一、用戶需求
用戶項目為分布式光伏發電項目，項目有大概200個分站和多個主站系統組成，目前各站點獨立運行。每個主站和分站數據都已經通過局域網采集到本地工控機。用戶需要個主站能通過遠程訪問到各分站的工控機實現遠程監控。

二、需求分析
1.現場各主站和分站都具有有線網絡，需要設備帶有WAN口，并支持ADSL撥號方式接入網絡。
2.無人值守，保證7*24小時穩定。由于野外站點大部分屬于無人值守站點，現場設備安裝點無人維護，為保證系統的穩定工作，設備必須具有很強的抗靜電能力。同時戶外安裝的設備應該具有耐高低溫和防雷特性。
3.數據加密傳輸，保證數據安全。采用加密傳輸數據，數據經過Internet網傳輸，不能保障數據傳輸安全，為保證網絡的安全運行，整個系統網絡設計建議使用VPN加密隧道傳輸，既能保證數據的安全傳輸，又能實現數據的雙向傳輸。
基于以上多方面的分析，本方案網絡設計采用VPN組網方案，其中通信設備選用工業級路由器ORB305，設備硬件采用高防護等級設計，抗EMC干擾，高穩定性、易維護，滿足無人值守環境使用。路由器軟件支持多種VPN協議，保證數據傳輸安全。數據調度中心部署VPN服務器。通過工業路由器與VPN服務器建立的VPN虛擬局域網實現調度中心和現場設備的采集和控制。

三、解決方案
3.1方案概述
整個組網方案由監控主站端、網絡傳輸端和光伏分站現場端三部分組成。設備現場工控機、監控主站服務器與工業路由器相連接，路由通過有線網絡與云服務器（或山竹云遠程維護平臺）建立一條VPN加密通道，通過建立VPN通道實現現場工控機與監控主站服務器雙向通信，監控主站服務器可以對光伏分站內工控機實現遠程監控操作。

3.2方案設計
根據用戶實際網絡環境情況，我們為客戶提供三種不同組網方案：
方案一（通過云服務器私有化部署上云助手組網）
方案二（連接我司山竹云遠程維護平臺，通過平臺轉發數據進行組網）
方案三采用ORB301無線路由器傳輸方案
3.3方案介紹
3.3.1網絡拓撲：
方案一：

方案二：

方案三：

3.3.2方案組成：
方案一：針對一些客戶監控主站沒有固定公網，我們推出云+網+端的VPN組網方案，此方案最大的特點是系統部署簡單、靈活、客戶現場采集設備可以快速上云，云服務器自帶固定公網IP，企業客戶無需部署運營商專線。云服務器只需要安裝上云助手軟件，即可實現工業路由器與云服務器建立VPN隧道，通過VPN隧道組成的虛擬局域網實現每個監控主站服務器可以對光伏分站內工控機實現遠程監控操作。。
方案二：工業路由器與山竹云遠程維護平臺建立VPN隧道，通過VPN隧道，監控主站服務器可以實時遠程光伏分站現場工控機，從而實現對光伏分站點遠程在線監控。
方案三：針對方案一和方案二，站內也可以采用使用ORB301-4G無線路由器方案，設備使用4G卡撥號上網，光伏分站與路由器LAN口連接，ORB301與云服務器或山竹云遠程維護平臺建立VPN隧道。從而實現主站服務器對光伏分站點遠程在線監控。
監控主站端設計
監控主站端為數據服務器，通過云服務器上安裝的上云助手軟件與工業路由器設備建立的VPN隧道，可輕松建立虛擬局域網，實現主站服務器對光伏站內工控機的數據存儲、顯示、計算分析等需求，對現場設備運行情況、相關運行參數實時監控。

