减少衰减，保证信号强度，在河道拐弯处增加无线网桥中继站，使 10# 与 3# 水质站之间以无线网桥接力方式回传。无线网桥平面位置图如图3 所示，图中点A代表10#水质站，点B代表中继站，点C代表3# 水质站。

图3 无线网桥位置图

点A至点B直线距离为 0.687 km，点B至点C直线距离为 6.700 km，AB和BC距离满足回传要求，点C信号塔与河道自建网络节点局域网连通。通过点A，B，C3 点无线网桥之间信号的传输，实现老凤河网络与新凤河 3# 水质站、水务网络之间的数据通信。无线网桥工作在 2.4 或 5.8 GHz 频段，均为开放频段。

无线网桥采用 2 种天线：点A和点B间距离小于 5 km，采用板状天线（23 dBi），一体化设计无需进行额外馈线连接；点B和点C间距离大于 5 km，采用抛物面天线（32 dBi），需要连接 0.5 m 馈线。

点A和C为非独立网桥，由就近的 10 和 3# 水质站的市电供电；点B独立建设的网桥站，采用太阳能蓄电池供电方式，根据负载情况本次蓄电池容量配置为 2.4 kW·h（50 A·h，12 V，4 块），大于设备需求的 1.8 kW·h；太阳能板功率配置为 540 W（135 W，4 片）。

5）4G 无线 VPN 网关。4G 无线 VPN 路由器主要负责接入各 4G 无线 VPN 节点的数据流量，本次选用的网关，支持双物联网卡，集成高性能的工业级 LTE 模块，工业级标准，在恶劣的室外气候和严酷环境下，能稳定可靠地运行[5]，具有 VPN，QoS，VLAN，网管，NAT 和 4G 无线接入等能力。

新凤河水务网络中的交换机都选用同一品牌交换机，综合性能较好，同时也提高了设备间的兼容性和网络的安全性。

1.3 VLAN 规划

网络规划的好坏直接关系网络的稳定性、整体性和可扩展性，影响网络的管理维护，进而影响各类网络业务的发展应用，是保证网络顺利运行和资源有效利用的关键。只要合理规划和管理 IP 地址，多加重视，后期的网络运营将会十分的便捷[6]。划分多个 VLAN 可以控制不必要的广播数据传输，还可以强化网络管理和安全[7]。

本项目根据新凤河水务业务及空间的特点，对网络进行了适当的 IP 规划和 VLAN 划分，提升了网络路由协议算法效率和收敛速度，减少了网络数据广播的数量，易于理解网络结构、策略部署、网络优化、网管操作、错误排查。

1.4 数据安全保障

服务器区域是整个业务的支撑，应对业务系统进行重点防护。如果对业务系统的访问行为控制不力，非授权用户可能会窃取机密数据，删除和修改业务数据，甚至植入病毒，引起系统服务中断或瘫痪。

新凤河水务网络安装防火墙、上网行为管理设备、VPN 网关、入侵检测设备、漏洞扫描系统，保障数据的安全。

防火墙对源地址、源端口、源 MAC（Media Access Control）、安全域、目的地址、时间、服务等访问控制条件，设定灵活的访问控制策略；入侵检测设备对异常行为进行检测，是不可或缺的网络防御手段。

安全策略执行分域分级原则，按照相应等级的保护要求进行防护，并进行严格的信息流向控制；最小授权、分权与白名单管理，只有信任的设备和服务才可访问网络和进行传输[8]。

因新凤河水务业务内容不涉及重要机密，考虑数据流程的便捷性，系统未配置物理隔离。系统内网与外网、DMZ 区、办公网通过防火墙实现逻辑隔离。内网物理及虚拟化服务器不可访问外部网络，通过 DMZ 区服务器对内网数据进行访问，对外进行数据发布。

新凤河智慧水务平台包括水环境、水生态、水安全、水资源四水模块，以及水务一张图、智慧运维、统一平台、日常任务、应急任务、生产调度等模块。通过智慧水务系统智慧运维内的用户管理子模块进行用户组和用户的自定义，对各子模块、访问深度、数据的只读可控可设定属性等进行控制，可保障应用层各数据和控制的安全性。

2 网络特征分析

2.1 建设期

1）网络与控制系统的匹配。控制功能分散、显示操作集中是目前主要工控系统的特点[9]。流域水环境治理类项目的特点是参与控制的河道上下游跨度长，一般呈线性分布。针对此类项目的运营管理模式，若采用 PON（Passive Optical Network）设备，在现状的分站控制室进行设备操作，势必造成建设成本增加，且体现不出无源光设备的优势。因此一般采用总控室—分站控制室—终端设备分层控制模式，层级关系基本在 3 层左右，较适合使用交换机组网。

2）无线网桥的可适用性。新凤河河道从大兴黄村城区经过京开高速后往南，大部分河段地处北京南六环以北，河道两岸几乎无高大建筑物，且河道走向较直，较适合无线网桥设备的使用。对于其他类似的大跨度水面的河湖，如河湖两岸之间只有水面，无较高单体遮挡的应用情景，更能体现无线网桥的优越性。可见，无线网桥在河道流域类的应用场景中，适用性很高。

3）河口支流的线路考虑。一般的主干河流流域往往有较多的支流汇入或流出，对河道通信光缆的铺设不利，增加了可能的跨河审批手续及光缆跨越河道的施工成本。一般采用的通信方案有架空、管道光缆[10]，沿桥梁挂管或线槽，无线网桥，租用专线等。

4）光缆施工。沿河道铺设线缆，往往都是在河道上口 7 m 线以内，甚至有在河坡上口开挖填埋，此范围内往往是河道最可能发生二次施工或动土的区域。因此长距离铺设的线缆必须严格要求施工方规范施工，控制好填埋深度，做好标识桩，选择规范的标识桩，避免光照或雨水冲刷等情况损坏标识。

2.2 运营期

信息中心中控室软件平台对各通信子站分类进行状态监视，并提供主动报警服务，实现网络各节点掉站的主动发现，为运营管理维护人员提供及时准确的信息。根据信息可快捷准确地查找网络故障点和位置，故障点包括水务控制系统设备（水质站、泵站、排口管控、污水处理站、闸门、水文站、网络仪表等）、音频广播设备、视频摄像头，通过表格、电子地图、网络拓扑、eSight 等方式体现在线及报警信息。

通过对各子系统的网络诊断界面，能准确及时地查看设备在线状况，提高整个系统网络维护效率，使网络故障恢复更便捷高效。

因河道不封闭，两岸来往人员复杂，且时常有临时施工情况发生，巡检人员应对河道通信光缆、电井、标识桩、警示牌等，进行定期、定时检查与维护，及时发现线路存在的问题和隐患，积极采取措施，避免重大通信故障发生，为河道网络数据稳定传输提供保障[11]。

3 结语

通过对新凤河水务网络的分析，较清晰地了解水环境治理工程智慧水务控制系统网络的组成。合理的设计、规范的施工、适当的运维办法，是智慧水务系统网络稳定运行的基础，较好地满足智慧水务平台中水文水质数据、语音广播设备、自控设备等对网络的使用需求，达到视频流畅、广播清晰、数据稳定的效果。虽然 4G 无线 VPN 站点中的视频数据在大容量传输时存在响应慢的问题，但通过就地存储、远端回放等方式也可满足使用需求。随着无线通信技术的提升及广泛应用，大容量无线数据的传输性能后期可通过设备的迭代升级解决。希望通过以后运营维护的深入及验证，提炼出优化措施和成功经验，更好地指导同类工程的建设运营，让水环境治理和生态恢复的智慧水务系统更加完善。