王 琦，王芳竹

(黑龍江省電力有限公司檢修公司，哈爾濱150090)

電力調(diào)度數(shù)據(jù)網(wǎng)第二平面是按照全國電網(wǎng)二次系統(tǒng)“十五”規(guī)劃確定的按“統(tǒng)一規(guī)劃設(shè)計、統(tǒng)一技術(shù)體制、統(tǒng)一路由策略、統(tǒng)一組織實施”的原則建設(shè)，并且覆蓋全省范圍、承載電力生產(chǎn)調(diào)度業(yè)務(wù)數(shù)據(jù)[1－2].黑龍江省電力調(diào)度數(shù)據(jù)網(wǎng)為省級 －III級網(wǎng)，由省公司和省內(nèi)各地區(qū)、發(fā)電廠、樞紐變電站等節(jié)點組成.承載的調(diào)度系統(tǒng)數(shù)據(jù)通信業(yè)務(wù)大致可分為2類:一是實時監(jiān)控業(yè)務(wù)，包括:能量管理系統(tǒng)、廣域相量測量系統(tǒng)等;二是運行管理業(yè)務(wù)，包括:電力交易支持系統(tǒng)、調(diào)度日報傳輸、電能量計量系統(tǒng)等.

電力調(diào)度數(shù)據(jù)網(wǎng)第二平面在本地以太網(wǎng)交換機到路由器的出口處，進行流分類、流標(biāo)識、CAR限速、802.1p映射、GTS整形等操作.將業(yè)務(wù)設(shè)置為不同的優(yōu)先級，實時業(yè)務(wù)的帶寬定位出口帶寬的40%.調(diào)度數(shù)據(jù)網(wǎng)承載的業(yè)務(wù)對網(wǎng)絡(luò)可靠性要求高，網(wǎng)絡(luò)的可用率/實時業(yè)務(wù)的時延(業(yè)務(wù)應(yīng)有不同的優(yōu)先級)、網(wǎng)絡(luò)的收斂時間等關(guān)鍵性能必須予以保證.網(wǎng)絡(luò)采用IP路由交換設(shè)備組網(wǎng)，采用IP over SDH/DWDM的技術(shù)體制，全網(wǎng)部署MPLS/VP(Multi－Protocol Label Switching Virtual Private Network)，各相關(guān)業(yè)務(wù)按安全分區(qū)原則接入相應(yīng)VPN[3－5].

1 拓?fù)浼肮?jié)點設(shè)計

1.1 網(wǎng)絡(luò)設(shè)計原則

1)拓?fù)淇煽啃栽瓌t

在各網(wǎng)絡(luò)的拓?fù)湓O(shè)計中應(yīng)遵循“N1”的電路可靠性和節(jié)點可靠性原則.即拓?fù)渲腥サ羧魏我粭l連線(電路)均不影響節(jié)點的連通性;去掉任何一個節(jié)點均不影響其他節(jié)點的連通性.

2)雙出口原則

省調(diào)局域網(wǎng)、每個地調(diào)局域網(wǎng)都有兩個出口，兩個出口應(yīng)位于不同的地理位置，防止因外部原因(如停電)造成兩出口同時失效.兩出口的外聯(lián)電路中至少有兩條沒有相關(guān)性.

3)流量優(yōu)化與時延原則

根據(jù)網(wǎng)絡(luò)的流量和流向合理配置電路及其帶寬，適度考慮在“N1”情況下網(wǎng)絡(luò)的流量.網(wǎng)絡(luò)流量分布均勻，各電路帶寬能得到較充分的利用，不存在網(wǎng)絡(luò)帶寬瓶頸.正常狀況下需進行直接業(yè)務(wù)通信的節(jié)點之間網(wǎng)絡(luò)距離最多不超過3跳.

4)經(jīng)濟性與擴展性原則

在保證可靠和暢通的前提下，應(yīng)盡可能減少網(wǎng)絡(luò)電路的數(shù)量、總里程和帶寬，以降低網(wǎng)絡(luò)的運行費用.網(wǎng)絡(luò)電路和節(jié)點的增加、減少及修改應(yīng)不影響網(wǎng)絡(luò)的總體拓?fù)?

1.2 拓?fù)湓O(shè)計圖

黑龍江電力調(diào)度數(shù)據(jù)網(wǎng)第2平面骨干網(wǎng)著重考慮網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)的可靠性，主要是對網(wǎng)絡(luò)互聯(lián)通道的備份考慮和設(shè)計，通過鏈路備份，保證任何時刻、任何節(jié)點之間都有可達(dá)的路由，見圖1.