?上云助手軟件功能
Device Control Center控制器軟件是東用科技推出的企業上云VPN助手軟件。解決因云服務器虛擬化造成的數據回傳困難的問題，企業可以通過該軟件實現數據終端遠程加密接入。遠程訪問企業內網資源，并提供安全、智能更加可靠的聯網體驗。
上云助手產品具有部署簡單、維護成本低、云端適應能力強等特點，為企業提供云+網+端智能組網方案，打破位置限制，實現各地區間設備到云服務器的信息互聯互通。同時通過從用戶、終端到鏈路和服務的多維度防護，保障單位信息安全，避免敏感數據泄露。為企業數據安全保駕護航。
?上云助手軟件特點：
*私有化部署
數據不經過第三方，降低數據泄露風險，保證數據安全。
*先進的隧道分離技術
可以支持通過VPN訪問遠程終端設備的同時，還可以訪問Internet和本地局域網。各種業務流量之間互不影響，避免了業務沖突。
*豐富多樣擴展性
軟件支持海量接入客戶端設備，最大支持6萬以上接入設備，并且支持多種以太網設備，業務擴展無需重構網絡，您可以根據業務業務需求隨意添加、減少網點。支持工控機、服務器、攝像頭、PLC、手機等各種以太網終端接入。
*靈活接入方式
提供靈活的接入方式，根據不通的網絡情況靈活選擇。支持物理專線接入、
有線帶寬接入、Wi-Fi接入和4G/5G接入，不受區域和環境限制。
*豐富的認證和數據加密方式
基于證書和用戶名/密碼認證。使用高級的加密和身份識別協議防止數據被窺探，保證數據傳輸安全。

（上云助手軟件界面）
用戶遠程維護
客戶或廠家的維護工程師無論身在何處，只要在windows系統的電腦上安裝設備快線客戶端，即可打通現場與現場設備的網絡通道，將PC與現場設備組成局域網。使得工程師快速連接到現場的設備或采集器，通過相應的編程軟件實現對設備的在線調試等操作，達到排障的目的。
通過遠程維護方案，工程師無論身處何地都可以遠程維護中心進行程序調試、掌握現場設備的狀態及運行狀況，無需跑到設備現場，節省企業成本。
網絡傳輸端
網絡傳輸端是整個聯網系統的樞紐，為了實現運行數據的遠程集中監測、控制、調度，必須建立連接所有監控點的通訊網絡。網絡傳輸端采用ORB305工業級路由器作為數據通信載體，工業級有線路由器通過有線網絡ADSL撥號接入互聯網，通過和云服務器的上云助手軟件建立VPN數據傳輸隧道。光伏站工控機與監控主站進行數據交互都是在VPN隧道內進行數據傳輸，能夠有效保證數據傳輸的安全性。

*接口協議設計
ORB305工業路由器自帶1路RS232、1路RS485接口和5個以太網接口，并且設備支持：Modbus RTU，Modbus TCP、Modbus網橋以及TCP/UDP等多種通信協議。滿足工業大部分工業設備通信要求。
*工業級設計
方案提供的工業級路由器采用全工業化設計，從處理芯片、通信模塊、電子器件全采用工業級標準，產品具備以下可靠性指標：采用工業設計性，金屬外殼，防護等級為IP30 EMC各項等級指標達3級以太網口支持1.5KV隔離變壓保護寬溫支持：-40~70寬壓支持：DC9-48V。

*IP地址規劃
整個自動化控制系統網絡通過云上VPN服務器和工業路由器建立VPN連接，由于建立VPN，每個路由器的網段和VPN服務器的網段必須不在同一網段。如果有多個工業路由器都要連接到同一個VPN服務器，那么每個路由器的LAN地址都必須占用一個唯一的網段，不能重復。

備注：X代表2-254任意數字。
*網絡安全設置
針對網絡安全要求比較高的客戶，通過設置IP和MAC地址綁定后，只有主機MAC地址和設置的IP地址和設備綁定的一致才能接入網絡，其他用戶接入網絡不能通過設備訪問任何資源，可以有效阻止非法用戶登錄設備，實現安全接入。接口關閉設置可以關閉不使用的接口，有效防止非法接入。

*云服務器公網帶寬
系統使用的是云服務器。云服務器自帶彈性公網IP地址，隨時可以增減帶寬方便靈活。中心端云服務器帶寬大小與終端采集設備接入數量有直接關系。（若考慮業務擴展或接入視頻業務，中心端建議采用不低于20M帶寬。可以根據接入業務量隨時調整。）