吳 屏， 浦勁松

（安徽省安慶供電公司，安徽 安慶 246003）

0 引言

隨著信息系統(tǒng)普及，信息系統(tǒng)在提供便捷的同時，其自身安全性和脆弱性也越來越引起人們注意，以電力系統(tǒng)為例，它是一個國家命脈工業(yè)，很多的電氣設備都由信息系統(tǒng)直接控制，業(yè)務資料也主要儲存在信息系統(tǒng)內(nèi)部，如果信息系統(tǒng)被攻擊而錯誤工作，將導致大范圍停電和數(shù)據(jù)丟失，會對國家和人民財產(chǎn)的造成巨大經(jīng)濟損失。由于電力員工和千家萬戶密切聯(lián)系，又需要通過互聯(lián)網(wǎng)等外網(wǎng)與社會群體來交換信息，為確保電網(wǎng)安全，電力系統(tǒng)必須建立統(tǒng)一的信息廣域網(wǎng)，并在信息網(wǎng)建設中采用內(nèi)外網(wǎng)隔離技術(shù)，確保內(nèi)網(wǎng)的電網(wǎng)和數(shù)據(jù)安全。

1 網(wǎng)絡現(xiàn)狀分析

安慶供電公司地處皖西南，下轄8個縣公司、5個電力集控站、3個220 kV變電所、23個110 kV變電所，電力線路覆蓋范圍1.63萬平方公里，目前各縣公司通過租用聯(lián)通2 M通道與市公司連接，集控站和變電所采用調(diào)度通訊系統(tǒng)的SDH網(wǎng)絡，使用2 M通道與市公司聯(lián)絡，整體網(wǎng)絡結(jié)構(gòu)師星型的單通道網(wǎng)絡連接，網(wǎng)絡基層較薄弱，如通道發(fā)生故障則無備用手段，造成業(yè)務長時間的中斷，電力集控站和變電所僅接入信息內(nèi)網(wǎng)，未接入外網(wǎng)，8個縣公司信息內(nèi)網(wǎng)與市公司連接，信息外網(wǎng)采用自建通道連接，多頭管理存在內(nèi)外網(wǎng)混接的安全隱患，也不利于公司對外網(wǎng)的統(tǒng)一管理工作。

2 建設目標

根據(jù)國網(wǎng)和省公司的要求和安慶公司實際情況，對信息廣域網(wǎng)提出了以下建設目標：

1）帶寬要求：市公司本部到集控站帶寬不低于100 M，集控站到受控站帶寬不低于10 M；本部到所轄縣公司帶寬不低于100 M。

2）拓撲結(jié)構(gòu)：采用分層設計，市公司本部和重要站點組成通訊環(huán)網(wǎng)骨干層，受控站就近接入骨干層。

3）協(xié)議：要求設備必須支持多種動態(tài)路由協(xié)議，核心、骨干層和縣公司設備均滿足虛擬網(wǎng)絡數(shù)據(jù)隔離技術(shù)和流量控制技術(shù)，。

4）介質(zhì)：充分利用現(xiàn)有光纖資源，骨干環(huán)網(wǎng)連接介質(zhì)為光纖，各接入點可采用現(xiàn)有SDH電路接入骨干環(huán)網(wǎng)。

3 系統(tǒng)方案

3.1 廣域網(wǎng)骨干環(huán)網(wǎng)的建立

由于地區(qū)廣域網(wǎng)傳送的是非常重要的電力相關數(shù)據(jù)信息，對整個電網(wǎng)的健康運行有著至關重要的作用，故對可靠性的要求十分高。在設計中以實現(xiàn)高可靠性為突出重點，網(wǎng)絡建立在同步數(shù)字序列（SDH）傳輸網(wǎng)上，基于 IP的網(wǎng)絡[1]。線路設計上在光纖資源能保證的情況下，使用環(huán)網(wǎng)結(jié)構(gòu)保證網(wǎng)絡上的線路連接不發(fā)生中斷；骨干環(huán)網(wǎng)上采用冗余交換機設計，采用使用冗余引擎和電源設計；為保證冗余線路切換速度快，使用OSPF動態(tài)路由協(xié)議保障信息網(wǎng)路由的冗余，在主環(huán)上建立至少一個Area（area 0）的路由區(qū)域；非主環(huán)上的變電所節(jié)點分別建立各自的Area，并要求在主環(huán)上進行路由匯總；變電所信息網(wǎng)的路由要求匯總為一條路由進入市公司核心交換機；在變電所信息網(wǎng)的邏輯鏈路中，可以選擇使用不同的路由自治域（或不同的路由協(xié)議）分別滿足廣域網(wǎng)業(yè)務數(shù)據(jù)和設備管理地址的路由；在廣域網(wǎng)的用戶接入部分必須要考慮網(wǎng)絡安全加固，廣域網(wǎng)交換機必須支持，Port-security、動態(tài)地址檢測等安全特性。

本次廣域網(wǎng)絡改造是在市公司和8個220 kV變電所或大型集控站上組建一個環(huán)形光纖廣域網(wǎng)，使得現(xiàn)有和在建的變電所信息網(wǎng)通訊都能使用千兆帶寬。因此市公司交換機必須具備8個光纖接口，具備冗余電源；主環(huán)上的交換機支持至少8個光纖接口和至少24個用戶以太網(wǎng)接口，具備冗余電源。