圖1 黑龍江電力調(diào)度數(shù)據(jù)網(wǎng)第二平面骨干網(wǎng)廣域網(wǎng)結(jié)構(gòu)圖

地調(diào)業(yè)務(wù)接入局域網(wǎng)在實時業(yè)務(wù)、非實時業(yè)務(wù)和應(yīng)急業(yè)務(wù)配備3臺交換機，和地調(diào)路由器連接，并將2臺加密認(rèn)證裝置分別串聯(lián)在實時業(yè)務(wù)區(qū)和應(yīng)急業(yè)務(wù)區(qū)，實現(xiàn)數(shù)據(jù)加密傳輸，1臺防火墻串聯(lián)在非實時業(yè)務(wù)區(qū)，暫時設(shè)置成透明模式，安全策略待業(yè)務(wù)遷移后再具體添加，見圖2.

圖2 地調(diào)局域網(wǎng)拓?fù)涫疽鈭D

2 路由規(guī)劃

2.1 總體規(guī)劃

電力調(diào)度數(shù)據(jù)網(wǎng)第二平面骨干網(wǎng)采用OSPF協(xié)議作為IGP協(xié)議，承載公網(wǎng)路由.采用MP－BGP協(xié)議承載VPN私網(wǎng)路由.其中MP－IBGP協(xié)議用于路由域(Autonomous System，AS)內(nèi)路由器(Provider Edge，PE)PE－PE之間私網(wǎng)路由，MP－EBGP協(xié)議用于跨域PE－PE之間的VPN互聯(lián).VPN內(nèi)PE－CE之間采用靜態(tài)路由進行路由交換.

2.2 BGP規(guī)劃

自治系統(tǒng):整個第二平面骨干網(wǎng)作為一個自治系統(tǒng)，全網(wǎng)采用統(tǒng)一的AS號，即:20000.

路由反射器:由于全網(wǎng)運行MP－IBGP協(xié)議，全連接交換VPN路由的模型，因此必須使用路由反射器(RR)技術(shù)以減少全連接的數(shù)目.

2.3 OSPF規(guī)劃

區(qū)域劃分:

電力調(diào)度數(shù)據(jù)網(wǎng)第二平面國網(wǎng)、網(wǎng)局、省網(wǎng)骨干節(jié)點等路由器劃分到area0骨干區(qū)域中，黑龍江各地調(diào)節(jié)點路由器劃分到1個area區(qū)域中，根據(jù)規(guī)劃，area ID為23.省調(diào)骨干節(jié)點路由器作為ABR，為area 0和area 23的區(qū)域邊界路由器.

Cost值:

全網(wǎng)采用統(tǒng)一的cost值設(shè)置，即cost=帶寬參考值/鏈路帶寬.其中，帶寬參考值設(shè)置為1000M.

路由發(fā)布:

在area 23中，發(fā)布地調(diào)路由器的loopback地址，PE－PE之間的互聯(lián)地址，以及PE－CE之間的公網(wǎng)互聯(lián)地址.并在PE上，對PE－CE互聯(lián)的鏈路接口進行silence處理.

路由聚合考慮:

為了減少在整個OSPF路由域中的路由條目數(shù)，在自治系統(tǒng)邊界路由器ASBR和區(qū)域邊界路由器(ABR)，可以進行路由聚合操作，向外部發(fā)送聚合后的路由信息.所有設(shè)備的Loopback地址不進行聚合.

跨域互連:

由于第二平面骨干網(wǎng)與省調(diào)接入網(wǎng)和各地調(diào)接入網(wǎng)進行互聯(lián)，同時各網(wǎng)采用獨立的自治系統(tǒng)號.因此，作為VPN內(nèi)進行路由互訪，必須進行跨域的VPN互聯(lián).采用option B模式，即單跳MPEBGP方式.

3 VPN規(guī)劃

3.1 PE和CE規(guī)劃

電力調(diào)度數(shù)據(jù)網(wǎng)第二平面骨干網(wǎng)作為一個MPLS域，黑龍江電力調(diào)度數(shù)據(jù)網(wǎng)第二平面作為其中的一部分.省調(diào)節(jié)點和14個地調(diào)節(jié)點路由器作為PE設(shè)備，各節(jié)點的局域網(wǎng)交換機作為CE設(shè)備.

3.2 VPN實例

針對三種業(yè)務(wù)，劃分三個VPN實例，分別為:實時業(yè)務(wù):vpn－rt;非實時業(yè)務(wù):vpn－nrt;應(yīng)急業(yè)務(wù):vpn－e.見表1.

