王 琦，王芳竹

(黑龙江省电力有限公司检修公司，哈尔滨150090)

电力调度数据网第二平面是按照全国电网二次系统“十五”规划确定的按“统一规划设计、统一技术体制、统一路由策略、统一组织实施”的原则建设，并且覆盖全省范围、承载电力生产调度业务数据[1－2].黑龙江省电力调度数据网为省级 －III级网，由省公司和省内各地区、发电厂、枢纽变电站等节点组成.承载的调度系统数据通信业务大致可分为2类:一是实时监控业务，包括:能量管理系统、广域相量测量系统等;二是运行管理业务，包括:电力交易支持系统、调度日报传输、电能量计量系统等.

电力调度数据网第二平面在本地以太网交换机到路由器的出口处，进行流分类、流标识、CAR限速、802.1p映射、GTS整形等操作.将业务设置为不同的优先级，实时业务的带宽定位出口带宽的40%.调度数据网承载的业务对网络可靠性要求高，网络的可用率/实时业务的时延(业务应有不同的优先级)、网络的收敛时间等关键性能必须予以保证.网络采用IP路由交换设备组网，采用IP over SDH/DWDM的技术体制，全网部署MPLS/VP(Multi－Protocol Label Switching Virtual Private Network)，各相关业务按安全分区原则接入相应VPN[3－5].

1 拓扑及节点设计

1.1 网络设计原则

1)拓扑可靠性原则

在各网络的拓扑设计中应遵循“N1”的电路可靠性和节点可靠性原则.即拓扑中去掉任何一条连线(电路)均不影响节点的连通性;去掉任何一个节点均不影响其他节点的连通性.

2)双出口原则

省调局域网、每个地调局域网都有两个出口，两个出口应位于不同的地理位置，防止因外部原因(如停电)造成两出口同时失效.两出口的外联电路中至少有两条没有相关性.

3)流量优化与时延原则

根据网络的流量和流向合理配置电路及其带宽，适度考虑在“N1”情况下网络的流量.网络流量分布均匀，各电路带宽能得到较充分的利用，不存在网络带宽瓶颈.正常状况下需进行直接业务通信的节点之间网络距离最多不超过3跳.

4)经济性与扩展性原则

在保证可靠和畅通的前提下，应尽可能减少网络电路的数量、总里程和带宽，以降低网络的运行费用.网络电路和节点的增加、减少及修改应不影响网络的总体拓扑.

1.2 拓扑设计图

黑龙江电力调度数据网第2平面骨干网着重考虑网络组网结构的可靠性，主要是对网络互联通道的备份考虑和设计，通过链路备份，保证任何时刻、任何节点之间都有可达的路由，见图1.

图1 黑龙江电力调度数据网第二平面骨干网广域网结构图

地调业务接入局域网在实时业务、非实时业务和应急业务配备3台交换机，和地调路由器连接，并将2台加密认证装置分别串联在实时业务区和应急业务区，实现数据加密传输，1台防火墙串联在非实时业务区，暂时设置成透明模式，安全策略待业务迁移后再具体添加，见图2.

图2 地调局域网拓扑示意图

2 路由规划

2.1 总体规划

电力调度数据网第二平面骨干网采用OSPF协议作为IGP协议，承载公网路由.采用MP－BGP协议承载VPN私网路由.其中MP－IBGP协议用于路由域(Autonomous System，AS)内路由器(Provider Edge，PE)PE－PE之间私网路由，MP－EBGP协议用于跨域PE－PE之间的VPN互联.VPN内PE－CE之间采用静态路由进行路由交换.

2.2 BGP规划

自治系统:整个第二平面骨干网作为一个自治系统，全网采用统一的AS号，即:20000.

路由反射器:由于全网运行MP－IBGP协议，全连接交换VPN路由的模型，因此必须使用路由反射器(RR)技术以减少全连接的数目.

2.3 OSPF规划

区域划分:

电力调度数据网第二平面国网、网局、省网骨干节点等路由器划分到area0骨干区域中，黑龙江各地调节点路由器划分到1个area区域中，根据规划，area ID为23.省调骨干节点路由器作为ABR，为area 0和area 23的区域边界路由器.

Cost值:

全网采用统一的cost值设置，即cost=带宽参考值/链路带宽.其中，带宽参考值设置为1000M.

路由发布:

在area 23中，发布地调路由器的loopback地址，PE－PE之间的互联地址，以及PE－CE之间的公网互联地址.并在PE上，对PE－CE互联的链路接口进行silence处理.

路由聚合考虑:

为了减少在整个OSPF路由域中的路由条目数，在自治系统边界路由器ASBR和区域边界路由器(ABR)，可以进行路由聚合操作，向外部发送聚合后的路由信息.所有设备的Loopback地址不进行聚合.

跨域互连:

由于第二平面骨干网与省调接入网和各地调接入网进行互联，同时各网采用独立的自治系统号.因此，作为VPN内进行路由互访，必须进行跨域的VPN互联.采用option B模式，即单跳MPEBGP方式.

3 VPN规划

3.1 PE和CE规划

电力调度数据网第二平面骨干网作为一个MPLS域，黑龙江电力调度数据网第二平面作为其中的一部分.省调节点和14个地调节点路由器作为PE设备，各节点的局域网交换机作为CE设备.

3.2 VPN实例

针对三种业务，划分三个VPN实例，分别为:实时业务:vpn－rt;非实时业务:vpn－nrt;应急业务:vpn－e.见表1.