3.2 數(shù)據(jù)隔離技術(shù)

由于目前所有的集控站、變電所和縣公司都使用同一光纖線路接入公司網(wǎng)絡，在業(yè)務區(qū)分上，縣級供電公司屬于電力四級網(wǎng)，而變電所屬于市公司內(nèi)部網(wǎng)絡，他們的數(shù)據(jù)在鏈路上傳輸時需要進行隔離?？h公司的數(shù)據(jù)訪問還分為訪問電力網(wǎng)的內(nèi)網(wǎng)流量，以及訪問互聯(lián)網(wǎng)的外網(wǎng)流量，根據(jù)國家電網(wǎng)公司要求，這部分流量也需要得到分離。如此橫縱交錯的訪問需求，對網(wǎng)絡提出了更高的要求。很顯然，簡單的通過訪問控制列表、防火墻和IPSec VPN是無法達到這樣的要求[1]。那么怎么樣的技術(shù)來滿足這種需求呢？采用MPLS/VPN技術(shù)。

MPLS VPN是一種在公用通信基礎平臺上提供私有數(shù)據(jù)網(wǎng)絡的技術(shù)，一般通過隧道協(xié)議和采用安全機制來滿足客戶的私密性需求，多協(xié)議標簽交換（MPLS,Multil-Protocol Label Switching）技術(shù)是一種使用標簽來作出轉(zhuǎn)發(fā)決定的信令和轉(zhuǎn)發(fā)技術(shù)[2]。MPLS報文轉(zhuǎn)發(fā)是基于標簽的，MPLS網(wǎng)絡中所有節(jié)點都是依據(jù)標簽轉(zhuǎn)發(fā)數(shù)據(jù)的[3]。利用MPLS隧道實現(xiàn)數(shù)據(jù)透明傳輸，借助標記自動為不同的VPN用戶建立不同的虛通道，支持不同的安全等級，將每個VPN用戶的數(shù)據(jù)隔離開來，不向其它VPN廣播，確保VPN用戶數(shù)據(jù)在IP網(wǎng)絡上傳輸時安全可靠[4]，它的標簽使用機制可以使報文在傳輸中無須用到IP報文等路由信息，大大降低了被攻擊的危險性[5]。非常易于用戶間數(shù)據(jù)的隔離，利用區(qū)分服務體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡的QoS/CoS問題，MPLS自身提供流量工程的能力，可以最大限度地優(yōu)化配置網(wǎng)絡資源，自動快速修復網(wǎng)絡故障，提供高可用性和高可靠性。因此基于MPLS技術(shù)的MPLS VPN，在靈活性、擴展性、安全性各個方面是當前技術(shù)最先進的VPN。此外，MPLS VPN提供靈活的策略控制，可以滿足不同用戶的特殊要求，快速實現(xiàn)增值服務(VAS)，在帶寬價格比、性能價格比上，相比其他廣域VPN也具有較大的優(yōu)勢[6]。

在MPLS VPN的設計上，根據(jù)現(xiàn)有的業(yè)務需求，基本設計以下的 4個 VPN：①為各個變電所的信息系統(tǒng)訪問建立一個專用MPLS VPN通道；②為各個變電所建立外網(wǎng)訪問的專用MPLS VPN通道；③各個縣級供電公司內(nèi)網(wǎng)訪問建立一個專用MPLS VPN通道；④各個縣級供電公司所有外網(wǎng)訪問建立一個專用MPLS VPN通道。

今后如果有擴充需要，還可以在網(wǎng)上繼續(xù)劃分專用的MPLS VPN通道，配置操作簡單便捷。

4 結(jié)語

安慶供電公司在資金有限的條件下，通過有效的網(wǎng)絡設計，建立一個信息廣域網(wǎng)，其環(huán)形網(wǎng)絡結(jié)構(gòu)和環(huán)形骨干網(wǎng)設備的冗余設計，保證了網(wǎng)絡的高可靠性，MPLS VPN設計實現(xiàn)了同一光纖通道內(nèi)的數(shù)據(jù)的邏輯強隔離，有效地保障了電力信息內(nèi)網(wǎng)的安全，并具有下一步劃分專網(wǎng)的擴展能力，對電力企業(yè)內(nèi)部具有示范性作用，對中小型企業(yè)具有一定得借鑒意義。

[1]申芳.T-MPLS技術(shù)在貴州電力通信網(wǎng)中的應用探討[J].通信技術(shù), 2009,42(10):120-122.

[2]RANDY Z,ZHANG R,BARTELL M.BGP設計與實現(xiàn)[M].北京：人民郵電出版社，2005：334.

[3]郭剛.多協(xié)議標簽交換混合型虛擬專網(wǎng)的研究[J].通信技術(shù), 2011,44(02):50-52.

[4]蔣青泉.虛擬技術(shù)在現(xiàn)代通信網(wǎng)絡中的應用與研究[J].通信技術(shù), 2009,42(03):151-154.

[5]張斌,徐利.安全 MPLS技術(shù)研究[J].通信技術(shù),2003(04):95-96.

[6]百度百科.mpls vpn[EB/OL].(2010-07-15) [2011-09-11].http://baike.baidu.com/view/4424380.htm.