表1 全網(wǎng)定義統(tǒng)一的RD和RT

4 VLAN及IP地址規(guī)劃

4.1 VLAN規(guī)劃

VLAN主要用于局域網(wǎng)結(jié)構(gòu)中，包括設(shè)備互聯(lián)vlan和業(yè)務(wù)vlan.設(shè)備互聯(lián)vlan主要為PE－CE之間的互聯(lián)，包含兩種，一種主要用于CE的公網(wǎng)管理，針對三臺交換機，分別定義vlan100、vlan200和vlan300.一種用于vpn內(nèi)PE－CE之間路由交換機的互聯(lián)，分別定義vlan10、vlan20和vlan30.業(yè)務(wù)vlan為實時、非實時、應(yīng)急等各種業(yè)務(wù)或子業(yè)務(wù)的vlan.實時業(yè)務(wù)vlan為10、11、12…;非實時業(yè)務(wù)vlan為20、21、22…;應(yīng)急業(yè)務(wù)vlan為30、31、32….

4.2 IP地址規(guī)劃

主要包括loopback地址、PE－PE互聯(lián)地址、公網(wǎng)PE－CE互聯(lián)地址、業(yè)務(wù)地址等.

5 QoS規(guī)劃

在IP網(wǎng)絡(luò)中，DiffServ一般用來為一些重要的應(yīng)用提供端到端的QoS(Quality of Service).采用Diffserv－QoS模式，部署QoS.根據(jù)國調(diào)關(guān)于第二平面的建設(shè)要求，分別在省調(diào)和地調(diào)骨干節(jié)點路由器上進行設(shè)置.

針對實時、非實時、應(yīng)急VPN三種業(yè)務(wù)能夠在廣域網(wǎng)出口上進行實時QoS策略:實時業(yè)務(wù)既保證帶寬，又保證時延，設(shè)為AF4，保證60%接口帶寬;非實時業(yè)務(wù)設(shè)為AF3，保證30%接口帶寬;應(yīng)急業(yè)務(wù)設(shè)為AF2，當(dāng)其他流量中斷時，可使用網(wǎng)絡(luò)所有帶寬.在MPLS網(wǎng)絡(luò)的邊緣LER處，將不同的IP業(yè)務(wù)優(yōu)先級映射到MPLS包頭的EXP字段.

報文在骨干網(wǎng)PE間傳送時，QoS屬性被透傳到對端PE，中間不會被修改.在骨干網(wǎng)上可以對VPN用戶的數(shù)據(jù)流進行QoS處理.使用MPLS報文標(biāo)簽頭的EXP字段保存COS，在網(wǎng)絡(luò)中按照既定的規(guī)則，將不同COS值的報文對應(yīng)于不同的PHB，按照相應(yīng)規(guī)則進行基于WFQ/CBWFQ/LLQ隊列調(diào)度，報文丟棄等處理.

6 應(yīng)用系統(tǒng)接入

6.1 應(yīng)用系統(tǒng)接入原則

調(diào)度端(縣調(diào)除外)應(yīng)用系統(tǒng)統(tǒng)一接入骨干網(wǎng)，應(yīng)用系統(tǒng)間采用域內(nèi)MPLS－VPN互聯(lián).

廠站端應(yīng)用系統(tǒng)接入相應(yīng)接入網(wǎng)，調(diào)度端到廠站通信采用跨域MP－EBGP方式互聯(lián)，保證僅跨越一個域.調(diào)度端采用雙機雙卡分別接入雙網(wǎng).廠站端應(yīng)采用雙機雙卡分別接入雙網(wǎng)，對于擴卡有問題的老系統(tǒng)，采用雙機單卡方式，雙機分別接入雙網(wǎng).雙機應(yīng)為負(fù)載均衡方式.對于不支持網(wǎng)絡(luò)方式的應(yīng)用系統(tǒng)，可選用串口方式進行過渡.對于流量較大的新應(yīng)用功能，原則上接入調(diào)度數(shù)據(jù)網(wǎng)第二平面.按電力二次系統(tǒng)安全防護要求，應(yīng)用系統(tǒng)應(yīng)配置安全防護設(shè)施.

6.2 應(yīng)用系統(tǒng)接入方式

對于主站(調(diào)度端)應(yīng)用系統(tǒng)，由于統(tǒng)一接入骨干網(wǎng).省調(diào)業(yè)務(wù)分別接入到第一、二平面的省調(diào)骨干節(jié)點，地調(diào)業(yè)務(wù)分別接入到第一、二平面的地調(diào)骨干節(jié)點.

因此，主站應(yīng)用系統(tǒng)接入有3種方式:

1)采集服務(wù)器主機增加網(wǎng)卡，新增網(wǎng)卡接入新建平面，如圖3所示.

圖3 主站應(yīng)用系統(tǒng)接入方式之一

2)采集服務(wù)器主機分別接入不同的平面，即原來全部接入A平面的主機分別接入A、B平面，如圖4所示.