表1 全网定义统一的RD和RT

4 VLAN及IP地址规划

4.1 VLAN规划

VLAN主要用于局域网结构中，包括设备互联vlan和业务vlan.设备互联vlan主要为PE－CE之间的互联，包含两种，一种主要用于CE的公网管理，针对三台交换机，分别定义vlan100、vlan200和vlan300.一种用于vpn内PE－CE之间路由交换机的互联，分别定义vlan10、vlan20和vlan30.业务vlan为实时、非实时、应急等各种业务或子业务的vlan.实时业务vlan为10、11、12…;非实时业务vlan为20、21、22…;应急业务vlan为30、31、32….

4.2 IP地址规划

主要包括loopback地址、PE－PE互联地址、公网PE－CE互联地址、业务地址等.

5 QoS规划

在IP网络中，DiffServ一般用来为一些重要的应用提供端到端的QoS(Quality of Service).采用Diffserv－QoS模式，部署QoS.根据国调关于第二平面的建设要求，分别在省调和地调骨干节点路由器上进行设置.

针对实时、非实时、应急VPN三种业务能够在广域网出口上进行实时QoS策略:实时业务既保证带宽，又保证时延，设为AF4，保证60%接口带宽;非实时业务设为AF3，保证30%接口带宽;应急业务设为AF2，当其他流量中断时，可使用网络所有带宽.在MPLS网络的边缘LER处，将不同的IP业务优先级映射到MPLS包头的EXP字段.

报文在骨干网PE间传送时，QoS属性被透传到对端PE，中间不会被修改.在骨干网上可以对VPN用户的数据流进行QoS处理.使用MPLS报文标签头的EXP字段保存COS，在网络中按照既定的规则，将不同COS值的报文对应于不同的PHB，按照相应规则进行基于WFQ/CBWFQ/LLQ队列调度，报文丢弃等处理.

6 应用系统接入

6.1 应用系统接入原则

调度端(县调除外)应用系统统一接入骨干网，应用系统间采用域内MPLS－VPN互联.

厂站端应用系统接入相应接入网，调度端到厂站通信采用跨域MP－EBGP方式互联，保证仅跨越一个域.调度端采用双机双卡分别接入双网.厂站端应采用双机双卡分别接入双网，对于扩卡有问题的老系统，采用双机单卡方式，双机分别接入双网.双机应为负载均衡方式.对于不支持网络方式的应用系统，可选用串口方式进行过渡.对于流量较大的新应用功能，原则上接入调度数据网第二平面.按电力二次系统安全防护要求，应用系统应配置安全防护设施.

6.2 应用系统接入方式

对于主站(调度端)应用系统，由于统一接入骨干网.省调业务分别接入到第一、二平面的省调骨干节点，地调业务分别接入到第一、二平面的地调骨干节点.

因此，主站应用系统接入有3种方式:

1)采集服务器主机增加网卡，新增网卡接入新建平面，如图3所示.

图3 主站应用系统接入方式之一

2)采集服务器主机分别接入不同的平面，即原来全部接入A平面的主机分别接入A、B平面，如图4所示.

图4 主站应用系统接入方式之二

3)其他情况

A.采集系统只有一台主机，此情况下只能采用(1)方式接入.

B.采集系统多于两台主机，在此情况下可采用1)和2)两种方式的任何组合模式接入调度数据网络.

7 网络安全与管理

系统安全是全方位的，网络安全是系统安全的一部分.电力调度数据网的网络安全考虑以下几方面:①通过MPLSVPN确保不同类型业务及地域之间的有效隔离;②通过用户状态进行存取控制，保证设备控制安全;③限制对SNMP(Simple Network-Management Protocol)和Telnet的用户访问;④对路由信息交换进行认证;⑤对所有重要事件记录log日志;⑥接入端口认证，提供可信的网络接入.

7.1 设备访问控制

对于全网所有设备均采用console elnetsnmp管理方式，目前调试阶段暂时采用简单的密码设置.如consloe无密码;telnet设置pass认证密码为hljdl，并采用super密码为hljdl;snmp采用read community为heilongjiang_r;正常运行后，再按照统一策略制定密码.

7.2 防火墙访问控制

根据国调二次安全防护的要求，在非实时业务内配备防火墙，进行节点间业务的访问控制.

7.3 业务纵向加密认证

根据国调二次安全防护的要求，在实时业务和应急业务内配备纵向加密认证装置，进行节点间业务的纵向认证和加密.

7.4 网络系统管理

在省调设置网管中心，配备一套网络管理软件和服务器，作为第二平面网络设备的网络管理平台，实现网的络拓扑管理、设备管理等.管理范围包括:省调和14地调的路由器、交换机、防火墙.同时，配备1台加密管理中心设备，管理实时VPN的纵向加密认证装置.

8 结语

按照上述原则建设的数据网二平面具有如下技术特点:①组网技术体制采用IP+SDH;②采用网状分层结构，构建高效稳定可靠的网络，网络具有路由迂回功能;③采用高可靠的组网核心设备，配备双主控、双可靠控制单元;④采用3级BGP路由反射器实现MPLSVPN，通过MPLSVPN隔离不同类型的网络业务，保障调度业务的安全性;⑤使用SPE/UPE分层技术部署厂站VPN，降低了对厂站设备的性能要求，降低了网络复杂度;⑥使用QoS策略，保障了重点业务数据流的传输带宽，满足业务实时性要求;⑦安全部署严密，打造安全的网络系统.

[1]张永健.电网监控与调度自动化[M].北京:中国电力出版社出版，2004.

[2]王益民.国家电力调度数据网的设计与实施[J].电网技术，2005，29(22):1－6.

[3]于尔铿，刘广一，周京阳，等.能量管理系统(EMS)[M].北京:科学出版社，1998.

[4]秦 莹，牟善科.网省级电力调度数据网第二平面建设方案探讨[J].华东电力，2011，39(2):323－325.

[5]李电元，刘 伟.低压配电网多支路电缆带电识别装置的设计[J].哈尔滨商业大学学报:自然科学版，2012，28(2):228－230.