吴 屏， 浦劲松

（安徽省安庆供电公司，安徽 安庆 246003）

0 引言

随着信息系统普及，信息系统在提供便捷的同时，其自身安全性和脆弱性也越来越引起人们注意，以电力系统为例，它是一个国家命脉工业，很多的电气设备都由信息系统直接控制，业务资料也主要储存在信息系统内部，如果信息系统被攻击而错误工作，将导致大范围停电和数据丢失，会对国家和人民财产的造成巨大经济损失。由于电力员工和千家万户密切联系，又需要通过互联网等外网与社会群体来交换信息，为确保电网安全，电力系统必须建立统一的信息广域网，并在信息网建设中采用内外网隔离技术，确保内网的电网和数据安全。

1 网络现状分析

安庆供电公司地处皖西南，下辖8个县公司、5个电力集控站、3个220 kV变电所、23个110 kV变电所，电力线路覆盖范围1.63万平方公里，目前各县公司通过租用联通2 M通道与市公司连接，集控站和变电所采用调度通讯系统的SDH网络，使用2 M通道与市公司联络，整体网络结构师星型的单通道网络连接，网络基层较薄弱，如通道发生故障则无备用手段，造成业务长时间的中断，电力集控站和变电所仅接入信息内网，未接入外网，8个县公司信息内网与市公司连接，信息外网采用自建通道连接，多头管理存在内外网混接的安全隐患，也不利于公司对外网的统一管理工作。

2 建设目标

根据国网和省公司的要求和安庆公司实际情况，对信息广域网提出了以下建设目标：

1）带宽要求：市公司本部到集控站带宽不低于100 M，集控站到受控站带宽不低于10 M；本部到所辖县公司带宽不低于100 M。

2）拓扑结构：采用分层设计，市公司本部和重要站点组成通讯环网骨干层，受控站就近接入骨干层。

3）协议：要求设备必须支持多种动态路由协议，核心、骨干层和县公司设备均满足虚拟网络数据隔离技术和流量控制技术，。

4）介质：充分利用现有光纤资源，骨干环网连接介质为光纤，各接入点可采用现有SDH电路接入骨干环网。

3 系统方案

3.1 广域网骨干环网的建立

由于地区广域网传送的是非常重要的电力相关数据信息，对整个电网的健康运行有着至关重要的作用，故对可靠性的要求十分高。在设计中以实现高可靠性为突出重点，网络建立在同步数字序列（SDH）传输网上，基于 IP的网络[1]。线路设计上在光纤资源能保证的情况下，使用环网结构保证网络上的线路连接不发生中断；骨干环网上采用冗余交换机设计，采用使用冗余引擎和电源设计；为保证冗余线路切换速度快，使用OSPF动态路由协议保障信息网路由的冗余，在主环上建立至少一个Area（area 0）的路由区域；非主环上的变电所节点分别建立各自的Area，并要求在主环上进行路由汇总；变电所信息网的路由要求汇总为一条路由进入市公司核心交换机；在变电所信息网的逻辑链路中，可以选择使用不同的路由自治域（或不同的路由协议）分别满足广域网业务数据和设备管理地址的路由；在广域网的用户接入部分必须要考虑网络安全加固，广域网交换机必须支持，Port-security、动态地址检测等安全特性。

本次广域网络改造是在市公司和8个220 kV变电所或大型集控站上组建一个环形光纤广域网，使得现有和在建的变电所信息网通讯都能使用千兆带宽。因此市公司交换机必须具备8个光纤接口，具备冗余电源；主环上的交换机支持至少8个光纤接口和至少24个用户以太网接口，具备冗余电源。

3.2 数据隔离技术

由于目前所有的集控站、变电所和县公司都使用同一光纤线路接入公司网络，在业务区分上，县级供电公司属于电力四级网，而变电所属于市公司内部网络，他们的数据在链路上传输时需要进行隔离。县公司的数据访问还分为访问电力网的内网流量，以及访问互联网的外网流量，根据国家电网公司要求，这部分流量也需要得到分离。如此横纵交错的访问需求，对网络提出了更高的要求。很显然，简单的通过访问控制列表、防火墙和IPSec VPN是无法达到这样的要求[1]。那么怎么样的技术来满足这种需求呢？采用MPLS/VPN技术。

MPLS VPN是一种在公用通信基础平台上提供私有数据网络的技术，一般通过隧道协议和采用安全机制来满足客户的私密性需求，多协议标签交换（MPLS,Multil-Protocol Label Switching）技术是一种使用标签来作出转发决定的信令和转发技术[2]。MPLS报文转发是基于标签的，MPLS网络中所有节点都是依据标签转发数据的[3]。利用MPLS隧道实现数据透明传输，借助标记自动为不同的VPN用户建立不同的虚通道，支持不同的安全等级，将每个VPN用户的数据隔离开来，不向其它VPN广播，确保VPN用户数据在IP网络上传输时安全可靠[4]，它的标签使用机制可以使报文在传输中无须用到IP报文等路由信息，大大降低了被攻击的危险性[5]。非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题，MPLS自身提供流量工程的能力，可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。因此基于MPLS技术的MPLS VPN，在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外，MPLS VPN提供灵活的策略控制，可以满足不同用户的特殊要求，快速实现增值服务(VAS)，在带宽价格比、性能价格比上，相比其他广域VPN也具有较大的优势[6]。

在MPLS VPN的设计上，根据现有的业务需求，基本设计以下的 4个 VPN：①为各个变电所的信息系统访问建立一个专用MPLS VPN通道；②为各个变电所建立外网访问的专用MPLS VPN通道；③各个县级供电公司内网访问建立一个专用MPLS VPN通道；④各个县级供电公司所有外网访问建立一个专用MPLS VPN通道。

今后如果有扩充需要，还可以在网上继续划分专用的MPLS VPN通道，配置操作简单便捷。

4 结语

安庆供电公司在资金有限的条件下，通过有效的网络设计，建立一个信息广域网，其环形网络结构和环形骨干网设备的冗余设计，保证了网络的高可靠性，MPLS VPN设计实现了同一光纤通道内的数据的逻辑强隔离，有效地保障了电力信息内网的安全，并具有下一步划分专网的扩展能力，对电力企业内部具有示范性作用，对中小型企业具有一定得借鉴意义。

[1]申芳.T-MPLS技术在贵州电力通信网中的应用探讨[J].通信技术, 2009,42(10):120-122.

[2]RANDY Z,ZHANG R,BARTELL M.BGP设计与实现[M].北京：人民邮电出版社，2005：334.

[3]郭刚.多协议标签交换混合型虚拟专网的研究[J].通信技术, 2011,44(02):50-52.

[4]蒋青泉.虚拟技术在现代通信网络中的应用与研究[J].通信技术, 2009,42(03):151-154.

[5]张斌,徐利.安全 MPLS技术研究[J].通信技术,2003(04):95-96.

[6]百度百科.mpls vpn[EB/OL].(2010-07-15) [2011-09-11].http://baike.baidu.com/view/4424380.htm.