圖4 主站應(yīng)用系統(tǒng)接入方式之二

3)其他情況

A.采集系統(tǒng)只有一臺主機，此情況下只能采用(1)方式接入.

B.采集系統(tǒng)多于兩臺主機，在此情況下可采用1)和2)兩種方式的任何組合模式接入調(diào)度數(shù)據(jù)網(wǎng)絡(luò).

7 網(wǎng)絡(luò)安全與管理

系統(tǒng)安全是全方位的，網(wǎng)絡(luò)安全是系統(tǒng)安全的一部分.電力調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)安全考慮以下幾方面:①通過MPLSVPN確保不同類型業(yè)務(wù)及地域之間的有效隔離;②通過用戶狀態(tài)進行存取控制，保證設(shè)備控制安全;③限制對SNMP(Simple Network-Management Protocol)和Telnet的用戶訪問;④對路由信息交換進行認(rèn)證;⑤對所有重要事件記錄log日志;⑥接入端口認(rèn)證，提供可信的網(wǎng)絡(luò)接入.

7.1 設(shè)備訪問控制

對于全網(wǎng)所有設(shè)備均采用console elnetsnmp管理方式，目前調(diào)試階段暫時采用簡單的密碼設(shè)置.如consloe無密碼;telnet設(shè)置pass認(rèn)證密碼為hljdl，并采用super密碼為hljdl;snmp采用read community為heilongjiang_r;正常運行后，再按照統(tǒng)一策略制定密碼.

7.2 防火墻訪問控制

根據(jù)國調(diào)二次安全防護的要求，在非實時業(yè)務(wù)內(nèi)配備防火墻，進行節(jié)點間業(yè)務(wù)的訪問控制.

7.3 業(yè)務(wù)縱向加密認(rèn)證

根據(jù)國調(diào)二次安全防護的要求，在實時業(yè)務(wù)和應(yīng)急業(yè)務(wù)內(nèi)配備縱向加密認(rèn)證裝置，進行節(jié)點間業(yè)務(wù)的縱向認(rèn)證和加密.

7.4 網(wǎng)絡(luò)系統(tǒng)管理

在省調(diào)設(shè)置網(wǎng)管中心，配備一套網(wǎng)絡(luò)管理軟件和服務(wù)器，作為第二平面網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理平臺，實現(xiàn)網(wǎng)的絡(luò)拓?fù)涔芾?、設(shè)備管理等.管理范圍包括:省調(diào)和14地調(diào)的路由器、交換機、防火墻.同時，配備1臺加密管理中心設(shè)備，管理實時VPN的縱向加密認(rèn)證裝置.

8 結(jié)語

按照上述原則建設(shè)的數(shù)據(jù)網(wǎng)二平面具有如下技術(shù)特點:①組網(wǎng)技術(shù)體制采用IP+SDH;②采用網(wǎng)狀分層結(jié)構(gòu)，構(gòu)建高效穩(wěn)定可靠的網(wǎng)絡(luò)，網(wǎng)絡(luò)具有路由迂回功能;③采用高可靠的組網(wǎng)核心設(shè)備，配備雙主控、雙可靠控制單元;④采用3級BGP路由反射器實現(xiàn)MPLSVPN，通過MPLSVPN隔離不同類型的網(wǎng)絡(luò)業(yè)務(wù)，保障調(diào)度業(yè)務(wù)的安全性;⑤使用SPE/UPE分層技術(shù)部署廠站VPN，降低了對廠站設(shè)備的性能要求，降低了網(wǎng)絡(luò)復(fù)雜度;⑥使用QoS策略，保障了重點業(yè)務(wù)數(shù)據(jù)流的傳輸帶寬，滿足業(yè)務(wù)實時性要求;⑦安全部署嚴(yán)密，打造安全的網(wǎng)絡(luò)系統(tǒng).

[1]張永健.電網(wǎng)監(jiān)控與調(diào)度自動化[M].北京:中國電力出版社出版，2004.

[2]王益民.國家電力調(diào)度數(shù)據(jù)網(wǎng)的設(shè)計與實施[J].電網(wǎng)技術(shù)，2005，29(22):1－6.

[3]于爾鏗，劉廣一，周京陽，等.能量管理系統(tǒng)(EMS)[M].北京:科學(xué)出版社，1998.

[4]秦 瑩，牟善科.網(wǎng)省級電力調(diào)度數(shù)據(jù)網(wǎng)第二平面建設(shè)方案探討[J].華東電力，2011，39(2):323－325.

[5]李電元，劉 偉.低壓配電網(wǎng)多支路電纜帶電識別裝置的設(shè)計[J].哈爾濱商業(yè)大學(xué)學(xué)報:自然科學(xué)版，2012，28(2):228－230.